From d44df2ea6b2650262737f53daaf3e0d0e88c0f2d Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Thu, 27 Jul 2023 13:21:57 +0200
Subject: [PATCH 01/41] #11326 added top n agents with worst score

---
 .../reporting_builder.item_editor.php         | 11 +++++++++-
 .../godmode/reporting/reporting_builder.php   | 12 ++++++++++
 .../include/functions_reporting.php           |  7 ++++++
 .../include/functions_reporting_html.php      | 22 +++++++++++++++++++
 pandora_console/include/functions_reports.php |  7 ++++++
 5 files changed, 58 insertions(+), 1 deletion(-)

diff --git a/pandora_console/godmode/reporting/reporting_builder.item_editor.php b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
index 397e533366..3eb6bc6d1c 100755
--- a/pandora_console/godmode/reporting/reporting_builder.item_editor.php
+++ b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
@@ -1019,6 +1019,11 @@ switch ($action) {
                     $idAgent = $item['id_agent'];
                 break;
 
+                case 'top_n_agents_sh':
+                    $group = $item['id_group'];
+                    $top_n_value = (empty($item['top_n_value']) === true) ? 10 : $item['top_n_value'];
+                break;
+
                 default:
                     // It's not possible.
                 break;
@@ -7411,7 +7416,11 @@ function chooseType() {
         case 'ncm':
             $("#row_agent").show();
             break;
-            
+
+        case 'top_n_agents_sh':
+            $("#row_group").show();
+            $("#row_max_items").show();
+        break;
     }
 
     switch (type) {
diff --git a/pandora_console/godmode/reporting/reporting_builder.php b/pandora_console/godmode/reporting/reporting_builder.php
index 00bc80f234..242ee1156c 100755
--- a/pandora_console/godmode/reporting/reporting_builder.php
+++ b/pandora_console/godmode/reporting/reporting_builder.php
@@ -1987,6 +1987,12 @@ switch ($action) {
                                 $good_format = true;
                             break;
 
+                            case 'top_n_agents_sh':
+                                $values['id_group'] = get_parameter('combo_group');
+                                $values['top_n_value'] = get_parameter('max_items');
+                                $good_format = true;
+                            break;
+
                             default:
                                 $values['period'] = get_parameter('period');
                                 $values['top_n'] = get_parameter(
@@ -2863,6 +2869,12 @@ switch ($action) {
                                 $good_format = true;
                             break;
 
+                            case 'top_n_agents_sh':
+                                $values['id_group'] = get_parameter('combo_group');
+                                $values['top_n_value'] = get_parameter('max_items');
+                                $good_format = true;
+                            break;
+
                             default:
                                 $values['period'] = get_parameter('period');
                                 $values['top_n'] = get_parameter(
diff --git a/pandora_console/include/functions_reporting.php b/pandora_console/include/functions_reporting.php
index c01e44157a..d92b4ea38e 100755
--- a/pandora_console/include/functions_reporting.php
+++ b/pandora_console/include/functions_reporting.php
@@ -935,6 +935,13 @@ function reporting_make_reporting_data(
                 );
             break;
 
+            case 'top_n_agents_sh':
+                $report['contents'][] = reporting_top_n_agents_sh(
+                    $report,
+                    $content
+                );
+            break;
+
             default:
                 // Default.
             break;
diff --git a/pandora_console/include/functions_reporting_html.php b/pandora_console/include/functions_reporting_html.php
index 91d8a9e5a5..ca36af48b8 100644
--- a/pandora_console/include/functions_reporting_html.php
+++ b/pandora_console/include/functions_reporting_html.php
@@ -463,6 +463,10 @@ function reporting_html_print_report($report, $mini=false, $report_info=1)
             case 'ncm':
                 reporting_html_ncm_config($table, $item);
             break;
+
+            case 'top_n_agents_sh':
+                reporting_html_top_n_agents_sh($table, $item);
+            break;
         }
 
         if ($item['type'] == 'agent_module') {
@@ -478,6 +482,24 @@ function reporting_html_print_report($report, $mini=false, $report_info=1)
 }
 
 
+function reporting_html_top_n_agents_sh($table, $item)
+{
+    global $config;
+
+    $table->data[1][0] = '<b>'.__('Agent').'</b>';
+    $table->data[1][1] = '<b>'.__('Last audit scan').'</b>';
+    $table->data[1][2] = '<b>'.__('Score').'</b>';
+
+    $row = 2;
+    foreach ($item['data'] as $key => $agent) {
+        $table->data[$row][0] = $agent['alias'];
+        $table->data[$row][1] = date($config['date_format'], $agent['utimestamp']);
+        $table->data[$row][2] = $agent['datos'].' %';
+        $row++;
+    }
+}
+
+
 /**
  * Function to print to HTML SLA report.
  *
diff --git a/pandora_console/include/functions_reports.php b/pandora_console/include/functions_reports.php
index f13e935b6a..5b2c00229f 100755
--- a/pandora_console/include/functions_reports.php
+++ b/pandora_console/include/functions_reports.php
@@ -963,6 +963,13 @@ function reports_get_report_types($template=false, $not_editor=false)
         'name'     => __('Network configuration changes'),
     ];
 
+    if (enterprise_installed() === true) {
+        $types['top_n_agents_sh'] = [
+            'optgroup' => __('Security hardening'),
+            'name'     => __('Top-N agents with the worst score'),
+        ];
+    }
+
     return $types;
 }
 

From a0fdb2a791dbcef9f8023965211680b506d3c209 Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Fri, 28 Jul 2023 12:11:36 +0200
Subject: [PATCH 02/41] #11326 new report vulnerabilities

---
 pandora_console/extras/mr/66.sql              |  5 ++
 .../reporting_builder.item_editor.php         | 35 ++++++++
 .../godmode/reporting/reporting_builder.php   | 12 +++
 .../include/functions_reporting.php           |  7 ++
 .../include/functions_reporting_html.php      | 12 +++
 pandora_console/include/functions_reports.php |  5 ++
 pandora_console/include/graphs/fgraph.php     | 11 +++
 .../phpchartjs/src/Options/Elements.php       | 26 ++++++
 .../src/Options/Elements/Center.php           | 85 +++++++++++++++++++
 9 files changed, 198 insertions(+)
 create mode 100644 pandora_console/extras/mr/66.sql
 create mode 100644 pandora_console/vendor/artica/phpchartjs/src/Options/Elements/Center.php

diff --git a/pandora_console/extras/mr/66.sql b/pandora_console/extras/mr/66.sql
new file mode 100644
index 0000000000..c563508f1a
--- /dev/null
+++ b/pandora_console/extras/mr/66.sql
@@ -0,0 +1,5 @@
+START TRANSACTION;
+
+ALTER TABLE `treport_content`  ADD COLUMN `cat_security_hardening` INT NOT NULL DEFAULT 0;
+
+COMMIT;
\ No newline at end of file
diff --git a/pandora_console/godmode/reporting/reporting_builder.item_editor.php b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
index 3eb6bc6d1c..cc3fee9a2c 100755
--- a/pandora_console/godmode/reporting/reporting_builder.item_editor.php
+++ b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
@@ -200,6 +200,14 @@ $text_agent_module = '';
 
 $only_data = false;
 
+$categories_security_hardening = [];
+if (security_hardening_installed() === true) {
+    $categories_security_hardening = categories_of_cis();
+    foreach ($categories_security_hardening as $key => $cat) {
+        $categories_security_hardening[$key] = implode(' ', $cat);
+    }
+}
+
 // Users.
 $id_users = [];
 $users_groups = [];
@@ -1024,6 +1032,11 @@ switch ($action) {
                     $top_n_value = (empty($item['top_n_value']) === true) ? 10 : $item['top_n_value'];
                 break;
 
+                case 'vul_by_cat':
+                    $group = $item['id_group'];
+                    $cat_selected = $item['cat_security_hardening'];
+                break;
+
                 default:
                     // It's not possible.
                 break;
@@ -3690,6 +3703,22 @@ $class = 'databox filters';
                 ?>
             </td>
         </tr>
+        <tr id="row_cat_security_hardening" class="datos">
+            <td class="bolder">
+                <?php
+                echo __('Category');
+                ?>
+            </td>
+            <td>
+                <?php
+                html_print_select(
+                    $categories_security_hardening,
+                    'cat_security_hardening',
+                    $cat_selected,
+                );
+                ?>
+            </td>
+        </tr>
         <?php
         if ($is_enterprise) {
             ?>
@@ -6562,6 +6591,7 @@ function chooseType() {
     $("#row_group_by").hide();
     $("#row_type_show").hide();
     $("#row_use_prefix_notation").hide();
+    $("#row_cat_security_hardening").hide();
 
     // SLA list default state.
     $("#sla_list").hide();
@@ -7421,6 +7451,11 @@ function chooseType() {
             $("#row_group").show();
             $("#row_max_items").show();
         break;
+
+        case 'vul_by_cat':
+            $("#row_group").show();
+            $("#row_cat_security_hardening").show();
+        break;
     }
 
     switch (type) {
diff --git a/pandora_console/godmode/reporting/reporting_builder.php b/pandora_console/godmode/reporting/reporting_builder.php
index 242ee1156c..697561a59f 100755
--- a/pandora_console/godmode/reporting/reporting_builder.php
+++ b/pandora_console/godmode/reporting/reporting_builder.php
@@ -1993,6 +1993,12 @@ switch ($action) {
                                 $good_format = true;
                             break;
 
+                            case 'vul_by_cat':
+                                $values['id_group'] = get_parameter('combo_group');
+                                $values['cat_security_hardening'] = get_parameter('cat_security_hardening');
+                                $good_format = true;
+                            break;
+
                             default:
                                 $values['period'] = get_parameter('period');
                                 $values['top_n'] = get_parameter(
@@ -2875,6 +2881,12 @@ switch ($action) {
                                 $good_format = true;
                             break;
 
+                            case 'vul_by_cat':
+                                $values['id_group'] = get_parameter('combo_group');
+                                $values['cat_security_hardening'] = get_parameter('cat_security_hardening');
+                                $good_format = true;
+                            break;
+
                             default:
                                 $values['period'] = get_parameter('period');
                                 $values['top_n'] = get_parameter(
diff --git a/pandora_console/include/functions_reporting.php b/pandora_console/include/functions_reporting.php
index d92b4ea38e..6561fe9389 100755
--- a/pandora_console/include/functions_reporting.php
+++ b/pandora_console/include/functions_reporting.php
@@ -942,6 +942,13 @@ function reporting_make_reporting_data(
                 );
             break;
 
+            case 'vul_by_cat':
+                $report['contents'][] = reporting_vul_by_categories(
+                    $report,
+                    $content
+                );
+            break;
+
             default:
                 // Default.
             break;
diff --git a/pandora_console/include/functions_reporting_html.php b/pandora_console/include/functions_reporting_html.php
index ca36af48b8..bf144cd518 100644
--- a/pandora_console/include/functions_reporting_html.php
+++ b/pandora_console/include/functions_reporting_html.php
@@ -467,6 +467,10 @@ function reporting_html_print_report($report, $mini=false, $report_info=1)
             case 'top_n_agents_sh':
                 reporting_html_top_n_agents_sh($table, $item);
             break;
+
+            case 'vul_by_cat':
+                reporting_vul_by_cat_graph($table, $item);
+            break;
         }
 
         if ($item['type'] == 'agent_module') {
@@ -482,6 +486,14 @@ function reporting_html_print_report($report, $mini=false, $report_info=1)
 }
 
 
+function reporting_vul_by_cat_graph($table, $item)
+{
+    $table->colspan['chart']['cell'] = 3;
+    $table->cellstyle['chart']['cell'] = 'text-align: center;';
+    $table->data['chart']['cell'] = $item['chart'];
+}
+
+
 function reporting_html_top_n_agents_sh($table, $item)
 {
     global $config;
diff --git a/pandora_console/include/functions_reports.php b/pandora_console/include/functions_reports.php
index 5b2c00229f..fca253153e 100755
--- a/pandora_console/include/functions_reports.php
+++ b/pandora_console/include/functions_reports.php
@@ -968,6 +968,11 @@ function reports_get_report_types($template=false, $not_editor=false)
             'optgroup' => __('Security hardening'),
             'name'     => __('Top-N agents with the worst score'),
         ];
+
+        $types['vul_by_cat'] = [
+            'optgroup' => __('Security hardening'),
+            'name'     => __('Vulnerabilities by category'),
+        ];
     }
 
     return $types;
diff --git a/pandora_console/include/graphs/fgraph.php b/pandora_console/include/graphs/fgraph.php
index 7da82a2ba8..40466decb5 100644
--- a/pandora_console/include/graphs/fgraph.php
+++ b/pandora_console/include/graphs/fgraph.php
@@ -691,6 +691,17 @@ function get_build_setup_charts($type, $options, $data)
     }
 
     $chart->options()->setMaintainAspectRatio($maintainAspectRatio);
+    if (isset($options['elements']) === true) {
+        if (isset($options['elements']['center']) === true) {
+            if (isset($options['elements']['center']['text']) === true) {
+                $chart->options()->getElements()->center()->setText($options['elements']['center']['text']);
+            }
+
+            if (isset($options['elements']['center']['color']) === true) {
+                $chart->options()->getElements()->center()->setColor($options['elements']['center']['color']);
+            }
+        }
+    }
 
     // Set Responsive for responsive charts.
     $responsive = true;
diff --git a/pandora_console/vendor/artica/phpchartjs/src/Options/Elements.php b/pandora_console/vendor/artica/phpchartjs/src/Options/Elements.php
index 116fc46758..b63513bc23 100644
--- a/pandora_console/vendor/artica/phpchartjs/src/Options/Elements.php
+++ b/pandora_console/vendor/artica/phpchartjs/src/Options/Elements.php
@@ -8,6 +8,7 @@ use Artica\PHPChartJS\Options\Elements\Arc;
 use Artica\PHPChartJS\Options\Elements\Line;
 use Artica\PHPChartJS\Options\Elements\Point;
 use Artica\PHPChartJS\Options\Elements\Rectangle;
+use Artica\PHPChartJS\Options\Elements\Center;
 use JsonSerializable;
 
 /**
@@ -39,6 +40,11 @@ class Elements implements ArraySerializableInterface, JsonSerializable
      */
     private $arc;
 
+    /**
+     * @var Center
+     */
+    private $center;
+
     /**
      * @return Rectangle
      */
@@ -119,6 +125,26 @@ class Elements implements ArraySerializableInterface, JsonSerializable
         return $this->arc;
     }
 
+    /**
+     * @return Center
+     */
+    public function center()
+    {
+        if (is_null($this->center)) {
+            $this->center = new Center();
+        }
+
+        return $this->center;
+    }
+
+    /**
+     * @return Center
+     */
+    public function getCenter()
+    {
+        return $this->center;
+    }
+
     /**
      * @return array
      */
diff --git a/pandora_console/vendor/artica/phpchartjs/src/Options/Elements/Center.php b/pandora_console/vendor/artica/phpchartjs/src/Options/Elements/Center.php
new file mode 100644
index 0000000000..d8b35b4e89
--- /dev/null
+++ b/pandora_console/vendor/artica/phpchartjs/src/Options/Elements/Center.php
@@ -0,0 +1,85 @@
+<?php
+
+namespace Artica\PHPChartJS\Options\Elements;
+
+use Artica\PHPChartJS\ArraySerializableInterface;
+use Artica\PHPChartJS\Delegate\ArraySerializable;
+use JsonSerializable;
+
+/**
+ * Class Center
+ * @package Artica\PHPChartJS\Options\Elements
+ */
+class Center implements ArraySerializableInterface, JsonSerializable
+{
+    use ArraySerializable;
+
+    /**
+     * Text center graph.
+     * @var string
+     */
+    private $text;
+
+    /**
+     * Color text.
+     * @default '#000'
+     * @var string
+     */
+    private $color;
+
+    /**
+     * Get text center graph.
+     *
+     * @return  string
+     */
+    public function getText()
+    {
+        return $this->text;
+    }
+
+    /**
+     * Set text center graph.
+     *
+     * @param  string  $text  Text center graph.
+     *
+     * @return  self
+     */
+    public function setText(string $text)
+    {
+        $this->text = $text;
+
+        return $this;
+    }
+
+    /**
+     * Get color text.
+     *
+     * @return  string
+     */
+    public function getColor()
+    {
+        return $this->color;
+    }
+
+    /**
+     * Set color text.
+     *
+     * @param  string  $color  Color text.
+     *
+     * @return  self
+     */
+    public function setColor(string $color)
+    {
+        $this->color = $color;
+
+        return $this;
+    }
+
+    /**
+     * @return array
+     */
+    public function jsonSerialize()
+    {
+        return $this->getArrayCopy();
+    }
+}

From c92899573f9a0998ef0de4a70ae712c1699412a6 Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Fri, 28 Jul 2023 12:12:29 +0200
Subject: [PATCH 03/41] #11326 new field in treport_content for reports

---
 pandora_console/pandoradb.sql | 1 +
 1 file changed, 1 insertion(+)

diff --git a/pandora_console/pandoradb.sql b/pandora_console/pandoradb.sql
index 87f6283152..dcb3e41220 100644
--- a/pandora_console/pandoradb.sql
+++ b/pandora_console/pandoradb.sql
@@ -1641,6 +1641,7 @@ CREATE TABLE IF NOT EXISTS `treport_content` (
   `macros_definition` TEXT,
   `render_definition` TEXT,
   `use_prefix_notation` TINYINT UNSIGNED NOT NULL DEFAULT 1,
+  `cat_security_hardening` INT NOT NULL DEFAULT 0,
   PRIMARY KEY(`id_rc`),
   FOREIGN KEY (`id_report`) REFERENCES treport(`id_report`)
     ON UPDATE CASCADE ON DELETE CASCADE

From bc66f71e14e42f1204452d6faf28e0bc8807c13b Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Mon, 7 Aug 2023 12:42:05 +0200
Subject: [PATCH 04/41] #11807 added report vul_by_cat

---
 pandora_console/extras/mr/66.sql              |  2 ++
 .../reporting_builder.item_editor.php         | 24 +++++++++++++++++++
 pandora_console/pandoradb.sql                 |  1 +
 3 files changed, 27 insertions(+)

diff --git a/pandora_console/extras/mr/66.sql b/pandora_console/extras/mr/66.sql
index c563508f1a..291f25e2a3 100644
--- a/pandora_console/extras/mr/66.sql
+++ b/pandora_console/extras/mr/66.sql
@@ -2,4 +2,6 @@ START TRANSACTION;
 
 ALTER TABLE `treport_content`  ADD COLUMN `cat_security_hardening` INT NOT NULL DEFAULT 0;
 
+ALTER TABLE `treport_content`  ADD COLUMN `ignore_skipped` INT NOT NULL DEFAULT 0;
+
 COMMIT;
\ No newline at end of file
diff --git a/pandora_console/godmode/reporting/reporting_builder.item_editor.php b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
index cc3fee9a2c..ea1db7aac8 100755
--- a/pandora_console/godmode/reporting/reporting_builder.item_editor.php
+++ b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
@@ -1029,12 +1029,15 @@ switch ($action) {
 
                 case 'top_n_agents_sh':
                     $group = $item['id_group'];
+                    $recursion = $item['recursion'];
                     $top_n_value = (empty($item['top_n_value']) === true) ? 10 : $item['top_n_value'];
                 break;
 
                 case 'vul_by_cat':
                     $group = $item['id_group'];
+                    $recursion = $item['recursion'];
                     $cat_selected = $item['cat_security_hardening'];
+                    $ignore_skipped = ($item['ignore_skipped'] !== null) ? $item['ignore_skipped'] : true;
                 break;
 
                 default:
@@ -3703,6 +3706,24 @@ $class = 'databox filters';
                 ?>
             </td>
         </tr>
+
+        <tr id="row_ignore_skipped" class="datos">
+            <td class="bolder">
+                <?php
+                echo __('Ignore skipped');
+                ?>
+            </td>
+            <td>
+                <?php
+                html_print_checkbox_switch(
+                    'ignore_skipped',
+                    1,
+                    $ignore_skipped,
+                );
+                ?>
+            </td>
+        </tr>
+
         <tr id="row_cat_security_hardening" class="datos">
             <td class="bolder">
                 <?php
@@ -3719,6 +3740,7 @@ $class = 'databox filters';
                 ?>
             </td>
         </tr>
+
         <?php
         if ($is_enterprise) {
             ?>
@@ -6592,6 +6614,7 @@ function chooseType() {
     $("#row_type_show").hide();
     $("#row_use_prefix_notation").hide();
     $("#row_cat_security_hardening").hide();
+    $("#row_ignore_skipped").hide();
 
     // SLA list default state.
     $("#sla_list").hide();
@@ -7455,6 +7478,7 @@ function chooseType() {
         case 'vul_by_cat':
             $("#row_group").show();
             $("#row_cat_security_hardening").show();
+            $("#row_ignore_skipped").show();
         break;
     }
 
diff --git a/pandora_console/pandoradb.sql b/pandora_console/pandoradb.sql
index d9d5a9f1cd..8b5ed12e91 100644
--- a/pandora_console/pandoradb.sql
+++ b/pandora_console/pandoradb.sql
@@ -1657,6 +1657,7 @@ CREATE TABLE IF NOT EXISTS `treport_content` (
   `render_definition` TEXT,
   `use_prefix_notation` TINYINT UNSIGNED NOT NULL DEFAULT 1,
   `cat_security_hardening` INT NOT NULL DEFAULT 0,
+  `ignore_skipped` INT NOT NULL DEFAULT 0,
   PRIMARY KEY(`id_rc`),
   FOREIGN KEY (`id_report`) REFERENCES treport(`id_report`)
     ON UPDATE CASCADE ON DELETE CASCADE

From 3429e0d190bbdb38123b55bb2fe6d6ec65b65de7 Mon Sep 17 00:00:00 2001
From: Jorge Rincon <jorge.rincon@pandorafms.com>
Date: Mon, 7 Aug 2023 14:43:50 +0200
Subject: [PATCH 05/41] #10065 Added the option to create-edit a private event
 filter.

---
 pandora_console/extras/mr/66.sql              |  5 ++++
 .../godmode/events/event_edit_filter.php      | 30 +++++++++++++++++--
 .../godmode/events/event_filter.php           | 12 ++++++++
 pandora_console/include/ajax/events.php       | 25 ++++++++++++++--
 pandora_console/include/functions_events.php  | 17 +++++++++--
 pandora_console/operation/events/events.php   | 24 +++++++++++++++
 6 files changed, 107 insertions(+), 6 deletions(-)
 create mode 100644 pandora_console/extras/mr/66.sql

diff --git a/pandora_console/extras/mr/66.sql b/pandora_console/extras/mr/66.sql
new file mode 100644
index 0000000000..cffa3707c1
--- /dev/null
+++ b/pandora_console/extras/mr/66.sql
@@ -0,0 +1,5 @@
+START TRANSACTION;
+
+ALTER TABLE tevent_filter ADD private_filter_user text CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL;
+
+COMMIT;
diff --git a/pandora_console/godmode/events/event_edit_filter.php b/pandora_console/godmode/events/event_edit_filter.php
index e230055f1e..aaf5d00b9b 100644
--- a/pandora_console/godmode/events/event_edit_filter.php
+++ b/pandora_console/godmode/events/event_edit_filter.php
@@ -61,6 +61,9 @@ if ($id) {
     $filter = events_get_event_filter($id);
     $id_group_filter = $filter['id_group_filter'];
     $id_group = $filter['id_group'];
+    // Get owner user private filter.
+    $private_filter = ($filter['private_filter_user'] === null || $filter['private_filter_user'] === '') ? 0 : 1;
+    $private_filter_user = $filter['private_filter_user'];
     $id_name = $filter['id_name'];
     $event_type = $filter['event_type'];
     $severity = explode(',', $filter['severity']);
@@ -113,6 +116,7 @@ if ($id) {
     $server_id = ($filter['server_id'] ?? '');
 } else {
     $id_group = '';
+    $private_filter = 0;
     $id_group_filter = '';
     $id_name = '';
     $event_type = '';
@@ -167,8 +171,8 @@ if ($update || $create) {
     $id_user_ack = get_parameter('id_user_ack', '');
     $owner_user = get_parameter('owner_user', '');
     $group_rep = get_parameter('group_rep', '');
-    $date_from = get_parameter('date_from', '');
-    $date_to = get_parameter('date_to', '');
+    $date_from = get_parameter('date_from', '0000-00-00');
+    $date_to = get_parameter('date_to', '0000-00-00');
     $source = get_parameter('source');
     $id_extra = get_parameter('id_extra');
     $user_comment = get_parameter('user_comment');
@@ -192,6 +196,16 @@ if ($update || $create) {
         $server_id = implode(',', $servers_array);
     }
 
+    // Get private filter from user.
+    $private_filter = get_parameter_switch('private_filter_event', 0);
+    if ((int) $private_filter === 1 && $create) {
+        $private_filter_user = $_SESSION['id_usuario'];
+    } else if ((int) $private_filter === 1 && $update) {
+        $private_filter_user = ($private_filter_user === $_SESSION['id_usuario']) ? $private_filter_user : $_SESSION['id_usuario'];
+    } else if ((int) $private_filter === 0) {
+        $private_filter_user = null;
+    }
+
     $values = [
         'id_name'                 => $id_name,
         'id_group_filter'         => $id_group_filter,
@@ -222,6 +236,7 @@ if ($update || $create) {
         'custom_data'             => $custom_data,
         'custom_data_filter_type' => $custom_data_filter_type,
         'server_id'               => $server_id,
+        'private_filter_user'     => $private_filter_user,
     ];
 
     $severity = explode(',', $severity);
@@ -293,6 +308,17 @@ $table->data[0][0] = html_print_label_input_block(
         false,
         '',
         'w100p'
+    ).html_print_label_input_block(
+        __('Private event'),
+        html_print_checkbox_switch(
+            'private_filter_event',
+            $private_filter,
+            $private_filter,
+            true,
+            false,
+            'checked_slide_events(this);',
+            true
+        )
     )
 );
 
diff --git a/pandora_console/godmode/events/event_filter.php b/pandora_console/godmode/events/event_filter.php
index 533bfe1190..0be93fa4a4 100644
--- a/pandora_console/godmode/events/event_filter.php
+++ b/pandora_console/godmode/events/event_filter.php
@@ -133,6 +133,18 @@ $filters = db_get_all_rows_sql($sql);
 
 if ($filters === false) {
     $filters = [];
+} else {
+    foreach ($filters as $key => $filter) {
+        $permission = check_acl($config['id_user'], 0, 'PM');
+        // Validate permission and private filter user.
+        if ($permission || $filter['private_filter_user'] === $config['id_user']) {
+            if ($filter['private_filter_user'] !== null) {
+                $filters[$key]['id_name'] = $filter['id_name'].' (P)';
+            }
+        } else if ($filter['private_filter_user'] !== null) {
+            unset($filters[$key]);
+        }
+    }
 }
 
 $table = new stdClass();
diff --git a/pandora_console/include/ajax/events.php b/pandora_console/include/ajax/events.php
index 571955fd25..b3a6be0670 100644
--- a/pandora_console/include/ajax/events.php
+++ b/pandora_console/include/ajax/events.php
@@ -337,6 +337,14 @@ if ($save_event_filter) {
     $values['custom_data'] = get_parameter('custom_data');
     $values['custom_data_filter_type'] = get_parameter('custom_data_filter_type');
 
+    // Get private filter from user.
+    $private_filter = get_parameter_switch('private_filter_user', 0);
+    if ((int) $private_filter === 1) {
+        $values['private_filter_user'] = $config['id_user'];
+    } else {
+        $values['private_filter_user'] = null;
+    }
+
     if (is_metaconsole() === true) {
         $values['server_id'] = implode(',', get_parameter('server_id'));
     }
@@ -397,6 +405,17 @@ if ($update_event_filter) {
     $values['custom_data'] = get_parameter('custom_data');
     $values['custom_data_filter_type'] = get_parameter('custom_data_filter_type');
 
+    // Get private filter from user.
+    $private_filter = get_parameter('private_filter_user', 0);
+    $user_private_filter = events_get_event_filter($id);
+    if ((int) $private_filter === 1 && $user_private_filter['private_filter_user'] === null) {
+        $values['private_filter_user'] = $config['id_user'];
+    } else if ($private_filter === $user_private_filter['private_filter_user'] && $user_private_filter['private_filter_user'] !== $config['id_user']) {
+        $values['private_filter_user'] = $user_private_filter['private_filter_user'];
+    } else {
+        $values['private_filter_user'] = null;
+    }
+
     if (is_metaconsole() === true) {
         $values['server_id'] = implode(',', get_parameter('server_id'));
     }
@@ -936,7 +955,8 @@ function save_new_filter() {
             "id_source_event": $("#text-id_source_event").val(),
             "server_id": $("#server_id").val(),
             "custom_data": $("#text-custom_data").val(),
-            "custom_data_filter_type": $("#custom_data_filter_type").val()
+            "custom_data_filter_type": $("#custom_data_filter_type").val(),
+            "private_filter_user": $("#checkbox-private_filter_event").val()
         },
         function (data) {
             $("#info_box").hide();
@@ -1015,7 +1035,8 @@ function save_update_filter() {
         "id_source_event": $("#text-id_source_event").val(),
         "server_id": $("#server_id").val(),
         "custom_data": $("#text-custom_data").val(),
-        "custom_data_filter_type": $("#custom_data_filter_type").val()
+        "custom_data_filter_type": $("#custom_data_filter_type").val(),
+        "private_filter_user": $("#checkbox-private_filter_event").val()
 
         },
         function (data) {
diff --git a/pandora_console/include/functions_events.php b/pandora_console/include/functions_events.php
index 49007aaca1..516f01d876 100644
--- a/pandora_console/include/functions_events.php
+++ b/pandora_console/include/functions_events.php
@@ -3343,7 +3343,7 @@ function events_get_event_filter_select($manage=true)
     }
 
     $sql = '
-		SELECT id_filter, id_name
+		SELECT id_filter, id_name, private_filter_user
 		FROM tevent_filter
 		WHERE id_group_filter IN (0, '.implode(',', array_keys($user_groups)).')';
 
@@ -3354,7 +3354,20 @@ function events_get_event_filter_select($manage=true)
     } else {
         $result = [];
         foreach ($event_filters as $event_filter) {
-            $result[$event_filter['id_filter']] = $event_filter['id_name'];
+            $permission = check_acl($config['id_user'], 0, 'PM');
+            if ($permission || $event_filter['private_filter_user'] === $config['id_user']) {
+                if ($event_filter['private_filter_user'] !== null) {
+                    $filter_name = $event_filter['id_name'].' (P)';
+                } else {
+                    $filter_name = $event_filter['id_name'];
+                }
+
+                $result[$event_filter['id_filter']] = $filter_name;
+            }
+
+            if ($event_filter['private_filter_user'] === null) {
+                $result[$event_filter['id_filter']] = $event_filter['id_name'];
+            }
         }
     }
 
diff --git a/pandora_console/operation/events/events.php b/pandora_console/operation/events/events.php
index 0152fea782..fd5ab1a46c 100644
--- a/pandora_console/operation/events/events.php
+++ b/pandora_console/operation/events/events.php
@@ -196,6 +196,10 @@ $search_recursive_groups = get_parameter(
     'filter[search_recursive_groups]',
     ($filter['search_recursive_groups'] ?? '')
 );
+$search_recursive_groups = get_parameter(
+    'filter[private_filter_event]',
+    ($filter['private_filter_event'] ?? '')
+);
 $id_group_filter = get_parameter(
     'filter[id_group_filter]',
     ($filter['id_group'] ?? '')
@@ -1322,6 +1326,7 @@ if ($loaded_filter !== false && $from_event_graph != 1 && isset($fb64) === false
 
         $filter_only_alert = $filter['filter_only_alert'];
         $search_secondary_groups = ($filter['search_secondary_groups'] ?? 0);
+        $private_filter_event = ($filter['private_filter_user'] ?? 0);
         $search_recursive_groups = ($filter['search_recursive_groups'] ?? 0);
         $id_group_filter = $filter['id_group_filter'];
         $date_from = $filter['date_from'];
@@ -1938,6 +1943,25 @@ $in_sec_group .= '</label>';
 $in_sec_group .= '</div>';
 $in .= $in_sec_group;
 
+// User private filter.
+$data = html_print_checkbox_switch(
+    'private_filter_event',
+    $private_filter_event,
+    $private_filter_event,
+    true,
+    false,
+    'checked_slide_events(this);',
+    true
+);
+
+$in_third_group = '<div class="display-initial">';
+$in_third_group .= $data;
+$in_third_group .= '<label class="vert-align-bottom">';
+$in_third_group .= __('Private event');
+$in_third_group .= '</label>';
+$in_third_group .= '</div>';
+$in .= $in_third_group;
+
 $in .= '</div>';
 $inputs[] = $in;
 

From 74f2fa7a74549521cdb9faed1d3ac0f149648f51 Mon Sep 17 00:00:00 2001
From: Jorge Rincon <jorge.rincon@pandorafms.com>
Date: Wed, 9 Aug 2023 15:35:03 +0200
Subject: [PATCH 06/41] #10065 added private_filter_user field for new
 installations.

---
 pandora_console/pandoradb.sql | 1 +
 1 file changed, 1 insertion(+)

diff --git a/pandora_console/pandoradb.sql b/pandora_console/pandoradb.sql
index cb5598f957..cf9265cfc8 100644
--- a/pandora_console/pandoradb.sql
+++ b/pandora_console/pandoradb.sql
@@ -1296,6 +1296,7 @@ CREATE TABLE IF NOT EXISTS `tevent_filter` (
   `custom_data` VARCHAR(500) DEFAULT '',
   `custom_data_filter_type` TINYINT UNSIGNED DEFAULT 0,
   `owner_user` TEXT,
+  `private_filter_user` TEXT,
   PRIMARY KEY  (`id_filter`)
 ) ENGINE=InnoDB DEFAULT CHARSET=UTF8MB4;
 

From 85de06fbecbcb8de34fbb510da6c94bcd59cd415 Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Thu, 10 Aug 2023 11:36:50 +0200
Subject: [PATCH 07/41] #11807 new report vulnerability by category

---
 .../reporting_builder.item_editor.php         | 14 +++---
 .../godmode/reporting/reporting_builder.php   |  2 +
 .../phpchartjs/src/Renderer/JavaScript.php    | 43 +++++++++++++++++++
 3 files changed, 51 insertions(+), 8 deletions(-)

diff --git a/pandora_console/godmode/reporting/reporting_builder.item_editor.php b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
index ea1db7aac8..6ecaf98f0d 100755
--- a/pandora_console/godmode/reporting/reporting_builder.item_editor.php
+++ b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
@@ -200,12 +200,10 @@ $text_agent_module = '';
 
 $only_data = false;
 
-$categories_security_hardening = [];
-if (security_hardening_installed() === true) {
-    $categories_security_hardening = categories_of_cis();
-    foreach ($categories_security_hardening as $key => $cat) {
-        $categories_security_hardening[$key] = implode(' ', $cat);
-    }
+
+$categories_security_hardening = categories_of_cis();
+foreach ($categories_security_hardening as $key => $cat) {
+    $categories_security_hardening[$key] = implode(' ', $cat);
 }
 
 // Users.
@@ -1037,7 +1035,7 @@ switch ($action) {
                     $group = $item['id_group'];
                     $recursion = $item['recursion'];
                     $cat_selected = $item['cat_security_hardening'];
-                    $ignore_skipped = ($item['ignore_skipped'] !== null) ? $item['ignore_skipped'] : true;
+                    $ignore_skipped = $item['ignore_skipped'];
                 break;
 
                 default:
@@ -3718,7 +3716,7 @@ $class = 'databox filters';
                 html_print_checkbox_switch(
                     'ignore_skipped',
                     1,
-                    $ignore_skipped,
+                    ($ignore_skipped !== null) ? $ignore_skipped : true,
                 );
                 ?>
             </td>
diff --git a/pandora_console/godmode/reporting/reporting_builder.php b/pandora_console/godmode/reporting/reporting_builder.php
index 5cc94049f7..1517de9fc1 100755
--- a/pandora_console/godmode/reporting/reporting_builder.php
+++ b/pandora_console/godmode/reporting/reporting_builder.php
@@ -1996,6 +1996,7 @@ switch ($action) {
                             case 'vul_by_cat':
                                 $values['id_group'] = get_parameter('combo_group');
                                 $values['cat_security_hardening'] = get_parameter('cat_security_hardening');
+                                $values['ignore_skipped'] = get_parameter('ignore_skipped');
                                 $good_format = true;
                             break;
 
@@ -2884,6 +2885,7 @@ switch ($action) {
                             case 'vul_by_cat':
                                 $values['id_group'] = get_parameter('combo_group');
                                 $values['cat_security_hardening'] = get_parameter('cat_security_hardening');
+                                $values['ignore_skipped'] = get_parameter('ignore_skipped');
                                 $good_format = true;
                             break;
 
diff --git a/pandora_console/vendor/artica/phpchartjs/src/Renderer/JavaScript.php b/pandora_console/vendor/artica/phpchartjs/src/Renderer/JavaScript.php
index 100276743f..b1fcb1bb9f 100644
--- a/pandora_console/vendor/artica/phpchartjs/src/Renderer/JavaScript.php
+++ b/pandora_console/vendor/artica/phpchartjs/src/Renderer/JavaScript.php
@@ -32,6 +32,49 @@ class JavaScript extends Renderer
         if (empty($this->chart->defaults()->getWatermark()) === false) {
           $script[] = 'const chart_watermark_'.$this->chart->getId().' = {
             id: "chart_watermark_'.$this->chart->getId().'",
+            beforeDraw: (chart) => {
+              if (Object.prototype.hasOwnProperty.call(chart, "config") &&
+                  Object.prototype.hasOwnProperty.call(chart.config.options, "elements") &&
+                  Object.prototype.hasOwnProperty.call(chart.config.options.elements, "center"))
+              {
+                var ctx = chart.ctx;
+
+                ctx.save();
+
+                var centerConfig = chart.config.options.elements.center;
+                var txt = centerConfig.text;
+                var color = centerConfig.color || "#000";
+                ctx.textAlign = "center";
+                ctx.textBaseline = "middle";
+                var centerX = (chart.chartArea.left + chart.chartArea.right) / 2;
+                var centerY = (chart.chartArea.top + chart.chartArea.bottom) / 2;
+
+                var outerRadius = Math.min(ctx.canvas.width, ctx.canvas.height) / 2;
+
+                var padding = 20;
+
+                var innerRadius = outerRadius - padding;
+
+                ctx.font = "30px ";
+                var sidePaddingCalculated = (92/100) * (innerRadius * 2)
+
+                var stringWidth = ctx.measureText(txt).width;
+                var elementWidth = (innerRadius * 2) - sidePaddingCalculated;
+
+                var widthRatio = elementWidth / stringWidth;
+                var newFontSize = Math.floor(30 * widthRatio);
+                var elementHeight = (innerRadius * 2);
+
+                var fontSizeToUse = Math.min(newFontSize, elementHeight);
+
+                ctx.font = fontSizeToUse + "px Lato, sans-serif";
+                ctx.fillStyle = color;
+
+                ctx.fillText(txt, centerX, centerY);
+
+                ctx.restore();
+              }
+            },
             afterDraw: (chart) => {
               const image = new Image();
                 image.src = "'.$this->chart->defaults()->getWatermark()->getSrc().'";

From abb173c1a7af425fe6830e3dcb8ed55d5a471405 Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Fri, 18 Aug 2023 10:27:55 +0200
Subject: [PATCH 08/41] #11807 new report top checks more frequent

---
 .../reporting_builder.item_editor.php         | 11 +++++
 .../godmode/reporting/reporting_builder.php   | 12 +++++
 .../include/functions_reporting.php           |  7 +++
 .../include/functions_reporting_html.php      | 49 ++++++++++++++++++-
 pandora_console/include/functions_reports.php |  5 ++
 5 files changed, 83 insertions(+), 1 deletion(-)

diff --git a/pandora_console/godmode/reporting/reporting_builder.item_editor.php b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
index 6ecaf98f0d..efd9da896c 100755
--- a/pandora_console/godmode/reporting/reporting_builder.item_editor.php
+++ b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
@@ -1031,6 +1031,12 @@ switch ($action) {
                     $top_n_value = (empty($item['top_n_value']) === true) ? 10 : $item['top_n_value'];
                 break;
 
+                case 'top_n_checks_failed':
+                    $group = $item['id_group'];
+                    $recursion = $item['recursion'];
+                    $top_n_value = (empty($item['top_n_value']) === true) ? 10 : $item['top_n_value'];
+                break;
+
                 case 'vul_by_cat':
                     $group = $item['id_group'];
                     $recursion = $item['recursion'];
@@ -7473,6 +7479,11 @@ function chooseType() {
             $("#row_max_items").show();
         break;
 
+        case 'top_n_checks_failed':
+            $("#row_group").show();
+            $("#row_max_items").show();
+        break;
+
         case 'vul_by_cat':
             $("#row_group").show();
             $("#row_cat_security_hardening").show();
diff --git a/pandora_console/godmode/reporting/reporting_builder.php b/pandora_console/godmode/reporting/reporting_builder.php
index 1517de9fc1..7ac62c9c45 100755
--- a/pandora_console/godmode/reporting/reporting_builder.php
+++ b/pandora_console/godmode/reporting/reporting_builder.php
@@ -1993,6 +1993,12 @@ switch ($action) {
                                 $good_format = true;
                             break;
 
+                            case 'top_n_checks_failed':
+                                $values['id_group'] = get_parameter('combo_group');
+                                $values['top_n_value'] = get_parameter('max_items');
+                                $good_format = true;
+                            break;
+
                             case 'vul_by_cat':
                                 $values['id_group'] = get_parameter('combo_group');
                                 $values['cat_security_hardening'] = get_parameter('cat_security_hardening');
@@ -2882,6 +2888,12 @@ switch ($action) {
                                 $good_format = true;
                             break;
 
+                            case 'top_n_checks_failed':
+                                $values['id_group'] = get_parameter('combo_group');
+                                $values['top_n_value'] = get_parameter('max_items');
+                                $good_format = true;
+                            break;
+
                             case 'vul_by_cat':
                                 $values['id_group'] = get_parameter('combo_group');
                                 $values['cat_security_hardening'] = get_parameter('cat_security_hardening');
diff --git a/pandora_console/include/functions_reporting.php b/pandora_console/include/functions_reporting.php
index 6561fe9389..b61b005e2d 100755
--- a/pandora_console/include/functions_reporting.php
+++ b/pandora_console/include/functions_reporting.php
@@ -942,6 +942,13 @@ function reporting_make_reporting_data(
                 );
             break;
 
+            case 'top_n_checks_failed':
+                $report['contents'][] = reporting_top_n_checks_failed(
+                    $report,
+                    $content
+                );
+            break;
+
             case 'vul_by_cat':
                 $report['contents'][] = reporting_vul_by_categories(
                     $report,
diff --git a/pandora_console/include/functions_reporting_html.php b/pandora_console/include/functions_reporting_html.php
index bf144cd518..d532061d80 100644
--- a/pandora_console/include/functions_reporting_html.php
+++ b/pandora_console/include/functions_reporting_html.php
@@ -468,6 +468,10 @@ function reporting_html_print_report($report, $mini=false, $report_info=1)
                 reporting_html_top_n_agents_sh($table, $item);
             break;
 
+            case 'top_n_checks_failed':
+                reporting_html_top_n_checks_failed($table, $item);
+            break;
+
             case 'vul_by_cat':
                 reporting_vul_by_cat_graph($table, $item);
             break;
@@ -486,18 +490,61 @@ function reporting_html_print_report($report, $mini=false, $report_info=1)
 }
 
 
+/**
+ * Function to print HTML top checks failed.
+ *
+ * @param object $table Head table or false if it comes from pdf.
+ * @param array  $item  Items data.
+ *
+ * @return void
+ */
+function reporting_html_top_n_checks_failed($table, $item)
+{
+    global $config;
+    $table->rowclass[0] = '';
+    $table->data[1][0] = '<b>'.__('Id').'</b>';
+    $table->data[1][1] = '<b>'.__('Title').'</b>';
+    $table->data[1][2] = '<b>'.__('Total Failed').'</b>';
+
+    $row = 2;
+    foreach ($item['data'] as $key => $check) {
+        $table->data[$row][0] = $check['id'];
+        $table->data[$row][1] = $check['title'];
+        $table->data[$row][2] = $check['total'];
+        $row++;
+    }
+}
+
+
+/**
+ * Function to print HTML top categories in graph.
+ *
+ * @param object $table Head table or false if it comes from pdf.
+ * @param array  $item  Items data.
+ *
+ * @return void
+ */
 function reporting_vul_by_cat_graph($table, $item)
 {
+    $table->rowclass[0] = '';
     $table->colspan['chart']['cell'] = 3;
     $table->cellstyle['chart']['cell'] = 'text-align: center;';
     $table->data['chart']['cell'] = $item['chart'];
 }
 
 
+/**
+ * Function to print HTML top n agents from security hardening.
+ *
+ * @param object $table Head table or false if it comes from pdf.
+ * @param array  $item  Items data.
+ *
+ * @return void
+ */
 function reporting_html_top_n_agents_sh($table, $item)
 {
     global $config;
-
+    $table->rowclass[0] = '';
     $table->data[1][0] = '<b>'.__('Agent').'</b>';
     $table->data[1][1] = '<b>'.__('Last audit scan').'</b>';
     $table->data[1][2] = '<b>'.__('Score').'</b>';
diff --git a/pandora_console/include/functions_reports.php b/pandora_console/include/functions_reports.php
index fca253153e..f4f1f6499e 100755
--- a/pandora_console/include/functions_reports.php
+++ b/pandora_console/include/functions_reports.php
@@ -969,6 +969,11 @@ function reports_get_report_types($template=false, $not_editor=false)
             'name'     => __('Top-N agents with the worst score'),
         ];
 
+        $types['top_n_checks_failed'] = [
+            'optgroup' => __('Security hardening'),
+            'name'     => __('Top-N most frequent failed checks'),
+        ];
+
         $types['vul_by_cat'] = [
             'optgroup' => __('Security hardening'),
             'name'     => __('Vulnerabilities by category'),

From 76b3e1da4a02e93b77932e0ebda1e102ff65ab7f Mon Sep 17 00:00:00 2001
From: Jorge Rincon <jorge.rincon@pandorafms.com>
Date: Mon, 21 Aug 2023 13:29:58 +0200
Subject: [PATCH 09/41] #10065 Fixed query that adds private_filter_user field
 in the database

---
 pandora_console/extras/mr/66.sql | 2 +-
 1 file changed, 1 insertion(+), 1 deletion(-)

diff --git a/pandora_console/extras/mr/66.sql b/pandora_console/extras/mr/66.sql
index 0251ea70cc..d3fe3a7c70 100644
--- a/pandora_console/extras/mr/66.sql
+++ b/pandora_console/extras/mr/66.sql
@@ -1,6 +1,6 @@
 START TRANSACTION;
 
-ALTER TABLE tevent_filter ADD private_filter_user text CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci NULL;
+ALTER TABLE tevent_filter ADD private_filter_user text NULL;
 
 UPDATE `twelcome_tip`
 	SET title = 'Scheduled&#x20;downtimes',

From dd453507d23b7a8056b506338525269ace2fd1dd Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Tue, 22 Aug 2023 09:53:35 +0200
Subject: [PATCH 10/41] #11807 new report top n failed by checks

---
 .../reporting_builder.item_editor.php         | 11 +++++++
 .../godmode/reporting/reporting_builder.php   | 12 ++++++++
 .../include/functions_reporting.php           |  7 +++++
 .../include/functions_reporting_html.php      | 30 +++++++++++++++++++
 pandora_console/include/functions_reports.php |  5 ++++
 5 files changed, 65 insertions(+)

diff --git a/pandora_console/godmode/reporting/reporting_builder.item_editor.php b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
index efd9da896c..1aeaa8a1a6 100755
--- a/pandora_console/godmode/reporting/reporting_builder.item_editor.php
+++ b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
@@ -1037,6 +1037,12 @@ switch ($action) {
                     $top_n_value = (empty($item['top_n_value']) === true) ? 10 : $item['top_n_value'];
                 break;
 
+                case 'top_n_categories_checks':
+                    $group = $item['id_group'];
+                    $recursion = $item['recursion'];
+                    $top_n_value = (empty($item['top_n_value']) === true) ? 10 : $item['top_n_value'];
+                break;
+
                 case 'vul_by_cat':
                     $group = $item['id_group'];
                     $recursion = $item['recursion'];
@@ -7484,6 +7490,11 @@ function chooseType() {
             $("#row_max_items").show();
         break;
 
+        case 'top_n_categories_checks':
+            $("#row_group").show();
+            $("#row_max_items").show();
+        break;
+
         case 'vul_by_cat':
             $("#row_group").show();
             $("#row_cat_security_hardening").show();
diff --git a/pandora_console/godmode/reporting/reporting_builder.php b/pandora_console/godmode/reporting/reporting_builder.php
index 8b5cea5236..48805131d7 100755
--- a/pandora_console/godmode/reporting/reporting_builder.php
+++ b/pandora_console/godmode/reporting/reporting_builder.php
@@ -2002,6 +2002,12 @@ switch ($action) {
                                 $good_format = true;
                             break;
 
+                            case 'top_n_categories_checks':
+                                $values['id_group'] = get_parameter('combo_group');
+                                $values['top_n_value'] = get_parameter('max_items');
+                                $good_format = true;
+                            break;
+
                             case 'vul_by_cat':
                                 $values['id_group'] = get_parameter('combo_group');
                                 $values['cat_security_hardening'] = get_parameter('cat_security_hardening');
@@ -2897,6 +2903,12 @@ switch ($action) {
                                 $good_format = true;
                             break;
 
+                            case 'top_n_categories_checks':
+                                $values['id_group'] = get_parameter('combo_group');
+                                $values['top_n_value'] = get_parameter('max_items');
+                                $good_format = true;
+                            break;
+
                             case 'vul_by_cat':
                                 $values['id_group'] = get_parameter('combo_group');
                                 $values['cat_security_hardening'] = get_parameter('cat_security_hardening');
diff --git a/pandora_console/include/functions_reporting.php b/pandora_console/include/functions_reporting.php
index b61b005e2d..67c12f73a7 100755
--- a/pandora_console/include/functions_reporting.php
+++ b/pandora_console/include/functions_reporting.php
@@ -949,6 +949,13 @@ function reporting_make_reporting_data(
                 );
             break;
 
+            case 'top_n_categories_checks':
+                $report['contents'][] = reporting_top_n_categories_checks(
+                    $report,
+                    $content
+                );
+            break;
+
             case 'vul_by_cat':
                 $report['contents'][] = reporting_vul_by_categories(
                     $report,
diff --git a/pandora_console/include/functions_reporting_html.php b/pandora_console/include/functions_reporting_html.php
index d532061d80..887c3d5fcb 100644
--- a/pandora_console/include/functions_reporting_html.php
+++ b/pandora_console/include/functions_reporting_html.php
@@ -472,6 +472,10 @@ function reporting_html_print_report($report, $mini=false, $report_info=1)
                 reporting_html_top_n_checks_failed($table, $item);
             break;
 
+            case 'top_n_categories_checks':
+                reporting_html_top_n_categories_checks($table, $item);
+            break;
+
             case 'vul_by_cat':
                 reporting_vul_by_cat_graph($table, $item);
             break;
@@ -490,6 +494,32 @@ function reporting_html_print_report($report, $mini=false, $report_info=1)
 }
 
 
+/**
+ * Function to print HTML top checks failed by category
+ *
+ * @param object $table Head table or false if it comes from pdf.
+ * @param array  $item  Items data.
+ *
+ * @return void
+ */
+function reporting_html_top_n_categories_checks($table, $item)
+{
+    global $config;
+    $table->rowclass[0] = '';
+    $table->data[1][0] = '<b>'.__('Id').'</b>';
+    $table->data[1][1] = '<b>'.__('Category').'</b>';
+    $table->data[1][2] = '<b>'.__('Total Failed').'</b>';
+
+    $row = 2;
+    foreach ($item['data'] as $key => $check) {
+        $table->data[$row][0] = $check['id'];
+        $table->data[$row][1] = $check['category'];
+        $table->data[$row][2] = $check['total'];
+        $row++;
+    }
+}
+
+
 /**
  * Function to print HTML top checks failed.
  *
diff --git a/pandora_console/include/functions_reports.php b/pandora_console/include/functions_reports.php
index f4f1f6499e..9e26be5998 100755
--- a/pandora_console/include/functions_reports.php
+++ b/pandora_console/include/functions_reports.php
@@ -974,6 +974,11 @@ function reports_get_report_types($template=false, $not_editor=false)
             'name'     => __('Top-N most frequent failed checks'),
         ];
 
+        $types['top_n_categories_checks'] = [
+            'optgroup' => __('Security hardening'),
+            'name'     => __('Top-N checks failed by category'),
+        ];
+
         $types['vul_by_cat'] = [
             'optgroup' => __('Security hardening'),
             'name'     => __('Vulnerabilities by category'),

From 61839db7ffe79243e1e22c9f1ca6aef9893e8a47 Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Tue, 22 Aug 2023 16:28:01 +0200
Subject: [PATCH 11/41] #11807 new report list of checks agent

---
 pandora_console/extras/mr/66.sql              |  2 +
 .../reporting_builder.item_editor.php         | 38 +++++++++++++++++++
 .../godmode/reporting/reporting_builder.php   | 14 +++++++
 .../include/functions_reporting.php           |  7 ++++
 .../include/functions_reporting_html.php      | 33 +++++++++++++++-
 pandora_console/include/functions_reports.php |  5 +++
 pandora_console/pandoradb.sql                 |  1 +
 7 files changed, 99 insertions(+), 1 deletion(-)

diff --git a/pandora_console/extras/mr/66.sql b/pandora_console/extras/mr/66.sql
index 466909a617..4f92b5e659 100644
--- a/pandora_console/extras/mr/66.sql
+++ b/pandora_console/extras/mr/66.sql
@@ -4,6 +4,8 @@ ALTER TABLE `treport_content`  ADD COLUMN `cat_security_hardening` INT NOT NULL
 
 ALTER TABLE `treport_content`  ADD COLUMN `ignore_skipped` INT NOT NULL DEFAULT 0;
 
+ALTER TABLE `treport_content`  ADD COLUMN `status_of_check` TINYTEXT;
+
 UPDATE `twelcome_tip`
 	SET title = 'Scheduled&#x20;downtimes',
          url = 'https://pandorafms.com/manual/en/documentation/04_using/11_managing_and_administration#scheduled_downtimes'
diff --git a/pandora_console/godmode/reporting/reporting_builder.item_editor.php b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
index 1aeaa8a1a6..841874e3eb 100755
--- a/pandora_console/godmode/reporting/reporting_builder.item_editor.php
+++ b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
@@ -1050,6 +1050,14 @@ switch ($action) {
                     $ignore_skipped = $item['ignore_skipped'];
                 break;
 
+                case 'list_checks':
+                    $group = $item['id_group'];
+                    $recursion = $item['recursion'];
+                    $cat_selected = $item['cat_security_hardening'];
+                    $status_of_check = $item['status_of_check'];
+                    $idAgent = $item['id_agent'];
+                break;
+
                 default:
                     // It's not possible.
                 break;
@@ -3751,6 +3759,28 @@ $class = 'databox filters';
             </td>
         </tr>
 
+        <tr id="row_status_check" class="datos">
+            <td class="bolder">
+                <?php
+                echo __('Status of check');
+                ?>
+            </td>
+            <td>
+                <?php
+                html_print_select(
+                    [
+                        'all'     => __('All'),
+                        'PASS'    => __('Passed'),
+                        'FAIL'    => __('Failed'),
+                        'INVALID' => __('Skipped'),
+                    ],
+                    'status_of_check',
+                    $status_of_check,
+                );
+                ?>
+            </td>
+        </tr>
+
         <?php
         if ($is_enterprise) {
             ?>
@@ -6625,6 +6655,7 @@ function chooseType() {
     $("#row_use_prefix_notation").hide();
     $("#row_cat_security_hardening").hide();
     $("#row_ignore_skipped").hide();
+    $("#row_status_check").hide();
 
     // SLA list default state.
     $("#sla_list").hide();
@@ -7500,6 +7531,13 @@ function chooseType() {
             $("#row_cat_security_hardening").show();
             $("#row_ignore_skipped").show();
         break;
+
+        case 'list_checks':
+            $("#row_group").show();
+            $("#row_agent").show();
+            $("#row_cat_security_hardening").show();
+            $("#row_status_check").show();
+        break;
     }
 
     switch (type) {
diff --git a/pandora_console/godmode/reporting/reporting_builder.php b/pandora_console/godmode/reporting/reporting_builder.php
index 48805131d7..1102aabdfc 100755
--- a/pandora_console/godmode/reporting/reporting_builder.php
+++ b/pandora_console/godmode/reporting/reporting_builder.php
@@ -2015,6 +2015,13 @@ switch ($action) {
                                 $good_format = true;
                             break;
 
+                            case 'list_checks':
+                                $values['id_group'] = get_parameter('combo_group');
+                                $values['cat_security_hardening'] = get_parameter('cat_security_hardening');
+                                $values['status_of_check'] = get_parameter('status_of_check');
+                                $good_format = true;
+                            break;
+
                             default:
                                 $values['period'] = get_parameter('period');
                                 $values['top_n'] = get_parameter(
@@ -2916,6 +2923,13 @@ switch ($action) {
                                 $good_format = true;
                             break;
 
+                            case 'list_checks':
+                                $values['id_group'] = get_parameter('combo_group');
+                                $values['cat_security_hardening'] = get_parameter('cat_security_hardening');
+                                $values['status_of_check'] = get_parameter('status_of_check');
+                                $good_format = true;
+                            break;
+
                             default:
                                 $values['period'] = get_parameter('period');
                                 $values['top_n'] = get_parameter(
diff --git a/pandora_console/include/functions_reporting.php b/pandora_console/include/functions_reporting.php
index 67c12f73a7..1603183b65 100755
--- a/pandora_console/include/functions_reporting.php
+++ b/pandora_console/include/functions_reporting.php
@@ -963,6 +963,13 @@ function reporting_make_reporting_data(
                 );
             break;
 
+            case 'list_checks':
+                $report['contents'][] = reporting_list_checks(
+                    $report,
+                    $content
+                );
+            break;
+
             default:
                 // Default.
             break;
diff --git a/pandora_console/include/functions_reporting_html.php b/pandora_console/include/functions_reporting_html.php
index 887c3d5fcb..c9c4da53fb 100644
--- a/pandora_console/include/functions_reporting_html.php
+++ b/pandora_console/include/functions_reporting_html.php
@@ -479,6 +479,10 @@ function reporting_html_print_report($report, $mini=false, $report_info=1)
             case 'vul_by_cat':
                 reporting_vul_by_cat_graph($table, $item);
             break;
+
+            case 'list_checks':
+                reporting_html_list_checks($table, $item);
+            break;
         }
 
         if ($item['type'] == 'agent_module') {
@@ -494,6 +498,34 @@ function reporting_html_print_report($report, $mini=false, $report_info=1)
 }
 
 
+/**
+ * Function to print HTML checks filtered by agent and category.
+ *
+ * @param object $table Head table or false if it comes from pdf.
+ * @param array  $item  Items data.
+ *
+ * @return void
+ */
+function reporting_html_list_checks($table, $item)
+{
+    $table->rowclass[0] = '';
+    $table->colspan[0][1] = 3;
+    $table->data[1][0] = '<b>'.__('Id').'</b>';
+    $table->data[1][1] = '<b>'.__('Title').'</b>';
+    $table->data[1][2] = '<b>'.__('Category').'</b>';
+    $table->data[1][3] = '<b>'.__('Status').'</b>';
+
+    $row = 2;
+    foreach ($item['data'] as $key => $check) {
+        $table->data[$row][0] = $check['id'];
+        $table->data[$row][1] = $check['title'];
+        $table->data[$row][2] = $check['category'];
+        $table->data[$row][3] = $check['status'];
+        $row++;
+    }
+}
+
+
 /**
  * Function to print HTML top checks failed by category
  *
@@ -504,7 +536,6 @@ function reporting_html_print_report($report, $mini=false, $report_info=1)
  */
 function reporting_html_top_n_categories_checks($table, $item)
 {
-    global $config;
     $table->rowclass[0] = '';
     $table->data[1][0] = '<b>'.__('Id').'</b>';
     $table->data[1][1] = '<b>'.__('Category').'</b>';
diff --git a/pandora_console/include/functions_reports.php b/pandora_console/include/functions_reports.php
index 9e26be5998..f574beb3bf 100755
--- a/pandora_console/include/functions_reports.php
+++ b/pandora_console/include/functions_reports.php
@@ -983,6 +983,11 @@ function reports_get_report_types($template=false, $not_editor=false)
             'optgroup' => __('Security hardening'),
             'name'     => __('Vulnerabilities by category'),
         ];
+
+        $types['list_checks'] = [
+            'optgroup' => __('Security hardening'),
+            'name'     => __('List of checks'),
+        ];
     }
 
     return $types;
diff --git a/pandora_console/pandoradb.sql b/pandora_console/pandoradb.sql
index 5164d2ed21..d1fb4e4f1f 100644
--- a/pandora_console/pandoradb.sql
+++ b/pandora_console/pandoradb.sql
@@ -1674,6 +1674,7 @@ CREATE TABLE IF NOT EXISTS `treport_content` (
   `use_prefix_notation` TINYINT UNSIGNED NOT NULL DEFAULT 1,
   `cat_security_hardening` INT NOT NULL DEFAULT 0,
   `ignore_skipped` INT NOT NULL DEFAULT 0,
+  `status_of_check` TINYTEXT,
   PRIMARY KEY(`id_rc`),
   FOREIGN KEY (`id_report`) REFERENCES treport(`id_report`)
     ON UPDATE CASCADE ON DELETE CASCADE

From ae288e3dd4e1a6420c6b11c9dd391981419dc797 Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Thu, 24 Aug 2023 09:24:31 +0200
Subject: [PATCH 12/41] #11807 added new report scoring

---
 .../reporting_builder.item_editor.php         |  9 +++++
 .../godmode/reporting/reporting_builder.php   | 10 +++++
 .../include/functions_reporting.php           |  7 ++++
 .../include/functions_reporting_html.php      | 39 ++++++++++++++++++-
 pandora_console/include/functions_reports.php |  5 +++
 5 files changed, 69 insertions(+), 1 deletion(-)

diff --git a/pandora_console/godmode/reporting/reporting_builder.item_editor.php b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
index 841874e3eb..99fedcb308 100755
--- a/pandora_console/godmode/reporting/reporting_builder.item_editor.php
+++ b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
@@ -1058,6 +1058,11 @@ switch ($action) {
                     $idAgent = $item['id_agent'];
                 break;
 
+                case 'scoring':
+                    $group = $item['id_group'];
+                    $recursion = $item['recursion'];
+                break;
+
                 default:
                     // It's not possible.
                 break;
@@ -7538,6 +7543,10 @@ function chooseType() {
             $("#row_cat_security_hardening").show();
             $("#row_status_check").show();
         break;
+
+        case 'scoring':
+            $("#row_group").show();
+        break;
     }
 
     switch (type) {
diff --git a/pandora_console/godmode/reporting/reporting_builder.php b/pandora_console/godmode/reporting/reporting_builder.php
index 1102aabdfc..8901b68ecd 100755
--- a/pandora_console/godmode/reporting/reporting_builder.php
+++ b/pandora_console/godmode/reporting/reporting_builder.php
@@ -2022,6 +2022,11 @@ switch ($action) {
                                 $good_format = true;
                             break;
 
+                            case 'scoring':
+                                $values['id_group'] = get_parameter('combo_group');
+                                $good_format = true;
+                            break;
+
                             default:
                                 $values['period'] = get_parameter('period');
                                 $values['top_n'] = get_parameter(
@@ -2930,6 +2935,11 @@ switch ($action) {
                                 $good_format = true;
                             break;
 
+                            case 'scoring':
+                                $values['id_group'] = get_parameter('combo_group');
+                                $good_format = true;
+                            break;
+
                             default:
                                 $values['period'] = get_parameter('period');
                                 $values['top_n'] = get_parameter(
diff --git a/pandora_console/include/functions_reporting.php b/pandora_console/include/functions_reporting.php
index 1603183b65..782d756e4c 100755
--- a/pandora_console/include/functions_reporting.php
+++ b/pandora_console/include/functions_reporting.php
@@ -970,6 +970,13 @@ function reporting_make_reporting_data(
                 );
             break;
 
+            case 'scoring':
+                $report['contents'][] = reporting_scoring(
+                    $report,
+                    $content
+                );
+            break;
+
             default:
                 // Default.
             break;
diff --git a/pandora_console/include/functions_reporting_html.php b/pandora_console/include/functions_reporting_html.php
index c9c4da53fb..d976b96951 100644
--- a/pandora_console/include/functions_reporting_html.php
+++ b/pandora_console/include/functions_reporting_html.php
@@ -483,6 +483,10 @@ function reporting_html_print_report($report, $mini=false, $report_info=1)
             case 'list_checks':
                 reporting_html_list_checks($table, $item);
             break;
+
+            case 'scoring':
+                reporting_html_scoring($table, $item);
+            break;
         }
 
         if ($item['type'] == 'agent_module') {
@@ -498,6 +502,38 @@ function reporting_html_print_report($report, $mini=false, $report_info=1)
 }
 
 
+/**
+ * Function to print the agents scoring.
+ *
+ * @param object $table Head table or false if it comes from pdf.
+ * @param array  $item  Items data.
+ *
+ * @return void
+ */
+function reporting_html_scoring($table, $item)
+{
+    global $config;
+
+    $table1 = new stdClass();
+    $table1->width = '100%';
+    $table1->class = 'databox filters';
+    $table1->styleTable = 'border: 0px;';
+    $table1->data[0][0] = '<b>'.__('Date').'</b>';
+    $table1->data[0][1] = '<b>'.__('Agent').'</b>';
+    $table1->data[0][2] = '<b>'.__('Score').'</b>';
+    $row = 1;
+    foreach ($item['data'] as $key => $check) {
+        $table1->data[$row][1] = date($config['date_format'], $check['date']);
+        $table1->data[$row][2] = $check['agent'];
+        $table1->data[$row][3] = $check['scoring'].' %';
+        $row++;
+    }
+
+    $table->colspan[2][0] = 3;
+    $table->data[2][0] = html_print_table($table1, true);
+}
+
+
 /**
  * Function to print HTML checks filtered by agent and category.
  *
@@ -509,7 +545,8 @@ function reporting_html_print_report($report, $mini=false, $report_info=1)
 function reporting_html_list_checks($table, $item)
 {
     $table->rowclass[0] = '';
-    $table->colspan[0][1] = 3;
+    $table->colspan[0][1] = 2;
+    $table->align[3] = 'center';
     $table->data[1][0] = '<b>'.__('Id').'</b>';
     $table->data[1][1] = '<b>'.__('Title').'</b>';
     $table->data[1][2] = '<b>'.__('Category').'</b>';
diff --git a/pandora_console/include/functions_reports.php b/pandora_console/include/functions_reports.php
index f574beb3bf..6fa873b72a 100755
--- a/pandora_console/include/functions_reports.php
+++ b/pandora_console/include/functions_reports.php
@@ -988,6 +988,11 @@ function reports_get_report_types($template=false, $not_editor=false)
             'optgroup' => __('Security hardening'),
             'name'     => __('List of checks'),
         ];
+
+        $types['scoring'] = [
+            'optgroup' => __('Security hardening'),
+            'name'     => __('Scoring'),
+        ];
     }
 
     return $types;

From 797b24af86a515a7f79c9dccf31ab4d83b24c96a Mon Sep 17 00:00:00 2001
From: Jorge Rincon <jorge.rincon@pandorafms.com>
Date: Mon, 28 Aug 2023 13:54:35 +0200
Subject: [PATCH 13/41] #10065 Added switch to filter create/edit modal.

---
 .../godmode/events/event_edit_filter.php      |  2 +-
 .../godmode/events/event_filter.php           |  2 +-
 pandora_console/include/ajax/events.php       | 58 +++++++++++++++----
 pandora_console/operation/events/events.php   | 27 +++------
 4 files changed, 57 insertions(+), 32 deletions(-)

diff --git a/pandora_console/godmode/events/event_edit_filter.php b/pandora_console/godmode/events/event_edit_filter.php
index aaf5d00b9b..113c156df3 100644
--- a/pandora_console/godmode/events/event_edit_filter.php
+++ b/pandora_console/godmode/events/event_edit_filter.php
@@ -309,7 +309,7 @@ $table->data[0][0] = html_print_label_input_block(
         '',
         'w100p'
     ).html_print_label_input_block(
-        __('Private event'),
+        __('Private'),
         html_print_checkbox_switch(
             'private_filter_event',
             $private_filter,
diff --git a/pandora_console/godmode/events/event_filter.php b/pandora_console/godmode/events/event_filter.php
index 0be93fa4a4..c4f1860e6f 100644
--- a/pandora_console/godmode/events/event_filter.php
+++ b/pandora_console/godmode/events/event_filter.php
@@ -135,7 +135,7 @@ if ($filters === false) {
     $filters = [];
 } else {
     foreach ($filters as $key => $filter) {
-        $permission = check_acl($config['id_user'], 0, 'PM');
+        $permission = users_is_admin($config['id_user']);
         // Validate permission and private filter user.
         if ($permission || $filter['private_filter_user'] === $config['id_user']) {
             if ($filter['private_filter_user'] !== null) {
diff --git a/pandora_console/include/ajax/events.php b/pandora_console/include/ajax/events.php
index b3a6be0670..dbab927606 100644
--- a/pandora_console/include/ajax/events.php
+++ b/pandora_console/include/ajax/events.php
@@ -92,6 +92,9 @@ $get_id_source_event = get_parameter('get_id_source_event');
 $node_id = (int) get_parameter('node_id', 0);
 $settings_modal = get_parameter('settings', 0);
 $parameters_modal = get_parameter('parameters', 0);
+// User private filter.
+$current_filter = get_parameter('current_filter', 0);
+$private_filter_event = get_parameter('private_filter_event', 0);
 
 if ($get_comments === true) {
     global $config;
@@ -731,8 +734,8 @@ if ($save_filter_modal) {
         $table = new StdClass;
         $table->id = 'save_filter_form';
         $table->width = '100%';
-        $table->cellspacing = 4;
-        $table->cellpadding = 4;
+        $table->cellspacing = 5;
+        $table->cellpadding = 5;
         $table->class = 'databox';
         if (is_metaconsole() === true) {
             $table->class = 'databox filters';
@@ -751,7 +754,7 @@ if ($save_filter_modal) {
             'filter_mode',
             'new',
             __('New filter'),
-            true,
+            ((int) $current_filter === 0) ? true : false,
             true
         );
 
@@ -759,7 +762,7 @@ if ($save_filter_modal) {
             'filter_mode',
             'update',
             __('Update filter'),
-            false,
+            ((int) $current_filter > 0) ? true : false,
             true
         );
 
@@ -774,6 +777,7 @@ if ($save_filter_modal) {
         $table->rowclass[2] = 'flex';
         $table->rowclass[3] = 'flex';
         $table->rowclass[4] = 'flex';
+        $table->rowclass[5] = 'flex';
         $data[0] = '<b>'.__('Filter name').'</b>'.$jump;
         $data[0] .= html_print_input_text('id_name', '', '', 15, 255, true);
         if (is_metaconsole()) {
@@ -820,9 +824,9 @@ if ($save_filter_modal) {
         $data[0] .= html_print_select(
             $_filters_update,
             'overwrite_filter',
+            $current_filter,
             '',
-            '',
-            '',
+            __('None'),
             0,
             true,
             false,
@@ -833,6 +837,31 @@ if ($save_filter_modal) {
         $table->data[] = $data;
         $table->rowclass[] = '';
 
+        $data = [];
+        $table->rowid[4] = 'update_filter_row2';
+
+        $table->data[] = $data;
+        $table->rowclass[] = '';
+
+        // Update user private filter.
+        $data = [];
+        $table->rowid[6] = 'private_filter_event_row1';
+        $data[0] = html_print_label_input_block(
+            __('Private'),
+            html_print_checkbox_switch(
+                'private_filter_event',
+                $private_filter_event,
+                $private_filter_event,
+                true,
+                false,
+                'checked_slide_events(this);',
+                true
+            )
+        );
+
+        $table->data[] = $data;
+        $table->rowclass[] = '';
+
         html_print_table($table);
 
         html_print_div(
@@ -877,10 +906,19 @@ if ($save_filter_modal) {
     ?>
 <script type="text/javascript">
 function show_save_filter() {
-    $('#save_filter_row1').show();
-    $('#save_filter_row2').show();
-    $('#update_filter_row1').hide();
-    $('#button-update_filter').hide();
+
+    if ($('#hidden-id_filter_event').val() == 0) {
+        $('#save_filter_row1').show();
+        $('#save_filter_row2').show();
+        $('#update_filter_row1').hide();
+        $('#button-update_filter').hide();
+    } else {
+        $('#save_filter_row1').hide();
+        $('#save_filter_row2').hide();
+        $('#button-save_filter').hide();
+        $('#update_filter_row1').show();
+        $('#button-update_filter').show();
+    }
     // Filter save mode selector
     $("[name='filter_mode']").click(function() {
         if ($(this).val() == 'new') {
diff --git a/pandora_console/operation/events/events.php b/pandora_console/operation/events/events.php
index fd5ab1a46c..f2e5687846 100644
--- a/pandora_console/operation/events/events.php
+++ b/pandora_console/operation/events/events.php
@@ -1879,6 +1879,9 @@ if (enterprise_hook(
  * Load filter form.
  */
 
+// User private filter process.
+$inputs[] = html_print_input_hidden('id_filter_event', $load_filter_id, true);
+
 // Group.
 if ($id_group === null) {
     $id_group = 0;
@@ -1943,25 +1946,6 @@ $in_sec_group .= '</label>';
 $in_sec_group .= '</div>';
 $in .= $in_sec_group;
 
-// User private filter.
-$data = html_print_checkbox_switch(
-    'private_filter_event',
-    $private_filter_event,
-    $private_filter_event,
-    true,
-    false,
-    'checked_slide_events(this);',
-    true
-);
-
-$in_third_group = '<div class="display-initial">';
-$in_third_group .= $data;
-$in_third_group .= '<label class="vert-align-bottom">';
-$in_third_group .= __('Private event');
-$in_third_group .= '</label>';
-$in_third_group .= '</div>';
-$in .= $in_third_group;
-
 $in .= '</div>';
 $inputs[] = $in;
 
@@ -2082,6 +2066,8 @@ $in = '<div class="filter_input"><label>'.__('Severity').'</label>';
 $in .= $data.'</div>';
 $inputs[] = $in;
 
+// User private filter.
+$inputs[] = html_print_input_hidden('private_filter_event', $private_filter_event, true);
 // Trick view in table.
 $inputs[] = '<div class="w100p pdd_t_15px"></div>';
 
@@ -3374,7 +3360,8 @@ $(document).ready( function() {
                     data: {
                         page: 'include/ajax/events',
                         save_filter_modal: 1,
-                        current_filter: $('#latest_filter_id').val()
+                        current_filter: $('#hidden-id_filter_event').val(),
+                        private_filter_event: $('#hidden-private_filter_event').val()
                     },
                     success: function (data){
                         $('#save-modal-filter')

From aa39c4295e7239f085f39453af3dc5c0ed6ff810 Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Mon, 28 Aug 2023 15:43:59 +0200
Subject: [PATCH 14/41] #11807 fixed bugs and added new report evolution
 hardening

---
 .../reporting_builder.item_editor.php         |  9 ++++++++
 .../godmode/reporting/reporting_builder.php   | 10 +++++++++
 .../include/functions_reporting.php           |  7 +++++++
 .../include/functions_reporting_html.php      | 21 +++++++++++++++++++
 pandora_console/include/functions_reports.php |  7 ++++++-
 5 files changed, 53 insertions(+), 1 deletion(-)

diff --git a/pandora_console/godmode/reporting/reporting_builder.item_editor.php b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
index 99fedcb308..0a44cda0de 100755
--- a/pandora_console/godmode/reporting/reporting_builder.item_editor.php
+++ b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
@@ -1063,6 +1063,11 @@ switch ($action) {
                     $recursion = $item['recursion'];
                 break;
 
+                case 'evolution':
+                    $group = $item['id_group'];
+                    $recursion = $item['recursion'];
+                break;
+
                 default:
                     // It's not possible.
                 break;
@@ -7547,6 +7552,10 @@ function chooseType() {
         case 'scoring':
             $("#row_group").show();
         break;
+
+        case 'evolution':
+            $("#row_group").show();
+        break;
     }
 
     switch (type) {
diff --git a/pandora_console/godmode/reporting/reporting_builder.php b/pandora_console/godmode/reporting/reporting_builder.php
index 8901b68ecd..b124e51b77 100755
--- a/pandora_console/godmode/reporting/reporting_builder.php
+++ b/pandora_console/godmode/reporting/reporting_builder.php
@@ -2027,6 +2027,11 @@ switch ($action) {
                                 $good_format = true;
                             break;
 
+                            case 'evolution':
+                                $values['id_group'] = get_parameter('combo_group');
+                                $good_format = true;
+                            break;
+
                             default:
                                 $values['period'] = get_parameter('period');
                                 $values['top_n'] = get_parameter(
@@ -2940,6 +2945,11 @@ switch ($action) {
                                 $good_format = true;
                             break;
 
+                            case 'evolution':
+                                $values['id_group'] = get_parameter('combo_group');
+                                $good_format = true;
+                            break;
+
                             default:
                                 $values['period'] = get_parameter('period');
                                 $values['top_n'] = get_parameter(
diff --git a/pandora_console/include/functions_reporting.php b/pandora_console/include/functions_reporting.php
index 782d756e4c..ba926fc861 100755
--- a/pandora_console/include/functions_reporting.php
+++ b/pandora_console/include/functions_reporting.php
@@ -977,6 +977,13 @@ function reporting_make_reporting_data(
                 );
             break;
 
+            case 'evolution':
+                $report['contents'][] = reporting_evolution_hardening(
+                    $report,
+                    $content
+                );
+            break;
+
             default:
                 // Default.
             break;
diff --git a/pandora_console/include/functions_reporting_html.php b/pandora_console/include/functions_reporting_html.php
index d976b96951..f7dd44784b 100644
--- a/pandora_console/include/functions_reporting_html.php
+++ b/pandora_console/include/functions_reporting_html.php
@@ -487,6 +487,10 @@ function reporting_html_print_report($report, $mini=false, $report_info=1)
             case 'scoring':
                 reporting_html_scoring($table, $item);
             break;
+
+            case 'evolution':
+                reporting_evolution_graph($table, $item);
+            break;
         }
 
         if ($item['type'] == 'agent_module') {
@@ -502,6 +506,23 @@ function reporting_html_print_report($report, $mini=false, $report_info=1)
 }
 
 
+/**
+ * Function to print the security hardening evolution.
+ *
+ * @param object $table Head table or false if it comes from pdf.
+ * @param array  $item  Items data.
+ *
+ * @return void
+ */
+function reporting_evolution_graph($table, $item)
+{
+    $table->rowclass[0] = '';
+    $table->colspan['chart']['cell'] = 3;
+    $table->cellstyle['chart']['cell'] = 'text-align: center;';
+    $table->data['chart']['cell'] = $item['chart'];
+}
+
+
 /**
  * Function to print the agents scoring.
  *
diff --git a/pandora_console/include/functions_reports.php b/pandora_console/include/functions_reports.php
index 6fa873b72a..1fe85aa92b 100755
--- a/pandora_console/include/functions_reports.php
+++ b/pandora_console/include/functions_reports.php
@@ -991,7 +991,12 @@ function reports_get_report_types($template=false, $not_editor=false)
 
         $types['scoring'] = [
             'optgroup' => __('Security hardening'),
-            'name'     => __('Scoring'),
+            'name'     => __('Scoring by date'),
+        ];
+
+        $types['evolution'] = [
+            'optgroup' => __('Security hardening'),
+            'name'     => __('Evolution'),
         ];
     }
 

From 9603f904015d834257725c0a4eab8ffb325883a2 Mon Sep 17 00:00:00 2001
From: Pablo Aragon <pablo.aragon@pandorafms.com>
Date: Thu, 31 Aug 2023 12:23:46 +0200
Subject: [PATCH 15/41] 11839-Add check global_block_size

---
 .../include/class/ConsoleSupervisor.php       | 64 +++++++++++--------
 pandora_console/include/functions_config.php  |  4 ++
 2 files changed, 43 insertions(+), 25 deletions(-)

diff --git a/pandora_console/include/class/ConsoleSupervisor.php b/pandora_console/include/class/ConsoleSupervisor.php
index f6d3767708..4d7a6435e9 100644
--- a/pandora_console/include/class/ConsoleSupervisor.php
+++ b/pandora_console/include/class/ConsoleSupervisor.php
@@ -621,7 +621,8 @@ class ConsoleSupervisor
             'small_operation_step_datos_purge' => 'Small Operation Step to purge old data',
             'row_limit_csv'                    => 'Row limit in csv log',
             'limit_parameters_massive'         => 'Limit for bulk operations',
-            'block_size'                       => 'Block size for pagination',
+            'block_size'                       => 'User block size for pagination',
+            'global_block_size'                => 'Global block size for pagination',
             'short_module_graph_data'          => 'Data precision',
             'graph_precision'                  => 'Data precision in graphs',
         ];
@@ -635,8 +636,14 @@ class ConsoleSupervisor
 
             $message = '';
             $limit_value = '';
+            $url = '';
             if ($config[$variable] > $values->max) {
                 $message = 'Check the setting of %s, a value greater than %s is not recommended';
+
+                if ($variable === 'block_size') {
+                    $message .= '. (User: '.$config['id_user'].')';
+                }
+
                 $limit_value = $values->max;
             }
 
@@ -647,32 +654,39 @@ class ConsoleSupervisor
 
             if ($limit_value !== '' && $message !== '') {
                 if (is_metaconsole() === true) {
-                    $this->notify(
-                        [
-                            'type'    => 'NOTIF.VARIABLES.PERFORMANCE.'.$variable,
-                            'title'   => __('Incorrect config value'),
-                            'message' => __(
-                                $message,
-                                $names[$variable],
-                                $limit_value
-                            ),
-                            'url'     => '__url__index.php?sec=advanced&sec2=advanced/metasetup',
-                        ]
-                    );
+                    $url = '__url__index.php?sec=advanced&sec2=advanced/metasetup';
                 } else {
-                    $this->notify(
-                        [
-                            'type'    => 'NOTIF.VARIABLES.PERFORMANCE.'.$variable,
-                            'title'   => __('Incorrect config value'),
-                            'message' => __(
-                                $message,
-                                $names[$variable],
-                                $limit_value
-                            ),
-                            'url'     => '__url__/index.php?sec=general&sec2=godmode/setup/setup',
-                        ]
-                    );
+                    $url = '__url__/index.php?sec=general&sec2=godmode/setup/setup';
                 }
+
+                if ($variable === 'block_size') {
+                    if (is_metaconsole() === true) {
+                        $url = '__url__index.php?sec=gusuarios&sec2=godmode/users/configure_user&edit_user=1&pure=0&id_user='.$config['id_user'];
+                    } else {
+                        $url = '__url__/index.php?sec=gusuarios&sec2=godmode/users/configure_user&edit_user=1&pure=0&id_user='.$config['id_user'];
+                    }
+                }
+
+                if ($variable === 'global_block_size') {
+                    if (is_metaconsole() === true) {
+                        $url = '__url__index.php?sec=advanced&sec2=advanced/metasetup&pure=0&tab=visual';
+                    } else {
+                        $url = '__url__/index.php?sec=gsetup&sec2=godmode/setup/setup&section=vis';
+                    }
+                }
+
+                $this->notify(
+                    [
+                        'type'    => 'NOTIF.VARIABLES.PERFORMANCE.'.$variable,
+                        'title'   => __('Incorrect config value'),
+                        'message' => __(
+                            $message,
+                            $names[$variable],
+                            $limit_value
+                        ),
+                        'url'     => $url,
+                    ]
+                );
             }
         }
 
diff --git a/pandora_console/include/functions_config.php b/pandora_console/include/functions_config.php
index 033b2067b6..8401fb8ec2 100644
--- a/pandora_console/include/functions_config.php
+++ b/pandora_console/include/functions_config.php
@@ -2561,6 +2561,10 @@ function config_process_config()
                         'max' => 200,
                         'min' => 10,
                     ],
+                    'global_block_size'                => [
+                        'max' => 200,
+                        'min' => 10,
+                    ],
                     'short_module_graph_data'          => [
                         'max' => 20,
                         'min' => 1,

From ba1a3da03a4acd327c36bb4ba320efedf2808617 Mon Sep 17 00:00:00 2001
From: Jorge Rincon <jorge.rincon@pandorafms.com>
Date: Mon, 4 Sep 2023 10:03:53 +0200
Subject: [PATCH 16/41] #10065 fixed checkbox switch style

---
 pandora_console/include/styles/pandora.css  | 2 +-
 pandora_console/operation/events/events.php | 2 +-
 2 files changed, 2 insertions(+), 2 deletions(-)

diff --git a/pandora_console/include/styles/pandora.css b/pandora_console/include/styles/pandora.css
index ce5f3b68ce..0bafe7edac 100644
--- a/pandora_console/include/styles/pandora.css
+++ b/pandora_console/include/styles/pandora.css
@@ -5050,7 +5050,7 @@ div#dialog_messages table th:last-child {
   position: absolute;
   cursor: pointer;
   top: 5px;
-  left: 0;
+  left: 5px;
   right: 0;
   bottom: 0;
   background-color: #ccc;
diff --git a/pandora_console/operation/events/events.php b/pandora_console/operation/events/events.php
index f2e5687846..acfdae4ca1 100644
--- a/pandora_console/operation/events/events.php
+++ b/pandora_console/operation/events/events.php
@@ -1915,7 +1915,7 @@ $data = html_print_checkbox_switch(
 
 $in_group = '<div class="display-initial">';
 $in_group .= $data;
-$in_group .= '<label class="vert-align-bottom pdd_r_20px">';
+$in_group .= '<label class="vert-align-bottom pdd_r_15px">';
 $in_group .= __('Group recursion');
 $in_group .= ui_print_help_tip(
     __('WARNING: This could cause a performace impact.'),

From 85462b3aae3059af084970dab502b7da908e6625 Mon Sep 17 00:00:00 2001
From: "felix.suarez" <felix.suarez@pandorafms.com>
Date: Mon, 4 Sep 2023 08:46:24 -0600
Subject: [PATCH 17/41] Add alert modules, queue and status

---
 .../include/class/Diagnostics.class.php       | 16 ++++++++++++
 pandora_plugins/PandoraFMS/pandorafms.pl      | 25 +++++++++++++++++++
 pandora_server/lib/PandoraFMS/Core.pm         | 25 +++++++++++++++++++
 3 files changed, 66 insertions(+)

diff --git a/pandora_console/include/class/Diagnostics.class.php b/pandora_console/include/class/Diagnostics.class.php
index 2c00a6b328..9618e3e753 100644
--- a/pandora_console/include/class/Diagnostics.class.php
+++ b/pandora_console/include/class/Diagnostics.class.php
@@ -316,6 +316,8 @@ class Diagnostics extends Wizard
      * Graph of the Free Disk Spool Dir module.
      * Graph of the Free RAM module.
      * Graph of the Queued Modules module.
+     * Graph of the Queued_Alerts.
+     * Graph of the Alert_Server_Status.
      * Graph of the Status module.
      * Graph of the System Load AVG module.
      * Graph of the Execution Time module.
@@ -366,6 +368,20 @@ class Diagnostics extends Wizard
                     'nameModule' => 'Queued_Modules',
                     'idAgent'    => $agentIdMasterServer,
                 ],
+                'chartQueuedAlerts'    => [
+                    'title'      => __(
+                        'Graph of the Queued Alerts total.'
+                    ),
+                    'nameModule' => 'Queued_Alerts',
+                    'idAgent'    => $agentIdMasterServer,
+                ],
+                'chartAlertServerStatus'    => [
+                    'title'      => __(
+                        'Graph of the Alert Server Status.'
+                    ),
+                    'nameModule' => 'Alert_Server_Status',
+                    'idAgent'    => $agentIdMasterServer,
+                ],
                 'chartStatus'           => [
                     'title'      => __('Graph of the Status module.'),
                     'nameModule' => 'Status',
diff --git a/pandora_plugins/PandoraFMS/pandorafms.pl b/pandora_plugins/PandoraFMS/pandorafms.pl
index 8a4d390c7e..5f5e533785 100644
--- a/pandora_plugins/PandoraFMS/pandorafms.pl
+++ b/pandora_plugins/PandoraFMS/pandorafms.pl
@@ -8,6 +8,7 @@ use POSIX qw(strftime);
 use PandoraFMS::DB;
 
 use constant DATASERVER => 0;
+use constant ALERTSERVER => 21;
 use Scalar::Util qw(looks_like_number);
 
 
@@ -159,6 +160,18 @@ sub pandora_self_monitoring ($$) {
 	if (!defined($queued_modules)) {
 		$queued_modules = 0;
 	}
+
+	my $queued_alerts = get_db_value ($dbh, "SELECT count(id) FROM talert_execution_queue");
+	
+	if (!defined($queued_alerts)) {
+		$queued_alerts = 0;
+	}
+
+	my $alert_server_status = get_db_value ($dbh, "SELECT status FROM tserver WHERE server_type = ?", ALERTSERVER);
+	
+	if (!defined($alert_server_status || $alert_server_status eq "") ) {
+		$alert_server_status = 0;
+	}
 	
 	my $dbmaintance;
 	if ($RDBMS eq 'postgresql') {
@@ -193,7 +206,19 @@ sub pandora_self_monitoring ($$) {
 	$xml_output .=" <type>generic_data</type>\n";
 	$xml_output .=" <data>$queued_modules</data>\n";
 	$xml_output .=" </module>\n";
+
+	$xml_output .=" <module>\n";
+	$xml_output .=" <name>Queued_Alerts</name>\n";
+	$xml_output .=" <type>generic_data</type>\n";
+	$xml_output .=" <data>$queued_alerts</data>\n";
+	$xml_output .=" </module>\n";
 	
+	$xml_output .=" <module>\n";
+	$xml_output .=" <name>Alert_Server_Status</name>\n";
+	$xml_output .=" <type>generic_proc</type>\n";
+	$xml_output .=" <data>$alert_server_status</data>\n";
+	$xml_output .=" </module>\n";
+
 	$xml_output .=" <module>\n";
 	$xml_output .=" <name>Agents_Unknown</name>\n";
 	$xml_output .=" <type>generic_data</type>\n";
diff --git a/pandora_server/lib/PandoraFMS/Core.pm b/pandora_server/lib/PandoraFMS/Core.pm
index 284f224023..d1cbbd7467 100644
--- a/pandora_server/lib/PandoraFMS/Core.pm
+++ b/pandora_server/lib/PandoraFMS/Core.pm
@@ -127,6 +127,7 @@ use JSON qw(decode_json encode_json);
 use MIME::Base64;
 use Text::ParseWords;
 use Math::Trig;			# Math functions
+use constant ALERTSERVER => 21;
 
 # Debugging
 #use Data::Dumper;
@@ -6126,6 +6127,18 @@ sub pandora_self_monitoring ($$) {
 	if (!defined($queued_modules)) {
 		$queued_modules = 0;
 	}
+
+	my $queued_alerts = get_db_value ($dbh, "SELECT count(id) FROM talert_execution_queue");
+	
+	if (!defined($queued_alerts)) {
+		$queued_alerts = 0;
+	}
+
+	my $alert_server_status = get_db_value ($dbh, "SELECT status FROM tserver WHERE server_type = ?", ALERTSERVER);
+	
+	if (!defined($alert_server_status) || $alert_server_status eq "") {
+		$alert_server_status = 0;
+	}
 	
 	my $pandoradb = 0;
 	my $pandoradb_tstamp = get_db_value ($dbh, "SELECT `value` FROM tconfig WHERE token = 'db_maintance'");
@@ -6152,6 +6165,18 @@ sub pandora_self_monitoring ($$) {
 	$xml_output .=" <type>generic_data</type>";
 	$xml_output .=" <data>$queued_modules</data>";
 	$xml_output .=" </module>";
+
+	$xml_output .=" <module>\n";
+	$xml_output .=" <name>Queued_Alerts</name>\n";
+	$xml_output .=" <type>generic_data</type>\n";
+	$xml_output .=" <data>$queued_alerts</data>\n";
+	$xml_output .=" </module>\n";
+
+	$xml_output .=" <module>\n";
+	$xml_output .=" <name>Alert_Server_Status</name>\n";
+	$xml_output .=" <type>generic_proc</type>\n";
+	$xml_output .=" <data>$alert_server_status</data>\n";
+	$xml_output .=" </module>\n";
 	
 	$xml_output .=" <module>";
 	$xml_output .=" <name>Agents_Unknown</name>";

From 907105cfcb714c2fe1cbe1f87a45115189f6a8b0 Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Thu, 7 Sep 2023 15:17:45 +0200
Subject: [PATCH 18/41] #11807 changed order columns in report

---
 pandora_console/include/functions_reporting_html.php | 4 ++--
 tentacle/tentacle_client                             | 4 ++--
 2 files changed, 4 insertions(+), 4 deletions(-)

diff --git a/pandora_console/include/functions_reporting_html.php b/pandora_console/include/functions_reporting_html.php
index b9e5151163..a3d2b8f8b5 100644
--- a/pandora_console/include/functions_reporting_html.php
+++ b/pandora_console/include/functions_reporting_html.php
@@ -621,15 +621,15 @@ function reporting_html_top_n_checks_failed($table, $item)
 {
     global $config;
     $table->rowclass[0] = '';
-    $table->data[1][0] = '<b>'.__('Id').'</b>';
     $table->data[1][1] = '<b>'.__('Title').'</b>';
     $table->data[1][2] = '<b>'.__('Total Failed').'</b>';
+    $table->data[1][3] = '<b>'.__('Description').'</b>';
 
     $row = 2;
     foreach ($item['data'] as $key => $check) {
-        $table->data[$row][0] = $check['id'];
         $table->data[$row][1] = $check['title'];
         $table->data[$row][2] = $check['total'];
+        $table->data[$row][3] = $check['description'];
         $row++;
     }
 }
diff --git a/tentacle/tentacle_client b/tentacle/tentacle_client
index da917863d6..d90d21f344 100755
--- a/tentacle/tentacle_client
+++ b/tentacle/tentacle_client
@@ -2,7 +2,7 @@
 ################################################################################
 #
 # Copyright (c) 2007-2008  Ramon Novoa  <rnovoa@artica.es>
-# Copyright (c) 2007-2023 Pandora FMS. 
+# Copyright (c) 2007-2023 Pandora FMS.
 #
 # tentacle_client.pl	Tentacle Client. See https://pandorafms.com/docs/ for
 # 			protocol description.
@@ -1095,7 +1095,7 @@ Protocol description and more info at: L<< https://pandorafms.com/manual/en/docu
 
 =head1 COPYRIGHT
 
-Copyright (c) 2005-2023 Pandora FMS.
+Copyright (c) 2005-2010 Artica Soluciones Tecnologicas S.L
 
 =cut
 

From 6f5b20ac54fe4ea6a48c1d2119dde121db19d7dd Mon Sep 17 00:00:00 2001
From: Enrique Martin <enrique.martin@pandorafms.com>
Date: Tue, 12 Sep 2023 09:51:49 +0200
Subject: [PATCH 19/41] Changed version for VMware discovery plugin

---
 pandora_console/extras/mr/66.sql   | 2 ++
 pandora_console/pandoradb_data.sql | 2 +-
 2 files changed, 3 insertions(+), 1 deletion(-)

diff --git a/pandora_console/extras/mr/66.sql b/pandora_console/extras/mr/66.sql
index 8161c4c2b6..866992cdd6 100644
--- a/pandora_console/extras/mr/66.sql
+++ b/pandora_console/extras/mr/66.sql
@@ -44,4 +44,6 @@ ADD COLUMN `time_init` VARCHAR(45) NULL AFTER `date_init`,
 ADD COLUMN `date_end` VARCHAR(45) NULL AFTER `time_init`,
 ADD COLUMN `time_end` VARCHAR(45) NULL AFTER `date_end`;
 
+UPDATE `tdiscovery_apps` SET `version` = '1.1' WHERE `short_name` = 'pandorafms.vmware';
+
 COMMIT;
diff --git a/pandora_console/pandoradb_data.sql b/pandora_console/pandoradb_data.sql
index 1962582965..5409cd3fcb 100644
--- a/pandora_console/pandoradb_data.sql
+++ b/pandora_console/pandoradb_data.sql
@@ -2642,7 +2642,7 @@ SET @short_name = 'pandorafms.vmware';
 SET @name = 'VMware';
 SET @section = 'app';
 SET @description = 'Monitor&#x20;ESXi&#x20;hosts,&#x20;datastores&#x20;and&#x20;VMs&#x20;from&#x20;a&#x20;specific&#x20;datacenter';
-SET @version = '1.0';
+SET @version = '1.1';
 INSERT IGNORE INTO `tdiscovery_apps` (`id_app`, `short_name`, `name`, `section`, `description`, `version`) VALUES ('', @short_name, @name, @section, @description, @version);
 SELECT @id_app := `id_app` FROM `tdiscovery_apps` WHERE `short_name` = @short_name;
 

From 64effb2e912dd4cfdeb2bcbd3cc7bec215e80a6f Mon Sep 17 00:00:00 2001
From: Enrique Martin <enrique.martin@pandorafms.com>
Date: Tue, 12 Sep 2023 11:48:29 +0200
Subject: [PATCH 20/41] Added Proxmox discovery APP to MR and pandoradb_data

---
 pandora_console/extras/mr/66.sql   | 15 +++++++++++++++
 pandora_console/pandoradb_data.sql | 15 +++++++++++++++
 2 files changed, 30 insertions(+)

diff --git a/pandora_console/extras/mr/66.sql b/pandora_console/extras/mr/66.sql
index 8161c4c2b6..04411bdb3e 100644
--- a/pandora_console/extras/mr/66.sql
+++ b/pandora_console/extras/mr/66.sql
@@ -44,4 +44,19 @@ ADD COLUMN `time_init` VARCHAR(45) NULL AFTER `date_init`,
 ADD COLUMN `date_end` VARCHAR(45) NULL AFTER `time_init`,
 ADD COLUMN `time_end` VARCHAR(45) NULL AFTER `date_end`;
 
+-- Insert new Proxmox APP
+SET @short_name = 'pandorafms.proxmox';
+SET @name = 'Proxmox';
+SET @section = 'app';
+SET @description = 'Monitor&#x20;Proxmox&#x20;VMs,&#x20;LXC,&#x20;backups&#x20;and&#x20;nodes&#x20;from&#x20;a&#x20;specific&#x20;host';
+SET @version = '1.0';
+INSERT IGNORE INTO `tdiscovery_apps` (`id_app`, `short_name`, `name`, `section`, `description`, `version`) VALUES ('', @short_name, @name, @section, @description, @version);
+SELECT @id_app := `id_app` FROM `tdiscovery_apps` WHERE `short_name` = @short_name;
+
+-- Insert into tdiscovery_apps_scripts
+INSERT IGNORE INTO `tdiscovery_apps_scripts` (`id_app`, `macro`, `value`) VALUES (@id_app, '_exec1_', 'bin/pandora_proxmox');
+
+-- Insert into tdiscovery_apps_executions
+INSERT IGNORE INTO `tdiscovery_apps_executions` (`id`, `id_app`, `execution`) VALUES (1, @id_app, '&#039;_exec1_&#039;&#x20;-g&#x20;&#039;__taskGroup__&#039;&#x20;--host&#x20;&#039;_host_&#039;&#x20;--port&#x20;&#039;_port_&#039;&#x20;--user&#x20;&#039;_user_&#039;&#x20;--password&#x20;&#039;_password_&#039;&#x20;--vm&#x20;&#039;_scanVM_&#039;&#x20;--lxc&#x20;&#039;_scanLXC_&#039;&#x20;--backups&#x20;&#039;_scanBackups_&#039;&#x20;--nodes&#x20;&#039;_scanNodes_&#039;&#x20;--transfer_mode&#x20;tentacle&#x20;--tentacle_address&#x20;&#039;_tentacleIP_&#039;&#x20;--tentacle_port&#x20;&#039;_tentaclePort_&#039;&#x20;--as_discovery_plugin&#x20;1');
+
 COMMIT;
diff --git a/pandora_console/pandoradb_data.sql b/pandora_console/pandoradb_data.sql
index 1962582965..153b30e3ae 100644
--- a/pandora_console/pandoradb_data.sql
+++ b/pandora_console/pandoradb_data.sql
@@ -2713,6 +2713,21 @@ INSERT IGNORE INTO `tdiscovery_apps_scripts` (`id_app`, `macro`, `value`) VALUES
 -- Insert into tdiscovery_apps_executions
 INSERT IGNORE INTO `tdiscovery_apps_executions` (`id`, `id_app`, `execution`) VALUES (1, @id_app, '&#039;_exec1_&#039;&#x20;--conf&#x20;&#039;_tempfileConf_&#039;&#x20;--target_databases&#x20;&#039;_tempfileTargetDatabases_&#039;&#x20;--target_agents&#x20;&#039;_tempfileTargetAgents_&#039;&#x20;--custom_queries&#x20;&#039;_tempfileCustomQueries_&#039;');
 
+-- Insert new Proxmox APP
+SET @short_name = 'pandorafms.proxmox';
+SET @name = 'Proxmox';
+SET @section = 'app';
+SET @description = 'Monitor&#x20;Proxmox&#x20;VMs,&#x20;LXC,&#x20;backups&#x20;and&#x20;nodes&#x20;from&#x20;a&#x20;specific&#x20;host';
+SET @version = '1.0';
+INSERT IGNORE INTO `tdiscovery_apps` (`id_app`, `short_name`, `name`, `section`, `description`, `version`) VALUES ('', @short_name, @name, @section, @description, @version);
+SELECT @id_app := `id_app` FROM `tdiscovery_apps` WHERE `short_name` = @short_name;
+
+-- Insert into tdiscovery_apps_scripts
+INSERT IGNORE INTO `tdiscovery_apps_scripts` (`id_app`, `macro`, `value`) VALUES (@id_app, '_exec1_', 'bin/pandora_proxmox');
+
+-- Insert into tdiscovery_apps_executions
+INSERT IGNORE INTO `tdiscovery_apps_executions` (`id`, `id_app`, `execution`) VALUES (1, @id_app, '&#039;_exec1_&#039;&#x20;-g&#x20;&#039;__taskGroup__&#039;&#x20;--host&#x20;&#039;_host_&#039;&#x20;--port&#x20;&#039;_port_&#039;&#x20;--user&#x20;&#039;_user_&#039;&#x20;--password&#x20;&#039;_password_&#039;&#x20;--vm&#x20;&#039;_scanVM_&#039;&#x20;--lxc&#x20;&#039;_scanLXC_&#039;&#x20;--backups&#x20;&#039;_scanBackups_&#039;&#x20;--nodes&#x20;&#039;_scanNodes_&#039;&#x20;--transfer_mode&#x20;tentacle&#x20;--tentacle_address&#x20;&#039;_tentacleIP_&#039;&#x20;--tentacle_port&#x20;&#039;_tentaclePort_&#039;&#x20;--as_discovery_plugin&#x20;1');
+
 INSERT INTO `tsca` VALUES (1000,'Create&#x20;Separate&#x20;Partition&#x20;for&#x20;/tmp','The&#x20;/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Since&#x20;the&#x20;/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;In&#x20;addition,&#x20;making&#x20;/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hardlink&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hardlink&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','','Configure&#x20;/etc/fstab&#x20;as&#x20;appropriate&#x20;or&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;enable&#x20;systemd&#x20;/tmp&#x20;mounting:&#x20;systemctl&#x20;umask&#x20;tmp.mount;&#x20;systemctl&#x20;enable&#x20;tmp.mount.&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;configure&#x20;the&#x20;/tmp&#x20;mount.','[{\"cis\": [\"2.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(1001,'Set&#x20;nodev&#x20;option&#x20;for&#x20;/tmp&#x20;Partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/tmp','[{\"cis\": [\"2.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1002,'Set&#x20;nosuid&#x20;option&#x20;for&#x20;/tmp&#x20;Partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;set&#x20;userid&#x20;files.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;set&#x20;userid&#x20;files&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/tmp','[{\"cis\": [\"2.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1003,'Set&#x20;noexec&#x20;option&#x20;for&#x20;/tmp&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/tmp','[{\"cis\": [\"2.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1004,'Create&#x20;Separate&#x20;Partition&#x20;for&#x20;/var','The&#x20;/var&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;daemons&#x20;and&#x20;other&#x20;system&#x20;services&#x20;to&#x20;temporarily&#x20;store&#x20;dynamic&#x20;data.&#x20;Some&#x20;directories&#x20;created&#x20;by&#x20;these&#x20;processes&#x20;may&#x20;be&#x20;world-writable.','Since&#x20;the&#x20;/var&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;use&#x20;the&#x20;Logical&#x20;Volume&#x20;Manager&#x20;&#40;LVM&#41;&#x20;to&#x20;create&#x20;partitions.','[{\"cis\": [\"2.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1005,'Bind&#x20;mount&#x20;the&#x20;/var/tmp&#x20;directory&#x20;to&#x20;/tmp','The&#x20;/var/tmp&#x20;directory&#x20;is&#x20;normally&#x20;a&#x20;standalone&#x20;directory&#x20;in&#x20;the&#x20;/var&#x20;file&#x20;system.&#x20;Binding&#x20;/var/tmp&#x20;to&#x20;/tmp&#x20;establishes&#x20;an&#x20;unbreakable&#x20;link&#x20;to&#x20;/tmp&#x20;that&#x20;cannot&#x20;be&#x20;removed&#x20;&#40;even&#x20;by&#x20;the&#x20;root&#x20;user&#41;.&#x20;It&#x20;also&#x20;allows&#x20;/var/tmp&#x20;to&#x20;inherit&#x20;the&#x20;same&#x20;mount&#x20;options&#x20;that&#x20;/tmp&#x20;owns,&#x20;allowing&#x20;/var/tmp&#x20;to&#x20;be&#x20;protected&#x20;in&#x20;the&#x20;same&#x20;manner&#x20;/tmp&#x20;is&#x20;protected.&#x20;It&#x20;will&#x20;also&#x20;prevent&#x20;/var&#x20;from&#x20;filling&#x20;up&#x20;with&#x20;temporary&#x20;files&#x20;as&#x20;the&#x20;contents&#x20;of&#x20;/var/tmp&#x20;will&#x20;actually&#x20;reside&#x20;in&#x20;the&#x20;file&#x20;system&#x20;containing&#x20;/tmp.','All&#x20;programs&#x20;that&#x20;use&#x20;/var/tmp&#x20;and&#x20;/tmp&#x20;to&#x20;read/write&#x20;temporary&#x20;files&#x20;will&#x20;always&#x20;be&#x20;write&#x20;to&#x20;tmp&#x20;file&#x20;system,&#x20;preventing&#x20;a&#x20;user&#x20;from&#x20;running&#x20;the&#x20;/var&#x20;file&#x20;system&#x20;out&#x20;of&#x20;space&#x20;or&#x20;trying&#x20;to&#x20;perform&#x20;operations&#x20;that&#x20;have&#x20;been&#x20;blocked&#x20;in&#x20;the&#x20;/tmp&#x20;filesystem.','','#&#x20;mount&#x20;--bind&#x20;/tmp&#x20;/var/tmp&#x20;&#x20;and&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;to&#x20;contain&#x20;the&#x20;following&#x20;line:&#x20;/tmp&#x20;/var/tmp&#x20;none&#x20;bind&#x20;0&#x20;0','[{\"cis\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1006,'Create&#x20;Separate&#x20;Partition&#x20;for&#x20;/var/log','The&#x20;/var/log&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;system&#x20;services&#x20;to&#x20;store&#x20;log&#x20;data.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;system&#x20;logs&#x20;are&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;logs&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;use&#x20;the&#x20;Logical&#x20;Volume&#x20;Manager&#x20;&#40;LVM&#41;&#x20;to&#x20;create&#x20;partitions.','[{\"cis\": [\"2.7\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1007,'Create&#x20;Separate&#x20;Partition&#x20;for&#x20;/var/log/audit','The&#x20;auditing&#x20;daemon,&#x20;auditd,&#x20;stores&#x20;log&#x20;data&#x20;in&#x20;the&#x20;/var/log/audit&#x20;directory.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;data&#x20;gathered&#x20;by&#x20;auditd&#x20;is&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;the&#x20;audit.log&#x20;file&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.&#x20;The&#x20;audit&#x20;daemon&#x20;calculates&#x20;how&#x20;much&#x20;free&#x20;space&#x20;is&#x20;left&#x20;and&#x20;performs&#x20;actions&#x20;based&#x20;on&#x20;the&#x20;results.&#x20;If&#x20;other&#x20;processes&#x20;&#40;such&#x20;as&#x20;syslog&#41;&#x20;consume&#x20;space&#x20;in&#x20;the&#x20;same&#x20;partition&#x20;as&#x20;auditd,&#x20;it&#x20;may&#x20;not&#x20;perform&#x20;as&#x20;desired.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log/audit.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;use&#x20;the&#x20;Logical&#x20;Volume&#x20;Manager&#x20;&#40;LVM&#41;&#x20;to&#x20;create&#x20;partitions.','[{\"cis\": [\"2.8\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1008,'Create&#x20;Separate&#x20;Partition&#x20;for&#x20;/home','The&#x20;/home&#x20;directory&#x20;is&#x20;used&#x20;to&#x20;support&#x20;disk&#x20;storage&#x20;needs&#x20;of&#x20;local&#x20;users.','If&#x20;the&#x20;system&#x20;is&#x20;intended&#x20;to&#x20;support&#x20;local&#x20;users,&#x20;create&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;the&#x20;/home&#x20;directory&#x20;to&#x20;protect&#x20;against&#x20;resource&#x20;exhaustion&#x20;and&#x20;restrict&#x20;the&#x20;type&#x20;of&#x20;files&#x20;that&#x20;can&#x20;be&#x20;stored&#x20;under&#x20;/home.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/home.&#x20;&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;use&#x20;the&#x20;Logical&#x20;Volume&#x20;Manager&#x20;&#40;LVM&#41;&#x20;to&#x20;create&#x20;partitions.','[{\"cis\": [\"2.9\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1009,'Add&#x20;nodev&#x20;Option&#x20;to&#x20;/home','When&#x20;set&#x20;on&#x20;a&#x20;file&#x20;system,&#x20;this&#x20;option&#x20;prevents&#x20;character&#x20;and&#x20;block&#x20;special&#x20;devices&#x20;from&#x20;being&#x20;defined,&#x20;or&#x20;if&#x20;they&#x20;exist,&#x20;from&#x20;being&#x20;used&#x20;as&#x20;character&#x20;and&#x20;block&#x20;special&#x20;devices.','Since&#x20;the&#x20;user&#x20;partitions&#x20;are&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices.&#x20;&#x20;Note:&#x20;The&#x20;actions&#x20;in&#x20;the&#x20;item&#x20;refer&#x20;to&#x20;the&#x20;/home&#x20;partition,&#x20;which&#x20;is&#x20;the&#x20;default&#x20;user&#x20;partition&#x20;that&#x20;is&#x20;defined&#x20;in&#x20;many&#x20;distributions.&#x20;If&#x20;you&#x20;have&#x20;created&#x20;other&#x20;user&#x20;partitions,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;Remediation&#x20;and&#x20;Audit&#x20;steps&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;partitions&#x20;as&#x20;well.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/home','[{\"cis\": [\"2.10\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1010,'Add&#x20;nodev&#x20;Option&#x20;to&#x20;/run/shm&#x20;Partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;/run/shm&#x20;&#40;temporary&#x20;filesystem&#x20;stored&#x20;in&#x20;memory&#41;&#x20;cannot&#x20;contain&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices.','Since&#x20;the&#x20;/run/shm&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;special&#x20;devices&#x20;in&#x20;/run/shm&#x20;partitions.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#x20;of&#x20;entries&#x20;that&#x20;have&#x20;mount&#x20;points&#x20;that&#x20;contain&#x20;/run/shm.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/run/shm','[{\"cis\": [\"2.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1011,'Add&#x20;nosuid&#x20;Option&#x20;to&#x20;/run/shm&#x20;Partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;/run/shm&#x20;&#40;temporary&#x20;filesystem&#x20;stored&#x20;in&#x20;memory&#41;&#x20;will&#x20;not&#x20;execute&#x20;setuid&#x20;and&#x20;setgid&#x20;on&#x20;executable&#x20;programs&#x20;as&#x20;such,&#x20;but&#x20;rather&#x20;execute&#x20;them&#x20;with&#x20;the&#x20;uid&#x20;and&#x20;gid&#x20;of&#x20;the&#x20;user&#x20;executing&#x20;the&#x20;program.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;introducing&#x20;privileged&#x20;programs&#x20;onto&#x20;the&#x20;system&#x20;and&#x20;allowing&#x20;non-root&#x20;users&#x20;to&#x20;execute&#x20;them.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;.&#x20;Look&#x20;for&#x20;entries&#x20;that&#x20;have&#x20;mount&#x20;points&#x20;that&#x20;contain&#x20;/run/shm.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/run/shm','[{\"cis\": [\"2.15\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1012,'Add&#x20;noexec&#x20;Option&#x20;to&#x20;/run/shm&#x20;Partition','Set&#x20;noexec&#x20;on&#x20;the&#x20;shared&#x20;memory&#x20;partition&#x20;to&#x20;prevent&#x20;programs&#x20;from&#x20;executing&#x20;from&#x20;there.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;executing&#x20;programs&#x20;from&#x20;shared&#x20;memory.&#x20;This&#x20;deters&#x20;users&#x20;from&#x20;introducing&#x20;potentially&#x20;malicious&#x20;software&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;.&#x20;Look&#x20;for&#x20;entries&#x20;that&#x20;have&#x20;mount&#x20;points&#x20;that&#x20;contain&#x20;/run/shm.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/run/shm','[{\"cis\": [\"2.16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1013,'Disable&#x20;Mounting&#x20;of&#x20;cramfs&#x20;Filesystems','The&#x20;cramfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;compressed&#x20;read-only&#x20;Linux&#x20;filesystem&#x20;embedded&#x20;in&#x20;small&#x20;footprint&#x20;systems.&#x20;A&#x20;cramfs&#x20;image&#x20;can&#x20;be&#x20;used&#x20;without&#x20;having&#x20;to&#x20;first&#x20;decompress&#x20;the&#x20;image.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;server.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;cramfs&#x20;/bin/true','[{\"cis\": [\"2.18\"]}, {\"pci_dss\": [\"2.2.5\"]}]'),(1014,'Disable&#x20;Mounting&#x20;of&#x20;freevxfs&#x20;Filesystems','The&#x20;freevxfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;free&#x20;version&#x20;of&#x20;the&#x20;Veritas&#x20;type&#x20;filesystem.&#x20;This&#x20;is&#x20;the&#x20;primary&#x20;filesystem&#x20;type&#x20;for&#x20;HP-UX&#x20;operating&#x20;systems.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;server.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;freevxfs&#x20;/bin/true','[{\"cis\": [\"2.19\"]}, {\"pci_dss\": [\"2.2.5\"]}]'),(1015,'Disable&#x20;Mounting&#x20;of&#x20;jffs2&#x20;Filesystems','The&#x20;jffs2&#x20;&#40;journaling&#x20;flash&#x20;filesystem&#x20;2&#41;&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;log-structured&#x20;filesystem&#x20;used&#x20;in&#x20;flash&#x20;memory&#x20;devices.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;server.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;jffs2&#x20;/bin/true','[{\"cis\": [\"2.20\"]}, {\"pci_dss\": [\"2.2.5\"]}]'),(1016,'Disable&#x20;Mounting&#x20;of&#x20;hfs&#x20;Filesystems','The&#x20;hfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;hierarchical&#x20;filesystem&#x20;that&#x20;allows&#x20;you&#x20;to&#x20;mount&#x20;Mac&#x20;OS&#x20;filesystems.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;server.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;hfs&#x20;/bin/true','[{\"cis\": [\"2.21\"]}, {\"pci_dss\": [\"2.2.5\"]}]'),(1017,'Disable&#x20;Mounting&#x20;of&#x20;hfsplus&#x20;Filesystems','The&#x20;hfsplus&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;hierarchical&#x20;filesystem&#x20;designed&#x20;to&#x20;replace&#x20;hfs&#x20;that&#x20;allows&#x20;you&#x20;to&#x20;mount&#x20;Mac&#x20;OS&#x20;filesystems.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;server.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;hfsplus&#x20;/bin/true','[{\"cis\": [\"2.22\"]}, {\"pci_dss\": [\"2.2.5\"]}]'),(1018,'Disable&#x20;Mounting&#x20;of&#x20;squashfs&#x20;Filesystems','The&#x20;squashfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;compressed&#x20;read-only&#x20;Linux&#x20;filesystem&#x20;embedded&#x20;in&#x20;small&#x20;footprint&#x20;systems&#x20;&#40;similar&#x20;to&#x20;cramfs&#41;.&#x20;A&#x20;squashfs&#x20;image&#x20;can&#x20;be&#x20;used&#x20;without&#x20;having&#x20;to&#x20;first&#x20;decompress&#x20;the&#x20;image.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;server.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;squashfs&#x20;/bin/true','[{\"cis\": [\"2.23\"]}, {\"pci_dss\": [\"2.2.5\"]}]'),(1019,'Disable&#x20;Mounting&#x20;of&#x20;udf&#x20;Filesystems','The&#x20;udf&#x20;filesystem&#x20;type&#x20;is&#x20;the&#x20;universal&#x20;disk&#x20;format&#x20;used&#x20;to&#x20;implement&#x20;ISO/IEC&#x20;13346&#x20;and&#x20;ECMA-167&#x20;specifications.&#x20;This&#x20;is&#x20;an&#x20;open&#x20;vendor&#x20;filesystem&#x20;type&#x20;for&#x20;data&#x20;storage&#x20;on&#x20;a&#x20;broad&#x20;range&#x20;of&#x20;media.&#x20;This&#x20;filesystem&#x20;type&#x20;is&#x20;necessary&#x20;to&#x20;support&#x20;writing&#x20;DVDs&#x20;and&#x20;newer&#x20;optical&#x20;disc&#x20;formats','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;server.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;udf&#x20;/bin/true','[{\"cis\": [\"2.24\"]}, {\"pci_dss\": [\"2.2.5\"]}]'),(1020,'Disable&#x20;Automounting','autofs&#x20;allows&#x20;automatic&#x20;mounting&#x20;of&#x20;devices,&#x20;typically&#x20;including&#x20;CD/DVDs&#x20;and&#x20;USB&#x20;drives.','With&#x20;automounting&#x20;enabled&#x20;anyone&#x20;with&#x20;physical&#x20;access&#x20;could&#x20;attach&#x20;a&#x20;USB&#x20;drive&#x20;or&#x20;disc&#x20;and&#x20;have&#x20;it&#039;s&#x20;contents&#x20;available&#x20;in&#x20;system&#x20;even&#x20;if&#x20;they&#x20;lacked&#x20;permissions&#x20;to&#x20;mount&#x20;it&#x20;themselves.','','Disable&#x20;autofs:&#x20;#&#x20;update-rc.d&#x20;autofs&#x20;disable','[{\"cis\": [\"2.25\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1021,'Set&#x20;User/Group&#x20;Owner&#x20;on&#x20;bootloader&#x20;config','Set&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;your&#x20;boot&#x20;loaders&#x20;config&#x20;file&#x20;to&#x20;the&#x20;root&#x20;user.&#x20;These&#x20;instructions&#x20;default&#x20;to&#x20;GRUB&#x20;stored&#x20;at&#x20;/boot/grub/grub.cfg&#x20;.','Setting&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;to&#x20;root&#x20;prevents&#x20;non-root&#x20;users&#x20;from&#x20;changing&#x20;the&#x20;file.','','Run&#x20;the&#x20;following&#x20;to&#x20;change&#x20;ownership&#x20;of&#x20;/boot/grub/grub.cfg&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/boot/grub/grub.cfg','[{\"cis\": [\"3.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1022,'Set&#x20;Permissions&#x20;on&#x20;bootloader&#x20;config','Set&#x20;permission&#x20;on&#x20;the&#x20;your&#x20;boot&#x20;loaders&#x20;config&#x20;file&#x20;to&#x20;read&#x20;and&#x20;write&#x20;for&#x20;root&#x20;only.','Setting&#x20;the&#x20;permissions&#x20;to&#x20;read&#x20;and&#x20;write&#x20;for&#x20;root&#x20;only&#x20;prevents&#x20;non-root&#x20;users&#x20;from&#x20;seeing&#x20;the&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;them.&#x20;Non-root&#x20;users&#x20;who&#x20;read&#x20;the&#x20;boot&#x20;parameters&#x20;may&#x20;be&#x20;able&#x20;to&#x20;identify&#x20;weaknesses&#x20;in&#x20;security&#x20;upon&#x20;boot&#x20;and&#x20;be&#x20;able&#x20;to&#x20;exploit&#x20;them.','','Run&#x20;the&#x20;following&#x20;to&#x20;set&#x20;the&#x20;permissions&#x20;fro&#x20;/boot/grub/grub.cfg&#x20;:&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/boot/grub/grub.cfg','[{\"cis\": [\"3.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1023,'Set&#x20;Boot&#x20;Loader&#x20;Password','Setting&#x20;the&#x20;boot&#x20;loader&#x20;password&#x20;will&#x20;require&#x20;that&#x20;anyone&#x20;rebooting&#x20;the&#x20;system&#x20;must&#x20;enter&#x20;a&#x20;password&#x20;before&#x20;being&#x20;able&#x20;to&#x20;set&#x20;command&#x20;line&#x20;boot&#x20;parameters','Requiring&#x20;a&#x20;boot&#x20;password&#x20;upon&#x20;execution&#x20;of&#x20;the&#x20;boot&#x20;loader&#x20;will&#x20;prevent&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;entering&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;the&#x20;boot&#x20;partition.&#x20;This&#x20;prevents&#x20;users&#x20;from&#x20;weakening&#x20;security&#x20;&#40;e.g.&#x20;turning&#x20;off&#x20;SELinux&#x20;at&#x20;boot&#x20;time&#41;.','','Create&#x20;an&#x20;encrypted&#x20;password&#x20;with&#x20;grub-md5-crypt:&#x20;#&#x20;grub-mkpasswd-pbkdf2&#x20;Enter&#x20;password:&#x20;&lt;password&gt;&#x20;Reenter&#x20;password:&#x20;&lt;password&gt;&#x20;Your&#x20;PBKDF2&#x20;is&#x20;&lt;encrypted-password&gt;&#x20;&#x20;Add&#x20;the&#x20;following&#x20;into&#x20;/etc/grub.d/00_header&#x20;or&#x20;a&#x20;custom&#x20;/etc/grub.d&#x20;configuration&#x20;file:&#x20;cat&#x20;&lt;&lt;EOF&#x20;set&#x20;superusers=&quot;&lt;user-list&gt;&quot;&#x20;password_pbkdf2&#x20;&lt;user&gt;&#x20;&lt;encrypted-password&gt;&#x20;EOF&#x20;Unless&#x20;the&#x20;--unrestricted&#x20;option&#x20;is&#x20;added&#x20;to&#x20;CLASS&#x20;in&#x20;/etc/grub.d/10_linux&#x20;a&#x20;password&#x20;will&#x20;be&#x20;required&#x20;to&#x20;boot&#x20;in&#x20;addition&#x20;to&#x20;editing&#x20;boot&#x20;parameters:&#x20;CLASS=&quot;--class&#x20;gnu-linux&#x20;--class&#x20;gnu&#x20;--class&#x20;os&#x20;--unrestricted&quot;&#x20;Run&#x20;the&#x20;following&#x20;to&#x20;update&#x20;the&#x20;grub&#x20;configuration:&#x20;#&#x20;update-grub','[{\"cis\": [\"3.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1024,'Require&#x20;authentication&#x20;for&#x20;Single-User&#x20;mode','Setting&#x20;a&#x20;password&#x20;for&#x20;the&#x20;root&#x20;user&#x20;will&#x20;force&#x20;authentication&#x20;in&#x20;single&#x20;user&#x20;mode.','Requiring&#x20;authentication&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;prevents&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;rebooting&#x20;the&#x20;system&#x20;into&#x20;single&#x20;user&#x20;to&#x20;gain&#x20;root&#x20;privileges&#x20;without&#x20;credentials.','','Run&#x20;the&#x20;following&#x20;command&#x20;and&#x20;follow&#x20;the&#x20;prompts&#x20;to&#x20;set&#x20;a&#x20;password&#x20;for&#x20;the&#x20;root&#x20;user:&#x20;#&#x20;passwd&#x20;root','[{\"cis\": [\"3.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1025,'Restrict&#x20;Core&#x20;Dumps','A&#x20;core&#x20;dump&#x20;is&#x20;the&#x20;memory&#x20;of&#x20;an&#x20;executable&#x20;program.&#x20;It&#x20;is&#x20;generally&#x20;used&#x20;to&#x20;determine&#x20;why&#x20;a&#x20;program&#x20;aborted.&#x20;It&#x20;can&#x20;also&#x20;be&#x20;used&#x20;to&#x20;glean&#x20;confidential&#x20;information&#x20;from&#x20;a&#x20;core&#x20;file.&#x20;The&#x20;system&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;a&#x20;soft&#x20;limit&#x20;for&#x20;core&#x20;dumps,&#x20;but&#x20;this&#x20;can&#x20;be&#x20;overridden&#x20;by&#x20;the&#x20;user.','Setting&#x20;a&#x20;hard&#x20;limit&#x20;on&#x20;core&#x20;dumps&#x20;prevents&#x20;users&#x20;from&#x20;overriding&#x20;the&#x20;soft&#x20;variable.&#x20;If&#x20;core&#x20;dumps&#x20;are&#x20;required,&#x20;consider&#x20;setting&#x20;limits&#x20;for&#x20;user&#x20;groups&#x20;&#40;see&#x20;limits.conf&#40;5&#41;&#41;.&#x20;In&#x20;addition,&#x20;setting&#x20;the&#x20;fs.suid_dumpable&#x20;variable&#x20;to&#x20;0&#x20;will&#x20;prevent&#x20;setuid&#x20;programs&#x20;from&#x20;dumping&#x20;core.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/security/limits.conf&#x20;file.&#x20;&#x20;*&#x20;hard&#x20;core&#x20;0&#x20;&#x20;&#x20;&#x20;&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/sysctl.conf&#x20;file.&#x20;&#x20;fs.suid_dumpable&#x20;=&#x20;0','[{\"cis\": [\"4.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1026,'Enable&#x20;XD/NX&#x20;Support&#x20;on&#x20;32-bit&#x20;x86&#x20;Systems','Recent&#x20;processors&#x20;in&#x20;the&#x20;x86&#x20;family&#x20;support&#x20;the&#x20;ability&#x20;to&#x20;prevent&#x20;code&#x20;execution&#x20;on&#x20;a&#x20;per&#x20;memory&#x20;page&#x20;basis.&#x20;Generically&#x20;and&#x20;on&#x20;AMD&#x20;processors,&#x20;this&#x20;ability&#x20;is&#x20;called&#x20;No&#x20;Execute&#x20;&#40;NX&#41;,&#x20;while&#x20;on&#x20;Intel&#x20;processors&#x20;it&#x20;is&#x20;called&#x20;Execute&#x20;Disable&#x20;&#40;XD&#41;.&#x20;This&#x20;ability&#x20;can&#x20;help&#x20;prevent&#x20;exploitation&#x20;of&#x20;buffer&#x20;overflow&#x20;vulnerabilities&#x20;and&#x20;should&#x20;be&#x20;activated&#x20;whenever&#x20;possible.&#x20;Extra&#x20;steps&#x20;must&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;that&#x20;this&#x20;protection&#x20;is&#x20;enabled,&#x20;particularly&#x20;on&#x20;32-bit&#x20;x86&#x20;systems.&#x20;Other&#x20;processors,&#x20;such&#x20;as&#x20;Itanium&#x20;and&#x20;POWER,&#x20;have&#x20;included&#x20;such&#x20;support&#x20;since&#x20;inception&#x20;and&#x20;the&#x20;standard&#x20;kernel&#x20;for&#x20;those&#x20;platforms&#x20;supports&#x20;the&#x20;feature.','Enabling&#x20;any&#x20;feature&#x20;that&#x20;can&#x20;protect&#x20;against&#x20;buffer&#x20;overflow&#x20;attacks&#x20;enhances&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.','','On&#x20;32&#x20;bit&#x20;systems&#x20;install&#x20;a&#x20;kernel&#x20;with&#x20;PAE&#x20;support,&#x20;no&#x20;installation&#x20;is&#x20;required&#x20;on&#x20;64&#x20;bit&#x20;systems:&#x20;If&#x20;necessary&#x20;configure&#x20;your&#x20;bootloader&#x20;to&#x20;load&#x20;the&#x20;new&#x20;kernel&#x20;and&#x20;reboot&#x20;the&#x20;system.&#x20;You&#x20;may&#x20;need&#x20;to&#x20;enable&#x20;NX&#x20;or&#x20;XD&#x20;support&#x20;in&#x20;your&#x20;bios.','[{\"cis\": [\"4.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1027,'Enable&#x20;Randomized&#x20;Virtual&#x20;Memory&#x20;Region&#x20;Placement','Set&#x20;the&#x20;system&#x20;flag&#x20;to&#x20;force&#x20;randomized&#x20;virtual&#x20;memory&#x20;region&#x20;placement.','Randomly&#x20;placing&#x20;virtual&#x20;memory&#x20;regions&#x20;will&#x20;make&#x20;it&#x20;difficult&#x20;to&#x20;write&#x20;memory&#x20;page&#x20;exploits&#x20;as&#x20;the&#x20;memory&#x20;placement&#x20;will&#x20;be&#x20;consistently&#x20;shifting.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/sysctl.conf&#x20;file.&#x20;&#x20;kernel.randomize_va_space&#x20;=&#x20;2','[{\"cis\": [\"4.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1028,'Disable&#x20;Prelink','The&#x20;prelinking&#x20;feature&#x20;changes&#x20;binaries&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;decrease&#x20;their&#x20;startup&#x20;time.','The&#x20;prelinking&#x20;feature&#x20;can&#x20;interfere&#x20;with&#x20;the&#x20;operation&#x20;of&#x20;AIDE,&#x20;because&#x20;it&#x20;changes&#x20;binaries.&#x20;Prelinking&#x20;can&#x20;also&#x20;increase&#x20;the&#x20;vulnerability&#x20;of&#x20;the&#x20;system&#x20;if&#x20;a&#x20;malicious&#x20;user&#x20;is&#x20;able&#x20;to&#x20;compromise&#x20;a&#x20;common&#x20;library&#x20;such&#x20;as&#x20;libc.','','Run&#x20;the&#x20;command:&#x20;#&#x20;/usr/sbin/prelink&#x20;-ua&#x20;to&#x20;restore&#x20;binaries&#x20;to&#x20;a&#x20;normal,&#x20;non-prelinked&#x20;state,&#x20;then&#x20;remove&#x20;prelink:&#x20;#&#x20;apt-get&#x20;purge&#x20;prelink','[{\"cis\": [\"4.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1029,'Activate&#x20;AppArmor','AppArmor&#x20;provides&#x20;a&#x20;Mandatory&#x20;Access&#x20;Control&#x20;&#40;MAC&#41;&#x20;system&#x20;that&#x20;greatly&#x20;augments&#x20;the&#x20;default&#x20;Discretionary&#x20;Access&#x20;Control&#x20;&#40;DAC&#41;&#x20;model.','For&#x20;an&#x20;action&#x20;to&#x20;occur,&#x20;both&#x20;the&#x20;traditional&#x20;DAC&#x20;permissions&#x20;must&#x20;be&#x20;satisfied&#x20;as&#x20;well&#x20;as&#x20;the&#x20;AppArmor&#x20;MAC&#x20;rules.&#x20;The&#x20;action&#x20;will&#x20;not&#x20;be&#x20;allowed&#x20;if&#x20;either&#x20;one&#x20;of&#x20;these&#x20;models&#x20;does&#x20;not&#x20;permit&#x20;the&#x20;action.&#x20;In&#x20;this&#x20;way,&#x20;AppArmor&#x20;rules&#x20;can&#x20;only&#x20;make&#x20;a&#x20;system&#039;s&#x20;permissions&#x20;more&#x20;restrictive&#x20;and&#x20;secure.','','Install&#x20;apparmor&#x20;and&#x20;apparmor-utils&#x20;if&#x20;missing&#x20;&#40;additional&#x20;profiles&#x20;can&#x20;be&#x20;found&#x20;in&#x20;the&#x20;apparmor-profiles&#x20;package&#41;:&#x20;#&#x20;apt-get&#x20;install&#x20;apparmor&#x20;apparmor-profiles&#x20;apparmor-utils&#x20;Add&#x20;apparmor=1&#x20;and&#x20;security=apparmor&#x20;to&#x20;GRUB_CMDLINE_LINUX&#x20;in&#x20;/etc/default/grub:&#x20;GRUB_CMDLINE_LINUX=&quot;apparmor=1&#x20;security=apparmor&quot;Update&#x20;grub&#x20;configuration&#x20;&#40;reboot&#x20;will&#x20;be&#x20;required&#x20;to&#x20;apply&#x20;changes&#41;:&#x20;#&#x20;update-grub&#x20;Set&#x20;all&#x20;profiles&#x20;to&#x20;enforce&#x20;mode:&#x20;#&#x20;aa-enforce&#x20;/etc/apparmor.d&#47;&#42;&#x20;Any&#x20;unconfined&#x20;processes&#x20;may&#x20;need&#x20;to&#x20;have&#x20;a&#x20;profile&#x20;created&#x20;or&#x20;activated&#x20;for&#x20;them&#x20;and&#x20;then&#x20;be&#x20;restarted.','[{\"cis\": [\"4.5\"]}]'),(1030,'Ensure&#x20;NIS&#x20;is&#x20;not&#x20;installed','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;,&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;used&#x20;to&#x20;distribute&#x20;system&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed.','','Uninstall&#x20;the&#x20;nis&#x20;package:&#x20;#&#x20;apt-get&#x20;purge&#x20;nis','[{\"cis\": [\"5.1.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1031,'Ensure&#x20;rsh&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;Berkeley&#x20;rsh-server&#x20;&#40;rsh,&#x20;rlogin,&#x20;rcp&#41;&#x20;package&#x20;contains&#x20;legacy&#x20;services&#x20;that&#x20;exchange&#x20;credentials&#x20;in&#x20;clear-text.','These&#x20;legacy&#x20;service&#x20;contain&#x20;numerous&#x20;security&#x20;exposures&#x20;and&#x20;have&#x20;been&#x20;replaced&#x20;with&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;package.','','Remove&#x20;or&#x20;comment&#x20;out&#x20;any&#x20;shell,&#x20;login,&#x20;or&#x20;exec&#x20;lines&#x20;in&#x20;/etc/inetd.conf:&#x20;#shell&#x20;stream&#x20;tcp&#x20;nowait&#x20;root&#x20;/usr/sbin/tcpd&#x20;/usr/sbin/in.rshd&#x20;&#x20;&#x20;&#x20;#login&#x20;stream&#x20;tcp&#x20;nowait&#x20;root&#x20;/usr/sbin/tcpd&#x20;/usr/sbin/in.rlogind&#x20;&#x20;&#x20;&#x20;#exec&#x20;stream&#x20;tcp&#x20;nowait&#x20;root&#x20;/usr/sbin/tcpd&#x20;/usr/sbin/in.rexecd','[{\"cis\": [\"5.1.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1032,'Ensure&#x20;rsh&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;rsh&#x20;package&#x20;contains&#x20;the&#x20;client&#x20;commands&#x20;for&#x20;the&#x20;rsh&#x20;services.','These&#x20;legacy&#x20;clients&#x20;contain&#x20;numerous&#x20;security&#x20;exposures&#x20;and&#x20;have&#x20;been&#x20;replaced&#x20;with&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;package.&#x20;Even&#x20;if&#x20;the&#x20;server&#x20;is&#x20;removed,&#x20;it&#x20;is&#x20;best&#x20;to&#x20;ensure&#x20;the&#x20;clients&#x20;are&#x20;also&#x20;removed&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;inadvertently&#x20;attempting&#x20;to&#x20;use&#x20;these&#x20;commands&#x20;and&#x20;therefore&#x20;exposing&#x20;their&#x20;credentials.&#x20;Note&#x20;that&#x20;removing&#x20;the&#x20;rsh&#x20;package&#x20;removes&#x20;the&#x20;clients&#x20;for&#x20;rsh&#x20;,&#x20;rcp&#x20;and&#x20;rlogin&#x20;.','','Uninstall&#x20;the&#x20;rsh-client&#x20;and&#x20;rsh-reload-client&#x20;packages:&#x20;#&#x20;apt-get&#x20;purge&#x20;rsh-client&#x20;rsh-reload-client','[{\"cis\": [\"5.1.4\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1033,'Ensure&#x20;talk&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;talk&#x20;software&#x20;makes&#x20;it&#x20;possible&#x20;for&#x20;users&#x20;to&#x20;send&#x20;and&#x20;receive&#x20;messages&#x20;across&#x20;systems&#x20;through&#x20;a&#x20;terminal&#x20;session.&#x20;The&#x20;talk&#x20;client&#x20;&#40;allows&#x20;initiate&#x20;of&#x20;talk&#x20;sessions&#41;&#x20;is&#x20;installed&#x20;by&#x20;default.','The&#x20;software&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Remove&#x20;or&#x20;comment&#x20;out&#x20;any&#x20;talk&#x20;or&#x20;ntalk&#x20;lines&#x20;in&#x20;/etc/inetd.conf:&#x20;#talk&#x20;dgram&#x20;udp&#x20;wait&#x20;nobody.tty&#x20;/usr/sbin/in.talkd&#x20;in.talkd&#x20;&#x20;&#x20;&#x20;#ntalk&#x20;dgram&#x20;udp&#x20;wait&#x20;nobody.tty&#x20;/usr/sbin/in.ntalkd&#x20;in.ntalkd','[{\"cis\": [\"5.1.4\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1034,'Ensure&#x20;talk&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;talk&#x20;software&#x20;makes&#x20;it&#x20;possible&#x20;for&#x20;users&#x20;to&#x20;send&#x20;and&#x20;receive&#x20;messages&#x20;across&#x20;systems&#x20;through&#x20;a&#x20;terminal&#x20;session.&#x20;The&#x20;talk&#x20;client,&#x20;which&#x20;allows&#x20;initialization&#x20;of&#x20;talk&#x20;sessions,&#x20;is&#x20;installed&#x20;by&#x20;default.','The&#x20;software&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Uninstall&#x20;the&#x20;talk&#x20;package:&#x20;#&#x20;apt-get&#x20;purge&#x20;talk','[{\"cis\": [\"2.3.3\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1035,'Ensure&#x20;telnet&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;telnet-server&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;daemon,&#x20;which&#x20;accepts&#x20;connections&#x20;from&#x20;users&#x20;from&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;a&#x20;user&#x20;with&#x20;access&#x20;to&#x20;sniff&#x20;network&#x20;traffic&#x20;the&#x20;ability&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security.','','Remove&#x20;or&#x20;comment&#x20;out&#x20;any&#x20;telnet&#x20;lines&#x20;in&#x20;/etc/inetd.conf:&#x20;#telnet&#x20;stream&#x20;tcp&#x20;nowait&#x20;telnetd&#x20;/usr/sbin/tcpd&#x20;/usr/sbin/in.telnetd','[{\"cis\": [\"5.1.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1036,'Ensure&#x20;tftp-server&#x20;is&#x20;not&#x20;enabled','Trivial&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;TFTP&#41;&#x20;is&#x20;a&#x20;simple&#x20;file&#x20;transfer&#x20;protocol,&#x20;typically&#x20;used&#x20;to&#x20;automatically&#x20;transfer&#x20;configuration&#x20;or&#x20;boot&#x20;machines&#x20;from&#x20;a&#x20;boot&#x20;server.&#x20;The&#x20;packages&#x20;tftp&#x20;and&#x20;atftp&#x20;are&#x20;both&#x20;used&#x20;to&#x20;define&#x20;and&#x20;support&#x20;a&#x20;TFTP&#x20;server.','TFTP&#x20;does&#x20;not&#x20;support&#x20;authentication&#x20;nor&#x20;does&#x20;it&#x20;ensure&#x20;the&#x20;confidentiality&#x20;or&#x20;integrity&#x20;of&#x20;data.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;TFTP&#x20;be&#x20;removed,&#x20;unless&#x20;there&#x20;is&#x20;a&#x20;specific&#x20;need&#x20;for&#x20;TFTP.&#x20;In&#x20;that&#x20;case,&#x20;extreme&#x20;caution&#x20;must&#x20;be&#x20;used&#x20;when&#x20;configuring&#x20;the&#x20;services.','','Remove&#x20;or&#x20;comment&#x20;out&#x20;any&#x20;tftp&#x20;lines&#x20;in&#x20;/etc/inetd.conf:&#x20;#tftp&#x20;stream&#x20;tcp&#x20;nowait&#x20;root&#x20;internal','[{\"cis\": [\"5.1.7\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\", \"AC.4\", \"SC.7\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1037,'Ensure&#x20;xinetd&#x20;is&#x20;not&#x20;enabled','The&#x20;eXtended&#x20;InterNET&#x20;Daemon&#x20;&#40;xinetd&#41;&#x20;is&#x20;an&#x20;open&#x20;source&#x20;super&#x20;daemon&#x20;that&#x20;replaced&#x20;the&#x20;original&#x20;inetd&#x20;daemon.&#x20;The&#x20;xinetd&#x20;daemon&#x20;listens&#x20;for&#x20;well&#x20;known&#x20;services&#x20;and&#x20;dispatches&#x20;the&#x20;appropriate&#x20;daemon&#x20;to&#x20;properly&#x20;respond&#x20;to&#x20;service&#x20;requests.&#x20;&#x20;Note:&#x20;Several&#x20;other&#x20;services&#x20;recommended&#x20;to&#x20;be&#x20;disabled&#x20;in&#x20;this&#x20;benchmark&#x20;have&#x20;xinetd&#x20;versions&#x20;as&#x20;well,&#x20;if&#x20;xinetd&#x20;is&#x20;required&#x20;in&#x20;your&#x20;environment&#x20;ensure&#x20;they&#x20;are&#x20;disabled&#x20;in&#x20;xinetd&#x20;configuration&#x20;as&#x20;well.','If&#x20;there&#x20;are&#x20;no&#x20;xinetd&#x20;services&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;daemon&#x20;be&#x20;disabled.','','Disable&#x20;xinetd:&#x20;#&#x20;update-rc.d&#x20;xinetd&#x20;disable','[{\"cis\": [\"5.1.8\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1038,'Ensure&#x20;chargen&#x20;is&#x20;not&#x20;enabled','chargen&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;with&#x20;0&#x20;to&#x20;512&#x20;ASCII&#x20;characters&#x20;for&#x20;each&#x20;connection&#x20;it&#x20;receives.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Remove&#x20;or&#x20;comment&#x20;out&#x20;any&#x20;chargen&#x20;lines&#x20;in&#x20;/etc/inetd.conf:&#x20;#chargen&#x20;stream&#x20;tcp&#x20;nowait&#x20;root&#x20;internal','[{\"cis\": [\"5.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1039,'Ensure&#x20;daytime&#x20;is&#x20;not&#x20;enabled','daytime&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;with&#x20;the&#x20;server&#039;s&#x20;current&#x20;date&#x20;and&#x20;time.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Remove&#x20;or&#x20;comment&#x20;out&#x20;any&#x20;daytime&#x20;lines&#x20;in&#x20;/etc/inetd.conf:&#x20;#daytime&#x20;stream&#x20;tcp&#x20;nowait&#x20;root&#x20;internal','[{\"cis\": [\"5.3\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1040,'Ensure&#x20;echo&#x20;is&#x20;not&#x20;enabled','echo&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;to&#x20;clients&#x20;with&#x20;the&#x20;data&#x20;sent&#x20;to&#x20;it&#x20;by&#x20;the&#x20;client.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Remove&#x20;or&#x20;comment&#x20;out&#x20;any&#x20;echo&#x20;lines&#x20;in&#x20;/etc/inetd.conf:&#x20;#echo&#x20;stream&#x20;tcp&#x20;nowait&#x20;root&#x20;internal','[{\"cis\": [\"5.4\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1041,'Ensure&#x20;discard&#x20;is&#x20;not&#x20;enabled','discard&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;simply&#x20;discards&#x20;all&#x20;data&#x20;it&#x20;receives.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Remove&#x20;or&#x20;comment&#x20;out&#x20;any&#x20;discard&#x20;lines&#x20;in&#x20;/etc/inetd.conf:&#x20;#discard&#x20;stream&#x20;tcp&#x20;nowait&#x20;root&#x20;internal','[{\"cis\": [\"5.5\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1042,'Ensure&#x20;time&#x20;is&#x20;not&#x20;enabled','time&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;with&#x20;the&#x20;server&#039;s&#x20;current&#x20;date&#x20;and&#x20;time&#x20;as&#x20;a&#x20;32&#x20;bit&#x20;integer.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Remove&#x20;or&#x20;comment&#x20;out&#x20;any&#x20;time&#x20;lines&#x20;in&#x20;/etc/inetd.conf:&#x20;#time&#x20;stream&#x20;tcp&#x20;nowait&#x20;root&#x20;internal','[{\"cis\": [\"5.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1043,'Ensure&#x20;the&#x20;X&#x20;Window&#x20;system&#x20;is&#x20;not&#x20;installed','The&#x20;X&#x20;Window&#x20;system&#x20;provides&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;where&#x20;users&#x20;can&#x20;have&#x20;multiple&#x20;windows&#x20;in&#x20;which&#x20;to&#x20;run&#x20;programs&#x20;and&#x20;various&#x20;add&#x20;on.&#x20;The&#x20;X&#x20;Window&#x20;system&#x20;is&#x20;typically&#x20;used&#x20;on&#x20;desktops&#x20;where&#x20;users&#x20;login,&#x20;but&#x20;not&#x20;on&#x20;servers&#x20;where&#x20;users&#x20;typically&#x20;do&#x20;not&#x20;login.','Unless&#x20;your&#x20;organization&#x20;specifically&#x20;requires&#x20;graphical&#x20;login&#x20;access&#x20;via&#x20;X&#x20;Windows,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Uninstall&#x20;X&#x20;Windows:&#x20;#&#x20;apt-get&#x20;purge&#x20;xserver-xorg-core*','[{\"cis\": [\"6.1\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1044,'Ensure&#x20;Avahi&#x20;Server&#x20;is&#x20;not&#x20;enabled','Avahi&#x20;is&#x20;a&#x20;free&#x20;zeroconf&#x20;implementation,&#x20;including&#x20;a&#x20;system&#x20;for&#x20;multicast&#x20;DNS/DNS-SD&#x20;service&#x20;discovery.&#x20;Avahi&#x20;allows&#x20;programs&#x20;to&#x20;publish&#x20;and&#x20;discover&#x20;services&#x20;and&#x20;hosts&#x20;running&#x20;on&#x20;a&#x20;local&#x20;network&#x20;with&#x20;no&#x20;specific&#x20;configuration.&#x20;For&#x20;example,&#x20;a&#x20;user&#x20;can&#x20;plug&#x20;a&#x20;computer&#x20;into&#x20;a&#x20;network&#x20;and&#x20;Avahi&#x20;automatically&#x20;finds&#x20;printers&#x20;to&#x20;print&#x20;to,&#x20;files&#x20;to&#x20;look&#x20;at&#x20;and&#x20;people&#x20;to&#x20;talk&#x20;to,&#x20;as&#x20;well&#x20;as&#x20;network&#x20;services&#x20;running&#x20;on&#x20;the&#x20;machine.','Since&#x20;servers&#x20;are&#x20;not&#x20;normally&#x20;used&#x20;for&#x20;printing,&#x20;this&#x20;service&#x20;is&#x20;not&#x20;needed&#x20;unless&#x20;dependencies&#x20;require&#x20;it.&#x20;If&#x20;this&#x20;is&#x20;the&#x20;case,&#x20;disable&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Disable&#x20;avahi-daemon:&#x20;#&#x20;update-rc.d&#x20;avahi-daemon&#x20;disable','[{\"cis\": [\"6.2\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1045,'Ensure&#x20;print&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;Common&#x20;Unix&#x20;Print&#x20;System&#x20;&#40;CUPS&#41;&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;print&#x20;to&#x20;both&#x20;local&#x20;and&#x20;network&#x20;printers.&#x20;A&#x20;system&#x20;running&#x20;CUPS&#x20;can&#x20;also&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;remote&#x20;systems&#x20;and&#x20;print&#x20;them&#x20;to&#x20;local&#x20;printers.&#x20;It&#x20;also&#x20;provides&#x20;a&#x20;web&#x20;based&#x20;remote&#x20;administration&#x20;capability.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;need&#x20;to&#x20;print&#x20;jobs&#x20;or&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;systems,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;CUPS&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Disable&#x20;cups:&#x20;#&#x20;update-rc.d&#x20;cups&#x20;disable','[{\"cis\": [\"6.3\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1046,'Ensure&#x20;DHCP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Dynamic&#x20;Host&#x20;Configuration&#x20;Protocol&#x20;&#40;DHCP&#41;&#x20;is&#x20;a&#x20;service&#x20;that&#x20;allows&#x20;machines&#x20;to&#x20;be&#x20;dynamically&#x20;assigned&#x20;IP&#x20;addresses.','Unless&#x20;a&#x20;server&#x20;is&#x20;specifically&#x20;set&#x20;up&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DHCP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Disable&#x20;isc-dhcp-server:&#x20;#&#x20;update-rc.d&#x20;isc-dhcp-server&#x20;disable','[{\"cis\": [\"6.4\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1047,'Configure&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;','The&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;NTP&#x20;can&#x20;be&#x20;found&#x20;at&#x20;http://www.ntp.org.&#x20;NTP&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.','It&#x20;is&#x20;recommended&#x20;that&#x20;physical&#x20;systems&#x20;and&#x20;virtual&#x20;guests&#x20;lacking&#x20;direct&#x20;access&#x20;to&#x20;the&#x20;physical&#x20;host&#039;s&#x20;clock&#x20;be&#x20;configured&#x20;as&#x20;NTP&#x20;clients&#x20;to&#x20;synchronize&#x20;their&#x20;clocks&#x20;&#40;especially&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;like&#x20;Kerberos&#41;.&#x20;This&#x20;also&#x20;ensures&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise,&#x20;which&#x20;aids&#x20;in&#x20;forensic&#x20;investigations.','','Install&#x20;ntp:&#x20;#&#x20;apt-get&#x20;install&#x20;ntp&#x20;&#x20;&#x20;&#x20;Ensure&#x20;the&#x20;following&#x20;lines&#x20;are&#x20;in&#x20;/etc/ntp.conf:&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;&#x20;&#x20;&#x20;&#x20;restrict&#x20;-6&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;&#x20;&#x20;&#x20;Also,&#x20;make&#x20;sure&#x20;/etc/ntp.conf&#x20;has&#x20;at&#x20;least&#x20;one&#x20;NTP&#x20;server&#x20;specified:&#x20;server&#x20;&lt;ntp-server&gt;&#x20;&#x20;&#x20;&#x20;Note:&#x20;&lt;ntp-server&gt;&#x20;is&#x20;the&#x20;IP&#x20;address&#x20;or&#x20;hostname&#x20;of&#x20;a&#x20;trusted&#x20;time&#x20;server.&#x20;Configuring&#x20;an&#x20;NTP&#x20;server&#x20;is&#x20;outside&#x20;the&#x20;scope&#x20;of&#x20;this&#x20;benchmark.','[{\"cis\": [\"6.5\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1048,'Ensure&#x20;LDAP&#x20;is&#x20;not&#x20;enabled','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;server&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;client&#x20;or&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Uninstall&#x20;the&#x20;slapd&#x20;package:&#x20;#&#x20;apt-get&#x20;purge&#x20;slapd','[{\"cis\": [\"6.6\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1049,'Ensure&#x20;NFS&#x20;and&#x20;RPC&#x20;are&#x20;not&#x20;enabled','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;server&#x20;does&#x20;not&#x20;export&#x20;NFS&#x20;shares&#x20;or&#x20;act&#x20;as&#x20;an&#x20;NFS&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;these&#x20;services&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;remote&#x20;attack&#x20;surface.','','Disable&#x20;rpcbind:&#x20;#&#x20;update-rc.d&#x20;rpcbind&#x20;disable&#x20;&#x20;&#x20;&#x20;Disable&#x20;nfs-kernel-server:&#x20;#&#x20;update-rc.d&#x20;nfs-kernel-server&#x20;disable','[{\"cis\": [\"6.7\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1050,'Ensure&#x20;DNS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Domain&#x20;Name&#x20;System&#x20;&#40;DNS&#41;&#x20;is&#x20;a&#x20;hierarchical&#x20;naming&#x20;system&#x20;that&#x20;maps&#x20;names&#x20;to&#x20;IP&#x20;addresses&#x20;for&#x20;computers,&#x20;services&#x20;and&#x20;other&#x20;resources&#x20;connected&#x20;to&#x20;a&#x20;network.','Unless&#x20;a&#x20;server&#x20;is&#x20;specifically&#x20;designated&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DNS&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Disable&#x20;bind9:&#x20;#&#x20;update-rc.d&#x20;bind9&#x20;disable','[{\"cis\": [\"6.8\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1051,'Ensure&#x20;FTP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;FTP&#41;&#x20;provides&#x20;networked&#x20;computers&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;transfer&#x20;files.','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;sftp&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Disable&#x20;vsftpd:&#x20;#&#x20;update-rc.d&#x20;vsftpd&#x20;disable','[{\"cis\": [\"6.9\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1052,'Ensure&#x20;HTTP&#x20;Server&#x20;is&#x20;not&#x20;enabled','HTTP&#x20;or&#x20;web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Disable&#x20;apache2:&#x20;#&#x20;update-rc.d&#x20;apache2&#x20;disable','[{\"cis\": [\"6.10\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1053,'Ensure&#x20;IMAP&#x20;and&#x20;POP&#x20;server&#x20;is&#x20;not&#x20;enabled','Dovecot&#x20;is&#x20;an&#x20;open&#x20;source&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;POP3&#x20;and/or&#x20;IMAP&#x20;servers&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;to&#x20;this&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Disable&#x20;dovecot:&#x20;#&#x20;update-rc.d&#x20;dovecot&#x20;disable','[{\"cis\": [\"6.11\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1054,'Ensure&#x20;Samba&#x20;is&#x20;not&#x20;enabled','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Small&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.&#x20;Windows&#x20;desktop&#x20;users&#x20;will&#x20;be&#x20;able&#x20;to&#x20;mount&#x20;these&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;as&#x20;letter&#x20;drives&#x20;on&#x20;their&#x20;systems.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;service&#x20;can&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Disable&#x20;samba:&#x20;#&#x20;update-rc.d&#x20;samba&#x20;disable','[{\"cis\": [\"6.12\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1055,'Ensure&#x20;HTTP&#x20;Proxy&#x20;Server&#x20;is&#x20;not&#x20;enabled','Squid&#x20;is&#x20;a&#x20;standard&#x20;proxy&#x20;server&#x20;used&#x20;in&#x20;many&#x20;distributions&#x20;and&#x20;environments.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;proxy&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Disable&#x20;squid3:&#x20;#&#x20;update-rc.d&#x20;squid3&#x20;disable','[{\"cis\": [\"6.13\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1056,'Ensure&#x20;SNMP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;communicates&#x20;using&#x20;SNMP&#x20;v1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;Unless&#x20;absolutely&#x20;necessary,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;SNMP&#x20;service&#x20;not&#x20;be&#x20;used.','','Disable&#x20;snmpd:&#x20;#&#x20;update-rc.d&#x20;snmpd&#x20;disable','[{\"cis\": [\"6.14\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1057,'Configure&#x20;Mail&#x20;Transfer&#x20;Agent&#x20;for&#x20;Local-Only&#x20;Mode','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','The&#x20;software&#x20;for&#x20;all&#x20;Mail&#x20;Transfer&#x20;Agents&#x20;is&#x20;complex&#x20;and&#x20;most&#x20;have&#x20;a&#x20;long&#x20;history&#x20;of&#x20;security&#x20;issues.&#x20;While&#x20;it&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;system&#x20;can&#x20;process&#x20;local&#x20;mail&#x20;messages,&#x20;it&#x20;is&#x20;not&#x20;necessary&#x20;to&#x20;have&#x20;the&#x20;MTA&#039;s&#x20;daemon&#x20;listening&#x20;on&#x20;a&#x20;port&#x20;unless&#x20;the&#x20;server&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server&#x20;that&#x20;receives&#x20;and&#x20;processes&#x20;mail&#x20;from&#x20;other&#x20;systems.&#x20;Note:&#x20;The&#x20;remediation&#x20;given&#x20;here&#x20;provides&#x20;instructions&#x20;for&#x20;configuring&#x20;the&#x20;postfix&#x20;mail&#x20;server,&#x20;depending&#x20;on&#x20;your&#x20;environment&#x20;you&#x20;may&#x20;have&#x20;an&#x20;alternative&#x20;MTA&#x20;installed&#x20;such&#x20;as&#x20;sendmail.&#x20;&#x20;If&#x20;this&#x20;is&#x20;the&#x20;case&#x20;consult&#x20;the&#x20;documentation&#x20;for&#x20;your&#x20;installed&#x20;MTA&#x20;to&#x20;configure&#x20;the&#x20;recommended&#x20;state.','','Edit&#x20;/etc/exim4/update-exim4.conf.conf&#x20;and&#x20;edit&#x20;the&#x20;dc_local_interfaces&#x20;line&#x20;to&#x20;remove&#x20;non&#x20;loopback&#x20;addresses:&#x20;dc_local_interfaces=&#039;127.0.0.1&#x20;;&#x20;::1&#039;&#x20;&#x20;&#x20;&#x20;Run&#x20;update-exim4.conf:&#x20;#&#x20;update-exim4.conf&#x20;&#x20;&#x20;&#x20;Reload&#x20;exim4&#x20;configuration:&#x20;#&#x20;service&#x20;exim4&#x20;reload','[{\"cis\": [\"6.15\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AC.4\", \"SC.7\"]}, {\"tsc\": [\"CC5.2\", \"CC6.4\", \"CC6.6\", \"CC6.7\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1058,'Ensure&#x20;rsync&#x20;service&#x20;is&#x20;not&#x20;enabled','The&#x20;rsyncd&#x20;service&#x20;can&#x20;be&#x20;used&#x20;to&#x20;synchronize&#x20;files&#x20;between&#x20;systems&#x20;over&#x20;network&#x20;links.','The&#x20;rsyncd&#x20;service&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Set&#x20;RSYNC_ENABLE&#x20;to&#x20;false&#x20;in&#x20;/etc/default/rsync:&#x20;RSYNC_ENABLE=false','[{\"cis\": [\"6.16\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1059,'Disable&#x20;IP&#x20;Forwarding','The&#x20;net.ipv4.ip_forward&#x20;flag&#x20;is&#x20;used&#x20;to&#x20;tell&#x20;the&#x20;server&#x20;whether&#x20;it&#x20;can&#x20;forward&#x20;packets&#x20;or&#x20;not.&#x20;If&#x20;the&#x20;server&#x20;is&#x20;not&#x20;to&#x20;be&#x20;used&#x20;as&#x20;a&#x20;router,&#x20;set&#x20;the&#x20;flag&#x20;to&#x20;0.','Setting&#x20;the&#x20;flag&#x20;to&#x20;0&#x20;ensures&#x20;that&#x20;a&#x20;server&#x20;with&#x20;multiple&#x20;interfaces&#x20;&#40;for&#x20;example,&#x20;a&#x20;hard&#x20;proxy&#41;,&#x20;will&#x20;never&#x20;be&#x20;able&#x20;to&#x20;forward&#x20;packets,&#x20;and&#x20;therefore,&#x20;never&#x20;serve&#x20;as&#x20;a&#x20;router.','','Set&#x20;the&#x20;net.ipv4.ip_forward&#x20;parameter&#x20;to&#x20;0&#x20;in&#x20;/etc/sysctl.conf:&#x20;net.ipv4.ip_forward=0&#x20;&#x20;&#x20;&#x20;Modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match:&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.ip_forward=0&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"7.1.1\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1060,'Disable&#x20;Send&#x20;Packet&#x20;Redirects','ICMP&#x20;Redirects&#x20;are&#x20;used&#x20;to&#x20;send&#x20;routing&#x20;information&#x20;to&#x20;other&#x20;hosts.&#x20;As&#x20;a&#x20;host&#x20;itself&#x20;does&#x20;not&#x20;act&#x20;as&#x20;a&#x20;router&#x20;&#40;in&#x20;a&#x20;host&#x20;only&#x20;configuration&#41;,&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;send&#x20;redirects.','An&#x20;attacker&#x20;could&#x20;use&#x20;a&#x20;compromised&#x20;host&#x20;to&#x20;send&#x20;invalid&#x20;ICMP&#x20;redirects&#x20;to&#x20;other&#x20;router&#x20;devices&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;corrupt&#x20;routing&#x20;and&#x20;have&#x20;users&#x20;access&#x20;a&#x20;system&#x20;set&#x20;up&#x20;by&#x20;the&#x20;attacker&#x20;as&#x20;opposed&#x20;to&#x20;a&#x20;valid&#x20;system.','','Set&#x20;the&#x20;net.ipv4.conf.all.send_redirects&#x20;and&#x20;net.ipv4.conf.default.send_redirects&#x20;parameters&#x20;to&#x20;0&#x20;in&#x20;/etc/sysctl.conf:&#x20;net.ipv4.conf.all.send_redirects=0&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.send_redirects=0&#x20;&#x20;&#x20;&#x20;Modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match:&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.conf.all.send_redirects=0&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.conf.default.send_redirects=0&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"7.1.2\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1061,'Disable&#x20;Source&#x20;Routed&#x20;Packet&#x20;Acceptance','In&#x20;networking,&#x20;source&#x20;routing&#x20;allows&#x20;a&#x20;sender&#x20;to&#x20;partially&#x20;or&#x20;fully&#x20;specify&#x20;the&#x20;route&#x20;packets&#x20;take&#x20;through&#x20;a&#x20;network.&#x20;In&#x20;contrast,&#x20;non-source&#x20;routed&#x20;packets&#x20;travel&#x20;a&#x20;path&#x20;determined&#x20;by&#x20;routers&#x20;in&#x20;the&#x20;network.&#x20;In&#x20;some&#x20;cases,&#x20;systems&#x20;may&#x20;not&#x20;be&#x20;routable&#x20;or&#x20;reachable&#x20;from&#x20;some&#x20;locations&#x20;&#40;e.g.&#x20;private&#x20;addresses&#x20;vs.&#x20;Internet&#x20;routable&#41;,&#x20;and&#x20;so&#x20;source&#x20;routed&#x20;packets&#x20;would&#x20;need&#x20;to&#x20;be&#x20;used.','Setting&#x20;net.ipv4.conf.all.accept_source_route&#x20;and&#x20;net.ipv4.conf.default.accept_source_route&#x20;to&#x20;0&#x20;disables&#x20;the&#x20;system&#x20;from&#x20;accepting&#x20;source&#x20;routed&#x20;packets.&#x20;Assume&#x20;this&#x20;server&#x20;was&#x20;capable&#x20;of&#x20;routing&#x20;packets&#x20;to&#x20;Internet&#x20;routable&#x20;addresses&#x20;on&#x20;one&#x20;interface&#x20;and&#x20;private&#x20;addresses&#x20;on&#x20;another&#x20;interface.&#x20;Assume&#x20;that&#x20;the&#x20;private&#x20;addresses&#x20;were&#x20;not&#x20;routable&#x20;to&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;and&#x20;vice&#x20;versa.&#x20;Under&#x20;normal&#x20;routing&#x20;circumstances,&#x20;an&#x20;attacker&#x20;from&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;could&#x20;not&#x20;use&#x20;the&#x20;server&#x20;as&#x20;a&#x20;way&#x20;to&#x20;reach&#x20;the&#x20;private&#x20;address&#x20;servers.&#x20;If,&#x20;however,&#x20;source&#x20;routed&#x20;packets&#x20;were&#x20;allowed,&#x20;they&#x20;could&#x20;be&#x20;used&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;private&#x20;address&#x20;systems&#x20;as&#x20;the&#x20;route&#x20;could&#x20;be&#x20;specified,&#x20;rather&#x20;than&#x20;rely&#x20;on&#x20;routing&#x20;protocols&#x20;that&#x20;did&#x20;not&#x20;allow&#x20;this&#x20;routing.','','Set&#x20;the&#x20;net.ipv4.conf.all.accept_source_route&#x20;and&#x20;net.ipv4.conf.default.accept_source_route&#x20;parameters&#x20;to&#x20;0&#x20;in&#x20;/etc/sysctl.conf:&#x20;net.ipv4.conf.all.accept_source_route=0&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.accept_source_route=0&#x20;&#x20;&#x20;&#x20;Modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match:&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_source_route=0&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_source_route=0&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"7.2.1\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1062,'Disable&#x20;ICMP&#x20;Redirect&#x20;Acceptance','ICMP&#x20;redirect&#x20;messages&#x20;are&#x20;packets&#x20;that&#x20;convey&#x20;routing&#x20;information&#x20;and&#x20;tell&#x20;your&#x20;host&#x20;&#40;acting&#x20;as&#x20;a&#x20;router&#41;&#x20;to&#x20;send&#x20;packets&#x20;via&#x20;an&#x20;alternate&#x20;path.&#x20;It&#x20;is&#x20;a&#x20;way&#x20;of&#x20;allowing&#x20;an&#x20;outside&#x20;routing&#x20;device&#x20;to&#x20;update&#x20;your&#x20;system&#x20;routing&#x20;tables.&#x20;By&#x20;setting&#x20;net.ipv4.conf.all.accept_redirects&#x20;to&#x20;0,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;accept&#x20;any&#x20;ICMP&#x20;redirect&#x20;messages,&#x20;and&#x20;therefore,&#x20;won&#039;t&#x20;allow&#x20;outsiders&#x20;to&#x20;update&#x20;the&#x20;system&#039;s&#x20;routing&#x20;tables.','Attackers&#x20;could&#x20;use&#x20;bogus&#x20;ICMP&#x20;redirect&#x20;messages&#x20;to&#x20;maliciously&#x20;alter&#x20;the&#x20;system&#x20;routing&#x20;tables&#x20;and&#x20;get&#x20;them&#x20;to&#x20;send&#x20;packets&#x20;to&#x20;incorrect&#x20;networks&#x20;and&#x20;allow&#x20;your&#x20;system&#x20;packets&#x20;to&#x20;be&#x20;captured.','','Set&#x20;the&#x20;net.ipv4.conf.all.accept_redirects&#x20;and&#x20;net.ipv4.conf.default.accept_redirects&#x20;parameters&#x20;to&#x20;0&#x20;in&#x20;/etc/sysctl.conf:&#x20;net.ipv4.conf.all.accept_redirects=0&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.accept_redirects=0&#x20;&#x20;&#x20;&#x20;Modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match:&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_redirects=0&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_redirects=0&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"7.2.2\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1063,'Disable&#x20;Secure&#x20;ICMP&#x20;Redirect&#x20;Acceptance','Secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;the&#x20;same&#x20;as&#x20;ICMP&#x20;redirects,&#x20;except&#x20;they&#x20;come&#x20;from&#x20;gateways&#x20;listed&#x20;on&#x20;the&#x20;default&#x20;gateway&#x20;list.&#x20;It&#x20;is&#x20;assumed&#x20;that&#x20;these&#x20;gateways&#x20;are&#x20;known&#x20;to&#x20;your&#x20;system,&#x20;and&#x20;that&#x20;they&#x20;are&#x20;likely&#x20;to&#x20;be&#x20;secure.','It&#x20;is&#x20;still&#x20;possible&#x20;for&#x20;even&#x20;known&#x20;gateways&#x20;to&#x20;be&#x20;compromised.&#x20;Setting&#x20;net.ipv4.conf.all.secure_redirects&#x20;to&#x20;0&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;routing&#x20;table&#x20;updates&#x20;by&#x20;possibly&#x20;compromised&#x20;known&#x20;gateways.','','Set&#x20;the&#x20;net.ipv4.conf.all.secure_redirects&#x20;and&#x20;net.ipv4.conf.default.secure_redirects&#x20;parameters&#x20;to&#x20;0&#x20;in&#x20;/etc/sysctl.conf:&#x20;net.ipv4.conf.all.secure_redirects=0&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.secure_redirects=0&#x20;&#x20;&#x20;&#x20;Modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match:&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.conf.all.secure_redirects=0&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.conf.default.secure_redirects=0&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"7.2.3\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1064,'Log&#x20;Suspicious&#x20;Packets','When&#x20;enabled,&#x20;this&#x20;feature&#x20;logs&#x20;packets&#x20;with&#x20;un-routable&#x20;source&#x20;addresses&#x20;to&#x20;the&#x20;kernel&#x20;log.','Enabling&#x20;this&#x20;feature&#x20;and&#x20;logging&#x20;these&#x20;packets&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;investigate&#x20;the&#x20;possibility&#x20;that&#x20;an&#x20;attacker&#x20;is&#x20;sending&#x20;spoofed&#x20;packets&#x20;to&#x20;their&#x20;server.','','Set&#x20;the&#x20;net.ipv4.conf.all.log_martians&#x20;and&#x20;net.ipv4.conf.default.log_martians&#x20;parameters&#x20;to&#x20;1&#x20;in&#x20;/etc/sysctl.conf:&#x20;net.ipv4.conf.all.log_martians=1&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.log_martians=1&#x20;&#x20;&#x20;&#x20;Modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match:&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.conf.all.log_martians=1&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.conf.default.log_martians=1&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"7.2.4\"]}, {\"cis_csc\": [\"6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1065,'Enable&#x20;Ignore&#x20;Broadcast&#x20;Requests','Setting&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;to&#x20;1&#x20;will&#x20;cause&#x20;the&#x20;system&#x20;to&#x20;ignore&#x20;all&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;to&#x20;broadcast&#x20;and&#x20;multicast&#x20;addresses.','Accepting&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;with&#x20;broadcast&#x20;or&#x20;multicast&#x20;destinations&#x20;for&#x20;your&#x20;network&#x20;could&#x20;be&#x20;used&#x20;to&#x20;trick&#x20;your&#x20;host&#x20;into&#x20;starting&#x20;&#40;or&#x20;participating&#41;&#x20;in&#x20;a&#x20;Smurf&#x20;attack.&#x20;A&#x20;Smurf&#x20;attack&#x20;relies&#x20;on&#x20;an&#x20;attacker&#x20;sending&#x20;large&#x20;amounts&#x20;of&#x20;ICMP&#x20;broadcast&#x20;messages&#x20;with&#x20;a&#x20;spoofed&#x20;source&#x20;address.&#x20;All&#x20;hosts&#x20;receiving&#x20;this&#x20;message&#x20;and&#x20;responding&#x20;would&#x20;send&#x20;echo-reply&#x20;messages&#x20;back&#x20;to&#x20;the&#x20;spoofed&#x20;address,&#x20;which&#x20;is&#x20;probably&#x20;not&#x20;routable.&#x20;If&#x20;many&#x20;hosts&#x20;respond&#x20;to&#x20;the&#x20;packets,&#x20;the&#x20;amount&#x20;of&#x20;traffic&#x20;on&#x20;the&#x20;network&#x20;could&#x20;be&#x20;significantly&#x20;multiplied.','','Set&#x20;the&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;parameter&#x20;to&#x20;1&#x20;in&#x20;/etc/sysctl.conf:&#x20;net.ipv4.icmp_echo_ignore_broadcasts=1&#x20;&#x20;&#x20;&#x20;Modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match:&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.icmp_echo_ignore_broadcasts=1&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"7.2.5\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1066,'Enable&#x20;Bad&#x20;Error&#x20;Message&#x20;Protection','Setting&#x20;icmp_ignore_bogus_error_responses&#x20;to&#x20;1&#x20;prevents&#x20;the&#x20;kernel&#x20;from&#x20;logging&#x20;bogus&#x20;responses&#x20;&#40;RFC-1122&#x20;non-compliant&#41;&#x20;from&#x20;broadcast&#x20;reframes,&#x20;keeping&#x20;file&#x20;systems&#x20;from&#x20;filling&#x20;up&#x20;with&#x20;useless&#x20;log&#x20;messages.','Some&#x20;routers&#x20;&#40;and&#x20;some&#x20;attackers&#41;&#x20;will&#x20;send&#x20;responses&#x20;that&#x20;violate&#x20;RFC-1122&#x20;and&#x20;attempt&#x20;to&#x20;fill&#x20;up&#x20;a&#x20;log&#x20;file&#x20;system&#x20;with&#x20;many&#x20;useless&#x20;error&#x20;messages.','','Set&#x20;the&#x20;net.ipv4.icmp_ignore_bogus_error_responses&#x20;parameter&#x20;to&#x20;1&#x20;in&#x20;/etc/sysctl.conf:&#x20;net.ipv4.icmp_ignore_bogus_error_responses=1&#x20;&#x20;&#x20;&#x20;Modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match:&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.icmp_ignore_bogus_error_responses=1&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"7.2.6\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1067,'Enable&#x20;RFC-recommended&#x20;Source&#x20;Route&#x20;Validation','Setting&#x20;net.ipv4.conf.all.rp_filter&#x20;and&#x20;net.ipv4.conf.default.rp_filter&#x20;to&#x20;1&#x20;forces&#x20;the&#x20;Linux&#x20;kernel&#x20;to&#x20;utilize&#x20;reverse&#x20;path&#x20;filtering&#x20;on&#x20;a&#x20;received&#x20;packet&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;packet&#x20;was&#x20;valid.&#x20;Essentially,&#x20;with&#x20;reverse&#x20;path&#x20;filtering,&#x20;if&#x20;the&#x20;return&#x20;packet&#x20;does&#x20;not&#x20;go&#x20;out&#x20;the&#x20;same&#x20;interface&#x20;that&#x20;the&#x20;corresponding&#x20;source&#x20;packet&#x20;came&#x20;from,&#x20;the&#x20;packet&#x20;is&#x20;dropped&#x20;&#40;and&#x20;logged&#x20;if&#x20;log_martians&#x20;is&#x20;set&#41;.','Setting&#x20;these&#x20;flags&#x20;is&#x20;a&#x20;good&#x20;way&#x20;to&#x20;deter&#x20;attackers&#x20;from&#x20;sending&#x20;your&#x20;server&#x20;bogus&#x20;packets&#x20;that&#x20;cannot&#x20;be&#x20;responded&#x20;to.&#x20;One&#x20;instance&#x20;where&#x20;this&#x20;feature&#x20;breaks&#x20;down&#x20;is&#x20;if&#x20;asymmetrical&#x20;routing&#x20;is&#x20;employed.&#x20;This&#x20;would&#x20;occur&#x20;when&#x20;using&#x20;dynamic&#x20;routing&#x20;protocols&#x20;&#40;bgp,&#x20;ospf,&#x20;etc&#41;&#x20;on&#x20;your&#x20;system.&#x20;If&#x20;you&#x20;are&#x20;using&#x20;asymmetrical&#x20;routing&#x20;on&#x20;your&#x20;server,&#x20;you&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;enable&#x20;this&#x20;feature&#x20;without&#x20;breaking&#x20;the&#x20;routing.','','Set&#x20;the&#x20;net.ipv4.conf.all.rp_filter&#x20;and&#x20;net.ipv4.conf.default.rp_filter&#x20;parameters&#x20;to&#x20;1&#x20;in&#x20;/etc/sysctl.conf:&#x20;net.ipv4.conf.all.rp_filter=1&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.rp_filter=1&#x20;&#x20;&#x20;&#x20;Modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match:&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.conf.all.rp_filter=1&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.conf.default.rp_filter=1&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"7.2.7\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1068,'Enable&#x20;TCP&#x20;SYN&#x20;Cookies','When&#x20;tcp_syncookies&#x20;is&#x20;set,&#x20;the&#x20;kernel&#x20;will&#x20;handle&#x20;TCP&#x20;SYN&#x20;packets&#x20;normally&#x20;until&#x20;the&#x20;half-open&#x20;connection&#x20;queue&#x20;is&#x20;full,&#x20;at&#x20;which&#x20;time,&#x20;the&#x20;SYN&#x20;cookie&#x20;functionality&#x20;kicks&#x20;in.&#x20;SYN&#x20;cookies&#x20;work&#x20;by&#x20;not&#x20;using&#x20;the&#x20;SYN&#x20;queue&#x20;at&#x20;all.&#x20;Instead,&#x20;the&#x20;kernel&#x20;simply&#x20;replies&#x20;to&#x20;the&#x20;SYN&#x20;with&#x20;a&#x20;SYN|ACK,&#x20;but&#x20;will&#x20;include&#x20;a&#x20;specially&#x20;crafted&#x20;TCP&#x20;sequence&#x20;number&#x20;that&#x20;encodes&#x20;the&#x20;source&#x20;and&#x20;destination&#x20;IP&#x20;address&#x20;and&#x20;port&#x20;number&#x20;and&#x20;the&#x20;time&#x20;the&#x20;packet&#x20;was&#x20;sent.&#x20;A&#x20;legitimate&#x20;connection&#x20;would&#x20;send&#x20;the&#x20;ACK&#x20;packet&#x20;of&#x20;the&#x20;three&#x20;way&#x20;handshake&#x20;with&#x20;the&#x20;specially&#x20;crafted&#x20;sequence&#x20;number.&#x20;This&#x20;allows&#x20;the&#x20;server&#x20;to&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;received&#x20;a&#x20;valid&#x20;response&#x20;to&#x20;a&#x20;SYN&#x20;cookie&#x20;and&#x20;allow&#x20;the&#x20;connection,&#x20;even&#x20;though&#x20;there&#x20;is&#x20;no&#x20;corresponding&#x20;SYN&#x20;in&#x20;the&#x20;queue.','Attackers&#x20;use&#x20;SYN&#x20;flood&#x20;attacks&#x20;to&#x20;perform&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attacked&#x20;on&#x20;a&#x20;server&#x20;by&#x20;sending&#x20;many&#x20;SYN&#x20;packets&#x20;without&#x20;completing&#x20;the&#x20;three&#x20;way&#x20;handshake.&#x20;This&#x20;will&#x20;quickly&#x20;use&#x20;up&#x20;slots&#x20;in&#x20;the&#x20;kernel&#039;s&#x20;half-open&#x20;connection&#x20;queue&#x20;and&#x20;prevent&#x20;legitimate&#x20;connections&#x20;from&#x20;succeeding.&#x20;SYN&#x20;cookies&#x20;allow&#x20;the&#x20;server&#x20;to&#x20;keep&#x20;accepting&#x20;valid&#x20;connections,&#x20;even&#x20;if&#x20;under&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attack.','','Set&#x20;the&#x20;net.ipv4.tcp_syncookies&#x20;parameter&#x20;to&#x20;1&#x20;in&#x20;/etc/sysctl.conf:&#x20;net.ipv4.tcp_syncookies=1&#x20;&#x20;&#x20;&#x20;Modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match:&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.tcp_syncookies=1&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"7.2.8\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1069,'Disable&#x20;IPv6&#x20;Router&#x20;Advertisements','This&#x20;setting&#x20;disables&#x20;the&#x20;systems&#x20;ability&#x20;to&#x20;accept&#x20;router&#x20;advertisements','It&#x20;is&#x20;recommended&#x20;that&#x20;systems&#x20;not&#x20;accept&#x20;router&#x20;advertisements&#x20;as&#x20;they&#x20;could&#x20;be&#x20;tricked&#x20;into&#x20;routing&#x20;traffic&#x20;to&#x20;compromised&#x20;machines.&#x20;Setting&#x20;hard&#x20;routes&#x20;within&#x20;the&#x20;system&#x20;&#40;usually&#x20;a&#x20;single&#x20;default&#x20;route&#x20;to&#x20;a&#x20;trusted&#x20;router&#41;&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;bad&#x20;routes.','','Set&#x20;the&#x20;net.ipv6.conf.all.accept_ra&#x20;and&#x20;net.ipv6.conf.default.accept_ra&#x20;parameter&#x20;to&#x20;0&#x20;in&#x20;/etc/sysctl.conf:&#x20;net.ipv6.conf.all.accept_ra=0&#x20;&#x20;&#x20;&#x20;net.ipv6.conf.default.accept_ra=0&#x20;&#x20;&#x20;&#x20;Modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match:&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_ra=0&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_ra=0&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"7.3.1\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1070,'Disable&#x20;IPv6&#x20;Redirect&#x20;Acceptance','This&#x20;setting&#x20;prevents&#x20;the&#x20;system&#x20;from&#x20;accepting&#x20;ICMP&#x20;redirects.&#x20;ICMP&#x20;redirects&#x20;tell&#x20;the&#x20;system&#x20;about&#x20;alternate&#x20;routes&#x20;for&#x20;sending&#x20;traffic.','It&#x20;is&#x20;recommended&#x20;that&#x20;systems&#x20;not&#x20;accept&#x20;ICMP&#x20;redirects&#x20;as&#x20;they&#x20;could&#x20;be&#x20;tricked&#x20;into&#x20;routing&#x20;traffic&#x20;to&#x20;compromised&#x20;machines.&#x20;Setting&#x20;hard&#x20;routes&#x20;within&#x20;the&#x20;system&#x20;&#40;usually&#x20;a&#x20;single&#x20;default&#x20;route&#x20;to&#x20;a&#x20;trusted&#x20;router&#41;&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;bad&#x20;routes.','','Set&#x20;the&#x20;net.ipv6.conf.all.accept_redirects&#x20;and&#x20;net.ipv6.conf.default.accept_redirects&#x20;parameters&#x20;to&#x20;0&#x20;in&#x20;/etc/sysctl.conf:&#x20;net.ipv6.conf.all.accept_redirects=0&#x20;&#x20;&#x20;&#x20;net.ipv6.conf.default.accept_redirects=0&#x20;&#x20;&#x20;&#x20;Modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match:&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_redirects=0&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_redirects=0&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"7.3.2\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1071,'Disable&#x20;IPv6','Although&#x20;IPv6&#x20;has&#x20;many&#x20;advantages&#x20;over&#x20;IPv4,&#x20;few&#x20;organizations&#x20;have&#x20;implemented&#x20;IPv6.','If&#x20;IPv6&#x20;is&#x20;not&#x20;to&#x20;be&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;it&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Create&#x20;or&#x20;edit&#x20;the&#x20;file&#x20;/etc/sysctl.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;net.ipv6.conf.all.disable_ipv6=1&#x20;&#x20;&#x20;&#x20;net.ipv6.conf.default.disable_ipv6=1&#x20;&#x20;&#x20;&#x20;net.ipv6.conf.lo.disable_ipv6=1&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;or&#x20;reboot&#x20;to&#x20;apply&#x20;the&#x20;changes:&#x20;#&#x20;sysctl&#x20;-p','[{\"cis\": [\"7.3.3\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1072,'Install&#x20;TCP&#x20;Wrappers','TCP&#x20;Wrappers&#x20;provides&#x20;a&#x20;simple&#x20;access&#x20;list&#x20;and&#x20;standardized&#x20;logging&#x20;method&#x20;for&#x20;services&#x20;capable&#x20;of&#x20;supporting&#x20;it.&#x20;In&#x20;the&#x20;past,&#x20;services&#x20;that&#x20;were&#x20;called&#x20;from&#x20;inetd&#x20;and&#x20;xinetd&#x20;supported&#x20;the&#x20;use&#x20;of&#x20;tcp&#x20;wrappers.&#x20;As&#x20;inetd&#x20;and&#x20;xinetd&#x20;have&#x20;been&#x20;falling&#x20;in&#x20;disuse,&#x20;any&#x20;service&#x20;that&#x20;can&#x20;support&#x20;tcp&#x20;wrappers&#x20;will&#x20;have&#x20;the&#x20;libwrap.so&#x20;library&#x20;attached&#x20;to&#x20;it.','TCP&#x20;Wrappers&#x20;provide&#x20;a&#x20;good&#x20;simple&#x20;access&#x20;list&#x20;mechanism&#x20;to&#x20;services&#x20;that&#x20;may&#x20;not&#x20;have&#x20;that&#x20;support&#x20;built&#x20;in.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;all&#x20;services&#x20;that&#x20;can&#x20;support&#x20;TCP&#x20;Wrappers,&#x20;use&#x20;it.','','Install&#x20;tcpd&#x20;:&#x20;#&#x20;apt-get&#x20;install&#x20;tcpd&#x20;To&#x20;verify&#x20;if&#x20;a&#x20;service&#x20;supports&#x20;TCP&#x20;Wrappers,&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;ldd&#x20;&lt;path-to-daemon&gt;&#x20;|&#x20;grep&#x20;libwrap.so&#x20;If&#x20;there&#x20;is&#x20;any&#x20;output,&#x20;then&#x20;the&#x20;service&#x20;supports&#x20;TCP&#x20;Wrappers.','[{\"cis\": [\"7.4.2\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"1.3.5\"]}]'),(1073,'Create&#x20;/etc/hosts.allow','The&#x20;/etc/hosts.allow&#x20;file&#x20;specifies&#x20;which&#x20;IP&#x20;addresses&#x20;are&#x20;permitted&#x20;to&#x20;connect&#x20;to&#x20;the&#x20;host.&#x20;It&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;used&#x20;in&#x20;conjunction&#x20;with&#x20;the&#x20;/etc/hosts.deny&#x20;file.','The&#x20;/etc/hosts.allow&#x20;file&#x20;supports&#x20;access&#x20;control&#x20;by&#x20;IP&#x20;and&#x20;helps&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;systems&#x20;can&#x20;connect&#x20;to&#x20;the&#x20;server.','','Create&#x20;/etc/hosts.allow:&#x20;#&#x20;echo&#x20;&quot;ALL:&#x20;&lt;net&gt;/&lt;mask&gt;,&#x20;&lt;net&gt;/&lt;mask&gt;,&#x20;...&quot;&#x20;&gt;/etc/hosts.allow&#x20;&#x20;where&#x20;each&#x20;&lt;net&gt;/&lt;mask&gt;&#x20;combination&#x20;&#x20;&#40;for&#x20;example,&#x20;&quot;192.168.1.0/255.255.255.0&quot;&#41;&#x20;represents&#x20;one&#x20;network&#x20;block&#x20;in&#x20;use&#x20;by&#x20;your&#x20;organization&#x20;that&#x20;requires&#x20;access&#x20;to&#x20;this&#x20;system.','[{\"cis\": [\"7.4.2\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"1.3.5\"]}]'),(1074,'Verify&#x20;permissions&#x20;on&#x20;/etc/hosts.allow','The&#x20;/etc/hosts.allow&#x20;file&#x20;contains&#x20;network&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;applications&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;applications&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/hosts.allow&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','If&#x20;the&#x20;permissions&#x20;of&#x20;the&#x20;/etc/hosts.allow&#x20;file&#x20;are&#x20;incorrect,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;correct&#x20;them:&#x20;#&#x20;/bin/chmod&#x20;644&#x20;/etc/hosts.allow','[{\"cis\": [\"7.4.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"1.3.5\"]}]'),(1075,'Create&#x20;/etc/hosts.deny','The&#x20;/etc/hosts.deny&#x20;file&#x20;specifies&#x20;which&#x20;IP&#x20;addresses&#x20;are&#x20;not&#x20;permitted&#x20;to&#x20;connect&#x20;to&#x20;the&#x20;host.&#x20;It&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;used&#x20;in&#x20;conjunction&#x20;with&#x20;the&#x20;/etc/hosts.allow&#x20;file.','The&#x20;/etc/hosts.deny&#x20;file&#x20;serves&#x20;as&#x20;a&#x20;failsafe&#x20;so&#x20;that&#x20;any&#x20;host&#x20;not&#x20;specified&#x20;in&#x20;/etc/hosts.allow&#x20;is&#x20;denied&#x20;access&#x20;to&#x20;the&#x20;server.','','Create&#x20;/etc/hosts.deny:&#x20;#&#x20;echo&#x20;&quot;ALL:&#x20;ALL&quot;&#x20;&gt;&gt;&#x20;/etc/hosts.deny','[{\"cis\": [\"7.4.4\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"1.3.5\"]}]'),(1076,'Verify&#x20;permissions&#x20;on&#x20;/etc/hosts.deny','The&#x20;/etc/hosts.deny&#x20;file&#x20;contains&#x20;network&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;applications&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;applications&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/hosts.deny&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','If&#x20;the&#x20;permissions&#x20;of&#x20;the&#x20;/etc/hosts.deny&#x20;file&#x20;are&#x20;incorrect,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;correct&#x20;them:&#x20;#&#x20;/bin/chmod&#x20;644&#x20;/etc/hosts.deny','[{\"cis\": [\"7.4.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"1.3.5\"]}]'),(1077,'Disable&#x20;DCCP','The&#x20;Datagram&#x20;Congestion&#x20;Control&#x20;Protocol&#x20;&#40;DCCP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;that&#x20;supports&#x20;streaming&#x20;media&#x20;and&#x20;telephony.&#x20;DCCP&#x20;provides&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;congestion&#x20;control,&#x20;without&#x20;having&#x20;to&#x20;do&#x20;it&#x20;at&#x20;the&#x20;application&#x20;layer,&#x20;but&#x20;does&#x20;not&#x20;provide&#x20;in-sequence&#x20;delivery.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;drivers&#x20;not&#x20;be&#x20;installed&#x20;&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','#&#x20;echo&#x20;&quot;install&#x20;dccp&#x20;/bin/true&quot;&#x20;&gt;&gt;&#x20;/etc/modprobe.d/CIS.conf','[{\"cis\": [\"7.5.1\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1078,'Disable&#x20;SCTP','The&#x20;Stream&#x20;Control&#x20;Transmission&#x20;Protocol&#x20;&#40;SCTP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;used&#x20;to&#x20;support&#x20;message&#x20;oriented&#x20;communication,&#x20;with&#x20;several&#x20;streams&#x20;of&#x20;messages&#x20;in&#x20;one&#x20;connection.&#x20;It&#x20;serves&#x20;a&#x20;similar&#x20;function&#x20;as&#x20;TCP&#x20;and&#x20;UDP,&#x20;incorporating&#x20;features&#x20;of&#x20;both.&#x20;It&#x20;is&#x20;message-oriented&#x20;like&#x20;UDP,&#x20;and&#x20;ensures&#x20;reliable&#x20;in-sequence&#x20;transport&#x20;of&#x20;messages&#x20;with&#x20;congestion&#x20;control&#x20;like&#x20;TCP.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','#&#x20;echo&#x20;&quot;install&#x20;sctp&#x20;/bin/true&quot;&#x20;&gt;&gt;&#x20;/etc/modprobe.d/CIS.conf','[{\"cis\": [\"7.5.2\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1079,'Disable&#x20;RDS','The&#x20;Reliable&#x20;Datagram&#x20;Sockets&#x20;&#40;RDS&#41;&#x20;protocol&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;designed&#x20;to&#x20;provide&#x20;low-latency,&#x20;high-bandwidth&#x20;communications&#x20;between&#x20;cluster&#x20;nodes.&#x20;It&#x20;was&#x20;developed&#x20;by&#x20;the&#x20;Oracle&#x20;Corporation.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','#&#x20;echo&#x20;&quot;install&#x20;rds&#x20;/bin/true&quot;&#x20;&gt;&gt;&#x20;/etc/modprobe.d/CIS.conf','[{\"cis\": [\"7.5.3\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1080,'Disable&#x20;TIPC','The&#x20;Transparent&#x20;Inter-Process&#x20;Communication&#x20;&#40;TIPC&#41;&#x20;protocol&#x20;is&#x20;designed&#x20;to&#x20;provide&#x20;communication&#x20;between&#x20;cluster&#x20;nodes.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','#&#x20;echo&#x20;&quot;install&#x20;tipc&#x20;/bin/true&quot;&#x20;&gt;&gt;&#x20;/etc/modprobe.d/CIS.conf','[{\"cis\": [\"7.5.4\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1081,'Deactivate&#x20;Wireless&#x20;Interfaces','Wireless&#x20;networking&#x20;is&#x20;used&#x20;when&#x20;wired&#x20;networks&#x20;are&#x20;unavailable.&#x20;Debian&#x20;provides&#x20;the&#x20;nmcli&#x20;interface&#x20;which&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;and&#x20;use&#x20;wireless&#x20;networks.','If&#x20;wireless&#x20;is&#x20;not&#x20;to&#x20;be&#x20;used,&#x20;wireless&#x20;devices&#x20;can&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Use&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;wireless:&#x20;#&#x20;nmcli&#x20;nm&#x20;wifi&#x20;off','[{\"cis\": [\"7.6\"]}, {\"pci_dss\": [\"1.2.3\"]}, {\"tsc\": [\"CC6.6\"]}]'),(1082,'Ensure&#x20;Firewall&#x20;is&#x20;active','IPtables&#x20;is&#x20;an&#x20;application&#x20;that&#x20;allows&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;configure&#x20;the&#x20;IPv4&#x20;tables,&#x20;chains&#x20;and&#x20;rules&#x20;provided&#x20;by&#x20;the&#x20;Linux&#x20;kernel&#x20;firewall.&#x20;&#x20;The&#x20;iptables-persistent&#x20;package&#x20;in&#x20;Debian&#x20;provides&#x20;one&#x20;way&#x20;to&#x20;ensure&#x20;iptables&#x20;rules&#x20;are&#x20;reapplied&#x20;on&#x20;reboot.&#x20;Note:&#x20;the&#x20;audit&#x20;and&#x20;remediation&#x20;included&#x20;provide&#x20;instructions&#x20;for&#x20;using&#x20;iptables-persistent&#x20;to&#x20;reapply&#x20;iptables&#x20;rules.&#x20;&#x20;Other&#x20;methods&#x20;are&#x20;available&#x20;which&#x20;may&#x20;be&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;and&#x20;may&#x20;conflict&#x20;with&#x20;these&#x20;steps.','IPtables&#x20;provides&#x20;extra&#x20;protection&#x20;for&#x20;the&#x20;Linux&#x20;system&#x20;by&#x20;limiting&#x20;communications&#x20;in&#x20;and&#x20;out&#x20;of&#x20;the&#x20;box&#x20;to&#x20;specific&#x20;IPv4&#x20;addresses&#x20;and&#x20;ports.','','Install&#x20;the&#x20;iptables&#x20;and&#x20;iptables-persistent&#x20;packages:&#x20;#&#x20;apt-get&#x20;install&#x20;iptables&#x20;iptables-persistent&#x20;&#x20;&#x20;&#x20;Enable&#x20;the&#x20;iptables-persistent&#x20;service:&#x20;#&#x20;update-rc.d&#x20;iptables-persistent&#x20;enable','[{\"cis\": [\"7.7\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"1.1\"]}]'),(1083,'Configure&#x20;Audit&#x20;Log&#x20;Storage&#x20;Size','Configure&#x20;the&#x20;maximum&#x20;size&#x20;of&#x20;the&#x20;audit&#x20;log&#x20;file.&#x20;Once&#x20;the&#x20;log&#x20;reaches&#x20;the&#x20;maximum&#x20;size,&#x20;it&#x20;will&#x20;be&#x20;rotated&#x20;and&#x20;a&#x20;new&#x20;log&#x20;file&#x20;will&#x20;be&#x20;started.','It&#x20;is&#x20;important&#x20;that&#x20;an&#x20;appropriate&#x20;size&#x20;is&#x20;determined&#x20;for&#x20;log&#x20;files&#x20;so&#x20;that&#x20;they&#x20;do&#x20;not&#x20;impact&#x20;the&#x20;system&#x20;and&#x20;audit&#x20;data&#x20;is&#x20;not&#x20;lost.','','Set&#x20;the&#x20;max_log_file&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf&#x20;max_log_file&#x20;=&#x20;&lt;MB&gt;&#x20;Note:&#x20;MB&#x20;is&#x20;the&#x20;number&#x20;of&#x20;MegaBytes&#x20;the&#x20;file&#x20;can&#x20;be.','[{\"cis\": [\"8.1.1.1\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"10.7\"]}]'),(1084,'Disable&#x20;System&#x20;on&#x20;Audit&#x20;Log&#x20;Full','The&#x20;auditd&#x20;daemon&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;halt&#x20;the&#x20;system&#x20;when&#x20;the&#x20;audit&#x20;logs&#x20;are&#x20;full.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;risk&#x20;of&#x20;detecting&#x20;unauthorized&#x20;access&#x20;or&#x20;nonrepudiation&#x20;exceeds&#x20;the&#x20;benefit&#x20;of&#x20;the&#x20;system&#039;s&#x20;availability.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/auditd.conf&#x20;file.&#x20;space_left_action&#x20;=&#x20;email&#x20;action_mail_acct&#x20;=&#x20;root&#x20;admin_space_left_action&#x20;=&#x20;halt','[{\"cis\": [\"8.1.1.2\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"10.7\"]}]'),(1085,'Keep&#x20;All&#x20;Auditing&#x20;Information','Normally,&#x20;auditd&#x20;will&#x20;hold&#x20;4&#x20;logs&#x20;of&#x20;maximum&#x20;log&#x20;file&#x20;size&#x20;before&#x20;deleting&#x20;older&#x20;log&#x20;files.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;benefits&#x20;of&#x20;maintaining&#x20;a&#x20;long&#x20;audit&#x20;history&#x20;exceed&#x20;the&#x20;cost&#x20;of&#x20;storing&#x20;the&#x20;audit&#x20;history.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/audit/auditd.conf&#x20;file.&#x20;max_log_file_action&#x20;=&#x20;keep_logs','[{\"cis\": [\"8.1.1.3\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"10.7\"]}]'),(1086,'Install&#x20;and&#x20;Enable&#x20;auditd&#x20;Service','Install&#x20;and&#x20;turn&#x20;on&#x20;the&#x20;auditd&#x20;daemon&#x20;to&#x20;record&#x20;system&#x20;events.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Install&#x20;auditd:&#x20;#&#x20;apt-get&#x20;install&#x20;auditd&#x20;If&#x20;needed&#x20;enable&#x20;auditd&#x20;in&#x20;/etc/rc*.d:&#x20;#&#x20;update-rc.d&#x20;auditd&#x20;enable','[{\"cis\": [\"8.1.2\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.1\", \"10.7\"]}, {\"tsc\": [\"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(1087,'Enable&#x20;Auditing&#x20;for&#x20;Processes&#x20;That&#x20;Start&#x20;Prior&#x20;to&#x20;auditd','Configure&#x20;grub&#x20;or&#x20;lilo&#x20;so&#x20;that&#x20;processes&#x20;that&#x20;are&#x20;capable&#x20;of&#x20;being&#x20;audited&#x20;can&#x20;be&#x20;audited&#x20;even&#x20;if&#x20;they&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;startup.','Audit&#x20;events&#x20;need&#x20;to&#x20;be&#x20;captured&#x20;on&#x20;processes&#x20;that&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd,&#x20;so&#x20;that&#x20;potential&#x20;malicious&#x20;activity&#x20;cannot&#x20;go&#x20;undetected.','','Edit&#x20;/etc/default/grub&#x20;to&#x20;include&#x20;audit=1&#x20;as&#x20;part&#x20;of&#x20;GRUB_CMDLINE_LINUX:&#x20;GRUB_CMDLINE_LINUX=&quot;audit=1&quot;And&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub&#x20;configuration:&#x20;#&#x20;update-grub','[{\"cis\": [\"8.1.3\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.2.6\", \"10.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC7.3\", \"CC7.4\", \"CC6.8\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"35.7.d\", \"32.2\"]}]'),(1088,'Record&#x20;Events&#x20;That&#x20;Modify&#x20;Date&#x20;and&#x20;Time&#x20;Information','Capture&#x20;events&#x20;where&#x20;the&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;has&#x20;been&#x20;modified.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;are&#x20;set&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;adjtimex&#x20;&#40;tune&#x20;kernel&#x20;clock&#41;,&#x20;settimeofday&#x20;&#40;Set&#x20;time,&#x20;using&#x20;timeval&#x20;and&#x20;timezone&#x20;structures&#41;&#x20;stime&#x20;&#40;using&#x20;seconds&#x20;since&#x20;1/1/1970&#41;&#x20;or&#x20;clock_settime&#x20;&#40;allows&#x20;for&#x20;the&#x20;setting&#x20;of&#x20;several&#x20;internal&#x20;clocks&#x20;and&#x20;timers&#41;&#x20;system&#x20;calls&#x20;have&#x20;been&#x20;executed&#x20;and&#x20;always&#x20;write&#x20;an&#x20;audit&#x20;record&#x20;to&#x20;the&#x20;/var/log/audit.log&#x20;file&#x20;upon&#x20;exit,&#x20;tagging&#x20;the&#x20;records&#x20;with&#x20;the&#x20;identifier&#x20;&quot;time-change&quot;','Unexpected&#x20;changes&#x20;in&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;could&#x20;be&#x20;a&#x20;sign&#x20;of&#x20;malicious&#x20;activity&#x20;on&#x20;the&#x20;system.','','For&#x20;64&#x20;bit&#x20;systems,&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-k&#x20;time-change&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-change&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;auditd&#x20;#&#x20;pkill&#x20;-P&#x20;1-HUP&#x20;auditd&#x20;For&#x20;32&#x20;bit&#x20;systems,&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-change&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;auditd&#x20;#&#x20;pkill&#x20;-P&#x20;1-HUP&#x20;auditd','[{\"cis\": [\"8.1.4\"]}, {\"cis_csc\": [\"3.6\"]}, {\"pci_dss\": [\"10.4.2\", \"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1089,'Record&#x20;Events&#x20;That&#x20;Modify&#x20;User/Group&#x20;Information','Record&#x20;events&#x20;affecting&#x20;the&#x20;group,&#x20;passwd&#x20;&#40;user&#x20;IDs&#41;,&#x20;shadow&#x20;and&#x20;gshadow&#x20;&#40;passwords&#41;&#x20;or&#x20;/etc/security/opasswd&#x20;&#40;old&#x20;passwords,&#x20;based&#x20;on&#x20;remember&#x20;parameter&#x20;in&#x20;the&#x20;PAM&#x20;configuration&#41;&#x20;files.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;will&#x20;watch&#x20;the&#x20;files&#x20;to&#x20;see&#x20;if&#x20;they&#x20;have&#x20;been&#x20;opened&#x20;for&#x20;write&#x20;or&#x20;have&#x20;had&#x20;attribute&#x20;changes&#x20;&#40;e.g.&#x20;permissions&#41;&#x20;and&#x20;tag&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;identity&quot;&#x20;in&#x20;the&#x20;audit&#x20;log&#x20;file.','Unexpected&#x20;changes&#x20;to&#x20;these&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;the&#x20;system&#x20;has&#x20;been&#x20;compromised&#x20;and&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;hide&#x20;their&#x20;activities&#x20;or&#x20;compromise&#x20;additional&#x20;accounts.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;-w&#x20;/etc/group&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/passwd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/gshadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/shadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/security/opasswd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;auditd&#x20;#&#x20;pkill&#x20;-P&#x20;1-HUP&#x20;auditd','[{\"cis\": [\"8.1.5\"]}, {\"cis_csc\": [\"5.4\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC7.3\", \"CC7.4\", \"CC6.8\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(1090,'Record&#x20;Events&#x20;That&#x20;Modify&#x20;the&#x20;System&#039;s&#x20;Network&#x20;Environment','Record&#x20;changes&#x20;to&#x20;network&#x20;environment&#x20;files&#x20;or&#x20;system&#x20;calls.&#x20;The&#x20;below&#x20;parameters&#x20;monitor&#x20;the&#x20;sethostname&#x20;&#40;set&#x20;the&#x20;systems&#x20;host&#x20;name&#41;&#x20;or&#x20;setdomainname&#x20;&#40;set&#x20;the&#x20;systems&#x20;domainname&#41;&#x20;system&#x20;calls,&#x20;and&#x20;write&#x20;an&#x20;audit&#x20;event&#x20;on&#x20;system&#x20;call&#x20;exit.&#x20;The&#x20;other&#x20;parameters&#x20;monitor&#x20;the&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;files&#x20;&#40;messages&#x20;displayed&#x20;prelogin&#41;,&#x20;/etc/hosts&#x20;&#40;file&#x20;containing&#x20;host&#x20;names&#x20;and&#x20;associated&#x20;IP&#x20;addresses&#41;&#x20;and&#x20;/etc/network&#x20;&#40;directory&#x20;containing&#x20;network&#x20;interface&#x20;scripts&#x20;and&#x20;configurations&#41;&#x20;files.','Monitoring&#x20;sethostname&#x20;and&#x20;setdomainname&#x20;will&#x20;identify&#x20;potential&#x20;unauthorized&#x20;changes&#x20;to&#x20;host&#x20;and&#x20;domainname&#x20;of&#x20;a&#x20;system.&#x20;The&#x20;changing&#x20;of&#x20;these&#x20;names&#x20;could&#x20;potentially&#x20;break&#x20;security&#x20;parameters&#x20;that&#x20;are&#x20;set&#x20;based&#x20;on&#x20;those&#x20;names.&#x20;The&#x20;/etc/hosts&#x20;file&#x20;is&#x20;monitored&#x20;for&#x20;changes&#x20;in&#x20;the&#x20;file&#x20;that&#x20;can&#x20;indicate&#x20;an&#x20;unauthorized&#x20;intruder&#x20;is&#x20;trying&#x20;to&#x20;change&#x20;machine&#x20;associations&#x20;with&#x20;IP&#x20;addresses&#x20;and&#x20;trick&#x20;users&#x20;and&#x20;processes&#x20;into&#x20;connecting&#x20;to&#x20;unintended&#x20;machines.&#x20;Monitoring&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;is&#x20;important,&#x20;as&#x20;intruders&#x20;could&#x20;put&#x20;disinformation&#x20;into&#x20;those&#x20;files&#x20;and&#x20;trick&#x20;users&#x20;into&#x20;providing&#x20;information&#x20;to&#x20;the&#x20;intruder.&#x20;Monitoring&#x20;/etc/network&#x20;is&#x20;important&#x20;as&#x20;it&#x20;can&#x20;show&#x20;if&#x20;network&#x20;interfaces&#x20;or&#x20;scripts&#x20;are&#x20;being&#x20;modified&#x20;in&#x20;a&#x20;way&#x20;that&#x20;can&#x20;lead&#x20;to&#x20;the&#x20;machine&#x20;becoming&#x20;unavailable&#x20;or&#x20;compromised.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;system-locale.&quot;','','For&#x20;64&#x20;bit&#x20;systems,&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;-a&#x20;exit,always&#x20;-F&#x20;arch=b64&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;-a&#x20;exit,always&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/network&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;auditd&#x20;#&#x20;pkill&#x20;-P&#x20;1-HUP&#x20;auditd&#x20;For&#x20;32&#x20;bit&#x20;systems,&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;-a&#x20;exit,always&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/network&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;auditd&#x20;#&#x20;pkill&#x20;-P&#x20;1-HUP&#x20;auditd','[{\"cis\": [\"8.1.6\"]}, {\"cis_csc\": [\"3.6\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC7.3\", \"CC7.4\", \"CC6.8\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1091,'Record&#x20;Events&#x20;That&#x20;Modify&#x20;the&#x20;System&#039;s&#x20;Mandatory&#x20;Access&#x20;Controls','Monitor&#x20;SELinux&#x20;mandatory&#x20;access&#x20;controls.&#x20;The&#x20;parameters&#x20;below&#x20;monitor&#x20;any&#x20;write&#x20;access&#x20;&#40;potential&#x20;additional,&#x20;deletion&#x20;or&#x20;modification&#x20;of&#x20;files&#x20;in&#x20;the&#x20;directory&#41;&#x20;or&#x20;attribute&#x20;changes&#x20;to&#x20;the&#x20;/etc/selinux&#x20;directory.','Changes&#x20;to&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;could&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;modify&#x20;access&#x20;controls&#x20;and&#x20;change&#x20;security&#x20;contexts,&#x20;leading&#x20;to&#x20;a&#x20;compromise&#x20;of&#x20;the&#x20;system.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;/etc/audit/audit.rules&#x20;-w&#x20;/etc/selinux/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;auditd&#x20;#&#x20;pkill&#x20;-P&#x20;1-HUP&#x20;auditd','[{\"cis\": [\"8.1.7\"]}, {\"cis_csc\": [\"3.6\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC7.3\", \"CC7.4\", \"CC6.8\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(1092,'Collect&#x20;Login&#x20;and&#x20;Logout&#x20;Events','Monitor&#x20;login&#x20;and&#x20;logout&#x20;events.&#x20;The&#x20;parameters&#x20;below&#x20;track&#x20;changes&#x20;to&#x20;files&#x20;associated&#x20;with&#x20;login/logout&#x20;events.&#x20;The&#x20;file&#x20;/var/log/faillog&#x20;tracks&#x20;failed&#x20;events&#x20;from&#x20;login.&#x20;The&#x20;file&#x20;/var/log/lastlog&#x20;maintain&#x20;records&#x20;of&#x20;the&#x20;last&#x20;time&#x20;a&#x20;user&#x20;successfully&#x20;logged&#x20;in.&#x20;The&#x20;file&#x20;/var/log/tallylog&#x20;maintains&#x20;records&#x20;of&#x20;failures&#x20;via&#x20;the&#x20;pam_tally2&#x20;module','Monitoring&#x20;login/logout&#x20;events&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;information&#x20;associated&#x20;with&#x20;brute&#x20;force&#x20;attacks&#x20;against&#x20;user&#x20;logins.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.&amp;&amp;&#x20;r:rules&#x20;file.&#x20;-w&#x20;/var/log/faillog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;-w&#x20;/var/log/lastlog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;-w&#x20;/var/log/tallylog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;auditd&#x20;#&#x20;pkill&#x20;-HUP&#x20;-P&#x20;1&#x20;auditd','[{\"cis\": [\"8.1.8\"]}, {\"cis_csc\": [\"5.5\", \"16.10\", \"16.4\"]}, {\"pci_dss\": [\"10.2.1\", \"10.2.4\", \"10.3\"]}, {\"nist_800_53\": [\"AC.7\", \"AU.14\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC7.3\", \"CC7.4\", \"CC6.8\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1093,'Collect&#x20;Session&#x20;Initiation&#x20;Information','Monitor&#x20;session&#x20;initiation&#x20;events.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;to&#x20;the&#x20;files&#x20;associated&#x20;with&#x20;session&#x20;events.&#x20;The&#x20;file&#x20;/var/run/utmp&#x20;file&#x20;tracks&#x20;all&#x20;currently&#x20;logged&#x20;in&#x20;users.&#x20;The&#x20;/var/log/wtmp&#x20;file&#x20;tracks&#x20;logins,&#x20;logouts,&#x20;shutdown&#x20;and&#x20;reboot&#x20;events.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;session.&quot;&#x20;The&#x20;file&#x20;/var/log/btmp&#x20;keeps&#x20;track&#x20;of&#x20;failed&#x20;login&#x20;attempts&#x20;and&#x20;can&#x20;be&#x20;read&#x20;by&#x20;entering&#x20;the&#x20;command&#x20;/usr/bin/last&#x20;-f&#x20;/var/log/btmp.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;logins.&quot;','Monitoring&#x20;these&#x20;files&#x20;for&#x20;changes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;logins&#x20;occurring&#x20;at&#x20;unusual&#x20;hours,&#x20;which&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;&#40;i.e.&#x20;a&#x20;user&#x20;logging&#x20;in&#x20;at&#x20;a&#x20;time&#x20;when&#x20;they&#x20;do&#x20;not&#x20;normally&#x20;log&#x20;in&#41;.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;-w&#x20;/var/run/utmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;-w&#x20;/var/log/wtmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;-w&#x20;/var/log/btmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;auditd&#x20;#&#x20;pkill&#x20;-HUP&#x20;-P&#x20;1&#x20;auditd&#x20;Note:&#x20;Use&#x20;the&#x20;last&#x20;command&#x20;to&#x20;read&#x20;/var/log/wtmp&#x20;&#40;last&#x20;with&#x20;no&#x20;parameters&#41;&#x20;and&#x20;/var/run/utmp&#x20;&#40;last&#x20;-f&#x20;/var/run/utmp&#41;','[{\"cis\": [\"8.1.9\"]}, {\"cis_csc\": [\"5.5\", \"16.10\", \"16.4\"]}, {\"pci_dss\": [\"10.3\"]}]'),(1094,'Collect&#x20;Discretionary&#x20;Access&#x20;Control&#x20;Permission&#x20;Modification&#x20;Events','Monitor&#x20;changes&#x20;to&#x20;file&#x20;permissions,&#x20;attributes,&#x20;ownership&#x20;and&#x20;group.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;for&#x20;system&#x20;calls&#x20;that&#x20;affect&#x20;file&#x20;permis&amp;&amp;&#x20;r:sions&#x20;and&#x20;attributes.&#x20;The&#x20;chmod,&#x20;fchmod&#x20;and&#x20;fchmodat&#x20;system&#x20;calls&#x20;affect&#x20;the&#x20;permissions&#x20;associated&#x20;with&#x20;a&#x20;file.&#x20;The&#x20;chown,&#x20;fchown,&#x20;fchownat&#x20;and&#x20;lchown&#x20;system&#x20;calls&#x20;affect&#x20;owner&#x20;and&#x20;group&#x20;attributes&#x20;on&#x20;a&#x20;file.&#x20;The&#x20;setxattr,&#x20;lsetxattr,&#x20;fsetxattr&#x20;&#40;set&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;and&#x20;removexattr,&#x20;lremovexattr,&#x20;fremovexattr&#x20;&#40;remove&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;control&#x20;extended&#x20;file&#x20;attributes.&#x20;In&#x20;all&#x20;cases,&#x20;an&#x20;audit&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;for&#x20;non-system&#x20;userids&#x20;&#40;auid&#x20;&gt;=&#x20;1000&#41;&#x20;and&#x20;will&#x20;ignore&#x20;Daemon&#x20;events&#x20;&#40;auid&#x20;=&#x20;4294967295&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;perm_mod.&quot;','Monitoring&#x20;for&#x20;changes&#x20;in&#x20;file&#x20;attributes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;activity&#x20;that&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;or&#x20;policy&#x20;violation.','','For&#x20;64&#x20;bit&#x20;systems,&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;auditd&#x20;#&#x20;pkill&#x20;-HUP&#x20;-P&#x20;1&#x20;auditd&#x20;For&#x20;32&#x20;bit&#x20;systems,&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;auditd&#x20;#&#x20;pkill&#x20;-HUP&#x20;-P&#x20;1&#x20;auditd','[{\"cis\": [\"8.1.10\"]}, {\"cis_csc\": [\"3.6\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC7.3\", \"CC7.4\", \"CC6.8\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(1095,'Collect&#x20;Unsuccessful&#x20;Unauthorized&#x20;Access&#x20;Attempts&#x20;to&#x20;Files','Monitor&#x20;for&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;access&#x20;files.&#x20;The&#x20;parameters&#x20;below&#x20;are&#x20;associated&#x20;with&#x20;system&#x20;calls&#x20;that&#x20;control&#x20;creation&#x20;&#40;creat&#41;,&#x20;opening&#x20;&#40;open,&#x20;openat&#41;&#x20;and&#x20;truncation&#x20;&#40;truncate,&#x20;ftruncate&#41;&#x20;of&#x20;files.&#x20;An&#x20;audit&#x20;log&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;if&#x20;the&#x20;user&#x20;is&#x20;a&#x20;nonprivileged&#x20;user&#x20;&#40;auid&#x20;&gt;&#x20;=&#x20;500&#41;,&#x20;is&#x20;not&#x20;a&#x20;Daemon&#x20;event&#x20;&#40;auid=4294967295&#41;&#x20;and&#x20;if&#x20;the&#x20;system&#x20;call&#x20;returned&#x20;EACCES&#x20;&#40;permission&#x20;denied&#x20;to&#x20;the&#x20;file&#41;&#x20;or&#x20;EPERM&#x20;&#40;some&#x20;other&#x20;permanent&#x20;error&#x20;associated&#x20;with&#x20;the&#x20;specific&#x20;system&#x20;call&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;access.&quot;','Failed&#x20;attempts&#x20;to&#x20;open,&#x20;create&#x20;or&#x20;truncate&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;an&#x20;individual&#x20;or&#x20;process&#x20;is&#x20;trying&#x20;to&#x20;gain&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','For&#x20;64&#x20;bit&#x20;systems,&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;auditd&#x20;#&#x20;pkill&#x20;-HUP&#x20;-P&#x20;1&#x20;auditd&#x20;For&#x20;32&#x20;bit&#x20;systems,&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;auditd&#x20;#&#x20;pkill&#x20;-HUP&#x20;-P&#x20;1&#x20;auditd','[{\"cis\": [\"8.1.11\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"10.2.4\"]}, {\"nist_800_53\": [\"AC.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC7.3\", \"CC7.4\", \"CC6.8\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1096,'Collect&#x20;Successful&#x20;File&#x20;System&#x20;Mounts','Monitor&#x20;the&#x20;use&#x20;of&#x20;the&#x20;mount&#x20;system&#x20;call.&#x20;The&#x20;mount&#x20;&#40;and&#x20;umount&#41;&#x20;system&#x20;call&#x20;controls&#x20;the&#x20;mounting&#x20;and&#x20;unmounting&#x20;of&#x20;file&#x20;systems.&#x20;The&#x20;parameters&#x20;below&#x20;configure&#x20;the&#x20;system&#x20;to&#x20;create&#x20;an&#x20;audit&#x20;record&#x20;when&#x20;the&#x20;mount&#x20;system&#x20;call&#x20;is&#x20;used&#x20;by&#x20;a&#x20;non-privileged&#x20;user','It&#x20;is&#x20;highly&#x20;unusual&#x20;for&#x20;a&#x20;non&#x20;privileged&#x20;user&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;to&#x20;the&#x20;system.&#x20;While&#x20;tracking&#x20;mount&#x20;commands&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;evidence&#x20;that&#x20;external&#x20;media&#x20;may&#x20;have&#x20;been&#x20;mounted&#x20;&#40;based&#x20;on&#x20;a&#x20;review&#x20;of&#x20;the&#x20;source&#x20;of&#x20;the&#x20;mount&#x20;and&#x20;confirming&#x20;it&#039;s&#x20;an&#x20;external&#x20;media&#x20;type&#41;,&#x20;it&#x20;does&#x20;not&#x20;conclusively&#x20;indicate&#x20;that&#x20;data&#x20;was&#x20;exported&#x20;to&#x20;the&#x20;media.&#x20;System&#x20;administrators&#x20;who&#x20;wish&#x20;to&#x20;determine&#x20;if&#x20;data&#x20;were&#x20;exported,&#x20;would&#x20;also&#x20;have&#x20;to&#x20;track&#x20;successful&#x20;open,&#x20;creat&#x20;and&#x20;truncate&#x20;system&#x20;calls&#x20;requiring&#x20;write&#x20;access&#x20;to&#x20;a&#x20;file&#x20;under&#x20;the&#x20;mount&#x20;point&#x20;of&#x20;the&#x20;external&#x20;media&#x20;file&#x20;system.&#x20;This&#x20;could&#x20;give&#x20;a&#x20;fair&#x20;indication&#x20;that&#x20;a&#x20;write&#x20;occurred.&#x20;The&#x20;only&#x20;way&#x20;to&#x20;truly&#x20;prove&#x20;it,&#x20;would&#x20;be&#x20;to&#x20;track&#x20;successful&#x20;writes&#x20;to&#x20;the&#x20;external&#x20;media.&#x20;Tracking&#x20;write&#x20;system&#x20;calls&#x20;could&#x20;quickly&#x20;fill&#x20;up&#x20;the&#x20;audit&#x20;log&#x20;and&#x20;is&#x20;not&#x20;recommended.&#x20;Recommendations&#x20;on&#x20;configuration&#x20;options&#x20;to&#x20;track&#x20;data&#x20;export&#x20;to&#x20;media&#x20;is&#x20;beyond&#x20;the&#x20;scope&#x20;of&#x20;this&#x20;document.','','For&#x20;64&#x20;bit&#x20;systems,&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;auditd&#x20;#&#x20;pkill&#x20;-HUP&#x20;-P&#x20;1&#x20;auditd&#x20;For&#x20;32&#x20;bit&#x20;systems,&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;auditd&#x20;#&#x20;pkill&#x20;-HUP&#x20;-P&#x20;1&#x20;auditd','[{\"cis\": [\"8.1.13\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC7.3\", \"CC7.4\", \"CC6.8\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1097,'Collect&#x20;File&#x20;Deletion&#x20;Events&#x20;by&#x20;User','Monitor&#x20;the&#x20;use&#x20;of&#x20;system&#x20;calls&#x20;associated&#x20;with&#x20;the&#x20;deletion&#x20;or&#x20;renaming&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes.&#x20;This&#x20;configuration&#x20;statement&#x20;sets&#x20;up&#x20;monitoring&#x20;for&#x20;the&#x20;unlink&#x20;&#40;remove&#x20;a&#x20;file&#41;,&#x20;unlinkat&#x20;&#40;remove&#x20;a&#x20;file&#x20;attribute&#41;,&#x20;rename&#x20;&#40;rename&#x20;a&#x20;file&#41;&#x20;and&#x20;renameat&#x20;&#40;rename&#x20;a&#x20;file&#x20;attribute&#41;&#x20;system&#x20;calls&#x20;and&#x20;tags&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;delete&quot;.','Monitoring&#x20;these&#x20;calls&#x20;from&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;evidence&#x20;that&#x20;inappropriate&#x20;removal&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes&#x20;associated&#x20;with&#x20;protected&#x20;files&#x20;is&#x20;occurring.&#x20;While&#x20;this&#x20;audit&#x20;option&#x20;will&#x20;look&#x20;at&#x20;all&#x20;events,&#x20;system&#x20;administrators&#x20;will&#x20;want&#x20;to&#x20;look&#x20;for&#x20;specific&#x20;privileged&#x20;files&#x20;that&#x20;are&#x20;being&#x20;deleted&#x20;or&#x20;altered.','','At&#x20;a&#x20;minimum,&#x20;configure&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;collect&#x20;file&#x20;deletion&#x20;events&#x20;for&#x20;all&#x20;users&#x20;and&#x20;root.&#x20;For&#x20;64&#x20;bit&#x20;systems,&#x20;add&#x20;the&#x20;following&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;auditd&#x20;#&#x20;pkill&#x20;-HUP&#x20;-P&#x20;1&#x20;auditd&#x20;For&#x20;32&#x20;bit&#x20;systems,&#x20;add&#x20;the&#x20;following&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;auditd&#x20;#&#x20;pkill&#x20;-P&#x20;1-HUP&#x20;auditd','[{\"cis\": [\"8.1.14\"]}, {\"pci_dss\": [\"10.5.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC7.1\", \"CC7.2\", \"CC7.3\", \"CC8.1\"]}]'),(1098,'Collect&#x20;Changes&#x20;to&#x20;System&#x20;Administration&#x20;Scope&#x20;&#40;sudoers&#41;','Monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrations.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;force&#x20;system&#x20;administrators&#x20;to&#x20;log&#x20;in&#x20;as&#x20;themselves&#x20;first&#x20;and&#x20;then&#x20;use&#x20;the&#x20;sudo&#x20;command&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;it&#x20;is&#x20;possible&#x20;to&#x20;monitor&#x20;changes&#x20;in&#x20;scope.&#x20;The&#x20;file&#x20;/etc/sudoers&#x20;will&#x20;be&#x20;written&#x20;to&#x20;when&#x20;the&#x20;file&#x20;or&#x20;its&#x20;attributes&#x20;have&#x20;changed.&#x20;The&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;scope.&quot;','Changes&#x20;in&#x20;the&#x20;/etc/sudoers&#x20;file&#x20;can&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;change&#x20;has&#x20;been&#x20;made&#x20;to&#x20;scope&#x20;of&#x20;system&#x20;administrator&#x20;activity.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;-w&#x20;/etc/sudoers&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;auditd&#x20;#&#x20;pkill&#x20;-HUP&#x20;-P&#x20;1&#x20;auditd','[{\"cis\": [\"8.1.15\"]}, {\"cis_csc\": [\"5.4\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC7.3\", \"CC7.4\", \"CC6.8\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(1099,'Collect&#x20;System&#x20;Administrator&#x20;Actions&#x20;&#40;sudolog&#41;','Monitor&#x20;the&#x20;sudo&#x20;log&#x20;file.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;disable&#x20;the&#x20;use&#x20;of&#x20;the&#x20;su&#x20;command&#x20;and&#x20;force&#x20;all&#x20;administrators&#x20;to&#x20;have&#x20;to&#x20;log&#x20;in&#x20;first&#x20;and&#x20;then&#x20;use&#x20;sudo&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;then&#x20;all&#x20;administrator&#x20;commands&#x20;will&#x20;be&#x20;logged&#x20;to&#x20;/var/log/sudo.log.&#x20;Any&#x20;time&#x20;a&#x20;command&#x20;is&#x20;executed,&#x20;an&#x20;audit&#x20;event&#x20;will&#x20;be&#x20;triggered&#x20;as&#x20;the&#x20;/var/log/sudo.log&#x20;file&#x20;will&#x20;be&#x20;opened&#x20;for&#x20;write&#x20;and&#x20;the&#x20;executed&#x20;administration&#x20;command&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;log.','Changes&#x20;in&#x20;/var/log/sudo.log&#x20;indicate&#x20;that&#x20;an&#x20;administrator&#x20;has&#x20;executed&#x20;a&#x20;command&#x20;or&#x20;the&#x20;log&#x20;file&#x20;itself&#x20;has&#x20;been&#x20;tampered&#x20;with.&#x20;Administrators&#x20;will&#x20;want&#x20;to&#x20;correlate&#x20;the&#x20;events&#x20;written&#x20;to&#x20;the&#x20;audit&#x20;trail&#x20;with&#x20;the&#x20;records&#x20;written&#x20;to&#x20;/var/log/sudo.log&#x20;to&#x20;verify&#x20;if&#x20;unauthorized&#x20;commands&#x20;have&#x20;been&#x20;executed.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;-w&#x20;/var/log/sudo.log&#x20;-p&#x20;wa&#x20;-k&#x20;actions&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;auditd&#x20;#&#x20;pkill&#x20;-HUP&#x20;-P&#x20;1&#x20;auditd&#x20;Note:&#x20;The&#x20;system&#x20;must&#x20;be&#x20;configured&#x20;with&#x20;su&#x20;disabled&#x20;&#40;See&#x20;Item&#x20;9.5&#x20;Restrict&#x20;Access&#x20;to&#x20;the&#x20;su&#x20;Command&#41;&#x20;to&#x20;force&#x20;all&#x20;command&#x20;execution&#x20;through&#x20;sudo.&#x20;This&#x20;will&#x20;not&#x20;be&#x20;effective&#x20;on&#x20;the&#x20;console,&#x20;as&#x20;administrators&#x20;can&#x20;log&#x20;in&#x20;as&#x20;root','[{\"cis\": [\"8.1.16\"]}, {\"cis_csc\": [\"5.1\", \"5.5\"]}, {\"pci_dss\": [\"10.2.2\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.6\", \"AC.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.3\", \"CC7.3\", \"CC7.4\", \"CC6.8\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1100,'Collect&#x20;Kernel&#x20;Module&#x20;Loading&#x20;and&#x20;Unloading','Monitor&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;kernel&#x20;modules.&#x20;The&#x20;programs&#x20;insmod&#x20;&#40;install&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;rmmod&#x20;&#40;remove&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;and&#x20;modprobe&#x20;&#40;a&#x20;more&#x20;sophisticated&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules,&#x20;as&#x20;well&#x20;as&#x20;some&#x20;other&#x20;features&#41;&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;The&#x20;init_module&#x20;&#40;load&#x20;a&#x20;module&#41;&#x20;and&#x20;delete_module&#x20;&#40;delete&#x20;a&#x20;module&#41;&#x20;system&#x20;calls&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;Any&#x20;execution&#x20;of&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;module&#x20;programs&#x20;and&#x20;system&#x20;calls&#x20;will&#x20;trigger&#x20;an&#x20;audit&#x20;record&#x20;with&#x20;an&#x20;identifier&#x20;of&#x20;&quot;modules&quot;.','Monitoring&#x20;the&#x20;use&#x20;of&#x20;insmod,&#x20;rmmod&#x20;and&#x20;modprobe&#x20;could&#x20;provide&#x20;system&#x20;administrators&#x20;with&#x20;evidence&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;loaded&#x20;or&#x20;unloaded&#x20;a&#x20;kernel&#x20;module,&#x20;possibly&#x20;compromising&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.&#x20;Monitoring&#x20;of&#x20;the&#x20;init_module&#x20;and&#x20;delete_module&#x20;system&#x20;calls&#x20;would&#x20;reflect&#x20;an&#x20;unauthorized&#x20;user&#x20;attempting&#x20;to&#x20;use&#x20;a&#x20;different&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;-w&#x20;/sbin/insmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;-w&#x20;/sbin/rmmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;-w&#x20;/sbin/modprobe&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;For&#x20;32&#x20;bit&#x20;systems,&#x20;add&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;init_module&#x20;-S&#x20;delete_module&#x20;-k&#x20;modules&#x20;For&#x20;64&#x20;bit&#x20;systems,&#x20;add&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;init_module&#x20;-S&#x20;delete_module&#x20;-k&#x20;modules','[{\"cis\": [\"8.1.17\"]}, {\"cis_csc\": [\"3\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC7.3\", \"CC7.4\", \"CC6.8\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1101,'Make&#x20;the&#x20;Audit&#x20;Configuration&#x20;Immutable','Set&#x20;system&#x20;audit&#x20;so&#x20;that&#x20;audit&#x20;rules&#x20;cannot&#x20;be&#x20;modified&#x20;with&#x20;auditctl.&#x20;Setting&#x20;the&#x20;flag&#x20;&quot;-e&#x20;2&quot;&#x20;forces&#x20;audit&#x20;to&#x20;be&#x20;put&#x20;in&#x20;immutable&#x20;mode.&#x20;Audit&#x20;changes&#x20;can&#x20;only&#x20;be&#x20;made&#x20;on&#x20;system&#x20;reboot','In&#x20;immutable&#x20;mode,&#x20;unauthorized&#x20;users&#x20;cannot&#x20;execute&#x20;changes&#x20;to&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;potentially&#x20;hide&#x20;malicious&#x20;activity&#x20;and&#x20;then&#x20;put&#x20;the&#x20;audit&#x20;rules&#x20;back.&#x20;Users&#x20;would&#x20;most&#x20;likely&#x20;notice&#x20;a&#x20;system&#x20;reboot&#x20;and&#x20;that&#x20;could&#x20;alert&#x20;administrators&#x20;of&#x20;an&#x20;attempt&#x20;to&#x20;make&#x20;unauthorized&#x20;audit&#x20;changes.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;-e&#x20;2&#x20;Note:&#x20;This&#x20;must&#x20;be&#x20;the&#x20;last&#x20;line&#x20;in&#x20;the&#x20;/etc/audit/audit.rules&#x20;file','[{\"cis\": [\"8.1.18\"]}, {\"cis_csc\": [\"3\", \"6\"]}, {\"pci_dss\": [\"10.5\"]}]'),(1102,'Install&#x20;the&#x20;rsyslog&#x20;package','The&#x20;rsyslog&#x20;package&#x20;is&#x20;a&#x20;third&#x20;party&#x20;package&#x20;that&#x20;provides&#x20;many&#x20;enhancements&#x20;to&#x20;syslog,&#x20;such&#x20;as&#x20;multi-threading,&#x20;TCP&#x20;communication,&#x20;message&#x20;filtering&#x20;and&#x20;data&#x20;base&#x20;support.','The&#x20;security&#x20;enhancements&#x20;of&#x20;rsyslog&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server&#41;&#x20;justify&#x20;installing&#x20;and&#x20;configuring&#x20;the&#x20;package.','','Install&#x20;the&#x20;rsyslog&#x20;package:&#x20;#&#x20;apt-get&#x20;install&#x20;rsyslog','[{\"cis\": [\"8.2.2\"]}, {\"cis_csc\": [\"6.2\"]}]'),(1103,'Ensure&#x20;the&#x20;rsyslog&#x20;Service&#x20;is&#x20;activated','Once&#x20;the&#x20;rsyslog&#x20;package&#x20;is&#x20;installed&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;activated.','If&#x20;the&#x20;rsyslog&#x20;service&#x20;is&#x20;not&#x20;activated&#x20;the&#x20;system&#x20;will&#x20;not&#x20;have&#x20;a&#x20;syslog&#x20;service&#x20;running.','','Enable&#x20;rsyslog:&#x20;#&#x20;update-rc.d&#x20;rsyslog&#x20;enable','[{\"cis\": [\"8.2.2\"]}, {\"cis_csc\": [\"6.2\"]}]'),(1104,'Configure&#x20;rsyslog&#x20;to&#x20;Send&#x20;Logs&#x20;to&#x20;a&#x20;Remote&#x20;Log&#x20;Host','The&#x20;rsyslog&#x20;utility&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;logs&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;running&#x20;syslogd&#40;8&#41;&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;reducing&#x20;administrative&#x20;overhead.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;&#40;where&#x20;logfile.example.com&#x20;is&#x20;the&#x20;name&#x20;of&#x20;your&#x20;central&#x20;log&#x20;host&#41;.&#x20;&#x20;*.*&#x20;@@loghost.example.com&#x20;&#x20;&#x20;&#x20;#&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;rsyslogd&#x20;&#x20;&#x20;&#x20;#&#x20;pkill&#x20;-HUP&#x20;rsyslogd&#x20;&#x20;&#x20;&#x20;Note:&#x20;The&#x20;double&#x20;&quot;at&quot;&#x20;sign&#x20;&#40;@@&#41;&#x20;directs&#x20;rsyslog&#x20;to&#x20;use&#x20;TCP&#x20;to&#x20;send&#x20;log&#x20;messages&#x20;to&#x20;the&#x20;server,&#x20;which&#x20;is&#x20;a&#x20;more&#x20;reliable&#x20;transport&#x20;mechanism&#x20;than&#x20;the&#x20;default&#x20;UDP&#x20;protocol.','[{\"cis\": [\"8.2.5\"]}, {\"cis_csc\": [\"6.6\"]}]'),(1105,'Accept&#x20;Remote&#x20;rsyslog&#x20;Messages&#x20;Only&#x20;on&#x20;Designated&#x20;Log&#x20;Hosts','By&#x20;default,&#x20;rsyslog&#x20;does&#x20;not&#x20;listen&#x20;for&#x20;log&#x20;messages&#x20;coming&#x20;in&#x20;from&#x20;remote&#x20;systems.&#x20;The&#x20;ModLoad&#x20;tells&#x20;rsyslog&#x20;to&#x20;load&#x20;the&#x20;imtcp.so&#x20;module&#x20;so&#x20;it&#x20;can&#x20;listen&#x20;over&#x20;a&#x20;network&#x20;via&#x20;TCP.&#x20;The&#x20;InputTCPServerRun&#x20;option&#x20;instructs&#x20;rsyslogd&#x20;to&#x20;listen&#x20;on&#x20;the&#x20;specified&#x20;TCP&#x20;port.','The&#x20;guidance&#x20;in&#x20;the&#x20;section&#x20;ensures&#x20;that&#x20;remote&#x20;log&#x20;hosts&#x20;are&#x20;configured&#x20;to&#x20;only&#x20;accept&#x20;rsyslog&#x20;data&#x20;from&#x20;hosts&#x20;within&#x20;the&#x20;specified&#x20;domain&#x20;and&#x20;that&#x20;those&#x20;systems&#x20;that&#x20;are&#x20;not&#x20;designed&#x20;to&#x20;be&#x20;log&#x20;hosts&#x20;do&#x20;not&#x20;accept&#x20;any&#x20;remote&#x20;rsyslog&#x20;messages.&#x20;This&#x20;provides&#x20;protection&#x20;from&#x20;spoofed&#x20;log&#x20;data&#x20;and&#x20;ensures&#x20;that&#x20;system&#x20;administrators&#x20;are&#x20;reviewing&#x20;reasonably&#x20;complete&#x20;syslog&#x20;data&#x20;in&#x20;a&#x20;central&#x20;location.','','For&#x20;hosts&#x20;that&#x20;are&#x20;designated&#x20;as&#x20;log&#x20;hosts,&#x20;edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;file&#x20;and&#x20;un-comment&#x20;the&#x20;following&#x20;lines:&#x20;$ModLoad&#x20;imtcp.so&#x20;&#x20;&#x20;&#x20;$InputTCPServerRun&#x20;514&#x20;&#x20;&#x20;&#x20;Execute&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;rsyslogd:&#x20;#&#x20;pkill&#x20;-HUP&#x20;rsyslogd','[{\"cis\": [\"8.2.6\"]}, {\"cis_csc\": [\"9.1\"]}]'),(1106,'Install&#x20;AIDE','In&#x20;some&#x20;installations,&#x20;AIDE&#x20;is&#x20;not&#x20;installed&#x20;automatically','Install&#x20;AIDE&#x20;to&#x20;make&#x20;use&#x20;of&#x20;the&#x20;file&#x20;integrity&#x20;features&#x20;to&#x20;monitor&#x20;critical&#x20;files&#x20;for&#x20;changes&#x20;that&#x20;could&#x20;affect&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.','','Install&#x20;AIDE:&#x20;#&#x20;apt-get&#x20;install&#x20;aide&#x20;Initialize&#x20;AIDE:&#x20;#&#x20;aideinit&#x20;#&#x20;cp&#x20;/var/lib/aide/aide.db.new&#x20;/var/lib/aide/aide.db&#x20;Note:&#x20;The&#x20;prelinking&#x20;feature&#x20;can&#x20;interfere&#x20;with&#x20;AIDE&#x20;because&#x20;it&#x20;alters&#x20;binaries&#x20;to&#x20;speed&#x20;up&#x20;their&#x20;start&#x20;up&#x20;times.&#x20;Run&#x20;/usr/sbin/prelink&#x20;-ua&#x20;to&#x20;restore&#x20;the&#x20;binaries&#x20;to&#x20;their&#x20;prelinked&#x20;state,&#x20;thus&#x20;avoiding&#x20;false&#x20;positives&#x20;from&#x20;AIDE.','[{\"cis\": [\"8.3.1\"]}, {\"cis_csc\": [\"3.5\"]}, {\"pci_dss\": [\"11.5\"]}]'),(1107,'Implement&#x20;Periodic&#x20;Execution&#x20;of&#x20;File&#x20;Integrity','Implement&#x20;periodic&#x20;file&#x20;checking,&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy','Periodic&#x20;file&#x20;checking&#x20;allows&#x20;the&#x20;system&#x20;administrator&#x20;to&#x20;determine&#x20;on&#x20;a&#x20;regular&#x20;basis&#x20;if&#x20;critical&#x20;files&#x20;have&#x20;been&#x20;changed&#x20;in&#x20;an&#x20;unauthorized&#x20;fashion.','','Execute&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;crontab&#x20;-u&#x20;root&#x20;-e&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;crontab:&#x20;0&#x20;5&#x20;*&#x20;*&#x20;*&#x20;/usr/sbin/aide&#x20;--check&#x20;Note:&#x20;The&#x20;checking&#x20;in&#x20;this&#x20;instance&#x20;occurs&#x20;every&#x20;day&#x20;at&#x20;5am.&#x20;Alter&#x20;the&#x20;frequency&#x20;and&#x20;time&#x20;of&#x20;the&#x20;checks&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy.','[{\"cis\": [\"8.3.2\"]}, {\"cis_csc\": [\"3.5\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(1108,'Enable&#x20;cron&#x20;Daemon','The&#x20;cron&#x20;daemon&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;batch&#x20;jobs&#x20;on&#x20;the&#x20;system.','While&#x20;there&#x20;may&#x20;not&#x20;be&#x20;user&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;be&#x20;run&#x20;on&#x20;the&#x20;system,&#x20;the&#x20;system&#x20;does&#x20;have&#x20;maintenance&#x20;jobs&#x20;that&#x20;may&#x20;include&#x20;security&#x20;monitoring&#x20;that&#x20;have&#x20;to&#x20;run&#x20;and&#x20;cron&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;them.','','Enable&#x20;cron:&#x20;#&#x20;update-rc.d&#x20;cron&#x20;enable&#x20;&#x20;&#x20;&#x20;Enable&#x20;anacron:&#x20;#&#x20;update-rc.d&#x20;anacron&#x20;enable','[{\"cis\": [\"9.1.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1109,'Set&#x20;User/Group&#x20;Owner&#x20;and&#x20;Permission&#x20;on&#x20;/etc/crontab','The&#x20;/etc/crontab&#x20;file&#x20;is&#x20;used&#x20;by&#x20;cron&#x20;to&#x20;control&#x20;its&#x20;own&#x20;jobs.&#x20;The&#x20;commands&#x20;in&#x20;this&#x20;item&#x20;make&#x20;sure&#x20;that&#x20;root&#x20;is&#x20;the&#x20;user&#x20;and&#x20;group&#x20;owner&#x20;of&#x20;the&#x20;file&#x20;and&#x20;that&#x20;only&#x20;the&#x20;owner&#x20;can&#x20;access&#x20;the&#x20;file.','This&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;what&#x20;system&#x20;jobs&#x20;are&#x20;run&#x20;by&#x20;cron.&#x20;Write&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;unprivileged&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;elevate&#x20;their&#x20;privileges.&#x20;Read&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;gain&#x20;insight&#x20;on&#x20;system&#x20;jobs&#x20;that&#x20;run&#x20;on&#x20;the&#x20;system&#x20;and&#x20;could&#x20;provide&#x20;them&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;unauthorized&#x20;privileged&#x20;access.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/crontab&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/crontab','[{\"cis\": [\"9.1.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(1110,'Set&#x20;User/Group&#x20;Owner&#x20;and&#x20;Permission&#x20;on&#x20;/etc/cron.hourly','This&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;an&#x20;hourly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.hourly&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.hourly','[{\"cis\": [\"9.1.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1111,'Set&#x20;User/Group&#x20;Owner&#x20;and&#x20;Permission&#x20;on&#x20;/etc/cron.daily','The&#x20;/etc/cron.daily&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;daily&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.daily&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.daily','[{\"cis\": [\"9.1.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1112,'Set&#x20;User/Group&#x20;Owner&#x20;and&#x20;Permission&#x20;on&#x20;/etc/cron.weekly','The&#x20;/etc/cron.weekly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;weekly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.weekly&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.weekly','[{\"cis\": [\"9.1.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1113,'Set&#x20;User/Group&#x20;Owner&#x20;and&#x20;Permission&#x20;on&#x20;/etc/cron.monthly','The&#x20;/etc/cron.monthly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;monthly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.monthly&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.monthly','[{\"cis\": [\"9.1.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1114,'Set&#x20;User/Group&#x20;Owner&#x20;and&#x20;Permission&#x20;on&#x20;/etc/cron.d','Configure&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/cron.allow&#x20;or&#x20;/etc/at.allow&#x20;do&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.deny&#x20;and&#x20;/etc/cron.deny&#x20;are&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;files,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;Note&#x20;that&#x20;even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow&#x20;,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cron&#x20;jobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny&#x20;and&#x20;/etc/at.deny&#x20;and&#x20;create&#x20;and&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow:&#x20;rm&#x20;/etc/cron.deny;rm&#x20;/etc/at.deny;touch&#x20;/etc/cron.allow;&#x20;touch&#x20;/etc/at.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/at.allow;&#x20;chown&#x20;root:root&#x20;/etc/cron.allow&#x20;and&#x20;chown&#x20;root:root&#x20;/etc/at.allow','[{\"cis\": [\"9.1.7\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1115,'Restrict&#x20;at/cron&#x20;to&#x20;Authorized&#x20;Users','Configure&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/cron.allow&#x20;or&#x20;/etc/at.allow&#x20;do&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.deny&#x20;and&#x20;/etc/cron.deny&#x20;are&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;files,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;Note&#x20;that&#x20;even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cron&#x20;jobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','#&#x20;/bin/rm&#x20;/etc/cron.deny&#x20;&#x20;&#x20;&#x20;#&#x20;/bin/rm&#x20;/etc/at.deny&#x20;&#x20;&#x20;&#x20;#&#x20;touch&#x20;/etc/cron.allow&#x20;&#x20;&#x20;&#x20;#&#x20;touch&#x20;/etc/at.allow&#x20;&#x20;&#x20;&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.allow&#x20;&#x20;&#x20;&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/at.allow&#x20;&#x20;&#x20;&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.allow&#x20;&#x20;&#x20;&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/at.allow','[{\"cis\": [\"9.1.8\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1116,'Set&#x20;Password&#x20;Creation&#x20;Requirement&#x20;Parameters&#x20;Using&#x20;pam_cracklib','The&#x20;pam_cracklib&#x20;module&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more.&#x20;The&#x20;following&#x20;are&#x20;definitions&#x20;of&#x20;the&#x20;pam_cracklib.so&#x20;options.&#x20;&#x20;#&#x20;retry=3&#x20;-&#x20;Allow&#x20;3&#x20;tries&#x20;before&#x20;sending&#x20;back&#x20;a&#x20;failure.&#x20;&#x20;#&#x20;minlen=14&#x20;-&#x20;password&#x20;must&#x20;be&#x20;14&#x20;characters&#x20;or&#x20;more&#x20;#&#x20;dcredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;digit&#x20;#&#x20;ucredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;uppercase&#x20;character&#x20;#&#x20;ocredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;special&#x20;character&#x20;#&#x20;lcredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;lowercase&#x20;character&#x20;&#x20;&#x20;&#x20;The&#x20;setting&#x20;shown&#x20;above&#x20;is&#x20;one&#x20;possible&#x20;policy.&#x20;Alter&#x20;these&#x20;values&#x20;to&#x20;conform&#x20;to&#x20;your&#x20;own&#x20;organization&#039;s&#x20;password&#x20;policies.','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','1&#41;&#x20;Install&#x20;the&#x20;libpam-cracklib&#x20;package:&#x20;#&#x20;apt-get&#x20;install&#x20;libpam-cracklib&#x20;2&#41;&#x20;Set&#x20;the&#x20;pam_cracklib.so&#x20;parameters&#x20;as&#x20;follows&#x20;in&#x20;/etc/pam.d/common-password:&#x20;password&#x20;required&#x20;pam_cracklib.so&#x20;retry=3&#x20;minlen=14&#x20;dcredit=-1&#x20;ucredit=-1&#x20;ocredit=-1&#x20;lcredit=-1','[{\"cis\": [\"9.2.1\"]}, {\"pci_dss\": [\"8.2.3\"]}]'),(1117,'Set&#x20;Lockout&#x20;for&#x20;Failed&#x20;Password&#x20;Attempts','Lock&#x20;out&#x20;users&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts.&#x20;The&#x20;first&#x20;sets&#x20;of&#x20;changes&#x20;are&#x20;made&#x20;to&#x20;the&#x20;PAM&#x20;configuration&#x20;file&#x20;/etc/pam.d/login.&#x20;The&#x20;second&#x20;set&#x20;of&#x20;changes&#x20;are&#x20;applied&#x20;to&#x20;the&#x20;program&#x20;specific&#x20;PAM&#x20;configuration&#x20;file.&#x20;The&#x20;second&#x20;set&#x20;of&#x20;changes&#x20;must&#x20;be&#x20;applied&#x20;to&#x20;each&#x20;program&#x20;that&#x20;will&#x20;lock&#x20;out&#x20;users.&#x20;&#x20;Check&#x20;the&#x20;documentation&#x20;for&#x20;each&#x20;secondary&#x20;program&#x20;for&#x20;instructions&#x20;on&#x20;how&#x20;to&#x20;configure&#x20;them&#x20;to&#x20;work&#x20;with&#x20;PAM.&#x20;&#x20;Set&#x20;the&#x20;lockout&#x20;number&#x20;to&#x20;the&#x20;policy&#x20;in&#x20;effect&#x20;at&#x20;your&#x20;site.','Locking&#x20;out&#x20;userIDs&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts&#x20;mitigates&#x20;brute&#x20;force&#x20;password&#x20;attacks&#x20;against&#x20;your&#x20;systems.','','Edit&#x20;the&#x20;/etc/pam.d/login&#x20;file&#x20;and&#x20;add&#x20;the&#x20;auth&#x20;line&#x20;below:&#x20;auth&#x20;required&#x20;pam_tally2.so&#x20;onerr=fail&#x20;audit&#x20;silent&#x20;deny=5&#x20;unlock_time=900&#x20;&#x20;&#x20;&#x20;Note:&#x20;If&#x20;a&#x20;user&#x20;has&#x20;been&#x20;locked&#x20;out&#x20;because&#x20;they&#x20;have&#x20;reached&#x20;the&#x20;maximum&#x20;consecutive&#x20;failure&#x20;count&#x20;defined&#x20;by&#x20;deny=&#x20;in&#x20;the&#x20;pam_tally2.so&#x20;module,&#x20;the&#x20;user&#x20;can&#x20;be&#x20;unlocked&#x20;by&#x20;issuing&#x20;the&#x20;command&#x20;/sbin/pam_tally2&#x20;-u&#x20;&lt;username&gt;&#x20;--reset.&#x20;This&#x20;command&#x20;sets&#x20;the&#x20;failed&#x20;count&#x20;to&#x20;0,&#x20;effectively&#x20;unlocking&#x20;the&#x20;user.','[{\"cis\": [\"9.2.2\"]}, {\"pci_dss\": [\"8.2.5\"]}]'),(1118,'Limit&#x20;Password&#x20;Reuse','The&#x20;/etc/security/opasswd&#x20;file&#x20;stores&#x20;the&#x20;users&#039;&#x20;old&#x20;passwords&#x20;and&#x20;can&#x20;be&#x20;checked&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;are&#x20;not&#x20;recycling&#x20;recent&#x20;passwords.','Forcing&#x20;users&#x20;not&#x20;to&#x20;reuse&#x20;their&#x20;past&#x20;5&#x20;passwords&#x20;make&#x20;it&#x20;less&#x20;likely&#x20;that&#x20;an&#x20;attacker&#x20;will&#x20;be&#x20;able&#x20;to&#x20;guess&#x20;the&#x20;password.&#x20;&#x20;Note&#x20;that&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Set&#x20;the&#x20;pam_unix.so&#x20;remember&#x20;parameter&#x20;to&#x20;5&#x20;in&#x20;/etc/pam.d/common-password:&#x20;password&#x20;[success=1&#x20;default=ignore]&#x20;&#x20;pam_unix.so&#x20;obscure&#x20;sha512&#x20;remember=5&#x20;&#x20;&#x20;&#x20;Note:&#x20;The&#x20;default&#x20;password&#x20;setting&#x20;in&#x20;this&#x20;document&#x20;is&#x20;the&#x20;last&#x20;5&#x20;passwords.&#x20;Change&#x20;this&#x20;number&#x20;to&#x20;conform&#x20;to&#x20;your&#x20;site&#039;s&#x20;password&#x20;policy.','[{\"cis\": [\"9.2.3\"]}, {\"pci_dss\": [\"8.2.5\"]}]'),(1119,'Set&#x20;SSH&#x20;Protocol&#x20;to&#x20;2','SSH&#x20;supports&#x20;two&#x20;different&#x20;and&#x20;incompatible&#x20;protocols:&#x20;SSH1&#x20;and&#x20;SSH2.&#x20;SSH1&#x20;was&#x20;the&#x20;original&#x20;protocol&#x20;and&#x20;was&#x20;subject&#x20;to&#x20;security&#x20;issues.&#x20;SSH2&#x20;is&#x20;more&#x20;advanced&#x20;and&#x20;secure.','SSH&#x20;v1&#x20;suffers&#x20;from&#x20;insecurities&#x20;that&#x20;do&#x20;not&#x20;affect&#x20;SSH&#x20;v2.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Protocol&#x20;2','[{\"cis\": [\"9.3.1\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}]'),(1120,'Set&#x20;LogLevel&#x20;to&#x20;INFO','The&#x20;INFO&#x20;parameter&#x20;specifices&#x20;that&#x20;record&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;will&#x20;be&#x20;logged.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.&#x20;INFO&#x20;level&#x20;is&#x20;the&#x20;basic&#x20;level&#x20;that&#x20;only&#x20;records&#x20;login&#x20;activity&#x20;of&#x20;SSH&#x20;users.&#x20;In&#x20;many&#x20;situations,&#x20;such&#x20;as&#x20;Incident&#x20;Response,&#x20;it&#x20;is&#x20;important&#x20;to&#x20;determine&#x20;when&#x20;a&#x20;particular&#x20;user&#x20;was&#x20;active&#x20;on&#x20;a&#x20;system.&#x20;The&#x20;logout&#x20;record&#x20;can&#x20;eliminate&#x20;those&#x20;users&#x20;who&#x20;disconnected,&#x20;which&#x20;helps&#x20;narrow&#x20;the&#x20;field.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;INFO','[{\"cis\": [\"9.3.2\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}]'),(1121,'Set&#x20;Permissions&#x20;on&#x20;/etc/ssh/sshd_config','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;contains&#x20;configuration&#x20;specifications&#x20;for&#x20;sshd.&#x20;The&#x20;command&#x20;below&#x20;sets&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;file&#x20;to&#x20;root.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users.','','If&#x20;the&#x20;user&#x20;and&#x20;group&#x20;ownership&#x20;of&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;are&#x20;incorrect,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;correct&#x20;them:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/ssh/sshd_config&#x20;If&#x20;the&#x20;permissions&#x20;are&#x20;incorrect,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;correct&#x20;them:&#x20;#&#x20;chmod&#x20;600&#x20;/etc/ssh/sshd_config','[{\"cis\": [\"9.3.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1122,'Disable&#x20;SSH&#x20;X11&#x20;Forwarding','The&#x20;X11Forwarding&#x20;parameter&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;tunnel&#x20;X11&#x20;traffic&#x20;through&#x20;the&#x20;connection&#x20;to&#x20;enable&#x20;remote&#x20;graphic&#x20;connections.','Disable&#x20;X11&#x20;forwarding&#x20;unless&#x20;there&#x20;is&#x20;an&#x20;operational&#x20;requirement&#x20;to&#x20;use&#x20;X11&#x20;applications&#x20;directly.&#x20;There&#x20;is&#x20;a&#x20;small&#x20;risk&#x20;that&#x20;the&#x20;remote&#x20;X11&#x20;servers&#x20;of&#x20;users&#x20;who&#x20;are&#x20;logged&#x20;in&#x20;via&#x20;SSH&#x20;with&#x20;X11&#x20;forwarding&#x20;could&#x20;be&#x20;compromised&#x20;by&#x20;other&#x20;users&#x20;on&#x20;the&#x20;X11&#x20;server.&#x20;Note&#x20;that&#x20;even&#x20;if&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled,&#x20;users&#x20;can&#x20;always&#x20;install&#x20;their&#x20;own&#x20;forwarders.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;X11Forwarding&#x20;no','[{\"cis\": [\"9.3.4\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1123,'Set&#x20;SSH&#x20;MaxAuthTries&#x20;to&#x20;4&#x20;or&#x20;Less','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;it&#x20;is&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4','[{\"cis\": [\"9.3.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1124,'Set&#x20;SSH&#x20;IgnoreRhosts&#x20;to&#x20;Yes','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthentication&#x20;or&#x20;HostbasedAuthentication.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;ssh.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;IgnoreRhosts&#x20;yes','[{\"cis\": [\"9.3.6\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}]'),(1125,'Set&#x20;SSH&#x20;HostbasedAuthentication&#x20;to&#x20;No','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts,&#x20;or&#x20;/etc/hosts.equiv,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.&#x20;This&#x20;option&#x20;only&#x20;applies&#x20;to&#x20;SSH&#x20;Protocol&#x20;Version&#x20;2.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no','[{\"cis\": [\"9.3.7\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}]'),(1126,'Disable&#x20;SSH&#x20;Root&#x20;Login','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;ssh&#40;1&#41;.&#x20;The&#x20;default&#x20;is&#x20;no.','Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;server&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root&#x20;via&#x20;sudo&#x20;or&#x20;su.&#x20;This&#x20;in&#x20;turn&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no','[{\"cis\": [\"9.3.8\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}]'),(1127,'Set&#x20;SSH&#x20;PermitEmptyPasswords&#x20;to&#x20;No','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no','[{\"cis\": [\"9.3.9\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}]'),(1128,'Do&#x20;Not&#x20;Allow&#x20;Users&#x20;to&#x20;Set&#x20;Environment&#x20;Options','The&#x20;PermitUserEnvironment&#x20;option&#x20;allows&#x20;users&#x20;to&#x20;present&#x20;environment&#x20;options&#x20;to&#x20;the&#x20;ssh&#x20;daemon.','Permitting&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;environment&#x20;variables&#x20;through&#x20;the&#x20;SSH&#x20;daemon&#x20;could&#x20;potentially&#x20;allow&#x20;users&#x20;to&#x20;bypass&#x20;security&#x20;controls&#x20;&#40;e.g.&#x20;setting&#x20;an&#x20;execution&#x20;path&#x20;that&#x20;has&#x20;ssh&#x20;executing&#x20;trojan&#039;d&#x20;programs&#41;','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitUserEnvironment&#x20;no','[{\"cis\": [\"9.3.10\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}]'),(1129,'Use&#x20;Only&#x20;Approved&#x20;Cipher&#x20;in&#x20;Counter&#x20;Mode','This&#x20;variable&#x20;limits&#x20;the&#x20;types&#x20;of&#x20;ciphers&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.','Based&#x20;on&#x20;research&#x20;conducted&#x20;at&#x20;various&#x20;institutions,&#x20;it&#x20;was&#x20;determined&#x20;that&#x20;the&#x20;symmetric&#x20;portion&#x20;of&#x20;the&#x20;SSH&#x20;Transport&#x20;Protocol&#x20;&#40;as&#x20;described&#x20;in&#x20;RFC&#x20;4253&#41;&#x20;has&#x20;security&#x20;weaknesses&#x20;that&#x20;allowed&#x20;recovery&#x20;of&#x20;up&#x20;to&#x20;32&#x20;bits&#x20;of&#x20;plaintext&#x20;from&#x20;a&#x20;block&#x20;of&#x20;ciphertext&#x20;that&#x20;was&#x20;encrypted&#x20;with&#x20;the&#x20;Cipher&#x20;Block&#x20;Chaining&#x20;&#40;CBD&#41;&#x20;method.&#x20;From&#x20;that&#x20;research,&#x20;new&#x20;Counter&#x20;mode&#x20;algorithms&#x20;&#40;as&#x20;described&#x20;in&#x20;RFC4344&#41;&#x20;were&#x20;designed&#x20;that&#x20;are&#x20;not&#x20;vulnerable&#x20;to&#x20;these&#x20;types&#x20;of&#x20;attacks&#x20;and&#x20;these&#x20;algorithms&#x20;are&#x20;now&#x20;recommended&#x20;for&#x20;standard&#x20;use.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Ciphers&#x20;aes128-ctr,aes192-ctr,aes256-ctr','[{\"cis\": [\"9.3.11\"]}]'),(1130,'Set&#x20;Idle&#x20;Timeout&#x20;Interval&#x20;for&#x20;User&#x20;Login','The&#x20;two&#x20;options&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax&#x20;control&#x20;the&#x20;timeout&#x20;of&#x20;ssh&#x20;sessions.&#x20;When&#x20;the&#x20;ClientAliveInterval&#x20;variable&#x20;is&#x20;set,&#x20;ssh&#x20;sessions&#x20;that&#x20;have&#x20;no&#x20;activity&#x20;for&#x20;the&#x20;specified&#x20;length&#x20;of&#x20;time&#x20;are&#x20;terminated.&#x20;When&#x20;the&#x20;ClientAliveCountMax&#x20;variable&#x20;is&#x20;set,&#x20;sshd&#x20;will&#x20;send&#x20;client&#x20;alive&#x20;messages&#x20;at&#x20;every&#x20;ClientAliveInterval&#x20;interval.&#x20;When&#x20;the&#x20;number&#x20;of&#x20;consecutive&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;sent&#x20;with&#x20;no&#x20;response&#x20;from&#x20;the&#x20;client,&#x20;the&#x20;ssh&#x20;session&#x20;is&#x20;terminated.&#x20;For&#x20;example,&#x20;if&#x20;the&#x20;ClientAliveInterval&#x20;is&#x20;set&#x20;to&#x20;15&#x20;seconds&#x20;and&#x20;the&#x20;ClientAliveCountMax&#x20;is&#x20;set&#x20;to&#x20;3,&#x20;the&#x20;client&#x20;ssh&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;45&#x20;seconds&#x20;of&#x20;idle&#x20;time.','Having&#x20;no&#x20;timeout&#x20;value&#x20;associated&#x20;with&#x20;a&#x20;connection&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;ssh&#x20;session&#x20;&#40;e.g.&#x20;user&#x20;walks&#x20;away&#x20;from&#x20;their&#x20;computer&#x20;and&#x20;doesn&#039;t&#x20;lock&#x20;the&#x20;screen&#41;.&#x20;Setting&#x20;a&#x20;timeout&#x20;value&#x20;at&#x20;least&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;this&#x20;happening..&#x20;&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;300&#x20;seconds&#x20;&#40;5&#x20;minutes&#41;,&#x20;set&#x20;this&#x20;timeout&#x20;value&#x20;based&#x20;on&#x20;site&#x20;policy.&#x20;The&#x20;recommended&#x20;setting&#x20;for&#x20;ClientAliveCountMax&#x20;is&#x20;0.&#x20;In&#x20;this&#x20;case,&#x20;the&#x20;client&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;5&#x20;minutes&#x20;of&#x20;idle&#x20;time&#x20;and&#x20;no&#x20;keepalive&#x20;messages&#x20;will&#x20;be&#x20;sent.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;ClientAliveInterval&#x20;300&#x20;&#x20;&#x20;&#x20;ClientAliveCountMax&#x20;0','[{\"cis\": [\"9.3.12\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(1131,'Limit&#x20;Access&#x20;via&#x20;SSH','There&#x20;are&#x20;several&#x20;options&#x20;available&#x20;to&#x20;limit&#x20;which&#x20;users&#x20;and&#x20;group&#x20;can&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;at&#x20;least&#x20;one&#x20;of&#x20;the&#x20;following&#x20;options&#x20;be&#x20;leveraged:&#x20;AllowUsers,&#x20;AllowGroups,&#x20;DenyUsers,&#x20;DenyGroups.','Restricting&#x20;which&#x20;users&#x20;can&#x20;remotely&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH&#x20;will&#x20;help&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;users&#x20;access&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;one&#x20;or&#x20;more&#x20;of&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowUsers&#x20;&lt;userlist&gt;&#x20;&#x20;&#x20;&#x20;AllowGroups&#x20;&lt;grouplist&gt;&#x20;&#x20;&#x20;&#x20;DenyUsers&#x20;&lt;userlist&gt;&#x20;&#x20;&#x20;&#x20;DenyGroups&#x20;&lt;grouplist&gt;','[{\"cis\": [\"9.3.13\"]}, {\"pci_dss\": [\"8.1\"]}]'),(1132,'Set&#x20;SSH&#x20;Banner','The&#x20;Banner&#x20;parameter&#x20;specifies&#x20;a&#x20;file&#x20;whose&#x20;contents&#x20;must&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;remote&#x20;user&#x20;before&#x20;authentication&#x20;is&#x20;permitted.&#x20;By&#x20;default,&#x20;no&#x20;banner&#x20;is&#x20;displayed.','Banners&#x20;are&#x20;used&#x20;to&#x20;warn&#x20;connecting&#x20;users&#x20;of&#x20;the&#x20;particular&#x20;site&#039;s&#x20;policy&#x20;regarding&#x20;connection.&#x20;Consult&#x20;with&#x20;your&#x20;legal&#x20;department&#x20;for&#x20;the&#x20;appropriate&#x20;warning&#x20;banner&#x20;for&#x20;your&#x20;site.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Banner&#x20;/etc/issue.net','[{\"cis\": [\"9.3.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1133,'Restrict&#x20;Access&#x20;to&#x20;the&#x20;su&#x20;Command','The&#x20;su&#x20;command&#x20;allows&#x20;a&#x20;user&#x20;to&#x20;run&#x20;a&#x20;command&#x20;or&#x20;shell&#x20;as&#x20;another&#x20;user.&#x20;The&#x20;program&#x20;has&#x20;been&#x20;superseded&#x20;by&#x20;sudo,&#x20;which&#x20;allows&#x20;for&#x20;more&#x20;granular&#x20;control&#x20;over&#x20;privileged&#x20;access.&#x20;Normally,&#x20;the&#x20;su&#x20;command&#x20;can&#x20;be&#x20;executed&#x20;by&#x20;any&#x20;user.&#x20;By&#x20;uncommenting&#x20;the&#x20;pam_wheel.so&#x20;statement&#x20;in&#x20;/etc/pam.d/su,&#x20;the&#x20;su&#x20;command&#x20;will&#x20;only&#x20;allow&#x20;users&#x20;in&#x20;the&#x20;wheel&#x20;group&#x20;to&#x20;execute&#x20;su.','Restricting&#x20;the&#x20;use&#x20;of&#x20;su,&#x20;and&#x20;using&#x20;sudo&#x20;in&#x20;its&#x20;place,&#x20;provides&#x20;system&#x20;administrators&#x20;better&#x20;control&#x20;of&#x20;the&#x20;escalation&#x20;of&#x20;user&#x20;privileges&#x20;to&#x20;execute&#x20;privileged&#x20;commands.&#x20;The&#x20;sudo&#x20;utility&#x20;also&#x20;provides&#x20;a&#x20;better&#x20;logging&#x20;and&#x20;audit&#x20;mechanism,&#x20;as&#x20;it&#x20;can&#x20;log&#x20;each&#x20;command&#x20;executed&#x20;via&#x20;sudo,&#x20;whereas&#x20;su&#x20;can&#x20;only&#x20;record&#x20;that&#x20;a&#x20;user&#x20;executed&#x20;the&#x20;su&#x20;program.','','1&#41;&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/pam.d/su&#x20;file:&#x20;auth&#x20;required&#x20;pam_wheel.so&#x20;use_uid&#x20;2&#41;&#x20;Once&#x20;this&#x20;is&#x20;done,&#x20;create&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;users&#x20;in&#x20;the&#x20;wheel&#x20;statement&#x20;in&#x20;the&#x20;/etc/group&#x20;file.','[{\"cis\": [\"9.5\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(1134,'Set&#x20;Password&#x20;Expiration&#x20;Days','The&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;force&#x20;passwords&#x20;to&#x20;expire&#x20;once&#x20;they&#x20;reach&#x20;a&#x20;defined&#x20;age.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;less&#x20;than&#x20;or&#x20;equal&#x20;to&#x20;90&#x20;days.','The&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;leverage&#x20;compromised&#x20;credentials&#x20;or&#x20;successfully&#x20;compromise&#x20;credentials&#x20;via&#x20;an&#x20;online&#x20;brute&#x20;force&#x20;attack&#x20;is&#x20;limited&#x20;by&#x20;the&#x20;age&#x20;of&#x20;the&#x20;password.&#x20;Therefore,&#x20;reducing&#x20;the&#x20;maximum&#x20;age&#x20;of&#x20;a&#x20;password&#x20;also&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;window&#x20;of&#x20;opportunity.','','Set&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;to&#x20;90&#x20;in&#x20;/etc/login.defs:&#x20;PASS_MAX_DAYS&#x20;90&#x20;&#x20;&#x20;&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--maxdays&#x20;90&#x20;&lt;user&gt;','[{\"cis\": [\"10.1.1\"]}, {\"pci_dss\": [\"8.2.4\"]}]'),(1135,'Set&#x20;Password&#x20;Change&#x20;Minimum&#x20;Number&#x20;of&#x20;Days','The&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;changing&#x20;their&#x20;password&#x20;until&#x20;a&#x20;minimum&#x20;number&#x20;of&#x20;days&#x20;have&#x20;passed&#x20;since&#x20;the&#x20;last&#x20;time&#x20;the&#x20;user&#x20;changed&#x20;their&#x20;password.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','By&#x20;restricting&#x20;the&#x20;frequency&#x20;of&#x20;password&#x20;changes,&#x20;an&#x20;administrator&#x20;can&#x20;prevent&#x20;users&#x20;from&#x20;repeatedly&#x20;changing&#x20;their&#x20;password&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;circumvent&#x20;password&#x20;reuse&#x20;controls.','','Set&#x20;the&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_MIN_DAYS&#x20;7&#x20;&#x20;&#x20;&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--mindays&#x20;7&#x20;&lt;user&gt;','[{\"cis\": [\"10.1.2\"]}, {\"pci_dss\": [\"3.6.1\"]}]'),(1136,'Set&#x20;Password&#x20;Expiring&#x20;Warning&#x20;Days','The&#x20;PASS_WARN_AGE&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;notify&#x20;users&#x20;that&#x20;their&#x20;password&#x20;will&#x20;expire&#x20;in&#x20;a&#x20;defined&#x20;number&#x20;of&#x20;days.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','Providing&#x20;an&#x20;advance&#x20;warning&#x20;that&#x20;a&#x20;password&#x20;will&#x20;be&#x20;expiring&#x20;gives&#x20;users&#x20;time&#x20;to&#x20;think&#x20;of&#x20;a&#x20;secure&#x20;password.&#x20;Users&#x20;caught&#x20;unaware&#x20;may&#x20;choose&#x20;a&#x20;simple&#x20;password&#x20;or&#x20;write&#x20;it&#x20;down&#x20;where&#x20;it&#x20;may&#x20;be&#x20;discovered.','','Set&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_WARN_AGE&#x20;7&#x20;&#x20;&#x20;&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--warndays&#x20;7&#x20;&lt;user&gt;','[{\"cis\": [\"10.1.3\"]}, {\"pci_dss\": [\"3.6.1\"]}]'),(1137,'Set&#x20;Default&#x20;Group&#x20;for&#x20;root&#x20;Account','The&#x20;usermod&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;specify&#x20;which&#x20;group&#x20;the&#x20;root&#x20;user&#x20;belongs&#x20;to.&#x20;This&#x20;affects&#x20;permissions&#x20;of&#x20;files&#x20;that&#x20;are&#x20;created&#x20;by&#x20;the&#x20;root&#x20;user.','Using&#x20;GID&#x20;0&#x20;for&#x20;the&#x20;root&#x20;account&#x20;helps&#x20;prevent&#x20;root-owned&#x20;files&#x20;from&#x20;accidentally&#x20;becoming&#x20;accessible&#x20;to&#x20;non-privileged&#x20;users.','','#&#x20;usermod&#x20;-g&#x20;0&#x20;root','[{\"cis\": [\"10.3\"]}, {\"pci_dss\": [\"3.6.1\"]}]'),(1138,'Set&#x20;Default&#x20;umask&#x20;for&#x20;Users','The&#x20;default&#x20;umask&#x20;determines&#x20;the&#x20;permissions&#x20;of&#x20;files&#x20;created&#x20;by&#x20;users.&#x20;The&#x20;user&#x20;creating&#x20;the&#x20;file&#x20;has&#x20;the&#x20;discretion&#x20;of&#x20;making&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;others&#x20;via&#x20;the&#x20;chmod&#x20;command.&#x20;Users&#x20;who&#x20;wish&#x20;to&#x20;allow&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;to&#x20;be&#x20;readable&#x20;by&#x20;others&#x20;by&#x20;default&#x20;may&#x20;choose&#x20;a&#x20;different&#x20;default&#x20;umask&#x20;by&#x20;inserting&#x20;the&#x20;umask&#x20;command&#x20;into&#x20;the&#x20;standard&#x20;shell&#x20;configuration&#x20;files&#x20;&#40;.profile,&#x20;.bashrc,&#x20;etc.&#41;&#x20;in&#x20;their&#x20;home&#x20;directories.','Setting&#x20;a&#x20;very&#x20;secure&#x20;default&#x20;value&#x20;for&#x20;umask&#x20;ensures&#x20;that&#x20;users&#x20;make&#x20;a&#x20;conscious&#x20;choice&#x20;about&#x20;their&#x20;file&#x20;permissions.&#x20;A&#x20;default&#x20;umask&#x20;setting&#x20;of&#x20;077&#x20;causes&#x20;files&#x20;and&#x20;directories&#x20;created&#x20;by&#x20;users&#x20;to&#x20;not&#x20;be&#x20;readable&#x20;by&#x20;any&#x20;other&#x20;user&#x20;on&#x20;the&#x20;system.&#x20;A&#x20;umask&#x20;of&#x20;027&#x20;would&#x20;make&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;users&#x20;in&#x20;the&#x20;same&#x20;Unix&#x20;group,&#x20;while&#x20;a&#x20;umask&#x20;of&#x20;022&#x20;would&#x20;make&#x20;files&#x20;readable&#x20;by&#x20;every&#x20;user&#x20;on&#x20;the&#x20;system.&#x20;&#x20;Note:&#x20;The&#x20;directives&#x20;in&#x20;this&#x20;section&#x20;apply&#x20;to&#x20;bash&#x20;and&#x20;shell.&#x20;If&#x20;other&#x20;shells&#x20;are&#x20;supported&#x20;on&#x20;the&#x20;system,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;their&#x20;configuration&#x20;files&#x20;also&#x20;are&#x20;checked.','','Edit&#x20;the&#x20;/etc/bash.bashrc&#x20;and&#x20;/etc/profile.d/cis.sh&#x20;files&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;the&#x20;UMASK&#x20;parameter&#x20;as&#x20;shown:&#x20;umask&#x20;077','[{\"cis\": [\"10.4\"]}, {\"pci_dss\": [\"3.6.1\"]}]'),(1139,'Lock&#x20;Inactive&#x20;User&#x20;Accounts','User&#x20;accounts&#x20;that&#x20;have&#x20;been&#x20;inactive&#x20;for&#x20;over&#x20;a&#x20;given&#x20;period&#x20;of&#x20;time&#x20;can&#x20;be&#x20;automatically&#x20;disabled.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;accounts&#x20;that&#x20;are&#x20;inactive&#x20;for&#x20;35&#x20;or&#x20;more&#x20;days&#x20;be&#x20;disabled.','Inactive&#x20;accounts&#x20;pose&#x20;a&#x20;threat&#x20;to&#x20;system&#x20;security&#x20;since&#x20;the&#x20;users&#x20;are&#x20;not&#x20;logging&#x20;in&#x20;to&#x20;notice&#x20;failed&#x20;login&#x20;attempts&#x20;or&#x20;other&#x20;anomalies.','','#&#x20;useradd&#x20;-D&#x20;-f&#x20;35','[{\"cis\": [\"10.5\"]}, {\"pci_dss\": [\"3.6.1\"]}]'),(1140,'Set&#x20;Warning&#x20;Banner&#x20;for&#x20;Standard&#x20;Login&#x20;Services','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;prior&#x20;to&#x20;the&#x20;login&#x20;prompt&#x20;on&#x20;the&#x20;system&#039;s&#x20;console&#x20;and&#x20;serial&#x20;devices,&#x20;and&#x20;also&#x20;prior&#x20;to&#x20;logins&#x20;via&#x20;telnet.&#x20;The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;is&#x20;generally&#x20;displayed&#x20;after&#x20;all&#x20;successful&#x20;logins,&#x20;no&#x20;matter&#x20;where&#x20;the&#x20;user&#x20;is&#x20;logging&#x20;in&#x20;from,&#x20;but&#x20;is&#x20;thought&#x20;to&#x20;be&#x20;less&#x20;useful&#x20;because&#x20;it&#x20;only&#x20;provides&#x20;notification&#x20;to&#x20;the&#x20;user&#x20;after&#x20;the&#x20;machine&#x20;has&#x20;been&#x20;accessed.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Consult&#x20;with&#x20;your&#x20;organization&#039;s&#x20;legal&#x20;counsel&#x20;for&#x20;the&#x20;appropriate&#x20;wording&#x20;for&#x20;your&#x20;specific&#x20;organization.','','#&#x20;touch&#x20;/etc/motd&#x20;&#x20;&#x20;&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue&#x20;&#x20;&#x20;&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue.net&#x20;&#x20;&#x20;&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/motd&#x20;&#x20;&#x20;&#x20;#&#x20;chmod&#x20;644&#x20;/etc/motd&#x20;&#x20;&#x20;&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue&#x20;&#x20;&#x20;&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue&#x20;&#x20;&#x20;&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue.net&#x20;&#x20;&#x20;&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue.net','[{\"cis\": [\"11.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(1141,'Remove&#x20;OS&#x20;Information&#x20;from&#x20;Login&#x20;Warning&#x20;Banners','Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.','Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;uname&#x20;-a&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/motd,&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;files&#x20;and&#x20;remove&#x20;any&#x20;lines&#x20;containing&#x20;m,&#x20;&#x0d;,&#x20;s&#x20;or&#x20;v.','[{\"cis\": [\"11.2\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(1142,'Ensure&#x20;GDM&#x20;login&#x20;banner&#x20;is&#x20;configured','Debian&#x20;defaults&#x20;to&#x20;using&#x20;GNOME&#x20;Display&#x20;Manager&#x20;for&#x20;graphical&#x20;login&#x20;session&#x20;management.&#x20;KDM&#x20;is&#x20;also&#x20;available&#x20;as&#x20;well&#x20;as&#x20;lightdm.&#x20;Instructions&#x20;are&#x20;provided&#x20;for&#x20;GDM&#x20;only,&#x20;if&#x20;you&#x20;are&#x20;using&#x20;another&#x20;display&#x20;manager&#x20;you&#x20;will&#x20;need&#x20;to&#x20;follow&#x20;different&#x20;procedures&#x20;to&#x20;audit&#x20;and&#x20;remediate&#x20;this&#x20;setting.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Consult&#x20;with&#x20;your&#x20;organization&#039;s&#x20;legal&#x20;counsel&#x20;for&#x20;the&#x20;appropriate&#x20;wording&#x20;for&#x20;your&#x20;specific&#x20;organization.','','Uncomment&#x20;or&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;/etc/gdm3/greeter.gsettings&#x20;:&#x20;&#x20;&#x20;&#x20;banner-message-enable=true&#x20;&#x20;&#x20;&#x20;banner-message-text=&#039;&lt;banner-text&gt;&#039;','[{\"cis\": [\"11.3\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(1143,'Verify&#x20;permissions&#x20;on&#x20;/etc/passwd','The&#x20;/etc/passwd&#x20;file&#x20;contains&#x20;user&#x20;account&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;utilities&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;utilities&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','If&#x20;the&#x20;permissions&#x20;of&#x20;the&#x20;/etc/passwd&#x20;file&#x20;are&#x20;incorrect,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;correct&#x20;them:&#x20;#&#x20;/bin/chmod&#x20;644&#x20;/etc/passwd','[{\"cis\": [\"12.1\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(1144,'Verify&#x20;permissions&#x20;on&#x20;/etc/shadow','The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;user&#x20;accounts.','','If&#x20;the&#x20;permissions&#x20;of&#x20;the&#x20;/etc/shadow&#x20;file&#x20;are&#x20;incorrect,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;correct&#x20;them:&#x20;#&#x20;/bin/chmod&#x20;644&#x20;/etc/shadow','[{\"cis\": [\"12.2\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(1145,'Verify&#x20;permissions&#x20;on&#x20;/etc/group','The&#x20;/etc/group&#x20;file&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.&#x20;The&#x20;command&#x20;below&#x20;allows&#x20;read/write&#x20;access&#x20;for&#x20;root&#x20;and&#x20;read&#x20;access&#x20;for&#x20;everyone&#x20;else.','The&#x20;/etc/group&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users,&#x20;but&#x20;needs&#x20;to&#x20;be&#x20;readable&#x20;as&#x20;this&#x20;information&#x20;is&#x20;used&#x20;with&#x20;many&#x20;non-privileged&#x20;programs.','','If&#x20;the&#x20;permissions&#x20;of&#x20;the&#x20;/etc/group&#x20;file&#x20;are&#x20;incorrect,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;correct&#x20;them:&#x20;#&#x20;/bin/chmod&#x20;644&#x20;/etc/group','[{\"cis\": [\"12.3\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(1146,'Verify&#x20;User/Group&#x20;Ownership&#x20;on&#x20;/etc/passwd','The&#x20;/etc/passwd&#x20;file&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;userIDs&#x20;defined&#x20;in&#x20;the&#x20;system,&#x20;but&#x20;not&#x20;the&#x20;passwords.&#x20;The&#x20;command&#x20;below&#x20;sets&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;file&#x20;to&#x20;root.','The&#x20;/etc/passwd&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users,&#x20;but&#x20;needs&#x20;to&#x20;be&#x20;readable&#x20;as&#x20;this&#x20;information&#x20;is&#x20;used&#x20;with&#x20;many&#x20;non-privileged&#x20;programs.','','If&#x20;the&#x20;user&#x20;and&#x20;group&#x20;ownership&#x20;of&#x20;the&#x20;/etc/passwd&#x20;file&#x20;are&#x20;incorrect,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;correct&#x20;them:&#x20;#&#x20;/bin/chown&#x20;root:root&#x20;/etc/passwd','[{\"cis\": [\"12.4\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(1147,'Verify&#x20;User/Group&#x20;Ownership&#x20;on&#x20;/etc/shadow','The&#x20;/etc/shadow&#x20;file&#x20;contains&#x20;the&#x20;one-way&#x20;cipher&#x20;text&#x20;passwords&#x20;for&#x20;each&#x20;user&#x20;defined&#x20;in&#x20;the&#x20;/etc/passwd&#x20;file.&#x20;The&#x20;command&#x20;below&#x20;sets&#x20;the&#x20;user&#x20;and&#x20;group&#x20;ownership&#x20;of&#x20;the&#x20;file&#x20;to&#x20;root.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;user&#x20;accounts.','','If&#x20;the&#x20;ownership&#x20;of&#x20;the&#x20;/etc/shadow&#x20;file&#x20;are&#x20;incorrect,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;correct&#x20;them:&#x20;#&#x20;/bin/chown&#x20;root:shadow&#x20;/etc/shadow','[{\"cis\": [\"12.5\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(1148,'Verify&#x20;User/Group&#x20;Ownership&#x20;on&#x20;/etc/group','The&#x20;/etc/group&#x20;file&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.&#x20;The&#x20;command&#x20;below&#x20;allows&#x20;read/write&#x20;access&#x20;for&#x20;root&#x20;and&#x20;read&#x20;access&#x20;for&#x20;everyone&#x20;else.','The&#x20;/etc/group&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users,&#x20;but&#x20;needs&#x20;to&#x20;be&#x20;readable&#x20;as&#x20;this&#x20;information&#x20;is&#x20;used&#x20;with&#x20;many&#x20;non-privileged&#x20;programs.','','If&#x20;the&#x20;ownership&#x20;of&#x20;the&#x20;/etc/group&#x20;file&#x20;are&#x20;incorrect,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;correct&#x20;them:&#x20;#&#x20;/bin/chown&#x20;root:root&#x20;/etc/group','[{\"cis\": [\"12.6\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(1149,'Ensure&#x20;Password&#x20;Fields&#x20;are&#x20;Not&#x20;Empty','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;password,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;account&#x20;until&#x20;it&#x20;can&#x20;be&#x20;determined&#x20;why&#x20;it&#x20;does&#x20;not&#x20;have&#x20;a&#x20;password:&#x20;#&#x20;/usr/bin/passwd&#x20;-l&#x20;&lt;username&gt;&#x20;&#x20;&#x20;&#x20;Also,&#x20;check&#x20;to&#x20;see&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;investigate&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"13.1\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2\"]}]'),(1150,'Verify&#x20;No&#x20;Legacy&#x20;&quot;+&quot;&#x20;Entries&#x20;Exist&#x20;in&#x20;/etc/passwd&#x20;File','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Delete&#x20;these&#x20;entries&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"13.2\"]}, {\"cis_csc\": [\"16.9\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1151,'Verify&#x20;No&#x20;Legacy&#x20;&quot;+&quot;&#x20;Entries&#x20;Exist&#x20;in&#x20;/etc/shadow&#x20;File','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Delete&#x20;these&#x20;entries&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"13.3\"]}, {\"cis_csc\": [\"16.9\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1152,'Verify&#x20;No&#x20;Legacy&#x20;&quot;+&quot;&#x20;Entries&#x20;Exist&#x20;in&#x20;/etc/group&#x20;File','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Delete&#x20;these&#x20;entries&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"13.4\"]}, {\"cis_csc\": [\"16.9\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1153,'Verify&#x20;No&#x20;UID&#x20;0&#x20;Accounts&#x20;Exist&#x20;Other&#x20;Than&#x20;root','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;9.4&#x20;Restrict&#x20;root&#x20;Login&#x20;to&#x20;System&#x20;Console.','','Delete&#x20;any&#x20;other&#x20;entries&#x20;that&#x20;are&#x20;displayed.','[{\"cis\": [\"13.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\", \"CC8.1\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(1154,'Ensure&#x20;shadow&#x20;group&#x20;is&#x20;empty','The&#x20;shadow&#x20;group&#x20;allows&#x20;system&#x20;programs&#x20;which&#x20;require&#x20;access&#x20;the&#x20;ability&#x20;to&#x20;read&#x20;the&#x20;/etc/shadow&#x20;file.&#x20;No&#x20;users&#x20;should&#x20;be&#x20;assigned&#x20;to&#x20;the&#x20;shadow&#x20;group.','Any&#x20;users&#x20;assigned&#x20;to&#x20;the&#x20;shadow&#x20;group&#x20;would&#x20;be&#x20;granted&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file.&#x20;If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;passwords&#x20;to&#x20;break&#x20;them.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;additional&#x20;user&#x20;accounts.','','Remove&#x20;all&#x20;users&#x20;from&#x20;the&#x20;shadow&#x20;group,&#x20;and&#x20;change&#x20;the&#x20;primary&#x20;group&#x20;of&#x20;any&#x20;users&#x20;with&#x20;shadow&#x20;as&#x20;their&#x20;primary&#x20;group.','[{\"cis\": [\"13.20\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(1500,'Ensure&#x20;mounting&#x20;of&#x20;cramfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;cramfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;compressed&#x20;read-only&#x20;Linux&#x20;filesystem&#x20;embedded&#x20;in&#x20;small&#x20;footprint&#x20;systems.&#x20;A&#x20;cramfs&#x20;image&#x20;can&#x20;be&#x20;used&#x20;without&#x20;having&#x20;to&#x20;first&#x20;decompress&#x20;the&#x20;image.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;server.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','1&#41;&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;cramfs&#x20;/bin/true.&#x20;2&#41;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;cramfs&#x20;module:&#x20;#&#x20;rmmod&#x20;cramfs','[{\"cis\": [\"1.1.1.1\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(1501,'Ensure&#x20;mounting&#x20;of&#x20;freevxfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;freevxfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;free&#x20;version&#x20;of&#x20;the&#x20;Veritas&#x20;type&#x20;filesystem.&#x20;This&#x20;is&#x20;the&#x20;primary&#x20;filesystem&#x20;type&#x20;for&#x20;HP-UX&#x20;operating&#x20;systems.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','1&#41;&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;freevxfs&#x20;/bin/true.&#x20;2&#41;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;freevxfs&#x20;module:&#x20;#&#x20;rmmod&#x20;freevxfs','[{\"cis\": [\"1.1.1.2\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(1502,'Ensure&#x20;mounting&#x20;of&#x20;jffs2&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;jffs2&#x20;&#40;journaling&#x20;flash&#x20;filesystem&#x20;2&#41;&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;log-structured&#x20;filesystem&#x20;used&#x20;in&#x20;flash&#x20;memory&#x20;devices.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;jffs2&#x20;/bin/true.&#x20;2&#41;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;jffs2&#x20;module:&#x20;#&#x20;rmmod&#x20;jffs2','[{\"cis\": [\"1.1.1.3\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(1503,'Ensure&#x20;mounting&#x20;of&#x20;hfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;hfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;hierarchical&#x20;filesystem&#x20;that&#x20;allows&#x20;you&#x20;to&#x20;mount&#x20;Mac&#x20;OS&#x20;filesystems.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','1&#41;&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;hfs&#x20;/bin/true.&#x20;2&#41;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;hfs&#x20;module:&#x20;#&#x20;rmmod&#x20;hfs','[{\"cis\": [\"1.1.1.4\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(1504,'Ensure&#x20;mounting&#x20;of&#x20;hfsplus&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;hfsplus&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;hierarchical&#x20;filesystem&#x20;designed&#x20;to&#x20;replace&#x20;hfs&#x20;that&#x20;allows&#x20;you&#x20;to&#x20;mount&#x20;Mac&#x20;OS&#x20;filesystems.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','1&#41;&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;hfsplus&#x20;/bin/true.&#x20;2&#41;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;hfsplus&#x20;module:&#x20;#&#x20;rmmod&#x20;hfsplus','[{\"cis\": [\"1.1.1.5\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(1505,'Ensure&#x20;mounting&#x20;of&#x20;squashfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;squashfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;compressed&#x20;read-only&#x20;Linux&#x20;filesystem&#x20;embedded&#x20;in&#x20;small&#x20;footprint&#x20;systems&#x20;&#40;similar&#x20;to&#x20;cramfs&#x20;&#41;.&#x20;A&#x20;squashfs&#x20;image&#x20;can&#x20;be&#x20;used&#x20;without&#x20;having&#x20;to&#x20;first&#x20;decompress&#x20;the&#x20;image.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','1&#41;&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;squashfs&#x20;/bin/true.&#x20;2&#41;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;squashfs&#x20;module:&#x20;#&#x20;rmmod&#x20;squashfs','[{\"cis\": [\"1.1.1.6\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(1506,'Ensure&#x20;mounting&#x20;of&#x20;udf&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;udf&#x20;filesystem&#x20;type&#x20;is&#x20;the&#x20;universal&#x20;disk&#x20;format&#x20;used&#x20;to&#x20;implement&#x20;ISO/IEC&#x20;13346&#x20;and&#x20;ECMA-167&#x20;specifications.&#x20;This&#x20;is&#x20;an&#x20;open&#x20;vendor&#x20;filesystem&#x20;type&#x20;for&#x20;data&#x20;storage&#x20;on&#x20;a&#x20;broad&#x20;range&#x20;of&#x20;media.&#x20;This&#x20;filesystem&#x20;type&#x20;is&#x20;necessary&#x20;to&#x20;support&#x20;writing&#x20;DVDs&#x20;and&#x20;newer&#x20;optical&#x20;disc&#x20;formats.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','1&#41;&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;udf&#x20;/bin/true.&#x20;2&#41;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;udf&#x20;module:&#x20;#&#x20;rmmod&#x20;udf','[{\"cis\": [\"1.1.1.7\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(1507,'Ensure&#x20;/tmp&#x20;is&#x20;configured','The&#x20;/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Since&#x20;the&#x20;/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;In&#x20;addition,&#x20;making&#x20;/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hardlink&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hardlink&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','','Configure&#x20;/etc/fstab&#x20;as&#x20;appropriate&#x20;or&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;enable&#x20;systemd&#x20;/tmp&#x20;mounting:&#x20;systemctl&#x20;umask&#x20;tmp.mount;&#x20;systemctl&#x20;enable&#x20;tmp.mount.&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;configure&#x20;the&#x20;/tmp&#x20;mount.','[{\"cis\": [\"1.1.2\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1508,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/tmp','[{\"cis\": [\"1.1.3\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1509,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;set&#x20;userid&#x20;files.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;set&#x20;userid&#x20;files&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/tmp','[{\"cis\": [\"1.1.4\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1510,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var','The&#x20;/var&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;daemons&#x20;and&#x20;other&#x20;system&#x20;services&#x20;to&#x20;temporarily&#x20;store&#x20;dynamic&#x20;data.&#x20;Some&#x20;directories&#x20;created&#x20;by&#x20;these&#x20;processes&#x20;may&#x20;be&#x20;world-writable.','Since&#x20;the&#x20;/var&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var.&#x20;&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;use&#x20;the&#x20;Logical&#x20;Volume&#x20;Manager&#x20;&#40;LVM&#41;&#x20;to&#x20;create&#x20;partitions.','[{\"cis\": [\"1.1.5\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1511,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/tmp','The&#x20;/var/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Since&#x20;the&#x20;/var/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;In&#x20;addition,&#x20;making&#x20;/var/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/var/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hardlink&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/tmp.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.6\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1512,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/var/tmp','[{\"cis\": [\"1.1.7\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1513,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/var/tmp','[{\"cis\": [\"1.1.8\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1514,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/var/tmp','[{\"cis\": [\"1.1.9\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1515,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log','The&#x20;/var/log&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;system&#x20;services&#x20;to&#x20;store&#x20;log&#x20;data.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;system&#x20;logs&#x20;are&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;logs&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log.&#x20;&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;use&#x20;the&#x20;Logical&#x20;Volume&#x20;Manager&#x20;&#40;LVM&#41;&#x20;to&#x20;create&#x20;partitions.','[{\"cis\": [\"1.1.10\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1516,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log/audit','The&#x20;auditing&#x20;daemon,&#x20;auditd,&#x20;stores&#x20;log&#x20;data&#x20;in&#x20;the&#x20;/var/log/audit&#x20;directory.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;data&#x20;gathered&#x20;by&#x20;auditd&#x20;is&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;the&#x20;audit.log&#x20;file&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.&#x20;The&#x20;audit&#x20;daemon&#x20;calculates&#x20;how&#x20;much&#x20;free&#x20;space&#x20;is&#x20;left&#x20;and&#x20;performs&#x20;actions&#x20;based&#x20;on&#x20;the&#x20;results.&#x20;If&#x20;other&#x20;processes&#x20;&#40;such&#x20;as&#x20;syslog&#41;&#x20;consume&#x20;space&#x20;in&#x20;the&#x20;same&#x20;partition&#x20;as&#x20;auditd,&#x20;it&#x20;may&#x20;not&#x20;perform&#x20;as&#x20;desired.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log/audit.&#x20;&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;use&#x20;the&#x20;Logical&#x20;Volume&#x20;Manager&#x20;&#40;LVM&#41;&#x20;to&#x20;create&#x20;partitions.','[{\"cis\": [\"1.1.11\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1517,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/home','The&#x20;/home&#x20;directory&#x20;is&#x20;used&#x20;to&#x20;support&#x20;disk&#x20;storage&#x20;needs&#x20;of&#x20;local&#x20;users.','If&#x20;the&#x20;system&#x20;is&#x20;intended&#x20;to&#x20;support&#x20;local&#x20;users,&#x20;create&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;the&#x20;/home&#x20;directory&#x20;to&#x20;protect&#x20;against&#x20;resource&#x20;exhaustion&#x20;and&#x20;restrict&#x20;the&#x20;type&#x20;of&#x20;files&#x20;that&#x20;can&#x20;be&#x20;stored&#x20;under&#x20;/home.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/home.&#x20;&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;use&#x20;the&#x20;Logical&#x20;Volume&#x20;Manager&#x20;&#40;LVM&#41;&#x20;to&#x20;create&#x20;partitions.','[{\"cis\": [\"1.1.12\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1518,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition','When&#x20;set&#x20;on&#x20;a&#x20;file&#x20;system,&#x20;this&#x20;option&#x20;prevents&#x20;character&#x20;and&#x20;block&#x20;special&#x20;devices&#x20;from&#x20;being&#x20;defined,&#x20;or&#x20;if&#x20;they&#x20;exist,&#x20;from&#x20;being&#x20;used&#x20;as&#x20;character&#x20;and&#x20;block&#x20;special&#x20;devices.','Since&#x20;the&#x20;user&#x20;partitions&#x20;are&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices.&#x20;&#x20;Note:&#x20;The&#x20;actions&#x20;in&#x20;the&#x20;item&#x20;refer&#x20;to&#x20;the&#x20;/home&#x20;partition,&#x20;which&#x20;is&#x20;the&#x20;default&#x20;user&#x20;partition&#x20;that&#x20;is&#x20;defined&#x20;in&#x20;many&#x20;distributions.&#x20;If&#x20;you&#x20;have&#x20;created&#x20;other&#x20;user&#x20;partitions,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;Remediation&#x20;and&#x20;Audit&#x20;steps&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;partitions&#x20;as&#x20;well.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/home','[{\"cis\": [\"1.1.13\"]}, {\"cis_csc\": [\"13\", \"15.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1519,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/run/shm&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;special&#x20;devices&#x20;in&#x20;/dev/shm&#x20;partitions.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/dev/shm','[{\"cis\": [\"1.1.14\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1520,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;introducing&#x20;privileged&#x20;programs&#x20;onto&#x20;the&#x20;system&#x20;and&#x20;allowing&#x20;non-root&#x20;users&#x20;to&#x20;execute&#x20;them.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/dev/shm','[{\"cis\": [\"1.1.15\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1521,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;executing&#x20;programs&#x20;from&#x20;shared&#x20;memory.&#x20;This&#x20;deters&#x20;users&#x20;from&#x20;introducing&#x20;potentially&#x20;malicious&#x20;software&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/run/shm','[{\"cis\": [\"1.1.16\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1522,'Disable&#x20;Automounting','autofs&#x20;allows&#x20;automatic&#x20;mounting&#x20;of&#x20;devices,&#x20;typically&#x20;including&#x20;CD/DVDs&#x20;and&#x20;USB&#x20;drives.','With&#x20;automounting&#x20;enabled&#x20;anyone&#x20;with&#x20;physical&#x20;access&#x20;could&#x20;attach&#x20;a&#x20;USB&#x20;drive&#x20;or&#x20;disc&#x20;and&#x20;have&#x20;it&#039;s&#x20;contents&#x20;available&#x20;in&#x20;system&#x20;even&#x20;if&#x20;they&#x20;lacked&#x20;permissions&#x20;to&#x20;mount&#x20;it&#x20;themselves.','','Disable&#x20;autofs:&#x20;#&#x20;update-rc.d&#x20;autofs&#x20;disable','[{\"cis\": [\"1.1.21\"]}, {\"cis_csc\": [\"8.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1523,'Ensure&#x20;AIDE&#x20;is&#x20;installed','AIDE&#x20;takes&#x20;a&#x20;snapshot&#x20;of&#x20;filesystem&#x20;state&#x20;including&#x20;modification&#x20;times,&#x20;permissions,&#x20;and&#x20;file&#x20;hashes&#x20;which&#x20;can&#x20;then&#x20;be&#x20;used&#x20;to&#x20;compare&#x20;against&#x20;the&#x20;current&#x20;state&#x20;of&#x20;the&#x20;filesystem&#x20;to&#x20;detect&#x20;modifications&#x20;to&#x20;the&#x20;system.','By&#x20;monitoring&#x20;the&#x20;filesystem&#x20;state&#x20;compromised&#x20;files&#x20;can&#x20;be&#x20;detected&#x20;to&#x20;prevent&#x20;or&#x20;limit&#x20;the&#x20;exposure&#x20;of&#x20;accidental&#x20;or&#x20;malicious&#x20;misconfigurations&#x20;or&#x20;modified&#x20;binaries.','','Install&#x20;AIDE:&#x20;#&#x20;apt-get&#x20;install&#x20;aide&#x20;aide-common.&#x20;Configure&#x20;AIDE&#x20;as&#x20;appropriate&#x20;for&#x20;your&#x20;environment.&#x20;Consult&#x20;the&#x20;AIDE&#x20;documentation&#x20;for&#x20;options.&#x20;Initialize&#x20;AIDE:&#x20;#&#x20;aideinit','[{\"cis\": [\"1.3.1\"]}, {\"cis_csc\": [\"3.5\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(1524,'Ensure&#x20;filesystem&#x20;integrity&#x20;is&#x20;regularly&#x20;checked','Periodic&#x20;checking&#x20;of&#x20;the&#x20;filesystem&#x20;integrity&#x20;is&#x20;needed&#x20;to&#x20;detect&#x20;changes&#x20;to&#x20;the&#x20;filesystem.','Periodic&#x20;file&#x20;checking&#x20;allows&#x20;the&#x20;system&#x20;administrator&#x20;to&#x20;determine&#x20;on&#x20;a&#x20;regular&#x20;basis&#x20;if&#x20;critical&#x20;files&#x20;have&#x20;been&#x20;changed&#x20;in&#x20;an&#x20;unauthorized&#x20;fashion.','','Execute&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;crontab&#x20;-u&#x20;root&#x20;-e&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;crontab:&#x20;0&#x20;5&#x20;*&#x20;*&#x20;*&#x20;/usr/sbin/aide&#x20;--check.&#x20;Note:&#x20;The&#x20;checking&#x20;in&#x20;this&#x20;instance&#x20;occurs&#x20;every&#x20;day&#x20;at&#x20;5am.&#x20;Alter&#x20;the&#x20;frequency&#x20;and&#x20;time&#x20;of&#x20;the&#x20;checks&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy.','[{\"cis\": [\"1.3.2\"]}, {\"cis_csc\": [\"3.5\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(1525,'Ensure&#x20;permissions&#x20;on&#x20;bootloader&#x20;config&#x20;are&#x20;configured','The&#x20;grub&#x20;configuration&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;boot&#x20;settings&#x20;and&#x20;passwords&#x20;for&#x20;unlocking&#x20;boot&#x20;options.&#x20;The&#x20;grub&#x20;configuration&#x20;is&#x20;usually&#x20;grub.cfg&#x20;stored&#x20;in&#x20;/boot/grub.','Setting&#x20;the&#x20;permissions&#x20;to&#x20;read&#x20;and&#x20;write&#x20;for&#x20;root&#x20;only&#x20;prevents&#x20;non-root&#x20;users&#x20;from&#x20;seeing&#x20;the&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;them.&#x20;Non-root&#x20;users&#x20;who&#x20;read&#x20;the&#x20;boot&#x20;parameters&#x20;may&#x20;be&#x20;able&#x20;to&#x20;identify&#x20;weaknesses&#x20;in&#x20;security&#x20;upon&#x20;boot&#x20;and&#x20;be&#x20;able&#x20;to&#x20;exploit&#x20;them.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;your&#x20;grub&#x20;configuration:&#x20;chown&#x20;root:root&#x20;/boot/grub/grub.cfg,&#x20;chmod&#x20;og-rwx&#x20;/boot/grub/grub.cfg','[{\"cis\": [\"1.4.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1526,'Ensure&#x20;bootloader&#x20;password&#x20;is&#x20;set','Setting&#x20;the&#x20;boot&#x20;loader&#x20;password&#x20;will&#x20;require&#x20;that&#x20;anyone&#x20;rebooting&#x20;the&#x20;system&#x20;must&#x20;enter&#x20;a&#x20;password&#x20;before&#x20;being&#x20;able&#x20;to&#x20;set&#x20;command&#x20;line&#x20;boot&#x20;parameters.','Requiring&#x20;a&#x20;boot&#x20;password&#x20;upon&#x20;execution&#x20;of&#x20;the&#x20;boot&#x20;loader&#x20;will&#x20;prevent&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;entering&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;the&#x20;boot&#x20;partition.&#x20;This&#x20;prevents&#x20;users&#x20;from&#x20;weakening&#x20;security&#x20;&#40;e.g.&#x20;turning&#x20;off&#x20;SELinux&#x20;at&#x20;boot&#x20;time&#41;.','','1&#41;&#x20;Create&#x20;an&#x20;encrypted&#x20;password&#x20;with&#x20;grub-md5-crypt:&#x20;#&#x20;grub-mkpasswd-pbkdf2&#x20;Enter&#x20;password:&#x20;&lt;password&gt;&#x20;Reenter&#x20;password:&#x20;&lt;password&gt;&#x20;Your&#x20;PBKDF2&#x20;is&#x20;&lt;encrypted-password&gt;&#x20;2&#41;&#x20;Add&#x20;the&#x20;following&#x20;into&#x20;/etc/grub.d/00_header&#x20;or&#x20;a&#x20;custom&#x20;/etc/grub.d&#x20;configuration&#x20;file:&#x20;cat&#x20;&lt;&lt;EOF&#x20;set&#x20;superusers=&quot;&lt;user-list&gt;&quot;&#x20;password_pbkdf2&#x20;&lt;user&gt;&#x20;&lt;encrypted-password&gt;&#x20;EOF&#x20;Unless&#x20;the&#x20;--unrestricted&#x20;option&#x20;is&#x20;added&#x20;to&#x20;CLASS&#x20;in&#x20;/etc/grub.d/10_linux&#x20;a&#x20;password&#x20;will&#x20;be&#x20;required&#x20;to&#x20;boot&#x20;in&#x20;addition&#x20;to&#x20;editing&#x20;boot&#x20;parameters:&#x20;CLASS=&quot;--class&#x20;gnu-linux&#x20;--class&#x20;gnu&#x20;--class&#x20;os&#x20;--unrestricted&quot;&#x20;3&#41;&#x20;Run&#x20;the&#x20;following&#x20;to&#x20;update&#x20;the&#x20;grub&#x20;configuration:&#x20;#&#x20;update-grub','[{\"cis\": [\"1.4.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1527,'Ensure&#x20;authentication&#x20;required&#x20;for&#x20;single&#x20;user&#x20;mode','Single&#x20;user&#x20;mode&#x20;is&#x20;used&#x20;for&#x20;recovery&#x20;when&#x20;the&#x20;system&#x20;detects&#x20;an&#x20;issue&#x20;during&#x20;boot&#x20;or&#x20;by&#x20;manual&#x20;selection&#x20;from&#x20;the&#x20;bootloader.','Requiring&#x20;authentication&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;prevents&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;rebooting&#x20;the&#x20;system&#x20;into&#x20;single&#x20;user&#x20;to&#x20;gain&#x20;root&#x20;privileges&#x20;without&#x20;credentials.','','Run&#x20;the&#x20;following&#x20;command&#x20;and&#x20;follow&#x20;the&#x20;prompts&#x20;to&#x20;set&#x20;a&#x20;password&#x20;for&#x20;the&#x20;root&#x20;user:&#x20;#&#x20;passwd&#x20;root','[{\"cis\": [\"1.4.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1528,'Ensure&#x20;core&#x20;dumps&#x20;are&#x20;restricted','A&#x20;core&#x20;dump&#x20;is&#x20;the&#x20;memory&#x20;of&#x20;an&#x20;executable&#x20;program.&#x20;It&#x20;is&#x20;generally&#x20;used&#x20;to&#x20;determine&#x20;why&#x20;a&#x20;program&#x20;aborted.&#x20;It&#x20;can&#x20;also&#x20;be&#x20;used&#x20;to&#x20;glean&#x20;confidential&#x20;information&#x20;from&#x20;a&#x20;core&#x20;file.&#x20;The&#x20;system&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;a&#x20;soft&#x20;limit&#x20;for&#x20;core&#x20;dumps,&#x20;but&#x20;this&#x20;can&#x20;be&#x20;overridden&#x20;by&#x20;the&#x20;user.','Setting&#x20;a&#x20;hard&#x20;limit&#x20;on&#x20;core&#x20;dumps&#x20;prevents&#x20;users&#x20;from&#x20;overriding&#x20;the&#x20;soft&#x20;variable.&#x20;If&#x20;core&#x20;dumps&#x20;are&#x20;required,&#x20;consider&#x20;setting&#x20;limits&#x20;for&#x20;user&#x20;groups&#x20;&#40;see&#x20;limits.conf&#40;5&#41;&#x20;&#41;.&#x20;In&#x20;addition,&#x20;setting&#x20;the&#x20;fs.suid_dumpable&#x20;variable&#x20;to&#x20;0&#x20;will&#x20;prevent&#x20;setuid&#x20;programs&#x20;from&#x20;dumping&#x20;core.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/security/limits.conf&#x20;file.&#x20;&#x20;*&#x20;hard&#x20;core&#x20;0&#x20;&#x20;&#x20;&#x20;&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/sysctl.conf&#x20;file:&#x20;fs.suid_dumpable&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;fs.suid_dumpable=0','[{\"cis\": [\"1.5.1\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1529,'Ensure&#x20;XD/NX&#x20;support&#x20;is&#x20;enabled','Recent&#x20;processors&#x20;in&#x20;the&#x20;x86&#x20;family&#x20;support&#x20;the&#x20;ability&#x20;to&#x20;prevent&#x20;code&#x20;execution&#x20;on&#x20;a&#x20;per&#x20;memory&#x20;page&#x20;basis.&#x20;Generically&#x20;and&#x20;on&#x20;AMD&#x20;processors,&#x20;this&#x20;ability&#x20;is&#x20;called&#x20;No&#x20;Execute&#x20;&#40;NX&#41;,&#x20;while&#x20;on&#x20;Intel&#x20;processors&#x20;it&#x20;is&#x20;called&#x20;Execute&#x20;Disable&#x20;&#40;XD&#41;.&#x20;This&#x20;ability&#x20;can&#x20;help&#x20;prevent&#x20;exploitation&#x20;of&#x20;buffer&#x20;overflow&#x20;vulnerabilities&#x20;and&#x20;should&#x20;be&#x20;activated&#x20;whenever&#x20;possible.&#x20;Extra&#x20;steps&#x20;must&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;that&#x20;this&#x20;protection&#x20;is&#x20;enabled,&#x20;particularly&#x20;on&#x20;32-bit&#x20;x86&#x20;systems.&#x20;Other&#x20;processors,&#x20;such&#x20;as&#x20;Itanium&#x20;and&#x20;POWER,&#x20;have&#x20;included&#x20;such&#x20;support&#x20;since&#x20;inception&#x20;and&#x20;the&#x20;standard&#x20;kernel&#x20;for&#x20;those&#x20;platforms&#x20;supports&#x20;the&#x20;feature.','Enabling&#x20;any&#x20;feature&#x20;that&#x20;can&#x20;protect&#x20;against&#x20;buffer&#x20;overflow&#x20;attacks&#x20;enhances&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.','','On&#x20;32&#x20;bit&#x20;systems&#x20;install&#x20;a&#x20;kernel&#x20;with&#x20;PAE&#x20;support,&#x20;no&#x20;installation&#x20;is&#x20;required&#x20;on&#x20;64&#x20;bit&#x20;systems:&#x20;If&#x20;necessary&#x20;configure&#x20;your&#x20;bootloader&#x20;to&#x20;load&#x20;the&#x20;new&#x20;kernel&#x20;and&#x20;reboot&#x20;the&#x20;system.&#x20;You&#x20;may&#x20;need&#x20;to&#x20;enable&#x20;NX&#x20;or&#x20;XD&#x20;support&#x20;in&#x20;your&#x20;bios.','[{\"cis\": [\"1.5.2\"]}, {\"cis_csc\": [\"8.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1530,'Ensure&#x20;address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;enabled','Address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;an&#x20;exploit&#x20;mitigation&#x20;technique&#x20;which&#x20;randomly&#x20;arranges&#x20;the&#x20;address&#x20;space&#x20;of&#x20;key&#x20;data&#x20;areas&#x20;of&#x20;a&#x20;process.','Randomly&#x20;placing&#x20;virtual&#x20;memory&#x20;regions&#x20;will&#x20;make&#x20;it&#x20;difficult&#x20;to&#x20;write&#x20;memory&#x20;page&#x20;exploits&#x20;as&#x20;the&#x20;memory&#x20;placement&#x20;will&#x20;be&#x20;consistently&#x20;shifting.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/sysctl.conf&#x20;file:&#x20;kernel.randomize_va_space&#x20;=&#x20;2&#x20;and&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;kernel.randomize_va_space=2','[{\"cis\": [\"1.5.3\"]}, {\"cis_csc\": [\"8.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1531,'Ensure&#x20;prelink&#x20;is&#x20;disabled','prelink&#x20;is&#x20;a&#x20;program&#x20;that&#x20;modifies&#x20;ELF&#x20;shared&#x20;libraries&#x20;and&#x20;ELF&#x20;dynamically&#x20;linked&#x20;binaries&#x20;in&#x20;such&#x20;a&#x20;way&#x20;that&#x20;the&#x20;time&#x20;needed&#x20;for&#x20;the&#x20;dynamic&#x20;linker&#x20;to&#x20;perform&#x20;relocations&#x20;at&#x20;startup&#x20;significantly&#x20;decreases.','The&#x20;prelinking&#x20;feature&#x20;can&#x20;interfere&#x20;with&#x20;the&#x20;operation&#x20;of&#x20;AIDE,&#x20;because&#x20;it&#x20;changes&#x20;binaries.&#x20;Prelinking&#x20;can&#x20;also&#x20;increase&#x20;the&#x20;vulnerability&#x20;of&#x20;the&#x20;system&#x20;if&#x20;a&#x20;malicious&#x20;user&#x20;is&#x20;able&#x20;to&#x20;compromise&#x20;a&#x20;common&#x20;library&#x20;such&#x20;as&#x20;libc.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;restore&#x20;binaries&#x20;to&#x20;normal&#x20;and&#x20;uninstall&#x20;prelink:&#x20;prelink&#x20;-ua&#x20;&amp;&amp;&#x20;apt-get&#x20;remove&#x20;prelink','[{\"cis\": [\"1.5.4\"]}, {\"cis_csc\": [\"3.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1532,'Ensure&#x20;SELinux&#x20;is&#x20;not&#x20;disabled&#x20;in&#x20;bootloader&#x20;configuration','Configure&#x20;SELINUX&#x20;to&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;and&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;not&#x20;been&#x20;overwritten&#x20;by&#x20;the&#x20;grub&#x20;boot&#x20;parameters.','SELinux&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;your&#x20;grub&#x20;configuration&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;not&#x20;overridden.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;remove&#x20;all&#x20;instances&#x20;of&#x20;selinux=0&#x20;and&#x20;enforcing=0&#x20;from&#x20;all&#x20;CMDLINE_LINUX&#x20;parameters:&#x20;GRUB_CMDLINE_LINUX_DEFAULT=&quot;quiet&quot;&#x20;GRUB_CMDLINE_LINUX=&quot;&quot;&#x20;&#x20;||&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub','[{\"cis\": [\"1.6.1.1\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1533,'Ensure&#x20;the&#x20;SELinux&#x20;state&#x20;is&#x20;enforcing','Set&#x20;SELinux&#x20;to&#x20;enable&#x20;when&#x20;the&#x20;system&#x20;is&#x20;booted.','SELinux&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;in&#x20;effect&#x20;at&#x20;all&#x20;times.','','Edit&#x20;the&#x20;/etc/selinux/config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;SELINUX&#x20;parameter:&#x20;SELINUX=enforcing','[{\"cis\": [\"1.6.1.2\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1534,'Ensure&#x20;SELinux&#x20;policy&#x20;is&#x20;configured','Configure&#x20;SELinux&#x20;to&#x20;meet&#x20;or&#x20;exceed&#x20;the&#x20;default&#x20;targeted&#x20;policy,&#x20;which&#x20;constrains&#x20;daemons&#x20;and&#x20;system&#x20;software&#x20;only.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;at&#x20;least&#x20;the&#x20;default&#x20;recommendations&#x20;are&#x20;met.','','Edit&#x20;the&#x20;/etc/selinux/config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;SELINUXTYPE&#x20;parameter:&#x20;SELINUXTYPE=targeted','[{\"cis\": [\"1.6.1.3\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1535,'Ensure&#x20;no&#x20;unconfined&#x20;daemons&#x20;exist','Daemons&#x20;that&#x20;are&#x20;not&#x20;defined&#x20;in&#x20;SELinux&#x20;policy&#x20;will&#x20;inherit&#x20;the&#x20;security&#x20;context&#x20;of&#x20;their&#x20;parent&#x20;process.','Since&#x20;daemons&#x20;are&#x20;launched&#x20;and&#x20;descend&#x20;from&#x20;the&#x20;init&#x20;process,&#x20;they&#x20;will&#x20;inherit&#x20;the&#x20;security&#x20;context&#x20;label&#x20;initrc_t&#x20;.&#x20;This&#x20;could&#x20;cause&#x20;the&#x20;unintended&#x20;consequence&#x20;of&#x20;giving&#x20;the&#x20;process&#x20;more&#x20;permission&#x20;than&#x20;it&#x20;requires.','','Investigate&#x20;any&#x20;unconfined&#x20;daemons&#x20;found&#x20;during&#x20;the&#x20;audit&#x20;action.&#x20;They&#x20;may&#x20;need&#x20;to&#x20;have&#x20;an&#x20;existing&#x20;security&#x20;context&#x20;assigned&#x20;to&#x20;them&#x20;or&#x20;a&#x20;policy&#x20;built&#x20;for&#x20;them.','[{\"cis\": [\"1.6.1.4\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1536,'Ensure&#x20;AppArmor&#x20;is&#x20;enabled&#x20;in&#x20;the&#x20;bootloader&#x20;configuration','Configure&#x20;AppArmor&#x20;to&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;and&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;not&#x20;been&#x20;overwrittenby&#x20;the&#x20;bootloader&#x20;boot&#x20;parameters.','AppArmor&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;your&#x20;grub&#x20;configuration&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;not&#x20;overridden.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;the&#x20;appermor=1&#x20;and&#x20;security=apparmor&#x20;parameters&#x20;to&#x20;the&#x20;GRUB_CMDLINE_LINUX=&#x20;line&#x20;&#x20;&#x20;GRUB_CMDLINE_LINUX=&quot;apparmor=1&#x20;security=apparmor&quot;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;update&#x20;the&#x20;grub&#x20;configuration&#x20;#&#x20;update-grub&#x20;&#x20;&#x20;&#x20;Notes:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.','[{\"cis\": [\"1.6.2.1\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1537,'Ensure&#x20;all&#x20;AppArmor&#x20;Profiles&#x20;are&#x20;enforcing','AppArmor&#x20;profiles&#x20;define&#x20;what&#x20;resources&#x20;applicatons&#x20;are&#x20;able&#x20;to&#x20;access.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;any&#x20;policies&#x20;that&#x20;exist&#x20;on&#x20;the&#x20;system&#x20;are&#x20;activated..','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;all&#x20;profiles&#x20;to&#x20;enforce&#x20;mode:&#x20;#&#x20;aa-enforce&#x20;/etc/apparmor.d&#47;&#42;&#x20;Any&#x20;unconfined&#x20;processes&#x20;may&#x20;need&#x20;to&#x20;have&#x20;a&#x20;profile&#x20;created&#x20;or&#x20;activated&#x20;for&#x20;them&#x20;and&#x20;then&#x20;be&#x20;restarted.','[{\"cis\": [\"1.6.2.2\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1538,'Ensure&#x20;SELinux&#x20;or&#x20;AppArmor&#x20;are&#x20;installed','SELinux&#x20;and&#x20;AppArmor&#x20;provide&#x20;Mandatory&#x20;Access&#x20;Controls.','Without&#x20;a&#x20;Mandatory&#x20;Access&#x20;Control&#x20;system&#x20;installed&#x20;only&#x20;the&#x20;default&#x20;Discretionary&#x20;Access&#x20;Control&#x20;system&#x20;will&#x20;be&#x20;available.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;install&#x20;SELinux&#x20;or&#x20;apparmor:&#x20;#&#x20;apt-get&#x20;install&#x20;selinux-basics&#x20;Or:&#x20;#&#x20;apt-get&#x20;install&#x20;apparmor&#x20;apparmor-profiles&#x20;apparmor-utils','[{\"cis\": [\"1.6.3\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1539,'Ensure&#x20;message&#x20;of&#x20;the&#x20;day&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/motd&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;or&#x20;v.','[{\"cis\": [\"1.7.1.1\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"7.1\"]}]'),(1540,'Ensure&#x20;local&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m,&#x0d;,s,&#x20;or&#x20;v:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue','[{\"cis\": [\"1.7.1.2\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"7.1\"]}]'),(1541,'Ensure&#x20;remote&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;or&#x20;v:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue.net','[{\"cis\": [\"1.7.1.3\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"7.1\"]}]'),(1542,'Ensure&#x20;permissions&#x20;on&#x20;/etc/motd&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.','If&#x20;the&#x20;/etc/motd&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/motd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/motd&#x20;#&#x20;chmod&#x20;644&#x20;/etc/motd','[{\"cis\": [\"1.7.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(1543,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.','If&#x20;the&#x20;/etc/issue&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue','[{\"cis\": [\"1.7.1.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(1544,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue.net&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.','If&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue.net:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue.net&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue.net','[{\"cis\": [\"1.7.1.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(1545,'Ensure&#x20;GDM&#x20;login&#x20;banner&#x20;is&#x20;configured','GDM&#x20;is&#x20;the&#x20;GNOME&#x20;Display&#x20;Manager&#x20;which&#x20;handles&#x20;graphical&#x20;login&#x20;for&#x20;GNOME&#x20;based&#x20;systems.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/gdm3/greeter.dconf-defaults&#x20;and&#x20;add:&#x20;[org/gnome/login-screen],&#x20;banner-message-enable=true,&#x20;banner-message-text=&#039;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&#039;','[{\"cis\": [\"1.7.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1546,'Ensure&#x20;updates,&#x20;patches,&#x20;and&#x20;additional&#x20;security&#x20;software&#x20;are&#x20;installed','Periodically&#x20;patches&#x20;are&#x20;released&#x20;for&#x20;included&#x20;software&#x20;either&#x20;due&#x20;to&#x20;security&#x20;flaws&#x20;or&#x20;to&#x20;include&#x20;additional&#x20;functionality.','Newer&#x20;patches&#x20;may&#x20;contain&#x20;security&#x20;enhancements&#x20;that&#x20;would&#x20;not&#x20;be&#x20;available&#x20;through&#x20;the&#x20;latest&#x20;full&#x20;update.&#x20;As&#x20;a&#x20;result,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;latest&#x20;software&#x20;patches&#x20;be&#x20;used&#x20;to&#x20;take&#x20;advantage&#x20;of&#x20;the&#x20;latest&#x20;functionality.&#x20;As&#x20;with&#x20;any&#x20;software&#x20;installation,&#x20;organizations&#x20;need&#x20;to&#x20;determine&#x20;if&#x20;a&#x20;given&#x20;update&#x20;meets&#x20;their&#x20;requirements&#x20;and&#x20;verify&#x20;the&#x20;compatibility&#x20;and&#x20;supportability&#x20;of&#x20;any&#x20;additional&#x20;software&#x20;against&#x20;the&#x20;update&#x20;revision&#x20;that&#x20;is&#x20;selected.','','Use&#x20;your&#x20;package&#x20;manager&#x20;to&#x20;update&#x20;all&#x20;packages&#x20;on&#x20;the&#x20;system&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;Notes:&#x20;Site&#x20;policy&#x20;may&#x20;mandate&#x20;a&#x20;testing&#x20;period&#x20;before&#x20;install&#x20;onto&#x20;production&#x20;systems&#x20;for&#x20;available&#x20;updates.','[{\"cis\": [\"1.8\"]}, {\"cis_csc\": [\"4.5\"]}, {\"pci_dss\": [\"5.2\"]}, {\"nist_800_53\": [\"AU.6\", \"SI.4\"]}, {\"gpg_13\": [\"4.2\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"A1.2\"]}]'),(1547,'Ensure&#x20;xinetd&#x20;is&#x20;not&#x20;installed','The&#x20;eXtended&#x20;InterNET&#x20;Daemon&#x20;&#40;xinetd&#41;&#x20;is&#x20;an&#x20;open&#x20;source&#x20;super&#x20;daemon&#x20;that&#x20;replaced&#x20;the&#x20;original&#x20;inetd&#x20;daemon.&#x20;The&#x20;xinetd&#x20;daemon&#x20;listens&#x20;for&#x20;well&#x20;known&#x20;services&#x20;and&#x20;dispatches&#x20;the&#x20;appropriate&#x20;daemon&#x20;to&#x20;properly&#x20;respond&#x20;to&#x20;service&#x20;requests.','If&#x20;there&#x20;are&#x20;no&#x20;xinetd&#x20;services&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;daemon&#x20;be&#x20;disabled.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;xinetd:&#x20;#&#x20;apt-get&#x20;remove&#x20;xinetd','[{\"cis\": [\"2.1.1\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1548,'Ensure&#x20;inetd&#x20;is&#x20;not&#x20;installed','The&#x20;inetd&#x20;daemon&#x20;listens&#x20;for&#x20;well&#x20;known&#x20;services&#x20;and&#x20;dispatches&#x20;the&#x20;appropriate&#x20;daemon&#x20;to&#x20;properly&#x20;respond&#x20;to&#x20;service&#x20;requests.','If&#x20;there&#x20;are&#x20;no&#x20;inetd&#x20;services&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;daemon&#x20;be&#x20;removed.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;uninstall&#x20;openbsd-inetd&#x20;and&#x20;inetutils-inetd:&#x20;#&#x20;apt-get&#x20;remove&#x20;openbsd-inetd&#x20;#&#x20;apt-get&#x20;remove&#x20;inetutils-inetd','[{\"cis\": [\"2.1.2\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1549,'Ensure&#x20;time&#x20;synchronization&#x20;is&#x20;in&#x20;use','System&#x20;time&#x20;should&#x20;be&#x20;synchronized&#x20;between&#x20;all&#x20;systems&#x20;in&#x20;an&#x20;environment.&#x20;This&#x20;is&#x20;typically&#x20;done&#x20;by&#x20;establishing&#x20;an&#x20;authoritative&#x20;time&#x20;server&#x20;or&#x20;set&#x20;of&#x20;servers&#x20;and&#x20;having&#x20;all&#x20;systems&#x20;synchronize&#x20;their&#x20;clocks&#x20;to&#x20;them.','Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;like&#x20;Kerberos&#x20;and&#x20;also&#x20;ensures&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise,&#x20;which&#x20;aids&#x20;in&#x20;forensic&#x20;investigations.','','On&#x20;physical&#x20;systems&#x20;or&#x20;virtual&#x20;systems&#x20;where&#x20;host&#x20;based&#x20;time&#x20;synchronization&#x20;is&#x20;not&#x20;available&#x20;install&#x20;NTP&#x20;or&#x20;chrony&#x20;using&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands:&#x20;#&#x20;apt-get&#x20;install&#x20;ntp&#x20;#&#x20;apt-get&#x20;install&#x20;chrony&#x20;&#x20;&#x20;&#x20;&#x20;On&#x20;virtual&#x20;systems&#x20;where&#x20;host&#x20;based&#x20;time&#x20;synchronization&#x20;is&#x20;available&#x20;consult&#x20;your&#x20;virtualization&#x20;software&#x20;documentation&#x20;and&#x20;setup&#x20;host&#x20;based&#x20;synchronization.','[{\"cis\": [\"2.2.1.1\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"10.4\"]}, {\"nist_800_53\": [\"AU.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(1550,'Ensure&#x20;ntp&#x20;is&#x20;configured','ntp&#x20;is&#x20;a&#x20;daemon&#x20;which&#x20;implements&#x20;the&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;.&#x20;It&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;NTP&#x20;can&#x20;be&#x20;found&#x20;at&#x20;http://www.ntp.org.&#x20;ntp&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system.','If&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.','','Add&#x20;or&#x20;edit&#x20;restrict&#x20;lines&#x20;in&#x20;/etc/ntp.conf&#x20;to&#x20;match&#x20;the&#x20;following:&#x20;&#x20;&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;restrict&#x20;-6&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;&#x20;.&#x20;Add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;to&#x20;/etc/ntp.conf&#x20;as&#x20;appropriate:&#x20;&#x20;&#x20;server&#x20;&lt;remote-server&gt;&#x20;.&#x20;Configure&#x20;ntp&#x20;to&#x20;run&#x20;as&#x20;the&#x20;ntp&#x20;user&#x20;by&#x20;adding&#x20;or&#x20;editing&#x20;the&#x20;/etc/init.d/ntp&#x20;file:&#x20;&#x20;&#x20;RUNASUSER=ntp','[{\"cis\": [\"2.2.1.2\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1551,'Ensure&#x20;chrony&#x20;is&#x20;configured','chrony&#x20;is&#x20;a&#x20;daemon&#x20;which&#x20;implements&#x20;the&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;chrony&#x20;can&#x20;be&#x20;found&#x20;at&#x20;http://chrony.tuxfamily.org/.&#x20;chrony&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.','If&#x20;chrony&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;chrony&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system.','','Add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;to&#x20;/etc/chrony/chrony.conf&#x20;as&#x20;appropriate:&#x20;server&#x20;&lt;remote-server&gt;','[{\"cis\": [\"2.2.1.3\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1552,'Ensure&#x20;the&#x20;X&#x20;Window&#x20;system&#x20;is&#x20;not&#x20;installed','The&#x20;X&#x20;Window&#x20;System&#x20;provides&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;where&#x20;users&#x20;can&#x20;have&#x20;multiple&#x20;windows&#x20;in&#x20;which&#x20;to&#x20;run&#x20;programs&#x20;and&#x20;various&#x20;add&#x20;on.&#x20;The&#x20;X&#x20;Windows&#x20;system&#x20;is&#x20;typically&#x20;used&#x20;on&#x20;workstations&#x20;where&#x20;users&#x20;login,&#x20;but&#x20;not&#x20;on&#x20;servers&#x20;where&#x20;users&#x20;typically&#x20;do&#x20;not&#x20;login.','Unless&#x20;your&#x20;organization&#x20;specifically&#x20;requires&#x20;graphical&#x20;login&#x20;access&#x20;via&#x20;X&#x20;Windows,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;X&#x20;Windows&#x20;System&#x20;packages:&#x20;apt-get&#x20;remove&#x20;xserver-xorg*','[{\"cis\": [\"2.2.2\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(1553,'Ensure&#x20;Avahi&#x20;Server&#x20;is&#x20;not&#x20;enabled','Avahi&#x20;is&#x20;a&#x20;free&#x20;zeroconf&#x20;implementation,&#x20;including&#x20;a&#x20;system&#x20;for&#x20;multicast&#x20;DNS/DNS-SD&#x20;service&#x20;discovery.&#x20;Avahi&#x20;allows&#x20;programs&#x20;to&#x20;publish&#x20;and&#x20;discover&#x20;services&#x20;and&#x20;hosts&#x20;running&#x20;on&#x20;a&#x20;local&#x20;network&#x20;with&#x20;no&#x20;specific&#x20;configuration.&#x20;For&#x20;example,&#x20;a&#x20;user&#x20;can&#x20;plug&#x20;a&#x20;computer&#x20;into&#x20;a&#x20;network&#x20;and&#x20;Avahi&#x20;automatically&#x20;finds&#x20;printers&#x20;to&#x20;print&#x20;to,&#x20;files&#x20;to&#x20;look&#x20;at&#x20;and&#x20;people&#x20;to&#x20;talk&#x20;to,&#x20;as&#x20;well&#x20;as&#x20;network&#x20;services&#x20;running&#x20;on&#x20;the&#x20;machine.','Automatic&#x20;discovery&#x20;of&#x20;network&#x20;services&#x20;is&#x20;not&#x20;normally&#x20;required&#x20;for&#x20;system&#x20;functionality.&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;disable&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attach&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;avahi-daemon:&#x20;#&#x20;systemctl&#x20;disable&#x20;avahi-daemon','[{\"cis\": [\"2.2.3\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1554,'Ensure&#x20;CUPS&#x20;is&#x20;not&#x20;enabled','The&#x20;Common&#x20;Unix&#x20;Print&#x20;System&#x20;&#40;CUPS&#41;&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;print&#x20;to&#x20;both&#x20;local&#x20;and&#x20;network&#x20;printers.&#x20;A&#x20;system&#x20;running&#x20;CUPS&#x20;can&#x20;also&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;remote&#x20;systems&#x20;and&#x20;print&#x20;them&#x20;to&#x20;local&#x20;printers.&#x20;It&#x20;also&#x20;provides&#x20;a&#x20;web&#x20;based&#x20;remote&#x20;administration&#x20;capability.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;need&#x20;to&#x20;print&#x20;jobs&#x20;or&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;systems,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;CUPS&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;cups:&#x20;#&#x20;systemctl&#x20;disable&#x20;cups','[{\"cis\": [\"2.2.4\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1555,'Ensure&#x20;DHCP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Dynamic&#x20;Host&#x20;Configuration&#x20;Protocol&#x20;&#40;DHCP&#41;&#x20;is&#x20;a&#x20;service&#x20;that&#x20;allows&#x20;machines&#x20;to&#x20;be&#x20;dynamically&#x20;assigned&#x20;IP&#x20;addresses.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;set&#x20;up&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DHCP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;dhcpd:&#x20;#&#x20;systemctl&#x20;disable&#x20;isc-dhcp-server&#x20;#&#x20;systemctl&#x20;disable&#x20;isc-dhcp-server6','[{\"cis\": [\"2.2.5\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1556,'Ensure&#x20;LDAP&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;slapd:&#x20;#&#x20;systemctl&#x20;disable&#x20;slapd','[{\"cis\": [\"2.2.6\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1557,'Ensure&#x20;NFS&#x20;and&#x20;RPC&#x20;are&#x20;not&#x20;enabled','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;export&#x20;NFS&#x20;shares&#x20;or&#x20;act&#x20;as&#x20;an&#x20;NFS&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;these&#x20;services&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;nfs&#x20;and&#x20;rpcbind:&#x20;#&#x20;systemctl&#x20;disable&#x20;nfs-server&#x20;#&#x20;systemctl&#x20;disable&#x20;rpcbind','[{\"cis\": [\"2.2.7\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1558,'Ensure&#x20;DNS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Domain&#x20;Name&#x20;System&#x20;&#40;DNS&#41;&#x20;is&#x20;a&#x20;hierarchical&#x20;naming&#x20;system&#x20;that&#x20;maps&#x20;names&#x20;to&#x20;IP&#x20;addresses&#x20;for&#x20;computers,&#x20;services&#x20;and&#x20;other&#x20;resources&#x20;connected&#x20;to&#x20;a&#x20;network.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;designated&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DNS&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;named:&#x20;#&#x20;systemctl&#x20;disable&#x20;bind9','[{\"cis\": [\"2.2.8\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1559,'Ensure&#x20;FTP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;FTP&#41;&#x20;provides&#x20;networked&#x20;computers&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;transfer&#x20;files.','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;sftp&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;vsftpd:&#x20;#&#x20;systemctl&#x20;disable&#x20;vsftpd','[{\"cis\": [\"2.2.9\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1560,'Ensure&#x20;HTTP&#x20;Server&#x20;is&#x20;not&#x20;enabled','HTTP&#x20;or&#x20;web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;apache2:&#x20;#&#x20;systemctl&#x20;disable&#x20;apache2','[{\"cis\": [\"2.2.10\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1561,'Ensure&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;is&#x20;not&#x20;enabled','exim&#x20;is&#x20;an&#x20;open&#x20;source&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;POP3&#x20;and/or&#x20;IMAP&#x20;servers&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;by&#x20;this&#x20;system,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;exim:&#x20;#&#x20;apt-get&#x20;remove&#x20;exim4;&#x20;#&#x20;apt-get&#x20;purge&#x20;exim4','[{\"cis\": [\"2.2.11\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1562,'Ensure&#x20;Samba&#x20;is&#x20;not&#x20;enabled','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Small&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.&#x20;Windows&#x20;desktop&#x20;users&#x20;will&#x20;be&#x20;able&#x20;to&#x20;mount&#x20;these&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;as&#x20;letter&#x20;drives&#x20;on&#x20;their&#x20;systems.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;service&#x20;can&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;smbd:&#x20;#&#x20;systemctl&#x20;disable&#x20;smbd','[{\"cis\": [\"2.2.12\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1563,'Ensure&#x20;HTTP&#x20;Proxy&#x20;Server&#x20;is&#x20;not&#x20;enabled','Squid&#x20;is&#x20;a&#x20;standard&#x20;proxy&#x20;server&#x20;used&#x20;in&#x20;many&#x20;distributions&#x20;and&#x20;environments.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;proxy&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;squid:&#x20;#&#x20;systemctl&#x20;disable&#x20;squid','[{\"cis\": [\"2.2.13\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1564,'Ensure&#x20;SNMP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;can&#x20;communicate&#x20;using&#x20;SNMP&#x20;v1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;Unless&#x20;absolutely&#x20;necessary,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;SNMP&#x20;service&#x20;not&#x20;be&#x20;used.&#x20;If&#x20;SNMP&#x20;is&#x20;required&#x20;the&#x20;server&#x20;should&#x20;be&#x20;configured&#x20;to&#x20;disallow&#x20;SNMP&#x20;v1.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;snmpd:&#x20;#&#x20;systemctl&#x20;disable&#x20;snmpd','[{\"cis\": [\"2.2.14\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1565,'Ensure&#x20;mail&#x20;transfer&#x20;agent&#x20;is&#x20;configured&#x20;for&#x20;local-only&#x20;mode','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','The&#x20;software&#x20;for&#x20;all&#x20;Mail&#x20;Transfer&#x20;Agents&#x20;is&#x20;complex&#x20;and&#x20;most&#x20;have&#x20;a&#x20;long&#x20;history&#x20;of&#x20;security&#x20;issues.&#x20;While&#x20;it&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;system&#x20;can&#x20;process&#x20;local&#x20;mail&#x20;messages,&#x20;it&#x20;is&#x20;not&#x20;necessary&#x20;to&#x20;have&#x20;the&#x20;MTA&#039;s&#x20;daemon&#x20;listening&#x20;on&#x20;a&#x20;port&#x20;unless&#x20;the&#x20;server&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server&#x20;that&#x20;receives&#x20;and&#x20;processes&#x20;mail&#x20;from&#x20;other&#x20;systems.','','Edit&#x20;/etc/postfix/main.cf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;RECEIVING&#x20;MAIL&#x20;section.&#x20;If&#x20;the&#x20;line&#x20;already&#x20;exists,&#x20;change&#x20;it&#x20;to&#x20;look&#x20;like&#x20;the&#x20;line&#x20;below:&#x20;inet_interfaces&#x20;=&#x20;loopback-only&#x20;.&#x20;Restart&#x20;postfix:&#x20;#&#x20;systemctl&#x20;restart&#x20;postfix','[{\"cis\": [\"2.2.15\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AC.4\", \"SC.7\"]}, {\"tsc\": [\"CC5.2\", \"CC6.4\", \"CC6.6\", \"CC6.7\"]}]'),(1566,'Ensure&#x20;rsync&#x20;service&#x20;is&#x20;not&#x20;enabled','The&#x20;rsyncd&#x20;service&#x20;can&#x20;be&#x20;used&#x20;to&#x20;synchronize&#x20;files&#x20;between&#x20;systems&#x20;over&#x20;network&#x20;links.','The&#x20;rsyncd&#x20;service&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;rsync:&#x20;#&#x20;systemctl&#x20;disable&#x20;rsync','[{\"cis\": [\"2.2.16\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(1567,'Ensure&#x20;NIS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;&#x20;&#40;formally&#x20;known&#x20;as&#x20;Yellow&#x20;Pages&#41;&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;for&#x20;distributing&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;server&#x20;is&#x20;a&#x20;collection&#x20;of&#x20;programs&#x20;that&#x20;allow&#x20;for&#x20;the&#x20;distribution&#x20;of&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;and&#x20;other,&#x20;more&#x20;secure&#x20;services&#x20;be&#x20;used','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;nis:&#x20;#&#x20;systemctl&#x20;disable&#x20;nis','[{\"cis\": [\"2.2.17\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1568,'Ensure&#x20;NIS&#x20;Client&#x20;is&#x20;not&#x20;installed','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;,&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;used&#x20;to&#x20;distribute&#x20;system&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed.','','Uninstall&#x20;the&#x20;nis&#x20;package:&#x20;#&#x20;apt-get&#x20;remove&#x20;nis','[{\"cis\": [\"2.3.1\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1569,'Ensure&#x20;rsh&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;rsh&#x20;package&#x20;contains&#x20;the&#x20;client&#x20;commands&#x20;for&#x20;the&#x20;rsh&#x20;services.','These&#x20;legacy&#x20;clients&#x20;contain&#x20;numerous&#x20;security&#x20;exposures&#x20;and&#x20;have&#x20;been&#x20;replaced&#x20;with&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;package.&#x20;Even&#x20;if&#x20;the&#x20;server&#x20;is&#x20;removed,&#x20;it&#x20;is&#x20;best&#x20;to&#x20;ensure&#x20;the&#x20;clients&#x20;are&#x20;also&#x20;removed&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;inadvertently&#x20;attempting&#x20;to&#x20;use&#x20;these&#x20;commands&#x20;and&#x20;therefore&#x20;exposing&#x20;their&#x20;credentials.&#x20;Note&#x20;that&#x20;removing&#x20;the&#x20;rshpackage&#x20;removes&#x20;the&#x20;clients&#x20;for&#x20;rsh,&#x20;rcpand&#x20;rlogin.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;rsh:&#x20;apt-get&#x20;remove&#x20;rsh-client&#x20;rsh-redone-client','[{\"cis\": [\"2.3.2\"]}, {\"cis_csc\": [\"3.4\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1570,'Ensure&#x20;talk&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;talk&#x20;software&#x20;makes&#x20;it&#x20;possible&#x20;for&#x20;users&#x20;to&#x20;send&#x20;and&#x20;receive&#x20;messages&#x20;across&#x20;systems&#x20;through&#x20;a&#x20;terminal&#x20;session.&#x20;The&#x20;talkclient,&#x20;which&#x20;allows&#x20;initialization&#x20;of&#x20;talk&#x20;sessions,&#x20;is&#x20;installed&#x20;by&#x20;default.','The&#x20;software&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;talk:&#x20;apt-get&#x20;remove&#x20;talk','[{\"cis\": [\"2.3.3\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1571,'Ensure&#x20;telnet&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;telnet&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;client,&#x20;which&#x20;allows&#x20;users&#x20;to&#x20;start&#x20;connections&#x20;to&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security&#x20;and&#x20;is&#x20;included&#x20;in&#x20;most&#x20;Linux&#x20;distributions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;telnet:&#x20;#&#x20;apt-get&#x20;remove&#x20;telnet','[{\"cis\": [\"2.3.4\"]}, {\"cis_csc\": [\"3.4\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1572,'Ensure&#x20;LDAP&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Uninstall&#x20;ldap-utils&#x20;using&#x20;the&#x20;appropriate&#x20;package&#x20;manager&#x20;or&#x20;manual&#x20;installation:&#x20;&#x20;&#x20;#&#x20;apt-get&#x20;remove&#x20;ldap-utils','[{\"cis\": [\"2.3.5\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1573,'Ensure&#x20;IP&#x20;forwarding&#x20;is&#x20;disabled','The&#x20;net.ipv4.ip_forward&#x20;and&#x20;net.ipv6.conf.all.forwarding&#x20;flags&#x20;are&#x20;used&#x20;to&#x20;tell&#x20;the&#x20;system&#x20;whether&#x20;it&#x20;can&#x20;forward&#x20;packets&#x20;or&#x20;not.','Setting&#x20;the&#x20;flags&#x20;to&#x20;0&#x20;ensures&#x20;that&#x20;a&#x20;system&#x20;with&#x20;multiple&#x20;interfaces&#x20;&#40;for&#x20;example,&#x20;a&#x20;hard&#x20;proxy&#41;,&#x20;will&#x20;never&#x20;be&#x20;able&#x20;to&#x20;forward&#x20;packets,&#x20;and&#x20;therefore,&#x20;never&#x20;serve&#x20;as&#x20;a&#x20;router.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.ip_forward&#x20;=&#x20;0&#x20;net.ipv6.conf.all.forwarding&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.ip_forward=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.forwarding=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.1.1\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1574,'Ensure&#x20;packet&#x20;redirect&#x20;sending&#x20;is&#x20;disabled','ICMP&#x20;Redirects&#x20;are&#x20;used&#x20;to&#x20;send&#x20;routing&#x20;information&#x20;to&#x20;other&#x20;hosts.&#x20;As&#x20;a&#x20;host&#x20;itself&#x20;does&#x20;not&#x20;act&#x20;as&#x20;a&#x20;router&#x20;&#40;in&#x20;a&#x20;host&#x20;only&#x20;configuration&#41;,&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;send&#x20;redirects.','An&#x20;attacker&#x20;could&#x20;use&#x20;a&#x20;compromised&#x20;host&#x20;to&#x20;send&#x20;invalid&#x20;ICMP&#x20;redirects&#x20;to&#x20;other&#x20;router&#x20;devices&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;corrupt&#x20;routing&#x20;and&#x20;have&#x20;users&#x20;access&#x20;a&#x20;system&#x20;set&#x20;up&#x20;by&#x20;the&#x20;attacker&#x20;as&#x20;opposed&#x20;to&#x20;a&#x20;valid&#x20;system.','','Set&#x20;the&#x20;net.ipv4.conf.all.send_redirects&#x20;and&#x20;net.ipv4.conf.default.send_redirects&#x20;parameters&#x20;to&#x20;0&#x20;in&#x20;/etc/sysctl.conf:&#x20;net.ipv4.conf.all.send_redirects=0&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.send_redirects=0&#x20;&#x20;&#x20;&#x20;Modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.send_redirects=0&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.send_redirects=0&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.1.2\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1575,'Ensure&#x20;source&#x20;routed&#x20;packets&#x20;are&#x20;not&#x20;accepted','In&#x20;networking,&#x20;source&#x20;routing&#x20;allows&#x20;a&#x20;sender&#x20;to&#x20;partially&#x20;or&#x20;fully&#x20;specify&#x20;the&#x20;route&#x20;packets&#x20;take&#x20;through&#x20;a&#x20;network.&#x20;In&#x20;contrast,&#x20;non-source&#x20;routed&#x20;packets&#x20;travel&#x20;a&#x20;path&#x20;determined&#x20;by&#x20;routers&#x20;in&#x20;the&#x20;network.&#x20;In&#x20;some&#x20;cases,&#x20;systems&#x20;may&#x20;not&#x20;be&#x20;routable&#x20;or&#x20;reachable&#x20;from&#x20;some&#x20;locations&#x20;&#40;e.g.&#x20;private&#x20;addresses&#x20;vs.&#x20;Internet&#x20;routable&#41;,&#x20;and&#x20;so&#x20;source&#x20;routed&#x20;packets&#x20;would&#x20;need&#x20;to&#x20;be&#x20;used.','Setting&#x20;net.ipv4.conf.all.accept_source_route,&#x20;net.ipv4.conf.default.accept_source_route,&#x20;net.ipv6.conf.all.accept_source_route&#x20;and&#x20;net.ipv6.conf.default.accept_source_route&#x20;to&#x20;0&#x20;disables&#x20;the&#x20;system&#x20;from&#x20;accepting&#x20;source&#x20;routed&#x20;packets.&#x20;Assume&#x20;this&#x20;system&#x20;was&#x20;capable&#x20;of&#x20;routing&#x20;packets&#x20;to&#x20;Internet&#x20;routable&#x20;addresses&#x20;on&#x20;one&#x20;interface&#x20;and&#x20;private&#x20;addresses&#x20;on&#x20;another&#x20;interface.&#x20;Assume&#x20;that&#x20;the&#x20;private&#x20;addresses&#x20;were&#x20;not&#x20;routable&#x20;to&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;and&#x20;vice&#x20;versa.&#x20;Under&#x20;normal&#x20;routing&#x20;circumstances,&#x20;an&#x20;attacker&#x20;from&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;could&#x20;not&#x20;use&#x20;the&#x20;system&#x20;as&#x20;a&#x20;way&#x20;to&#x20;reach&#x20;the&#x20;private&#x20;address&#x20;systems.&#x20;If,&#x20;however,&#x20;source&#x20;routed&#x20;packets&#x20;were&#x20;allowed,&#x20;they&#x20;could&#x20;be&#x20;used&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;private&#x20;address&#x20;systems&#x20;as&#x20;the&#x20;route&#x20;could&#x20;be&#x20;specified,&#x20;rather&#x20;than&#x20;rely&#x20;on&#x20;routing&#x20;protocols&#x20;that&#x20;did&#x20;not&#x20;allow&#x20;this&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_source_route&#x20;=&#x20;0&#x20;net.ipv4.conf.default.accept_source_route&#x20;=&#x20;0&#x20;net.ipv6.conf.all.accept_source_route&#x20;=&#x20;0&#x20;net.ipv6.conf.default.accept_source_route&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.2.1\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1576,'Ensure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','ICMP&#x20;redirect&#x20;messages&#x20;are&#x20;packets&#x20;that&#x20;convey&#x20;routing&#x20;information&#x20;and&#x20;tell&#x20;your&#x20;host&#x20;&#40;acting&#x20;as&#x20;a&#x20;router&#41;&#x20;to&#x20;send&#x20;packets&#x20;via&#x20;an&#x20;alternate&#x20;path.&#x20;It&#x20;is&#x20;a&#x20;way&#x20;of&#x20;allowing&#x20;an&#x20;outside&#x20;routing&#x20;device&#x20;to&#x20;update&#x20;your&#x20;system&#x20;routing&#x20;tables.&#x20;By&#x20;setting&#x20;net.ipv4.conf.all.accept_redirects&#x20;to&#x20;0,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;accept&#x20;any&#x20;ICMP&#x20;redirect&#x20;messages,&#x20;and&#x20;therefore,&#x20;won&#039;t&#x20;allow&#x20;outsiders&#x20;to&#x20;update&#x20;the&#x20;system&#039;s&#x20;routing&#x20;tables.','Attackers&#x20;could&#x20;use&#x20;bogus&#x20;ICMP&#x20;redirect&#x20;messages&#x20;to&#x20;maliciously&#x20;alter&#x20;the&#x20;system&#x20;routing&#x20;tables&#x20;and&#x20;get&#x20;them&#x20;to&#x20;send&#x20;packets&#x20;to&#x20;incorrect&#x20;networks&#x20;and&#x20;allow&#x20;your&#x20;system&#x20;packets&#x20;to&#x20;be&#x20;captured.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_redirects&#x20;=&#x20;0&#x20;net.ipv4.conf.default.accept_redirects&#x20;=&#x20;0&#x20;net.ipv6.conf.all.accept_redirects&#x20;=&#x20;0&#x20;net.ipv6.conf.default.accept_redirects&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.2.2\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1577,'Ensure&#x20;secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','Secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;the&#x20;same&#x20;as&#x20;ICMP&#x20;redirects,&#x20;except&#x20;they&#x20;come&#x20;from&#x20;gateways&#x20;listed&#x20;on&#x20;the&#x20;default&#x20;gateway&#x20;list.&#x20;It&#x20;is&#x20;assumed&#x20;that&#x20;these&#x20;gateways&#x20;are&#x20;known&#x20;to&#x20;your&#x20;system,&#x20;and&#x20;that&#x20;they&#x20;are&#x20;likely&#x20;to&#x20;be&#x20;secure.','It&#x20;is&#x20;still&#x20;possible&#x20;for&#x20;even&#x20;known&#x20;gateways&#x20;to&#x20;be&#x20;compromised.&#x20;Setting&#x20;net.ipv4.conf.all.secure_redirects&#x20;to&#x20;0&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;routing&#x20;table&#x20;updates&#x20;by&#x20;possibly&#x20;compromised&#x20;known&#x20;gateways.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.secure_redirects&#x20;=&#x20;0&#x20;net.ipv4.conf.default.secure_redirects&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.secure_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.secure_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.3\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1578,'Ensure&#x20;suspicious&#x20;packets&#x20;are&#x20;logged','When&#x20;enabled,&#x20;this&#x20;feature&#x20;logs&#x20;packets&#x20;with&#x20;un-routable&#x20;source&#x20;addresses&#x20;to&#x20;the&#x20;kernel&#x20;log.','Enabling&#x20;this&#x20;feature&#x20;and&#x20;logging&#x20;these&#x20;packets&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;investigate&#x20;the&#x20;possibility&#x20;that&#x20;an&#x20;attacker&#x20;is&#x20;sending&#x20;spoofed&#x20;packets&#x20;to&#x20;their&#x20;server.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.log_martians&#x20;=&#x20;1&#x20;net.ipv4.conf.default.log_martians&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.log_martians=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.log_martians=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.4\"]}, {\"cis_csc\": [\"6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1579,'Ensure&#x20;broadcast&#x20;ICMP&#x20;requests&#x20;are&#x20;ignored','Setting&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;to&#x20;1&#x20;will&#x20;cause&#x20;the&#x20;system&#x20;to&#x20;ignore&#x20;all&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;to&#x20;broadcast&#x20;and&#x20;multicast&#x20;addresses.','Accepting&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;with&#x20;broadcast&#x20;or&#x20;multicast&#x20;destinations&#x20;for&#x20;your&#x20;network&#x20;could&#x20;be&#x20;used&#x20;to&#x20;trick&#x20;your&#x20;host&#x20;into&#x20;starting&#x20;&#40;or&#x20;participating&#41;&#x20;in&#x20;a&#x20;Smurf&#x20;attack.&#x20;A&#x20;Smurf&#x20;attack&#x20;relies&#x20;on&#x20;an&#x20;attacker&#x20;sending&#x20;large&#x20;amounts&#x20;of&#x20;ICMP&#x20;broadcast&#x20;messages&#x20;with&#x20;a&#x20;spoofed&#x20;source&#x20;address.&#x20;All&#x20;hosts&#x20;receiving&#x20;this&#x20;message&#x20;and&#x20;responding&#x20;would&#x20;send&#x20;echo-reply&#x20;messages&#x20;back&#x20;to&#x20;the&#x20;spoofed&#x20;address,&#x20;which&#x20;is&#x20;probably&#x20;not&#x20;routable.&#x20;If&#x20;many&#x20;hosts&#x20;respond&#x20;to&#x20;the&#x20;packets,&#x20;the&#x20;amount&#x20;of&#x20;traffic&#x20;on&#x20;the&#x20;network&#x20;could&#x20;be&#x20;significantly&#x20;multiplied.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_echo_ignore_broadcasts=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.5\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1580,'Ensure&#x20;bogus&#x20;ICMP&#x20;responses&#x20;are&#x20;ignored','Setting&#x20;icmp_ignore_bogus_error_responses&#x20;to&#x20;1&#x20;prevents&#x20;the&#x20;kernel&#x20;from&#x20;logging&#x20;bogus&#x20;responses&#x20;&#40;RFC-1122&#x20;non-compliant&#41;&#x20;from&#x20;broadcast&#x20;reframes,&#x20;keeping&#x20;file&#x20;systems&#x20;from&#x20;filling&#x20;up&#x20;with&#x20;useless&#x20;log&#x20;messages.','Some&#x20;routers&#x20;&#40;and&#x20;some&#x20;attackers&#41;&#x20;will&#x20;send&#x20;responses&#x20;that&#x20;violate&#x20;RFC-1122&#x20;and&#x20;attempt&#x20;to&#x20;fill&#x20;up&#x20;a&#x20;log&#x20;file&#x20;system&#x20;with&#x20;many&#x20;useless&#x20;error&#x20;messages.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.icmp_ignore_bogus_error_responses&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_ignore_bogus_error_responses=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.6\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1581,'Ensure&#x20;Reverse&#x20;Path&#x20;Filtering&#x20;is&#x20;enabled','Setting&#x20;net.ipv4.conf.all.rp_filter&#x20;and&#x20;net.ipv4.conf.default.rp_filter&#x20;to&#x20;1&#x20;forces&#x20;the&#x20;Linux&#x20;kernel&#x20;to&#x20;utilize&#x20;reverse&#x20;path&#x20;filtering&#x20;on&#x20;a&#x20;received&#x20;packet&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;packet&#x20;was&#x20;valid.&#x20;Essentially,&#x20;with&#x20;reverse&#x20;path&#x20;filtering,&#x20;if&#x20;the&#x20;return&#x20;packet&#x20;does&#x20;not&#x20;go&#x20;out&#x20;the&#x20;same&#x20;interface&#x20;that&#x20;the&#x20;corresponding&#x20;source&#x20;packet&#x20;came&#x20;from,&#x20;the&#x20;packet&#x20;is&#x20;dropped&#x20;&#40;and&#x20;logged&#x20;if&#x20;log_martians&#x20;is&#x20;set&#41;.','Setting&#x20;these&#x20;flags&#x20;is&#x20;a&#x20;good&#x20;way&#x20;to&#x20;deter&#x20;attackers&#x20;from&#x20;sending&#x20;your&#x20;system&#x20;bogus&#x20;packets&#x20;that&#x20;cannot&#x20;be&#x20;responded&#x20;to.&#x20;One&#x20;instance&#x20;where&#x20;this&#x20;feature&#x20;breaks&#x20;down&#x20;is&#x20;if&#x20;asymmetrical&#x20;routing&#x20;is&#x20;employed.&#x20;This&#x20;would&#x20;occur&#x20;when&#x20;using&#x20;dynamic&#x20;routing&#x20;protocols&#x20;&#40;bgp,&#x20;ospf,&#x20;etc&#41;&#x20;on&#x20;your&#x20;system.&#x20;If&#x20;you&#x20;are&#x20;using&#x20;asymmetrical&#x20;routing&#x20;on&#x20;your&#x20;system,&#x20;you&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;enable&#x20;this&#x20;feature&#x20;without&#x20;breaking&#x20;the&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.rp_filter&#x20;=&#x20;1&#x20;net.ipv4.conf.default.rp_filter&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.rp_filter=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.rp_filter=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.7\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1582,'Ensure&#x20;TCP&#x20;SYN&#x20;Cookies&#x20;is&#x20;enabled','When&#x20;tcp_syncookies&#x20;is&#x20;set,&#x20;the&#x20;kernel&#x20;will&#x20;handle&#x20;TCP&#x20;SYN&#x20;packets&#x20;normally&#x20;until&#x20;the&#x20;half-open&#x20;connection&#x20;queue&#x20;is&#x20;full,&#x20;at&#x20;which&#x20;time,&#x20;the&#x20;SYN&#x20;cookie&#x20;functionality&#x20;kicks&#x20;in.&#x20;SYN&#x20;cookies&#x20;work&#x20;by&#x20;not&#x20;using&#x20;the&#x20;SYN&#x20;queue&#x20;at&#x20;all.&#x20;Instead,&#x20;the&#x20;kernel&#x20;simply&#x20;replies&#x20;to&#x20;the&#x20;SYN&#x20;with&#x20;a&#x20;SYN|ACK,&#x20;but&#x20;will&#x20;include&#x20;a&#x20;specially&#x20;crafted&#x20;TCP&#x20;sequence&#x20;number&#x20;that&#x20;encodes&#x20;the&#x20;source&#x20;and&#x20;destination&#x20;IP&#x20;address&#x20;and&#x20;port&#x20;number&#x20;and&#x20;the&#x20;time&#x20;the&#x20;packet&#x20;was&#x20;sent.&#x20;A&#x20;legitimate&#x20;connection&#x20;would&#x20;send&#x20;the&#x20;ACK&#x20;packet&#x20;of&#x20;the&#x20;three&#x20;way&#x20;handshake&#x20;with&#x20;the&#x20;specially&#x20;crafted&#x20;sequence&#x20;number.&#x20;This&#x20;allows&#x20;the&#x20;system&#x20;to&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;received&#x20;a&#x20;valid&#x20;response&#x20;to&#x20;a&#x20;SYN&#x20;cookie&#x20;and&#x20;allow&#x20;the&#x20;connection,&#x20;even&#x20;though&#x20;there&#x20;is&#x20;no&#x20;corresponding&#x20;SYN&#x20;in&#x20;the&#x20;queue.','Attackers&#x20;use&#x20;SYN&#x20;flood&#x20;attacks&#x20;to&#x20;perform&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attacked&#x20;on&#x20;a&#x20;system&#x20;by&#x20;sending&#x20;many&#x20;SYN&#x20;packets&#x20;without&#x20;completing&#x20;the&#x20;three&#x20;way&#x20;handshake.&#x20;This&#x20;will&#x20;quickly&#x20;use&#x20;up&#x20;slots&#x20;in&#x20;the&#x20;kernel&#039;s&#x20;half-open&#x20;connection&#x20;queue&#x20;and&#x20;prevent&#x20;legitimate&#x20;connections&#x20;from&#x20;succeeding.&#x20;SYN&#x20;cookies&#x20;allow&#x20;the&#x20;system&#x20;to&#x20;keep&#x20;accepting&#x20;valid&#x20;connections,&#x20;even&#x20;if&#x20;under&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attack.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.tcp_syncookies&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.tcp_syncookies=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.8\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1583,'Ensure&#x20;IPv6&#x20;router&#x20;advertisements&#x20;are&#x20;not&#x20;accepted','This&#x20;setting&#x20;disables&#x20;the&#x20;systems&#x20;ability&#x20;to&#x20;accept&#x20;router&#x20;advertisements','It&#x20;is&#x20;recommended&#x20;that&#x20;systems&#x20;not&#x20;accept&#x20;router&#x20;advertisements&#x20;as&#x20;they&#x20;could&#x20;be&#x20;tricked&#x20;into&#x20;routing&#x20;traffic&#x20;to&#x20;compromised&#x20;machines.&#x20;Setting&#x20;hard&#x20;routes&#x20;within&#x20;the&#x20;system&#x20;&#40;usually&#x20;a&#x20;single&#x20;default&#x20;route&#x20;to&#x20;a&#x20;trusted&#x20;router&#41;&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;bad&#x20;routes.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv6.conf.all.accept_ra&#x20;=&#x20;0&#x20;net.ipv6.conf.default.accept_ra&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_ra=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_ra=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.2.9\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1584,'Install&#x20;TCP&#x20;Wrappers','TCP&#x20;Wrappers&#x20;provides&#x20;a&#x20;simple&#x20;access&#x20;list&#x20;and&#x20;standardized&#x20;logging&#x20;method&#x20;for&#x20;services&#x20;capable&#x20;of&#x20;supporting&#x20;it.&#x20;In&#x20;the&#x20;past,&#x20;services&#x20;that&#x20;were&#x20;called&#x20;from&#x20;inetd&#x20;and&#x20;xinetd&#x20;supported&#x20;the&#x20;use&#x20;of&#x20;tcp&#x20;wrappers.&#x20;As&#x20;inetd&#x20;and&#x20;xinetd&#x20;have&#x20;been&#x20;falling&#x20;in&#x20;disuse,&#x20;any&#x20;service&#x20;that&#x20;can&#x20;support&#x20;tcp&#x20;wrappers&#x20;will&#x20;have&#x20;the&#x20;libwrap.so&#x20;library&#x20;attached&#x20;to&#x20;it.','TCP&#x20;Wrappers&#x20;provide&#x20;a&#x20;good&#x20;simple&#x20;access&#x20;list&#x20;mechanism&#x20;to&#x20;services&#x20;that&#x20;may&#x20;not&#x20;have&#x20;that&#x20;support&#x20;built&#x20;in.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;all&#x20;services&#x20;that&#x20;can&#x20;support&#x20;TCP&#x20;Wrappers,&#x20;use&#x20;it.','','Install&#x20;tcpd&#x20;:&#x20;#&#x20;apt-get&#x20;install&#x20;tcpd&#x20;&#x20;&#x20;&#x20;Notes:&#x20;To&#x20;verify&#x20;if&#x20;a&#x20;service&#x20;supports&#x20;TCP&#x20;Wrappers,&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;ldd&#x20;&lt;path-to-daemon&gt;&#x20;|&#x20;grep&#x20;libwrap.so&#x20;If&#x20;there&#x20;is&#x20;any&#x20;output,&#x20;then&#x20;the&#x20;service&#x20;supports&#x20;TCP&#x20;Wrappers.','[{\"cis\": [\"3.3.1\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"1.3.5\"]}]'),(1585,'Ensure&#x20;/etc/hosts.allow&#x20;is&#x20;configured','The&#x20;/etc/hosts.allow&#x20;file&#x20;specifies&#x20;which&#x20;IP&#x20;addresses&#x20;are&#x20;permitted&#x20;to&#x20;connect&#x20;to&#x20;the&#x20;host.&#x20;It&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;used&#x20;in&#x20;conjunction&#x20;with&#x20;the&#x20;/etc/hosts.deny&#x20;file.','The&#x20;/etc/hosts.allow&#x20;file&#x20;supports&#x20;access&#x20;control&#x20;by&#x20;IP&#x20;and&#x20;helps&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;systems&#x20;can&#x20;connect&#x20;to&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;/etc/hosts.allow:&#x20;#&#x20;echo&#x20;&quot;ALL:&#x20;&lt;net&gt;/&lt;mask&gt;,&#x20;&lt;net&gt;/&lt;mask&gt;,&#x20;...&quot;&#x20;&gt;/etc/hosts.allow.&#x20;Where&#x20;each&#x20;&lt;net&gt;/&lt;mask&gt;&#x20;combination&#x20;&#x20;&#40;for&#x20;example,&#x20;&quot;192.168.1.0/255.255.255.0&quot;&#41;&#x20;represents&#x20;one&#x20;network&#x20;block&#x20;in&#x20;use&#x20;by&#x20;your&#x20;organization&#x20;that&#x20;requires&#x20;access&#x20;to&#x20;this&#x20;system.','[{\"cis\": [\"3.3.2\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"1.3.5\"]}]'),(1586,'Ensure&#x20;/etc/hosts.deny&#x20;is&#x20;configured','The&#x20;/etc/hosts.deny&#x20;file&#x20;specifies&#x20;which&#x20;IP&#x20;addresses&#x20;are&#x20;not&#x20;permitted&#x20;to&#x20;connect&#x20;to&#x20;the&#x20;host.&#x20;It&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;used&#x20;in&#x20;conjunction&#x20;with&#x20;the&#x20;/etc/hosts.allow&#x20;file.','The&#x20;/etc/hosts.deny&#x20;file&#x20;serves&#x20;as&#x20;a&#x20;failsafe&#x20;so&#x20;that&#x20;any&#x20;host&#x20;not&#x20;specified&#x20;in&#x20;/etc/hosts.allow&#x20;is&#x20;denied&#x20;access&#x20;to&#x20;the&#x20;server.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;/etc/hosts.deny:&#x20;#&#x20;echo&#x20;&quot;ALL:&#x20;ALL&quot;&#x20;&gt;&gt;&#x20;/etc/hosts.deny','[{\"cis\": [\"3.3.3\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"1.3.5\"]}]'),(1587,'Verify&#x20;permissions&#x20;on&#x20;/etc/hosts.allow','The&#x20;/etc/hosts.allow&#x20;file&#x20;contains&#x20;network&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;applications&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;applications&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/hosts.allow&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/hosts.allow&#x20;:&#x20;&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/hosts.allow&#x20;&#x20;#&#x20;chmod&#x20;644&#x20;/etc/hosts.allow','[{\"cis\": [\"3.3.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"1.3.5\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1588,'Verify&#x20;permissions&#x20;on&#x20;/etc/hosts.deny','The&#x20;/etc/hosts.deny&#x20;file&#x20;contains&#x20;network&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;applications&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;applications&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/hosts.deny&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/hosts.deny&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/hosts.deny&#x20;&#x20;#&#x20;chmod&#x20;644&#x20;/etc/hosts.deny','[{\"cis\": [\"3.3.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"1.3.5\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1589,'Ensure&#x20;DCCP&#x20;is&#x20;disabled','The&#x20;Datagram&#x20;Congestion&#x20;Control&#x20;Protocol&#x20;&#40;DCCP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;that&#x20;supports&#x20;streaming&#x20;media&#x20;and&#x20;telephony.&#x20;DCCP&#x20;provides&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;congestion&#x20;control,&#x20;without&#x20;having&#x20;to&#x20;do&#x20;it&#x20;at&#x20;the&#x20;application&#x20;layer,&#x20;but&#x20;does&#x20;not&#x20;provide&#x20;in-&#x20;sequence&#x20;delivery.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;drivers&#x20;not&#x20;be&#x20;installed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/dccp.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;dccp&#x20;/bin/true','[{\"cis\": [\"3.4.1\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1590,'Ensure&#x20;SCTP&#x20;is&#x20;disabled','The&#x20;Stream&#x20;Control&#x20;Transmission&#x20;Protocol&#x20;&#40;SCTP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;used&#x20;to&#x20;support&#x20;message&#x20;oriented&#x20;communication,&#x20;with&#x20;several&#x20;streams&#x20;of&#x20;messages&#x20;in&#x20;one&#x20;connection.&#x20;It&#x20;serves&#x20;a&#x20;similar&#x20;function&#x20;as&#x20;TCP&#x20;and&#x20;UDP,&#x20;incorporating&#x20;features&#x20;of&#x20;both.&#x20;It&#x20;is&#x20;message-oriented&#x20;like&#x20;UDP,&#x20;and&#x20;ensures&#x20;reliable&#x20;in-sequence&#x20;transport&#x20;of&#x20;messages&#x20;with&#x20;congestion&#x20;control&#x20;like&#x20;TCP.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/sctp.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;sctp&#x20;/bin/true','[{\"cis\": [\"3.4.2\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1591,'Ensure&#x20;RDS&#x20;is&#x20;disabled','The&#x20;Reliable&#x20;Datagram&#x20;Sockets&#x20;&#40;RDS&#41;&#x20;protocol&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;designed&#x20;to&#x20;provide&#x20;low-latency,&#x20;high-bandwidth&#x20;communications&#x20;between&#x20;cluster&#x20;nodes.&#x20;It&#x20;was&#x20;developed&#x20;by&#x20;the&#x20;Oracle&#x20;Corporation.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/rds.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;rds&#x20;/bin/true','[{\"cis\": [\"3.4.3\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1592,'Ensure&#x20;TIPC&#x20;is&#x20;disabled','The&#x20;Transparent&#x20;Inter-Process&#x20;Communication&#x20;&#40;TIPC&#41;&#x20;protocol&#x20;is&#x20;designed&#x20;to&#x20;provide&#x20;communication&#x20;between&#x20;cluster&#x20;nodes.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/tipc.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;tipc&#x20;/bin/true','[{\"cis\": [\"3.4.4\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1593,'Ensure&#x20;default&#x20;deny&#x20;firewall&#x20;policy','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;iptables&#x20;-P&#x20;INPUT&#x20;DROP&#x20;#&#x20;iptables&#x20;-P&#x20;OUTPUT&#x20;DROP&#x20;#&#x20;iptables&#x20;-P&#x20;FORWARD&#x20;DROP.&#x20;Notes:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','[{\"cis\": [\"3.5.1.1\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(1594,'Ensure&#x20;loopback&#x20;traffic&#x20;is&#x20;configured','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-s&#x20;127.0.0.0/8&#x20;-j&#x20;DROP','[{\"cis\": [\"3.5.1.2\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(1595,'Ensure&#x20;IPv6&#x20;default&#x20;deny&#x20;firewall&#x20;policy','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;ip6tables&#x20;-P&#x20;INPUT&#x20;DROP&#x20;#&#x20;ip6tables&#x20;-P&#x20;OUTPUT&#x20;DROP&#x20;#&#x20;ip6tables&#x20;-P&#x20;FORWARD&#x20;DROP.&#x20;Notes:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','[{\"cis\": [\"3.5.2.1\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(1596,'Ensure&#x20;IPv6&#x20;loopback&#x20;traffic&#x20;is&#x20;configured','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;::1&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;::1&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;ip6tables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-s&#x20;::1&#x20;-j&#x20;DROP','[{\"cis\": [\"3.5.2.2\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(1597,'Ensure&#x20;iptables&#x20;is&#x20;installed','iptables&#x20;allows&#x20;configuration&#x20;of&#x20;the&#x20;IPv4&#x20;tables&#x20;in&#x20;the&#x20;linux&#x20;kernel&#x20;and&#x20;the&#x20;rules&#x20;stored&#x20;within&#x20;them.&#x20;Most&#x20;firewall&#x20;configuration&#x20;utilities&#x20;operate&#x20;as&#x20;a&#x20;front&#x20;end&#x20;to&#x20;iptables.','iptables&#x20;is&#x20;required&#x20;for&#x20;firewall&#x20;management&#x20;and&#x20;configuration.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;iptables:&#x20;#&#x20;apt-get&#x20;install&#x20;iptables','[{\"cis\": [\"3.5.3\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"1.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(1598,'Disable&#x20;IPv6','Although&#x20;IPv6&#x20;has&#x20;many&#x20;advantages&#x20;over&#x20;IPv4,&#x20;few&#x20;organizations&#x20;have&#x20;implemented&#x20;IPv6.','If&#x20;IPv6&#x20;is&#x20;not&#x20;to&#x20;be&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;it&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;ipv6.disable=1&#x20;to&#x20;the&#x20;GRUB_CMDLINE_LINUX&#x20;parameters:&#x20;GRUB_CMDLINE_LINUX=&quot;ipv6.disable=1&quot;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;&#x20;#&#x20;update-grub','[{\"cis\": [\"3.7\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1599,'Ensure&#x20;audit&#x20;log&#x20;storage&#x20;size&#x20;is&#x20;configured','Configure&#x20;the&#x20;maximum&#x20;size&#x20;of&#x20;the&#x20;audit&#x20;log&#x20;file.&#x20;Once&#x20;the&#x20;log&#x20;reaches&#x20;the&#x20;maximum&#x20;size,&#x20;it&#x20;will&#x20;be&#x20;rotated&#x20;and&#x20;a&#x20;new&#x20;log&#x20;file&#x20;will&#x20;be&#x20;started.','It&#x20;is&#x20;important&#x20;that&#x20;an&#x20;appropriate&#x20;size&#x20;is&#x20;determined&#x20;for&#x20;log&#x20;files&#x20;so&#x20;that&#x20;they&#x20;do&#x20;not&#x20;impact&#x20;the&#x20;system&#x20;and&#x20;audit&#x20;data&#x20;is&#x20;not&#x20;lost.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy:&#x20;max_log_file&#x20;=&#x20;&lt;MB&gt;&#x20;Notes:&#x20;The&#x20;max_log_file&#x20;parameter&#x20;is&#x20;measured&#x20;in&#x20;megabytes.','[{\"cis\": [\"4.1.1.1\"]}, {\"cis_csc\": [\"6.3\"]}]'),(1600,'Ensure&#x20;system&#x20;is&#x20;disabled&#x20;when&#x20;audit&#x20;logs&#x20;are&#x20;full','The&#x20;auditd&#x20;daemon&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;halt&#x20;the&#x20;system&#x20;when&#x20;the&#x20;audit&#x20;logs&#x20;are&#x20;full.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;risk&#x20;of&#x20;detecting&#x20;unauthorized&#x20;access&#x20;or&#x20;nonrepudiation&#x20;exceeds&#x20;the&#x20;benefit&#x20;of&#x20;the&#x20;system&#039;s&#x20;availability.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;space_left_action&#x20;=&#x20;email&#x20;action_mail_acct&#x20;=&#x20;root&#x20;admin_space_left_action&#x20;=&#x20;halt','[{\"cis\": [\"4.1.1.2\"]}, {\"cis_csc\": [\"6.3\"]}]'),(1601,'Ensure&#x20;audit&#x20;logs&#x20;are&#x20;not&#x20;automatically&#x20;deleted','The&#x20;max_log_file_action&#x20;setting&#x20;determines&#x20;how&#x20;to&#x20;handle&#x20;the&#x20;audit&#x20;log&#x20;file&#x20;reaching&#x20;the&#x20;max&#x20;file&#x20;size.&#x20;A&#x20;value&#x20;of&#x20;keep_logs&#x20;will&#x20;rotate&#x20;the&#x20;logs&#x20;but&#x20;never&#x20;delete&#x20;old&#x20;logs.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;benefits&#x20;of&#x20;maintaining&#x20;a&#x20;long&#x20;audit&#x20;history&#x20;exceed&#x20;the&#x20;cost&#x20;of&#x20;storing&#x20;the&#x20;audit&#x20;history.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;max_log_file_action&#x20;=&#x20;keep_logs','[{\"cis\": [\"4.1.1.3\"]}, {\"cis_csc\": [\"6.3\"]}]'),(1602,'Ensure&#x20;auditd&#x20;service&#x20;is&#x20;enabled','Turn&#x20;on&#x20;the&#x20;auditd&#x20;daemon&#x20;to&#x20;record&#x20;system&#x20;events.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;auditd:&#x20;#&#x20;systemctl&#x20;enable&#x20;auditd','[{\"cis\": [\"4.1.2\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.1\", \"10.7\"]}, {\"tsc\": [\"CC6.1\"\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(1603,'Ensure&#x20;auditing&#x20;for&#x20;processes&#x20;that&#x20;start&#x20;prior&#x20;to&#x20;auditd&#x20;is&#x20;enabled','Configure&#x20;grub&#x20;or&#x20;lilo&#x20;so&#x20;that&#x20;processes&#x20;that&#x20;are&#x20;capable&#x20;of&#x20;being&#x20;audited&#x20;can&#x20;be&#x20;audited&#x20;even&#x20;if&#x20;they&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;startup.','Audit&#x20;events&#x20;need&#x20;to&#x20;be&#x20;captured&#x20;on&#x20;processes&#x20;that&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd,&#x20;so&#x20;that&#x20;potential&#x20;malicious&#x20;activity&#x20;cannot&#x20;go&#x20;undetected.','','1&#41;&#x20;Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit=1&#x20;to&#x20;GRUB_CMDLINE_LINUX:&#x20;GRUB_CMDLINE_LINUX=&quot;audit=1&quot;&#x20;2&#41;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub&#x20;Notes:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.','[{\"cis\": [\"4.1.3\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.2.6\", \"10.7\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"35.7.d\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(1604,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;date&#x20;and&#x20;time&#x20;information&#x20;are&#x20;collected','Capture&#x20;events&#x20;where&#x20;the&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;has&#x20;been&#x20;modified.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;are&#x20;set&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;adjtimex&#x20;&#40;tune&#x20;kernel&#x20;clock&#41;,&#x20;settimeofday&#x20;&#40;Set&#x20;time,&#x20;using&#x20;timeval&#x20;and&#x20;timezone&#x20;structures&#41;&#x20;stime&#x20;&#40;using&#x20;seconds&#x20;since&#x20;1/1/1970&#41;&#x20;or&#x20;clock_settime&#x20;&#40;allows&#x20;for&#x20;the&#x20;setting&#x20;of&#x20;several&#x20;internal&#x20;clocks&#x20;and&#x20;timers&#41;&#x20;system&#x20;calls&#x20;have&#x20;been&#x20;executed&#x20;and&#x20;always&#x20;write&#x20;an&#x20;audit&#x20;record&#x20;to&#x20;the&#x20;/var/log/audit.log&#x20;file&#x20;upon&#x20;exit,&#x20;tagging&#x20;the&#x20;records&#x20;with&#x20;the&#x20;identifier&#x20;&quot;time-change&quot;','Unexpected&#x20;changes&#x20;in&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;could&#x20;be&#x20;a&#x20;sign&#x20;of&#x20;malicious&#x20;activity&#x20;on&#x20;the&#x20;system.','','For&#x20;32&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-&#x20;change&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;|&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change.&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-k&#x20;time-change&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-change&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;|&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change','[{\"cis\": [\"4.1.4\"]}, {\"cis_csc\": [\"3.6\"]}, {\"pci_dss\": [\"10.4.2\", \"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.3\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(1605,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;user/group&#x20;information&#x20;are&#x20;collected','Record&#x20;events&#x20;affecting&#x20;the&#x20;group&#x20;,&#x20;passwd&#x20;&#40;user&#x20;IDs&#41;,&#x20;shadow&#x20;and&#x20;gshadow&#x20;&#40;passwords&#41;&#x20;or&#x20;/etc/security/opasswd&#x20;&#40;old&#x20;passwords,&#x20;based&#x20;on&#x20;remember&#x20;parameter&#x20;in&#x20;the&#x20;PAM&#x20;configuration&#41;&#x20;files.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;will&#x20;watch&#x20;the&#x20;files&#x20;to&#x20;see&#x20;if&#x20;they&#x20;have&#x20;been&#x20;opened&#x20;for&#x20;write&#x20;or&#x20;have&#x20;had&#x20;attribute&#x20;changes&#x20;&#40;e.g.&#x20;permissions&#41;&#x20;and&#x20;tag&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;identity&quot;&#x20;in&#x20;the&#x20;audit&#x20;log&#x20;file.','Unexpected&#x20;changes&#x20;to&#x20;these&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;the&#x20;system&#x20;has&#x20;been&#x20;compromised&#x20;and&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;hide&#x20;their&#x20;activities&#x20;or&#x20;compromise&#x20;additional&#x20;accounts.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/etc/group&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;|&#x20;-w&#x20;/etc/passwd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;|&#x20;-w&#x20;/etc/gshadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;|&#x20;-w&#x20;/etc/shadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;|&#x20;-w&#x20;/etc/security/opasswd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.5\"]}, {\"cis_csc\": [\"5.4\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(1606,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;network&#x20;environment&#x20;are&#x20;collected','Record&#x20;changes&#x20;to&#x20;network&#x20;environment&#x20;files&#x20;or&#x20;system&#x20;calls.&#x20;The&#x20;below&#x20;parameters&#x20;monitor&#x20;the&#x20;sethostname&#x20;&#40;set&#x20;the&#x20;systems&#x20;host&#x20;name&#41;&#x20;or&#x20;setdomainname&#x20;&#40;set&#x20;the&#x20;systems&#x20;domainname&#41;&#x20;system&#x20;calls,&#x20;and&#x20;write&#x20;an&#x20;audit&#x20;event&#x20;on&#x20;system&#x20;call&#x20;exit.&#x20;The&#x20;other&#x20;parameters&#x20;monitor&#x20;the&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;files&#x20;&#40;messages&#x20;displayed&#x20;pre-&#x20;login&#41;,&#x20;/etc/hosts&#x20;&#40;file&#x20;containing&#x20;host&#x20;names&#x20;and&#x20;associated&#x20;IP&#x20;addresses&#41;&#x20;and&#x20;/etc/sysconfig/network&#x20;&#40;directory&#x20;containing&#x20;network&#x20;interface&#x20;scripts&#x20;and&#x20;configurations&#41;&#x20;files.','Monitoring&#x20;sethostname&#x20;and&#x20;setdomainname&#x20;will&#x20;identify&#x20;potential&#x20;unauthorized&#x20;changes&#x20;to&#x20;host&#x20;and&#x20;domainname&#x20;of&#x20;a&#x20;system.&#x20;The&#x20;changing&#x20;of&#x20;these&#x20;names&#x20;could&#x20;potentially&#x20;break&#x20;security&#x20;parameters&#x20;that&#x20;are&#x20;set&#x20;based&#x20;on&#x20;those&#x20;names.&#x20;The&#x20;/etc/hosts&#x20;file&#x20;is&#x20;monitored&#x20;for&#x20;changes&#x20;in&#x20;the&#x20;file&#x20;that&#x20;can&#x20;indicate&#x20;an&#x20;unauthorized&#x20;intruder&#x20;is&#x20;trying&#x20;to&#x20;change&#x20;machine&#x20;associations&#x20;with&#x20;IP&#x20;addresses&#x20;and&#x20;trick&#x20;users&#x20;and&#x20;processes&#x20;into&#x20;connecting&#x20;to&#x20;unintended&#x20;machines.&#x20;Monitoring&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;is&#x20;important,&#x20;as&#x20;intruders&#x20;could&#x20;put&#x20;disinformation&#x20;into&#x20;those&#x20;files&#x20;and&#x20;trick&#x20;users&#x20;into&#x20;providing&#x20;information&#x20;to&#x20;the&#x20;intruder.&#x20;Monitoring&#x20;/etc/sysconfig/network&#x20;is&#x20;important&#x20;as&#x20;it&#x20;can&#x20;show&#x20;if&#x20;network&#x20;interfaces&#x20;or&#x20;scripts&#x20;are&#x20;being&#x20;modified&#x20;in&#x20;a&#x20;way&#x20;that&#x20;can&#x20;lead&#x20;to&#x20;the&#x20;machine&#x20;becoming&#x20;unavailable&#x20;or&#x20;compromised.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;system-locale.&quot;','','For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;|&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;|&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;|&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;|&#x20;-w&#x20;/etc/sysconfig/network&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;Notes:&#x20;/etc/sysconfig/network&#x20;is&#x20;common&#x20;to&#x20;Red&#x20;Hat&#x20;and&#x20;SUSE&#x20;based&#x20;distributions.&#x20;You&#x20;should&#x20;expand&#x20;or&#x20;replace&#x20;this&#x20;coverage&#x20;to&#x20;any&#x20;network&#x20;configuration&#x20;files&#x20;on&#x20;your&#x20;system&#x20;such&#x20;as&#x20;/etc/network&#x20;on&#x20;Debian&#x20;based&#x20;distributions.&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.6\"]}, {\"cis_csc\": [\"3.6\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(1607,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;Mandatory&#x20;Access&#x20;Controls&#x20;are&#x20;collected','Monitor&#x20;SELinux/AppArmor&#x20;mandatory&#x20;access&#x20;controls.&#x20;The&#x20;parameters&#x20;below&#x20;monitor&#x20;any&#x20;write&#x20;access&#x20;&#40;potential&#x20;additional,&#x20;deletion&#x20;or&#x20;modification&#x20;of&#x20;files&#x20;in&#x20;the&#x20;directory&#41;&#x20;or&#x20;attribute&#x20;changes&#x20;to&#x20;the&#x20;/etc/selinux&#x20;or&#x20;/etc/apparmor&#x20;and&#x20;/etc/apparmor.d&#x20;directories.','Changes&#x20;to&#x20;files&#x20;in&#x20;these&#x20;directories&#x20;could&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;modify&#x20;access&#x20;controls&#x20;and&#x20;change&#x20;security&#x20;contexts,&#x20;leading&#x20;to&#x20;a&#x20;compromise&#x20;of&#x20;the&#x20;system.','','On&#x20;systems&#x20;using&#x20;SELinux&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/etc/selinux/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;&#x20;|&#x20;-w&#x20;/usr/share/selinux/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;On&#x20;systems&#x20;using&#x20;AppArmor&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/etc/apparmor/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;|&#x20;-w&#x20;/etc/apparmor.d/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy','[{\"cis\": [\"4.1.7\"]}, {\"cis_csc\": [\"3.6\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(1608,'Ensure&#x20;login&#x20;and&#x20;logout&#x20;events&#x20;are&#x20;collected','Monitor&#x20;login&#x20;and&#x20;logout&#x20;events.&#x20;The&#x20;parameters&#x20;below&#x20;track&#x20;changes&#x20;to&#x20;files&#x20;associated&#x20;with&#x20;login/logout&#x20;events.&#x20;The&#x20;file&#x20;/var/log/faillog&#x20;tracks&#x20;failed&#x20;events&#x20;from&#x20;login.&#x20;The&#x20;file&#x20;/var/log/lastlog&#x20;maintain&#x20;records&#x20;of&#x20;the&#x20;last&#x20;time&#x20;a&#x20;user&#x20;successfully&#x20;logged&#x20;in.&#x20;The&#x20;file&#x20;/var/log/tallylog&#x20;maintains&#x20;records&#x20;of&#x20;failures&#x20;via&#x20;the&#x20;pam_tally2&#x20;module','Monitoring&#x20;login/logout&#x20;events&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;information&#x20;associated&#x20;with&#x20;brute&#x20;force&#x20;attacks&#x20;against&#x20;user&#x20;logins.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/var/log/faillog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;|&#x20;-w&#x20;/var/log/lastlog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;|&#x20;-w&#x20;/var/log/tallylog&#x20;-p&#x20;wa&#x20;-k&#x20;logins.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.8\"]}, {\"cis_csc\": [\"5.5\", \"16.10\", \"16.4\"]}, {\"pci_dss\": [\"10.2.1\", \"10.2.4\", \"10.3\"]}, {\"nist_800_53\": [\"AC.7\", \"AU.14\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(1609,'Ensure&#x20;session&#x20;initiation&#x20;information&#x20;is&#x20;collected','Monitor&#x20;session&#x20;initiation&#x20;events.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;to&#x20;the&#x20;files&#x20;associated&#x20;with&#x20;session&#x20;events.&#x20;The&#x20;file&#x20;/var/run/utmp&#x20;file&#x20;tracks&#x20;all&#x20;currently&#x20;logged&#x20;in&#x20;users.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;session.&quot;&#x20;The&#x20;/var/log/wtmp&#x20;file&#x20;tracks&#x20;logins,&#x20;logouts,&#x20;shutdown,&#x20;and&#x20;reboot&#x20;events.&#x20;The&#x20;file&#x20;/var/log/btmp&#x20;keeps&#x20;track&#x20;of&#x20;failed&#x20;login&#x20;attempts&#x20;and&#x20;can&#x20;be&#x20;read&#x20;by&#x20;entering&#x20;the&#x20;command&#x20;/usr/bin/last&#x20;-f&#x20;/var/log/btmp&#x20;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;logins.&quot;','Monitoring&#x20;these&#x20;files&#x20;for&#x20;changes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;logins&#x20;occurring&#x20;at&#x20;unusual&#x20;hours,&#x20;which&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;&#40;i.e.&#x20;a&#x20;user&#x20;logging&#x20;in&#x20;at&#x20;a&#x20;time&#x20;when&#x20;they&#x20;do&#x20;not&#x20;normally&#x20;log&#x20;in&#41;.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/var/run/utmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;|&#x20;-w&#x20;/var/log/wtmp&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;|&#x20;-w&#x20;/var/log/btmp&#x20;-p&#x20;wa&#x20;-k&#x20;logins.&#x20;Notes:&#x20;The&#x20;last&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;read&#x20;/var/log/wtmp&#x20;&#40;last&#x20;with&#x20;no&#x20;parameters&#41;&#x20;and&#x20;/var/run/utmp&#x20;&#40;last&#x20;-f&#x20;/var/run/utmp&#41;.&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.9\"]}, {\"cis_csc\": [\"5.5\", \"16.10\", \"16.4\"]}, {\"pci_dss\": [\"10.3\"]}, {\"nist_800_53\": [\"AC.7\", \"AU.14\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1610,'Ensure&#x20;discretionary&#x20;access&#x20;control&#x20;permission&#x20;modification&#x20;events&#x20;are&#x20;collected','Monitor&#x20;changes&#x20;to&#x20;file&#x20;permissions,&#x20;attributes,&#x20;ownership&#x20;and&#x20;group.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;for&#x20;system&#x20;calls&#x20;that&#x20;affect&#x20;file&#x20;permissions&#x20;and&#x20;attributes.&#x20;The&#x20;chmod&#x20;,&#x20;fchmod&#x20;and&#x20;fchmodat&#x20;system&#x20;calls&#x20;affect&#x20;the&#x20;permissions&#x20;associated&#x20;with&#x20;a&#x20;file.&#x20;The&#x20;chown&#x20;,&#x20;fchown&#x20;,&#x20;fchownat&#x20;and&#x20;lchown&#x20;system&#x20;calls&#x20;affect&#x20;owner&#x20;and&#x20;group&#x20;attributes&#x20;on&#x20;a&#x20;file.&#x20;The&#x20;setxattr&#x20;,&#x20;lsetxattr&#x20;,&#x20;fsetxattr&#x20;&#40;set&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;and&#x20;removexattr&#x20;,&#x20;lremovexattr&#x20;,&#x20;fremovexattr&#x20;&#40;remove&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;control&#x20;extended&#x20;file&#x20;attributes.&#x20;In&#x20;all&#x20;cases,&#x20;an&#x20;audit&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;for&#x20;non-system&#x20;user&#x20;ids&#x20;&#40;auid&#x20;&gt;=&#x20;1000&#41;&#x20;and&#x20;will&#x20;ignore&#x20;Daemon&#x20;events&#x20;&#40;auid&#x20;=&#x20;4294967295&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;perm_mod.&quot;','Monitoring&#x20;for&#x20;changes&#x20;in&#x20;file&#x20;attributes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;activity&#x20;that&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;or&#x20;policy&#x20;violation.','','For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.10\"]}, {\"cis_csc\": [\"3.6\"]}, {\"pci_dss\": [\"10.4.2\", \"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(1611,'Ensure&#x20;unsuccessful&#x20;unauthorized&#x20;file&#x20;access&#x20;attempts&#x20;are&#x20;collected','Monitor&#x20;for&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;access&#x20;files.&#x20;The&#x20;parameters&#x20;below&#x20;are&#x20;associated&#x20;with&#x20;system&#x20;calls&#x20;that&#x20;control&#x20;creation&#x20;&#40;&#x20;creat&#x20;&#41;,&#x20;opening&#x20;&#40;&#x20;open&#x20;,&#x20;openat&#x20;&#41;&#x20;and&#x20;truncation&#x20;&#40;&#x20;truncate&#x20;,&#x20;ftruncate&#x20;&#41;&#x20;of&#x20;files.&#x20;An&#x20;audit&#x20;log&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;if&#x20;the&#x20;user&#x20;is&#x20;a&#x20;non-&#x20;privileged&#x20;user&#x20;&#40;auid&#x20;&gt;&#x20;=&#x20;1000&#41;,&#x20;is&#x20;not&#x20;a&#x20;Daemon&#x20;event&#x20;&#40;auid=4294967295&#41;&#x20;and&#x20;if&#x20;the&#x20;system&#x20;call&#x20;returned&#x20;EACCES&#x20;&#40;permission&#x20;denied&#x20;to&#x20;the&#x20;file&#41;&#x20;or&#x20;EPERM&#x20;&#40;some&#x20;other&#x20;permanent&#x20;error&#x20;associated&#x20;with&#x20;the&#x20;specific&#x20;system&#x20;call&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;access.&quot;','Failed&#x20;attempts&#x20;to&#x20;open,&#x20;create&#x20;or&#x20;truncate&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;an&#x20;individual&#x20;or&#x20;process&#x20;is&#x20;trying&#x20;to&#x20;gain&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.11\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"10.2.4\"]}, {\"nist_800_53\": [\"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(1612,'Ensure&#x20;successful&#x20;file&#x20;system&#x20;mounts&#x20;are&#x20;collected','Monitor&#x20;the&#x20;use&#x20;of&#x20;the&#x20;mount&#x20;system&#x20;call.&#x20;The&#x20;mount&#x20;&#40;and&#x20;umount&#x20;&#41;&#x20;system&#x20;call&#x20;controls&#x20;the&#x20;mounting&#x20;and&#x20;unmounting&#x20;of&#x20;file&#x20;systems.&#x20;The&#x20;parameters&#x20;below&#x20;configure&#x20;the&#x20;system&#x20;to&#x20;create&#x20;an&#x20;audit&#x20;record&#x20;when&#x20;the&#x20;mount&#x20;system&#x20;call&#x20;is&#x20;used&#x20;by&#x20;a&#x20;non-privileged&#x20;user.','It&#x20;is&#x20;highly&#x20;unusual&#x20;for&#x20;a&#x20;non&#x20;privileged&#x20;user&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;to&#x20;the&#x20;system.&#x20;While&#x20;tracking&#x20;mount&#x20;commands&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;evidence&#x20;that&#x20;external&#x20;media&#x20;may&#x20;have&#x20;been&#x20;mounted&#x20;&#40;based&#x20;on&#x20;a&#x20;review&#x20;of&#x20;the&#x20;source&#x20;of&#x20;the&#x20;mount&#x20;and&#x20;confirming&#x20;it&#039;s&#x20;an&#x20;external&#x20;media&#x20;type&#41;,&#x20;it&#x20;does&#x20;not&#x20;conclusively&#x20;indicate&#x20;that&#x20;data&#x20;was&#x20;exported&#x20;to&#x20;the&#x20;media.&#x20;System&#x20;administrators&#x20;who&#x20;wish&#x20;to&#x20;determine&#x20;if&#x20;data&#x20;were&#x20;exported,&#x20;would&#x20;also&#x20;have&#x20;to&#x20;track&#x20;successful&#x20;open&#x20;,&#x20;creat&#x20;and&#x20;truncate&#x20;system&#x20;calls&#x20;requiring&#x20;write&#x20;access&#x20;to&#x20;a&#x20;file&#x20;under&#x20;the&#x20;mount&#x20;point&#x20;of&#x20;the&#x20;external&#x20;media&#x20;file&#x20;system.&#x20;This&#x20;could&#x20;give&#x20;a&#x20;fair&#x20;indication&#x20;that&#x20;a&#x20;write&#x20;occurred.&#x20;The&#x20;only&#x20;way&#x20;to&#x20;truly&#x20;prove&#x20;it,&#x20;would&#x20;be&#x20;to&#x20;track&#x20;successful&#x20;writes&#x20;to&#x20;the&#x20;external&#x20;media.&#x20;Tracking&#x20;write&#x20;system&#x20;calls&#x20;could&#x20;quickly&#x20;fill&#x20;up&#x20;the&#x20;audit&#x20;log&#x20;and&#x20;is&#x20;not&#x20;recommended.&#x20;Recommendations&#x20;on&#x20;configuration&#x20;options&#x20;to&#x20;track&#x20;data&#x20;export&#x20;to&#x20;media&#x20;is&#x20;beyond&#x20;the&#x20;scope&#x20;of&#x20;this&#x20;document.','','For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts.&#x20;Notes:&#x20;This&#x20;tracks&#x20;successful&#x20;and&#x20;unsuccessful&#x20;mount&#x20;commands.&#x20;File&#x20;system&#x20;mounts&#x20;do&#x20;not&#x20;have&#x20;to&#x20;come&#x20;from&#x20;external&#x20;media&#x20;and&#x20;this&#x20;action&#x20;still&#x20;does&#x20;not&#x20;verify&#x20;write&#x20;&#40;e.g.&#x20;CD&#x20;ROMS&#41;.&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.13\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(1613,'Ensure&#x20;file&#x20;deletion&#x20;events&#x20;by&#x20;users&#x20;are&#x20;collected','Monitor&#x20;the&#x20;use&#x20;of&#x20;system&#x20;calls&#x20;associated&#x20;with&#x20;the&#x20;deletion&#x20;or&#x20;renaming&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes.&#x20;This&#x20;configuration&#x20;statement&#x20;sets&#x20;up&#x20;monitoring&#x20;for&#x20;the&#x20;unlink&#x20;&#40;remove&#x20;a&#x20;file&#41;,&#x20;unlinkat&#x20;&#40;remove&#x20;a&#x20;file&#x20;attribute&#41;,&#x20;rename&#x20;&#40;rename&#x20;a&#x20;file&#41;&#x20;and&#x20;renameat&#x20;&#40;rename&#x20;a&#x20;file&#x20;attribute&#41;&#x20;system&#x20;calls&#x20;and&#x20;tags&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;delete&quot;.','Monitoring&#x20;these&#x20;calls&#x20;from&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;evidence&#x20;that&#x20;inappropriate&#x20;removal&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes&#x20;associated&#x20;with&#x20;protected&#x20;files&#x20;is&#x20;occurring.&#x20;While&#x20;this&#x20;audit&#x20;option&#x20;will&#x20;look&#x20;at&#x20;all&#x20;events,&#x20;system&#x20;administrators&#x20;will&#x20;want&#x20;to&#x20;look&#x20;for&#x20;specific&#x20;privileged&#x20;files&#x20;that&#x20;are&#x20;being&#x20;deleted&#x20;or&#x20;altered.','','For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete.&#x20;Notes:&#x20;At&#x20;a&#x20;minimum,&#x20;configure&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;collect&#x20;file&#x20;deletion&#x20;events&#x20;for&#x20;all&#x20;users&#x20;and&#x20;root.&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.14\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"10.5.5\"]}, {\"nist_800_53\": [\"AU.14\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(1614,'Ensure&#x20;changes&#x20;to&#x20;system&#x20;administration&#x20;scope&#x20;&#40;sudoers&#41;&#x20;is&#x20;collected','Monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrations.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;force&#x20;system&#x20;administrators&#x20;to&#x20;log&#x20;in&#x20;as&#x20;themselves&#x20;first&#x20;and&#x20;then&#x20;use&#x20;the&#x20;sudo&#x20;command&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;it&#x20;is&#x20;possible&#x20;to&#x20;monitor&#x20;changes&#x20;in&#x20;scope.&#x20;The&#x20;file&#x20;/etc/sudoers&#x20;will&#x20;be&#x20;written&#x20;to&#x20;when&#x20;the&#x20;file&#x20;or&#x20;its&#x20;attributes&#x20;have&#x20;changed.&#x20;The&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;scope.&quot;','Changes&#x20;in&#x20;the&#x20;/etc/sudoers&#x20;file&#x20;can&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;change&#x20;has&#x20;been&#x20;made&#x20;to&#x20;scope&#x20;of&#x20;system&#x20;administrator&#x20;activity.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/etc/sudoers&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;|&#x20;-w&#x20;/etc/sudoers.d/&#x20;-p&#x20;wa&#x20;-k&#x20;scope.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.15\"]}, {\"cis_csc\": [\"5.4\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(1615,'Ensure&#x20;system&#x20;administrator&#x20;actions&#x20;&#40;sudolog&#41;&#x20;are&#x20;collected','Monitor&#x20;the&#x20;sudo&#x20;log&#x20;file.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;disable&#x20;the&#x20;use&#x20;of&#x20;the&#x20;su&#x20;command&#x20;and&#x20;force&#x20;all&#x20;administrators&#x20;to&#x20;have&#x20;to&#x20;log&#x20;in&#x20;first&#x20;and&#x20;then&#x20;use&#x20;sudo&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;then&#x20;all&#x20;administrator&#x20;commands&#x20;will&#x20;be&#x20;logged&#x20;to&#x20;/var/log/sudo.log&#x20;.&#x20;Any&#x20;time&#x20;a&#x20;command&#x20;is&#x20;executed,&#x20;an&#x20;audit&#x20;event&#x20;will&#x20;be&#x20;triggered&#x20;as&#x20;the&#x20;/var/log/sudo.log&#x20;file&#x20;will&#x20;be&#x20;opened&#x20;for&#x20;write&#x20;and&#x20;the&#x20;executed&#x20;administration&#x20;command&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;log.','Changes&#x20;in&#x20;/var/log/sudo.log&#x20;indicate&#x20;that&#x20;an&#x20;administrator&#x20;has&#x20;executed&#x20;a&#x20;command&#x20;or&#x20;the&#x20;log&#x20;file&#x20;itself&#x20;has&#x20;been&#x20;tampered&#x20;with.&#x20;Administrators&#x20;will&#x20;want&#x20;to&#x20;correlate&#x20;the&#x20;events&#x20;written&#x20;to&#x20;the&#x20;audit&#x20;trail&#x20;with&#x20;the&#x20;records&#x20;written&#x20;to&#x20;/var/log/sudo.log&#x20;to&#x20;verify&#x20;if&#x20;unauthorized&#x20;commands&#x20;have&#x20;been&#x20;executed.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/var/log/sudo.log&#x20;-p&#x20;wa&#x20;-k&#x20;actions.&#x20;Notes:&#x20;The&#x20;system&#x20;must&#x20;be&#x20;configured&#x20;with&#x20;sudisabled&#x20;&#40;See&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted&#41;&#x20;to&#x20;force&#x20;all&#x20;command&#x20;execution&#x20;through&#x20;sudo.&#x20;This&#x20;will&#x20;not&#x20;be&#x20;effective&#x20;on&#x20;the&#x20;console,&#x20;as&#x20;administrators&#x20;can&#x20;log&#x20;in&#x20;as&#x20;root.&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.16\"]}, {\"cis_csc\": [\"5.1\", \"5.5\"]}, {\"pci_dss\": [\"10.2.2\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.6\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(1616,'Ensure&#x20;kernel&#x20;module&#x20;loading&#x20;and&#x20;unloading&#x20;is&#x20;collected','Monitor&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;kernel&#x20;modules.&#x20;The&#x20;programs&#x20;insmod&#x20;&#40;install&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;rmmod&#x20;&#40;remove&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;and&#x20;modprobe&#x20;&#40;a&#x20;more&#x20;sophisticated&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules,&#x20;as&#x20;well&#x20;as&#x20;some&#x20;other&#x20;features&#41;&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;The&#x20;init_module&#x20;&#40;load&#x20;a&#x20;module&#41;&#x20;and&#x20;delete_module&#x20;&#40;delete&#x20;a&#x20;module&#41;&#x20;system&#x20;calls&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;Any&#x20;execution&#x20;of&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;module&#x20;programs&#x20;and&#x20;system&#x20;calls&#x20;will&#x20;trigger&#x20;an&#x20;audit&#x20;record&#x20;with&#x20;an&#x20;identifier&#x20;of&#x20;&quot;modules&quot;.','Monitoring&#x20;the&#x20;use&#x20;of&#x20;insmod,&#x20;rmmod&#x20;and&#x20;modprobe&#x20;could&#x20;provide&#x20;system&#x20;administrators&#x20;with&#x20;evidence&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;loaded&#x20;or&#x20;unloaded&#x20;a&#x20;kernel&#x20;module,&#x20;possibly&#x20;compromising&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.&#x20;Monitoring&#x20;of&#x20;the&#x20;init_module&#x20;and&#x20;delete_module&#x20;system&#x20;calls&#x20;would&#x20;reflect&#x20;an&#x20;unauthorized&#x20;user&#x20;attempting&#x20;to&#x20;use&#x20;a&#x20;different&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules.','','For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/sbin/insmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;|&#x20;-w&#x20;/sbin/rmmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;|&#x20;-w&#x20;/sbin/modprobe&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;init_module&#x20;-S&#x20;delete_module&#x20;-k&#x20;modules.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.17\"]}, {\"cis_csc\": [\"3\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(1617,'Ensure&#x20;the&#x20;audit&#x20;configuration&#x20;is&#x20;immutable','Set&#x20;system&#x20;audit&#x20;so&#x20;that&#x20;audit&#x20;rules&#x20;cannot&#x20;be&#x20;modified&#x20;with&#x20;auditctl.&#x20;Setting&#x20;the&#x20;flag&#x20;&quot;-e&#x20;2&quot;&#x20;forces&#x20;audit&#x20;to&#x20;be&#x20;put&#x20;in&#x20;immutable&#x20;mode.&#x20;Audit&#x20;changes&#x20;can&#x20;only&#x20;be&#x20;made&#x20;on&#x20;system&#x20;reboot.','In&#x20;immutable&#x20;mode,&#x20;unauthorized&#x20;users&#x20;cannot&#x20;execute&#x20;changes&#x20;to&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;potentially&#x20;hide&#x20;malicious&#x20;activity&#x20;and&#x20;then&#x20;put&#x20;the&#x20;audit&#x20;rules&#x20;back.&#x20;Users&#x20;would&#x20;most&#x20;likely&#x20;notice&#x20;a&#x20;system&#x20;reboot&#x20;and&#x20;that&#x20;could&#x20;alert&#x20;administrators&#x20;of&#x20;an&#x20;attempt&#x20;to&#x20;make&#x20;unauthorized&#x20;audit&#x20;changes.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;end&#x20;of&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-e&#x20;2.&#x20;Notes:&#x20;This&#x20;setting&#x20;will&#x20;ensure&#x20;reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;requires&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.18\"]}, {\"cis_csc\": [\"3\", \"6\"]}, {\"pci_dss\": [\"10.5\"]}, {\"nist_800_53\": [\"AU.9\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC7.2\"]}]'),(1618,'Ensure&#x20;rsyslog&#x20;Service&#x20;is&#x20;enabled','Once&#x20;the&#x20;rsyslog&#x20;package&#x20;is&#x20;installed&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;activated.','If&#x20;the&#x20;rsyslog&#x20;service&#x20;is&#x20;not&#x20;activated&#x20;the&#x20;system&#x20;will&#x20;not&#x20;have&#x20;a&#x20;syslog&#x20;service&#x20;running.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;rsyslog:&#x20;#&#x20;systemctl&#x20;enable&#x20;rsyslog','[{\"cis\": [\"4.2.1.1\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.1\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1619,'Ensure&#x20;rsyslog&#x20;default&#x20;file&#x20;permissions&#x20;configured','rsyslog&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;set&#x20;$FileCreateMode&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;&#x20;&#x20;$FileCreateMode&#x20;0640','[{\"cis\": [\"4.2.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.5.1\", \"10.5.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.9\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC7.2\", \"CC.7.3\", \"CC7.4\"]}]'),(1620,'Ensure&#x20;rsyslog&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host','The&#x20;rsyslog&#x20;utility&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;logs&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;running&#x20;syslogd&#40;8&#41;&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;reducing&#x20;administrative&#x20;overhead.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;&#40;where&#x20;loghost.example.com&#x20;is&#x20;the&#x20;name&#x20;of&#x20;your&#x20;central&#x20;log&#x20;host&#41;:&#x20;*.*&#x20;@@loghost.example.com.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;rsyslogd&#x20;configuration:&#x20;#&#x20;pkill&#x20;-HUP&#x20;rsyslogd','[{\"cis\": [\"4.2.1.4\"]}, {\"cis_csc\": [\"6.6\"]}, {\"pci_dss\": [\"10.5.3\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.4\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1621,'Ensure&#x20;remote&#x20;rsyslog&#x20;messages&#x20;are&#x20;only&#x20;accepted&#x20;on&#x20;designated&#x20;log&#x20;hosts','By&#x20;default,&#x20;rsyslog&#x20;does&#x20;not&#x20;listen&#x20;for&#x20;log&#x20;messages&#x20;coming&#x20;in&#x20;from&#x20;remote&#x20;systems.&#x20;The&#x20;ModLoad&#x20;tells&#x20;rsyslog&#x20;to&#x20;load&#x20;the&#x20;imtcp.so&#x20;module&#x20;so&#x20;it&#x20;can&#x20;listen&#x20;over&#x20;a&#x20;network&#x20;via&#x20;TCP.&#x20;The&#x20;InputTCPServerRun&#x20;option&#x20;instructs&#x20;rsyslogd&#x20;to&#x20;listen&#x20;on&#x20;the&#x20;specified&#x20;TCP&#x20;port.','The&#x20;guidance&#x20;in&#x20;the&#x20;section&#x20;ensures&#x20;that&#x20;remote&#x20;log&#x20;hosts&#x20;are&#x20;configured&#x20;to&#x20;only&#x20;accept&#x20;rsyslog&#x20;data&#x20;from&#x20;hosts&#x20;within&#x20;the&#x20;specified&#x20;domain&#x20;and&#x20;that&#x20;those&#x20;systems&#x20;that&#x20;are&#x20;not&#x20;designed&#x20;to&#x20;be&#x20;log&#x20;hosts&#x20;do&#x20;not&#x20;accept&#x20;any&#x20;remote&#x20;rsyslog&#x20;messages.&#x20;This&#x20;provides&#x20;protection&#x20;from&#x20;spoofed&#x20;log&#x20;data&#x20;and&#x20;ensures&#x20;that&#x20;system&#x20;administrators&#x20;are&#x20;reviewing&#x20;reasonably&#x20;complete&#x20;syslog&#x20;data&#x20;in&#x20;a&#x20;central&#x20;location.','','For&#x20;hosts&#x20;that&#x20;are&#x20;designated&#x20;as&#x20;log&#x20;hosts,&#x20;edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;file&#x20;and&#x20;un-comment&#x20;or&#x20;add&#x20;the&#x20;following&#x20;lines:$ModLoad&#x20;imtcp&#x20;&amp;&#x20;$InputTCPServerRun&#x20;514.&#x20;For&#x20;hosts&#x20;that&#x20;are&#x20;not&#x20;designated&#x20;as&#x20;log&#x20;hosts,&#x20;edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;file&#x20;and&#x20;comment&#x20;or&#x20;remove&#x20;the&#x20;following&#x20;lines:&#x20;#&#x20;$ModLoad&#x20;imtcp&#x20;#&#x20;$InputTCPServerRun&#x20;514.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;rsyslogd&#x20;configuration:&#x20;#&#x20;pkill&#x20;-HUP&#x20;rsyslogd','[{\"cis\": [\"4.2.1.5\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"10.5.1\"]}]'),(1622,'Ensure&#x20;syslog-ng&#x20;service&#x20;is&#x20;enabled','Once&#x20;the&#x20;syslog-ng&#x20;package&#x20;is&#x20;installed&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;activated.','If&#x20;the&#x20;syslog-ng&#x20;service&#x20;is&#x20;not&#x20;activated&#x20;the&#x20;system&#x20;may&#x20;default&#x20;to&#x20;the&#x20;syslogd&#x20;service&#x20;or&#x20;lack&#x20;logging&#x20;instead.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;rsyslog&#x20;:&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;enable&#x20;syslog-ng','[{\"cis\": [\"4.2.2.1\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.1\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1623,'Ensure&#x20;syslog-ng&#x20;default&#x20;file&#x20;permissions&#x20;configured','syslog-ng&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;syslog-ng&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Edit&#x20;the&#x20;/etc/syslog-ng/syslog-ng.conf&#x20;and&#x20;set&#x20;perm&#x20;option&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;&#x20;&#x20;&#x20;&#x20;options&#x20;{&#x20;chain_hostnames&#40;off&#41;;&#x20;flush_lines&#40;0&#41;;&#x20;perm&#40;0640&#41;;&#x20;stats_freq&#40;3600&#41;;&#x20;threaded&#40;yes&#41;;&#x20;};','[{\"cis\": [\"4.2.2.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.5.1\", \"10.5.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.9\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC7.2\", \"CC.7.3\", \"CC7.4\"]}]'),(1624,'Ensure&#x20;syslog-ng&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host','The&#x20;syslog-ng&#x20;utility&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;logs&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;reducing&#x20;administrative&#x20;overhead.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/syslog-ng/syslog-ng.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;&#40;where&#x20;logfile.example.com&#x20;is&#x20;the&#x20;name&#x20;of&#x20;your&#x20;central&#x20;log&#x20;host&#41;.&#x20;&#x20;&#x20;&#x20;destination&#x20;logserver&#x20;{&#x20;tcp&#40;&quot;logfile.example.com&quot;&#x20;port&#40;514&#41;&#41;;&#x20;};&#x20;&#x20;&#x20;&#x20;log&#x20;{&#x20;source&#40;src&#41;;&#x20;destination&#40;logserver&#41;;&#x20;};&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;rsyslogd&#x20;configuration:&#x20;#&#x20;pkill&#x20;-HUP&#x20;syslog-ng','[{\"cis\": [\"4.2.2.4\"]}, {\"cis_csc\": [\"6.6\"]}, {\"pci_dss\": [\"10.5.3\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.4\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1625,'Ensure&#x20;rsyslog&#x20;or&#x20;syslog-ng&#x20;is&#x20;installed','The&#x20;rsyslog&#x20;and&#x20;syslog-ng&#x20;software&#x20;are&#x20;recommended&#x20;replacements&#x20;to&#x20;the&#x20;original&#x20;syslogd&#x20;daemon&#x20;which&#x20;provide&#x20;improvements&#x20;over&#x20;syslogd&#x20;,&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server.','The&#x20;security&#x20;enhancements&#x20;of&#x20;rsyslog&#x20;and&#x20;syslog-ng&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server&#41;&#x20;justify&#x20;installing&#x20;and&#x20;configuring&#x20;the&#x20;package.','','Install&#x20;rsyslog&#x20;or&#x20;syslog-ng&#x20;using&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands:&#x20;#&#x20;apt-get&#x20;install&#x20;rsyslog&#x20;#&#x20;apt-get&#x20;install&#x20;syslog-ng','[{\"cis\": [\"4.2.3\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.1\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1626,'Ensure&#x20;cron&#x20;daemon&#x20;is&#x20;enabled','The&#x20;cron&#x20;daemon&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;batch&#x20;jobs&#x20;on&#x20;the&#x20;system.','While&#x20;there&#x20;may&#x20;not&#x20;be&#x20;user&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;be&#x20;run&#x20;on&#x20;the&#x20;system,&#x20;the&#x20;system&#x20;does&#x20;have&#x20;maintenance&#x20;jobs&#x20;that&#x20;may&#x20;include&#x20;security&#x20;monitoring&#x20;that&#x20;have&#x20;to&#x20;run,&#x20;and&#x20;cron&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;them.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;cron:&#x20;systemctl&#x20;enable&#x20;cron','[{\"cis\": [\"5.1.1\"]}, {\"cis_csc\": [\"6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1627,'Ensure&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;are&#x20;configured','The&#x20;/etc/crontab&#x20;file&#x20;is&#x20;used&#x20;by&#x20;cron&#x20;to&#x20;control&#x20;its&#x20;own&#x20;jobs.&#x20;The&#x20;commands&#x20;in&#x20;this&#x20;item&#x20;make&#x20;sure&#x20;that&#x20;root&#x20;is&#x20;the&#x20;user&#x20;and&#x20;group&#x20;owner&#x20;of&#x20;the&#x20;file&#x20;and&#x20;that&#x20;only&#x20;the&#x20;owner&#x20;can&#x20;access&#x20;the&#x20;file.','This&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;what&#x20;system&#x20;jobs&#x20;are&#x20;run&#x20;by&#x20;cron.&#x20;Write&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;unprivileged&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;elevate&#x20;their&#x20;privileges.&#x20;Read&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;gain&#x20;insight&#x20;on&#x20;system&#x20;jobs&#x20;that&#x20;run&#x20;on&#x20;the&#x20;system&#x20;and&#x20;could&#x20;provide&#x20;them&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;unauthorized&#x20;privileged&#x20;access.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/crontab&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/crontab','[{\"cis\": [\"5.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(1628,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;are&#x20;configured','This&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;an&#x20;hourly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.hourly&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.hourly','[{\"cis\": [\"5.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1629,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;are&#x20;configured','The&#x20;/etc/cron.daily&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;daily&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.daily&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.daily','[{\"cis\": [\"5.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1630,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;are&#x20;configured','The&#x20;/etc/cron.weekly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;weekly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.weekly&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.weekly','[{\"cis\": [\"5.1.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1631,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;are&#x20;configured','The&#x20;/etc/cron.monthly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;monthly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.monthly&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.monthly','[{\"cis\": [\"5.1.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1632,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;are&#x20;configured','Configure&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/cron.allow&#x20;or&#x20;/etc/at.allow&#x20;do&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.deny&#x20;and&#x20;/etc/cron.deny&#x20;are&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;files,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;Note&#x20;that&#x20;even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow&#x20;,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cron&#x20;jobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny&#x20;and&#x20;/etc/at.deny&#x20;and&#x20;create&#x20;and&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow:&#x20;rm&#x20;/etc/cron.deny;rm&#x20;/etc/at.deny;touch&#x20;/etc/cron.allow;&#x20;touch&#x20;/etc/at.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/at.allow;&#x20;chown&#x20;root:root&#x20;/etc/cron.allow&#x20;and&#x20;chown&#x20;root:root&#x20;/etc/at.allow','[{\"cis\": [\"5.1.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1633,'Ensure&#x20;at/cron&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users','Configure&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/cron.allow&#x20;or&#x20;/etc/at.allow&#x20;do&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.deny&#x20;and&#x20;/etc/cron.deny&#x20;are&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;files,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;Note&#x20;that&#x20;even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cronjobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny&#x20;and&#x20;/etc/at.deny&#x20;and&#x20;create&#x20;and&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow:&#x20;#&#x20;rm&#x20;/etc/cron.deny&#x20;#&#x20;rm&#x20;/etc/at.deny&#x20;#&#x20;touch&#x20;/etc/cron.allow&#x20;#&#x20;touch&#x20;/etc/at.allow&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.allow&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/at.allow&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.allow&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/at.allow','[{\"cis\": [\"5.1.8\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1634,'Ensure&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config&#x20;are&#x20;configured','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;contains&#x20;configuration&#x20;specifications&#x20;for&#x20;sshd.&#x20;The&#x20;command&#x20;below&#x20;sets&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;file&#x20;to&#x20;root.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-&#x20;privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/ssh/sshd_config&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/ssh/sshd_config','[{\"cis\": [\"5.2.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1635,'Ensure&#x20;SSH&#x20;Protocol&#x20;is&#x20;set&#x20;to&#x20;2','SSH&#x20;supports&#x20;two&#x20;different&#x20;and&#x20;incompatible&#x20;protocols:&#x20;SSH1&#x20;and&#x20;SSH2.&#x20;SSH1&#x20;was&#x20;the&#x20;original&#x20;protocol&#x20;and&#x20;was&#x20;subject&#x20;to&#x20;security&#x20;issues.&#x20;SSH2&#x20;is&#x20;more&#x20;advanced&#x20;and&#x20;secure.','SSH&#x20;v1&#x20;suffers&#x20;from&#x20;insecurities&#x20;that&#x20;do&#x20;not&#x20;affect&#x20;SSH&#x20;v2.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Protocol&#x20;2','[{\"cis\": [\"5.2.4\"]}, {\"cis_csc\": [\"3.4\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\"]}]'),(1636,'Ensure&#x20;SSH&#x20;LogLevel&#x20;is&#x20;appropriate','INFO&#x20;level&#x20;is&#x20;the&#x20;basic&#x20;level&#x20;that&#x20;only&#x20;records&#x20;login&#x20;activity&#x20;of&#x20;SSH&#x20;users.&#x20;In&#x20;many&#x20;situations,&#x20;such&#x20;as&#x20;Incident&#x20;Response,&#x20;it&#x20;is&#x20;important&#x20;to&#x20;determine&#x20;when&#x20;a&#x20;particular&#x20;user&#x20;was&#x20;active&#x20;on&#x20;a&#x20;system.&#x20;The&#x20;logout&#x20;record&#x20;can&#x20;eliminate&#x20;those&#x20;users&#x20;who&#x20;disconnected,&#x20;which&#x20;helps&#x20;narrow&#x20;the&#x20;field.&#x20;VERBOSE&#x20;level&#x20;specifies&#x20;that&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;as&#x20;well&#x20;as&#x20;the&#x20;key&#x20;fingerprint&#x20;for&#x20;any&#x20;SSH&#x20;key&#x20;used&#x20;for&#x20;login&#x20;will&#x20;be&#x20;logged.&#x20;This&#x20;information&#x20;is&#x20;important&#x20;for&#x20;SSH&#x20;key&#x20;management,&#x20;especially&#x20;in&#x20;legacy&#x20;environments.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;VERBOSE&#x20;or&#x20;LogLevel&#x20;INFO','[{\"cis\": [\"5.2.5\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\"]}]'),(1637,'Ensure&#x20;SSH&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled','The&#x20;X11Forwarding&#x20;parameter&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;tunnel&#x20;X11&#x20;traffic&#x20;through&#x20;the&#x20;connection&#x20;to&#x20;enable&#x20;remote&#x20;graphic&#x20;connections.','Disable&#x20;X11&#x20;forwarding&#x20;unless&#x20;there&#x20;is&#x20;an&#x20;operational&#x20;requirement&#x20;to&#x20;use&#x20;X11&#x20;applications&#x20;directly.&#x20;There&#x20;is&#x20;a&#x20;small&#x20;risk&#x20;that&#x20;the&#x20;remote&#x20;X11&#x20;servers&#x20;of&#x20;users&#x20;who&#x20;are&#x20;logged&#x20;in&#x20;via&#x20;SSH&#x20;with&#x20;X11&#x20;forwarding&#x20;could&#x20;be&#x20;compromised&#x20;by&#x20;other&#x20;users&#x20;on&#x20;the&#x20;X11&#x20;server.&#x20;Note&#x20;that&#x20;even&#x20;if&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled,&#x20;users&#x20;can&#x20;always&#x20;install&#x20;their&#x20;own&#x20;forwarders.','','Edit&#x20;the&#x20;/etc/ssh/sshd_configfile&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;X11Forwarding&#x20;no','[{\"cis\": [\"5.2.6\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1638,'Ensure&#x20;SSH&#x20;MaxAuthTries&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1639,'Ensure&#x20;SSH&#x20;IgnoreRhosts&#x20;is&#x20;enabled','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhostsand&#x20;.shostsfiles&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthenticationor&#x20;HostbasedAuthentication.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;ssh.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;IgnoreRhosts&#x20;yes','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc\": [\"9\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\"]}]'),(1640,'Ensure&#x20;SSH&#x20;HostbasedAuthentication&#x20;is&#x20;disabled','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts,&#x20;or&#x20;/etc/hosts.equiv,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.&#x20;This&#x20;option&#x20;only&#x20;applies&#x20;to&#x20;SSH&#x20;Protocol&#x20;Version&#x20;2.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no','[{\"cis\": [\"5.2.9\"]}, {\"cis_csc\": [\"9\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\"]}]'),(1641,'Ensure&#x20;SSH&#x20;root&#x20;login&#x20;is&#x20;disabled','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;ssh&#40;1&#41;.&#x20;The&#x20;default&#x20;is&#x20;no.','Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;server&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root&#x20;via&#x20;sudo&#x20;or&#x20;su.&#x20;This&#x20;in&#x20;turn&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no','[{\"cis\": [\"5.2.10\"]}, {\"cis_csc\": [\"5.8\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\"]}]'),(1642,'Ensure&#x20;SSH&#x20;PermitEmptyPasswords&#x20;is&#x20;disabled','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no','[{\"cis\": [\"5.2.11\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\"]}]'),(1643,'Ensure&#x20;SSH&#x20;PermitUserEnvironment&#x20;is&#x20;disabled','The&#x20;PermitUserEnvironment&#x20;option&#x20;allows&#x20;users&#x20;to&#x20;present&#x20;environment&#x20;options&#x20;to&#x20;the&#x20;ssh&#x20;daemon.','Permitting&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;environment&#x20;variables&#x20;through&#x20;the&#x20;SSH&#x20;daemon&#x20;could&#x20;potentially&#x20;allow&#x20;users&#x20;to&#x20;bypass&#x20;security&#x20;controls&#x20;&#40;e.g.&#x20;setting&#x20;an&#x20;execution&#x20;path&#x20;that&#x20;has&#x20;ssh&#x20;executing&#x20;trojan&#039;d&#x20;programs&#41;','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitUserEnvironment&#x20;no','[{\"cis\": [\"5.2.12\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\", \"CC6.1\", \"CC7.2\"]}]'),(1644,'Ensure&#x20;only&#x20;strong&#x20;ciphers&#x20;are&#x20;used','This&#x20;variable&#x20;limits&#x20;the&#x20;ciphers&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.','Weak&#x20;ciphers&#x20;that&#x20;are&#x20;used&#x20;for&#x20;authentication&#x20;to&#x20;the&#x20;cryptographic&#x20;module&#x20;cannot&#x20;be&#x20;relied&#x20;upon&#x20;to&#x20;provide&#x20;confidentiality&#x20;or&#x20;integrity,&#x20;and&#x20;system&#x20;data&#x20;may&#x20;be&#x20;compromised&#x20;The&#x20;DES,&#x20;Triple&#x20;DES,&#x20;and&#x20;Blowfish&#x20;ciphers,&#x20;as&#x20;used&#x20;in&#x20;SSH,&#x20;have&#x20;a&#x20;birthday&#x20;bound&#x20;of&#x20;approximately&#x20;four&#x20;billion&#x20;blocks,&#x20;which&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;obtain&#x20;cleartext&#x20;data&#x20;via&#x20;a&#x20;birthday&#x20;attack&#x20;against&#x20;a&#x20;long-duration&#x20;encrypted&#x20;session,&#x20;aka&#x20;a&#x20;&quot;Sweet32&quot;&#x20;attack&#x20;The&#x20;RC4&#x20;algorithm,&#x20;as&#x20;used&#x20;in&#x20;the&#x20;TLS&#x20;protocol&#x20;and&#x20;SSL&#x20;protocol,&#x20;does&#x20;not&#x20;properly&#x20;combine&#x20;state&#x20;data&#x20;with&#x20;key&#x20;data&#x20;during&#x20;the&#x20;initialization&#x20;phase,&#x20;which&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;conduct&#x20;plaintext-recovery&#x20;attacks&#x20;against&#x20;the&#x20;initial&#x20;bytes&#x20;of&#x20;a&#x20;stream&#x20;by&#x20;sniffing&#x20;network&#x20;traffic&#x20;that&#x20;occasionally&#x20;relies&#x20;on&#x20;keys&#x20;affected&#x20;by&#x20;the&#x20;Invariance&#x20;Weakness,&#x20;and&#x20;then&#x20;using&#x20;a&#x20;brute-force&#x20;approach&#x20;involving&#x20;LSB&#x20;values,&#x20;aka&#x20;the&#x20;&quot;Bar&#x20;Mitzvah&quot;&#x20;issue&#x20;The&#x20;passwords&#x20;used&#x20;during&#x20;an&#x20;SSH&#x20;session&#x20;encrypted&#x20;with&#x20;RC4&#x20;can&#x20;be&#x20;recovered&#x20;by&#x20;an&#x20;attacker&#x20;who&#x20;is&#x20;able&#x20;to&#x20;capture&#x20;and&#x20;replay&#x20;the&#x20;session&#x20;Error&#x20;handling&#x20;in&#x20;the&#x20;SSH&#x20;protocol;&#x20;Client&#x20;and&#x20;Server,&#x20;when&#x20;using&#x20;a&#x20;block&#x20;cipher&#x20;algorithm&#x20;in&#x20;Cipher&#x20;Block&#x20;Chaining&#x20;&#40;CBC&#41;&#x20;mode,&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;recover&#x20;certain&#x20;plaintext&#x20;data&#x20;from&#x20;an&#x20;arbitrary&#x20;block&#x20;of&#x20;ciphertext&#x20;in&#x20;an&#x20;SSH&#x20;session&#x20;via&#x20;unknown&#x20;vectors&#x20;The&#x20;mm_newkeys_from_blob&#x20;function&#x20;in&#x20;monitor_wrap.c,&#x20;when&#x20;an&#x20;AES-GCM&#x20;cipher&#x20;is&#x20;used,&#x20;does&#x20;not&#x20;properly&#x20;initialize&#x20;memory&#x20;for&#x20;a&#x20;MAC&#x20;context&#x20;data&#x20;structure,&#x20;which&#x20;allows&#x20;remote&#x20;authenticated&#x20;users&#x20;to&#x20;bypass&#x20;intended&#x20;ForceCommand&#x20;and&#x20;login-shell&#x20;restrictions&#x20;via&#x20;packet&#x20;data&#x20;that&#x20;provides&#x20;a&#x20;crafted&#x20;callback&#x20;address','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;add/modify&#x20;the&#x20;Ciphers&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;ciphers&#x20;Example:&#x20;Ciphers&#x20;chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr','[{\"cis\": [\"5.2.13\"]}, {\"cis_csc\": [\"3.4\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\", \"CC6.1\", \"CC7.2\"]}]'),(1645,'Ensure&#x20;only&#x20;strong&#x20;MAC&#x20;algorithms&#x20;are&#x20;used','This&#x20;variable&#x20;limits&#x20;the&#x20;types&#x20;of&#x20;MAC&#x20;algorithms&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.','MD5&#x20;and&#x20;96-bit&#x20;MAC&#x20;algorithms&#x20;are&#x20;considered&#x20;weak&#x20;and&#x20;have&#x20;been&#x20;shown&#x20;to&#x20;increase&#x20;exploitability&#x20;in&#x20;SSH&#x20;downgrade&#x20;attacks.&#x20;Weak&#x20;algorithms&#x20;continue&#x20;to&#x20;have&#x20;a&#x20;great&#x20;deal&#x20;of&#x20;attention&#x20;as&#x20;a&#x20;weak&#x20;spot&#x20;that&#x20;can&#x20;be&#x20;exploited&#x20;with&#x20;expanded&#x20;computing&#x20;power.&#x20;An&#x20;attacker&#x20;that&#x20;breaks&#x20;the&#x20;algorithm&#x20;could&#x20;take&#x20;advantage&#x20;of&#x20;a&#x20;MiTM&#x20;position&#x20;to&#x20;decrypt&#x20;the&#x20;SSH&#x20;tunnel&#x20;and&#x20;capture&#x20;credentials&#x20;and&#x20;information','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;and&#x20;add/modify&#x20;the&#x20;MACs&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;MACs&#x20;Example:&#x20;MACs&#x20;hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-&#x20;512,hmac-sha2-256','[{\"cis\": [\"5.2.14\"]}, {\"cis_csc\": [\"3.4\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\", \"CC6.1\", \"CC7.2\"]}]'),(1646,'Ensure&#x20;only&#x20;strong&#x20;Key&#x20;Exchange&#x20;algorithms&#x20;are&#x20;used','Key&#x20;exchange&#x20;is&#x20;any&#x20;method&#x20;in&#x20;cryptography&#x20;by&#x20;which&#x20;cryptographic&#x20;keys&#x20;are&#x20;exchanged&#x20;between&#x20;two&#x20;parties,&#x20;allowing&#x20;use&#x20;of&#x20;a&#x20;cryptographic&#x20;algorithm.&#x20;If&#x20;the&#x20;sender&#x20;and&#x20;receiver&#x20;wish&#x20;to&#x20;exchange&#x20;encrypted&#x20;messages,&#x20;each&#x20;must&#x20;be&#x20;equipped&#x20;to&#x20;encrypt&#x20;messages&#x20;to&#x20;be&#x20;sent&#x20;and&#x20;decrypt&#x20;messages&#x20;received','Key&#x20;exchange&#x20;methods&#x20;that&#x20;are&#x20;considered&#x20;weak&#x20;should&#x20;be&#x20;removed.&#x20;A&#x20;key&#x20;exchange&#x20;method&#x20;may&#x20;be&#x20;weak&#x20;because&#x20;too&#x20;few&#x20;bits&#x20;are&#x20;used,&#x20;or&#x20;the&#x20;hashing&#x20;algorithm&#x20;is&#x20;considered&#x20;too&#x20;weak.&#x20;Using&#x20;weak&#x20;algorithms&#x20;could&#x20;expose&#x20;connections&#x20;to&#x20;man-in-the-middle&#x20;attacks','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;add/modify&#x20;the&#x20;KexAlgorithms&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;key&#x20;exchange&#x20;algorithms&#x20;Example:&#x20;KexAlgorithms&#x20;curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256','[{\"cis\": [\"5.2.15\"]}, {\"cis_csc\": [\"3.4\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\", \"CC6.1\", \"CC7.2\"]}]'),(1647,'Ensure&#x20;SSH&#x20;Idle&#x20;Timeout&#x20;Interval&#x20;is&#x20;configured','The&#x20;two&#x20;options&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax&#x20;control&#x20;the&#x20;timeout&#x20;of&#x20;ssh&#x20;sessions.&#x20;When&#x20;the&#x20;ClientAliveInterval&#x20;variable&#x20;is&#x20;set,&#x20;ssh&#x20;sessions&#x20;that&#x20;have&#x20;no&#x20;activity&#x20;for&#x20;the&#x20;specified&#x20;length&#x20;of&#x20;time&#x20;are&#x20;terminated.&#x20;When&#x20;the&#x20;ClientAliveCountMax&#x20;variable&#x20;is&#x20;set,&#x20;sshd&#x20;will&#x20;send&#x20;client&#x20;alive&#x20;messages&#x20;at&#x20;every&#x20;ClientAliveInterval&#x20;interval.&#x20;When&#x20;the&#x20;number&#x20;of&#x20;consecutive&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;sent&#x20;with&#x20;no&#x20;response&#x20;from&#x20;the&#x20;client,&#x20;the&#x20;ssh&#x20;session&#x20;is&#x20;terminated.&#x20;For&#x20;example,&#x20;if&#x20;the&#x20;ClientAliveInterval&#x20;is&#x20;set&#x20;to&#x20;15&#x20;seconds&#x20;and&#x20;the&#x20;ClientAliveCountMax&#x20;is&#x20;set&#x20;to&#x20;3,&#x20;the&#x20;client&#x20;ssh&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;45&#x20;seconds&#x20;of&#x20;idle&#x20;time.','Having&#x20;no&#x20;timeout&#x20;value&#x20;associated&#x20;with&#x20;a&#x20;connection&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;ssh&#x20;session&#x20;&#40;e.g.&#x20;user&#x20;walks&#x20;away&#x20;from&#x20;their&#x20;computer&#x20;and&#x20;doesn&#039;t&#x20;lock&#x20;the&#x20;screen&#41;.&#x20;Setting&#x20;a&#x20;timeout&#x20;value&#x20;at&#x20;least&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;this&#x20;happening.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;300&#x20;seconds&#x20;&#40;5&#x20;minutes&#41;,&#x20;set&#x20;this&#x20;timeout&#x20;value&#x20;based&#x20;on&#x20;site&#x20;policy.&#x20;The&#x20;recommended&#x20;setting&#x20;for&#x20;ClientAliveCountMax&#x20;is&#x20;0.&#x20;In&#x20;this&#x20;case,&#x20;the&#x20;client&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;5&#x20;minutes&#x20;of&#x20;idle&#x20;time&#x20;and&#x20;no&#x20;keepalive&#x20;messages&#x20;will&#x20;be&#x20;sent.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameters&#x20;according&#x20;to&#x20;site&#x20;policy:&#x20;ClientAliveInterval&#x20;300&#x20;&#x20;&#x20;&#x20;ClientAliveCountMax&#x20;0','[{\"cis\": [\"5.2.16\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(1648,'Ensure&#x20;SSH&#x20;LoginGraceTime&#x20;is&#x20;set&#x20;to&#x20;one&#x20;minute&#x20;or&#x20;less','The&#x20;LoginGraceTime&#x20;parameter&#x20;specifies&#x20;the&#x20;time&#x20;allowed&#x20;for&#x20;successful&#x20;authentication&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;The&#x20;longer&#x20;the&#x20;Grace&#x20;period&#x20;is&#x20;the&#x20;more&#x20;open&#x20;unauthenticated&#x20;connections&#x20;can&#x20;exist.&#x20;Like&#x20;other&#x20;session&#x20;controls&#x20;in&#x20;this&#x20;session&#x20;the&#x20;Grace&#x20;Period&#x20;should&#x20;be&#x20;limited&#x20;to&#x20;appropriate&#x20;organizational&#x20;limits&#x20;to&#x20;ensure&#x20;the&#x20;service&#x20;is&#x20;available&#x20;for&#x20;needed&#x20;access.','Setting&#x20;the&#x20;LoginGraceTime&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;It&#x20;will&#x20;also&#x20;limit&#x20;the&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;60&#x20;seconds&#x20;&#40;1&#x20;Minute&#41;,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LoginGraceTime&#x20;60','[{\"cis\": [\"5.2.17\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.1\"]}]'),(1649,'Ensure&#x20;SSH&#x20;access&#x20;is&#x20;limited','There&#x20;are&#x20;several&#x20;options&#x20;available&#x20;to&#x20;limit&#x20;which&#x20;users&#x20;and&#x20;group&#x20;can&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;at&#x20;least&#x20;one&#x20;of&#x20;the&#x20;following&#x20;options&#x20;be&#x20;leveraged:&#x20;AllowUsers,&#x20;AllowGroups,&#x20;DenyUsers,&#x20;DenyGroups.','Restricting&#x20;which&#x20;users&#x20;can&#x20;remotely&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH&#x20;will&#x20;help&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;users&#x20;access&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;one&#x20;or&#x20;more&#x20;of&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowUsers&#x20;&lt;userlist&gt;&#x20;&#x20;&#x20;&#x20;AllowGroups&#x20;&lt;grouplist&gt;&#x20;&#x20;&#x20;&#x20;DenyUsers&#x20;&lt;userlist&gt;&#x20;&#x20;&#x20;&#x20;DenyGroups&#x20;&lt;grouplist&gt;','[{\"cis\": [\"5.2.18\"]}, {\"cis_csc\": [\"5.1\", \"5.8\"]}, {\"pci_dss\": [\"8.1\"]}]'),(1650,'Ensure&#x20;SSH&#x20;warning&#x20;banner&#x20;is&#x20;configured','The&#x20;Banner&#x20;parameter&#x20;specifies&#x20;a&#x20;file&#x20;whose&#x20;contents&#x20;must&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;remote&#x20;user&#x20;before&#x20;authentication&#x20;is&#x20;permitted.&#x20;By&#x20;default,&#x20;no&#x20;banner&#x20;is&#x20;displayed.','Banners&#x20;are&#x20;used&#x20;to&#x20;warn&#x20;connecting&#x20;users&#x20;of&#x20;the&#x20;particular&#x20;site&#039;s&#x20;policy&#x20;regarding&#x20;connection.&#x20;Presenting&#x20;a&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;login&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Banner&#x20;/etc/issue.net','[{\"cis\": [\"5.2.19\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1651,'Ensure&#x20;password&#x20;creation&#x20;requirements&#x20;are&#x20;configured','The&#x20;pam_pwquality.so&#x20;module&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more.&#x20;The&#x20;following&#x20;are&#x20;definitions&#x20;of&#x20;the&#x20;pam_pwquality.so&#x20;options:&#x20;-&#x20;retry=3&#x20;&#40;Allow&#x20;3&#x20;tries&#x20;before&#x20;sending&#x20;back&#x20;a&#x20;failure&#41;.&#x20;The&#x20;following&#x20;options&#x20;are&#x20;set&#x20;in&#x20;the&#x20;/etc/security/pwquality.conf&#x20;file:&#x20;-&#x20;minlen&#x20;=&#x20;14&#x20;dcredit&#x20;=&#x20;-1&#x20;ucredit&#x20;=&#x20;-1&#x20;ocredit&#x20;=&#x20;-1&#x20;lcredit&#x20;=&#x20;-1&#x20;&#40;The&#x20;settings&#x20;shown&#x20;above&#x20;are&#x20;one&#x20;possible&#x20;policy.&#x20;Alter&#x20;these&#x20;values&#x20;to&#x20;conform&#x20;to&#x20;your&#x20;own&#x20;organization&#039;s&#x20;password&#x20;policies.&#41;','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','1&#41;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;the&#x20;pam_pwquality&#x20;module:&#x20;apt-get&#x20;install&#x20;libpam-pwquality&#x20;2&#41;&#x20;Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;file&#x20;to&#x20;include&#x20;the&#x20;appropriate&#x20;options&#x20;for&#x20;pam_pwquality.so&#x20;and&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;password&#x20;requisite&#x20;pam_pwquality.so&#x20;retry=3&#x20;3&#41;&#x20;Edit&#x20;/etc/security/pwquality.conf&#x20;to&#x20;add&#x20;or&#x20;update&#x20;the&#x20;following&#x20;settings&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minlen&#x20;=&#x20;14&#x20;dcredit&#x20;=&#x20;-1&#x20;ucredit&#x20;=&#x20;-1&#x20;ocredit&#x20;=&#x20;-1&#x20;lcredit&#x20;=&#x20;-1.&#x20;Notes:&#x20;Additional&#x20;module&#x20;options&#x20;may&#x20;be&#x20;set,&#x20;recommendation&#x20;requirements&#x20;only&#x20;cover&#x20;including&#x20;try_first_pass&#x20;and&#x20;minlen&#x20;set&#x20;to&#x20;14&#x20;or&#x20;more.&#x20;Settings&#x20;in&#x20;/etc/security/pwquality.conf&#x20;must&#x20;use&#x20;spaces&#x20;around&#x20;the&#x20;=&#x20;symbol.','[{\"cis\": [\"5.3.1\"]}, {\"cis_csc\": [\"5.7\", \"16.12\"]}, {\"pci_dss\": [\"8.2.3\"]}]'),(1652,'Ensure&#x20;lockout&#x20;for&#x20;failed&#x20;password&#x20;attempts&#x20;is&#x20;configured','Lock&#x20;out&#x20;users&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts.&#x20;The&#x20;first&#x20;sets&#x20;of&#x20;changes&#x20;are&#x20;made&#x20;to&#x20;the&#x20;PAM&#x20;configuration&#x20;files.&#x20;The&#x20;second&#x20;set&#x20;of&#x20;changes&#x20;are&#x20;applied&#x20;to&#x20;the&#x20;program&#x20;specific&#x20;PAM&#x20;configuration&#x20;file.&#x20;The&#x20;second&#x20;set&#x20;of&#x20;changes&#x20;must&#x20;be&#x20;applied&#x20;to&#x20;each&#x20;program&#x20;that&#x20;will&#x20;lock&#x20;out&#x20;users.&#x20;Check&#x20;the&#x20;documentation&#x20;for&#x20;each&#x20;secondary&#x20;program&#x20;for&#x20;instructions&#x20;on&#x20;how&#x20;to&#x20;configure&#x20;them&#x20;to&#x20;work&#x20;with&#x20;PAM.&#x20;Set&#x20;the&#x20;lockout&#x20;number&#x20;to&#x20;the&#x20;policy&#x20;in&#x20;effect&#x20;at&#x20;your&#x20;site.','Locking&#x20;out&#x20;user&#x20;IDs&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts&#x20;mitigates&#x20;brute&#x20;force&#x20;password&#x20;attacks&#x20;against&#x20;your&#x20;systems.','','Edit&#x20;the&#x20;/etc/pam.d/common-auth&#x20;file&#x20;and&#x20;add&#x20;the&#x20;auth&#x20;line&#x20;below:&#x20;auth&#x20;required&#x20;pam_tally2.so&#x20;onerr=fail&#x20;audit&#x20;silent&#x20;deny=5&#x20;unlock_time=900.&#x20;Note:&#x20;If&#x20;a&#x20;user&#x20;has&#x20;been&#x20;locked&#x20;out&#x20;because&#x20;they&#x20;have&#x20;reached&#x20;the&#x20;maximum&#x20;consecutive&#x20;failure&#x20;count&#x20;defined&#x20;by&#x20;deny=&#x20;in&#x20;the&#x20;pam_tally2.so&#x20;module,&#x20;the&#x20;user&#x20;can&#x20;be&#x20;unlocked&#x20;by&#x20;issuing&#x20;the&#x20;command&#x20;/sbin/pam_tally2&#x20;-u&#x20;&lt;username&gt;&#x20;--reset.&#x20;This&#x20;command&#x20;sets&#x20;the&#x20;failed&#x20;count&#x20;to&#x20;0,&#x20;effectively&#x20;unlocking&#x20;the&#x20;user.&#x20;Notes:&#x20;Use&#x20;of&#x20;the&#x20;&quot;audit&quot;&#x20;keyword&#x20;may&#x20;log&#x20;credentials&#x20;in&#x20;the&#x20;case&#x20;of&#x20;user&#x20;error&#x20;during&#x20;authentication.&#x20;This&#x20;risk&#x20;should&#x20;be&#x20;evaluated&#x20;in&#x20;the&#x20;context&#x20;of&#x20;the&#x20;site&#x20;policies&#x20;of&#x20;your&#x20;organization.','[{\"cis\": [\"5.3.2\"]}, {\"cis_csc\": [\"16.7\"]}, {\"pci_dss\": [\"8.2.5\"]}]'),(1653,'Ensure&#x20;password&#x20;reuse&#x20;is&#x20;limited','The&#x20;/etc/security/opasswd&#x20;file&#x20;stores&#x20;the&#x20;users&#039;&#x20;old&#x20;passwords&#x20;and&#x20;can&#x20;be&#x20;checked&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;are&#x20;not&#x20;recycling&#x20;recent&#x20;passwords.','Forcing&#x20;users&#x20;not&#x20;to&#x20;reuse&#x20;their&#x20;past&#x20;5&#x20;passwords&#x20;make&#x20;it&#x20;less&#x20;likely&#x20;that&#x20;an&#x20;attacker&#x20;will&#x20;be&#x20;able&#x20;to&#x20;guess&#x20;the&#x20;password.&#x20;Note&#x20;that&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;file&#x20;to&#x20;include&#x20;the&#x20;remember&#x20;option&#x20;and&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;as&#x20;shown:&#x20;password&#x20;required&#x20;pam_pwhistory.so&#x20;remember=5.&#x20;Notes:&#x20;Additional&#x20;module&#x20;options&#x20;may&#x20;be&#x20;set,&#x20;recommendation&#x20;only&#x20;covers&#x20;those&#x20;listed&#x20;here.','[{\"cis\": [\"5.3.3\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2.5\"]}]'),(1654,'Ensure&#x20;password&#x20;hashing&#x20;algorithm&#x20;is&#x20;SHA-512','The&#x20;commands&#x20;below&#x20;change&#x20;password&#x20;encryption&#x20;from&#x20;md5&#x20;to&#x20;sha512&#x20;&#40;a&#x20;much&#x20;stronger&#x20;hashing&#x20;algorithm&#41;.&#x20;All&#x20;existing&#x20;accounts&#x20;will&#x20;need&#x20;to&#x20;perform&#x20;a&#x20;password&#x20;change&#x20;to&#x20;upgrade&#x20;the&#x20;stored&#x20;hashes&#x20;to&#x20;the&#x20;new&#x20;algorithm.','The&#x20;SHA-512&#x20;algorithm&#x20;provides&#x20;much&#x20;stronger&#x20;hashing&#x20;than&#x20;MD5,&#x20;thus&#x20;providing&#x20;additional&#x20;protection&#x20;to&#x20;the&#x20;system&#x20;by&#x20;increasing&#x20;the&#x20;level&#x20;of&#x20;effort&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;successfully&#x20;determine&#x20;passwords.&#x20;Note&#x20;that&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;file&#x20;to&#x20;include&#x20;the&#x20;sha512&#x20;option&#x20;for&#x20;pam_unix.so&#x20;as&#x20;shown:&#x20;password&#x20;[success=1&#x20;default=ignore]&#x20;pam_unix.so&#x20;sha512','[{\"cis\": [\"5.3.4\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"3.6.1\"]}]'),(1655,'Ensure&#x20;password&#x20;expiration&#x20;is&#x20;365&#x20;days&#x20;or&#x20;less','The&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;force&#x20;passwords&#x20;to&#x20;expire&#x20;once&#x20;they&#x20;reach&#x20;a&#x20;defined&#x20;age.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;less&#x20;than&#x20;or&#x20;equal&#x20;to&#x20;365&#x20;days.','The&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;leverage&#x20;compromised&#x20;credentials&#x20;or&#x20;successfully&#x20;compromise&#x20;credentials&#x20;via&#x20;an&#x20;online&#x20;brute&#x20;force&#x20;attack&#x20;is&#x20;limited&#x20;by&#x20;the&#x20;age&#x20;of&#x20;the&#x20;password.&#x20;Therefore,&#x20;reducing&#x20;the&#x20;maximum&#x20;age&#x20;of&#x20;a&#x20;password&#x20;also&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;window&#x20;of&#x20;opportunity.','','Set&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;in&#x20;/etc/login.defs:&#x20;PASS_MAX_DAYS&#x20;90.&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--maxdays&#x20;90&#x20;&lt;user&gt;.&#x20;Notes:&#x20;You&#x20;can&#x20;also&#x20;check&#x20;this&#x20;setting&#x20;in&#x20;/etc/shadow&#x20;directly.&#x20;The&#x20;5th&#x20;field&#x20;should&#x20;be&#x20;365&#x20;or&#x20;less&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password.&#x20;A&#x20;value&#x20;of&#x20;-1&#x20;will&#x20;disable&#x20;password&#x20;expiration.&#x20;Additionally&#x20;the&#x20;password&#x20;expiration&#x20;must&#x20;be&#x20;greater&#x20;than&#x20;the&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;or&#x20;users&#x20;will&#x20;be&#x20;unable&#x20;to&#x20;change&#x20;their&#x20;password.','[{\"cis\": [\"5.4.1.1\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2.4\"]}]'),(1656,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;7&#x20;or&#x20;more','The&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;changing&#x20;their&#x20;password&#x20;until&#x20;a&#x20;minimum&#x20;number&#x20;of&#x20;days&#x20;have&#x20;passed&#x20;since&#x20;the&#x20;last&#x20;time&#x20;the&#x20;user&#x20;changed&#x20;their&#x20;password.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','By&#x20;restricting&#x20;the&#x20;frequency&#x20;of&#x20;password&#x20;changes,&#x20;an&#x20;administrator&#x20;can&#x20;prevent&#x20;users&#x20;from&#x20;repeatedly&#x20;changing&#x20;their&#x20;password&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;circumvent&#x20;password&#x20;reuse&#x20;controls.','','Set&#x20;the&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_MIN_DAYS&#x20;7.&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--mindays&#x20;7&#x20;&lt;user&gt;.&#x20;Notes:&#x20;You&#x20;can&#x20;also&#x20;check&#x20;this&#x20;setting&#x20;in&#x20;/etc/shadow&#x20;directly.&#x20;The&#x20;4th&#x20;field&#x20;should&#x20;be&#x20;7&#x20;or&#x20;more&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password.','[{\"cis\": [\"5.4.1.2\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"3.6.1\"]}]'),(1657,'Ensure&#x20;password&#x20;expiration&#x20;warning&#x20;days&#x20;is&#x20;7&#x20;or&#x20;more','The&#x20;PASS_WARN_AGE&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;notify&#x20;users&#x20;that&#x20;their&#x20;password&#x20;will&#x20;expire&#x20;in&#x20;a&#x20;defined&#x20;number&#x20;of&#x20;days.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','Providing&#x20;an&#x20;advance&#x20;warning&#x20;that&#x20;a&#x20;password&#x20;will&#x20;be&#x20;expiring&#x20;gives&#x20;users&#x20;time&#x20;to&#x20;think&#x20;of&#x20;a&#x20;secure&#x20;password.&#x20;Users&#x20;caught&#x20;unaware&#x20;may&#x20;choose&#x20;a&#x20;simple&#x20;password&#x20;or&#x20;write&#x20;it&#x20;down&#x20;where&#x20;it&#x20;may&#x20;be&#x20;discovered.','','Set&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_WARN_AGE&#x20;7.&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--warndays&#x20;7&#x20;&lt;user&gt;.&#x20;Notes:&#x20;You&#x20;can&#x20;also&#x20;check&#x20;this&#x20;setting&#x20;in&#x20;/etc/shadow&#x20;directly.&#x20;The&#x20;6th&#x20;field&#x20;should&#x20;be&#x20;7&#x20;or&#x20;more&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password.','[{\"cis\": [\"5.4.1.3\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"3.6.1\"]}]'),(1658,'Ensure&#x20;inactive&#x20;password&#x20;lock&#x20;is&#x20;30&#x20;days&#x20;or&#x20;less','User&#x20;accounts&#x20;that&#x20;have&#x20;been&#x20;inactive&#x20;for&#x20;over&#x20;a&#x20;given&#x20;period&#x20;of&#x20;time&#x20;can&#x20;be&#x20;automatically&#x20;disabled.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;accounts&#x20;that&#x20;are&#x20;inactive&#x20;for&#x20;30&#x20;days&#x20;after&#x20;password&#x20;expiration&#x20;be&#x20;disabled.','Inactive&#x20;accounts&#x20;pose&#x20;a&#x20;threat&#x20;to&#x20;system&#x20;security&#x20;since&#x20;the&#x20;users&#x20;are&#x20;not&#x20;logging&#x20;in&#x20;to&#x20;notice&#x20;failed&#x20;login&#x20;attempts&#x20;or&#x20;other&#x20;anomalies.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;default&#x20;password&#x20;inactivity&#x20;period&#x20;to&#x20;30&#x20;days:&#x20;#&#x20;useradd&#x20;-D&#x20;-f&#x20;30.&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--inactive&#x20;30&#x20;&lt;user&gt;.&#x20;Notes:&#x20;You&#x20;can&#x20;also&#x20;check&#x20;this&#x20;setting&#x20;in&#x20;/etc/shadow&#x20;directly.&#x20;The&#x20;7th&#x20;field&#x20;should&#x20;be&#x20;30&#x20;or&#x20;less&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password.&#x20;A&#x20;value&#x20;of&#x20;-1&#x20;would&#x20;disable&#x20;this&#x20;setting.','[{\"cis\": [\"5.4.1.4\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"3.6.1\"]}]'),(1659,'Ensure&#x20;default&#x20;group&#x20;for&#x20;the&#x20;root&#x20;account&#x20;is&#x20;GID&#x20;0','The&#x20;usermod&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;specify&#x20;which&#x20;group&#x20;the&#x20;root&#x20;user&#x20;belongs&#x20;to.&#x20;This&#x20;affects&#x20;permissions&#x20;of&#x20;files&#x20;that&#x20;are&#x20;created&#x20;by&#x20;the&#x20;root&#x20;user.','Using&#x20;GID&#x20;0&#x20;for&#x20;the&#x20;root&#x20;account&#x20;helps&#x20;prevent&#x20;root-owned&#x20;files&#x20;from&#x20;accidentally&#x20;becoming&#x20;accessible&#x20;to&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;root&#x20;user&#x20;default&#x20;group&#x20;to&#x20;GID&#x20;0:&#x20;#&#x20;usermod&#x20;-g&#x20;0&#x20;root','[{\"cis\": [\"5.4.3\"]}, {\"cis_csc\": [\"5\"]}, {\"pci_dss\": [\"3.6.1\"]}]'),(1660,'Ensure&#x20;default&#x20;user&#x20;umask&#x20;is&#x20;027&#x20;or&#x20;more&#x20;restrictive','The&#x20;default&#x20;umask&#x20;determines&#x20;the&#x20;permissions&#x20;of&#x20;files&#x20;created&#x20;by&#x20;users.&#x20;The&#x20;user&#x20;creating&#x20;the&#x20;file&#x20;has&#x20;the&#x20;discretion&#x20;of&#x20;making&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;others&#x20;via&#x20;the&#x20;chmod&#x20;command.&#x20;Users&#x20;who&#x20;wish&#x20;to&#x20;allow&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;to&#x20;be&#x20;readable&#x20;by&#x20;others&#x20;by&#x20;default&#x20;may&#x20;choose&#x20;a&#x20;different&#x20;default&#x20;umask&#x20;by&#x20;inserting&#x20;the&#x20;umask&#x20;command&#x20;into&#x20;the&#x20;standard&#x20;shell&#x20;configuration&#x20;files&#x20;&#40;&#x20;.profile&#x20;,&#x20;.bashrc&#x20;,&#x20;etc.&#41;&#x20;in&#x20;their&#x20;home&#x20;directories.','Setting&#x20;a&#x20;very&#x20;secure&#x20;default&#x20;value&#x20;for&#x20;umask&#x20;ensures&#x20;that&#x20;users&#x20;make&#x20;a&#x20;conscious&#x20;choice&#x20;about&#x20;their&#x20;file&#x20;permissions.&#x20;A&#x20;default&#x20;umask&#x20;setting&#x20;of&#x20;077&#x20;causes&#x20;files&#x20;and&#x20;directories&#x20;created&#x20;by&#x20;users&#x20;to&#x20;not&#x20;be&#x20;readable&#x20;by&#x20;any&#x20;other&#x20;user&#x20;on&#x20;the&#x20;system.&#x20;A&#x20;umask&#x20;of&#x20;027&#x20;would&#x20;make&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;users&#x20;in&#x20;the&#x20;same&#x20;Unix&#x20;group,&#x20;while&#x20;a&#x20;umask&#x20;of&#x20;022&#x20;would&#x20;make&#x20;files&#x20;readable&#x20;by&#x20;every&#x20;user&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/bash.bashrc&#x20;,&#x20;/etc/profile&#x20;and&#x20;/etc/profile.d&#47;&#42;.sh&#x20;files&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;any&#x20;umask&#x20;parameters&#x20;as&#x20;follows:&#x20;umask&#x20;027','[{\"cis\": [\"5.4.4\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"3.6.1\"]}]'),(1661,'Ensure&#x20;default&#x20;user&#x20;shell&#x20;timeout&#x20;is&#x20;900&#x20;seconds&#x20;or&#x20;less','The&#x20;default&#x20;TMOUT&#x20;determines&#x20;the&#x20;shell&#x20;timeout&#x20;for&#x20;users.&#x20;The&#x20;TMOUT&#x20;value&#x20;is&#x20;measured&#x20;in&#x20;seconds.','Having&#x20;no&#x20;timeout&#x20;value&#x20;associated&#x20;with&#x20;a&#x20;shell&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;shell&#x20;session&#x20;&#40;e.g.&#x20;user&#x20;walks&#x20;away&#x20;from&#x20;their&#x20;computer&#x20;and&#x20;doesn&#039;t&#x20;lock&#x20;the&#x20;screen&#41;.&#x20;Setting&#x20;a&#x20;timeout&#x20;value&#x20;at&#x20;least&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;this&#x20;happening.','','Edit&#x20;the&#x20;/etc/bashrc,&#x20;/etc/profile&#x20;files,&#x20;and&#x20;/etc/profile.d*.sh&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;any&#x20;umask&#x20;parameters&#x20;as&#x20;follows:&#x20;TMOUT=600','[{\"cis\": [\"5.4.5\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(1662,'Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted','The&#x20;su&#x20;command&#x20;allows&#x20;a&#x20;user&#x20;to&#x20;run&#x20;a&#x20;command&#x20;or&#x20;shell&#x20;as&#x20;another&#x20;user.&#x20;The&#x20;program&#x20;has&#x20;been&#x20;superseded&#x20;by&#x20;sudo,&#x20;which&#x20;allows&#x20;for&#x20;more&#x20;granular&#x20;control&#x20;over&#x20;privileged&#x20;access.&#x20;Normally,&#x20;the&#x20;su&#x20;command&#x20;can&#x20;be&#x20;executed&#x20;by&#x20;any&#x20;user.&#x20;By&#x20;uncommenting&#x20;the&#x20;pam_wheel.so&#x20;statement&#x20;in&#x20;/etc/pam.d/su,&#x20;the&#x20;su&#x20;command&#x20;will&#x20;only&#x20;allow&#x20;users&#x20;in&#x20;the&#x20;sudo&#x20;group&#x20;to&#x20;execute&#x20;su.','Restricting&#x20;the&#x20;use&#x20;of&#x20;su,&#x20;and&#x20;using&#x20;sudo&#x20;in&#x20;its&#x20;place,&#x20;provides&#x20;system&#x20;administrators&#x20;better&#x20;control&#x20;of&#x20;the&#x20;escalation&#x20;of&#x20;user&#x20;privileges&#x20;to&#x20;execute&#x20;privileged&#x20;commands.&#x20;The&#x20;sudo&#x20;utility&#x20;also&#x20;provides&#x20;a&#x20;better&#x20;logging&#x20;and&#x20;audit&#x20;mechanism,&#x20;as&#x20;it&#x20;can&#x20;log&#x20;each&#x20;command&#x20;executed&#x20;via&#x20;sudo,&#x20;whereas&#x20;su&#x20;can&#x20;only&#x20;record&#x20;that&#x20;a&#x20;user&#x20;executed&#x20;the&#x20;su&#x20;program.','','1&#41;&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/pam.d/su&#x20;file:&#x20;auth&#x20;required&#x20;pam_wheel.so&#x20;2&#41;&#x20;Create&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;users&#x20;in&#x20;the&#x20;sudo&#x20;statement&#x20;in&#x20;the&#x20;/etc/group&#x20;file:&#x20;sudo:x:10:root,&lt;user&#x20;list&gt;&#x20;Notes:&#x20;The&#x20;use_uid&#x20;option&#x20;to&#x20;pam_wheel.so&#x20;is&#x20;a&#x20;no-op&#x20;on&#x20;debian&#x20;based&#x20;systems.&#x20;It&#x20;is&#x20;acceptable&#x20;but&#x20;not&#x20;required&#x20;as&#x20;these&#x20;systems&#x20;use&#x20;its&#x20;behavior&#x20;as&#x20;default.','[{\"cis\": [\"5.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(1663,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd&#x20;are&#x20;configured','The&#x20;/etc/passwd&#x20;file&#x20;contains&#x20;user&#x20;account&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;utilities&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;utilities&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd&#x20;#&#x20;chmod&#x20;644&#x20;/etc/passwd','[{\"cis\": [\"6.1.2\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1664,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow&#x20;are&#x20;configured','The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;user&#x20;accounts.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/shadow&#x20;:&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/shadow&#x20;#&#x20;chmod&#x20;o-rwx,g-wx&#x20;/etc/shadow','[{\"cis\": [\"6.1.3\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1665,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group&#x20;are&#x20;configured','The&#x20;/etc/group&#x20;file&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.&#x20;The&#x20;command&#x20;below&#x20;allows&#x20;read/write&#x20;access&#x20;for&#x20;root&#x20;and&#x20;read&#x20;access&#x20;for&#x20;everyone&#x20;else.','The&#x20;/etc/group&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users,&#x20;but&#x20;needs&#x20;to&#x20;be&#x20;readable&#x20;as&#x20;this&#x20;information&#x20;is&#x20;used&#x20;with&#x20;many&#x20;non-privileged&#x20;programs.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group&#x20;#&#x20;chmod&#x20;644&#x20;/etc/group','[{\"cis\": [\"6.1.4\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1666,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow&#x20;are&#x20;configured','The&#x20;/etc/gshadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/gshadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/gshadow&#x20;file&#x20;&#40;such&#x20;as&#x20;group&#x20;administrators&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;group','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/gshadow&#x20;:&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/gshadow&#x20;#&#x20;chmod&#x20;o-rwx,g-wx&#x20;/etc/gshadow','[{\"cis\": [\"6.1.5\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1667,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd-&#x20;are&#x20;configured','The&#x20;/etc/passwd-&#x20;file&#x20;contains&#x20;backup&#x20;user&#x20;account&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd-&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/passwd-','[{\"cis\": [\"6.1.6\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1668,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow-&#x20;are&#x20;configured','The&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;one&#x20;of&#x20;the&#x20;following&#x20;chown&#x20;commands&#x20;as&#x20;appropriate&#x20;and&#x20;the&#x20;chmod&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/shadow-&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow-&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/shadow-&#x20;#&#x20;chmod&#x20;o-rwx,g-rw&#x20;/etc/shadow-','[{\"cis\": [\"6.1.7\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1669,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group-&#x20;are&#x20;configured','The&#x20;/etc/group-&#x20;file&#x20;contains&#x20;a&#x20;backup&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/group-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group-&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/group-','[{\"cis\": [\"6.1.8\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1670,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;are&#x20;configured','The&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;one&#x20;of&#x20;the&#x20;following&#x20;chown&#x20;commands&#x20;as&#x20;appropriate&#x20;and&#x20;the&#x20;chmod&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow-&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/gshadow-&#x20;#&#x20;chmod&#x20;o-rwx,g-wx&#x20;/etc/gshadow-','[{\"cis\": [\"6.1.9\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(1671,'Ensure&#x20;password&#x20;fields&#x20;are&#x20;not&#x20;empty','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;password,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;account&#x20;until&#x20;it&#x20;can&#x20;be&#x20;determined&#x20;why&#x20;it&#x20;does&#x20;not&#x20;have&#x20;a&#x20;password:&#x20;#&#x20;passwd&#x20;-l&#x20;&lt;em&gt;&lt;username&gt;&lt;/em&gt;.&#x20;Also,&#x20;check&#x20;to&#x20;see&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;investigate&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.1\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2\"]}]'),(1672,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/passwd','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;+&#x20;entries&#x20;from&#x20;/etc/passwd&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.2\"]}, {\"cis_csc\": [\"16.9\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1673,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/shadow','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;+&#x20;entries&#x20;from&#x20;/etc/shadow&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.3\"]}, {\"cis_csc\": [\"16.9\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1674,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/group','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;+&#x20;entries&#x20;from&#x20;/etc/group&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.4\"]}, {\"cis_csc\": [\"16.9\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(1675,'Ensure&#x20;root&#x20;is&#x20;the&#x20;only&#x20;UID&#x20;0&#x20;account','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','','Remove&#x20;any&#x20;users&#x20;other&#x20;than&#x20;root&#x20;with&#x20;UID&#x20;0&#x20;or&#x20;assign&#x20;them&#x20;a&#x20;new&#x20;UID&#x20;if&#x20;appropriate.','[{\"cis\": [\"6.2.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(1676,'Ensure&#x20;shadow&#x20;group&#x20;is&#x20;empty','The&#x20;shadow&#x20;group&#x20;allows&#x20;system&#x20;programs&#x20;which&#x20;require&#x20;access&#x20;the&#x20;ability&#x20;to&#x20;read&#x20;the&#x20;/etc/shadow&#x20;file.&#x20;No&#x20;users&#x20;should&#x20;be&#x20;assigned&#x20;to&#x20;the&#x20;shadow&#x20;group.','Any&#x20;users&#x20;assigned&#x20;to&#x20;the&#x20;shadow&#x20;group&#x20;would&#x20;be&#x20;granted&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file.&#x20;If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;passwords&#x20;to&#x20;break&#x20;them.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;additional&#x20;user&#x20;accounts.','','Remove&#x20;all&#x20;users&#x20;from&#x20;the&#x20;shadow&#x20;group,&#x20;and&#x20;change&#x20;the&#x20;primary&#x20;group&#x20;of&#x20;any&#x20;users&#x20;with&#x20;shadow&#x20;as&#x20;their&#x20;primary&#x20;group.','[{\"cis\": [\"6.2.20\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(2000,'Ensure&#x20;mounting&#x20;of&#x20;freevxfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;freevxfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;free&#x20;version&#x20;of&#x20;the&#x20;Veritas&#x20;type&#x20;filesystem.&#x20;This&#x20;is&#x20;the&#x20;primary&#x20;filesystem&#x20;type&#x20;for&#x20;HP-UX&#x20;operating&#x20;systems.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/freevxfs.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;freevxfs&#x20;/bin/true&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;freevxfs&#x20;module:&#x20;#&#x20;rmmod&#x20;freevxfs','[{\"cis\": [\"1.1.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(2001,'Ensure&#x20;mounting&#x20;of&#x20;jffs2&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;jffs2&#x20;&#40;journaling&#x20;flash&#x20;filesystem&#x20;2&#41;&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;log-structured&#x20;filesystem&#x20;used&#x20;in&#x20;flash&#x20;memory&#x20;devices.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/jffs2.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;jffs2&#x20;/bin/true&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;jffs2&#x20;module:&#x20;#&#x20;rmmod&#x20;jffs2','[{\"cis\": [\"1.1.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(2002,'Ensure&#x20;mounting&#x20;of&#x20;hfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;hfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;hierarchical&#x20;filesystem&#x20;that&#x20;allows&#x20;you&#x20;to&#x20;mount&#x20;Mac&#x20;OS&#x20;filesystems.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/hfs.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;hfs&#x20;/bin/true&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;hfs&#x20;module:&#x20;#&#x20;rmmod&#x20;hfs','[{\"cis\": [\"1.1.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(2003,'Ensure&#x20;mounting&#x20;of&#x20;hfsplus&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;hfsplus&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;hierarchical&#x20;filesystem&#x20;designed&#x20;to&#x20;replace&#x20;hfs&#x20;that&#x20;allows&#x20;you&#x20;to&#x20;mount&#x20;Mac&#x20;OS&#x20;filesystems.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.confExample:&#x20;vim&#x20;/etc/modprobe.d/hfsplus.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;hfsplus&#x20;/bin/true&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;hfsplus&#x20;module:&#x20;#&#x20;rmmod&#x20;hfsplus','[{\"cis\": [\"1.1.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(2004,'Ensure&#x20;mounting&#x20;of&#x20;udf&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;udf&#x20;filesystem&#x20;type&#x20;is&#x20;the&#x20;universal&#x20;disk&#x20;format&#x20;used&#x20;to&#x20;implement&#x20;ISO/IEC&#x20;13346&#x20;and&#x20;ECMA-167&#x20;specifications.&#x20;This&#x20;is&#x20;an&#x20;open&#x20;vendor&#x20;filesystem&#x20;type&#x20;for&#x20;data&#x20;storage&#x20;on&#x20;a&#x20;broad&#x20;range&#x20;of&#x20;media.&#x20;This&#x20;filesystem&#x20;type&#x20;is&#x20;necessary&#x20;to&#x20;support&#x20;writing&#x20;DVDs&#x20;and&#x20;newer&#x20;optical&#x20;disc&#x20;formats.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/udf.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;udf&#x20;/bin/true&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;udf&#x20;module:&#x20;#&#x20;rmmod&#x20;udf','[{\"cis\": [\"1.1.1.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(2005,'Ensure&#x20;/tmp&#x20;is&#x20;configured','The&#x20;/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Making&#x20;/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hardlink&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hardlink&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','','Configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.&#x20;Example:&#x20;tmpfs&#x20;/tmp&#x20;tmpfs&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;or&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;enable&#x20;systemd&#x20;/tmp&#x20;mounting:&#x20;systemctl&#x20;unmask&#x20;tmp.mount&#x20;systemctl&#x20;enable&#x20;tmp.mount&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;configure&#x20;the&#x20;/tmp&#x20;mount','[{\"cis\": [\"1.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2006,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/tmp.','','Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;configure&#x20;the&#x20;/tmp&#x20;mount:&#x20;[Mount]&#x20;What=tmpfs&#x20;&#x20;Where=/tmp&#x20;&#x20;Type=tmpfs&#x20;&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;and&#x20;run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;enable&#x20;systemd&#x20;/tmp&#x20;mounting:&#x20;systemctl&#x20;unmask&#x20;tmp.mount&#x20;systemctl&#x20;enable&#x20;tmp.mount','[{\"cis\": [\"1.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2007,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;set&#x20;userid&#x20;files.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;set&#x20;userid&#x20;files&#x20;in&#x20;/tmp.','','Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;/tmp&#x20;mount&#x20;options:&#x20;[Mount]&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/tmp','[{\"cis\": [\"1.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2008,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/tmp&#x20;.','','Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;/tmp&#x20;mount&#x20;options:&#x20;[Mount]&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/tmp','[{\"cis\": [\"1.1.5\"]}, {\"cis_csc\": [\"2.6\", \"8\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2009,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var','The&#x20;/var&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;daemons&#x20;and&#x20;other&#x20;system&#x20;services&#x20;to&#x20;temporarily&#x20;store&#x20;dynamic&#x20;data.&#x20;Some&#x20;directories&#x20;created&#x20;by&#x20;these&#x20;processes&#x20;may&#x20;be&#x20;world-writable.','Since&#x20;the&#x20;/var&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2010,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/tmp','The&#x20;/var/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Since&#x20;the&#x20;/var/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;In&#x20;addition,&#x20;making&#x20;/var/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/var/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hardlink&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/tmp.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2011,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/var/tmp','[{\"cis\": [\"1.1.8\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2012,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/var/tmp','[{\"cis\": [\"1.1.9\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2013,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/var/tmp','[{\"cis\": [\"1.1.10\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2014,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log','The&#x20;/var/log&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;system&#x20;services&#x20;to&#x20;store&#x20;log&#x20;data.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;system&#x20;logs&#x20;are&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;logs&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.11\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2015,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log/audit','The&#x20;auditing&#x20;daemon,&#x20;auditd,&#x20;stores&#x20;log&#x20;data&#x20;in&#x20;the&#x20;/var/log/audit&#x20;directory.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;data&#x20;gathered&#x20;by&#x20;auditd&#x20;is&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;the&#x20;audit.log&#x20;file&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.&#x20;The&#x20;audit&#x20;daemon&#x20;calculates&#x20;how&#x20;much&#x20;free&#x20;space&#x20;is&#x20;left&#x20;and&#x20;performs&#x20;actions&#x20;based&#x20;on&#x20;the&#x20;results.&#x20;If&#x20;other&#x20;processes&#x20;&#40;such&#x20;as&#x20;syslog&#41;&#x20;consume&#x20;space&#x20;in&#x20;the&#x20;same&#x20;partition&#x20;as&#x20;auditd,&#x20;it&#x20;may&#x20;not&#x20;perform&#x20;as&#x20;desired.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log/audit.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.12\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2016,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/home','The&#x20;/home&#x20;directory&#x20;is&#x20;used&#x20;to&#x20;support&#x20;disk&#x20;storage&#x20;needs&#x20;of&#x20;local&#x20;users.','If&#x20;the&#x20;system&#x20;is&#x20;intended&#x20;to&#x20;support&#x20;local&#x20;users,&#x20;create&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;the&#x20;/home&#x20;directory&#x20;to&#x20;protect&#x20;against&#x20;resource&#x20;exhaustion&#x20;and&#x20;restrict&#x20;the&#x20;type&#x20;of&#x20;files&#x20;that&#x20;can&#x20;be&#x20;stored&#x20;under&#x20;/home.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/home.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.13\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2017,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition','When&#x20;set&#x20;on&#x20;a&#x20;file&#x20;system,&#x20;this&#x20;option&#x20;prevents&#x20;character&#x20;and&#x20;block&#x20;special&#x20;devices&#x20;from&#x20;being&#x20;defined,&#x20;or&#x20;if&#x20;they&#x20;exist,&#x20;from&#x20;being&#x20;used&#x20;as&#x20;character&#x20;and&#x20;block&#x20;special&#x20;devices.','Since&#x20;the&#x20;user&#x20;partitions&#x20;are&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices.&#x20;&#x20;Note:&#x20;The&#x20;actions&#x20;in&#x20;the&#x20;item&#x20;refer&#x20;to&#x20;the&#x20;/home&#x20;partition,&#x20;which&#x20;is&#x20;the&#x20;default&#x20;user&#x20;partition&#x20;that&#x20;is&#x20;defined&#x20;in&#x20;many&#x20;distributions.&#x20;If&#x20;you&#x20;have&#x20;created&#x20;other&#x20;user&#x20;partitions,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;Remediation&#x20;and&#x20;Audit&#x20;steps&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;partitions&#x20;as&#x20;well.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/home&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/home','[{\"cis\": [\"1.1.14\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2018,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/run/shm&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;special&#x20;devices&#x20;in&#x20;/dev/shm&#x20;partitions.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/dev/shm','[{\"cis\": [\"1.1.15\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2019,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;introducing&#x20;privileged&#x20;programs&#x20;onto&#x20;the&#x20;system&#x20;and&#x20;allowing&#x20;non-root&#x20;users&#x20;to&#x20;execute&#x20;them.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/dev/shm','[{\"cis\": [\"1.1.16\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2020,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;executing&#x20;programs&#x20;from&#x20;shared&#x20;memory.&#x20;This&#x20;deters&#x20;users&#x20;from&#x20;introducing&#x20;potentially&#x20;malicious&#x20;software&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/dev/shm','[{\"cis\": [\"1.1.17\"]}, {\"cis_csc\": [\"2.6\", \"8\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2021,'Disable&#x20;Automounting','autofs&#x20;allows&#x20;automatic&#x20;mounting&#x20;of&#x20;devices,&#x20;typically&#x20;including&#x20;CD/DVDs&#x20;and&#x20;USB&#x20;drives.','With&#x20;automounting&#x20;enabled&#x20;anyone&#x20;with&#x20;physical&#x20;access&#x20;could&#x20;attach&#x20;a&#x20;USB&#x20;drive&#x20;or&#x20;disc&#x20;and&#x20;have&#x20;it&#039;s&#x20;contents&#x20;available&#x20;in&#x20;system&#x20;even&#x20;if&#x20;they&#x20;lacked&#x20;permissions&#x20;to&#x20;mount&#x20;it&#x20;themselves.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;autofs:&#x20;#&#x20;systemctl&#x20;disable&#x20;autofs','[{\"cis\": [\"1.1.22\"]}, {\"cis_csc\": [\"8.4\", \"8.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2022,'Ensure&#x20;AIDE&#x20;is&#x20;installed','AIDE&#x20;takes&#x20;a&#x20;snapshot&#x20;of&#x20;filesystem&#x20;state&#x20;including&#x20;modification&#x20;times,&#x20;permissions,&#x20;and&#x20;file&#x20;hashes&#x20;which&#x20;can&#x20;then&#x20;be&#x20;used&#x20;to&#x20;compare&#x20;against&#x20;the&#x20;current&#x20;state&#x20;of&#x20;the&#x20;filesystem&#x20;to&#x20;detect&#x20;modifications&#x20;to&#x20;the&#x20;system.','By&#x20;monitoring&#x20;the&#x20;filesystem&#x20;state&#x20;compromised&#x20;files&#x20;can&#x20;be&#x20;detected&#x20;to&#x20;prevent&#x20;or&#x20;limit&#x20;the&#x20;exposure&#x20;of&#x20;accidental&#x20;or&#x20;malicious&#x20;misconfigurations&#x20;or&#x20;modified&#x20;binaries.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;AIDE:&#x20;#&#x20;apt-get&#x20;install&#x20;aide&#x20;aide-common.&#x20;Configure&#x20;AIDE&#x20;as&#x20;appropriate&#x20;for&#x20;your&#x20;environment.&#x20;Consult&#x20;the&#x20;AIDE&#x20;documentation&#x20;for&#x20;options.&#x20;Initialize&#x20;AIDE:&#x20;#&#x20;aideinit','[{\"cis\": [\"1.3.1\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2023,'Ensure&#x20;filesystem&#x20;integrity&#x20;is&#x20;regularly&#x20;checked','Periodic&#x20;checking&#x20;of&#x20;the&#x20;filesystem&#x20;integrity&#x20;is&#x20;needed&#x20;to&#x20;detect&#x20;changes&#x20;to&#x20;the&#x20;filesystem.','Periodic&#x20;file&#x20;checking&#x20;allows&#x20;the&#x20;system&#x20;administrator&#x20;to&#x20;determine&#x20;on&#x20;a&#x20;regular&#x20;basis&#x20;if&#x20;critical&#x20;files&#x20;have&#x20;been&#x20;changed&#x20;in&#x20;an&#x20;unauthorized&#x20;fashion.','','Run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;crontab&#x20;-u&#x20;root&#x20;-e&#x20;&#x20;&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;crontab:&#x20;&#x20;&#x20;0&#x20;5&#x20;*&#x20;*&#x20;*&#x20;/usr/bin/aide.wrapper&#x20;--config&#x20;/etc/aide/aide.conf&#x20;--check','[{\"cis\": [\"1.3.2\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2024,'Ensure&#x20;permissions&#x20;on&#x20;bootloader&#x20;config&#x20;are&#x20;configured','The&#x20;grub&#x20;configuration&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;boot&#x20;settings&#x20;and&#x20;passwords&#x20;for&#x20;unlocking&#x20;boot&#x20;options.&#x20;The&#x20;grub&#x20;configuration&#x20;is&#x20;usually&#x20;grub.cfg&#x20;stored&#x20;in&#x20;/boot/grub.','Setting&#x20;the&#x20;permissions&#x20;to&#x20;read&#x20;and&#x20;write&#x20;for&#x20;root&#x20;only&#x20;prevents&#x20;non-root&#x20;users&#x20;from&#x20;seeing&#x20;the&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;them.&#x20;Non-root&#x20;users&#x20;who&#x20;read&#x20;the&#x20;boot&#x20;parameters&#x20;may&#x20;be&#x20;able&#x20;to&#x20;identify&#x20;weaknesses&#x20;in&#x20;security&#x20;upon&#x20;boot&#x20;and&#x20;be&#x20;able&#x20;to&#x20;exploit&#x20;them.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;your&#x20;grub&#x20;configuration:&#x20;chown&#x20;root:root&#x20;/boot/grub/grub.cfg,&#x20;chmod&#x20;og-rwx&#x20;/boot/grub/grub.cfg','[{\"cis\": [\"1.4.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2025,'Ensure&#x20;bootloader&#x20;password&#x20;is&#x20;set','Setting&#x20;the&#x20;boot&#x20;loader&#x20;password&#x20;will&#x20;require&#x20;that&#x20;anyone&#x20;rebooting&#x20;the&#x20;system&#x20;must&#x20;enter&#x20;a&#x20;password&#x20;before&#x20;being&#x20;able&#x20;to&#x20;set&#x20;command&#x20;line&#x20;boot&#x20;parameters.','Requiring&#x20;a&#x20;boot&#x20;password&#x20;upon&#x20;execution&#x20;of&#x20;the&#x20;boot&#x20;loader&#x20;will&#x20;prevent&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;entering&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;the&#x20;boot&#x20;partition.&#x20;This&#x20;prevents&#x20;users&#x20;from&#x20;weakening&#x20;security&#x20;&#40;e.g.&#x20;turning&#x20;off&#x20;SELinux&#x20;at&#x20;boot&#x20;time&#41;.','','Create&#x20;an&#x20;encrypted&#x20;password&#x20;with&#x20;grub-mkpasswd-pbkdf2&#x20;Create&#x20;a&#x20;custom&#x20;/etc/grub.d&#x20;configuration&#x20;file:&#x20;If&#x20;there&#x20;is&#x20;a&#x20;requirement&#x20;to&#x20;be&#x20;able&#x20;to&#x20;boot/reboot&#x20;without&#x20;entering&#x20;the&#x20;password,&#x20;edit&#x20;/etc/grub.d/10_linux&#x20;and&#x20;add&#x20;--unrestricted&#x20;to&#x20;the&#x20;line&#x20;CLASS=&#x20;Example:&#x20;CLASS=&quot;--class&#x20;gnu-linux&#x20;--class&#x20;gnu&#x20;--class&#x20;os&#x20;--unrestricted&quot;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub','[{\"cis\": [\"1.4.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2026,'Ensure&#x20;authentication&#x20;required&#x20;for&#x20;single&#x20;user&#x20;mode','Single&#x20;user&#x20;mode&#x20;is&#x20;used&#x20;for&#x20;recovery&#x20;when&#x20;the&#x20;system&#x20;detects&#x20;an&#x20;issue&#x20;during&#x20;boot&#x20;or&#x20;by&#x20;manual&#x20;selection&#x20;from&#x20;the&#x20;bootloader.','Requiring&#x20;authentication&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;prevents&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;rebooting&#x20;the&#x20;system&#x20;into&#x20;single&#x20;user&#x20;to&#x20;gain&#x20;root&#x20;privileges&#x20;without&#x20;credentials.','','Run&#x20;the&#x20;following&#x20;command&#x20;and&#x20;follow&#x20;the&#x20;prompts&#x20;to&#x20;set&#x20;a&#x20;password&#x20;for&#x20;the&#x20;root&#x20;user:&#x20;#&#x20;passwd&#x20;root','[{\"cis\": [\"1.4.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2027,'Ensure&#x20;core&#x20;dumps&#x20;are&#x20;restricted','A&#x20;core&#x20;dump&#x20;is&#x20;the&#x20;memory&#x20;of&#x20;an&#x20;executable&#x20;program.&#x20;It&#x20;is&#x20;generally&#x20;used&#x20;to&#x20;determine&#x20;why&#x20;a&#x20;program&#x20;aborted.&#x20;It&#x20;can&#x20;also&#x20;be&#x20;used&#x20;to&#x20;glean&#x20;confidential&#x20;information&#x20;from&#x20;a&#x20;core&#x20;file.&#x20;The&#x20;system&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;a&#x20;soft&#x20;limit&#x20;for&#x20;core&#x20;dumps,&#x20;but&#x20;this&#x20;can&#x20;be&#x20;overridden&#x20;by&#x20;the&#x20;user.','Setting&#x20;a&#x20;hard&#x20;limit&#x20;on&#x20;core&#x20;dumps&#x20;prevents&#x20;users&#x20;from&#x20;overriding&#x20;the&#x20;soft&#x20;variable.&#x20;If&#x20;core&#x20;dumps&#x20;are&#x20;required,&#x20;consider&#x20;setting&#x20;limits&#x20;for&#x20;user&#x20;groups&#x20;&#40;see&#x20;limits.conf&#40;5&#41;&#x20;&#41;.&#x20;In&#x20;addition,&#x20;setting&#x20;the&#x20;fs.suid_dumpable&#x20;variable&#x20;to&#x20;0&#x20;will&#x20;prevent&#x20;setuid&#x20;programs&#x20;from&#x20;dumping&#x20;core.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;/etc/security/limits.conf&#x20;or&#x20;a&#x20;/etc/security/limits.d&#47;&#42;&#x20;file:&#x20;*&#x20;hard&#x20;core&#x20;0&#x20;Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;fs.suid_dumpable&#x20;=&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;fs.suid_dumpable=0','[{\"cis\": [\"1.5.1\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2028,'Ensure&#x20;XD/NX&#x20;support&#x20;is&#x20;enabled','Recent&#x20;processors&#x20;in&#x20;the&#x20;x86&#x20;family&#x20;support&#x20;the&#x20;ability&#x20;to&#x20;prevent&#x20;code&#x20;execution&#x20;on&#x20;a&#x20;per&#x20;memory&#x20;page&#x20;basis.&#x20;Generically&#x20;and&#x20;on&#x20;AMD&#x20;processors,&#x20;this&#x20;ability&#x20;is&#x20;called&#x20;No&#x20;Execute&#x20;&#40;NX&#41;,&#x20;while&#x20;on&#x20;Intel&#x20;processors&#x20;it&#x20;is&#x20;called&#x20;Execute&#x20;Disable&#x20;&#40;XD&#41;.&#x20;This&#x20;ability&#x20;can&#x20;help&#x20;prevent&#x20;exploitation&#x20;of&#x20;buffer&#x20;overflow&#x20;vulnerabilities&#x20;and&#x20;should&#x20;be&#x20;activated&#x20;whenever&#x20;possible.&#x20;Extra&#x20;steps&#x20;must&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;that&#x20;this&#x20;protection&#x20;is&#x20;enabled,&#x20;particularly&#x20;on&#x20;32-bit&#x20;x86&#x20;systems.&#x20;Other&#x20;processors,&#x20;such&#x20;as&#x20;Itanium&#x20;and&#x20;POWER,&#x20;have&#x20;included&#x20;such&#x20;support&#x20;since&#x20;inception&#x20;and&#x20;the&#x20;standard&#x20;kernel&#x20;for&#x20;those&#x20;platforms&#x20;supports&#x20;the&#x20;feature.','Enabling&#x20;any&#x20;feature&#x20;that&#x20;can&#x20;protect&#x20;against&#x20;buffer&#x20;overflow&#x20;attacks&#x20;enhances&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.','','On&#x20;32&#x20;bit&#x20;systems&#x20;install&#x20;a&#x20;kernel&#x20;with&#x20;PAE&#x20;support,&#x20;no&#x20;installation&#x20;is&#x20;required&#x20;on&#x20;64&#x20;bit&#x20;systems:&#x20;If&#x20;necessary&#x20;configure&#x20;your&#x20;bootloader&#x20;to&#x20;load&#x20;the&#x20;new&#x20;kernel&#x20;and&#x20;reboot&#x20;the&#x20;system.&#x20;You&#x20;may&#x20;need&#x20;to&#x20;enable&#x20;NX&#x20;or&#x20;XD&#x20;support&#x20;in&#x20;your&#x20;bios.','[{\"cis\": [\"1.5.2\"]}, {\"cis_csc\": [\"8.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2029,'Ensure&#x20;address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;enabled','Address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;an&#x20;exploit&#x20;mitigation&#x20;technique&#x20;which&#x20;randomly&#x20;arranges&#x20;the&#x20;address&#x20;space&#x20;of&#x20;key&#x20;data&#x20;areas&#x20;of&#x20;a&#x20;process.','Randomly&#x20;placing&#x20;virtual&#x20;memory&#x20;regions&#x20;will&#x20;make&#x20;it&#x20;difficult&#x20;to&#x20;write&#x20;memory&#x20;page&#x20;exploits&#x20;as&#x20;the&#x20;memory&#x20;placement&#x20;will&#x20;be&#x20;consistently&#x20;shifting.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;kernel.randomize_va_space&#x20;=&#x20;2&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;kernel.randomize_va_space=2','[{\"cis\": [\"1.5.3\"]}, {\"cis_csc\": [\"8.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2030,'Ensure&#x20;prelink&#x20;is&#x20;disabled','prelink&#x20;is&#x20;a&#x20;program&#x20;that&#x20;modifies&#x20;ELF&#x20;shared&#x20;libraries&#x20;and&#x20;ELF&#x20;dynamically&#x20;linked&#x20;binaries&#x20;in&#x20;such&#x20;a&#x20;way&#x20;that&#x20;the&#x20;time&#x20;needed&#x20;for&#x20;the&#x20;dynamic&#x20;linker&#x20;to&#x20;perform&#x20;relocations&#x20;at&#x20;startup&#x20;significantly&#x20;decreases.','The&#x20;prelinking&#x20;feature&#x20;can&#x20;interfere&#x20;with&#x20;the&#x20;operation&#x20;of&#x20;AIDE,&#x20;because&#x20;it&#x20;changes&#x20;binaries.&#x20;Prelinking&#x20;can&#x20;also&#x20;increase&#x20;the&#x20;vulnerability&#x20;of&#x20;the&#x20;system&#x20;if&#x20;a&#x20;malicious&#x20;user&#x20;is&#x20;able&#x20;to&#x20;compromise&#x20;a&#x20;common&#x20;library&#x20;such&#x20;as&#x20;libc.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;restore&#x20;binaries&#x20;to&#x20;normal&#x20;and&#x20;uninstall&#x20;prelink:&#x20;prelink&#x20;-ua&#x20;&amp;&amp;&#x20;yum&#x20;remove&#x20;prelink','[{\"cis\": [\"1.5.4\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2031,'Ensure&#x20;SELinux&#x20;is&#x20;enabled&#x20;in&#x20;the&#x20;bootloader&#x20;configuration','Configure&#x20;SELINUX&#x20;to&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;and&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;not&#x20;been&#x20;overwritten&#x20;by&#x20;the&#x20;grub&#x20;boot&#x20;parameters.','SELinux&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;your&#x20;grub&#x20;configuration&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;not&#x20;overridden.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;configure&#x20;GRUB&#x20;and&#x20;PAM&#x20;and&#x20;to&#x20;create&#x20;/.autorelabel:&#x20;&#x20;#&#x20;selinux-activate&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;the&#x20;following&#x20;parameters&#x20;to&#x20;the&#x20;GRUB_CMDLINE_LINUX=&#x20;line:&#x20;&#x20;&#x20;&#x20;&#x20;selinux=1&#x20;&#x20;security=selinux&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;example:&#x20;&#x20;&#x20;GRUB_CMDLINE_LINUX_DEFAULT=&quot;quiet&quot;&#x20;&#x20;&#x20;&#x20;&#x20;GRUB_CMDLINE_LINUX=&quot;selinux=1&#x20;security=selinux&#x20;enforcing=1&#x20;audit=1&quot;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2configuration:&#x20;&#x20;&#x20;&#x20;#&#x20;update-grub','[{\"cis\": [\"1.6.1.1\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2032,'Ensure&#x20;the&#x20;SELinux&#x20;state&#x20;is&#x20;enforcing','Set&#x20;SELinux&#x20;to&#x20;enable&#x20;when&#x20;the&#x20;system&#x20;is&#x20;booted.','SELinux&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;in&#x20;effect&#x20;at&#x20;all&#x20;times.','','Edit&#x20;the&#x20;/etc/selinux/config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;SELINUX&#x20;parameter:&#x20;SELINUX=enforcing&#x20;&#x20;&#x20;Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;the&#x20;following&#x20;parameters&#x20;to&#x20;the&#x20;GRUB_CMDLINE_LINUX=&#x20;line:&#x20;enforcing=1&#x20;&#x20;&#x20;&#x20;Example:&#x20;&#x20;&#x20;GRUB_CMDLINE_LINUX_DEFAULT=&quot;quiet&quot;&#x20;&#x20;GRUB_CMDLINE_LINUX=&quot;selinux=1&#x20;security=selinux&#x20;enforcing=1&#x20;audit=1&quot;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub','[{\"cis\": [\"1.6.1.2\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2033,'Ensure&#x20;SELinux&#x20;policy&#x20;is&#x20;configured','Configure&#x20;SELinux&#x20;to&#x20;meet&#x20;or&#x20;exceed&#x20;the&#x20;default&#x20;targeted&#x20;policy,&#x20;which&#x20;constrains&#x20;daemons&#x20;and&#x20;system&#x20;software&#x20;only.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;at&#x20;least&#x20;the&#x20;default&#x20;recommendations&#x20;are&#x20;met.','','Edit&#x20;the&#x20;/etc/selinux/config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;SELINUXTYPE&#x20;parameter:&#x20;SELINUXTYPE=targeted','[{\"cis\": [\"1.6.1.3\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2034,'Ensure&#x20;no&#x20;unconfined&#x20;daemons&#x20;exist','Daemons&#x20;that&#x20;are&#x20;not&#x20;defined&#x20;in&#x20;SELinux&#x20;policy&#x20;will&#x20;inherit&#x20;the&#x20;security&#x20;context&#x20;of&#x20;their&#x20;parent&#x20;process.','Since&#x20;daemons&#x20;are&#x20;launched&#x20;and&#x20;descend&#x20;from&#x20;the&#x20;init&#x20;process,&#x20;they&#x20;will&#x20;inherit&#x20;the&#x20;security&#x20;context&#x20;label&#x20;initrc_t&#x20;.&#x20;This&#x20;could&#x20;cause&#x20;the&#x20;unintended&#x20;consequence&#x20;of&#x20;giving&#x20;the&#x20;process&#x20;more&#x20;permission&#x20;than&#x20;it&#x20;requires.','','Investigate&#x20;any&#x20;unconfined&#x20;daemons&#x20;found&#x20;during&#x20;the&#x20;audit&#x20;action.&#x20;They&#x20;may&#x20;need&#x20;to&#x20;have&#x20;an&#x20;existing&#x20;security&#x20;context&#x20;assigned&#x20;to&#x20;them&#x20;or&#x20;a&#x20;policy&#x20;built&#x20;for&#x20;them.','[{\"cis\": [\"1.6.1.4\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2035,'Ensure&#x20;AppArmor&#x20;is&#x20;enabled&#x20;in&#x20;the&#x20;bootloader&#x20;configuration','Configure&#x20;AppArmor&#x20;to&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;and&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;not&#x20;been&#x20;overwrittenby&#x20;the&#x20;bootloader&#x20;boot&#x20;parameters.','AppArmor&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;your&#x20;grub&#x20;configuration&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;not&#x20;overridden.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;the&#x20;appermor=1&#x20;and&#x20;security=apparmor&#x20;parameters&#x20;to&#x20;the&#x20;GRUB_CMDLINE_LINUX=&#x20;line&#x20;&#x20;&#x20;GRUB_CMDLINE_LINUX=&quot;apparmor=1&#x20;security=apparmor&quot;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;update&#x20;the&#x20;grub&#x20;configuration&#x20;#&#x20;update-grub&#x20;&#x20;&#x20;&#x20;Notes:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.','[{\"cis\": [\"1.6.2.1\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2036,'Ensure&#x20;all&#x20;AppArmor&#x20;Profiles&#x20;are&#x20;enforcing','AppArmor&#x20;profiles&#x20;define&#x20;what&#x20;resources&#x20;applicatons&#x20;are&#x20;able&#x20;to&#x20;access.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;any&#x20;policies&#x20;that&#x20;exist&#x20;on&#x20;the&#x20;system&#x20;are&#x20;activated..','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;all&#x20;profiles&#x20;to&#x20;enforce&#x20;mode:&#x20;#&#x20;aa-enforce&#x20;/etc/apparmor.d&#47;&#42;&#x20;Any&#x20;unconfined&#x20;processes&#x20;may&#x20;need&#x20;to&#x20;have&#x20;a&#x20;profile&#x20;created&#x20;or&#x20;activated&#x20;for&#x20;them&#x20;and&#x20;then&#x20;be&#x20;restarted.','[{\"cis\": [\"1.6.2.2\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2037,'Ensure&#x20;SELinux&#x20;or&#x20;AppArmor&#x20;are&#x20;installed','SELinux&#x20;and&#x20;AppArmor&#x20;provide&#x20;Mandatory&#x20;Access&#x20;Controls.','Without&#x20;a&#x20;Mandatory&#x20;Access&#x20;Control&#x20;system&#x20;installed&#x20;only&#x20;the&#x20;default&#x20;Discretionary&#x20;Access&#x20;Control&#x20;system&#x20;will&#x20;be&#x20;available.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;install&#x20;SELinux&#x20;or&#x20;apparmor:&#x20;#&#x20;apt-get&#x20;install&#x20;selinux-basics&#x20;Or:&#x20;#&#x20;apt-get&#x20;install&#x20;apparmor&#x20;apparmor-profiles&#x20;apparmor-utils','[{\"cis\": [\"1.6.3\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2038,'Ensure&#x20;message&#x20;of&#x20;the&#x20;day&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/motd&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;or&#x20;v.','[{\"cis\": [\"1.7.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}]'),(2039,'Ensure&#x20;local&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;or&#x20;v&#x20;,&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue','[{\"cis\": [\"1.7.1.2\"]}, {\"cis_csc\": [\"5.1\"]}]'),(2040,'Ensure&#x20;remote&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;or&#x20;v:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue.net','[{\"cis\": [\"1.7.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}]'),(2041,'Ensure&#x20;permissions&#x20;on&#x20;/etc/motd&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.','If&#x20;the&#x20;/etc/motd&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/motd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/motd&#x20;#&#x20;chmod&#x20;644&#x20;/etc/motd','[{\"cis\": [\"1.7.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2042,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.','If&#x20;the&#x20;/etc/issue&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue','[{\"cis\": [\"1.7.1.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2043,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue.net&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.','If&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue.net:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue.net&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue.net','[{\"cis\": [\"1.7.1.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2044,'Ensure&#x20;GDM&#x20;login&#x20;banner&#x20;is&#x20;configured','GDM&#x20;is&#x20;the&#x20;GNOME&#x20;Display&#x20;Manager&#x20;which&#x20;handles&#x20;graphical&#x20;login&#x20;for&#x20;GNOME&#x20;based&#x20;systems.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/gdm3/greeter.dconf-defaults&#x20;and&#x20;add:&#x20;[org/gnome/login-screen],&#x20;banner-message-enable=true,&#x20;banner-message-text=&#039;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&#039;','[{\"cis\": [\"1.7.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2045,'Ensure&#x20;updates,&#x20;patches,&#x20;and&#x20;additional&#x20;security&#x20;software&#x20;are&#x20;installed','Periodically&#x20;patches&#x20;are&#x20;released&#x20;for&#x20;included&#x20;software&#x20;either&#x20;due&#x20;to&#x20;security&#x20;flaws&#x20;or&#x20;to&#x20;include&#x20;additional&#x20;functionality.','Newer&#x20;patches&#x20;may&#x20;contain&#x20;security&#x20;enhancements&#x20;that&#x20;would&#x20;not&#x20;be&#x20;available&#x20;through&#x20;the&#x20;latest&#x20;full&#x20;update.&#x20;As&#x20;a&#x20;result,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;latest&#x20;software&#x20;patches&#x20;be&#x20;used&#x20;to&#x20;take&#x20;advantage&#x20;of&#x20;the&#x20;latest&#x20;functionality.&#x20;As&#x20;with&#x20;any&#x20;software&#x20;installation,&#x20;organizations&#x20;need&#x20;to&#x20;determine&#x20;if&#x20;a&#x20;given&#x20;update&#x20;meets&#x20;their&#x20;requirements&#x20;and&#x20;verify&#x20;the&#x20;compatibility&#x20;and&#x20;supportability&#x20;of&#x20;any&#x20;additional&#x20;software&#x20;against&#x20;the&#x20;update&#x20;revision&#x20;that&#x20;is&#x20;selected.','','Use&#x20;your&#x20;package&#x20;manager&#x20;to&#x20;update&#x20;all&#x20;packages&#x20;on&#x20;the&#x20;system&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;Notes:&#x20;Site&#x20;policy&#x20;may&#x20;mandate&#x20;a&#x20;testing&#x20;period&#x20;before&#x20;install&#x20;onto&#x20;production&#x20;systems&#x20;for&#x20;available&#x20;updates.','[{\"cis\": [\"1.8\"]}, {\"cis_csc\": [\"3.4\", \"3.5\"]}, {\"pci_dss\": [\"5.2\"]}, {\"nist_800_53\": [\"AU.6\", \"SI.4\"]}, {\"gpg_13\": [\"4.2\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"A1.2\"]}]'),(2046,'Ensure&#x20;xinetd&#x20;is&#x20;not&#x20;installed','The&#x20;eXtended&#x20;InterNET&#x20;Daemon&#x20;&#40;xinetd&#41;&#x20;is&#x20;an&#x20;open&#x20;source&#x20;super&#x20;daemon&#x20;that&#x20;replaced&#x20;the&#x20;original&#x20;inetd&#x20;daemon.&#x20;The&#x20;xinetddaemon&#x20;listens&#x20;for&#x20;well&#x20;known&#x20;services&#x20;and&#x20;dispatches&#x20;the&#x20;appropriate&#x20;daemon&#x20;to&#x20;properly&#x20;respond&#x20;to&#x20;service&#x20;requests.','If&#x20;there&#x20;are&#x20;no&#x20;xinetd&#x20;services&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;xinetd:&#x20;#&#x20;apt-get&#x20;remove&#x20;xinetd&#x20;#&#x20;apt-get&#x20;purge&#x20;xinetd','[{\"cis\": [\"2.1.1\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2047,'Ensure&#x20;openbsd-inetd&#x20;is&#x20;not&#x20;installed','The&#x20;inetd&#x20;daemon&#x20;listens&#x20;for&#x20;well&#x20;known&#x20;services&#x20;and&#x20;dispatches&#x20;the&#x20;appropriate&#x20;daemon&#x20;to&#x20;properly&#x20;respond&#x20;to&#x20;service&#x20;requests.','If&#x20;there&#x20;are&#x20;no&#x20;inetd&#x20;services&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;daemon&#x20;be&#x20;removed.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;openbsd-inetd:&#x20;apt-get&#x20;remove&#x20;openbsd-inetd','[{\"cis\": [\"2.1.2\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2048,'Ensure&#x20;time&#x20;synchronization&#x20;is&#x20;in&#x20;use','System&#x20;time&#x20;should&#x20;be&#x20;synchronized&#x20;between&#x20;all&#x20;systems&#x20;in&#x20;an&#x20;environment.&#x20;This&#x20;is&#x20;typically&#x20;done&#x20;by&#x20;establishing&#x20;an&#x20;authoritative&#x20;time&#x20;server&#x20;or&#x20;set&#x20;of&#x20;servers&#x20;and&#x20;having&#x20;all&#x20;systems&#x20;synchronize&#x20;their&#x20;clocks&#x20;to&#x20;them.','Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;like&#x20;Kerberos&#x20;and&#x20;also&#x20;ensures&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise,&#x20;which&#x20;aids&#x20;in&#x20;forensic&#x20;investigations.','','On&#x20;physical&#x20;systems&#x20;or&#x20;virtual&#x20;systems&#x20;where&#x20;host&#x20;based&#x20;time&#x20;synchronization&#x20;is&#x20;not&#x20;available&#x20;install&#x20;NTP&#x20;or&#x20;chrony&#x20;using&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands:&#x20;#&#x20;apt-get&#x20;install&#x20;ntp&#x20;#&#x20;apt-get&#x20;install&#x20;chrony&#x20;&#x20;&#x20;&#x20;&#x20;On&#x20;virtual&#x20;systems&#x20;where&#x20;host&#x20;based&#x20;time&#x20;synchronization&#x20;is&#x20;available&#x20;consult&#x20;your&#x20;virtualization&#x20;software&#x20;documentation&#x20;and&#x20;setup&#x20;host&#x20;based&#x20;synchronization.','[{\"cis\": [\"2.2.1.1\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"10.4\"]}, {\"nist_800_53\": [\"AU.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2049,'Ensure&#x20;ntp&#x20;is&#x20;configured','ntp&#x20;is&#x20;a&#x20;daemon&#x20;which&#x20;implements&#x20;the&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;.&#x20;It&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;NTP&#x20;can&#x20;be&#x20;found&#x20;at&#x20;http://www.ntp.org.&#x20;ntp&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system.','If&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.','','Add&#x20;or&#x20;edit&#x20;restrict&#x20;lines&#x20;in&#x20;/etc/ntp.conf&#x20;to&#x20;match&#x20;the&#x20;following:&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;restrict&#x20;-6&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;Add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;to&#x20;/etc/ntp.conf&#x20;as&#x20;appropriate:&#x20;server&#x20;&lt;remote-server&gt;&#x20;Configure&#x20;ntp&#x20;to&#x20;run&#x20;as&#x20;the&#x20;ntp&#x20;user&#x20;by&#x20;adding&#x20;or&#x20;editing&#x20;the&#x20;/etc/init.d/ntp&#x20;file:&#x20;RUNASUSER=ntp','[{\"cis\": [\"2.2.1.2\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2050,'Ensure&#x20;chrony&#x20;is&#x20;configured','chrony&#x20;is&#x20;a&#x20;daemon&#x20;which&#x20;implements&#x20;the&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;chrony&#x20;can&#x20;be&#x20;found&#x20;at&#x20;http://chrony.tuxfamily.org/.&#x20;chrony&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.','If&#x20;chrony&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;chrony&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system.','','Add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;to&#x20;/etc/chrony/chrony.conf&#x20;as&#x20;appropriate:&#x20;server&#x20;&lt;remote-server&gt;','[{\"cis\": [\"2.2.1.3\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2051,'Ensure&#x20;the&#x20;X&#x20;Window&#x20;system&#x20;is&#x20;not&#x20;installed','The&#x20;X&#x20;Window&#x20;System&#x20;provides&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;where&#x20;users&#x20;can&#x20;have&#x20;multiple&#x20;windows&#x20;in&#x20;which&#x20;to&#x20;run&#x20;programs&#x20;and&#x20;various&#x20;add&#x20;on.&#x20;The&#x20;X&#x20;Windows&#x20;system&#x20;is&#x20;typically&#x20;used&#x20;on&#x20;workstations&#x20;where&#x20;users&#x20;login,&#x20;but&#x20;not&#x20;on&#x20;servers&#x20;where&#x20;users&#x20;typically&#x20;do&#x20;not&#x20;login.','Unless&#x20;your&#x20;organization&#x20;specifically&#x20;requires&#x20;graphical&#x20;login&#x20;access&#x20;via&#x20;X&#x20;Windows,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;X&#x20;Windows&#x20;System&#x20;packages:&#x20;apt-get&#x20;remove&#x20;xserver-xorg*','[{\"cis\": [\"2.2.2\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(2052,'Ensure&#x20;Avahi&#x20;Server&#x20;is&#x20;not&#x20;enabled','Avahi&#x20;is&#x20;a&#x20;free&#x20;zeroconf&#x20;implementation,&#x20;including&#x20;a&#x20;system&#x20;for&#x20;multicast&#x20;DNS/DNS-SD&#x20;service&#x20;discovery.&#x20;Avahi&#x20;allows&#x20;programs&#x20;to&#x20;publish&#x20;and&#x20;discover&#x20;services&#x20;and&#x20;hosts&#x20;running&#x20;on&#x20;a&#x20;local&#x20;network&#x20;with&#x20;no&#x20;specific&#x20;configuration.&#x20;For&#x20;example,&#x20;a&#x20;user&#x20;can&#x20;plug&#x20;a&#x20;computer&#x20;into&#x20;a&#x20;network&#x20;and&#x20;Avahi&#x20;automatically&#x20;finds&#x20;printers&#x20;to&#x20;print&#x20;to,&#x20;files&#x20;to&#x20;look&#x20;at&#x20;and&#x20;people&#x20;to&#x20;talk&#x20;to,&#x20;as&#x20;well&#x20;as&#x20;network&#x20;services&#x20;running&#x20;on&#x20;the&#x20;machine.','Automatic&#x20;discovery&#x20;of&#x20;network&#x20;services&#x20;is&#x20;not&#x20;normally&#x20;required&#x20;for&#x20;system&#x20;functionality.&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;disable&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attach&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;avahi-daemon:&#x20;#&#x20;systemctl&#x20;disable&#x20;avahi-daemon','[{\"cis\": [\"2.2.3\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2053,'Ensure&#x20;CUPS&#x20;is&#x20;not&#x20;enabled','The&#x20;Common&#x20;Unix&#x20;Print&#x20;System&#x20;&#40;CUPS&#41;&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;print&#x20;to&#x20;both&#x20;local&#x20;and&#x20;network&#x20;printers.&#x20;A&#x20;system&#x20;running&#x20;CUPS&#x20;can&#x20;also&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;remote&#x20;systems&#x20;and&#x20;print&#x20;them&#x20;to&#x20;local&#x20;printers.&#x20;It&#x20;also&#x20;provides&#x20;a&#x20;web&#x20;based&#x20;remote&#x20;administration&#x20;capability.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;need&#x20;to&#x20;print&#x20;jobs&#x20;or&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;systems,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;CUPS&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;cups:&#x20;#&#x20;systemctl&#x20;disable&#x20;cups','[{\"cis\": [\"2.2.4\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2054,'Ensure&#x20;DHCP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Dynamic&#x20;Host&#x20;Configuration&#x20;Protocol&#x20;&#40;DHCP&#41;&#x20;is&#x20;a&#x20;service&#x20;that&#x20;allows&#x20;machines&#x20;to&#x20;be&#x20;dynamically&#x20;assigned&#x20;IP&#x20;addresses.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;set&#x20;up&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DHCP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;dhcpd:&#x20;#&#x20;systemctl&#x20;disable&#x20;isc-dhcp-server&#x20;#&#x20;systemctl&#x20;disable&#x20;isc-dhcp-server6','[{\"cis\": [\"2.2.5\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2055,'Ensure&#x20;LDAP&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;slapd:&#x20;#&#x20;systemctl&#x20;disable&#x20;slapd','[{\"cis\": [\"2.2.6\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2056,'Ensure&#x20;NFS&#x20;and&#x20;RPC&#x20;are&#x20;not&#x20;enabled','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;export&#x20;NFS&#x20;shares&#x20;or&#x20;act&#x20;as&#x20;an&#x20;NFS&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;these&#x20;services&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;nfs&#x20;and&#x20;rpcbind:&#x20;#&#x20;systemctl&#x20;disable&#x20;nfs-server&#x20;#&#x20;systemctl&#x20;disable&#x20;rpcbind','[{\"cis\": [\"2.2.7\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2057,'Ensure&#x20;DNS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Domain&#x20;Name&#x20;System&#x20;&#40;DNS&#41;&#x20;is&#x20;a&#x20;hierarchical&#x20;naming&#x20;system&#x20;that&#x20;maps&#x20;names&#x20;to&#x20;IP&#x20;addresses&#x20;for&#x20;computers,&#x20;services&#x20;and&#x20;other&#x20;resources&#x20;connected&#x20;to&#x20;a&#x20;network.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;designated&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DNS&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;named:&#x20;#&#x20;systemctl&#x20;disable&#x20;bind9','[{\"cis\": [\"2.2.8\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2058,'Ensure&#x20;FTP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;FTP&#41;&#x20;provides&#x20;networked&#x20;computers&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;transfer&#x20;files.','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;sftp&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;vsftpd:&#x20;#&#x20;systemctl&#x20;disable&#x20;vsftpd','[{\"cis\": [\"2.2.9\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2059,'Ensure&#x20;HTTP&#x20;Server&#x20;is&#x20;not&#x20;enabled','HTTP&#x20;or&#x20;web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;apache2:&#x20;#&#x20;systemctl&#x20;disable&#x20;apache2','[{\"cis\": [\"2.2.10\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2060,'Ensure&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;is&#x20;not&#x20;enabled','exim&#x20;is&#x20;an&#x20;open&#x20;source&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;POP3&#x20;and/or&#x20;IMAP&#x20;servers&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;by&#x20;this&#x20;system,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;exim:&#x20;#&#x20;apt-get&#x20;remove&#x20;exim4;&#x20;#&#x20;apt-get&#x20;purge&#x20;exim4','[{\"cis\": [\"2.2.11\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2061,'Ensure&#x20;Samba&#x20;is&#x20;not&#x20;enabled','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Small&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.&#x20;Windows&#x20;desktop&#x20;users&#x20;will&#x20;be&#x20;able&#x20;to&#x20;mount&#x20;these&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;as&#x20;letter&#x20;drives&#x20;on&#x20;their&#x20;systems.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;service&#x20;can&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;smbd:&#x20;#&#x20;systemctl&#x20;disable&#x20;smbd','[{\"cis\": [\"2.2.12\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2062,'Ensure&#x20;HTTP&#x20;Proxy&#x20;Server&#x20;is&#x20;not&#x20;enabled','Squid&#x20;is&#x20;a&#x20;standard&#x20;proxy&#x20;server&#x20;used&#x20;in&#x20;many&#x20;distributions&#x20;and&#x20;environments.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;proxy&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;squid:&#x20;#&#x20;systemctl&#x20;disable&#x20;squid','[{\"cis\": [\"2.2.13\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2063,'Ensure&#x20;SNMP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;can&#x20;communicate&#x20;using&#x20;SNMP&#x20;v1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;Unless&#x20;absolutely&#x20;necessary,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;SNMP&#x20;service&#x20;not&#x20;be&#x20;used.&#x20;If&#x20;SNMP&#x20;is&#x20;required&#x20;the&#x20;server&#x20;should&#x20;be&#x20;configured&#x20;to&#x20;disallow&#x20;SNMP&#x20;v1.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;snmpd:&#x20;#&#x20;systemctl&#x20;disable&#x20;snmpd','[{\"cis\": [\"2.2.14\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2064,'Ensure&#x20;mail&#x20;transfer&#x20;agent&#x20;is&#x20;configured&#x20;for&#x20;local-only&#x20;mode','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','The&#x20;software&#x20;for&#x20;all&#x20;Mail&#x20;Transfer&#x20;Agents&#x20;is&#x20;complex&#x20;and&#x20;most&#x20;have&#x20;a&#x20;long&#x20;history&#x20;of&#x20;security&#x20;issues.&#x20;While&#x20;it&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;system&#x20;can&#x20;process&#x20;local&#x20;mail&#x20;messages,&#x20;it&#x20;is&#x20;not&#x20;necessary&#x20;to&#x20;have&#x20;the&#x20;MTA&#039;s&#x20;daemon&#x20;listening&#x20;on&#x20;a&#x20;port&#x20;unless&#x20;the&#x20;server&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server&#x20;that&#x20;receives&#x20;and&#x20;processes&#x20;mail&#x20;from&#x20;other&#x20;systems.','','Edit&#x20;/etc/postfix/main.cf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;RECEIVING&#x20;MAIL&#x20;section.&#x20;If&#x20;the&#x20;line&#x20;already&#x20;exists,&#x20;change&#x20;it&#x20;to&#x20;look&#x20;like&#x20;the&#x20;line&#x20;below:&#x20;inet_interfaces&#x20;=&#x20;loopback-only&#x20;.&#x20;Restart&#x20;postfix:&#x20;#&#x20;systemctl&#x20;restart&#x20;postfix','[{\"cis\": [\"2.2.15\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AC.4\", \"SC.7\"]}, {\"tsc\": [\"CC5.2\", \"CC6.4\", \"CC6.6\", \"CC6.7\"]}]'),(2065,'Ensure&#x20;rsync&#x20;service&#x20;is&#x20;not&#x20;enabled','The&#x20;rsyncd&#x20;service&#x20;can&#x20;be&#x20;used&#x20;to&#x20;synchronize&#x20;files&#x20;between&#x20;systems&#x20;over&#x20;network&#x20;links.','The&#x20;rsyncd&#x20;service&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;rsync:&#x20;#&#x20;systemctl&#x20;disable&#x20;rsync','[{\"cis\": [\"2.2.16\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(2066,'Ensure&#x20;NIS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;&#x20;&#40;formally&#x20;known&#x20;as&#x20;Yellow&#x20;Pages&#41;&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;for&#x20;distributing&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;server&#x20;is&#x20;a&#x20;collection&#x20;of&#x20;programs&#x20;that&#x20;allow&#x20;for&#x20;the&#x20;distribution&#x20;of&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;and&#x20;other,&#x20;more&#x20;secure&#x20;services&#x20;be&#x20;used','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;nis:&#x20;#&#x20;systemctl&#x20;disable&#x20;nis','[{\"cis\": [\"2.2.17\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2067,'Ensure&#x20;NIS&#x20;Client&#x20;is&#x20;not&#x20;installed','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;,&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;used&#x20;to&#x20;distribute&#x20;system&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed.','','Uninstall&#x20;the&#x20;nis&#x20;package:&#x20;#&#x20;apt-get&#x20;remove&#x20;nis','[{\"cis\": [\"2.3.1\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2068,'Ensure&#x20;rsh&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;rshpackage&#x20;contains&#x20;the&#x20;client&#x20;commands&#x20;for&#x20;the&#x20;rsh&#x20;services.','These&#x20;legacy&#x20;clients&#x20;contain&#x20;numerous&#x20;security&#x20;exposures&#x20;and&#x20;have&#x20;been&#x20;replaced&#x20;with&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;package.&#x20;Even&#x20;if&#x20;the&#x20;server&#x20;is&#x20;removed,&#x20;it&#x20;is&#x20;best&#x20;to&#x20;ensure&#x20;the&#x20;clients&#x20;are&#x20;also&#x20;removed&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;inadvertently&#x20;attempting&#x20;to&#x20;use&#x20;these&#x20;commands&#x20;and&#x20;therefore&#x20;exposing&#x20;their&#x20;credentials.&#x20;Note&#x20;that&#x20;removing&#x20;the&#x20;rshpackage&#x20;removes&#x20;the&#x20;clients&#x20;for&#x20;rsh,&#x20;rcpand&#x20;rlogin.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;rsh:&#x20;apt-get&#x20;remove&#x20;rsh-client&#x20;rsh-redone-client','[{\"cis\": [\"2.3.2\"]}, {\"cis_csc\": [\"2.6\", \"4.5\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2069,'Ensure&#x20;talk&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;talksoftware&#x20;makes&#x20;it&#x20;possible&#x20;for&#x20;users&#x20;to&#x20;send&#x20;and&#x20;receive&#x20;messages&#x20;across&#x20;systems&#x20;through&#x20;a&#x20;terminal&#x20;session.&#x20;The&#x20;talkclient,&#x20;which&#x20;allows&#x20;initialization&#x20;of&#x20;talk&#x20;sessions,&#x20;is&#x20;installed&#x20;by&#x20;default.','The&#x20;software&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;talk:&#x20;apt-get&#x20;remove&#x20;talk','[{\"cis\": [\"2.3.3\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2070,'Ensure&#x20;telnet&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;telnet&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;client,&#x20;which&#x20;allows&#x20;users&#x20;to&#x20;start&#x20;connections&#x20;to&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security&#x20;and&#x20;is&#x20;included&#x20;in&#x20;most&#x20;Linux&#x20;distributions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;telnet:&#x20;#&#x20;apt-get&#x20;remove&#x20;telnet','[{\"cis\": [\"2.3.4\"]}, {\"cis_csc\": [\"2.6\", \"4.5\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2071,'Ensure&#x20;LDAP&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;openldap-clients&#x20;:&#x20;#&#x20;apt-get&#x20;remove&#x20;ldap-utils','[{\"cis\": [\"2.3.5\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2072,'Ensure&#x20;IP&#x20;forwarding&#x20;is&#x20;disabled','The&#x20;net.ipv4.ip_forward&#x20;and&#x20;net.ipv6.conf.all.forwarding&#x20;flags&#x20;are&#x20;used&#x20;to&#x20;tell&#x20;the&#x20;system&#x20;whether&#x20;it&#x20;can&#x20;forward&#x20;packets&#x20;or&#x20;not.','Setting&#x20;the&#x20;flags&#x20;to&#x20;0&#x20;ensures&#x20;that&#x20;a&#x20;system&#x20;with&#x20;multiple&#x20;interfaces&#x20;&#40;for&#x20;example,&#x20;a&#x20;hard&#x20;proxy&#41;,&#x20;will&#x20;never&#x20;be&#x20;able&#x20;to&#x20;forward&#x20;packets,&#x20;and&#x20;therefore,&#x20;never&#x20;serve&#x20;as&#x20;a&#x20;router.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.ip_forward&#x20;=&#x20;0&#x20;net.ipv6.conf.all.forwarding&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.ip_forward=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.forwarding=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2073,'Ensure&#x20;packet&#x20;redirect&#x20;sending&#x20;is&#x20;disabled','ICMP&#x20;Redirects&#x20;are&#x20;used&#x20;to&#x20;send&#x20;routing&#x20;information&#x20;to&#x20;other&#x20;hosts.&#x20;As&#x20;a&#x20;host&#x20;itself&#x20;does&#x20;not&#x20;act&#x20;as&#x20;a&#x20;router&#x20;&#40;in&#x20;a&#x20;host&#x20;only&#x20;configuration&#41;,&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;send&#x20;redirects.','An&#x20;attacker&#x20;could&#x20;use&#x20;a&#x20;compromised&#x20;host&#x20;to&#x20;send&#x20;invalid&#x20;ICMP&#x20;redirects&#x20;to&#x20;other&#x20;router&#x20;devices&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;corrupt&#x20;routing&#x20;and&#x20;have&#x20;users&#x20;access&#x20;a&#x20;system&#x20;set&#x20;up&#x20;by&#x20;the&#x20;attacker&#x20;as&#x20;opposed&#x20;to&#x20;a&#x20;valid&#x20;system.','','Set&#x20;the&#x20;net.ipv4.conf.all.send_redirects&#x20;and&#x20;net.ipv4.conf.default.send_redirects&#x20;parameters&#x20;to&#x20;0&#x20;in&#x20;/etc/sysctl.conf:&#x20;net.ipv4.conf.all.send_redirects=0&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.send_redirects=0&#x20;&#x20;&#x20;&#x20;Modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.send_redirects=0&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.send_redirects=0&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2074,'Ensure&#x20;source&#x20;routed&#x20;packets&#x20;are&#x20;not&#x20;accepted','In&#x20;networking,&#x20;source&#x20;routing&#x20;allows&#x20;a&#x20;sender&#x20;to&#x20;partially&#x20;or&#x20;fully&#x20;specify&#x20;the&#x20;route&#x20;packets&#x20;take&#x20;through&#x20;a&#x20;network.&#x20;In&#x20;contrast,&#x20;non-source&#x20;routed&#x20;packets&#x20;travel&#x20;a&#x20;path&#x20;determined&#x20;by&#x20;routers&#x20;in&#x20;the&#x20;network.&#x20;In&#x20;some&#x20;cases,&#x20;systems&#x20;may&#x20;not&#x20;be&#x20;routable&#x20;or&#x20;reachable&#x20;from&#x20;some&#x20;locations&#x20;&#40;e.g.&#x20;private&#x20;addresses&#x20;vs.&#x20;Internet&#x20;routable&#41;,&#x20;and&#x20;so&#x20;source&#x20;routed&#x20;packets&#x20;would&#x20;need&#x20;to&#x20;be&#x20;used.','Setting&#x20;net.ipv4.conf.all.accept_source_route,&#x20;net.ipv4.conf.default.accept_source_route,&#x20;net.ipv6.conf.all.accept_source_route&#x20;and&#x20;net.ipv6.conf.default.accept_source_route&#x20;to&#x20;0&#x20;disables&#x20;the&#x20;system&#x20;from&#x20;accepting&#x20;source&#x20;routed&#x20;packets.&#x20;Assume&#x20;this&#x20;system&#x20;was&#x20;capable&#x20;of&#x20;routing&#x20;packets&#x20;to&#x20;Internet&#x20;routable&#x20;addresses&#x20;on&#x20;one&#x20;interface&#x20;and&#x20;private&#x20;addresses&#x20;on&#x20;another&#x20;interface.&#x20;Assume&#x20;that&#x20;the&#x20;private&#x20;addresses&#x20;were&#x20;not&#x20;routable&#x20;to&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;and&#x20;vice&#x20;versa.&#x20;Under&#x20;normal&#x20;routing&#x20;circumstances,&#x20;an&#x20;attacker&#x20;from&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;could&#x20;not&#x20;use&#x20;the&#x20;system&#x20;as&#x20;a&#x20;way&#x20;to&#x20;reach&#x20;the&#x20;private&#x20;address&#x20;systems.&#x20;If,&#x20;however,&#x20;source&#x20;routed&#x20;packets&#x20;were&#x20;allowed,&#x20;they&#x20;could&#x20;be&#x20;used&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;private&#x20;address&#x20;systems&#x20;as&#x20;the&#x20;route&#x20;could&#x20;be&#x20;specified,&#x20;rather&#x20;than&#x20;rely&#x20;on&#x20;routing&#x20;protocols&#x20;that&#x20;did&#x20;not&#x20;allow&#x20;this&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_source_route&#x20;=&#x20;0&#x20;net.ipv4.conf.default.accept_source_route&#x20;=&#x20;0&#x20;net.ipv6.conf.all.accept_source_route&#x20;=&#x20;0&#x20;net.ipv6.conf.default.accept_source_route&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.2.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2075,'Ensure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','ICMP&#x20;redirect&#x20;messages&#x20;are&#x20;packets&#x20;that&#x20;convey&#x20;routing&#x20;information&#x20;and&#x20;tell&#x20;your&#x20;host&#x20;&#40;acting&#x20;as&#x20;a&#x20;router&#41;&#x20;to&#x20;send&#x20;packets&#x20;via&#x20;an&#x20;alternate&#x20;path.&#x20;It&#x20;is&#x20;a&#x20;way&#x20;of&#x20;allowing&#x20;an&#x20;outside&#x20;routing&#x20;device&#x20;to&#x20;update&#x20;your&#x20;system&#x20;routing&#x20;tables.&#x20;By&#x20;setting&#x20;net.ipv4.conf.all.accept_redirects&#x20;and&#x20;net.ipv6.conf.all.accept_redirects&#x20;to&#x20;0,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;accept&#x20;any&#x20;ICMP&#x20;redirect&#x20;messages,&#x20;and&#x20;therefore,&#x20;won&#039;t&#x20;allow&#x20;outsiders&#x20;to&#x20;update&#x20;the&#x20;system&#039;s&#x20;routing&#x20;tables.','Attackers&#x20;could&#x20;use&#x20;bogus&#x20;ICMP&#x20;redirect&#x20;messages&#x20;to&#x20;maliciously&#x20;alter&#x20;the&#x20;system&#x20;routing&#x20;tables&#x20;and&#x20;get&#x20;them&#x20;to&#x20;send&#x20;packets&#x20;to&#x20;incorrect&#x20;networks&#x20;and&#x20;allow&#x20;your&#x20;system&#x20;packets&#x20;to&#x20;be&#x20;captured.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_redirects&#x20;=&#x20;0&#x20;net.ipv4.conf.default.accept_redirects&#x20;=&#x20;0&#x20;net.ipv6.conf.all.accept_redirects&#x20;=&#x20;0&#x20;net.ipv6.conf.default.accept_redirects&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.2.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2076,'Ensure&#x20;secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','Secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;the&#x20;same&#x20;as&#x20;ICMP&#x20;redirects,&#x20;except&#x20;they&#x20;come&#x20;from&#x20;gateways&#x20;listed&#x20;on&#x20;the&#x20;default&#x20;gateway&#x20;list.&#x20;It&#x20;is&#x20;assumed&#x20;that&#x20;these&#x20;gateways&#x20;are&#x20;known&#x20;to&#x20;your&#x20;system,&#x20;and&#x20;that&#x20;they&#x20;are&#x20;likely&#x20;to&#x20;be&#x20;secure.','It&#x20;is&#x20;still&#x20;possible&#x20;for&#x20;even&#x20;known&#x20;gateways&#x20;to&#x20;be&#x20;compromised.&#x20;Setting&#x20;net.ipv4.conf.all.secure_redirects&#x20;to&#x20;0&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;routing&#x20;table&#x20;updates&#x20;by&#x20;possibly&#x20;compromised&#x20;known&#x20;gateways.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.secure_redirects&#x20;=&#x20;0&#x20;net.ipv4.conf.default.secure_redirects&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.secure_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.secure_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2077,'Ensure&#x20;suspicious&#x20;packets&#x20;are&#x20;logged','When&#x20;enabled,&#x20;this&#x20;feature&#x20;logs&#x20;packets&#x20;with&#x20;un-routable&#x20;source&#x20;addresses&#x20;to&#x20;the&#x20;kernel&#x20;log.','Enabling&#x20;this&#x20;feature&#x20;and&#x20;logging&#x20;these&#x20;packets&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;investigate&#x20;the&#x20;possibility&#x20;that&#x20;an&#x20;attacker&#x20;is&#x20;sending&#x20;spoofed&#x20;packets&#x20;to&#x20;their&#x20;server.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.log_martians&#x20;=&#x20;1&#x20;net.ipv4.conf.default.log_martians&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.log_martians=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.log_martians=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.4\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2078,'Ensure&#x20;broadcast&#x20;ICMP&#x20;requests&#x20;are&#x20;ignored','Setting&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;to&#x20;1&#x20;will&#x20;cause&#x20;the&#x20;system&#x20;to&#x20;ignore&#x20;all&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;to&#x20;broadcast&#x20;and&#x20;multicast&#x20;addresses.','Accepting&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;with&#x20;broadcast&#x20;or&#x20;multicast&#x20;destinations&#x20;for&#x20;your&#x20;network&#x20;could&#x20;be&#x20;used&#x20;to&#x20;trick&#x20;your&#x20;host&#x20;into&#x20;starting&#x20;&#40;or&#x20;participating&#41;&#x20;in&#x20;a&#x20;Smurf&#x20;attack.&#x20;A&#x20;Smurf&#x20;attack&#x20;relies&#x20;on&#x20;an&#x20;attacker&#x20;sending&#x20;large&#x20;amounts&#x20;of&#x20;ICMP&#x20;broadcast&#x20;messages&#x20;with&#x20;a&#x20;spoofed&#x20;source&#x20;address.&#x20;All&#x20;hosts&#x20;receiving&#x20;this&#x20;message&#x20;and&#x20;responding&#x20;would&#x20;send&#x20;echo-reply&#x20;messages&#x20;back&#x20;to&#x20;the&#x20;spoofed&#x20;address,&#x20;which&#x20;is&#x20;probably&#x20;not&#x20;routable.&#x20;If&#x20;many&#x20;hosts&#x20;respond&#x20;to&#x20;the&#x20;packets,&#x20;the&#x20;amount&#x20;of&#x20;traffic&#x20;on&#x20;the&#x20;network&#x20;could&#x20;be&#x20;significantly&#x20;multiplied.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_echo_ignore_broadcasts=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2079,'Ensure&#x20;bogus&#x20;ICMP&#x20;responses&#x20;are&#x20;ignored','Setting&#x20;icmp_ignore_bogus_error_responses&#x20;to&#x20;1&#x20;prevents&#x20;the&#x20;kernel&#x20;from&#x20;logging&#x20;bogus&#x20;responses&#x20;&#40;RFC-1122&#x20;non-compliant&#41;&#x20;from&#x20;broadcast&#x20;reframes,&#x20;keeping&#x20;file&#x20;systems&#x20;from&#x20;filling&#x20;up&#x20;with&#x20;useless&#x20;log&#x20;messages.','Some&#x20;routers&#x20;&#40;and&#x20;some&#x20;attackers&#41;&#x20;will&#x20;send&#x20;responses&#x20;that&#x20;violate&#x20;RFC-1122&#x20;and&#x20;attempt&#x20;to&#x20;fill&#x20;up&#x20;a&#x20;log&#x20;file&#x20;system&#x20;with&#x20;many&#x20;useless&#x20;error&#x20;messages.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.icmp_ignore_bogus_error_responses&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_ignore_bogus_error_responses=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2080,'Ensure&#x20;Reverse&#x20;Path&#x20;Filtering&#x20;is&#x20;enabled','Setting&#x20;net.ipv4.conf.all.rp_filter&#x20;and&#x20;net.ipv4.conf.default.rp_filter&#x20;to&#x20;1&#x20;forces&#x20;the&#x20;Linux&#x20;kernel&#x20;to&#x20;utilize&#x20;reverse&#x20;path&#x20;filtering&#x20;on&#x20;a&#x20;received&#x20;packet&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;packet&#x20;was&#x20;valid.&#x20;Essentially,&#x20;with&#x20;reverse&#x20;path&#x20;filtering,&#x20;if&#x20;the&#x20;return&#x20;packet&#x20;does&#x20;not&#x20;go&#x20;out&#x20;the&#x20;same&#x20;interface&#x20;that&#x20;the&#x20;corresponding&#x20;source&#x20;packet&#x20;came&#x20;from,&#x20;the&#x20;packet&#x20;is&#x20;dropped&#x20;&#40;and&#x20;logged&#x20;if&#x20;log_martians&#x20;is&#x20;set&#41;.','Setting&#x20;these&#x20;flags&#x20;is&#x20;a&#x20;good&#x20;way&#x20;to&#x20;deter&#x20;attackers&#x20;from&#x20;sending&#x20;your&#x20;system&#x20;bogus&#x20;packets&#x20;that&#x20;cannot&#x20;be&#x20;responded&#x20;to.&#x20;One&#x20;instance&#x20;where&#x20;this&#x20;feature&#x20;breaks&#x20;down&#x20;is&#x20;if&#x20;asymmetrical&#x20;routing&#x20;is&#x20;employed.&#x20;This&#x20;would&#x20;occur&#x20;when&#x20;using&#x20;dynamic&#x20;routing&#x20;protocols&#x20;&#40;bgp,&#x20;ospf,&#x20;etc&#41;&#x20;on&#x20;your&#x20;system.&#x20;If&#x20;you&#x20;are&#x20;using&#x20;asymmetrical&#x20;routing&#x20;on&#x20;your&#x20;system,&#x20;you&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;enable&#x20;this&#x20;feature&#x20;without&#x20;breaking&#x20;the&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.rp_filter&#x20;=&#x20;1&#x20;net.ipv4.conf.default.rp_filter&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.rp_filter=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.rp_filter=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2081,'Ensure&#x20;TCP&#x20;SYN&#x20;Cookies&#x20;is&#x20;enabled','When&#x20;tcp_syncookies&#x20;is&#x20;set,&#x20;the&#x20;kernel&#x20;will&#x20;handle&#x20;TCP&#x20;SYN&#x20;packets&#x20;normally&#x20;until&#x20;the&#x20;half-open&#x20;connection&#x20;queue&#x20;is&#x20;full,&#x20;at&#x20;which&#x20;time,&#x20;the&#x20;SYN&#x20;cookie&#x20;functionality&#x20;kicks&#x20;in.&#x20;SYN&#x20;cookies&#x20;work&#x20;by&#x20;not&#x20;using&#x20;the&#x20;SYN&#x20;queue&#x20;at&#x20;all.&#x20;Instead,&#x20;the&#x20;kernel&#x20;simply&#x20;replies&#x20;to&#x20;the&#x20;SYN&#x20;with&#x20;a&#x20;SYN|ACK,&#x20;but&#x20;will&#x20;include&#x20;a&#x20;specially&#x20;crafted&#x20;TCP&#x20;sequence&#x20;number&#x20;that&#x20;encodes&#x20;the&#x20;source&#x20;and&#x20;destination&#x20;IP&#x20;address&#x20;and&#x20;port&#x20;number&#x20;and&#x20;the&#x20;time&#x20;the&#x20;packet&#x20;was&#x20;sent.&#x20;A&#x20;legitimate&#x20;connection&#x20;would&#x20;send&#x20;the&#x20;ACK&#x20;packet&#x20;of&#x20;the&#x20;three&#x20;way&#x20;handshake&#x20;with&#x20;the&#x20;specially&#x20;crafted&#x20;sequence&#x20;number.&#x20;This&#x20;allows&#x20;the&#x20;system&#x20;to&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;received&#x20;a&#x20;valid&#x20;response&#x20;to&#x20;a&#x20;SYN&#x20;cookie&#x20;and&#x20;allow&#x20;the&#x20;connection,&#x20;even&#x20;though&#x20;there&#x20;is&#x20;no&#x20;corresponding&#x20;SYN&#x20;in&#x20;the&#x20;queue.','Attackers&#x20;use&#x20;SYN&#x20;flood&#x20;attacks&#x20;to&#x20;perform&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attacked&#x20;on&#x20;a&#x20;system&#x20;by&#x20;sending&#x20;many&#x20;SYN&#x20;packets&#x20;without&#x20;completing&#x20;the&#x20;three&#x20;way&#x20;handshake.&#x20;This&#x20;will&#x20;quickly&#x20;use&#x20;up&#x20;slots&#x20;in&#x20;the&#x20;kernel&#039;s&#x20;half-open&#x20;connection&#x20;queue&#x20;and&#x20;prevent&#x20;legitimate&#x20;connections&#x20;from&#x20;succeeding.&#x20;SYN&#x20;cookies&#x20;allow&#x20;the&#x20;system&#x20;to&#x20;keep&#x20;accepting&#x20;valid&#x20;connections,&#x20;even&#x20;if&#x20;under&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attack.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.tcp_syncookies&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.tcp_syncookies=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.8\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2082,'Ensure&#x20;IPv6&#x20;router&#x20;advertisements&#x20;are&#x20;not&#x20;accepted','This&#x20;setting&#x20;disables&#x20;the&#x20;systems&#x20;ability&#x20;to&#x20;accept&#x20;router&#x20;advertisements','It&#x20;is&#x20;recommended&#x20;that&#x20;systems&#x20;not&#x20;accept&#x20;router&#x20;advertisements&#x20;as&#x20;they&#x20;could&#x20;be&#x20;tricked&#x20;into&#x20;routing&#x20;traffic&#x20;to&#x20;compromised&#x20;machines.&#x20;Setting&#x20;hard&#x20;routes&#x20;within&#x20;the&#x20;system&#x20;&#40;usually&#x20;a&#x20;single&#x20;default&#x20;route&#x20;to&#x20;a&#x20;trusted&#x20;router&#41;&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;bad&#x20;routes.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv6.conf.all.accept_ra&#x20;=&#x20;0&#x20;net.ipv6.conf.default.accept_ra&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_ra=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_ra=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.2.9\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2083,'Install&#x20;TCP&#x20;Wrappers','TCP&#x20;Wrappers&#x20;provides&#x20;a&#x20;simple&#x20;access&#x20;list&#x20;and&#x20;standardized&#x20;logging&#x20;method&#x20;for&#x20;services&#x20;capable&#x20;of&#x20;supporting&#x20;it.&#x20;In&#x20;the&#x20;past,&#x20;services&#x20;that&#x20;were&#x20;called&#x20;from&#x20;inetd&#x20;and&#x20;xinetd&#x20;supported&#x20;the&#x20;use&#x20;of&#x20;tcp&#x20;wrappers.&#x20;As&#x20;inetd&#x20;and&#x20;xinetd&#x20;have&#x20;been&#x20;falling&#x20;in&#x20;disuse,&#x20;any&#x20;service&#x20;that&#x20;can&#x20;support&#x20;tcp&#x20;wrappers&#x20;will&#x20;have&#x20;the&#x20;libwrap.so&#x20;library&#x20;attached&#x20;to&#x20;it.','TCP&#x20;Wrappers&#x20;provide&#x20;a&#x20;good&#x20;simple&#x20;access&#x20;list&#x20;mechanism&#x20;to&#x20;services&#x20;that&#x20;may&#x20;not&#x20;have&#x20;that&#x20;support&#x20;built&#x20;in.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;all&#x20;services&#x20;that&#x20;can&#x20;support&#x20;TCP&#x20;Wrappers,&#x20;use&#x20;it.','','Install&#x20;tcpd&#x20;:&#x20;#&#x20;apt-get&#x20;install&#x20;tcpd&#x20;To&#x20;verify&#x20;if&#x20;a&#x20;service&#x20;supports&#x20;TCP&#x20;Wrappers,&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;ldd&#x20;&lt;path-to-daemon&gt;&#x20;|&#x20;grep&#x20;libwrap.so&#x20;If&#x20;there&#x20;is&#x20;any&#x20;output,&#x20;then&#x20;the&#x20;service&#x20;supports&#x20;TCP&#x20;Wrappers.','[{\"cis\": [\"3.3.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.3.5\"]}]'),(2084,'Ensure&#x20;/etc/hosts.allow&#x20;is&#x20;configured','The&#x20;/etc/hosts.allow&#x20;file&#x20;specifies&#x20;which&#x20;IP&#x20;addresses&#x20;are&#x20;permitted&#x20;to&#x20;connect&#x20;to&#x20;the&#x20;host.&#x20;It&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;used&#x20;in&#x20;conjunction&#x20;with&#x20;the&#x20;/etc/hosts.deny&#x20;file.','The&#x20;/etc/hosts.allow&#x20;file&#x20;supports&#x20;access&#x20;control&#x20;by&#x20;IP&#x20;and&#x20;helps&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;systems&#x20;can&#x20;connect&#x20;to&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;/etc/hosts.allow:&#x20;#&#x20;echo&#x20;&quot;ALL:&#x20;&lt;net&gt;/&lt;mask&gt;,&#x20;&lt;net&gt;/&lt;mask&gt;,&#x20;...&quot;&#x20;&gt;/etc/hosts.allow.&#x20;Where&#x20;each&#x20;&lt;net&gt;/&lt;mask&gt;&#x20;combination&#x20;&#x20;&#40;for&#x20;example,&#x20;&quot;192.168.1.0/255.255.255.0&quot;&#41;&#x20;represents&#x20;one&#x20;network&#x20;block&#x20;in&#x20;use&#x20;by&#x20;your&#x20;organization&#x20;that&#x20;requires&#x20;access&#x20;to&#x20;this&#x20;system.','[{\"cis\": [\"3.3.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.3.5\"]}]'),(2085,'Ensure&#x20;/etc/hosts.deny&#x20;is&#x20;configured','The&#x20;/etc/hosts.deny&#x20;file&#x20;specifies&#x20;which&#x20;IP&#x20;addresses&#x20;are&#x20;not&#x20;permitted&#x20;to&#x20;connect&#x20;to&#x20;the&#x20;host.&#x20;It&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;used&#x20;in&#x20;conjunction&#x20;with&#x20;the&#x20;/etc/hosts.allow&#x20;file.','The&#x20;/etc/hosts.deny&#x20;file&#x20;serves&#x20;as&#x20;a&#x20;failsafe&#x20;so&#x20;that&#x20;any&#x20;host&#x20;not&#x20;specified&#x20;in&#x20;/etc/hosts.allow&#x20;is&#x20;denied&#x20;access&#x20;to&#x20;the&#x20;server.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;/etc/hosts.deny:&#x20;#&#x20;echo&#x20;&quot;ALL:&#x20;ALL&quot;&#x20;&gt;&gt;&#x20;/etc/hosts.deny','[{\"cis\": [\"3.3.3\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.3.5\"]}]'),(2086,'Verify&#x20;permissions&#x20;on&#x20;/etc/hosts.allow','The&#x20;/etc/hosts.allow&#x20;file&#x20;contains&#x20;network&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;applications&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;applications&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/hosts.allow&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/hosts.allow&#x20;:&#x20;&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/hosts.allow&#x20;&#x20;#&#x20;chmod&#x20;644&#x20;/etc/hosts.allow','[{\"cis\": [\"3.3.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"1.3.5\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2087,'Verify&#x20;permissions&#x20;on&#x20;/etc/hosts.deny','The&#x20;/etc/hosts.deny&#x20;file&#x20;contains&#x20;network&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;applications&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;applications&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/hosts.deny&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/hosts.deny&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/hosts.deny&#x20;&#x20;#&#x20;chmod&#x20;644&#x20;/etc/hosts.deny','[{\"cis\": [\"3.3.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"1.3.5\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2088,'Ensure&#x20;DCCP&#x20;is&#x20;disabled','The&#x20;Datagram&#x20;Congestion&#x20;Control&#x20;Protocol&#x20;&#40;DCCP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;that&#x20;supports&#x20;streaming&#x20;media&#x20;and&#x20;telephony.&#x20;DCCP&#x20;provides&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;congestion&#x20;control,&#x20;without&#x20;having&#x20;to&#x20;do&#x20;it&#x20;at&#x20;the&#x20;application&#x20;layer,&#x20;but&#x20;does&#x20;not&#x20;provide&#x20;in-&#x20;sequence&#x20;delivery.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;drivers&#x20;not&#x20;be&#x20;installed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/dccp.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;dccp&#x20;/bin/true','[{\"cis\": [\"3.4.1\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2089,'Ensure&#x20;SCTP&#x20;is&#x20;disabled','The&#x20;Stream&#x20;Control&#x20;Transmission&#x20;Protocol&#x20;&#40;SCTP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;used&#x20;to&#x20;support&#x20;message&#x20;oriented&#x20;communication,&#x20;with&#x20;several&#x20;streams&#x20;of&#x20;messages&#x20;in&#x20;one&#x20;connection.&#x20;It&#x20;serves&#x20;a&#x20;similar&#x20;function&#x20;as&#x20;TCP&#x20;and&#x20;UDP,&#x20;incorporating&#x20;features&#x20;of&#x20;both.&#x20;It&#x20;is&#x20;message-oriented&#x20;like&#x20;UDP,&#x20;and&#x20;ensures&#x20;reliable&#x20;in-sequence&#x20;transport&#x20;of&#x20;messages&#x20;with&#x20;congestion&#x20;control&#x20;like&#x20;TCP.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/sctp.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;sctp&#x20;/bin/true','[{\"cis\": [\"3.4.2\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2090,'Ensure&#x20;RDS&#x20;is&#x20;disabled','The&#x20;Reliable&#x20;Datagram&#x20;Sockets&#x20;&#40;RDS&#41;&#x20;protocol&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;designed&#x20;to&#x20;provide&#x20;low-latency,&#x20;high-bandwidth&#x20;communications&#x20;between&#x20;cluster&#x20;nodes.&#x20;It&#x20;was&#x20;developed&#x20;by&#x20;the&#x20;Oracle&#x20;Corporation.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/rds.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;rds&#x20;/bin/true','[{\"cis\": [\"3.4.3\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2091,'Ensure&#x20;TIPC&#x20;is&#x20;disabled','The&#x20;Transparent&#x20;Inter-Process&#x20;Communication&#x20;&#40;TIPC&#41;&#x20;protocol&#x20;is&#x20;designed&#x20;to&#x20;provide&#x20;communication&#x20;between&#x20;cluster&#x20;nodes.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/tipc.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;tipc&#x20;/bin/true','[{\"cis\": [\"3.4.4\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2092,'Ensure&#x20;default&#x20;deny&#x20;firewall&#x20;policy','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;iptables&#x20;-P&#x20;INPUT&#x20;DROP&#x20;#&#x20;iptables&#x20;-P&#x20;OUTPUT&#x20;DROP&#x20;#&#x20;iptables&#x20;-P&#x20;FORWARD&#x20;DROP.&#x20;Notes:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','[{\"cis\": [\"3.5.1.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(2093,'Ensure&#x20;loopback&#x20;traffic&#x20;is&#x20;configured','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-s&#x20;127.0.0.0/8&#x20;-j&#x20;DROP','[{\"cis\": [\"3.5.1.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(2094,'Ensure&#x20;IPv6&#x20;default&#x20;deny&#x20;firewall&#x20;policy','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;ip6tables&#x20;-P&#x20;INPUT&#x20;DROP&#x20;#&#x20;ip6tables&#x20;-P&#x20;OUTPUT&#x20;DROP&#x20;#&#x20;ip6tables&#x20;-P&#x20;FORWARD&#x20;DROP.&#x20;Notes:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','[{\"cis\": [\"3.5.2.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(2095,'Ensure&#x20;IPv6&#x20;loopback&#x20;traffic&#x20;is&#x20;configured','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;::1&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;::1&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;ip6tables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-s&#x20;::1&#x20;-j&#x20;DROP','[{\"cis\": [\"3.5.2.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(2096,'Ensure&#x20;iptables&#x20;is&#x20;installed','iptables&#x20;allows&#x20;configuration&#x20;of&#x20;the&#x20;IPv4&#x20;tables&#x20;in&#x20;the&#x20;linux&#x20;kernel&#x20;and&#x20;the&#x20;rules&#x20;stored&#x20;within&#x20;them.&#x20;Most&#x20;firewall&#x20;configuration&#x20;utilities&#x20;operate&#x20;as&#x20;a&#x20;front&#x20;end&#x20;to&#x20;iptables.','iptables&#x20;is&#x20;required&#x20;for&#x20;firewall&#x20;management&#x20;and&#x20;configuration.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;iptables:&#x20;#&#x20;apt-get&#x20;install&#x20;iptables','[{\"cis\": [\"3.5.3\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(2097,'Ensure&#x20;audit&#x20;log&#x20;storage&#x20;size&#x20;is&#x20;configured','Configure&#x20;the&#x20;maximum&#x20;size&#x20;of&#x20;the&#x20;audit&#x20;log&#x20;file.&#x20;Once&#x20;the&#x20;log&#x20;reaches&#x20;the&#x20;maximum&#x20;size,&#x20;it&#x20;will&#x20;be&#x20;rotated&#x20;and&#x20;a&#x20;new&#x20;log&#x20;file&#x20;will&#x20;be&#x20;started.','It&#x20;is&#x20;important&#x20;that&#x20;an&#x20;appropriate&#x20;size&#x20;is&#x20;determined&#x20;for&#x20;log&#x20;files&#x20;so&#x20;that&#x20;they&#x20;do&#x20;not&#x20;impact&#x20;the&#x20;system&#x20;and&#x20;audit&#x20;data&#x20;is&#x20;not&#x20;lost.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy:&#x20;max_log_file&#x20;=&#x20;&lt;MB&gt;&#x20;Notes:&#x20;The&#x20;max_log_file&#x20;parameter&#x20;is&#x20;measured&#x20;in&#x20;megabytes.','[{\"cis\": [\"4.1.1.1\"]}, {\"cis_csc\": [\"6.4\"]}]'),(2098,'Ensure&#x20;system&#x20;is&#x20;disabled&#x20;when&#x20;audit&#x20;logs&#x20;are&#x20;full','The&#x20;auditd&#x20;daemon&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;halt&#x20;the&#x20;system&#x20;when&#x20;the&#x20;audit&#x20;logs&#x20;are&#x20;full.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;risk&#x20;of&#x20;detecting&#x20;unauthorized&#x20;access&#x20;or&#x20;nonrepudiation&#x20;exceeds&#x20;the&#x20;benefit&#x20;of&#x20;the&#x20;system&#039;s&#x20;availability.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;space_left_action&#x20;=&#x20;email&#x20;action_mail_acct&#x20;=&#x20;root&#x20;admin_space_left_action&#x20;=&#x20;halt','[{\"cis\": [\"4.1.1.2\"]}, {\"cis_csc\": [\"6.4\"]}]'),(2099,'Ensure&#x20;audit&#x20;logs&#x20;are&#x20;not&#x20;automatically&#x20;deleted','The&#x20;max_log_file_action&#x20;setting&#x20;determines&#x20;how&#x20;to&#x20;handle&#x20;the&#x20;audit&#x20;log&#x20;file&#x20;reaching&#x20;the&#x20;max&#x20;file&#x20;size.&#x20;A&#x20;value&#x20;of&#x20;keep_logs&#x20;will&#x20;rotate&#x20;the&#x20;logs&#x20;but&#x20;never&#x20;delete&#x20;old&#x20;logs.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;benefits&#x20;of&#x20;maintaining&#x20;a&#x20;long&#x20;audit&#x20;history&#x20;exceed&#x20;the&#x20;cost&#x20;of&#x20;storing&#x20;the&#x20;audit&#x20;history.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;max_log_file_action&#x20;=&#x20;keep_logs','[{\"cis\": [\"4.1.1.3\"]}, {\"cis_csc\": [\"6.4\"]}]'),(2100,'Ensure&#x20;auditd&#x20;service&#x20;is&#x20;enabled','Turn&#x20;on&#x20;the&#x20;auditd&#x20;daemon&#x20;to&#x20;record&#x20;system&#x20;events.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;auditd:&#x20;#&#x20;systemctl&#x20;enable&#x20;auditd','[{\"cis\": [\"4.1.2\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\", \"10.7\"]}, {\"tsc\": [\"CC6.1\"\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2101,'Ensure&#x20;auditing&#x20;for&#x20;processes&#x20;that&#x20;start&#x20;prior&#x20;to&#x20;auditd&#x20;is&#x20;enabled','Configure&#x20;grub&#x20;or&#x20;lilo&#x20;so&#x20;that&#x20;processes&#x20;that&#x20;are&#x20;capable&#x20;of&#x20;being&#x20;audited&#x20;can&#x20;be&#x20;audited&#x20;even&#x20;if&#x20;they&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;startup.','Audit&#x20;events&#x20;need&#x20;to&#x20;be&#x20;captured&#x20;on&#x20;processes&#x20;that&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd,&#x20;so&#x20;that&#x20;potential&#x20;malicious&#x20;activity&#x20;cannot&#x20;go&#x20;undetected.','','1&#41;&#x20;Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit=1&#x20;to&#x20;GRUB_CMDLINE_LINUX:&#x20;GRUB_CMDLINE_LINUX=&quot;audit=1&quot;&#x20;2&#41;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub&#x20;Notes:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.','[{\"cis\": [\"4.1.3\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.2.6\", \"10.7\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"35.7.d\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2102,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;date&#x20;and&#x20;time&#x20;information&#x20;are&#x20;collected','Capture&#x20;events&#x20;where&#x20;the&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;has&#x20;been&#x20;modified.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;are&#x20;set&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;adjtimex&#x20;&#40;tune&#x20;kernel&#x20;clock&#41;,&#x20;settimeofday&#x20;&#40;Set&#x20;time,&#x20;using&#x20;timeval&#x20;and&#x20;timezone&#x20;structures&#41;&#x20;stime&#x20;&#40;using&#x20;seconds&#x20;since&#x20;1/1/1970&#41;&#x20;or&#x20;clock_settime&#x20;&#40;allows&#x20;for&#x20;the&#x20;setting&#x20;of&#x20;several&#x20;internal&#x20;clocks&#x20;and&#x20;timers&#41;&#x20;system&#x20;calls&#x20;have&#x20;been&#x20;executed&#x20;and&#x20;always&#x20;write&#x20;an&#x20;audit&#x20;record&#x20;to&#x20;the&#x20;/var/log/audit.log&#x20;file&#x20;upon&#x20;exit,&#x20;tagging&#x20;the&#x20;records&#x20;with&#x20;the&#x20;identifier&#x20;&quot;time-change&quot;','Unexpected&#x20;changes&#x20;in&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;could&#x20;be&#x20;a&#x20;sign&#x20;of&#x20;malicious&#x20;activity&#x20;on&#x20;the&#x20;system.','','For&#x20;32&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-&#x20;change&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;|&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change.&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-k&#x20;time-change&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-change&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;|&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change','[{\"cis\": [\"4.1.4\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.4.2\", \"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.3\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2103,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;user/group&#x20;information&#x20;are&#x20;collected','Record&#x20;events&#x20;affecting&#x20;the&#x20;group&#x20;,&#x20;passwd&#x20;&#40;user&#x20;IDs&#41;,&#x20;shadow&#x20;and&#x20;gshadow&#x20;&#40;passwords&#41;&#x20;or&#x20;/etc/security/opasswd&#x20;&#40;old&#x20;passwords,&#x20;based&#x20;on&#x20;remember&#x20;parameter&#x20;in&#x20;the&#x20;PAM&#x20;configuration&#41;&#x20;files.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;will&#x20;watch&#x20;the&#x20;files&#x20;to&#x20;see&#x20;if&#x20;they&#x20;have&#x20;been&#x20;opened&#x20;for&#x20;write&#x20;or&#x20;have&#x20;had&#x20;attribute&#x20;changes&#x20;&#40;e.g.&#x20;permissions&#41;&#x20;and&#x20;tag&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;identity&quot;&#x20;in&#x20;the&#x20;audit&#x20;log&#x20;file.','Unexpected&#x20;changes&#x20;to&#x20;these&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;the&#x20;system&#x20;has&#x20;been&#x20;compromised&#x20;and&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;hide&#x20;their&#x20;activities&#x20;or&#x20;compromise&#x20;additional&#x20;accounts.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/etc/group&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;|&#x20;-w&#x20;/etc/passwd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;|&#x20;-w&#x20;/etc/gshadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;|&#x20;-w&#x20;/etc/shadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;|&#x20;-w&#x20;/etc/security/opasswd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.5\"]}, {\"cis_csc\": [\"4.8\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(2104,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;network&#x20;environment&#x20;are&#x20;collected','Record&#x20;changes&#x20;to&#x20;network&#x20;environment&#x20;files&#x20;or&#x20;system&#x20;calls.&#x20;The&#x20;below&#x20;parameters&#x20;monitor&#x20;the&#x20;sethostname&#x20;&#40;set&#x20;the&#x20;systems&#x20;host&#x20;name&#41;&#x20;or&#x20;setdomainname&#x20;&#40;set&#x20;the&#x20;systems&#x20;domainname&#41;&#x20;system&#x20;calls,&#x20;and&#x20;write&#x20;an&#x20;audit&#x20;event&#x20;on&#x20;system&#x20;call&#x20;exit.&#x20;The&#x20;other&#x20;parameters&#x20;monitor&#x20;the&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;files&#x20;&#40;messages&#x20;displayed&#x20;pre-&#x20;login&#41;,&#x20;/etc/hosts&#x20;&#40;file&#x20;containing&#x20;host&#x20;names&#x20;and&#x20;associated&#x20;IP&#x20;addresses&#41;&#x20;and&#x20;/etc/sysconfig/network&#x20;&#40;directory&#x20;containing&#x20;network&#x20;interface&#x20;scripts&#x20;and&#x20;configurations&#41;&#x20;files.','Monitoring&#x20;sethostname&#x20;and&#x20;setdomainname&#x20;will&#x20;identify&#x20;potential&#x20;unauthorized&#x20;changes&#x20;to&#x20;host&#x20;and&#x20;domainname&#x20;of&#x20;a&#x20;system.&#x20;The&#x20;changing&#x20;of&#x20;these&#x20;names&#x20;could&#x20;potentially&#x20;break&#x20;security&#x20;parameters&#x20;that&#x20;are&#x20;set&#x20;based&#x20;on&#x20;those&#x20;names.&#x20;The&#x20;/etc/hosts&#x20;file&#x20;is&#x20;monitored&#x20;for&#x20;changes&#x20;in&#x20;the&#x20;file&#x20;that&#x20;can&#x20;indicate&#x20;an&#x20;unauthorized&#x20;intruder&#x20;is&#x20;trying&#x20;to&#x20;change&#x20;machine&#x20;associations&#x20;with&#x20;IP&#x20;addresses&#x20;and&#x20;trick&#x20;users&#x20;and&#x20;processes&#x20;into&#x20;connecting&#x20;to&#x20;unintended&#x20;machines.&#x20;Monitoring&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;is&#x20;important,&#x20;as&#x20;intruders&#x20;could&#x20;put&#x20;disinformation&#x20;into&#x20;those&#x20;files&#x20;and&#x20;trick&#x20;users&#x20;into&#x20;providing&#x20;information&#x20;to&#x20;the&#x20;intruder.&#x20;Monitoring&#x20;/etc/sysconfig/network&#x20;is&#x20;important&#x20;as&#x20;it&#x20;can&#x20;show&#x20;if&#x20;network&#x20;interfaces&#x20;or&#x20;scripts&#x20;are&#x20;being&#x20;modified&#x20;in&#x20;a&#x20;way&#x20;that&#x20;can&#x20;lead&#x20;to&#x20;the&#x20;machine&#x20;becoming&#x20;unavailable&#x20;or&#x20;compromised.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;system-locale.&quot;','','For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;|&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;|&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;|&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;|&#x20;-w&#x20;/etc/sysconfig/network&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;Notes:&#x20;/etc/sysconfig/network&#x20;is&#x20;common&#x20;to&#x20;Red&#x20;Hat&#x20;and&#x20;SUSE&#x20;based&#x20;distributions.&#x20;You&#x20;should&#x20;expand&#x20;or&#x20;replace&#x20;this&#x20;coverage&#x20;to&#x20;any&#x20;network&#x20;configuration&#x20;files&#x20;on&#x20;your&#x20;system&#x20;such&#x20;as&#x20;/etc/network&#x20;on&#x20;Debian&#x20;based&#x20;distributions.&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.6\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(2105,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;Mandatory&#x20;Access&#x20;Controls&#x20;are&#x20;collected','Monitor&#x20;SELinux/AppArmor&#x20;mandatory&#x20;access&#x20;controls.&#x20;The&#x20;parameters&#x20;below&#x20;monitor&#x20;any&#x20;write&#x20;access&#x20;&#40;potential&#x20;additional,&#x20;deletion&#x20;or&#x20;modification&#x20;of&#x20;files&#x20;in&#x20;the&#x20;directory&#41;&#x20;or&#x20;attribute&#x20;changes&#x20;to&#x20;the&#x20;/etc/selinux&#x20;or&#x20;/etc/apparmor&#x20;and&#x20;/etc/apparmor.d&#x20;directories.','Changes&#x20;to&#x20;files&#x20;in&#x20;these&#x20;directories&#x20;could&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;modify&#x20;access&#x20;controls&#x20;and&#x20;change&#x20;security&#x20;contexts,&#x20;leading&#x20;to&#x20;a&#x20;compromise&#x20;of&#x20;the&#x20;system.','','On&#x20;systems&#x20;using&#x20;SELinux&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/etc/selinux/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;&#x20;|&#x20;-w&#x20;/usr/share/selinux/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;On&#x20;systems&#x20;using&#x20;AppArmor&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/etc/apparmor/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;|&#x20;-w&#x20;/etc/apparmor.d/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy','[{\"cis\": [\"4.1.7\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(2106,'Ensure&#x20;login&#x20;and&#x20;logout&#x20;events&#x20;are&#x20;collected','Monitor&#x20;login&#x20;and&#x20;logout&#x20;events.&#x20;The&#x20;parameters&#x20;below&#x20;track&#x20;changes&#x20;to&#x20;files&#x20;associated&#x20;with&#x20;login/logout&#x20;events.&#x20;The&#x20;file&#x20;/var/log/faillog&#x20;tracks&#x20;failed&#x20;events&#x20;from&#x20;login.&#x20;The&#x20;file&#x20;/var/log/lastlog&#x20;maintain&#x20;records&#x20;of&#x20;the&#x20;last&#x20;time&#x20;a&#x20;user&#x20;successfully&#x20;logged&#x20;in.&#x20;The&#x20;file&#x20;/var/log/tallylog&#x20;maintains&#x20;records&#x20;of&#x20;failures&#x20;via&#x20;the&#x20;pam_tally2&#x20;module','Monitoring&#x20;login/logout&#x20;events&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;information&#x20;associated&#x20;with&#x20;brute&#x20;force&#x20;attacks&#x20;against&#x20;user&#x20;logins.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/var/log/faillog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;|&#x20;-w&#x20;/var/log/lastlog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;|&#x20;-w&#x20;/var/log/tallylog&#x20;-p&#x20;wa&#x20;-k&#x20;logins.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.8\"]}, {\"cis_csc\": [\"4.9\", \"16.11\", \"16.13\"]}, {\"pci_dss\": [\"10.2.1\", \"10.2.4\", \"10.3\"]}, {\"nist_800_53\": [\"AC.7\", \"AU.14\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(2107,'Ensure&#x20;session&#x20;initiation&#x20;information&#x20;is&#x20;collected','Monitor&#x20;session&#x20;initiation&#x20;events.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;to&#x20;the&#x20;files&#x20;associated&#x20;with&#x20;session&#x20;events.&#x20;The&#x20;file&#x20;/var/run/utmp&#x20;file&#x20;tracks&#x20;all&#x20;currently&#x20;logged&#x20;in&#x20;users.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;session.&quot;&#x20;The&#x20;/var/log/wtmp&#x20;file&#x20;tracks&#x20;logins,&#x20;logouts,&#x20;shutdown,&#x20;and&#x20;reboot&#x20;events.&#x20;The&#x20;file&#x20;/var/log/btmp&#x20;keeps&#x20;track&#x20;of&#x20;failed&#x20;login&#x20;attempts&#x20;and&#x20;can&#x20;be&#x20;read&#x20;by&#x20;entering&#x20;the&#x20;command&#x20;/usr/bin/last&#x20;-f&#x20;/var/log/btmp&#x20;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;logins.&quot;','Monitoring&#x20;these&#x20;files&#x20;for&#x20;changes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;logins&#x20;occurring&#x20;at&#x20;unusual&#x20;hours,&#x20;which&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;&#40;i.e.&#x20;a&#x20;user&#x20;logging&#x20;in&#x20;at&#x20;a&#x20;time&#x20;when&#x20;they&#x20;do&#x20;not&#x20;normally&#x20;log&#x20;in&#41;.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/var/run/utmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;|&#x20;-w&#x20;/var/log/wtmp&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;|&#x20;-w&#x20;/var/log/btmp&#x20;-p&#x20;wa&#x20;-k&#x20;logins.&#x20;Notes:&#x20;The&#x20;last&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;read&#x20;/var/log/wtmp&#x20;&#40;last&#x20;with&#x20;no&#x20;parameters&#41;&#x20;and&#x20;/var/run/utmp&#x20;&#40;last&#x20;-f&#x20;/var/run/utmp&#41;.&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.9\"]}, {\"cis_csc\": [\"4.9\", \"16.11\", \"16.13\"]}, {\"pci_dss\": [\"10.3\"]}, {\"nist_800_53\": [\"AC.7\", \"AU.14\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(2108,'Ensure&#x20;discretionary&#x20;access&#x20;control&#x20;permission&#x20;modification&#x20;events&#x20;are&#x20;collected','Monitor&#x20;changes&#x20;to&#x20;file&#x20;permissions,&#x20;attributes,&#x20;ownership&#x20;and&#x20;group.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;for&#x20;system&#x20;calls&#x20;that&#x20;affect&#x20;file&#x20;permissions&#x20;and&#x20;attributes.&#x20;The&#x20;chmod&#x20;,&#x20;fchmod&#x20;and&#x20;fchmodat&#x20;system&#x20;calls&#x20;affect&#x20;the&#x20;permissions&#x20;associated&#x20;with&#x20;a&#x20;file.&#x20;The&#x20;chown&#x20;,&#x20;fchown&#x20;,&#x20;fchownat&#x20;and&#x20;lchown&#x20;system&#x20;calls&#x20;affect&#x20;owner&#x20;and&#x20;group&#x20;attributes&#x20;on&#x20;a&#x20;file.&#x20;The&#x20;setxattr&#x20;,&#x20;lsetxattr&#x20;,&#x20;fsetxattr&#x20;&#40;set&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;and&#x20;removexattr&#x20;,&#x20;lremovexattr&#x20;,&#x20;fremovexattr&#x20;&#40;remove&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;control&#x20;extended&#x20;file&#x20;attributes.&#x20;In&#x20;all&#x20;cases,&#x20;an&#x20;audit&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;for&#x20;non-system&#x20;user&#x20;ids&#x20;&#40;auid&#x20;&gt;=&#x20;1000&#41;&#x20;and&#x20;will&#x20;ignore&#x20;Daemon&#x20;events&#x20;&#40;auid&#x20;=&#x20;4294967295&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;perm_mod.&quot;','Monitoring&#x20;for&#x20;changes&#x20;in&#x20;file&#x20;attributes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;activity&#x20;that&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;or&#x20;policy&#x20;violation.','','For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.10\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.4.2\", \"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(2109,'Ensure&#x20;unsuccessful&#x20;unauthorized&#x20;file&#x20;access&#x20;attempts&#x20;are&#x20;collected','Monitor&#x20;for&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;access&#x20;files.&#x20;The&#x20;parameters&#x20;below&#x20;are&#x20;associated&#x20;with&#x20;system&#x20;calls&#x20;that&#x20;control&#x20;creation&#x20;&#40;&#x20;creat&#x20;&#41;,&#x20;opening&#x20;&#40;&#x20;open&#x20;,&#x20;openat&#x20;&#41;&#x20;and&#x20;truncation&#x20;&#40;&#x20;truncate&#x20;,&#x20;ftruncate&#x20;&#41;&#x20;of&#x20;files.&#x20;An&#x20;audit&#x20;log&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;if&#x20;the&#x20;user&#x20;is&#x20;a&#x20;non-&#x20;privileged&#x20;user&#x20;&#40;auid&#x20;&gt;&#x20;=&#x20;1000&#41;,&#x20;is&#x20;not&#x20;a&#x20;Daemon&#x20;event&#x20;&#40;auid=4294967295&#41;&#x20;and&#x20;if&#x20;the&#x20;system&#x20;call&#x20;returned&#x20;EACCES&#x20;&#40;permission&#x20;denied&#x20;to&#x20;the&#x20;file&#41;&#x20;or&#x20;EPERM&#x20;&#40;some&#x20;other&#x20;permanent&#x20;error&#x20;associated&#x20;with&#x20;the&#x20;specific&#x20;system&#x20;call&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;access.&quot;','Failed&#x20;attempts&#x20;to&#x20;open,&#x20;create&#x20;or&#x20;truncate&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;an&#x20;individual&#x20;or&#x20;process&#x20;is&#x20;trying&#x20;to&#x20;gain&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.11\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"10.2.4\"]}, {\"nist_800_53\": [\"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(2110,'Ensure&#x20;successful&#x20;file&#x20;system&#x20;mounts&#x20;are&#x20;collected','Monitor&#x20;the&#x20;use&#x20;of&#x20;the&#x20;mount&#x20;system&#x20;call.&#x20;The&#x20;mount&#x20;&#40;and&#x20;umount&#x20;&#41;&#x20;system&#x20;call&#x20;controls&#x20;the&#x20;mounting&#x20;and&#x20;unmounting&#x20;of&#x20;file&#x20;systems.&#x20;The&#x20;parameters&#x20;below&#x20;configure&#x20;the&#x20;system&#x20;to&#x20;create&#x20;an&#x20;audit&#x20;record&#x20;when&#x20;the&#x20;mount&#x20;system&#x20;call&#x20;is&#x20;used&#x20;by&#x20;a&#x20;non-privileged&#x20;user.','It&#x20;is&#x20;highly&#x20;unusual&#x20;for&#x20;a&#x20;non&#x20;privileged&#x20;user&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;to&#x20;the&#x20;system.&#x20;While&#x20;tracking&#x20;mount&#x20;commands&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;evidence&#x20;that&#x20;external&#x20;media&#x20;may&#x20;have&#x20;been&#x20;mounted&#x20;&#40;based&#x20;on&#x20;a&#x20;review&#x20;of&#x20;the&#x20;source&#x20;of&#x20;the&#x20;mount&#x20;and&#x20;confirming&#x20;it&#039;s&#x20;an&#x20;external&#x20;media&#x20;type&#41;,&#x20;it&#x20;does&#x20;not&#x20;conclusively&#x20;indicate&#x20;that&#x20;data&#x20;was&#x20;exported&#x20;to&#x20;the&#x20;media.&#x20;System&#x20;administrators&#x20;who&#x20;wish&#x20;to&#x20;determine&#x20;if&#x20;data&#x20;were&#x20;exported,&#x20;would&#x20;also&#x20;have&#x20;to&#x20;track&#x20;successful&#x20;open&#x20;,&#x20;creat&#x20;and&#x20;truncate&#x20;system&#x20;calls&#x20;requiring&#x20;write&#x20;access&#x20;to&#x20;a&#x20;file&#x20;under&#x20;the&#x20;mount&#x20;point&#x20;of&#x20;the&#x20;external&#x20;media&#x20;file&#x20;system.&#x20;This&#x20;could&#x20;give&#x20;a&#x20;fair&#x20;indication&#x20;that&#x20;a&#x20;write&#x20;occurred.&#x20;The&#x20;only&#x20;way&#x20;to&#x20;truly&#x20;prove&#x20;it,&#x20;would&#x20;be&#x20;to&#x20;track&#x20;successful&#x20;writes&#x20;to&#x20;the&#x20;external&#x20;media.&#x20;Tracking&#x20;write&#x20;system&#x20;calls&#x20;could&#x20;quickly&#x20;fill&#x20;up&#x20;the&#x20;audit&#x20;log&#x20;and&#x20;is&#x20;not&#x20;recommended.&#x20;Recommendations&#x20;on&#x20;configuration&#x20;options&#x20;to&#x20;track&#x20;data&#x20;export&#x20;to&#x20;media&#x20;is&#x20;beyond&#x20;the&#x20;scope&#x20;of&#x20;this&#x20;document.','','For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts.&#x20;Notes:&#x20;This&#x20;tracks&#x20;successful&#x20;and&#x20;unsuccessful&#x20;mount&#x20;commands.&#x20;File&#x20;system&#x20;mounts&#x20;do&#x20;not&#x20;have&#x20;to&#x20;come&#x20;from&#x20;external&#x20;media&#x20;and&#x20;this&#x20;action&#x20;still&#x20;does&#x20;not&#x20;verify&#x20;write&#x20;&#40;e.g.&#x20;CD&#x20;ROMS&#41;.&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.13\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(2111,'Ensure&#x20;file&#x20;deletion&#x20;events&#x20;by&#x20;users&#x20;are&#x20;collected','Monitor&#x20;the&#x20;use&#x20;of&#x20;system&#x20;calls&#x20;associated&#x20;with&#x20;the&#x20;deletion&#x20;or&#x20;renaming&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes.&#x20;This&#x20;configuration&#x20;statement&#x20;sets&#x20;up&#x20;monitoring&#x20;for&#x20;the&#x20;unlink&#x20;&#40;remove&#x20;a&#x20;file&#41;,&#x20;unlinkat&#x20;&#40;remove&#x20;a&#x20;file&#x20;attribute&#41;,&#x20;rename&#x20;&#40;rename&#x20;a&#x20;file&#41;&#x20;and&#x20;renameat&#x20;&#40;rename&#x20;a&#x20;file&#x20;attribute&#41;&#x20;system&#x20;calls&#x20;and&#x20;tags&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;delete&quot;.','Monitoring&#x20;these&#x20;calls&#x20;from&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;evidence&#x20;that&#x20;inappropriate&#x20;removal&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes&#x20;associated&#x20;with&#x20;protected&#x20;files&#x20;is&#x20;occurring.&#x20;While&#x20;this&#x20;audit&#x20;option&#x20;will&#x20;look&#x20;at&#x20;all&#x20;events,&#x20;system&#x20;administrators&#x20;will&#x20;want&#x20;to&#x20;look&#x20;for&#x20;specific&#x20;privileged&#x20;files&#x20;that&#x20;are&#x20;being&#x20;deleted&#x20;or&#x20;altered.','','For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete.&#x20;Notes:&#x20;At&#x20;a&#x20;minimum,&#x20;configure&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;collect&#x20;file&#x20;deletion&#x20;events&#x20;for&#x20;all&#x20;users&#x20;and&#x20;root.&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.14\"]}, {\"cis_csc\": [\"6,2\", \"13\"]}, {\"pci_dss\": [\"10.5.5\"]}, {\"nist_800_53\": [\"AU.14\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2112,'Ensure&#x20;changes&#x20;to&#x20;system&#x20;administration&#x20;scope&#x20;&#40;sudoers&#41;&#x20;is&#x20;collected','Monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrations.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;force&#x20;system&#x20;administrators&#x20;to&#x20;log&#x20;in&#x20;as&#x20;themselves&#x20;first&#x20;and&#x20;then&#x20;use&#x20;the&#x20;sudo&#x20;command&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;it&#x20;is&#x20;possible&#x20;to&#x20;monitor&#x20;changes&#x20;in&#x20;scope.&#x20;The&#x20;file&#x20;/etc/sudoers&#x20;will&#x20;be&#x20;written&#x20;to&#x20;when&#x20;the&#x20;file&#x20;or&#x20;its&#x20;attributes&#x20;have&#x20;changed.&#x20;The&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;scope.&quot;','Changes&#x20;in&#x20;the&#x20;/etc/sudoers&#x20;file&#x20;can&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;change&#x20;has&#x20;been&#x20;made&#x20;to&#x20;scope&#x20;of&#x20;system&#x20;administrator&#x20;activity.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/etc/sudoers&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;|&#x20;-w&#x20;/etc/sudoers.d/&#x20;-p&#x20;wa&#x20;-k&#x20;scope.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.15\"]}, {\"cis_csc\": [\"4.8\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(2113,'Ensure&#x20;system&#x20;administrator&#x20;actions&#x20;&#40;sudolog&#41;&#x20;are&#x20;collected','Monitor&#x20;the&#x20;sudo&#x20;log&#x20;file.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;disable&#x20;the&#x20;use&#x20;of&#x20;the&#x20;su&#x20;command&#x20;and&#x20;force&#x20;all&#x20;administrators&#x20;to&#x20;have&#x20;to&#x20;log&#x20;in&#x20;first&#x20;and&#x20;then&#x20;use&#x20;sudo&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;then&#x20;all&#x20;administrator&#x20;commands&#x20;will&#x20;be&#x20;logged&#x20;to&#x20;/var/log/sudo.log&#x20;.&#x20;Any&#x20;time&#x20;a&#x20;command&#x20;is&#x20;executed,&#x20;an&#x20;audit&#x20;event&#x20;will&#x20;be&#x20;triggered&#x20;as&#x20;the&#x20;/var/log/sudo.log&#x20;file&#x20;will&#x20;be&#x20;opened&#x20;for&#x20;write&#x20;and&#x20;the&#x20;executed&#x20;administration&#x20;command&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;log.','Changes&#x20;in&#x20;/var/log/sudo.log&#x20;indicate&#x20;that&#x20;an&#x20;administrator&#x20;has&#x20;executed&#x20;a&#x20;command&#x20;or&#x20;the&#x20;log&#x20;file&#x20;itself&#x20;has&#x20;been&#x20;tampered&#x20;with.&#x20;Administrators&#x20;will&#x20;want&#x20;to&#x20;correlate&#x20;the&#x20;events&#x20;written&#x20;to&#x20;the&#x20;audit&#x20;trail&#x20;with&#x20;the&#x20;records&#x20;written&#x20;to&#x20;/var/log/sudo.log&#x20;to&#x20;verify&#x20;if&#x20;unauthorized&#x20;commands&#x20;have&#x20;been&#x20;executed.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/var/log/sudo.log&#x20;-p&#x20;wa&#x20;-k&#x20;actions.&#x20;Notes:&#x20;The&#x20;system&#x20;must&#x20;be&#x20;configured&#x20;with&#x20;sudisabled&#x20;&#40;See&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted&#41;&#x20;to&#x20;force&#x20;all&#x20;command&#x20;execution&#x20;through&#x20;sudo.&#x20;This&#x20;will&#x20;not&#x20;be&#x20;effective&#x20;on&#x20;the&#x20;console,&#x20;as&#x20;administrators&#x20;can&#x20;log&#x20;in&#x20;as&#x20;root.&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.16\"]}, {\"cis_csc\": [\"4.9\"]}, {\"pci_dss\": [\"10.2.2\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.6\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(2114,'Ensure&#x20;kernel&#x20;module&#x20;loading&#x20;and&#x20;unloading&#x20;is&#x20;collected','Monitor&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;kernel&#x20;modules.&#x20;The&#x20;programs&#x20;insmod&#x20;&#40;install&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;rmmod&#x20;&#40;remove&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;and&#x20;modprobe&#x20;&#40;a&#x20;more&#x20;sophisticated&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules,&#x20;as&#x20;well&#x20;as&#x20;some&#x20;other&#x20;features&#41;&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;The&#x20;init_module&#x20;&#40;load&#x20;a&#x20;module&#41;&#x20;and&#x20;delete_module&#x20;&#40;delete&#x20;a&#x20;module&#41;&#x20;system&#x20;calls&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;Any&#x20;execution&#x20;of&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;module&#x20;programs&#x20;and&#x20;system&#x20;calls&#x20;will&#x20;trigger&#x20;an&#x20;audit&#x20;record&#x20;with&#x20;an&#x20;identifier&#x20;of&#x20;&quot;modules&quot;.','Monitoring&#x20;the&#x20;use&#x20;of&#x20;insmod,&#x20;rmmod&#x20;and&#x20;modprobe&#x20;could&#x20;provide&#x20;system&#x20;administrators&#x20;with&#x20;evidence&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;loaded&#x20;or&#x20;unloaded&#x20;a&#x20;kernel&#x20;module,&#x20;possibly&#x20;compromising&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.&#x20;Monitoring&#x20;of&#x20;the&#x20;init_module&#x20;and&#x20;delete_module&#x20;system&#x20;calls&#x20;would&#x20;reflect&#x20;an&#x20;unauthorized&#x20;user&#x20;attempting&#x20;to&#x20;use&#x20;a&#x20;different&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules.','','For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/sbin/insmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;|&#x20;-w&#x20;/sbin/rmmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;|&#x20;-w&#x20;/sbin/modprobe&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;init_module&#x20;-S&#x20;delete_module&#x20;-k&#x20;modules.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.17\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}]'),(2115,'Ensure&#x20;the&#x20;audit&#x20;configuration&#x20;is&#x20;immutable','Set&#x20;system&#x20;audit&#x20;so&#x20;that&#x20;audit&#x20;rules&#x20;cannot&#x20;be&#x20;modified&#x20;with&#x20;auditctl.&#x20;Setting&#x20;the&#x20;flag&#x20;&quot;-e&#x20;2&quot;&#x20;forces&#x20;audit&#x20;to&#x20;be&#x20;put&#x20;in&#x20;immutable&#x20;mode.&#x20;Audit&#x20;changes&#x20;can&#x20;only&#x20;be&#x20;made&#x20;on&#x20;system&#x20;reboot.','In&#x20;immutable&#x20;mode,&#x20;unauthorized&#x20;users&#x20;cannot&#x20;execute&#x20;changes&#x20;to&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;potentially&#x20;hide&#x20;malicious&#x20;activity&#x20;and&#x20;then&#x20;put&#x20;the&#x20;audit&#x20;rules&#x20;back.&#x20;Users&#x20;would&#x20;most&#x20;likely&#x20;notice&#x20;a&#x20;system&#x20;reboot&#x20;and&#x20;that&#x20;could&#x20;alert&#x20;administrators&#x20;of&#x20;an&#x20;attempt&#x20;to&#x20;make&#x20;unauthorized&#x20;audit&#x20;changes.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;end&#x20;of&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-e&#x20;2.&#x20;Notes:&#x20;This&#x20;setting&#x20;will&#x20;ensure&#x20;reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;requires&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.18\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.5\"]}, {\"nist_800_53\": [\"AU.9\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC7.2\"]}]'),(2116,'Ensure&#x20;rsyslog&#x20;Service&#x20;is&#x20;enabled','Once&#x20;the&#x20;rsyslog&#x20;package&#x20;is&#x20;installed&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;activated.','If&#x20;the&#x20;rsyslog&#x20;service&#x20;is&#x20;not&#x20;activated&#x20;the&#x20;system&#x20;will&#x20;not&#x20;have&#x20;a&#x20;syslog&#x20;service&#x20;running.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;rsyslog:&#x20;#&#x20;systemctl&#x20;enable&#x20;rsyslog','[{\"cis\": [\"4.2.1.1\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(2117,'Ensure&#x20;rsyslog&#x20;default&#x20;file&#x20;permissions&#x20;configured','rsyslog&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;set&#x20;$FileCreateMode&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;&#x20;&#x20;$FileCreateMode&#x20;0640','[{\"cis\": [\"4.2.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.5.1\", \"10.5.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.9\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC7.2\", \"CC.7.3\", \"CC7.4\"]}]'),(2118,'Ensure&#x20;rsyslog&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host','The&#x20;rsyslog&#x20;utility&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;logs&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;running&#x20;syslogd&#40;8&#41;&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;reducing&#x20;administrative&#x20;overhead.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;&#40;where&#x20;loghost.example.com&#x20;is&#x20;the&#x20;name&#x20;of&#x20;your&#x20;central&#x20;log&#x20;host&#41;:&#x20;*.*&#x20;@@loghost.example.com.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;rsyslogd&#x20;configuration:&#x20;#&#x20;pkill&#x20;-HUP&#x20;rsyslogd','[{\"cis\": [\"4.2.1.4\"]}, {\"cis_csc\": [\"6.6\", \"6.8\"]}, {\"pci_dss\": [\"10.5.3\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.4\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2119,'Ensure&#x20;remote&#x20;rsyslog&#x20;messages&#x20;are&#x20;only&#x20;accepted&#x20;on&#x20;designated&#x20;log&#x20;hosts','By&#x20;default,&#x20;rsyslog&#x20;does&#x20;not&#x20;listen&#x20;for&#x20;log&#x20;messages&#x20;coming&#x20;in&#x20;from&#x20;remote&#x20;systems.&#x20;The&#x20;ModLoad&#x20;tells&#x20;rsyslog&#x20;to&#x20;load&#x20;the&#x20;imtcp.so&#x20;module&#x20;so&#x20;it&#x20;can&#x20;listen&#x20;over&#x20;a&#x20;network&#x20;via&#x20;TCP.&#x20;The&#x20;InputTCPServerRun&#x20;option&#x20;instructs&#x20;rsyslogd&#x20;to&#x20;listen&#x20;on&#x20;the&#x20;specified&#x20;TCP&#x20;port.','The&#x20;guidance&#x20;in&#x20;the&#x20;section&#x20;ensures&#x20;that&#x20;remote&#x20;log&#x20;hosts&#x20;are&#x20;configured&#x20;to&#x20;only&#x20;accept&#x20;rsyslog&#x20;data&#x20;from&#x20;hosts&#x20;within&#x20;the&#x20;specified&#x20;domain&#x20;and&#x20;that&#x20;those&#x20;systems&#x20;that&#x20;are&#x20;not&#x20;designed&#x20;to&#x20;be&#x20;log&#x20;hosts&#x20;do&#x20;not&#x20;accept&#x20;any&#x20;remote&#x20;rsyslog&#x20;messages.&#x20;This&#x20;provides&#x20;protection&#x20;from&#x20;spoofed&#x20;log&#x20;data&#x20;and&#x20;ensures&#x20;that&#x20;system&#x20;administrators&#x20;are&#x20;reviewing&#x20;reasonably&#x20;complete&#x20;syslog&#x20;data&#x20;in&#x20;a&#x20;central&#x20;location.','','For&#x20;hosts&#x20;that&#x20;are&#x20;designated&#x20;as&#x20;log&#x20;hosts,&#x20;edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;file&#x20;and&#x20;un-comment&#x20;or&#x20;add&#x20;the&#x20;following&#x20;lines:$ModLoad&#x20;imtcp&#x20;&amp;&#x20;$InputTCPServerRun&#x20;514.&#x20;For&#x20;hosts&#x20;that&#x20;are&#x20;not&#x20;designated&#x20;as&#x20;log&#x20;hosts,&#x20;edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;file&#x20;and&#x20;comment&#x20;or&#x20;remove&#x20;the&#x20;following&#x20;lines:&#x20;#&#x20;$ModLoad&#x20;imtcp&#x20;#&#x20;$InputTCPServerRun&#x20;514.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;rsyslogd&#x20;configuration:&#x20;#&#x20;pkill&#x20;-HUP&#x20;rsyslogd','[{\"cis\": [\"4.2.1.5\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"10.5.1\"]}]'),(2120,'Ensure&#x20;syslog-ng&#x20;service&#x20;is&#x20;enabled','Once&#x20;the&#x20;syslog-ng&#x20;package&#x20;is&#x20;installed&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;activated.','If&#x20;the&#x20;syslog-ng&#x20;service&#x20;is&#x20;not&#x20;activated&#x20;the&#x20;system&#x20;may&#x20;default&#x20;to&#x20;the&#x20;syslogd&#x20;service&#x20;or&#x20;lack&#x20;logging&#x20;instead.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;rsyslog&#x20;:&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;enable&#x20;syslog-ng','[{\"cis\": [\"4.2.2.1\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(2121,'Ensure&#x20;syslog-ng&#x20;default&#x20;file&#x20;permissions&#x20;configured','syslog-ng&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;syslog-ng&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Edit&#x20;the&#x20;/etc/syslog-ng/syslog-ng.conf&#x20;and&#x20;set&#x20;perm&#x20;option&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;&#x20;&#x20;&#x20;&#x20;options&#x20;{&#x20;chain_hostnames&#40;off&#41;;&#x20;flush_lines&#40;0&#41;;&#x20;perm&#40;0640&#41;;&#x20;stats_freq&#40;3600&#41;;&#x20;threaded&#40;yes&#41;;&#x20;};','[{\"cis\": [\"4.2.2.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.5.1\", \"10.5.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.9\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC7.2\", \"CC.7.3\", \"CC7.4\"]}]'),(2122,'Ensure&#x20;syslog-ng&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host','The&#x20;syslog-ng&#x20;utility&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;logs&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;reducing&#x20;administrative&#x20;overhead.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/syslog-ng/syslog-ng.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;&#40;where&#x20;logfile.example.com&#x20;is&#x20;the&#x20;name&#x20;of&#x20;your&#x20;central&#x20;log&#x20;host&#41;.&#x20;&#x20;&#x20;&#x20;destination&#x20;logserver&#x20;{&#x20;tcp&#40;&quot;logfile.example.com&quot;&#x20;port&#40;514&#41;&#41;;&#x20;};&#x20;&#x20;&#x20;&#x20;log&#x20;{&#x20;source&#40;src&#41;;&#x20;destination&#40;logserver&#41;;&#x20;};&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;rsyslogd&#x20;configuration:&#x20;#&#x20;pkill&#x20;-HUP&#x20;syslog-ng','[{\"cis\": [\"4.2.2.4\"]}, {\"cis_csc\": [\"6.6\", \"6.8\"]}, {\"pci_dss\": [\"10.5.3\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.4\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2123,'Ensure&#x20;rsyslog&#x20;or&#x20;syslog-ng&#x20;is&#x20;installed','The&#x20;rsyslog&#x20;and&#x20;syslog-ng&#x20;software&#x20;are&#x20;recommended&#x20;replacements&#x20;to&#x20;the&#x20;original&#x20;syslogd&#x20;daemon&#x20;which&#x20;provide&#x20;improvements&#x20;over&#x20;syslogd&#x20;,&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server.','The&#x20;security&#x20;enhancements&#x20;of&#x20;rsyslog&#x20;and&#x20;syslog-ng&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server&#41;&#x20;justify&#x20;installing&#x20;and&#x20;configuring&#x20;the&#x20;package.','','Install&#x20;rsyslog&#x20;or&#x20;syslog-ng&#x20;using&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands:&#x20;#&#x20;apt-get&#x20;install&#x20;rsyslog&#x20;#&#x20;apt-get&#x20;install&#x20;syslog-ng','[{\"cis\": [\"4.2.3\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(2124,'Ensure&#x20;cron&#x20;daemon&#x20;is&#x20;enabled','The&#x20;cron&#x20;daemon&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;batch&#x20;jobs&#x20;on&#x20;the&#x20;system.','While&#x20;there&#x20;may&#x20;not&#x20;be&#x20;user&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;be&#x20;run&#x20;on&#x20;the&#x20;system,&#x20;the&#x20;system&#x20;does&#x20;have&#x20;maintenance&#x20;jobs&#x20;that&#x20;may&#x20;include&#x20;security&#x20;monitoring&#x20;that&#x20;have&#x20;to&#x20;run,&#x20;and&#x20;cron&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;them.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;cron:&#x20;systemctl&#x20;enable&#x20;cron','[{\"cis\": [\"5.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2125,'Ensure&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;are&#x20;configured','The&#x20;/etc/crontab&#x20;file&#x20;is&#x20;used&#x20;by&#x20;cron&#x20;to&#x20;control&#x20;its&#x20;own&#x20;jobs.&#x20;The&#x20;commands&#x20;in&#x20;this&#x20;item&#x20;make&#x20;sure&#x20;that&#x20;root&#x20;is&#x20;the&#x20;user&#x20;and&#x20;group&#x20;owner&#x20;of&#x20;the&#x20;file&#x20;and&#x20;that&#x20;only&#x20;the&#x20;owner&#x20;can&#x20;access&#x20;the&#x20;file.','This&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;what&#x20;system&#x20;jobs&#x20;are&#x20;run&#x20;by&#x20;cron.&#x20;Write&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;unprivileged&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;elevate&#x20;their&#x20;privileges.&#x20;Read&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;gain&#x20;insight&#x20;on&#x20;system&#x20;jobs&#x20;that&#x20;run&#x20;on&#x20;the&#x20;system&#x20;and&#x20;could&#x20;provide&#x20;them&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;unauthorized&#x20;privileged&#x20;access.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/crontab&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/crontab','[{\"cis\": [\"5.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(2126,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;are&#x20;configured','This&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;an&#x20;hourly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.hourly&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.hourly','[{\"cis\": [\"5.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2127,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;are&#x20;configured','The&#x20;/etc/cron.daily&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;daily&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.daily&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.daily','[{\"cis\": [\"5.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2128,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;are&#x20;configured','The&#x20;/etc/cron.weekly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;weekly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.weekly&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.weekly','[{\"cis\": [\"5.1.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2129,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;are&#x20;configured','The&#x20;/etc/cron.monthly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;monthly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.monthly&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.monthly','[{\"cis\": [\"5.1.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2130,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;are&#x20;configured','Configure&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/cron.allow&#x20;or&#x20;/etc/at.allow&#x20;do&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.deny&#x20;and&#x20;/etc/cron.deny&#x20;are&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;files,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;Note&#x20;that&#x20;even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow&#x20;,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cron&#x20;jobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny&#x20;and&#x20;/etc/at.deny&#x20;and&#x20;create&#x20;and&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow:&#x20;rm&#x20;/etc/cron.deny;rm&#x20;/etc/at.deny;touch&#x20;/etc/cron.allow;&#x20;touch&#x20;/etc/at.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/at.allow;&#x20;chown&#x20;root:root&#x20;/etc/cron.allow&#x20;and&#x20;chown&#x20;root:root&#x20;/etc/at.allow','[{\"cis\": [\"5.1.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2131,'Ensure&#x20;at/cron&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users','Configure&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/cron.allow&#x20;or&#x20;/etc/at.allow&#x20;do&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.deny&#x20;and&#x20;/etc/cron.deny&#x20;are&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;files,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;Note&#x20;that&#x20;even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cronjobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny&#x20;and&#x20;/etc/at.deny&#x20;and&#x20;create&#x20;and&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow:&#x20;#&#x20;rm&#x20;/etc/cron.deny&#x20;#&#x20;rm&#x20;/etc/at.deny&#x20;#&#x20;touch&#x20;/etc/cron.allow&#x20;#&#x20;touch&#x20;/etc/at.allow&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.allow&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/at.allow&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.allow&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/at.allow','[{\"cis\": [\"5.1.8\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2132,'Ensure&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config&#x20;are&#x20;configured','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;contains&#x20;configuration&#x20;specifications&#x20;for&#x20;sshd.&#x20;The&#x20;command&#x20;below&#x20;sets&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;file&#x20;to&#x20;root.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-&#x20;privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/ssh/sshd_config&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/ssh/sshd_config','[{\"cis\": [\"5.2.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2133,'Ensure&#x20;SSH&#x20;Protocol&#x20;is&#x20;set&#x20;to&#x20;2','Older&#x20;versions&#x20;of&#x20;SSH&#x20;support&#x20;two&#x20;different&#x20;and&#x20;incompatible&#x20;protocols:&#x20;SSH1&#x20;and&#x20;SSH2.&#x20;SSH1&#x20;was&#x20;the&#x20;original&#x20;protocol&#x20;and&#x20;was&#x20;subject&#x20;to&#x20;security&#x20;issues.&#x20;SSH2&#x20;is&#x20;more&#x20;advanced&#x20;and&#x20;secure.','SSH&#x20;v1&#x20;suffers&#x20;from&#x20;insecurities&#x20;that&#x20;do&#x20;not&#x20;affect&#x20;SSH&#x20;v2.&#x20;Notes:&#x20;This&#x20;command&#x20;not&#x20;longer&#x20;exists&#x20;in&#x20;newer&#x20;versions&#x20;of&#x20;SSH.&#x20;This&#x20;check&#x20;is&#x20;still&#x20;being&#x20;included&#x20;for&#x20;systems&#x20;that&#x20;may&#x20;be&#x20;running&#x20;an&#x20;older&#x20;version&#x20;of&#x20;SSH.&#x20;As&#x20;of&#x20;openSSH&#x20;version&#x20;7.4&#x20;this&#x20;parameter&#x20;will&#x20;not&#x20;cause&#x20;an&#x20;issue&#x20;when&#x20;included.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Protocol&#x20;2','[{\"cis\": [\"5.2.4\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\"]}]'),(2134,'Ensure&#x20;SSH&#x20;LogLevel&#x20;is&#x20;appropriate','INFO&#x20;level&#x20;is&#x20;the&#x20;basic&#x20;level&#x20;that&#x20;only&#x20;records&#x20;login&#x20;activity&#x20;of&#x20;SSH&#x20;users.&#x20;In&#x20;many&#x20;situations,&#x20;such&#x20;as&#x20;Incident&#x20;Response,&#x20;it&#x20;is&#x20;important&#x20;to&#x20;determine&#x20;when&#x20;a&#x20;particular&#x20;user&#x20;was&#x20;active&#x20;on&#x20;a&#x20;system.&#x20;The&#x20;logout&#x20;record&#x20;can&#x20;eliminate&#x20;those&#x20;users&#x20;who&#x20;disconnected,&#x20;which&#x20;helps&#x20;narrow&#x20;the&#x20;field.&#x20;VERBOSE&#x20;level&#x20;specifies&#x20;that&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;as&#x20;well&#x20;as&#x20;the&#x20;key&#x20;fingerprint&#x20;for&#x20;any&#x20;SSH&#x20;key&#x20;used&#x20;for&#x20;login&#x20;will&#x20;be&#x20;logged.&#x20;This&#x20;information&#x20;is&#x20;important&#x20;for&#x20;SSH&#x20;key&#x20;management,&#x20;especially&#x20;in&#x20;legacy&#x20;environments.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;VERBOSE&#x20;or&#x20;LogLevel&#x20;INFO','[{\"cis\": [\"5.2.5\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\"]}]'),(2135,'Ensure&#x20;SSH&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled','The&#x20;X11Forwarding&#x20;parameter&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;tunnel&#x20;X11&#x20;traffic&#x20;through&#x20;the&#x20;connection&#x20;to&#x20;enable&#x20;remote&#x20;graphic&#x20;connections.','Disable&#x20;X11&#x20;forwarding&#x20;unless&#x20;there&#x20;is&#x20;an&#x20;operational&#x20;requirement&#x20;to&#x20;use&#x20;X11&#x20;applications&#x20;directly.&#x20;There&#x20;is&#x20;a&#x20;small&#x20;risk&#x20;that&#x20;the&#x20;remote&#x20;X11&#x20;servers&#x20;of&#x20;users&#x20;who&#x20;are&#x20;logged&#x20;in&#x20;via&#x20;SSH&#x20;with&#x20;X11&#x20;forwarding&#x20;could&#x20;be&#x20;compromised&#x20;by&#x20;other&#x20;users&#x20;on&#x20;the&#x20;X11&#x20;server.&#x20;Note&#x20;that&#x20;even&#x20;if&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled,&#x20;users&#x20;can&#x20;always&#x20;install&#x20;their&#x20;own&#x20;forwarders.','','Edit&#x20;the&#x20;/etc/ssh/sshd_configfile&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;X11Forwarding&#x20;no','[{\"cis\": [\"5.2.6\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(2136,'Ensure&#x20;SSH&#x20;MaxAuthTries&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc\": [\"16.13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2137,'Ensure&#x20;SSH&#x20;IgnoreRhosts&#x20;is&#x20;enabled','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhostsand&#x20;.shostsfiles&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthenticationor&#x20;HostbasedAuthentication.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;ssh.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;IgnoreRhosts&#x20;yes','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\"]}]'),(2138,'Ensure&#x20;SSH&#x20;HostbasedAuthentication&#x20;is&#x20;disabled','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts,&#x20;or&#x20;/etc/hosts.equiv,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.&#x20;This&#x20;option&#x20;only&#x20;applies&#x20;to&#x20;SSH&#x20;Protocol&#x20;Version&#x20;2.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no','[{\"cis\": [\"5.2.9\"]}, {\"cis_csc\": [\"16.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\"]}]'),(2139,'Ensure&#x20;SSH&#x20;root&#x20;login&#x20;is&#x20;disabled','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;ssh&#40;1&#41;.&#x20;The&#x20;default&#x20;is&#x20;no.','Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;server&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root&#x20;via&#x20;sudo&#x20;or&#x20;su.&#x20;This&#x20;in&#x20;turn&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no','[{\"cis\": [\"5.2.10\"]}, {\"cis_csc\": [\"4.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\"]}]'),(2140,'Ensure&#x20;SSH&#x20;PermitEmptyPasswords&#x20;is&#x20;disabled','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no','[{\"cis\": [\"5.2.11\"]}, {\"cis_csc\": [\"16.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\"]}]'),(2141,'Ensure&#x20;SSH&#x20;PermitUserEnvironment&#x20;is&#x20;disabled','The&#x20;PermitUserEnvironment&#x20;option&#x20;allows&#x20;users&#x20;to&#x20;present&#x20;environment&#x20;options&#x20;to&#x20;the&#x20;ssh&#x20;daemon.','Permitting&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;environment&#x20;variables&#x20;through&#x20;the&#x20;SSH&#x20;daemon&#x20;could&#x20;potentially&#x20;allow&#x20;users&#x20;to&#x20;bypass&#x20;security&#x20;controls&#x20;&#40;e.g.&#x20;setting&#x20;an&#x20;execution&#x20;path&#x20;that&#x20;has&#x20;ssh&#x20;executing&#x20;trojan&#039;d&#x20;programs&#41;','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitUserEnvironment&#x20;no','[{\"cis\": [\"5.2.12\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\", \"CC6.1\", \"CC7.2\"]}]'),(2142,'Ensure&#x20;only&#x20;strong&#x20;ciphers&#x20;are&#x20;used','This&#x20;variable&#x20;limits&#x20;the&#x20;ciphers&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.','Weak&#x20;ciphers&#x20;that&#x20;are&#x20;used&#x20;for&#x20;authentication&#x20;to&#x20;the&#x20;cryptographic&#x20;module&#x20;cannot&#x20;be&#x20;relied&#x20;upon&#x20;to&#x20;provide&#x20;confidentiality&#x20;or&#x20;integrity,&#x20;and&#x20;system&#x20;data&#x20;may&#x20;be&#x20;compromised&#x20;The&#x20;DES,&#x20;Triple&#x20;DES,&#x20;and&#x20;Blowfish&#x20;ciphers,&#x20;as&#x20;used&#x20;in&#x20;SSH,&#x20;have&#x20;a&#x20;birthday&#x20;bound&#x20;of&#x20;approximately&#x20;four&#x20;billion&#x20;blocks,&#x20;which&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;obtain&#x20;cleartext&#x20;data&#x20;via&#x20;a&#x20;birthday&#x20;attack&#x20;against&#x20;a&#x20;long-duration&#x20;encrypted&#x20;session,&#x20;aka&#x20;a&#x20;&quot;Sweet32&quot;&#x20;attack&#x20;The&#x20;RC4&#x20;algorithm,&#x20;as&#x20;used&#x20;in&#x20;the&#x20;TLS&#x20;protocol&#x20;and&#x20;SSL&#x20;protocol,&#x20;does&#x20;not&#x20;properly&#x20;combine&#x20;state&#x20;data&#x20;with&#x20;key&#x20;data&#x20;during&#x20;the&#x20;initialization&#x20;phase,&#x20;which&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;conduct&#x20;plaintext-recovery&#x20;attacks&#x20;against&#x20;the&#x20;initial&#x20;bytes&#x20;of&#x20;a&#x20;stream&#x20;by&#x20;sniffing&#x20;network&#x20;traffic&#x20;that&#x20;occasionally&#x20;relies&#x20;on&#x20;keys&#x20;affected&#x20;by&#x20;the&#x20;Invariance&#x20;Weakness,&#x20;and&#x20;then&#x20;using&#x20;a&#x20;brute-force&#x20;approach&#x20;involving&#x20;LSB&#x20;values,&#x20;aka&#x20;the&#x20;&quot;Bar&#x20;Mitzvah&quot;&#x20;issue&#x20;The&#x20;passwords&#x20;used&#x20;during&#x20;an&#x20;SSH&#x20;session&#x20;encrypted&#x20;with&#x20;RC4&#x20;can&#x20;be&#x20;recovered&#x20;by&#x20;an&#x20;attacker&#x20;who&#x20;is&#x20;able&#x20;to&#x20;capture&#x20;and&#x20;replay&#x20;the&#x20;session&#x20;Error&#x20;handling&#x20;in&#x20;the&#x20;SSH&#x20;protocol;&#x20;Client&#x20;and&#x20;Server,&#x20;when&#x20;using&#x20;a&#x20;block&#x20;cipher&#x20;algorithm&#x20;in&#x20;Cipher&#x20;Block&#x20;Chaining&#x20;&#40;CBC&#41;&#x20;mode,&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;recover&#x20;certain&#x20;plaintext&#x20;data&#x20;from&#x20;an&#x20;arbitrary&#x20;block&#x20;of&#x20;ciphertext&#x20;in&#x20;an&#x20;SSH&#x20;session&#x20;via&#x20;unknown&#x20;vectors&#x20;The&#x20;mm_newkeys_from_blob&#x20;function&#x20;in&#x20;monitor_wrap.c,&#x20;when&#x20;an&#x20;AES-GCM&#x20;cipher&#x20;is&#x20;used,&#x20;does&#x20;not&#x20;properly&#x20;initialize&#x20;memory&#x20;for&#x20;a&#x20;MAC&#x20;context&#x20;data&#x20;structure,&#x20;which&#x20;allows&#x20;remote&#x20;authenticated&#x20;users&#x20;to&#x20;bypass&#x20;intended&#x20;ForceCommand&#x20;and&#x20;login-shell&#x20;restrictions&#x20;via&#x20;packet&#x20;data&#x20;that&#x20;provides&#x20;a&#x20;crafted&#x20;callback&#x20;address','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;add/modify&#x20;the&#x20;Ciphers&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;ciphers&#x20;Example:&#x20;Ciphers&#x20;chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr','[{\"cis\": [\"5.2.13\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\", \"CC6.1\", \"CC7.2\"]}]'),(2143,'Ensure&#x20;only&#x20;strong&#x20;MAC&#x20;algorithms&#x20;are&#x20;used','This&#x20;variable&#x20;limits&#x20;the&#x20;types&#x20;of&#x20;MAC&#x20;algorithms&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.','MD5&#x20;and&#x20;96-bit&#x20;MAC&#x20;algorithms&#x20;are&#x20;considered&#x20;weak&#x20;and&#x20;have&#x20;been&#x20;shown&#x20;to&#x20;increase&#x20;exploitability&#x20;in&#x20;SSH&#x20;downgrade&#x20;attacks.&#x20;Weak&#x20;algorithms&#x20;continue&#x20;to&#x20;have&#x20;a&#x20;great&#x20;deal&#x20;of&#x20;attention&#x20;as&#x20;a&#x20;weak&#x20;spot&#x20;that&#x20;can&#x20;be&#x20;exploited&#x20;with&#x20;expanded&#x20;computing&#x20;power.&#x20;An&#x20;attacker&#x20;that&#x20;breaks&#x20;the&#x20;algorithm&#x20;could&#x20;take&#x20;advantage&#x20;of&#x20;a&#x20;MiTM&#x20;position&#x20;to&#x20;decrypt&#x20;the&#x20;SSH&#x20;tunnel&#x20;and&#x20;capture&#x20;credentials&#x20;and&#x20;information','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;and&#x20;add/modify&#x20;the&#x20;MACs&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;MACs&#x20;Example:&#x20;MACs&#x20;hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-&#x20;512,hmac-sha2-256','[{\"cis\": [\"5.2.14\"]}, {\"cis_csc\": [\"14.4\", \"16.5\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\", \"CC6.1\", \"CC7.2\"]}]'),(2144,'Ensure&#x20;only&#x20;strong&#x20;Key&#x20;Exchange&#x20;algorithms&#x20;are&#x20;used','Key&#x20;exchange&#x20;is&#x20;any&#x20;method&#x20;in&#x20;cryptography&#x20;by&#x20;which&#x20;cryptographic&#x20;keys&#x20;are&#x20;exchanged&#x20;between&#x20;two&#x20;parties,&#x20;allowing&#x20;use&#x20;of&#x20;a&#x20;cryptographic&#x20;algorithm.&#x20;If&#x20;the&#x20;sender&#x20;and&#x20;receiver&#x20;wish&#x20;to&#x20;exchange&#x20;encrypted&#x20;messages,&#x20;each&#x20;must&#x20;be&#x20;equipped&#x20;to&#x20;encrypt&#x20;messages&#x20;to&#x20;be&#x20;sent&#x20;and&#x20;decrypt&#x20;messages&#x20;received','Key&#x20;exchange&#x20;methods&#x20;that&#x20;are&#x20;considered&#x20;weak&#x20;should&#x20;be&#x20;removed.&#x20;A&#x20;key&#x20;exchange&#x20;method&#x20;may&#x20;be&#x20;weak&#x20;because&#x20;too&#x20;few&#x20;bits&#x20;are&#x20;used,&#x20;or&#x20;the&#x20;hashing&#x20;algorithm&#x20;is&#x20;considered&#x20;too&#x20;weak.&#x20;Using&#x20;weak&#x20;algorithms&#x20;could&#x20;expose&#x20;connections&#x20;to&#x20;man-in-the-middle&#x20;attacks','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;add/modify&#x20;the&#x20;KexAlgorithms&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;key&#x20;exchange&#x20;algorithms&#x20;Example:&#x20;KexAlgorithms&#x20;curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-&#x20;group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-&#x20;sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-&#x20;hellman-group-exchange-sha256','[{\"cis\": [\"5.2.15\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\", \"CC6.1\", \"CC7.2\"]}]'),(2145,'Ensure&#x20;SSH&#x20;Idle&#x20;Timeout&#x20;Interval&#x20;is&#x20;configured','The&#x20;two&#x20;options&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax&#x20;control&#x20;the&#x20;timeout&#x20;of&#x20;ssh&#x20;sessions.&#x20;When&#x20;the&#x20;ClientAliveInterval&#x20;variable&#x20;is&#x20;set,&#x20;ssh&#x20;sessions&#x20;that&#x20;have&#x20;no&#x20;activity&#x20;for&#x20;the&#x20;specified&#x20;length&#x20;of&#x20;time&#x20;are&#x20;terminated.&#x20;When&#x20;the&#x20;ClientAliveCountMax&#x20;variable&#x20;is&#x20;set,&#x20;sshd&#x20;will&#x20;send&#x20;client&#x20;alive&#x20;messages&#x20;at&#x20;every&#x20;ClientAliveInterval&#x20;interval.&#x20;When&#x20;the&#x20;number&#x20;of&#x20;consecutive&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;sent&#x20;with&#x20;no&#x20;response&#x20;from&#x20;the&#x20;client,&#x20;the&#x20;ssh&#x20;session&#x20;is&#x20;terminated.&#x20;For&#x20;example,&#x20;if&#x20;the&#x20;ClientAliveInterval&#x20;is&#x20;set&#x20;to&#x20;15&#x20;seconds&#x20;and&#x20;the&#x20;ClientAliveCountMax&#x20;is&#x20;set&#x20;to&#x20;3,&#x20;the&#x20;client&#x20;ssh&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;45&#x20;seconds&#x20;of&#x20;idle&#x20;time.','Having&#x20;no&#x20;timeout&#x20;value&#x20;associated&#x20;with&#x20;a&#x20;connection&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;ssh&#x20;session&#x20;&#40;e.g.&#x20;user&#x20;walks&#x20;away&#x20;from&#x20;their&#x20;computer&#x20;and&#x20;doesn&#039;t&#x20;lock&#x20;the&#x20;screen&#41;.&#x20;Setting&#x20;a&#x20;timeout&#x20;value&#x20;at&#x20;least&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;this&#x20;happening.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;300&#x20;seconds&#x20;&#40;5&#x20;minutes&#41;,&#x20;set&#x20;this&#x20;timeout&#x20;value&#x20;based&#x20;on&#x20;site&#x20;policy.&#x20;The&#x20;recommended&#x20;setting&#x20;for&#x20;ClientAliveCountMax&#x20;is&#x20;0.&#x20;In&#x20;this&#x20;case,&#x20;the&#x20;client&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;5&#x20;minutes&#x20;of&#x20;idle&#x20;time&#x20;and&#x20;no&#x20;keepalive&#x20;messages&#x20;will&#x20;be&#x20;sent.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameters&#x20;according&#x20;to&#x20;site&#x20;policy:&#x20;ClientAliveInterval&#x20;300&#x20;&#x20;&#x20;&#x20;ClientAliveCountMax&#x20;0','[{\"cis\": [\"5.2.16\"]}, {\"cis_csc\": [\"16.11\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(2146,'Ensure&#x20;SSH&#x20;LoginGraceTime&#x20;is&#x20;set&#x20;to&#x20;one&#x20;minute&#x20;or&#x20;less','The&#x20;LoginGraceTime&#x20;parameter&#x20;specifies&#x20;the&#x20;time&#x20;allowed&#x20;for&#x20;successful&#x20;authentication&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;The&#x20;longer&#x20;the&#x20;Grace&#x20;period&#x20;is&#x20;the&#x20;more&#x20;open&#x20;unauthenticated&#x20;connections&#x20;can&#x20;exist.&#x20;Like&#x20;other&#x20;session&#x20;controls&#x20;in&#x20;this&#x20;session&#x20;the&#x20;Grace&#x20;Period&#x20;should&#x20;be&#x20;limited&#x20;to&#x20;appropriate&#x20;organizational&#x20;limits&#x20;to&#x20;ensure&#x20;the&#x20;service&#x20;is&#x20;available&#x20;for&#x20;needed&#x20;access.','Setting&#x20;the&#x20;LoginGraceTime&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;It&#x20;will&#x20;also&#x20;limit&#x20;the&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;60&#x20;seconds&#x20;&#40;1&#x20;Minute&#41;,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LoginGraceTime&#x20;60','[{\"cis\": [\"5.2.17\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"8.1\"]}]'),(2147,'Ensure&#x20;SSH&#x20;access&#x20;is&#x20;limited','There&#x20;are&#x20;several&#x20;options&#x20;available&#x20;to&#x20;limit&#x20;which&#x20;users&#x20;and&#x20;group&#x20;can&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;at&#x20;least&#x20;one&#x20;of&#x20;the&#x20;following&#x20;options&#x20;be&#x20;leveraged:&#x20;AllowUsers,&#x20;AllowGroups,&#x20;DenyUsers,&#x20;DenyGroups.','Restricting&#x20;which&#x20;users&#x20;can&#x20;remotely&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH&#x20;will&#x20;help&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;users&#x20;access&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;one&#x20;or&#x20;more&#x20;of&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowUsers&#x20;&lt;userlist&gt;&#x20;&#x20;&#x20;&#x20;AllowGroups&#x20;&lt;grouplist&gt;&#x20;&#x20;&#x20;&#x20;DenyUsers&#x20;&lt;userlist&gt;&#x20;&#x20;&#x20;&#x20;DenyGroups&#x20;&lt;grouplist&gt;','[{\"cis\": [\"5.2.18\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"8.1\"]}]'),(2148,'Ensure&#x20;SSH&#x20;warning&#x20;banner&#x20;is&#x20;configured','The&#x20;Banner&#x20;parameter&#x20;specifies&#x20;a&#x20;file&#x20;whose&#x20;contents&#x20;must&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;remote&#x20;user&#x20;before&#x20;authentication&#x20;is&#x20;permitted.&#x20;By&#x20;default,&#x20;no&#x20;banner&#x20;is&#x20;displayed.','Banners&#x20;are&#x20;used&#x20;to&#x20;warn&#x20;connecting&#x20;users&#x20;of&#x20;the&#x20;particular&#x20;site&#039;s&#x20;policy&#x20;regarding&#x20;connection.&#x20;Presenting&#x20;a&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;login&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Banner&#x20;/etc/issue.net','[{\"cis\": [\"5.2.19\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2149,'Ensure&#x20;password&#x20;creation&#x20;requirements&#x20;are&#x20;configured','The&#x20;pam_pwquality.so&#x20;module&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more.&#x20;The&#x20;following&#x20;are&#x20;definitions&#x20;of&#x20;the&#x20;pam_pwquality.so&#x20;options:&#x20;-&#x20;retry=3&#x20;&#40;Allow&#x20;3&#x20;tries&#x20;before&#x20;sending&#x20;back&#x20;a&#x20;failure&#41;.&#x20;The&#x20;following&#x20;options&#x20;are&#x20;set&#x20;in&#x20;the&#x20;/etc/security/pwquality.conf&#x20;file:&#x20;-&#x20;minlen&#x20;=&#x20;14&#x20;dcredit&#x20;=&#x20;-1&#x20;ucredit&#x20;=&#x20;-1&#x20;ocredit&#x20;=&#x20;-1&#x20;lcredit&#x20;=&#x20;-1&#x20;&#40;The&#x20;settings&#x20;shown&#x20;above&#x20;are&#x20;one&#x20;possible&#x20;policy.&#x20;Alter&#x20;these&#x20;values&#x20;to&#x20;conform&#x20;to&#x20;your&#x20;own&#x20;organization&#039;s&#x20;password&#x20;policies.&#41;','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','1&#41;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;the&#x20;pam_pwquality&#x20;module:&#x20;apt-get&#x20;install&#x20;libpam-pwquality&#x20;2&#41;&#x20;Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;file&#x20;to&#x20;include&#x20;the&#x20;appropriate&#x20;options&#x20;for&#x20;pam_pwquality.so&#x20;and&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;password&#x20;requisite&#x20;pam_pwquality.so&#x20;retry=3&#x20;3&#41;&#x20;Edit&#x20;/etc/security/pwquality.conf&#x20;to&#x20;add&#x20;or&#x20;update&#x20;the&#x20;following&#x20;settings&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minlen&#x20;=&#x20;14&#x20;dcredit&#x20;=&#x20;-1&#x20;ucredit&#x20;=&#x20;-1&#x20;ocredit&#x20;=&#x20;-1&#x20;lcredit&#x20;=&#x20;-1.&#x20;Notes:&#x20;Additional&#x20;module&#x20;options&#x20;may&#x20;be&#x20;set,&#x20;recommendation&#x20;requirements&#x20;only&#x20;cover&#x20;including&#x20;try_first_pass&#x20;and&#x20;minlen&#x20;set&#x20;to&#x20;14&#x20;or&#x20;more.&#x20;Settings&#x20;in&#x20;/etc/security/pwquality.conf&#x20;must&#x20;use&#x20;spaces&#x20;around&#x20;the&#x20;=&#x20;symbol.','[{\"cis\": [\"5.3.1\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2.3\"]}]'),(2150,'Ensure&#x20;lockout&#x20;for&#x20;failed&#x20;password&#x20;attempts&#x20;is&#x20;configured','Lock&#x20;out&#x20;users&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts.&#x20;The&#x20;first&#x20;sets&#x20;of&#x20;changes&#x20;are&#x20;made&#x20;to&#x20;the&#x20;PAM&#x20;configuration&#x20;files.&#x20;The&#x20;second&#x20;set&#x20;of&#x20;changes&#x20;are&#x20;applied&#x20;to&#x20;the&#x20;program&#x20;specific&#x20;PAM&#x20;configuration&#x20;file.&#x20;The&#x20;second&#x20;set&#x20;of&#x20;changes&#x20;must&#x20;be&#x20;applied&#x20;to&#x20;each&#x20;program&#x20;that&#x20;will&#x20;lock&#x20;out&#x20;users.&#x20;Check&#x20;the&#x20;documentation&#x20;for&#x20;each&#x20;secondary&#x20;program&#x20;for&#x20;instructions&#x20;on&#x20;how&#x20;to&#x20;configure&#x20;them&#x20;to&#x20;work&#x20;with&#x20;PAM.&#x20;Set&#x20;the&#x20;lockout&#x20;number&#x20;to&#x20;the&#x20;policy&#x20;in&#x20;effect&#x20;at&#x20;your&#x20;site.','Locking&#x20;out&#x20;user&#x20;IDs&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts&#x20;mitigates&#x20;brute&#x20;force&#x20;password&#x20;attacks&#x20;against&#x20;your&#x20;systems.','','Edit&#x20;the&#x20;/etc/pam.d/common-auth&#x20;file&#x20;and&#x20;add&#x20;the&#x20;auth&#x20;line&#x20;below:&#x20;auth&#x20;required&#x20;pam_tally2.so&#x20;onerr=fail&#x20;audit&#x20;silent&#x20;deny=5&#x20;unlock_time=900.&#x20;Edit&#x20;the&#x20;/etc/pam.d/common-account&#x20;file&#x20;and&#x20;add&#x20;the&#x20;account&#x20;line&#x20;bellow:&#x20;account&#x20;&#x20;&#x20;&#x20;required&#x20;&#x20;&#x20;&#x20;pam_tally2.so.&#x20;Note:&#x20;If&#x20;a&#x20;user&#x20;has&#x20;been&#x20;locked&#x20;out&#x20;because&#x20;they&#x20;have&#x20;reached&#x20;the&#x20;maximum&#x20;consecutive&#x20;failure&#x20;count&#x20;defined&#x20;by&#x20;deny=&#x20;in&#x20;the&#x20;pam_tally2.so&#x20;module,&#x20;the&#x20;user&#x20;can&#x20;be&#x20;unlocked&#x20;by&#x20;issuing&#x20;the&#x20;command&#x20;/sbin/pam_tally2&#x20;-u&#x20;&lt;username&gt;&#x20;--reset.&#x20;This&#x20;command&#x20;sets&#x20;the&#x20;failed&#x20;count&#x20;to&#x20;0,&#x20;effectively&#x20;unlocking&#x20;the&#x20;user.&#x20;Notes:BUG&#x20;In&#x20;pam_tally2.so&#x20;To&#x20;work&#x20;around&#x20;this&#x20;issue&#x20;the&#x20;addition&#x20;of&#x20;pam_tally2.so&#x20;in&#x20;the&#x20;accounts&#x20;section&#x20;of&#x20;the&#x20;/etc/pam.d/common-account&#x20;file&#x20;has&#x20;been&#x20;added&#x20;to&#x20;the&#x20;audit&#x20;and&#x20;remediation&#x20;sections.&#x20;pam_tally2&#x20;line&#x20;must&#x20;be&#x20;added&#x20;for&#x20;the&#x20;counter&#x20;to&#x20;reset&#x20;to&#x20;0&#x20;when&#x20;using&#x20;sudo.&#x20;&#x20;&#x20;&#x20;&#x20;Use&#x20;of&#x20;the&#x20;&quot;audit&quot;&#x20;keyword&#x20;may&#x20;log&#x20;credentials&#x20;in&#x20;the&#x20;case&#x20;of&#x20;user&#x20;error&#x20;during&#x20;authentication.&#x20;This&#x20;risk&#x20;should&#x20;be&#x20;evaluated&#x20;in&#x20;the&#x20;context&#x20;of&#x20;the&#x20;site&#x20;policies&#x20;of&#x20;your&#x20;organization.','[{\"cis\": [\"5.3.2\"]}, {\"cis_csc\": [\"16.7\"]}, {\"pci_dss\": [\"8.2.5\"]}]'),(2151,'Ensure&#x20;password&#x20;reuse&#x20;is&#x20;limited','The&#x20;/etc/security/opasswd&#x20;file&#x20;stores&#x20;the&#x20;users&#039;&#x20;old&#x20;passwords&#x20;and&#x20;can&#x20;be&#x20;checked&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;are&#x20;not&#x20;recycling&#x20;recent&#x20;passwords.','Forcing&#x20;users&#x20;not&#x20;to&#x20;reuse&#x20;their&#x20;past&#x20;5&#x20;passwords&#x20;make&#x20;it&#x20;less&#x20;likely&#x20;that&#x20;an&#x20;attacker&#x20;will&#x20;be&#x20;able&#x20;to&#x20;guess&#x20;the&#x20;password.&#x20;Note&#x20;that&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;file&#x20;to&#x20;include&#x20;the&#x20;remember&#x20;option&#x20;and&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;as&#x20;shown:&#x20;password&#x20;required&#x20;pam_pwhistory.so&#x20;remember=5.&#x20;Notes:&#x20;Additional&#x20;module&#x20;options&#x20;may&#x20;be&#x20;set,&#x20;recommendation&#x20;only&#x20;covers&#x20;those&#x20;listed&#x20;here.','[{\"cis\": [\"5.3.3\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2.5\"]}]'),(2152,'Ensure&#x20;password&#x20;hashing&#x20;algorithm&#x20;is&#x20;SHA-512','The&#x20;commands&#x20;below&#x20;change&#x20;password&#x20;encryption&#x20;from&#x20;md5&#x20;to&#x20;sha512&#x20;&#40;a&#x20;much&#x20;stronger&#x20;hashing&#x20;algorithm&#41;.&#x20;All&#x20;existing&#x20;accounts&#x20;will&#x20;need&#x20;to&#x20;perform&#x20;a&#x20;password&#x20;change&#x20;to&#x20;upgrade&#x20;the&#x20;stored&#x20;hashes&#x20;to&#x20;the&#x20;new&#x20;algorithm.','The&#x20;SHA-512&#x20;algorithm&#x20;provides&#x20;much&#x20;stronger&#x20;hashing&#x20;than&#x20;MD5,&#x20;thus&#x20;providing&#x20;additional&#x20;protection&#x20;to&#x20;the&#x20;system&#x20;by&#x20;increasing&#x20;the&#x20;level&#x20;of&#x20;effort&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;successfully&#x20;determine&#x20;passwords.&#x20;Note&#x20;that&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;file&#x20;to&#x20;include&#x20;the&#x20;sha512&#x20;option&#x20;for&#x20;pam_unix.so&#x20;as&#x20;shown:&#x20;password&#x20;[success=1&#x20;default=ignore]&#x20;pam_unix.so&#x20;sha512','[{\"cis\": [\"5.3.4\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"3.6.1\"]}]'),(2153,'Ensure&#x20;password&#x20;expiration&#x20;is&#x20;365&#x20;days&#x20;or&#x20;less','The&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;force&#x20;passwords&#x20;to&#x20;expire&#x20;once&#x20;they&#x20;reach&#x20;a&#x20;defined&#x20;age.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;less&#x20;than&#x20;or&#x20;equal&#x20;to&#x20;365&#x20;days.','The&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;leverage&#x20;compromised&#x20;credentials&#x20;or&#x20;successfully&#x20;compromise&#x20;credentials&#x20;via&#x20;an&#x20;online&#x20;brute&#x20;force&#x20;attack&#x20;is&#x20;limited&#x20;by&#x20;the&#x20;age&#x20;of&#x20;the&#x20;password.&#x20;Therefore,&#x20;reducing&#x20;the&#x20;maximum&#x20;age&#x20;of&#x20;a&#x20;password&#x20;also&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;window&#x20;of&#x20;opportunity.','','Set&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;in&#x20;/etc/login.defs:&#x20;PASS_MAX_DAYS&#x20;90.&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--maxdays&#x20;90&#x20;&lt;user&gt;.&#x20;Notes:&#x20;You&#x20;can&#x20;also&#x20;check&#x20;this&#x20;setting&#x20;in&#x20;/etc/shadow&#x20;directly.&#x20;The&#x20;5th&#x20;field&#x20;should&#x20;be&#x20;365&#x20;or&#x20;less&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password.&#x20;A&#x20;value&#x20;of&#x20;-1&#x20;will&#x20;disable&#x20;password&#x20;expiration.&#x20;Additionally&#x20;the&#x20;password&#x20;expiration&#x20;must&#x20;be&#x20;greater&#x20;than&#x20;the&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;or&#x20;users&#x20;will&#x20;be&#x20;unable&#x20;to&#x20;change&#x20;their&#x20;password.','[{\"cis\": [\"5.4.1.1\"]}, {\"cis_csc\": [\"4.4\", \"16\"]}, {\"pci_dss\": [\"8.2.4\"]}]'),(2154,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;7&#x20;or&#x20;more','The&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;changing&#x20;their&#x20;password&#x20;until&#x20;a&#x20;minimum&#x20;number&#x20;of&#x20;days&#x20;have&#x20;passed&#x20;since&#x20;the&#x20;last&#x20;time&#x20;the&#x20;user&#x20;changed&#x20;their&#x20;password.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','By&#x20;restricting&#x20;the&#x20;frequency&#x20;of&#x20;password&#x20;changes,&#x20;an&#x20;administrator&#x20;can&#x20;prevent&#x20;users&#x20;from&#x20;repeatedly&#x20;changing&#x20;their&#x20;password&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;circumvent&#x20;password&#x20;reuse&#x20;controls.','','Set&#x20;the&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_MIN_DAYS&#x20;7.&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--mindays&#x20;7&#x20;&lt;user&gt;.&#x20;Notes:&#x20;You&#x20;can&#x20;also&#x20;check&#x20;this&#x20;setting&#x20;in&#x20;/etc/shadow&#x20;directly.&#x20;The&#x20;4th&#x20;field&#x20;should&#x20;be&#x20;7&#x20;or&#x20;more&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password.','[{\"cis\": [\"5.4.1.2\"]}, {\"cis_csc\": [\"4.4\", \"16\"]}, {\"pci_dss\": [\"3.6.1\"]}]'),(2155,'Ensure&#x20;password&#x20;expiration&#x20;warning&#x20;days&#x20;is&#x20;7&#x20;or&#x20;more','The&#x20;PASS_WARN_AGE&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;notify&#x20;users&#x20;that&#x20;their&#x20;password&#x20;will&#x20;expire&#x20;in&#x20;a&#x20;defined&#x20;number&#x20;of&#x20;days.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','Providing&#x20;an&#x20;advance&#x20;warning&#x20;that&#x20;a&#x20;password&#x20;will&#x20;be&#x20;expiring&#x20;gives&#x20;users&#x20;time&#x20;to&#x20;think&#x20;of&#x20;a&#x20;secure&#x20;password.&#x20;Users&#x20;caught&#x20;unaware&#x20;may&#x20;choose&#x20;a&#x20;simple&#x20;password&#x20;or&#x20;write&#x20;it&#x20;down&#x20;where&#x20;it&#x20;may&#x20;be&#x20;discovered.','','Set&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_WARN_AGE&#x20;7.&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--warndays&#x20;7&#x20;&lt;user&gt;.&#x20;Notes:&#x20;You&#x20;can&#x20;also&#x20;check&#x20;this&#x20;setting&#x20;in&#x20;/etc/shadow&#x20;directly.&#x20;The&#x20;6th&#x20;field&#x20;should&#x20;be&#x20;7&#x20;or&#x20;more&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password.','[{\"cis\": [\"5.4.1.3\"]}, {\"cis_csc\": [\"4.4\", \"16\"]}, {\"pci_dss\": [\"3.6.1\"]}]'),(2156,'Ensure&#x20;inactive&#x20;password&#x20;lock&#x20;is&#x20;30&#x20;days&#x20;or&#x20;less','User&#x20;accounts&#x20;that&#x20;have&#x20;been&#x20;inactive&#x20;for&#x20;over&#x20;a&#x20;given&#x20;period&#x20;of&#x20;time&#x20;can&#x20;be&#x20;automatically&#x20;disabled.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;accounts&#x20;that&#x20;are&#x20;inactive&#x20;for&#x20;30&#x20;days&#x20;after&#x20;password&#x20;expiration&#x20;be&#x20;disabled.','Inactive&#x20;accounts&#x20;pose&#x20;a&#x20;threat&#x20;to&#x20;system&#x20;security&#x20;since&#x20;the&#x20;users&#x20;are&#x20;not&#x20;logging&#x20;in&#x20;to&#x20;notice&#x20;failed&#x20;login&#x20;attempts&#x20;or&#x20;other&#x20;anomalies.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;default&#x20;password&#x20;inactivity&#x20;period&#x20;to&#x20;30&#x20;days:&#x20;#&#x20;useradd&#x20;-D&#x20;-f&#x20;30.&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--inactive&#x20;30&#x20;&lt;user&gt;.&#x20;Notes:&#x20;You&#x20;can&#x20;also&#x20;check&#x20;this&#x20;setting&#x20;in&#x20;/etc/shadow&#x20;directly.&#x20;The&#x20;7th&#x20;field&#x20;should&#x20;be&#x20;30&#x20;or&#x20;less&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password.&#x20;A&#x20;value&#x20;of&#x20;-1&#x20;would&#x20;disable&#x20;this&#x20;setting.','[{\"cis\": [\"5.4.1.4\"]}, {\"cis_csc\": [\"4.4\", \"16\"]}, {\"pci_dss\": [\"3.6.1\"]}]'),(2157,'Ensure&#x20;default&#x20;group&#x20;for&#x20;the&#x20;root&#x20;account&#x20;is&#x20;GID&#x20;0','The&#x20;usermod&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;specify&#x20;which&#x20;group&#x20;the&#x20;root&#x20;user&#x20;belongs&#x20;to.&#x20;This&#x20;affects&#x20;permissions&#x20;of&#x20;files&#x20;that&#x20;are&#x20;created&#x20;by&#x20;the&#x20;root&#x20;user.','Using&#x20;GID&#x20;0&#x20;for&#x20;the&#x20;root&#x20;account&#x20;helps&#x20;prevent&#x20;root-owned&#x20;files&#x20;from&#x20;accidentally&#x20;becoming&#x20;accessible&#x20;to&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;root&#x20;user&#x20;default&#x20;group&#x20;to&#x20;GID&#x20;0:&#x20;#&#x20;usermod&#x20;-g&#x20;0&#x20;root','[{\"cis\": [\"5.4.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"3.6.1\"]}]'),(2158,'Ensure&#x20;default&#x20;user&#x20;umask&#x20;is&#x20;027&#x20;or&#x20;more&#x20;restrictive','The&#x20;default&#x20;umask&#x20;determines&#x20;the&#x20;permissions&#x20;of&#x20;files&#x20;created&#x20;by&#x20;users.&#x20;The&#x20;user&#x20;creating&#x20;the&#x20;file&#x20;has&#x20;the&#x20;discretion&#x20;of&#x20;making&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;others&#x20;via&#x20;the&#x20;chmod&#x20;command.&#x20;Users&#x20;who&#x20;wish&#x20;to&#x20;allow&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;to&#x20;be&#x20;readable&#x20;by&#x20;others&#x20;by&#x20;default&#x20;may&#x20;choose&#x20;a&#x20;different&#x20;default&#x20;umask&#x20;by&#x20;inserting&#x20;the&#x20;umask&#x20;command&#x20;into&#x20;the&#x20;standard&#x20;shell&#x20;configuration&#x20;files&#x20;&#40;&#x20;.profile&#x20;,&#x20;.bashrc&#x20;,&#x20;etc.&#41;&#x20;in&#x20;their&#x20;home&#x20;directories.','Setting&#x20;a&#x20;very&#x20;secure&#x20;default&#x20;value&#x20;for&#x20;umask&#x20;ensures&#x20;that&#x20;users&#x20;make&#x20;a&#x20;conscious&#x20;choice&#x20;about&#x20;their&#x20;file&#x20;permissions.&#x20;A&#x20;default&#x20;umask&#x20;setting&#x20;of&#x20;077&#x20;causes&#x20;files&#x20;and&#x20;directories&#x20;created&#x20;by&#x20;users&#x20;to&#x20;not&#x20;be&#x20;readable&#x20;by&#x20;any&#x20;other&#x20;user&#x20;on&#x20;the&#x20;system.&#x20;A&#x20;umask&#x20;of&#x20;027&#x20;would&#x20;make&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;users&#x20;in&#x20;the&#x20;same&#x20;Unix&#x20;group,&#x20;while&#x20;a&#x20;umask&#x20;of&#x20;022&#x20;would&#x20;make&#x20;files&#x20;readable&#x20;by&#x20;every&#x20;user&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/bash.bashrc&#x20;,&#x20;/etc/profile&#x20;and&#x20;/etc/profile.d&#47;&#42;.sh&#x20;files&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;any&#x20;umask&#x20;parameters&#x20;as&#x20;follows:&#x20;umask&#x20;027','[{\"cis\": [\"5.4.4\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"3.6.1\"]}]'),(2159,'Ensure&#x20;default&#x20;user&#x20;shell&#x20;timeout&#x20;is&#x20;900&#x20;seconds&#x20;or&#x20;less','The&#x20;default&#x20;TMOUT&#x20;determines&#x20;the&#x20;shell&#x20;timeout&#x20;for&#x20;users.&#x20;The&#x20;TMOUT&#x20;value&#x20;is&#x20;measured&#x20;in&#x20;seconds.','Having&#x20;no&#x20;timeout&#x20;value&#x20;associated&#x20;with&#x20;a&#x20;shell&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;shell&#x20;session&#x20;&#40;e.g.&#x20;user&#x20;walks&#x20;away&#x20;from&#x20;their&#x20;computer&#x20;and&#x20;doesn&#039;t&#x20;lock&#x20;the&#x20;screen&#41;.&#x20;Setting&#x20;a&#x20;timeout&#x20;value&#x20;at&#x20;least&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;this&#x20;happening.','','Edit&#x20;the&#x20;/etc/bashrc,&#x20;/etc/profile&#x20;files,&#x20;and&#x20;/etc/profile.d*.sh&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;any&#x20;umask&#x20;parameters&#x20;as&#x20;follows:&#x20;TMOUT=600','[{\"cis\": [\"5.4.5\"]}, {\"cis_csc\": [\"16.11\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(2160,'Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted','The&#x20;su&#x20;command&#x20;allows&#x20;a&#x20;user&#x20;to&#x20;run&#x20;a&#x20;command&#x20;or&#x20;shell&#x20;as&#x20;another&#x20;user.&#x20;The&#x20;program&#x20;has&#x20;been&#x20;superseded&#x20;by&#x20;sudo,&#x20;which&#x20;allows&#x20;for&#x20;more&#x20;granular&#x20;control&#x20;over&#x20;privileged&#x20;access.&#x20;Normally,&#x20;the&#x20;su&#x20;command&#x20;can&#x20;be&#x20;executed&#x20;by&#x20;any&#x20;user.&#x20;By&#x20;uncommenting&#x20;the&#x20;pam_wheel.so&#x20;statement&#x20;in&#x20;/etc/pam.d/su,&#x20;the&#x20;su&#x20;command&#x20;will&#x20;only&#x20;allow&#x20;users&#x20;in&#x20;the&#x20;sudo&#x20;group&#x20;to&#x20;execute&#x20;su.','Restricting&#x20;the&#x20;use&#x20;of&#x20;su,&#x20;and&#x20;using&#x20;sudo&#x20;in&#x20;its&#x20;place,&#x20;provides&#x20;system&#x20;administrators&#x20;better&#x20;control&#x20;of&#x20;the&#x20;escalation&#x20;of&#x20;user&#x20;privileges&#x20;to&#x20;execute&#x20;privileged&#x20;commands.&#x20;The&#x20;sudo&#x20;utility&#x20;also&#x20;provides&#x20;a&#x20;better&#x20;logging&#x20;and&#x20;audit&#x20;mechanism,&#x20;as&#x20;it&#x20;can&#x20;log&#x20;each&#x20;command&#x20;executed&#x20;via&#x20;sudo,&#x20;whereas&#x20;su&#x20;can&#x20;only&#x20;record&#x20;that&#x20;a&#x20;user&#x20;executed&#x20;the&#x20;su&#x20;program.','','1&#41;&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/pam.d/su&#x20;file:&#x20;auth&#x20;required&#x20;pam_wheel.so&#x20;2&#41;&#x20;Create&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;users&#x20;in&#x20;the&#x20;sudo&#x20;statement&#x20;in&#x20;the&#x20;/etc/group&#x20;file:&#x20;sudo:x:10:root,&lt;user&#x20;list&gt;&#x20;Notes:&#x20;The&#x20;use_uid&#x20;option&#x20;to&#x20;pam_wheel.so&#x20;is&#x20;a&#x20;no-op&#x20;on&#x20;debian&#x20;based&#x20;systems.&#x20;It&#x20;is&#x20;acceptable&#x20;but&#x20;not&#x20;required&#x20;as&#x20;these&#x20;systems&#x20;use&#x20;its&#x20;behavior&#x20;as&#x20;default.','[{\"cis\": [\"5.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(2161,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow&#x20;are&#x20;configured','The&#x20;/etc/gshadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/gshadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/gshadow&#x20;file&#x20;&#40;such&#x20;as&#x20;group&#x20;administrators&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;group','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/gshadow&#x20;:&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/gshadow&#x20;#&#x20;chmod&#x20;o-rwx,g-rw&#x20;/etc/gshadow','[{\"cis\": [\"6.1.2\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2162,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow-&#x20;are&#x20;configured','The&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;one&#x20;of&#x20;the&#x20;following&#x20;chown&#x20;commands&#x20;as&#x20;appropriate&#x20;and&#x20;the&#x20;chmod&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/shadow-&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow-&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/shadow-&#x20;#&#x20;chmod&#x20;o-rwx,g-rw&#x20;/etc/shadow-','[{\"cis\": [\"6.1.3\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2163,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;are&#x20;configured','The&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','#&#x20;chown&#x20;root:root&#x20;/etc/gshadow-&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/gshadow-&#x20;#&#x20;chmod&#x20;o-rwx,g-rw&#x20;/etc/gshadow-','[{\"cis\": [\"6.1.4\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2164,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd&#x20;are&#x20;configured','The&#x20;/etc/passwd&#x20;file&#x20;contains&#x20;user&#x20;account&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;utilities&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;utilities&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd&#x20;#&#x20;chmod&#x20;644&#x20;/etc/passwd','[{\"cis\": [\"6.1.5\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2165,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow&#x20;are&#x20;configured','The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;user&#x20;accounts.','','Run&#x20;the&#x20;one&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/shadow&#x20;:&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/shadow&#x20;#&#x20;chmod&#x20;o-rwx,g-wx&#x20;/etc/shadow','[{\"cis\": [\"6.1.6\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2166,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group&#x20;are&#x20;configured','The&#x20;/etc/group&#x20;file&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.&#x20;The&#x20;command&#x20;below&#x20;allows&#x20;read/write&#x20;access&#x20;for&#x20;root&#x20;and&#x20;read&#x20;access&#x20;for&#x20;everyone&#x20;else.','The&#x20;/etc/group&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users,&#x20;but&#x20;needs&#x20;to&#x20;be&#x20;readable&#x20;as&#x20;this&#x20;information&#x20;is&#x20;used&#x20;with&#x20;many&#x20;non-privileged&#x20;programs.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group&#x20;#&#x20;chmod&#x20;644&#x20;/etc/group','[{\"cis\": [\"6.1.7\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2167,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd-&#x20;are&#x20;configured','The&#x20;/etc/passwd-&#x20;file&#x20;contains&#x20;backup&#x20;user&#x20;account&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd-&#x20;#&#x20;chmod&#x20;644&#x20;/etc/passwd-','[{\"cis\": [\"6.1.8\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2168,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group-&#x20;are&#x20;configured','The&#x20;/etc/group-&#x20;file&#x20;contains&#x20;a&#x20;backup&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/group-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group-&#x20;#&#x20;chmod&#x20;644&#x20;/etc/group-','[{\"cis\": [\"6.1.9\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2169,'Ensure&#x20;password&#x20;fields&#x20;are&#x20;not&#x20;empty','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;password,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;account&#x20;until&#x20;it&#x20;can&#x20;be&#x20;determined&#x20;why&#x20;it&#x20;does&#x20;not&#x20;have&#x20;a&#x20;password:&#x20;#&#x20;passwd&#x20;-l&#x20;&lt;em&gt;&lt;username&gt;&lt;/em&gt;.&#x20;Also,&#x20;check&#x20;to&#x20;see&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;investigate&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.1\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}]'),(2170,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/passwd','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;+&#x20;entries&#x20;from&#x20;/etc/passwd&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.2\"]}, {\"cis_csc\": [\"16.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(2171,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/shadow','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;+&#x20;entries&#x20;from&#x20;/etc/shadow&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.3\"]}, {\"cis_csc\": [\"16.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(2172,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/group','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;+&#x20;entries&#x20;from&#x20;/etc/group&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.4\"]}, {\"cis_csc\": [\"16.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(2173,'Ensure&#x20;root&#x20;is&#x20;the&#x20;only&#x20;UID&#x20;0&#x20;account','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','','Remove&#x20;any&#x20;users&#x20;other&#x20;than&#x20;root&#x20;with&#x20;UID&#x20;0&#x20;or&#x20;assign&#x20;them&#x20;a&#x20;new&#x20;UID&#x20;if&#x20;appropriate.','[{\"cis\": [\"6.2.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(2174,'Ensure&#x20;shadow&#x20;group&#x20;is&#x20;empty','The&#x20;shadow&#x20;group&#x20;allows&#x20;system&#x20;programs&#x20;which&#x20;require&#x20;access&#x20;the&#x20;ability&#x20;to&#x20;read&#x20;the&#x20;/etc/shadow&#x20;file.&#x20;No&#x20;users&#x20;should&#x20;be&#x20;assigned&#x20;to&#x20;the&#x20;shadow&#x20;group.','Any&#x20;users&#x20;assigned&#x20;to&#x20;the&#x20;shadow&#x20;group&#x20;would&#x20;be&#x20;granted&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file.&#x20;If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;passwords&#x20;to&#x20;break&#x20;them.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;additional&#x20;user&#x20;accounts.','','Remove&#x20;all&#x20;users&#x20;from&#x20;the&#x20;shadow&#x20;group,&#x20;and&#x20;change&#x20;the&#x20;primary&#x20;group&#x20;of&#x20;any&#x20;users&#x20;with&#x20;shadow&#x20;as&#x20;their&#x20;primary&#x20;group.','[{\"cis\": [\"6.2.20\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(2500,'Ensure&#x20;mounting&#x20;of&#x20;freevxfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;freevxfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;free&#x20;version&#x20;of&#x20;the&#x20;Veritas&#x20;type&#x20;filesystem.&#x20;This&#x20;is&#x20;the&#x20;primary&#x20;filesystem&#x20;type&#x20;for&#x20;HP-UX&#x20;operating&#x20;systems.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vi&#x20;/etc/modprobe.d/freevxfs.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;freevxfs&#x20;/bin/true&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;freevxfs&#x20;module:&#x20;#&#x20;rmmod&#x20;freevxfs','[{\"cis\": [\"1.1.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(2501,'Ensure&#x20;mounting&#x20;of&#x20;jffs2&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;jffs2&#x20;&#40;journaling&#x20;flash&#x20;filesystem&#x20;2&#41;&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;log-structured&#x20;filesystem&#x20;used&#x20;in&#x20;flash&#x20;memory&#x20;devices.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vi&#x20;/etc/modprobe.d/jffs2.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;jffs2&#x20;/bin/true&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;jffs2&#x20;module:&#x20;#&#x20;rmmod&#x20;jffs2','[{\"cis\": [\"1.1.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(2502,'Ensure&#x20;mounting&#x20;of&#x20;hfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;hfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;hierarchical&#x20;filesystem&#x20;that&#x20;allows&#x20;you&#x20;to&#x20;mount&#x20;Mac&#x20;OS&#x20;filesystems.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vi&#x20;/etc/modprobe.d/hfs.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;hfs&#x20;/bin/true&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;hfs&#x20;module:&#x20;#&#x20;rmmod&#x20;hfs','[{\"cis\": [\"1.1.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(2503,'Ensure&#x20;mounting&#x20;of&#x20;hfsplus&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;hfsplus&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;hierarchical&#x20;filesystem&#x20;designed&#x20;to&#x20;replace&#x20;hfs&#x20;that&#x20;allows&#x20;you&#x20;to&#x20;mount&#x20;Mac&#x20;OS&#x20;filesystems.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.confExample:&#x20;vi&#x20;/etc/modprobe.d/hfsplus.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;hfsplus&#x20;/bin/true&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;hfsplus&#x20;module:&#x20;#&#x20;rmmod&#x20;hfsplus','[{\"cis\": [\"1.1.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(2504,'Ensure&#x20;mounting&#x20;of&#x20;squashfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;squashfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;compressed&#x20;read-only&#x20;Linux&#x20;filesystem&#x20;embedded&#x20;in&#x20;small&#x20;footprint&#x20;systems&#x20;&#40;similar&#x20;to&#x20;cramfs&#x20;&#41;.&#x20;A&#x20;squashfs&#x20;image&#x20;can&#x20;be&#x20;used&#x20;without&#x20;having&#x20;to&#x20;first&#x20;decompress&#x20;the&#x20;image.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;&#x20;Example:&#x20;vi&#x20;/etc/modprobe.d/squashfs.confand&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;squashfs&#x20;/bin/true&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;squashfsmodule:&#x20;#&#x20;rmmod&#x20;squashfs','[{\"cis\": [\"1.1.1.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(2505,'Ensure&#x20;mounting&#x20;of&#x20;udf&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;udf&#x20;filesystem&#x20;type&#x20;is&#x20;the&#x20;universal&#x20;disk&#x20;format&#x20;used&#x20;to&#x20;implement&#x20;ISO/IEC&#x20;13346&#x20;and&#x20;ECMA-167&#x20;specifications.&#x20;This&#x20;is&#x20;an&#x20;open&#x20;vendor&#x20;filesystem&#x20;type&#x20;for&#x20;data&#x20;storage&#x20;on&#x20;a&#x20;broad&#x20;range&#x20;of&#x20;media.&#x20;This&#x20;filesystem&#x20;type&#x20;is&#x20;necessary&#x20;to&#x20;support&#x20;writing&#x20;DVDs&#x20;and&#x20;newer&#x20;optical&#x20;disc&#x20;formats.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vi&#x20;/etc/modprobe.d/udf.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;udf&#x20;/bin/true&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;udf&#x20;module:&#x20;#&#x20;rmmod&#x20;udf','[{\"cis\": [\"1.1.1.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(2506,'Ensure&#x20;mounting&#x20;of&#x20;FAT&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;FAT&#x20;filesystem&#x20;format&#x20;is&#x20;primarily&#x20;used&#x20;on&#x20;older&#x20;windows&#x20;systems&#x20;and&#x20;portable&#x20;USB&#x20;drives&#x20;or&#x20;flash&#x20;modules.&#x20;It&#x20;comes&#x20;in&#x20;three&#x20;types&#x20;FAT12&#x20;,&#x20;FAT16&#x20;,&#x20;and&#x20;FAT32&#x20;all&#x20;of&#x20;which&#x20;are&#x20;supported&#x20;by&#x20;the&#x20;vfat&#x20;kernel&#x20;module.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vi&#x20;/etc/modprobe.d/vfat.conf:&#x20;install&#x20;vfat&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;vfat&#x20;module:&#x20;rmmod&#x20;vfat','[{\"cis\": [\"1.1.1.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(2507,'Ensure&#x20;/tmp&#x20;is&#x20;configured','The&#x20;/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Making&#x20;/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hardlink&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hardlink&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.&#x20;This&#x20;can&#x20;be&#x20;accomplished&#x20;by&#x20;either&#x20;mounting&#x20;tmpfs&#x20;to&#x20;/tmp,&#x20;or&#x20;creating&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/tmp.','','Configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.&#x20;Example:&#x20;tmpfs&#x20;/tmp&#x20;tmpfs&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;or&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;enable&#x20;systemd&#x20;/tmp&#x20;mounting:&#x20;systemctl&#x20;unmask&#x20;tmp.mount&#x20;systemctl&#x20;enable&#x20;tmp.mount&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;configure&#x20;the&#x20;/tmp&#x20;mount:&#x20;[Mount]&#x20;What=tmpfs&#x20;Where=/tmp&#x20;Type=tmpfs&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid','[{\"cis\": [\"1.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2508,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/tmp&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;add&#x20;nodevto&#x20;the&#x20;/tmp&#x20;mount&#x20;options:&#x20;&#x20;[Mount]&#x20;&#x20;&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:&#x20;&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/tmp','[{\"cis\": [\"1.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2509,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;set&#x20;userid&#x20;files.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;set&#x20;userid&#x20;files&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/tmp&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;add&#x20;nosuidto&#x20;the&#x20;/tmp&#x20;mount&#x20;options:[Mount]&#x20;&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/tmp','[{\"cis\": [\"1.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2510,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;set&#x20;userid&#x20;files&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexecto&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/tmp&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;add&#x20;noexecto&#x20;the&#x20;/tmp&#x20;mount&#x20;options:&#x20;&#x20;[Mount]&#x20;&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/tmp','[{\"cis\": [\"1.1.4\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2511,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var','The&#x20;/var&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;daemons&#x20;and&#x20;other&#x20;system&#x20;services&#x20;to&#x20;temporarily&#x20;store&#x20;dynamic&#x20;data.&#x20;Some&#x20;directories&#x20;created&#x20;by&#x20;these&#x20;processes&#x20;may&#x20;be&#x20;world-writable.','Since&#x20;the&#x20;/var&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2512,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/tmp','The&#x20;/var/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Since&#x20;the&#x20;/var/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;In&#x20;addition,&#x20;making&#x20;/var/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/var/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hardlink&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hardlink&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/tmp.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2513,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/var/tmp','[{\"cis\": [\"1.1.8\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2514,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/var/tmp','[{\"cis\": [\"1.1.9\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2515,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/var/tmp','[{\"cis\": [\"1.1.10\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2516,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log','The&#x20;/var/log&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;system&#x20;services&#x20;to&#x20;store&#x20;log&#x20;data.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;system&#x20;logs&#x20;are&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;logs&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.11\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2517,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log/audit','The&#x20;auditing&#x20;daemon,&#x20;auditd,&#x20;stores&#x20;log&#x20;data&#x20;in&#x20;the&#x20;/var/log/audit&#x20;directory.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;data&#x20;gathered&#x20;by&#x20;auditd&#x20;is&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;the&#x20;audit.log&#x20;file&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.&#x20;The&#x20;audit&#x20;daemon&#x20;calculates&#x20;how&#x20;much&#x20;free&#x20;space&#x20;is&#x20;left&#x20;and&#x20;performs&#x20;actions&#x20;based&#x20;on&#x20;the&#x20;results.&#x20;If&#x20;other&#x20;processes&#x20;&#40;such&#x20;as&#x20;syslog&#41;&#x20;consume&#x20;space&#x20;in&#x20;the&#x20;same&#x20;partition&#x20;as&#x20;auditd,&#x20;it&#x20;may&#x20;not&#x20;perform&#x20;as&#x20;desired.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log/audit.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.12\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2518,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/home','The&#x20;/home&#x20;directory&#x20;is&#x20;used&#x20;to&#x20;support&#x20;disk&#x20;storage&#x20;needs&#x20;of&#x20;local&#x20;users.','If&#x20;the&#x20;system&#x20;is&#x20;intended&#x20;to&#x20;support&#x20;local&#x20;users,&#x20;create&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;the&#x20;/home&#x20;directory&#x20;to&#x20;protect&#x20;against&#x20;resource&#x20;exhaustion&#x20;and&#x20;restrict&#x20;the&#x20;type&#x20;of&#x20;files&#x20;that&#x20;can&#x20;be&#x20;stored&#x20;under&#x20;/home.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/home.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.13\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2519,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;user&#x20;partitions&#x20;are&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices.&#x20;&#x20;Note:&#x20;The&#x20;actions&#x20;in&#x20;the&#x20;item&#x20;refer&#x20;to&#x20;the&#x20;/home&#x20;partition,&#x20;which&#x20;is&#x20;the&#x20;default&#x20;user&#x20;partition&#x20;that&#x20;is&#x20;defined&#x20;in&#x20;many&#x20;distributions.&#x20;If&#x20;you&#x20;have&#x20;created&#x20;other&#x20;user&#x20;partitions,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;Remediation&#x20;and&#x20;Audit&#x20;steps&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;partitions&#x20;as&#x20;well.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/home&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/home','[{\"cis\": [\"1.1.14\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2520,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/dev/shm&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;special&#x20;devices&#x20;in&#x20;/dev/shm&#x20;partitions.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/dev/shm','[{\"cis\": [\"1.1.15\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2521,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;introducing&#x20;privileged&#x20;programs&#x20;onto&#x20;the&#x20;system&#x20;and&#x20;allowing&#x20;non-root&#x20;users&#x20;to&#x20;execute&#x20;them.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/dev/shm','[{\"cis\": [\"1.1.16\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2522,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;executing&#x20;programs&#x20;from&#x20;shared&#x20;memory.&#x20;This&#x20;deters&#x20;users&#x20;from&#x20;introducing&#x20;potentially&#x20;malicious&#x20;software&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/dev/shm','[{\"cis\": [\"1.1.17\"]}, {\"cis_csc\": [\"2.6\", \"8\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2523,'Disable&#x20;Automounting','autofs&#x20;allows&#x20;automatic&#x20;mounting&#x20;of&#x20;devices,&#x20;typically&#x20;including&#x20;CD/DVDs&#x20;and&#x20;USB&#x20;drives.','With&#x20;automounting&#x20;enabled&#x20;anyone&#x20;with&#x20;physical&#x20;access&#x20;could&#x20;attach&#x20;a&#x20;USB&#x20;drive&#x20;or&#x20;disc&#x20;and&#x20;have&#x20;it&#039;s&#x20;contents&#x20;available&#x20;in&#x20;system&#x20;even&#x20;if&#x20;they&#x20;lacked&#x20;permissions&#x20;to&#x20;mount&#x20;it&#x20;themselves.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands:&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;autofs:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;autofs&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;autofs:&#x20;&#x20;#&#x20;apt&#x20;purge&#x20;autofs','[{\"cis\": [\"1.1.22\"]}, {\"cis_csc\": [\"8.4\", \"8.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2524,'Disable&#x20;USB&#x20;Storage','USB&#x20;storage&#x20;provides&#x20;a&#x20;means&#x20;to&#x20;transfer&#x20;and&#x20;store&#x20;files&#x20;insuring&#x20;persistence&#x20;and&#x20;availability&#x20;of&#x20;the&#x20;files&#x20;independent&#x20;of&#x20;network&#x20;connection&#x20;status.&#x20;Its&#x20;popularity&#x20;and&#x20;utility&#x20;has&#x20;led&#x20;to&#x20;USB-based&#x20;malware&#x20;being&#x20;a&#x20;simple&#x20;and&#x20;common&#x20;means&#x20;for&#x20;network&#x20;infiltration&#x20;and&#x20;a&#x20;first&#x20;step&#x20;to&#x20;establishing&#x20;a&#x20;persistent&#x20;threat&#x20;within&#x20;a&#x20;networked&#x20;environment.','Restricting&#x20;USB&#x20;access&#x20;on&#x20;the&#x20;system&#x20;will&#x20;decrease&#x20;the&#x20;physical&#x20;attack&#x20;surface&#x20;for&#x20;a&#x20;device&#x20;and&#x20;diminish&#x20;the&#x20;possible&#x20;vectors&#x20;to&#x20;introduce&#x20;malware.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vi&#x20;/etc/modprobe.d/usb_storage.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;#&#x20;install&#x20;usb-storage&#x20;/bin/true&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;usb-storage&#x20;module:&#x20;#&#x20;rmmod&#x20;usb-storage','[{\"cis\": [\"1.1.23\"]}, {\"cis_csc\": [\"8.4\", \"8.5\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC6.3\"]}]'),(2525,'Ensure&#x20;sudo&#x20;is&#x20;installed','sudo&#x20;allows&#x20;a&#x20;permitted&#x20;user&#x20;to&#x20;execute&#x20;a&#x20;command&#x20;as&#x20;the&#x20;superuser&#x20;or&#x20;another&#x20;user,&#x20;as&#x20;specified&#x20;by&#x20;the&#x20;security&#x20;policy.&#x20;The&#x20;invoking&#x20;user&#039;s&#x20;real&#x20;&#40;not&#x20;effective&#41;&#x20;user&#x20;ID&#x20;is&#x20;used&#x20;to&#x20;determine&#x20;the&#x20;user&#x20;name&#x20;with&#x20;which&#x20;to&#x20;query&#x20;the&#x20;security&#x20;policy.','sudo&#x20;supports&#x20;a&#x20;plugin&#x20;architecture&#x20;for&#x20;security&#x20;policies&#x20;and&#x20;input/output&#x20;logging.&#x20;Third&#x20;parties&#x20;can&#x20;develop&#x20;and&#x20;distribute&#x20;their&#x20;own&#x20;policy&#x20;and&#x20;I/O&#x20;logging&#x20;plugins&#x20;to&#x20;work&#x20;seamlessly&#x20;with&#x20;the&#x20;sudo&#x20;front&#x20;end.&#x20;The&#x20;default&#x20;security&#x20;policy&#x20;is&#x20;sudoers,&#x20;which&#x20;is&#x20;configured&#x20;via&#x20;the&#x20;file&#x20;/etc/sudoers.&#x20;The&#x20;security&#x20;policy&#x20;determines&#x20;what&#x20;privileges,&#x20;if&#x20;any,&#x20;a&#x20;user&#x20;has&#x20;to&#x20;run&#x20;sudo.&#x20;The&#x20;policy&#x20;may&#x20;require&#x20;that&#x20;users&#x20;authenticate&#x20;themselves&#x20;with&#x20;a&#x20;password&#x20;or&#x20;another&#x20;authentication&#x20;mechanism.&#x20;If&#x20;authentication&#x20;is&#x20;required,&#x20;sudo&#x20;will&#x20;exit&#x20;if&#x20;the&#x20;user&#039;s&#x20;password&#x20;is&#x20;not&#x20;entered&#x20;within&#x20;a&#x20;configurable&#x20;time&#x20;limit.&#x20;This&#x20;limit&#x20;is&#x20;policy-specific.','','Install&#x20;sudo&#x20;using&#x20;the&#x20;following&#x20;command.&#x20;#&#x20;apt&#x20;install&#x20;sudo&#x20;OR&#x20;#&#x20;apt&#x20;install&#x20;sudo-ldap','[{\"cis\": [\"1.3.1\"]}, {\"cis_csc\": [\"4.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2526,'Ensure&#x20;sudo&#x20;commands&#x20;use&#x20;pty','sudo&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;run&#x20;only&#x20;froma&#x20;pseudo-pty','Attackers&#x20;can&#x20;run&#x20;a&#x20;malicious&#x20;program&#x20;using&#x20;sudo,&#x20;which&#x20;would&#x20;again&#x20;fork&#x20;a&#x20;background&#x20;process&#x20;that&#x20;remains&#x20;even&#x20;when&#x20;the&#x20;main&#x20;program&#x20;has&#x20;finished&#x20;executing.','','edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;-f&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Defaults&#x20;use_pty','[{\"cis\": [\"1.3.2\"]}, {\"cis_csc\": [\"4.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2527,'Ensure&#x20;sudo&#x20;log&#x20;file&#x20;exists','sudo&#x20;can&#x20;use&#x20;a&#x20;custom&#x20;log&#x20;file','A&#x20;sudo&#x20;log&#x20;file&#x20;simplifies&#x20;auditing&#x20;of&#x20;sudo&#x20;commands','','edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;-f&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;&#x20;&#x20;Defaults&#x20;logfile=&quot;&lt;PATH&#x20;TO&#x20;CUSTOM&#x20;LOG&#x20;FILE&gt;&quot;&#x20;&#x20;&#x20;Example&#x20;&#x20;&#x20;&#x20;Defaults&#x20;logfile=&quot;/var/log/sudo.log&quot;','[{\"cis\": [\"1.3.3\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2528,'Ensure&#x20;AIDE&#x20;is&#x20;installed','AIDE&#x20;takes&#x20;a&#x20;snapshot&#x20;of&#x20;filesystem&#x20;state&#x20;including&#x20;modification&#x20;times,&#x20;permissions,&#x20;and&#x20;file&#x20;hashes&#x20;which&#x20;can&#x20;then&#x20;be&#x20;used&#x20;to&#x20;compare&#x20;against&#x20;the&#x20;current&#x20;state&#x20;of&#x20;the&#x20;filesystem&#x20;to&#x20;detect&#x20;modifications&#x20;to&#x20;the&#x20;system.','By&#x20;monitoring&#x20;the&#x20;filesystem&#x20;state&#x20;compromised&#x20;files&#x20;can&#x20;be&#x20;detected&#x20;to&#x20;prevent&#x20;or&#x20;limit&#x20;the&#x20;exposure&#x20;of&#x20;accidental&#x20;or&#x20;malicious&#x20;misconfigurations&#x20;or&#x20;modified&#x20;binaries.','','Install&#x20;AIDE:&#x20;#&#x20;apt&#x20;install&#x20;aide&#x20;aide-common.&#x20;Configure&#x20;AIDE&#x20;as&#x20;appropriate&#x20;for&#x20;your&#x20;environment.&#x20;Consult&#x20;the&#x20;AIDE&#x20;documentation&#x20;for&#x20;options.&#x20;Initialize&#x20;AIDE:&#x20;#&#x20;aideinit&#x20;.&#x20;&#x20;Notes:&#x20;The&#x20;prelinking&#x20;feature&#x20;can&#x20;interfere&#x20;with&#x20;AIDE&#x20;because&#x20;it&#x20;alters&#x20;binaries&#x20;to&#x20;speed&#x20;up&#x20;their&#x20;start&#x20;up&#x20;times.&#x20;Run&#x20;prelink&#x20;-ua&#x20;to&#x20;restore&#x20;the&#x20;binaries&#x20;to&#x20;their&#x20;prelinked&#x20;state,&#x20;thus&#x20;avoiding&#x20;false&#x20;positives&#x20;from&#x20;AIDE.','[{\"cis\": [\"1.4.1\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2529,'Ensure&#x20;filesystem&#x20;integrity&#x20;is&#x20;regularly&#x20;checked','Periodic&#x20;checking&#x20;of&#x20;the&#x20;filesystem&#x20;integrity&#x20;is&#x20;needed&#x20;to&#x20;detect&#x20;changes&#x20;to&#x20;the&#x20;filesystem.','Periodic&#x20;file&#x20;checking&#x20;allows&#x20;the&#x20;system&#x20;administrator&#x20;to&#x20;determine&#x20;on&#x20;a&#x20;regular&#x20;basis&#x20;if&#x20;critical&#x20;files&#x20;have&#x20;been&#x20;changed&#x20;in&#x20;an&#x20;unauthorized&#x20;fashion.','','If&#x20;cron&#x20;will&#x20;be&#x20;used&#x20;to&#x20;schedule&#x20;and&#x20;run&#x20;aide&#x20;check,&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;&#x20;&#x20;&#x20;#&#x20;crontab&#x20;-u&#x20;root&#x20;-e&#x20;&#x20;&#x20;&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;crontab:&#x20;&#x20;&#x20;&#x20;0&#x20;5&#x20;*&#x20;*&#x20;*&#x20;/usr/bin/aide.wrapper&#x20;--config&#x20;/etc/aide/aide.conf&#x20;--check','[{\"cis\": [\"1.4.2\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2530,'Ensure&#x20;permissions&#x20;on&#x20;bootloader&#x20;config&#x20;are&#x20;configured','The&#x20;grub&#x20;configuration&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;boot&#x20;settings&#x20;and&#x20;passwords&#x20;for&#x20;unlocking&#x20;boot&#x20;options.&#x20;The&#x20;grub&#x20;configuration&#x20;is&#x20;usually&#x20;grub.cfg&#x20;stored&#x20;in&#x20;/boot/grub.','Setting&#x20;the&#x20;permissions&#x20;to&#x20;read&#x20;and&#x20;write&#x20;for&#x20;root&#x20;only&#x20;prevents&#x20;non-root&#x20;users&#x20;from&#x20;seeing&#x20;the&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;them.&#x20;Non-root&#x20;users&#x20;who&#x20;read&#x20;the&#x20;boot&#x20;parameters&#x20;may&#x20;be&#x20;able&#x20;to&#x20;identify&#x20;weaknesses&#x20;in&#x20;security&#x20;upon&#x20;boot&#x20;and&#x20;be&#x20;able&#x20;to&#x20;exploit&#x20;them.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;your&#x20;grub&#x20;configuration:&#x20;chown&#x20;root:root&#x20;/boot/grub/grub.cfg,&#x20;chmod&#x20;og-rwx&#x20;/boot/grub/grub.cfg','[{\"cis\": [\"1.5.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2531,'Ensure&#x20;bootloader&#x20;password&#x20;is&#x20;set','Setting&#x20;the&#x20;boot&#x20;loader&#x20;password&#x20;will&#x20;require&#x20;that&#x20;anyone&#x20;rebooting&#x20;the&#x20;system&#x20;must&#x20;enter&#x20;a&#x20;password&#x20;before&#x20;being&#x20;able&#x20;to&#x20;set&#x20;command&#x20;line&#x20;boot&#x20;parameters.','Requiring&#x20;a&#x20;boot&#x20;password&#x20;upon&#x20;execution&#x20;of&#x20;the&#x20;boot&#x20;loader&#x20;will&#x20;prevent&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;entering&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;the&#x20;boot&#x20;partition.&#x20;This&#x20;prevents&#x20;users&#x20;from&#x20;weakening&#x20;security&#x20;&#40;e.g.&#x20;turning&#x20;off&#x20;SELinux&#x20;at&#x20;boot&#x20;time&#41;.','','Create&#x20;an&#x20;encrypted&#x20;password&#x20;with&#x20;grub-mkpasswd-pbkdf2&#x20;:&#x20;#&#x20;grub-mkpasswd-pbkdf2&#x20;&#x20;&#x20;&#x20;&#x20;Enter&#x20;password:&#x20;&lt;password&gt;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Reenter&#x20;password:&#x20;&lt;password&gt;&#x20;PBKDF2&#x20;hash&#x20;of&#x20;your&#x20;password&#x20;is&#x20;&lt;encrypted-password&gt;&#x20;Add&#x20;the&#x20;following&#x20;into&#x20;a&#x20;custom&#x20;/etc/grub.d&#x20;configuration&#x20;file:&#x20;cat&#x20;&lt;&lt;EOF&#x20;&#x20;&#x20;&#x20;&#x20;set&#x20;superusers=&quot;&lt;username&gt;&quot;&#x20;&#x20;&#x20;password_pbkdf2&#x20;&lt;username&gt;&#x20;&lt;encrypted-password&gt;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;EOF&#x20;&#x20;&#x20;&#x20;&#x20;The&#x20;superuser/user&#x20;information&#x20;and&#x20;password&#x20;should&#x20;not&#x20;be&#x20;contained&#x20;in&#x20;the&#x20;/etc/grub.d/00_header&#x20;file&#x20;as&#x20;this&#x20;file&#x20;could&#x20;be&#x20;overwritten&#x20;in&#x20;a&#x20;package&#x20;update.&#x20;If&#x20;there&#x20;is&#x20;a&#x20;requirement&#x20;to&#x20;be&#x20;able&#x20;to&#x20;boot/reboot&#x20;without&#x20;entering&#x20;the&#x20;password,&#x20;edit&#x20;/etc/grub.d/10_linux&#x20;and&#x20;add&#x20;--unrestricted&#x20;to&#x20;the&#x20;line&#x20;CLASS=&#x20;&#x20;Example:&#x20;CLASS=&quot;--class&#x20;gnu-linux&#x20;--class&#x20;gnu&#x20;--class&#x20;os&#x20;--unrestricted&quot;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub','[{\"cis\": [\"1.5.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2532,'Ensure&#x20;authentication&#x20;required&#x20;for&#x20;single&#x20;user&#x20;mode','Single&#x20;user&#x20;mode&#x20;is&#x20;used&#x20;for&#x20;recovery&#x20;when&#x20;the&#x20;system&#x20;detects&#x20;an&#x20;issue&#x20;during&#x20;boot&#x20;or&#x20;by&#x20;manual&#x20;selection&#x20;from&#x20;the&#x20;bootloader.','Requiring&#x20;authentication&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;prevents&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;rebooting&#x20;the&#x20;system&#x20;into&#x20;single&#x20;user&#x20;to&#x20;gain&#x20;root&#x20;privileges&#x20;without&#x20;credentials.','','Run&#x20;the&#x20;following&#x20;command&#x20;and&#x20;follow&#x20;the&#x20;prompts&#x20;to&#x20;set&#x20;a&#x20;password&#x20;for&#x20;the&#x20;root&#x20;user:&#x20;#&#x20;passwd&#x20;root','[{\"cis\": [\"1.5.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2533,'Ensure&#x20;XD/NX&#x20;support&#x20;is&#x20;enabled','Recent&#x20;processors&#x20;in&#x20;the&#x20;x86&#x20;family&#x20;support&#x20;the&#x20;ability&#x20;to&#x20;prevent&#x20;code&#x20;execution&#x20;on&#x20;a&#x20;per&#x20;memory&#x20;page&#x20;basis.&#x20;Generically&#x20;and&#x20;on&#x20;AMD&#x20;processors,&#x20;this&#x20;ability&#x20;is&#x20;called&#x20;No&#x20;Execute&#x20;&#40;NX&#41;,&#x20;while&#x20;on&#x20;Intel&#x20;processors&#x20;it&#x20;is&#x20;called&#x20;Execute&#x20;Disable&#x20;&#40;XD&#41;.&#x20;This&#x20;ability&#x20;can&#x20;help&#x20;prevent&#x20;exploitation&#x20;of&#x20;buffer&#x20;overflow&#x20;vulnerabilities&#x20;and&#x20;should&#x20;be&#x20;activated&#x20;whenever&#x20;possible.&#x20;Extra&#x20;steps&#x20;must&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;that&#x20;this&#x20;protection&#x20;is&#x20;enabled,&#x20;particularly&#x20;on&#x20;32-bit&#x20;x86&#x20;systems.&#x20;Other&#x20;processors,&#x20;such&#x20;as&#x20;Itanium&#x20;and&#x20;POWER,&#x20;have&#x20;included&#x20;such&#x20;support&#x20;since&#x20;inception&#x20;and&#x20;the&#x20;standard&#x20;kernel&#x20;for&#x20;those&#x20;platforms&#x20;supports&#x20;the&#x20;feature.','Enabling&#x20;any&#x20;feature&#x20;that&#x20;can&#x20;protect&#x20;against&#x20;buffer&#x20;overflow&#x20;attacks&#x20;enhances&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.','','On&#x20;32&#x20;bit&#x20;systems&#x20;install&#x20;a&#x20;kernel&#x20;with&#x20;PAE&#x20;support,&#x20;no&#x20;installation&#x20;is&#x20;required&#x20;on&#x20;64&#x20;bit&#x20;systems:&#x20;If&#x20;necessary&#x20;configure&#x20;your&#x20;bootloader&#x20;to&#x20;load&#x20;the&#x20;new&#x20;kernel&#x20;and&#x20;reboot&#x20;the&#x20;system.&#x20;You&#x20;may&#x20;need&#x20;to&#x20;enable&#x20;NX&#x20;or&#x20;XD&#x20;support&#x20;in&#x20;your&#x20;bios.','[{\"cis\": [\"1.6.1\"]}, {\"cis_csc\": [\"8.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2534,'Ensure&#x20;address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;enabled','Address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;an&#x20;exploit&#x20;mitigation&#x20;technique&#x20;which&#x20;randomly&#x20;arranges&#x20;the&#x20;address&#x20;space&#x20;of&#x20;key&#x20;data&#x20;areas&#x20;of&#x20;a&#x20;process.','Randomly&#x20;placing&#x20;virtual&#x20;memory&#x20;regions&#x20;will&#x20;make&#x20;it&#x20;difficult&#x20;to&#x20;write&#x20;memory&#x20;page&#x20;exploits&#x20;as&#x20;the&#x20;memory&#x20;placement&#x20;will&#x20;be&#x20;consistently&#x20;shifting.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;kernel.randomize_va_space&#x20;=&#x20;2&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;kernel.randomize_va_space=2','[{\"cis\": [\"1.6.2\"]}, {\"cis_csc\": [\"8.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2535,'Ensure&#x20;prelink&#x20;is&#x20;disabled','prelink&#x20;is&#x20;a&#x20;program&#x20;that&#x20;modifies&#x20;ELF&#x20;shared&#x20;libraries&#x20;and&#x20;ELF&#x20;dynamically&#x20;linked&#x20;binaries&#x20;in&#x20;such&#x20;a&#x20;way&#x20;that&#x20;the&#x20;time&#x20;needed&#x20;for&#x20;the&#x20;dynamic&#x20;linker&#x20;to&#x20;perform&#x20;relocations&#x20;at&#x20;startup&#x20;significantly&#x20;decreases.','The&#x20;prelinking&#x20;feature&#x20;can&#x20;interfere&#x20;with&#x20;the&#x20;operation&#x20;of&#x20;AIDE,&#x20;because&#x20;it&#x20;changes&#x20;binaries.&#x20;Prelinking&#x20;can&#x20;also&#x20;increase&#x20;the&#x20;vulnerability&#x20;of&#x20;the&#x20;system&#x20;if&#x20;a&#x20;malicious&#x20;user&#x20;is&#x20;able&#x20;to&#x20;compromise&#x20;a&#x20;common&#x20;library&#x20;such&#x20;as&#x20;libc.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restore&#x20;binaries&#x20;to&#x20;normal:&#x20;#&#x20;prelink&#x20;-ua&#x20;Uninstall&#x20;prelink&#x20;using&#x20;the&#x20;appropriate&#x20;package&#x20;manager&#x20;or&#x20;manual&#x20;installation:&#x20;#&#x20;apt&#x20;purge&#x20;prelink','[{\"cis\": [\"1.6.3\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2536,'Ensure&#x20;core&#x20;dumps&#x20;are&#x20;restricted','A&#x20;core&#x20;dump&#x20;is&#x20;the&#x20;memory&#x20;of&#x20;an&#x20;executable&#x20;program.&#x20;It&#x20;is&#x20;generally&#x20;used&#x20;to&#x20;determine&#x20;why&#x20;a&#x20;program&#x20;aborted.&#x20;It&#x20;can&#x20;also&#x20;be&#x20;used&#x20;to&#x20;glean&#x20;confidential&#x20;information&#x20;from&#x20;a&#x20;core&#x20;file.&#x20;The&#x20;system&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;a&#x20;soft&#x20;limit&#x20;for&#x20;core&#x20;dumps,&#x20;but&#x20;this&#x20;can&#x20;be&#x20;overridden&#x20;by&#x20;the&#x20;user.','Setting&#x20;a&#x20;hard&#x20;limit&#x20;on&#x20;core&#x20;dumps&#x20;prevents&#x20;users&#x20;from&#x20;overriding&#x20;the&#x20;soft&#x20;variable.&#x20;If&#x20;core&#x20;dumps&#x20;are&#x20;required,&#x20;consider&#x20;setting&#x20;limits&#x20;for&#x20;user&#x20;groups&#x20;&#40;see&#x20;limits.conf&#40;5&#41;&#x20;&#41;.&#x20;In&#x20;addition,&#x20;setting&#x20;the&#x20;fs.suid_dumpable&#x20;variable&#x20;to&#x20;0&#x20;will&#x20;prevent&#x20;setuid&#x20;programs&#x20;from&#x20;dumping&#x20;core.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;/etc/security/limits.conf&#x20;or&#x20;a&#x20;/etc/security/limits.d&#47;&#42;&#x20;file:&#x20;*&#x20;hard&#x20;core&#x20;0&#x20;Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;fs.suid_dumpable&#x20;=&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;fs.suid_dumpable=0','[{\"cis\": [\"1.6.4\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2537,'Ensure&#x20;AppArmor&#x20;is&#x20;installed','AppArmor&#x20;provides&#x20;Mandatory&#x20;Access&#x20;Controls.','Without&#x20;a&#x20;Mandatory&#x20;Access&#x20;Control&#x20;system&#x20;installed&#x20;only&#x20;the&#x20;default&#x20;Discretionary&#x20;Access&#x20;Control&#x20;system&#x20;will&#x20;be&#x20;available.','','Install&#x20;Apparmor.&#x20;#&#x20;apt&#x20;install&#x20;apparmor&#x20;#&#x20;apt&#x20;install&#x20;apparmor-utils','[{\"cis\": [\"1.7.1.1\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2538,'Ensure&#x20;AppArmor&#x20;is&#x20;enabled&#x20;in&#x20;the&#x20;bootloader&#x20;configuration','Configure&#x20;AppArmor&#x20;to&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;and&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;not&#x20;been&#x20;overwrittenby&#x20;the&#x20;bootloader&#x20;boot&#x20;parameters.','AppArmor&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;your&#x20;grub&#x20;configuration&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;not&#x20;overridden.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;the&#x20;apparmor=1&#x20;and&#x20;security=apparmor&#x20;parameters&#x20;to&#x20;the&#x20;GRUB_CMDLINE_LINUX=&#x20;line&#x20;&#x20;&#x20;GRUB_CMDLINE_LINUX=&quot;apparmor=1&#x20;security=apparmor&quot;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration&#x20;#&#x20;update-grub&#x20;&#x20;&#x20;&#x20;Notes:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.','[{\"cis\": [\"1.7.1.2\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2539,'Ensure&#x20;all&#x20;AppArmor&#x20;Profiles&#x20;are&#x20;in&#x20;enforce&#x20;or&#x20;complain&#x20;mode','AppArmor&#x20;profiles&#x20;define&#x20;what&#x20;resources&#x20;applicatons&#x20;are&#x20;able&#x20;to&#x20;access.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;any&#x20;policies&#x20;that&#x20;exist&#x20;on&#x20;the&#x20;system&#x20;are&#x20;activated..','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;all&#x20;profiles&#x20;to&#x20;enforce&#x20;mode:&#x20;#&#x20;aa-enforce&#x20;/etc/apparmor.d&#47;&#42;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;all&#x20;profiles&#x20;to&#x20;complain&#x20;mode:&#x20;#&#x20;aa-complain&#x20;/etc/apparmor.d&#47;&#42;&#x20;Any&#x20;unconfined&#x20;processes&#x20;may&#x20;need&#x20;to&#x20;have&#x20;a&#x20;profile&#x20;created&#x20;or&#x20;activated&#x20;for&#x20;them&#x20;and&#x20;then&#x20;be&#x20;restarted.','[{\"cis\": [\"1.7.1.3\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2540,'Ensure&#x20;all&#x20;AppArmor&#x20;Profiles&#x20;are&#x20;enforcing','AppArmor&#x20;profiles&#x20;define&#x20;what&#x20;resources&#x20;applicatons&#x20;are&#x20;able&#x20;to&#x20;access.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;any&#x20;policies&#x20;that&#x20;exist&#x20;on&#x20;the&#x20;system&#x20;are&#x20;activated..','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;all&#x20;profiles&#x20;to&#x20;enforce&#x20;mode:&#x20;#&#x20;aa-enforce&#x20;/etc/apparmor.d&#47;&#42;&#x20;Any&#x20;unconfined&#x20;processes&#x20;may&#x20;need&#x20;to&#x20;have&#x20;a&#x20;profile&#x20;created&#x20;or&#x20;activated&#x20;for&#x20;them&#x20;and&#x20;then&#x20;be&#x20;restarted.','[{\"cis\": [\"1.7.1.4\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2541,'Ensure&#x20;message&#x20;of&#x20;the&#x20;day&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/motd&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;v&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform&#x20;OR&#x20;If&#x20;the&#x20;motd&#x20;is&#x20;not&#x20;used,&#x20;this&#x20;file&#x20;can&#x20;be&#x20;removed.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;motd&#x20;file:&#x20;#&#x20;rm&#x20;/etc/motd','[{\"cis\": [\"1.8.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(2542,'Ensure&#x20;local&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;or&#x20;v&#x20;,&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue','[{\"cis\": [\"1.8.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(2543,'Ensure&#x20;remote&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;or&#x20;v&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue.net','[{\"cis\": [\"1.8.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(2544,'Ensure&#x20;permissions&#x20;on&#x20;/etc/motd&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.','If&#x20;the&#x20;/etc/motd&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/motd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/motd&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/motd','[{\"cis\": [\"1.8.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2545,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.','If&#x20;the&#x20;/etc/issue&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/issue','[{\"cis\": [\"1.8.1.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2546,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue.net&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.','If&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue.net:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue.net&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/issue.net','[{\"cis\": [\"1.8.1.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2547,'Ensure&#x20;GDM&#x20;login&#x20;banner&#x20;is&#x20;configured','GDM&#x20;is&#x20;the&#x20;GNOME&#x20;Display&#x20;Manager&#x20;which&#x20;handles&#x20;graphical&#x20;login&#x20;for&#x20;GNOME&#x20;based&#x20;systems.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/gdm3/greeter.dconf-defaults&#x20;and&#x20;add:&#x20;[org/gnome/login-screen],&#x20;banner-message-enable=true,&#x20;banner-message-text=&#039;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&#039;','[{\"cis\": [\"1.8.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2548,'Ensure&#x20;updates,&#x20;patches,&#x20;and&#x20;additional&#x20;security&#x20;software&#x20;are&#x20;installed','Periodically&#x20;patches&#x20;are&#x20;released&#x20;for&#x20;included&#x20;software&#x20;either&#x20;due&#x20;to&#x20;security&#x20;flaws&#x20;or&#x20;to&#x20;include&#x20;additional&#x20;functionality.','Newer&#x20;patches&#x20;may&#x20;contain&#x20;security&#x20;enhancements&#x20;that&#x20;would&#x20;not&#x20;be&#x20;available&#x20;through&#x20;the&#x20;latest&#x20;full&#x20;update.&#x20;As&#x20;a&#x20;result,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;latest&#x20;software&#x20;patches&#x20;be&#x20;used&#x20;to&#x20;take&#x20;advantage&#x20;of&#x20;the&#x20;latest&#x20;functionality.&#x20;As&#x20;with&#x20;any&#x20;software&#x20;installation,&#x20;organizations&#x20;need&#x20;to&#x20;determine&#x20;if&#x20;a&#x20;given&#x20;update&#x20;meets&#x20;their&#x20;requirements&#x20;and&#x20;verify&#x20;the&#x20;compatibility&#x20;and&#x20;supportability&#x20;of&#x20;any&#x20;additional&#x20;software&#x20;against&#x20;the&#x20;update&#x20;revision&#x20;that&#x20;is&#x20;selected.','','Use&#x20;your&#x20;package&#x20;manager&#x20;to&#x20;update&#x20;all&#x20;packages&#x20;on&#x20;the&#x20;system&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;Notes:&#x20;Site&#x20;policy&#x20;may&#x20;mandate&#x20;a&#x20;testing&#x20;period&#x20;before&#x20;install&#x20;onto&#x20;production&#x20;systems&#x20;for&#x20;available&#x20;updates.','[{\"cis\": [\"1.9\"]}, {\"cis_csc\": [\"3.4\", \"3.5\"]}, {\"pci_dss\": [\"5.2\"]}, {\"nist_800_53\": [\"AU.6\", \"SI.4\"]}, {\"gpg_13\": [\"4.2\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"A1.2\"]}]'),(2549,'Ensure&#x20;xinetd&#x20;is&#x20;not&#x20;installed','The&#x20;eXtended&#x20;InterNET&#x20;Daemon&#x20;&#40;xinetd&#41;&#x20;is&#x20;an&#x20;open&#x20;source&#x20;super&#x20;daemon&#x20;that&#x20;replaced&#x20;the&#x20;original&#x20;inetd&#x20;daemon.&#x20;The&#x20;xinetddaemon&#x20;listens&#x20;for&#x20;well&#x20;known&#x20;services&#x20;and&#x20;dispatches&#x20;the&#x20;appropriate&#x20;daemon&#x20;to&#x20;properly&#x20;respond&#x20;to&#x20;service&#x20;requests.','If&#x20;there&#x20;are&#x20;no&#x20;xinetd&#x20;services&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;xinetd:&#x20;#&#x20;apt&#x20;purge&#x20;xinetd','[{\"cis\": [\"2.1.1\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2550,'Ensure&#x20;openbsd-inetd&#x20;is&#x20;not&#x20;installed','The&#x20;inetd&#x20;daemon&#x20;listens&#x20;for&#x20;well&#x20;known&#x20;services&#x20;and&#x20;dispatches&#x20;the&#x20;appropriate&#x20;daemon&#x20;to&#x20;properly&#x20;respond&#x20;to&#x20;service&#x20;requests.','If&#x20;there&#x20;are&#x20;no&#x20;inetd&#x20;services&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;daemon&#x20;be&#x20;removed.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;openbsd-inetd:&#x20;apt&#x20;purge&#x20;openbsd-inetd','[{\"cis\": [\"2.1.2\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2551,'Ensure&#x20;time&#x20;synchronization&#x20;is&#x20;in&#x20;use','System&#x20;time&#x20;should&#x20;be&#x20;synchronized&#x20;between&#x20;all&#x20;systems&#x20;in&#x20;an&#x20;environment.&#x20;This&#x20;is&#x20;typically&#x20;done&#x20;by&#x20;establishing&#x20;an&#x20;authoritative&#x20;time&#x20;server&#x20;or&#x20;set&#x20;of&#x20;servers&#x20;and&#x20;having&#x20;all&#x20;systems&#x20;synchronize&#x20;their&#x20;clocks&#x20;to&#x20;them.','Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;like&#x20;Kerberos&#x20;and&#x20;also&#x20;ensures&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise,&#x20;which&#x20;aids&#x20;in&#x20;forensic&#x20;investigations.','','On&#x20;systems&#x20;where&#x20;host&#x20;based&#x20;time&#x20;synchronization&#x20;is&#x20;not&#x20;available,&#x20;configure&#x20;systemd-timesyncd.&#x20;If&#x20;&quot;full&#x20;featured&quot;&#x20;and/or&#x20;encrypted&#x20;time&#x20;synchronization&#x20;is&#x20;required,&#x20;install&#x20;chrony&#x20;or&#x20;NTP.&#x20;To&#x20;install&#x20;chrony:&#x20;#&#x20;apt&#x20;install&#x20;chrony&#x20;To&#x20;install&#x20;ntp:&#x20;#&#x20;apt&#x20;install&#x20;ntp&#x20;On&#x20;virtual&#x20;systems&#x20;where&#x20;host&#x20;based&#x20;time&#x20;synchronization&#x20;is&#x20;available&#x20;consult&#x20;your&#x20;virtualization&#x20;software&#x20;documentation&#x20;and&#x20;setup&#x20;host&#x20;based&#x20;synchronization.','[{\"cis\": [\"2.2.1.1\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"10.4\"]}, {\"nist_800_53\": [\"AU.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2552,'Ensure&#x20;systemd-timesyncd&#x20;is&#x20;configured','systemd-timesyncd&#x20;is&#x20;a&#x20;daemon&#x20;that&#x20;has&#x20;been&#x20;added&#x20;for&#x20;synchronizing&#x20;the&#x20;system&#x20;clock&#x20;across&#x20;the&#x20;network.&#x20;It&#x20;implements&#x20;an&#x20;SNTP&#x20;client.&#x20;In&#x20;contrast&#x20;to&#x20;NTP&#x20;implementations&#x20;such&#x20;as&#x20;chrony&#x20;or&#x20;the&#x20;NTP&#x20;reference&#x20;server&#x20;this&#x20;only&#x20;implements&#x20;a&#x20;client&#x20;side,&#x20;and&#x20;does&#x20;not&#x20;bother&#x20;with&#x20;the&#x20;full&#x20;NTP&#x20;complexity,&#x20;focusing&#x20;only&#x20;on&#x20;querying&#x20;time&#x20;from&#x20;one&#x20;remote&#x20;server&#x20;and&#x20;synchronizing&#x20;the&#x20;local&#x20;clock&#x20;to&#x20;it.&#x20;The&#x20;daemon&#x20;runs&#x20;with&#x20;minimal&#x20;privileges,&#x20;and&#x20;has&#x20;been&#x20;hooked&#x20;up&#x20;with&#x20;networkd&#x20;to&#x20;only&#x20;operate&#x20;when&#x20;network&#x20;connectivity&#x20;is&#x20;available.&#x20;The&#x20;daemon&#x20;saves&#x20;the&#x20;current&#x20;clock&#x20;to&#x20;disk&#x20;every&#x20;time&#x20;a&#x20;new&#x20;NTP&#x20;sync&#x20;has&#x20;been&#x20;acquired,&#x20;and&#x20;uses&#x20;this&#x20;to&#x20;possibly&#x20;correct&#x20;the&#x20;system&#x20;clock&#x20;early&#x20;at&#x20;bootup,&#x20;in&#x20;order&#x20;to&#x20;accommodate&#x20;for&#x20;systems&#x20;that&#x20;lack&#x20;an&#x20;RTC&#x20;such&#x20;as&#x20;the&#x20;Raspberry&#x20;Pi&#x20;and&#x20;embedded&#x20;devices,&#x20;and&#x20;make&#x20;sure&#x20;that&#x20;time&#x20;monotonically&#x20;progresses&#x20;on&#x20;these&#x20;systems,&#x20;even&#x20;if&#x20;it&#x20;is&#x20;not&#x20;always&#x20;correct.&#x20;To&#x20;make&#x20;use&#x20;of&#x20;this&#x20;daemon&#x20;a&#x20;new&#x20;system&#x20;user&#x20;and&#x20;group&#x20;&quot;systemd-&#x20;timesync&quot;&#x20;needs&#x20;to&#x20;be&#x20;created&#x20;on&#x20;installation&#x20;of&#x20;systemd.&#x20;Note:&#x20;The&#x20;systemd-timesyncd&#x20;service&#x20;specifically&#x20;implements&#x20;only&#x20;SNTP.&#x20;This&#x20;minimalistic&#x20;service&#x20;will&#x20;set&#x20;the&#x20;system&#x20;clock&#x20;for&#x20;large&#x20;offsets&#x20;or&#x20;slowly&#x20;adjust&#x20;it&#x20;for&#x20;smaller&#x20;deltas.&#x20;More&#x20;complex&#x20;use&#x20;cases&#x20;are&#x20;not&#x20;covered&#x20;by&#x20;systemd-timesyncd.&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;timesyncd&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system.','Proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;timesyncd&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;systemd-timesyncd&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;enable&#x20;systemd-timesyncd.service&#x20;&#x20;||&#x20;&#x20;Edit&#x20;the&#x20;file&#x20;/etc/systemd/timesyncd.conf&#x20;and&#x20;add/modify&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;NTP=0.debian.pool.ntp.org&#x20;1.debian.pool.ntp.org&#x20;&#x20;&#x20;FallbackNTP=2.debian.pool.ntp.org&#x20;3.debian.pool.ntp.org&#x20;&#x20;&#x20;&#x20;RootDistanceMax=1&#x20;&#x20;||&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;start&#x20;systemd-timesyncd.service&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;start&#x20;systemd-timesyncd.service&#x20;&#x20;&#x20;#&#x20;timedatectl&#x20;set-ntp&#x20;true&#x20;&#x20;||&#x20;Notes:&#x20;Servers&#x20;listed&#x20;and&#x20;RootDistanceMax&#x20;should&#x20;be&#x20;In&#x20;Accordance&#x20;With&#x20;Local&#x20;Policy&#x20;some&#x20;versions&#x20;of&#x20;systemd&#x20;have&#x20;been&#x20;compiled&#x20;without&#x20;systemd-timesycnd.&#x20;On&#x20;these&#x20;distributions,&#x20;chrony&#x20;or&#x20;NTP&#x20;should&#x20;be&#x20;used&#x20;instead&#x20;of&#x20;systemd-timesycnd.&#x20;Not&#x20;all&#x20;options&#x20;are&#x20;available&#x20;on&#x20;all&#x20;versions&#x20;of&#x20;systemd-timesyncd','[{\"cis\": [\"2.2.1.2\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2553,'Ensure&#x20;chrony&#x20;is&#x20;configured','chrony&#x20;is&#x20;a&#x20;daemon&#x20;which&#x20;implements&#x20;the&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;chrony&#x20;can&#x20;be&#x20;found&#x20;at&#x20;http://chrony.tuxfamily.org/.&#x20;chrony&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.','If&#x20;chrony&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;chrony&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system.','','Add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;to&#x20;/etc/chrony/chrony.conf&#x20;as&#x20;appropriate:&#x20;server&#x20;&lt;remote-server&gt;&#x20;Configure&#x20;chrony&#x20;to&#x20;run&#x20;as&#x20;the&#x20;chrony&#x20;user&#x20;by&#x20;configuring&#x20;the&#x20;appropriate&#x20;startup&#x20;script&#x20;for&#x20;your&#x20;distribution.&#x20;Startup&#x20;scripts&#x20;are&#x20;typically&#x20;stored&#x20;in&#x20;/etc/init.d&#x20;or&#x20;/etc/systemd&#x20;.','[{\"cis\": [\"2.2.1.3\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2554,'Ensure&#x20;ntp&#x20;is&#x20;configured','ntp&#x20;is&#x20;a&#x20;daemon&#x20;which&#x20;implements&#x20;the&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;.&#x20;It&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;NTP&#x20;can&#x20;be&#x20;found&#x20;at&#x20;http://www.ntp.org.&#x20;ntp&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system.','If&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.','','Add&#x20;or&#x20;edit&#x20;restrict&#x20;lines&#x20;in&#x20;/etc/ntp.conf&#x20;to&#x20;match&#x20;the&#x20;following:&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;restrict&#x20;-6&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;Add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;to&#x20;/etc/ntp.conf&#x20;as&#x20;appropriate:&#x20;server&#x20;&lt;remote-server&gt;&#x20;Configure&#x20;ntp&#x20;to&#x20;run&#x20;as&#x20;the&#x20;ntp&#x20;user&#x20;by&#x20;adding&#x20;or&#x20;editing&#x20;the&#x20;/etc/init.d/ntp&#x20;file:&#x20;RUNASUSER=ntp','[{\"cis\": [\"2.2.1.4\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2555,'Ensure&#x20;the&#x20;X&#x20;Window&#x20;system&#x20;is&#x20;not&#x20;installed','The&#x20;X&#x20;Window&#x20;System&#x20;provides&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;where&#x20;users&#x20;can&#x20;have&#x20;multiple&#x20;windows&#x20;in&#x20;which&#x20;to&#x20;run&#x20;programs&#x20;and&#x20;various&#x20;add&#x20;on.&#x20;The&#x20;X&#x20;Windows&#x20;system&#x20;is&#x20;typically&#x20;used&#x20;on&#x20;workstations&#x20;where&#x20;users&#x20;login,&#x20;but&#x20;not&#x20;on&#x20;servers&#x20;where&#x20;users&#x20;typically&#x20;do&#x20;not&#x20;login.','Unless&#x20;your&#x20;organization&#x20;specifically&#x20;requires&#x20;graphical&#x20;login&#x20;access&#x20;via&#x20;X&#x20;Windows,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Remove&#x20;the&#x20;X&#x20;Windows&#x20;System&#x20;packages:&#x20;apt&#x20;purge&#x20;xserver-xorg*','[{\"cis\": [\"2.2.2\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.8\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(2556,'Ensure&#x20;Avahi&#x20;Server&#x20;is&#x20;not&#x20;enabled','Avahi&#x20;is&#x20;a&#x20;free&#x20;zeroconf&#x20;implementation,&#x20;including&#x20;a&#x20;system&#x20;for&#x20;multicast&#x20;DNS/DNS-SD&#x20;service&#x20;discovery.&#x20;Avahi&#x20;allows&#x20;programs&#x20;to&#x20;publish&#x20;and&#x20;discover&#x20;services&#x20;and&#x20;hosts&#x20;running&#x20;on&#x20;a&#x20;local&#x20;network&#x20;with&#x20;no&#x20;specific&#x20;configuration.&#x20;For&#x20;example,&#x20;a&#x20;user&#x20;can&#x20;plug&#x20;a&#x20;computer&#x20;into&#x20;a&#x20;network&#x20;and&#x20;Avahi&#x20;automatically&#x20;finds&#x20;printers&#x20;to&#x20;print&#x20;to,&#x20;files&#x20;to&#x20;look&#x20;at&#x20;and&#x20;people&#x20;to&#x20;talk&#x20;to,&#x20;as&#x20;well&#x20;as&#x20;network&#x20;services&#x20;running&#x20;on&#x20;the&#x20;machine.','Automatic&#x20;discovery&#x20;of&#x20;network&#x20;services&#x20;is&#x20;not&#x20;normally&#x20;required&#x20;for&#x20;system&#x20;functionality.&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;disable&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attach&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;avahi-daemon:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;avahi-daemon','[{\"cis\": [\"2.2.3\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2557,'Ensure&#x20;CUPS&#x20;is&#x20;not&#x20;enabled','The&#x20;Common&#x20;Unix&#x20;Print&#x20;System&#x20;&#40;CUPS&#41;&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;print&#x20;to&#x20;both&#x20;local&#x20;and&#x20;network&#x20;printers.&#x20;A&#x20;system&#x20;running&#x20;CUPS&#x20;can&#x20;also&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;remote&#x20;systems&#x20;and&#x20;print&#x20;them&#x20;to&#x20;local&#x20;printers.&#x20;It&#x20;also&#x20;provides&#x20;a&#x20;web&#x20;based&#x20;remote&#x20;administration&#x20;capability.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;need&#x20;to&#x20;print&#x20;jobs&#x20;or&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;systems,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;CUPS&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;cups:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;cups','[{\"cis\": [\"2.2.4\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2558,'Ensure&#x20;DHCP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Dynamic&#x20;Host&#x20;Configuration&#x20;Protocol&#x20;&#40;DHCP&#41;&#x20;is&#x20;a&#x20;service&#x20;that&#x20;allows&#x20;machines&#x20;to&#x20;be&#x20;dynamically&#x20;assigned&#x20;IP&#x20;addresses.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;set&#x20;up&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DHCP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;dhcpd:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;isc-dhcp-server&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;isc-dhcp-server6','[{\"cis\": [\"2.2.5\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2559,'Ensure&#x20;LDAP&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;slapd:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;slapd','[{\"cis\": [\"2.2.6\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2560,'Ensure&#x20;NFS&#x20;and&#x20;RPC&#x20;are&#x20;not&#x20;enabled','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;export&#x20;NFS&#x20;shares&#x20;or&#x20;act&#x20;as&#x20;an&#x20;NFS&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;these&#x20;services&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;nfs&#x20;and&#x20;rpcbind:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;nfs-server&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;rpcbind','[{\"cis\": [\"2.2.7\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2561,'Ensure&#x20;DNS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Domain&#x20;Name&#x20;System&#x20;&#40;DNS&#41;&#x20;is&#x20;a&#x20;hierarchical&#x20;naming&#x20;system&#x20;that&#x20;maps&#x20;names&#x20;to&#x20;IP&#x20;addresses&#x20;for&#x20;computers,&#x20;services&#x20;and&#x20;other&#x20;resources&#x20;connected&#x20;to&#x20;a&#x20;network.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;designated&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DNS&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;named:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;bind9','[{\"cis\": [\"2.2.8\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2562,'Ensure&#x20;FTP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;FTP&#41;&#x20;provides&#x20;networked&#x20;computers&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;transfer&#x20;files.','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;sftp&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;vsftpd:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;vsftpd','[{\"cis\": [\"2.2.9\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2563,'Ensure&#x20;HTTP&#x20;Server&#x20;is&#x20;not&#x20;enabled','HTTP&#x20;or&#x20;web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;apache2:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;apache2','[{\"cis\": [\"2.2.10\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2564,'Ensure&#x20;email&#x20;services&#x20;are&#x20;not&#x20;enabled','dovecot&#x20;is&#x20;an&#x20;open&#x20;source&#x20;mail&#x20;submission&#x20;and&#x20;transport&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;mail&#x20;transport&#x20;services&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;by&#x20;this&#x20;system,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;or&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;dovecot&#x20;:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;dovecot','[{\"cis\": [\"2.2.11\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2565,'Ensure&#x20;Samba&#x20;is&#x20;not&#x20;enabled','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Small&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.&#x20;Windows&#x20;desktop&#x20;users&#x20;will&#x20;be&#x20;able&#x20;to&#x20;mount&#x20;these&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;as&#x20;letter&#x20;drives&#x20;on&#x20;their&#x20;systems.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;service&#x20;can&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;smbd:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;smbd','[{\"cis\": [\"2.2.12\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2566,'Ensure&#x20;HTTP&#x20;Proxy&#x20;Server&#x20;is&#x20;not&#x20;enabled','Squid&#x20;is&#x20;a&#x20;standard&#x20;proxy&#x20;server&#x20;used&#x20;in&#x20;many&#x20;distributions&#x20;and&#x20;environments.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;proxy&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;squid:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;squid','[{\"cis\": [\"2.2.13\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2567,'Ensure&#x20;SNMP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;can&#x20;communicate&#x20;using&#x20;SNMP&#x20;v1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;Unless&#x20;absolutely&#x20;necessary,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;SNMP&#x20;service&#x20;not&#x20;be&#x20;used.&#x20;If&#x20;SNMP&#x20;is&#x20;required&#x20;the&#x20;server&#x20;should&#x20;be&#x20;configured&#x20;to&#x20;disallow&#x20;SNMP&#x20;v1.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;snmpd:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;snmpd','[{\"cis\": [\"2.2.14\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2568,'Ensure&#x20;mail&#x20;transfer&#x20;agent&#x20;is&#x20;configured&#x20;for&#x20;local-only&#x20;mode','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','The&#x20;software&#x20;for&#x20;all&#x20;Mail&#x20;Transfer&#x20;Agents&#x20;is&#x20;complex&#x20;and&#x20;most&#x20;have&#x20;a&#x20;long&#x20;history&#x20;of&#x20;security&#x20;issues.&#x20;While&#x20;it&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;system&#x20;can&#x20;process&#x20;local&#x20;mail&#x20;messages,&#x20;it&#x20;is&#x20;not&#x20;necessary&#x20;to&#x20;have&#x20;the&#x20;MTA&#039;s&#x20;daemon&#x20;listening&#x20;on&#x20;a&#x20;port&#x20;unless&#x20;the&#x20;server&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server&#x20;that&#x20;receives&#x20;and&#x20;processes&#x20;mail&#x20;from&#x20;other&#x20;systems.','','Edit&#x20;/etc/exim4/update-exim4.conf.conf&#x20;and&#x20;and&#x20;or&#x20;modify&#x20;following&#x20;lines&#x20;to&#x20;look&#x20;like&#x20;the&#x20;lines&#x20;below:&#x20;dc_eximconfig_configtype=&#039;local&#039;&#x20;dc_local_interfaces=&#039;127.0.0.1&#x20;;&#x20;::1&#039;&#x20;dc_readhost=&#039;&#039;&#x20;dc_relay_domains=&#039;&#039;&#x20;dc_minimaldns=&#039;false&#039;&#x20;dc_relay_nets=&#039;&#039;&#x20;dc_smarthost=&#039;&#039;&#x20;dc_use_split_config=&#039;false&#039;&#x20;dc_hide_mailname=&#039;&#039;&#x20;dc_mailname_in_oh=&#039;true&#039;&#x20;dc_localdelivery=&#039;mail_spool&#039;&#x20;Restart&#x20;exim4:&#x20;#&#x20;systemctl&#x20;restart&#x20;exim4','[{\"cis\": [\"2.2.15\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AC.4\", \"SC.7\"]}, {\"tsc\": [\"CC5.2\", \"CC6.4\", \"CC6.6\", \"CC6.7\"]}]'),(2569,'Ensure&#x20;rsync&#x20;service&#x20;is&#x20;not&#x20;enabled','The&#x20;rsyncd&#x20;service&#x20;can&#x20;be&#x20;used&#x20;to&#x20;synchronize&#x20;files&#x20;between&#x20;systems&#x20;over&#x20;network&#x20;links.','The&#x20;rsyncd&#x20;service&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;rsync:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;rsync','[{\"cis\": [\"2.2.16\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(2570,'Ensure&#x20;NIS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;&#x20;&#40;formally&#x20;known&#x20;as&#x20;Yellow&#x20;Pages&#41;&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;for&#x20;distributing&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;server&#x20;is&#x20;a&#x20;collection&#x20;of&#x20;programs&#x20;that&#x20;allow&#x20;for&#x20;the&#x20;distribution&#x20;of&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;and&#x20;other,&#x20;more&#x20;secure&#x20;services&#x20;be&#x20;used','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;nis:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;nis','[{\"cis\": [\"2.2.17\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2571,'Ensure&#x20;NIS&#x20;Client&#x20;is&#x20;not&#x20;installed','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;,&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;used&#x20;to&#x20;distribute&#x20;system&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed.','','Uninstall&#x20;nis&#x20;:&#x20;apt&#x20;purge&#x20;nis','[{\"cis\": [\"2.3.1\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2572,'Ensure&#x20;rsh&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;rsh-client&#x20;package&#x20;contains&#x20;the&#x20;client&#x20;commands&#x20;for&#x20;the&#x20;rsh&#x20;services.','These&#x20;legacy&#x20;clients&#x20;contain&#x20;numerous&#x20;security&#x20;exposures&#x20;and&#x20;have&#x20;been&#x20;replaced&#x20;with&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;package.&#x20;Even&#x20;if&#x20;the&#x20;server&#x20;is&#x20;removed,&#x20;it&#x20;is&#x20;best&#x20;to&#x20;ensure&#x20;the&#x20;clients&#x20;are&#x20;also&#x20;removed&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;inadvertently&#x20;attempting&#x20;to&#x20;use&#x20;these&#x20;commands&#x20;and&#x20;therefore&#x20;exposing&#x20;their&#x20;credentials.&#x20;Note&#x20;that&#x20;removing&#x20;the&#x20;rsh&#x20;package&#x20;removes&#x20;the&#x20;clients&#x20;for&#x20;rsh&#x20;,&#x20;rcp&#x20;and&#x20;rlogin&#x20;.','','Uninstall&#x20;rsh&#x20;:&#x20;apt&#x20;purge&#x20;rsh-client','[{\"cis\": [\"2.3.2\"]}, {\"cis_csc\": [\"4.5\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2573,'Ensure&#x20;talk&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;talk&#x20;software&#x20;makes&#x20;it&#x20;possible&#x20;for&#x20;users&#x20;to&#x20;send&#x20;and&#x20;receive&#x20;messages&#x20;across&#x20;systems&#x20;through&#x20;a&#x20;terminal&#x20;session.&#x20;The&#x20;talkclient,&#x20;which&#x20;allows&#x20;initialization&#x20;of&#x20;talk&#x20;sessions,&#x20;is&#x20;installed&#x20;by&#x20;default.','The&#x20;software&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Uninstall&#x20;talk&#x20;:&#x20;apt&#x20;purge&#x20;talk','[{\"cis\": [\"2.3.3\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2574,'Ensure&#x20;telnet&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;telnet&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;client,&#x20;which&#x20;allows&#x20;users&#x20;to&#x20;start&#x20;connections&#x20;to&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security&#x20;and&#x20;is&#x20;included&#x20;in&#x20;most&#x20;Linux&#x20;distributions.','','Uninstall&#x20;telnet&#x20;:&#x20;#&#x20;apt&#x20;purge&#x20;telnet','[{\"cis\": [\"2.3.4\"]}, {\"cis_csc\": [\"4.5\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2575,'Ensure&#x20;LDAP&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Uninstall&#x20;ldap-utils&#x20;:&#x20;#&#x20;apt&#x20;purge&#x20;ldap-utils','[{\"cis\": [\"2.3.5\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2576,'Disable&#x20;IPv6','Although&#x20;IPv6&#x20;has&#x20;many&#x20;advantages&#x20;over&#x20;IPv4,&#x20;not&#x20;all&#x20;organizations&#x20;have&#x20;IPv6&#x20;or&#x20;dual&#x20;stack&#x20;configurations&#x20;implemented.','If&#x20;IPv6&#x20;or&#x20;dual&#x20;stack&#x20;is&#x20;not&#x20;to&#x20;be&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;IPv6&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;ipv6.disable=1&#x20;to&#x20;the&#x20;GRUB_CMDLINE_LINUX&#x20;parameters:&#x20;GRUB_CMDLINE_LINUX=&quot;ipv6.disable=1&quot;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub','[{\"cis\": [\"3.1.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.6\", \"CC5.2\"]}]'),(2577,'Ensure&#x20;wireless&#x20;interfaces&#x20;are&#x20;disabled','Wireless&#x20;networking&#x20;is&#x20;used&#x20;when&#x20;wired&#x20;networks&#x20;are&#x20;unavailable.&#x20;Debian&#x20;contains&#x20;a&#x20;wireless&#x20;tool&#x20;kit&#x20;to&#x20;allow&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;and&#x20;use&#x20;wireless&#x20;networks.','If&#x20;wireless&#x20;is&#x20;not&#x20;to&#x20;be&#x20;used,&#x20;wireless&#x20;devices&#x20;can&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;any&#x20;wireless&#x20;interfaces:&#x20;#&#x20;nmcli&#x20;radio&#x20;all&#x20;off','[{\"cis\": [\"3.1.2\"]}, {\"cis_csc\": [\"15.4\", \"15.5\"]}, {\"pci_dss\": [\"1.2.3\"]}, {\"tsc\": [\"CC6.6\"]}]'),(2578,'Ensure&#x20;packet&#x20;redirect&#x20;sending&#x20;is&#x20;disabled','ICMP&#x20;Redirects&#x20;are&#x20;used&#x20;to&#x20;send&#x20;routing&#x20;information&#x20;to&#x20;other&#x20;hosts.&#x20;As&#x20;a&#x20;host&#x20;itself&#x20;does&#x20;not&#x20;act&#x20;as&#x20;a&#x20;router&#x20;&#40;in&#x20;a&#x20;host&#x20;only&#x20;configuration&#41;,&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;send&#x20;redirects.','An&#x20;attacker&#x20;could&#x20;use&#x20;a&#x20;compromised&#x20;host&#x20;to&#x20;send&#x20;invalid&#x20;ICMP&#x20;redirects&#x20;to&#x20;other&#x20;router&#x20;devices&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;corrupt&#x20;routing&#x20;and&#x20;have&#x20;users&#x20;access&#x20;a&#x20;system&#x20;set&#x20;up&#x20;by&#x20;the&#x20;attacker&#x20;as&#x20;opposed&#x20;to&#x20;a&#x20;valid&#x20;system.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.send_redirects&#x20;=&#x20;0&#x20;net.ipv4.conf.default.send_redirects&#x20;=&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.send_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.send_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2579,'Ensure&#x20;IP&#x20;forwarding&#x20;is&#x20;disabled','The&#x20;net.ipv4.ip_forward&#x20;and&#x20;net.ipv6.conf.all.forwarding&#x20;flags&#x20;are&#x20;used&#x20;to&#x20;tell&#x20;the&#x20;system&#x20;whether&#x20;it&#x20;can&#x20;forward&#x20;packets&#x20;or&#x20;not.','Setting&#x20;the&#x20;flags&#x20;to&#x20;0&#x20;ensures&#x20;that&#x20;a&#x20;system&#x20;with&#x20;multiple&#x20;interfaces&#x20;&#40;for&#x20;example,&#x20;a&#x20;hard&#x20;proxy&#41;,&#x20;will&#x20;never&#x20;be&#x20;able&#x20;to&#x20;forward&#x20;packets,&#x20;and&#x20;therefore,&#x20;never&#x20;serve&#x20;as&#x20;a&#x20;router.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restore&#x20;the&#x20;default&#x20;parameter&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;grep&#x20;-Els&#x20;&quot;^s*net.ipv4.ip_forwards*=s*1&quot;&#x20;/etc/sysctl.conf&#x20;/etc/sysctl.d&#47;&#42;.conf&#x20;/usr/lib/sysctl.d&#47;&#42;.conf&#x20;/run/sysctl.d&#47;&#42;.conf&#x20;|&#x20;while&#x20;read&#x20;filename;&#x20;do&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;net.ipv4.ip_forwards*&#41;&#40;=&#41;&#40;s*S+&#x08;&#41;.*$/#&#x20;*REMOVED*&#x20;1/&quot;&#x20;$filename;&#x20;done;&#x20;sysctl&#x20;-w&#x20;net.ipv4.ip_forward=0;&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1&#x20;IF&#x20;IPv6&#x20;is&#x20;enabled:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restore&#x20;the&#x20;default&#x20;parameter&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;grep&#x20;-Els&#x20;&quot;^s*net.ipv6.conf.all.forwardings*=s*1&quot;&#x20;/etc/sysctl.conf&#x20;/etc/sysctl.d&#47;&#42;.conf&#x20;/usr/lib/sysctl.d&#47;&#42;.conf&#x20;/run/sysctl.d&#47;&#42;.conf&#x20;|&#x20;while&#x20;read&#x20;filename;&#x20;do&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;net.ipv6.conf.all.forwardings*&#41;&#40;=&#41;&#40;s*S+&#x08;&#41;.*$/#&#x20;*REMOVED*&#x20;1/&quot;&#x20;$filename;&#x20;done;&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.forwarding=0;&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.2.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2580,'Ensure&#x20;source&#x20;routed&#x20;packets&#x20;are&#x20;not&#x20;accepted','In&#x20;networking,&#x20;source&#x20;routing&#x20;allows&#x20;a&#x20;sender&#x20;to&#x20;partially&#x20;or&#x20;fully&#x20;specify&#x20;the&#x20;route&#x20;packets&#x20;take&#x20;through&#x20;a&#x20;network.&#x20;In&#x20;contrast,&#x20;non-source&#x20;routed&#x20;packets&#x20;travel&#x20;a&#x20;path&#x20;determined&#x20;by&#x20;routers&#x20;in&#x20;the&#x20;network.&#x20;In&#x20;some&#x20;cases,&#x20;systems&#x20;may&#x20;not&#x20;be&#x20;routable&#x20;or&#x20;reachable&#x20;from&#x20;some&#x20;locations&#x20;&#40;e.g.&#x20;private&#x20;addresses&#x20;vs.&#x20;Internet&#x20;routable&#41;,&#x20;and&#x20;so&#x20;source&#x20;routed&#x20;packets&#x20;would&#x20;need&#x20;to&#x20;be&#x20;used.','Setting&#x20;net.ipv4.conf.all.accept_source_route,&#x20;net.ipv4.conf.default.accept_source_route,&#x20;net.ipv6.conf.all.accept_source_route&#x20;and&#x20;net.ipv6.conf.default.accept_source_route&#x20;to&#x20;0&#x20;disables&#x20;the&#x20;system&#x20;from&#x20;accepting&#x20;source&#x20;routed&#x20;packets.&#x20;Assume&#x20;this&#x20;system&#x20;was&#x20;capable&#x20;of&#x20;routing&#x20;packets&#x20;to&#x20;Internet&#x20;routable&#x20;addresses&#x20;on&#x20;one&#x20;interface&#x20;and&#x20;private&#x20;addresses&#x20;on&#x20;another&#x20;interface.&#x20;Assume&#x20;that&#x20;the&#x20;private&#x20;addresses&#x20;were&#x20;not&#x20;routable&#x20;to&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;and&#x20;vice&#x20;versa.&#x20;Under&#x20;normal&#x20;routing&#x20;circumstances,&#x20;an&#x20;attacker&#x20;from&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;could&#x20;not&#x20;use&#x20;the&#x20;system&#x20;as&#x20;a&#x20;way&#x20;to&#x20;reach&#x20;the&#x20;private&#x20;address&#x20;systems.&#x20;If,&#x20;however,&#x20;source&#x20;routed&#x20;packets&#x20;were&#x20;allowed,&#x20;they&#x20;could&#x20;be&#x20;used&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;private&#x20;address&#x20;systems&#x20;as&#x20;the&#x20;route&#x20;could&#x20;be&#x20;specified,&#x20;rather&#x20;than&#x20;rely&#x20;on&#x20;routing&#x20;protocols&#x20;that&#x20;did&#x20;not&#x20;allow&#x20;this&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_source_route&#x20;=&#x20;0&#x20;net.ipv4.conf.default.accept_source_route&#x20;=&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1&#x20;IF&#x20;IPv6&#x20;is&#x20;enabled:&#x20;Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv6.conf.all.accept_source_route&#x20;=&#x20;0&#x20;net.ipv6.conf.default.accept_source_route&#x20;=&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.3.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2581,'Ensure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','ICMP&#x20;redirect&#x20;messages&#x20;are&#x20;packets&#x20;that&#x20;convey&#x20;routing&#x20;information&#x20;and&#x20;tell&#x20;your&#x20;host&#x20;&#40;acting&#x20;as&#x20;a&#x20;router&#41;&#x20;to&#x20;send&#x20;packets&#x20;via&#x20;an&#x20;alternate&#x20;path.&#x20;It&#x20;is&#x20;a&#x20;way&#x20;of&#x20;allowing&#x20;an&#x20;outside&#x20;routing&#x20;device&#x20;to&#x20;update&#x20;your&#x20;system&#x20;routing&#x20;tables.&#x20;By&#x20;setting&#x20;net.ipv4.conf.all.accept_redirects&#x20;to&#x20;0,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;accept&#x20;any&#x20;ICMP&#x20;redirect&#x20;messages,&#x20;and&#x20;therefore,&#x20;won&#039;t&#x20;allow&#x20;outsiders&#x20;to&#x20;update&#x20;the&#x20;system&#039;s&#x20;routing&#x20;tables.','Attackers&#x20;could&#x20;use&#x20;bogus&#x20;ICMP&#x20;redirect&#x20;messages&#x20;to&#x20;maliciously&#x20;alter&#x20;the&#x20;system&#x20;routing&#x20;tables&#x20;and&#x20;get&#x20;them&#x20;to&#x20;send&#x20;packets&#x20;to&#x20;incorrect&#x20;networks&#x20;and&#x20;allow&#x20;your&#x20;system&#x20;packets&#x20;to&#x20;be&#x20;captured.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_redirects&#x20;=&#x20;0&#x20;net.ipv4.conf.default.accept_redirects&#x20;=&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1&#x20;IF&#x20;IPv6&#x20;is&#x20;enabled:&#x20;Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv6.conf.all.accept_redirects&#x20;=&#x20;0&#x20;net.ipv6.conf.default.accept_redirects&#x20;=&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.3.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2582,'Ensure&#x20;secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','Secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;the&#x20;same&#x20;as&#x20;ICMP&#x20;redirects,&#x20;except&#x20;they&#x20;come&#x20;from&#x20;gateways&#x20;listed&#x20;on&#x20;the&#x20;default&#x20;gateway&#x20;list.&#x20;It&#x20;is&#x20;assumed&#x20;that&#x20;these&#x20;gateways&#x20;are&#x20;known&#x20;to&#x20;your&#x20;system,&#x20;and&#x20;that&#x20;they&#x20;are&#x20;likely&#x20;to&#x20;be&#x20;secure.','It&#x20;is&#x20;still&#x20;possible&#x20;for&#x20;even&#x20;known&#x20;gateways&#x20;to&#x20;be&#x20;compromised.&#x20;Setting&#x20;net.ipv4.conf.all.secure_redirects&#x20;to&#x20;0&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;routing&#x20;table&#x20;updates&#x20;by&#x20;possibly&#x20;compromised&#x20;known&#x20;gateways.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.secure_redirects&#x20;=&#x20;0&#x20;net.ipv4.conf.default.secure_redirects&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.secure_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.secure_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2583,'Ensure&#x20;suspicious&#x20;packets&#x20;are&#x20;logged','When&#x20;enabled,&#x20;this&#x20;feature&#x20;logs&#x20;packets&#x20;with&#x20;un-routable&#x20;source&#x20;addresses&#x20;to&#x20;the&#x20;kernel&#x20;log.','Enabling&#x20;this&#x20;feature&#x20;and&#x20;logging&#x20;these&#x20;packets&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;investigate&#x20;the&#x20;possibility&#x20;that&#x20;an&#x20;attacker&#x20;is&#x20;sending&#x20;spoofed&#x20;packets&#x20;to&#x20;their&#x20;server.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.log_martians&#x20;=&#x20;1&#x20;net.ipv4.conf.default.log_martians&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.log_martians=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.log_martians=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.4\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2584,'Ensure&#x20;broadcast&#x20;ICMP&#x20;requests&#x20;are&#x20;ignored','Setting&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;to&#x20;1&#x20;will&#x20;cause&#x20;the&#x20;system&#x20;to&#x20;ignore&#x20;all&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;to&#x20;broadcast&#x20;and&#x20;multicast&#x20;addresses.','Accepting&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;with&#x20;broadcast&#x20;or&#x20;multicast&#x20;destinations&#x20;for&#x20;your&#x20;network&#x20;could&#x20;be&#x20;used&#x20;to&#x20;trick&#x20;your&#x20;host&#x20;into&#x20;starting&#x20;&#40;or&#x20;participating&#41;&#x20;in&#x20;a&#x20;Smurf&#x20;attack.&#x20;A&#x20;Smurf&#x20;attack&#x20;relies&#x20;on&#x20;an&#x20;attacker&#x20;sending&#x20;large&#x20;amounts&#x20;of&#x20;ICMP&#x20;broadcast&#x20;messages&#x20;with&#x20;a&#x20;spoofed&#x20;source&#x20;address.&#x20;All&#x20;hosts&#x20;receiving&#x20;this&#x20;message&#x20;and&#x20;responding&#x20;would&#x20;send&#x20;echo-reply&#x20;messages&#x20;back&#x20;to&#x20;the&#x20;spoofed&#x20;address,&#x20;which&#x20;is&#x20;probably&#x20;not&#x20;routable.&#x20;If&#x20;many&#x20;hosts&#x20;respond&#x20;to&#x20;the&#x20;packets,&#x20;the&#x20;amount&#x20;of&#x20;traffic&#x20;on&#x20;the&#x20;network&#x20;could&#x20;be&#x20;significantly&#x20;multiplied.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_echo_ignore_broadcasts=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2585,'Ensure&#x20;bogus&#x20;ICMP&#x20;responses&#x20;are&#x20;ignored','Setting&#x20;icmp_ignore_bogus_error_responses&#x20;to&#x20;1&#x20;prevents&#x20;the&#x20;kernel&#x20;from&#x20;logging&#x20;bogus&#x20;responses&#x20;&#40;RFC-1122&#x20;non-compliant&#41;&#x20;from&#x20;broadcast&#x20;reframes,&#x20;keeping&#x20;file&#x20;systems&#x20;from&#x20;filling&#x20;up&#x20;with&#x20;useless&#x20;log&#x20;messages.','Some&#x20;routers&#x20;&#40;and&#x20;some&#x20;attackers&#41;&#x20;will&#x20;send&#x20;responses&#x20;that&#x20;violate&#x20;RFC-1122&#x20;and&#x20;attempt&#x20;to&#x20;fill&#x20;up&#x20;a&#x20;log&#x20;file&#x20;system&#x20;with&#x20;many&#x20;useless&#x20;error&#x20;messages.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.icmp_ignore_bogus_error_responses&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_ignore_bogus_error_responses=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2586,'Ensure&#x20;Reverse&#x20;Path&#x20;Filtering&#x20;is&#x20;enabled','Setting&#x20;net.ipv4.conf.all.rp_filter&#x20;and&#x20;net.ipv4.conf.default.rp_filter&#x20;to&#x20;1&#x20;forces&#x20;the&#x20;Linux&#x20;kernel&#x20;to&#x20;utilize&#x20;reverse&#x20;path&#x20;filtering&#x20;on&#x20;a&#x20;received&#x20;packet&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;packet&#x20;was&#x20;valid.&#x20;Essentially,&#x20;with&#x20;reverse&#x20;path&#x20;filtering,&#x20;if&#x20;the&#x20;return&#x20;packet&#x20;does&#x20;not&#x20;go&#x20;out&#x20;the&#x20;same&#x20;interface&#x20;that&#x20;the&#x20;corresponding&#x20;source&#x20;packet&#x20;came&#x20;from,&#x20;the&#x20;packet&#x20;is&#x20;dropped&#x20;&#40;and&#x20;logged&#x20;if&#x20;log_martians&#x20;is&#x20;set&#41;.','Setting&#x20;these&#x20;flags&#x20;is&#x20;a&#x20;good&#x20;way&#x20;to&#x20;deter&#x20;attackers&#x20;from&#x20;sending&#x20;your&#x20;system&#x20;bogus&#x20;packets&#x20;that&#x20;cannot&#x20;be&#x20;responded&#x20;to.&#x20;One&#x20;instance&#x20;where&#x20;this&#x20;feature&#x20;breaks&#x20;down&#x20;is&#x20;if&#x20;asymmetrical&#x20;routing&#x20;is&#x20;employed.&#x20;This&#x20;would&#x20;occur&#x20;when&#x20;using&#x20;dynamic&#x20;routing&#x20;protocols&#x20;&#40;bgp,&#x20;ospf,&#x20;etc&#41;&#x20;on&#x20;your&#x20;system.&#x20;If&#x20;you&#x20;are&#x20;using&#x20;asymmetrical&#x20;routing&#x20;on&#x20;your&#x20;system,&#x20;you&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;enable&#x20;this&#x20;feature&#x20;without&#x20;breaking&#x20;the&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.rp_filter&#x20;=&#x20;1&#x20;net.ipv4.conf.default.rp_filter&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.rp_filter=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.rp_filter=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2587,'Ensure&#x20;TCP&#x20;SYN&#x20;Cookies&#x20;is&#x20;enabled','When&#x20;tcp_syncookies&#x20;is&#x20;set,&#x20;the&#x20;kernel&#x20;will&#x20;handle&#x20;TCP&#x20;SYN&#x20;packets&#x20;normally&#x20;until&#x20;the&#x20;half-open&#x20;connection&#x20;queue&#x20;is&#x20;full,&#x20;at&#x20;which&#x20;time,&#x20;the&#x20;SYN&#x20;cookie&#x20;functionality&#x20;kicks&#x20;in.&#x20;SYN&#x20;cookies&#x20;work&#x20;by&#x20;not&#x20;using&#x20;the&#x20;SYN&#x20;queue&#x20;at&#x20;all.&#x20;Instead,&#x20;the&#x20;kernel&#x20;simply&#x20;replies&#x20;to&#x20;the&#x20;SYN&#x20;with&#x20;a&#x20;SYN|ACK,&#x20;but&#x20;will&#x20;include&#x20;a&#x20;specially&#x20;crafted&#x20;TCP&#x20;sequence&#x20;number&#x20;that&#x20;encodes&#x20;the&#x20;source&#x20;and&#x20;destination&#x20;IP&#x20;address&#x20;and&#x20;port&#x20;number&#x20;and&#x20;the&#x20;time&#x20;the&#x20;packet&#x20;was&#x20;sent.&#x20;A&#x20;legitimate&#x20;connection&#x20;would&#x20;send&#x20;the&#x20;ACK&#x20;packet&#x20;of&#x20;the&#x20;three&#x20;way&#x20;handshake&#x20;with&#x20;the&#x20;specially&#x20;crafted&#x20;sequence&#x20;number.&#x20;This&#x20;allows&#x20;the&#x20;system&#x20;to&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;received&#x20;a&#x20;valid&#x20;response&#x20;to&#x20;a&#x20;SYN&#x20;cookie&#x20;and&#x20;allow&#x20;the&#x20;connection,&#x20;even&#x20;though&#x20;there&#x20;is&#x20;no&#x20;corresponding&#x20;SYN&#x20;in&#x20;the&#x20;queue.','Attackers&#x20;use&#x20;SYN&#x20;flood&#x20;attacks&#x20;to&#x20;perform&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attacked&#x20;on&#x20;a&#x20;system&#x20;by&#x20;sending&#x20;many&#x20;SYN&#x20;packets&#x20;without&#x20;completing&#x20;the&#x20;three&#x20;way&#x20;handshake.&#x20;This&#x20;will&#x20;quickly&#x20;use&#x20;up&#x20;slots&#x20;in&#x20;the&#x20;kernel&#039;s&#x20;half-open&#x20;connection&#x20;queue&#x20;and&#x20;prevent&#x20;legitimate&#x20;connections&#x20;from&#x20;succeeding.&#x20;SYN&#x20;cookies&#x20;allow&#x20;the&#x20;system&#x20;to&#x20;keep&#x20;accepting&#x20;valid&#x20;connections,&#x20;even&#x20;if&#x20;under&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attack.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.tcp_syncookies&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.tcp_syncookies=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.8\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2588,'Ensure&#x20;IPv6&#x20;router&#x20;advertisements&#x20;are&#x20;not&#x20;accepted','This&#x20;setting&#x20;disables&#x20;the&#x20;systems&#x20;ability&#x20;to&#x20;accept&#x20;router&#x20;advertisements','It&#x20;is&#x20;recommended&#x20;that&#x20;systems&#x20;not&#x20;accept&#x20;router&#x20;advertisements&#x20;as&#x20;they&#x20;could&#x20;be&#x20;tricked&#x20;into&#x20;routing&#x20;traffic&#x20;to&#x20;compromised&#x20;machines.&#x20;Setting&#x20;hard&#x20;routes&#x20;within&#x20;the&#x20;system&#x20;&#40;usually&#x20;a&#x20;single&#x20;default&#x20;route&#x20;to&#x20;a&#x20;trusted&#x20;router&#41;&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;bad&#x20;routes.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv6.conf.all.accept_ra&#x20;=&#x20;0&#x20;net.ipv6.conf.default.accept_ra&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_ra=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_ra=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.3.9\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2589,'Ensure&#x20;DCCP&#x20;is&#x20;disabled','The&#x20;Datagram&#x20;Congestion&#x20;Control&#x20;Protocol&#x20;&#40;DCCP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;that&#x20;supports&#x20;streaming&#x20;media&#x20;and&#x20;telephony.&#x20;DCCP&#x20;provides&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;congestion&#x20;control,&#x20;without&#x20;having&#x20;to&#x20;do&#x20;it&#x20;at&#x20;the&#x20;application&#x20;layer,&#x20;but&#x20;does&#x20;not&#x20;provide&#x20;in-&#x20;sequence&#x20;delivery.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;drivers&#x20;not&#x20;be&#x20;installed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/dccp.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;dccp&#x20;/bin/true','[{\"cis\": [\"3.4.1\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2590,'Ensure&#x20;SCTP&#x20;is&#x20;disabled','The&#x20;Stream&#x20;Control&#x20;Transmission&#x20;Protocol&#x20;&#40;SCTP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;used&#x20;to&#x20;support&#x20;message&#x20;oriented&#x20;communication,&#x20;with&#x20;several&#x20;streams&#x20;of&#x20;messages&#x20;in&#x20;one&#x20;connection.&#x20;It&#x20;serves&#x20;a&#x20;similar&#x20;function&#x20;as&#x20;TCP&#x20;and&#x20;UDP,&#x20;incorporating&#x20;features&#x20;of&#x20;both.&#x20;It&#x20;is&#x20;message-oriented&#x20;like&#x20;UDP,&#x20;and&#x20;ensures&#x20;reliable&#x20;in-sequence&#x20;transport&#x20;of&#x20;messages&#x20;with&#x20;congestion&#x20;control&#x20;like&#x20;TCP.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/sctp.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;sctp&#x20;/bin/true','[{\"cis\": [\"3.4.2\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2591,'Ensure&#x20;RDS&#x20;is&#x20;disabled','The&#x20;Reliable&#x20;Datagram&#x20;Sockets&#x20;&#40;RDS&#41;&#x20;protocol&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;designed&#x20;to&#x20;provide&#x20;low-latency,&#x20;high-bandwidth&#x20;communications&#x20;between&#x20;cluster&#x20;nodes.&#x20;It&#x20;was&#x20;developed&#x20;by&#x20;the&#x20;Oracle&#x20;Corporation.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/rds.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;rds&#x20;/bin/true','[{\"cis\": [\"3.4.3\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2592,'Ensure&#x20;TIPC&#x20;is&#x20;disabled','The&#x20;Transparent&#x20;Inter-Process&#x20;Communication&#x20;&#40;TIPC&#41;&#x20;protocol&#x20;is&#x20;designed&#x20;to&#x20;provide&#x20;communication&#x20;between&#x20;cluster&#x20;nodes.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/tipc.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;tipc&#x20;/bin/true','[{\"cis\": [\"3.4.4\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2593,'Ensure&#x20;a&#x20;Firewall&#x20;package&#x20;is&#x20;installed','A&#x20;Firewall&#x20;package&#x20;should&#x20;be&#x20;selected.&#x20;Most&#x20;firewall&#x20;configuration&#x20;utilities&#x20;operate&#x20;as&#x20;a&#x20;front&#x20;end&#x20;to&#x20;nftables&#x20;or&#x20;iptables.','A&#x20;Firewall&#x20;package&#x20;is&#x20;required&#x20;for&#x20;firewall&#x20;management&#x20;and&#x20;configuration.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;install&#x20;the&#x20;Firewall&#x20;package&#x20;that&#x20;follows&#x20;local&#x20;site&#x20;policy:&#x20;To&#x20;install&#x20;UFW&#x20;,&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;apt&#x20;install&#x20;ufw&#x20;To&#x20;install&#x20;nftables&#x20;,&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;apt&#x20;install&#x20;nftables&#x20;To&#x20;install&#x20;iptables&#x20;,&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;apt&#x20;install&#x20;iptables','[{\"cis\": [\"3.5.1.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.1\"]}, {\"tsc\": [\"CC6.6\"]}]'),(2594,'Ensure&#x20;ufw&#x20;service&#x20;is&#x20;enabled','UncomplicatedFirewall&#x20;&#40;ufw&#41;&#x20;is&#x20;a&#x20;frontend&#x20;for&#x20;iptables.&#x20;ufw&#x20;provides&#x20;a&#x20;framework&#x20;for&#x20;managing&#x20;netfilter,&#x20;as&#x20;well&#x20;as&#x20;a&#x20;command-line&#x20;and&#x20;available&#x20;graphical&#x20;user&#x20;interface&#x20;for&#x20;manipulating&#x20;the&#x20;firewall.&#x20;Ensure&#x20;that&#x20;the&#x20;ufw&#x20;service&#x20;is&#x20;enabled&#x20;to&#x20;protect&#x20;your&#x20;system.','The&#x20;ufw&#x20;service&#x20;must&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;in&#x20;order&#x20;for&#x20;ufw&#x20;to&#x20;protect&#x20;the&#x20;system','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;ufw:&#x20;#&#x20;ufw&#x20;enable','[{\"cis\": [\"3.5.2.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(2595,'Ensure&#x20;default&#x20;deny&#x20;firewall&#x20;policy','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;deny&#x20;policy:&#x20;#&#x20;ufw&#x20;default&#x20;deny&#x20;incoming&#x20;#&#x20;ufw&#x20;default&#x20;deny&#x20;outgoing&#x20;#&#x20;ufw&#x20;default&#x20;deny&#x20;routed','[{\"cis\": [\"3.5.2.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(2596,'Ensure&#x20;loopback&#x20;traffic&#x20;is&#x20;configured','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#x20;for&#x20;IPv4&#x20;and&#x20;::1/128&#x20;for&#x20;IPv6&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;ufw&#x20;allow&#x20;in&#x20;on&#x20;lo&#x20;#&#x20;ufw&#x20;allow&#x20;out&#x20;on&#x20;lo&#x20;#&#x20;sudo&#x20;ufw&#x20;deny&#x20;in&#x20;from&#x20;127.0.0.0/8&#x20;#&#x20;sudo&#x20;ufw&#x20;deny&#x20;in&#x20;from&#x20;::1','[{\"cis\": [\"3.5.2.3\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(2597,'Ensure&#x20;a&#x20;table&#x20;exists','Tables&#x20;hold&#x20;chains.&#x20;Each&#x20;table&#x20;only&#x20;has&#x20;one&#x20;address&#x20;family&#x20;and&#x20;only&#x20;applies&#x20;to&#x20;packets&#x20;of&#x20;this&#x20;family.&#x20;Tables&#x20;can&#x20;have&#x20;one&#x20;of&#x20;five&#x20;families.','nftables&#x20;doesn&#039;t&#x20;have&#x20;any&#x20;default&#x20;tables.&#x20;Without&#x20;a&#x20;table&#x20;being&#x20;build,&#x20;nftables&#x20;will&#x20;not&#x20;filter&#x20;network&#x20;traffic.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;a&#x20;table&#x20;in&#x20;nftables:&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;.Example:&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;filter','[{\"cis\": [\"3.5.3.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2\"]}, {\"tsc\": [\"CC6.6\"]}]'),(2598,'Ensure&#x20;base&#x20;chains&#x20;exist','Chains&#x20;are&#x20;containers&#x20;for&#x20;rules.&#x20;They&#x20;exist&#x20;in&#x20;two&#x20;kinds,&#x20;base&#x20;chains&#x20;and&#x20;regular&#x20;chains.&#x20;A&#x20;base&#x20;chain&#x20;is&#x20;an&#x20;entry&#x20;point&#x20;for&#x20;packets&#x20;from&#x20;the&#x20;networking&#x20;stack,&#x20;a&#x20;regular&#x20;chain&#x20;may&#x20;be&#x20;used&#x20;as&#x20;jump&#x20;target&#x20;and&#x20;is&#x20;used&#x20;for&#x20;better&#x20;rule&#x20;organization.','If&#x20;a&#x20;base&#x20;chain&#x20;doesn&#039;t&#x20;exist&#x20;with&#x20;a&#x20;hook&#x20;for&#x20;input,&#x20;forward,&#x20;and&#x20;delete,&#x20;packets&#x20;that&#x20;would&#x20;flow&#x20;through&#x20;those&#x20;chains&#x20;will&#x20;not&#x20;be&#x20;touched&#x20;by&#x20;nftables.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;the&#x20;base&#x20;chains:&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;&lt;base&#x20;chain&#x20;name&gt;&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;&lt;&#40;input|forward|output&#41;&gt;&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;.&#x20;Example:&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;input&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;input&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;forward&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;forward&#x20;priority&#x20;0;&#x20;}&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;output&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;output&#x20;priority&#x20;0&#x20;;&#x20;}','[{\"cis\": [\"3.5.3.3\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2\"]}, {\"tsc\": [\"CC6.6\"]}]'),(2599,'Ensure&#x20;default&#x20;deny&#x20;firewall&#x20;policy','Base&#x20;chain&#x20;policy&#x20;is&#x20;the&#x20;default&#x20;verdict&#x20;that&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;packets&#x20;reaching&#x20;the&#x20;end&#x20;of&#x20;the&#x20;chain.','There&#x20;are&#x20;two&#x20;policies:&#x20;accept&#x20;&#40;Default&#41;&#x20;and&#x20;drop.&#x20;If&#x20;the&#x20;policy&#x20;is&#x20;set&#x20;to&#x20;accept&#x20;,&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied&#x20;and&#x20;the&#x20;packet&#x20;will&#x20;continue&#x20;transversing&#x20;the&#x20;network&#x20;stack.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;command&#x20;for&#x20;the&#x20;base&#x20;chains&#x20;with&#x20;the&#x20;input,&#x20;forward,&#x20;and&#x20;output&#x20;hooks&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;nft&#x20;chain&#x20;&lt;table&#x20;family&gt;&#x20;&lt;table&#x20;name&gt;&#x20;&lt;chain&#x20;name&gt;&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;.&#x20;Example:&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;input&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;;&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;forward&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;and&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;output&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}','[{\"cis\": [\"3.5.3.6\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC6.6\"]}]'),(2600,'Ensure&#x20;nftables&#x20;service&#x20;is&#x20;enabled','The&#x20;nftables&#x20;service&#x20;allows&#x20;for&#x20;the&#x20;loading&#x20;of&#x20;nftables&#x20;rulesets&#x20;during&#x20;boot,&#x20;or&#x20;starting&#x20;of&#x20;the&#x20;nftables&#x20;service.','The&#x20;nftables&#x20;service&#x20;restores&#x20;the&#x20;nftables&#x20;rules&#x20;from&#x20;the&#x20;rules&#x20;files&#x20;referenced&#x20;in&#x20;the&#x20;/etc/sysconfig/nftables.conf&#x20;file&#x20;during&#x20;boot&#x20;or&#x20;the&#x20;starting&#x20;of&#x20;the&#x20;nftables&#x20;service.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;nftables&#x20;service:&#x20;#&#x20;systemctl&#x20;enable&#x20;nftables','[{\"cis\": [\"3.5.3.7\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2\"]}, {\"tsc\": [\"CC6.6\"]}]'),(2601,'Ensure&#x20;default&#x20;deny&#x20;firewall&#x20;policy','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;iptables&#x20;-P&#x20;INPUT&#x20;DROP;&#x20;#&#x20;iptables&#x20;-P&#x20;OUTPUT&#x20;DROP;&#x20;#&#x20;iptables&#x20;-P&#x20;FORWARD&#x20;DROP','[{\"cis\": [\"3.5.4.1.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC6.6\"]}]'),(2602,'Ensure&#x20;loopback&#x20;traffic&#x20;is&#x20;configured','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-s&#x20;127.0.0.0/8&#x20;-j&#x20;DROP','[{\"cis\": [\"3.5.4.1.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC6.6\"]}]'),(2603,'Ensure&#x20;IPv6&#x20;default&#x20;deny&#x20;firewall&#x20;policy','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;ip6tables&#x20;-P&#x20;INPUT&#x20;DROP&#x20;#&#x20;ip6tables&#x20;-P&#x20;OUTPUT&#x20;DROP&#x20;#&#x20;ip6tables&#x20;-P&#x20;FORWARD&#x20;DROP.&#x20;Notes:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','[{\"cis\": [\"3.5.4.2.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(2604,'Ensure&#x20;IPv6&#x20;loopback&#x20;traffic&#x20;is&#x20;configured','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;::1&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;::1&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;ip6tables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-s&#x20;::1&#x20;-j&#x20;DROP','[{\"cis\": [\"3.5.4.2.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(2605,'Ensure&#x20;auditd&#x20;is&#x20;installed','auditd&#x20;is&#x20;the&#x20;userspace&#x20;component&#x20;to&#x20;the&#x20;Linux&#x20;Auditing&#x20;System.&#x20;It&#039;s&#x20;responsible&#x20;for&#x20;writing&#x20;audit&#x20;records&#x20;to&#x20;the&#x20;disk','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;auditd:&#x20;#&#x20;apt&#x20;install&#x20;auditd&#x20;audispd-plugins','[{\"cis\": [\"4.1.1.1\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\"]}, {\"nist_800_53\": [\"AU.2\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2606,'Ensure&#x20;auditd&#x20;service&#x20;is&#x20;enabled','Enable&#x20;and&#x20;start&#x20;the&#x20;auditd&#x20;daemon&#x20;to&#x20;record&#x20;system&#x20;events.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;auditd:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;auditd','[{\"cis\": [\"4.1.1.2\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\", \"10.7\"]}, {\"nist_800_53\": [\"AU.2\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2607,'Ensure&#x20;auditing&#x20;for&#x20;processes&#x20;that&#x20;start&#x20;prior&#x20;to&#x20;auditd&#x20;is&#x20;enabled','Configure&#x20;grub&#x20;so&#x20;that&#x20;processes&#x20;that&#x20;are&#x20;capable&#x20;of&#x20;being&#x20;audited&#x20;can&#x20;be&#x20;audited&#x20;even&#x20;if&#x20;they&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;startup.','Audit&#x20;events&#x20;need&#x20;to&#x20;be&#x20;captured&#x20;on&#x20;processes&#x20;that&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd,&#x20;so&#x20;that&#x20;potential&#x20;malicious&#x20;activity&#x20;cannot&#x20;go&#x20;undetected.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit=1&#x20;to&#x20;GRUB_CMDLINE_LINUX:&#x20;GRUB_CMDLINE_LINUX=&quot;audit=1&quot;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub&#x20;Notes:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.','[{\"cis\": [\"4.1.1.3\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.2.6\", \"10.7\"]}, {\"nist_800_53\": [\"AU.2\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"35.7.d\", \"32.2\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2608,'Ensure&#x20;audit&#x20;log&#x20;storage&#x20;size&#x20;is&#x20;configured','Configure&#x20;the&#x20;maximum&#x20;size&#x20;of&#x20;the&#x20;audit&#x20;log&#x20;file.&#x20;Once&#x20;the&#x20;log&#x20;reaches&#x20;the&#x20;maximum&#x20;size,&#x20;it&#x20;will&#x20;be&#x20;rotated&#x20;and&#x20;a&#x20;new&#x20;log&#x20;file&#x20;will&#x20;be&#x20;started.','It&#x20;is&#x20;important&#x20;that&#x20;an&#x20;appropriate&#x20;size&#x20;is&#x20;determined&#x20;for&#x20;log&#x20;files&#x20;so&#x20;that&#x20;they&#x20;do&#x20;not&#x20;impact&#x20;the&#x20;system&#x20;and&#x20;audit&#x20;data&#x20;is&#x20;not&#x20;lost.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy:&#x20;max_log_file&#x20;=&#x20;&lt;MB&gt;&#x20;Notes:&#x20;The&#x20;max_log_file&#x20;parameter&#x20;is&#x20;measured&#x20;in&#x20;megabytes.','[{\"cis\": [\"4.1.2.1\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"10.7\"]}, {\"nist_800_53\": [\"AU.4\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(2609,'Ensure&#x20;audit&#x20;logs&#x20;are&#x20;not&#x20;automatically&#x20;deleted','The&#x20;max_log_file_action&#x20;setting&#x20;determines&#x20;how&#x20;to&#x20;handle&#x20;the&#x20;audit&#x20;log&#x20;file&#x20;reaching&#x20;the&#x20;max&#x20;file&#x20;size.&#x20;A&#x20;value&#x20;of&#x20;keep_logs&#x20;will&#x20;rotate&#x20;the&#x20;logs&#x20;but&#x20;never&#x20;delete&#x20;old&#x20;logs.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;benefits&#x20;of&#x20;maintaining&#x20;a&#x20;long&#x20;audit&#x20;history&#x20;exceed&#x20;the&#x20;cost&#x20;of&#x20;storing&#x20;the&#x20;audit&#x20;history.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;max_log_file_action&#x20;=&#x20;keep_logs','[{\"cis\": [\"4.1.2.2\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"10.7\"]}, {\"nist_800_53\": [\"AU.9\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(2610,'Ensure&#x20;system&#x20;is&#x20;disabled&#x20;when&#x20;audit&#x20;logs&#x20;are&#x20;full','The&#x20;auditd&#x20;daemon&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;halt&#x20;the&#x20;system&#x20;when&#x20;the&#x20;audit&#x20;logs&#x20;are&#x20;full.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;risk&#x20;of&#x20;detecting&#x20;unauthorized&#x20;access&#x20;or&#x20;nonrepudiation&#x20;exceeds&#x20;the&#x20;benefit&#x20;of&#x20;the&#x20;system&#039;s&#x20;availability.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;space_left_action&#x20;=&#x20;email&#x20;action_mail_acct&#x20;=&#x20;root&#x20;admin_space_left_action&#x20;=&#x20;halt','[{\"cis\": [\"4.1.2.3\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"10.7\"]}]'),(2611,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;date&#x20;and&#x20;time&#x20;information&#x20;are&#x20;collected','Capture&#x20;events&#x20;where&#x20;the&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;has&#x20;been&#x20;modified.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;are&#x20;set&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;adjtimex&#x20;&#40;tune&#x20;kernel&#x20;clock&#41;,&#x20;settimeofday&#x20;&#40;Set&#x20;time,&#x20;using&#x20;timeval&#x20;and&#x20;timezone&#x20;structures&#41;&#x20;stime&#x20;&#40;using&#x20;seconds&#x20;since&#x20;1/1/1970&#41;&#x20;or&#x20;clock_settime&#x20;&#40;allows&#x20;for&#x20;the&#x20;setting&#x20;of&#x20;several&#x20;internal&#x20;clocks&#x20;and&#x20;timers&#41;&#x20;system&#x20;calls&#x20;have&#x20;been&#x20;executed&#x20;and&#x20;always&#x20;write&#x20;an&#x20;audit&#x20;record&#x20;to&#x20;the&#x20;/var/log/audit.log&#x20;file&#x20;upon&#x20;exit,&#x20;tagging&#x20;the&#x20;records&#x20;with&#x20;the&#x20;identifier&#x20;&quot;time-change&quot;','Unexpected&#x20;changes&#x20;in&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;could&#x20;be&#x20;a&#x20;sign&#x20;of&#x20;malicious&#x20;activity&#x20;on&#x20;the&#x20;system.','','For&#x20;32&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-&#x20;change&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;|&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change.&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-k&#x20;time-change&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-change&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;|&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change','[{\"cis\": [\"4.1.3\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.4.2\", \"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2612,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;user/group&#x20;information&#x20;are&#x20;collected','Record&#x20;events&#x20;affecting&#x20;the&#x20;group&#x20;,&#x20;passwd&#x20;&#40;user&#x20;IDs&#41;,&#x20;shadow&#x20;and&#x20;gshadow&#x20;&#40;passwords&#41;&#x20;or&#x20;/etc/security/opasswd&#x20;&#40;old&#x20;passwords,&#x20;based&#x20;on&#x20;remember&#x20;parameter&#x20;in&#x20;the&#x20;PAM&#x20;configuration&#41;&#x20;files.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;will&#x20;watch&#x20;the&#x20;files&#x20;to&#x20;see&#x20;if&#x20;they&#x20;have&#x20;been&#x20;opened&#x20;for&#x20;write&#x20;or&#x20;have&#x20;had&#x20;attribute&#x20;changes&#x20;&#40;e.g.&#x20;permissions&#41;&#x20;and&#x20;tag&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;identity&quot;&#x20;in&#x20;the&#x20;audit&#x20;log&#x20;file.','Unexpected&#x20;changes&#x20;to&#x20;these&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;the&#x20;system&#x20;has&#x20;been&#x20;compromised&#x20;and&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;hide&#x20;their&#x20;activities&#x20;or&#x20;compromise&#x20;additional&#x20;accounts.','','edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-w&#x20;/etc/group&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;|&#x20;-w&#x20;/etc/passwd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;|&#x20;-w&#x20;/etc/gshadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;|&#x20;-w&#x20;/etc/shadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;|&#x20;-w&#x20;/etc/security/opasswd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.4\"]}, {\"cis_csc\": [\"4.8\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2613,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;network&#x20;environment&#x20;are&#x20;collected','Record&#x20;changes&#x20;to&#x20;network&#x20;environment&#x20;files&#x20;or&#x20;system&#x20;calls.&#x20;The&#x20;below&#x20;parameters&#x20;monitor&#x20;the&#x20;sethostname&#x20;&#40;set&#x20;the&#x20;systems&#x20;host&#x20;name&#41;&#x20;or&#x20;setdomainname&#x20;&#40;set&#x20;the&#x20;systems&#x20;domainname&#41;&#x20;system&#x20;calls,&#x20;and&#x20;write&#x20;an&#x20;audit&#x20;event&#x20;on&#x20;system&#x20;call&#x20;exit.&#x20;The&#x20;other&#x20;parameters&#x20;monitor&#x20;the&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;files&#x20;&#40;messages&#x20;displayed&#x20;pre-&#x20;login&#41;,&#x20;/etc/hosts&#x20;&#40;file&#x20;containing&#x20;host&#x20;names&#x20;and&#x20;associated&#x20;IP&#x20;addresses&#41;&#x20;and&#x20;/etc/sysconfig/network&#x20;&#40;directory&#x20;containing&#x20;network&#x20;interface&#x20;scripts&#x20;and&#x20;configurations&#41;&#x20;files.','Monitoring&#x20;sethostname&#x20;and&#x20;setdomainname&#x20;will&#x20;identify&#x20;potential&#x20;unauthorized&#x20;changes&#x20;to&#x20;host&#x20;and&#x20;domainname&#x20;of&#x20;a&#x20;system.&#x20;The&#x20;changing&#x20;of&#x20;these&#x20;names&#x20;could&#x20;potentially&#x20;break&#x20;security&#x20;parameters&#x20;that&#x20;are&#x20;set&#x20;based&#x20;on&#x20;those&#x20;names.&#x20;The&#x20;/etc/hosts&#x20;file&#x20;is&#x20;monitored&#x20;for&#x20;changes&#x20;in&#x20;the&#x20;file&#x20;that&#x20;can&#x20;indicate&#x20;an&#x20;unauthorized&#x20;intruder&#x20;is&#x20;trying&#x20;to&#x20;change&#x20;machine&#x20;associations&#x20;with&#x20;IP&#x20;addresses&#x20;and&#x20;trick&#x20;users&#x20;and&#x20;processes&#x20;into&#x20;connecting&#x20;to&#x20;unintended&#x20;machines.&#x20;Monitoring&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;is&#x20;important,&#x20;as&#x20;intruders&#x20;could&#x20;put&#x20;disinformation&#x20;into&#x20;those&#x20;files&#x20;and&#x20;trick&#x20;users&#x20;into&#x20;providing&#x20;information&#x20;to&#x20;the&#x20;intruder.&#x20;Monitoring&#x20;/etc/network&#x20;is&#x20;important&#x20;as&#x20;it&#x20;can&#x20;show&#x20;if&#x20;network&#x20;interfaces&#x20;or&#x20;scripts&#x20;are&#x20;being&#x20;modified&#x20;in&#x20;a&#x20;way&#x20;that&#x20;can&#x20;lead&#x20;to&#x20;the&#x20;machine&#x20;becoming&#x20;unavailable&#x20;or&#x20;compromised.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;system-locale.&quot;','','For&#x20;32&#x20;bit&#x20;systems&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/system-locale.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale-w&#x20;/etc/network&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/system-locale.rules&#x20;&#x20;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/network&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale','[{\"cis\": [\"4.1.5\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2614,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;Mandatory&#x20;Access&#x20;Controls&#x20;are&#x20;collected','Monitor&#x20;AppArmor&#x20;mandatory&#x20;access&#x20;control.&#x20;The&#x20;parameters&#x20;below&#x20;monitor&#x20;any&#x20;write&#x20;access&#x20;&#40;potential&#x20;additional,&#x20;deletion&#x20;or&#x20;modification&#x20;of&#x20;files&#x20;in&#x20;the&#x20;directory&#41;&#x20;or&#x20;attribute&#x20;changes&#x20;to&#x20;the&#x20;/etc/apparmor&#x20;and&#x20;/etc/apparmor.d&#x20;directories.','Changes&#x20;to&#x20;files&#x20;in&#x20;these&#x20;directories&#x20;could&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;modify&#x20;access&#x20;controls&#x20;and&#x20;change&#x20;security&#x20;contexts,&#x20;leading&#x20;to&#x20;a&#x20;compromise&#x20;of&#x20;the&#x20;system.','','On&#x20;systems&#x20;using&#x20;AppArmor&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/etc/apparmor/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;|&#x20;-w&#x20;/etc/apparmor.d/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.6\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2615,'Ensure&#x20;login&#x20;and&#x20;logout&#x20;events&#x20;are&#x20;collected','Monitor&#x20;login&#x20;and&#x20;logout&#x20;events.&#x20;The&#x20;parameters&#x20;below&#x20;track&#x20;changes&#x20;to&#x20;files&#x20;associated&#x20;with&#x20;login/logout&#x20;events.&#x20;The&#x20;file&#x20;/var/log/faillog&#x20;tracks&#x20;failed&#x20;events&#x20;from&#x20;login.&#x20;The&#x20;file&#x20;/var/log/lastlog&#x20;maintain&#x20;records&#x20;of&#x20;the&#x20;last&#x20;time&#x20;a&#x20;user&#x20;successfully&#x20;logged&#x20;in.&#x20;The&#x20;file&#x20;/var/log/tallylog&#x20;maintains&#x20;records&#x20;of&#x20;failures&#x20;via&#x20;the&#x20;pam_tally2&#x20;module','Monitoring&#x20;login/logout&#x20;events&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;information&#x20;associated&#x20;with&#x20;brute&#x20;force&#x20;attacks&#x20;against&#x20;user&#x20;logins.','','edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-w&#x20;/var/log/faillog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;|&#x20;-w&#x20;/var/log/lastlog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;|&#x20;-w&#x20;/var/log/tallylog&#x20;-p&#x20;wa&#x20;-k&#x20;logins.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.7\"]}, {\"cis_csc\": [\"4.9\", \"16.11\", \"16.13\"]}, {\"pci_dss\": [\"10.2.1\", \"10.2.4\", \"10.3\"]}, {\"nist_800_53\": [\"AC.7\", \"AU.14\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2616,'Ensure&#x20;session&#x20;initiation&#x20;information&#x20;is&#x20;collected','Monitor&#x20;session&#x20;initiation&#x20;events.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;to&#x20;the&#x20;files&#x20;associated&#x20;with&#x20;session&#x20;events.&#x20;The&#x20;file&#x20;/var/run/utmp&#x20;file&#x20;tracks&#x20;all&#x20;currently&#x20;logged&#x20;in&#x20;users.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;session.&quot;&#x20;The&#x20;/var/log/wtmp&#x20;file&#x20;tracks&#x20;logins,&#x20;logouts,&#x20;shutdown,&#x20;and&#x20;reboot&#x20;events.&#x20;The&#x20;file&#x20;/var/log/btmp&#x20;keeps&#x20;track&#x20;of&#x20;failed&#x20;login&#x20;attempts&#x20;and&#x20;can&#x20;be&#x20;read&#x20;by&#x20;entering&#x20;the&#x20;command&#x20;/usr/bin/last&#x20;-f&#x20;/var/log/btmp&#x20;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;logins.&quot;','Monitoring&#x20;these&#x20;files&#x20;for&#x20;changes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;logins&#x20;occurring&#x20;at&#x20;unusual&#x20;hours,&#x20;which&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;&#40;i.e.&#x20;a&#x20;user&#x20;logging&#x20;in&#x20;at&#x20;a&#x20;time&#x20;when&#x20;they&#x20;do&#x20;not&#x20;normally&#x20;log&#x20;in&#41;.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-w&#x20;/var/run/utmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;|&#x20;-w&#x20;/var/log/wtmp&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;|&#x20;-w&#x20;/var/log/btmp&#x20;-p&#x20;wa&#x20;-k&#x20;logins.&#x20;Notes:&#x20;The&#x20;last&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;read&#x20;/var/log/wtmp&#x20;&#40;last&#x20;with&#x20;no&#x20;parameters&#41;&#x20;and&#x20;/var/run/utmp&#x20;&#40;last&#x20;-f&#x20;/var/run/utmp&#41;.&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.8\"]}, {\"cis_csc\": [\"4.9\", \"16.11\", \"16.13\"]}, {\"pci_dss\": [\"10.3\"]}, {\"nist_800_53\": [\"AC.7\", \"AU.14\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(2617,'Ensure&#x20;discretionary&#x20;access&#x20;control&#x20;permission&#x20;modification&#x20;events&#x20;are&#x20;collected','Monitor&#x20;changes&#x20;to&#x20;file&#x20;permissions,&#x20;attributes,&#x20;ownership&#x20;and&#x20;group.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;for&#x20;system&#x20;calls&#x20;that&#x20;affect&#x20;file&#x20;permissions&#x20;and&#x20;attributes.&#x20;The&#x20;chmod&#x20;,&#x20;fchmod&#x20;and&#x20;fchmodat&#x20;system&#x20;calls&#x20;affect&#x20;the&#x20;permissions&#x20;associated&#x20;with&#x20;a&#x20;file.&#x20;The&#x20;chown&#x20;,&#x20;fchown&#x20;,&#x20;fchownat&#x20;and&#x20;lchown&#x20;system&#x20;calls&#x20;affect&#x20;owner&#x20;and&#x20;group&#x20;attributes&#x20;on&#x20;a&#x20;file.&#x20;The&#x20;setxattr&#x20;,&#x20;lsetxattr&#x20;,&#x20;fsetxattr&#x20;&#40;set&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;and&#x20;removexattr&#x20;,&#x20;lremovexattr&#x20;,&#x20;fremovexattr&#x20;&#40;remove&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;control&#x20;extended&#x20;file&#x20;attributes.&#x20;In&#x20;all&#x20;cases,&#x20;an&#x20;audit&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;for&#x20;non-system&#x20;user&#x20;ids&#x20;&#40;auid&#x20;&gt;=&#x20;1000&#41;&#x20;and&#x20;will&#x20;ignore&#x20;Daemon&#x20;events&#x20;&#40;auid&#x20;=&#x20;4294967295&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;perm_mod.&quot;','Monitoring&#x20;for&#x20;changes&#x20;in&#x20;file&#x20;attributes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;activity&#x20;that&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;or&#x20;policy&#x20;violation.','','For&#x20;64&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.9\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2618,'Ensure&#x20;unsuccessful&#x20;unauthorized&#x20;file&#x20;access&#x20;attempts&#x20;are&#x20;collected','Monitor&#x20;for&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;access&#x20;files.&#x20;The&#x20;parameters&#x20;below&#x20;are&#x20;associated&#x20;with&#x20;system&#x20;calls&#x20;that&#x20;control&#x20;creation&#x20;&#40;&#x20;creat&#x20;&#41;,&#x20;opening&#x20;&#40;&#x20;open&#x20;,&#x20;openat&#x20;&#41;&#x20;and&#x20;truncation&#x20;&#40;&#x20;truncate&#x20;,&#x20;ftruncate&#x20;&#41;&#x20;of&#x20;files.&#x20;An&#x20;audit&#x20;log&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;if&#x20;the&#x20;user&#x20;is&#x20;a&#x20;non-&#x20;privileged&#x20;user&#x20;&#40;auid&#x20;&gt;&#x20;=&#x20;1000&#41;,&#x20;is&#x20;not&#x20;a&#x20;Daemon&#x20;event&#x20;&#40;auid=4294967295&#41;&#x20;and&#x20;if&#x20;the&#x20;system&#x20;call&#x20;returned&#x20;EACCES&#x20;&#40;permission&#x20;denied&#x20;to&#x20;the&#x20;file&#41;&#x20;or&#x20;EPERM&#x20;&#40;some&#x20;other&#x20;permanent&#x20;error&#x20;associated&#x20;with&#x20;the&#x20;specific&#x20;system&#x20;call&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;access.&quot;','Failed&#x20;attempts&#x20;to&#x20;open,&#x20;create&#x20;or&#x20;truncate&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;an&#x20;individual&#x20;or&#x20;process&#x20;is&#x20;trying&#x20;to&#x20;gain&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','For&#x20;32&#x20;bit&#x20;systems&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/directory&#x20;ending&#x20;in&#x20;.rules&#x20;&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/audit.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;&#x20;|&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/directory&#x20;ending&#x20;in&#x20;.rules&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/access.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;&#x20;&#x20;|&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;&#x20;&#x20;|&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;|&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;toset&#x20;active&#x20;settings&#x20;requires&#x20;the&#x20;auditd&#x20;service&#x20;to&#x20;be&#x20;restarted,&#x20;and&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.10\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"10.2.4\"]}, {\"nist_800_53\": [\"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2619,'Ensure&#x20;successful&#x20;file&#x20;system&#x20;mounts&#x20;are&#x20;collected','Monitor&#x20;the&#x20;use&#x20;of&#x20;the&#x20;mount&#x20;system&#x20;call.&#x20;The&#x20;mount&#x20;&#40;and&#x20;umount&#x20;&#41;&#x20;system&#x20;call&#x20;controls&#x20;the&#x20;mounting&#x20;and&#x20;unmounting&#x20;of&#x20;file&#x20;systems.&#x20;The&#x20;parameters&#x20;below&#x20;configure&#x20;the&#x20;system&#x20;to&#x20;create&#x20;an&#x20;audit&#x20;record&#x20;when&#x20;the&#x20;mount&#x20;system&#x20;call&#x20;is&#x20;used&#x20;by&#x20;a&#x20;non-privileged&#x20;user.','It&#x20;is&#x20;highly&#x20;unusual&#x20;for&#x20;a&#x20;non&#x20;privileged&#x20;user&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;to&#x20;the&#x20;system.&#x20;While&#x20;tracking&#x20;mount&#x20;commands&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;evidence&#x20;that&#x20;external&#x20;media&#x20;may&#x20;have&#x20;been&#x20;mounted&#x20;&#40;based&#x20;on&#x20;a&#x20;review&#x20;of&#x20;the&#x20;source&#x20;of&#x20;the&#x20;mount&#x20;and&#x20;confirming&#x20;it&#039;s&#x20;an&#x20;external&#x20;media&#x20;type&#41;,&#x20;it&#x20;does&#x20;not&#x20;conclusively&#x20;indicate&#x20;that&#x20;data&#x20;was&#x20;exported&#x20;to&#x20;the&#x20;media.&#x20;System&#x20;administrators&#x20;who&#x20;wish&#x20;to&#x20;determine&#x20;if&#x20;data&#x20;were&#x20;exported,&#x20;would&#x20;also&#x20;have&#x20;to&#x20;track&#x20;successful&#x20;open&#x20;,&#x20;creat&#x20;and&#x20;truncate&#x20;system&#x20;calls&#x20;requiring&#x20;write&#x20;access&#x20;to&#x20;a&#x20;file&#x20;under&#x20;the&#x20;mount&#x20;point&#x20;of&#x20;the&#x20;external&#x20;media&#x20;file&#x20;system.&#x20;This&#x20;could&#x20;give&#x20;a&#x20;fair&#x20;indication&#x20;that&#x20;a&#x20;write&#x20;occurred.&#x20;The&#x20;only&#x20;way&#x20;to&#x20;truly&#x20;prove&#x20;it,&#x20;would&#x20;be&#x20;to&#x20;track&#x20;successful&#x20;writes&#x20;to&#x20;the&#x20;external&#x20;media.&#x20;Tracking&#x20;write&#x20;system&#x20;calls&#x20;could&#x20;quickly&#x20;fill&#x20;up&#x20;the&#x20;audit&#x20;log&#x20;and&#x20;is&#x20;not&#x20;recommended.&#x20;Recommendations&#x20;on&#x20;configuration&#x20;options&#x20;to&#x20;track&#x20;data&#x20;export&#x20;to&#x20;media&#x20;is&#x20;beyond&#x20;the&#x20;scope&#x20;of&#x20;this&#x20;document.','','For&#x20;32&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts.&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts.&#x20;Notes:&#x20;This&#x20;tracks&#x20;successful&#x20;and&#x20;unsuccessful&#x20;mount&#x20;commands.&#x20;File&#x20;system&#x20;mounts&#x20;do&#x20;not&#x20;have&#x20;to&#x20;come&#x20;from&#x20;external&#x20;media&#x20;and&#x20;this&#x20;action&#x20;still&#x20;does&#x20;not&#x20;verify&#x20;write&#x20;&#40;e.g.&#x20;CD&#x20;ROMS&#41;.&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.12\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2620,'Ensure&#x20;file&#x20;deletion&#x20;events&#x20;by&#x20;users&#x20;are&#x20;collected','Monitor&#x20;the&#x20;use&#x20;of&#x20;system&#x20;calls&#x20;associated&#x20;with&#x20;the&#x20;deletion&#x20;or&#x20;renaming&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes.&#x20;This&#x20;configuration&#x20;statement&#x20;sets&#x20;up&#x20;monitoring&#x20;for&#x20;the&#x20;unlink&#x20;&#40;remove&#x20;a&#x20;file&#41;,&#x20;unlinkat&#x20;&#40;remove&#x20;a&#x20;file&#x20;attribute&#41;,&#x20;rename&#x20;&#40;rename&#x20;a&#x20;file&#41;&#x20;and&#x20;renameat&#x20;&#40;rename&#x20;a&#x20;file&#x20;attribute&#41;&#x20;system&#x20;calls&#x20;and&#x20;tags&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;delete&quot;.','Monitoring&#x20;these&#x20;calls&#x20;from&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;evidence&#x20;that&#x20;inappropriate&#x20;removal&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes&#x20;associated&#x20;with&#x20;protected&#x20;files&#x20;is&#x20;occurring.&#x20;While&#x20;this&#x20;audit&#x20;option&#x20;will&#x20;look&#x20;at&#x20;all&#x20;events,&#x20;system&#x20;administrators&#x20;will&#x20;want&#x20;to&#x20;look&#x20;for&#x20;specific&#x20;privileged&#x20;files&#x20;that&#x20;are&#x20;being&#x20;deleted&#x20;or&#x20;altered.','','For&#x20;32&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete.&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete.&#x20;Notes:&#x20;At&#x20;a&#x20;minimum,&#x20;configure&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;collect&#x20;file&#x20;deletion&#x20;events&#x20;for&#x20;all&#x20;users&#x20;and&#x20;root.&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.13\"]}, {\"cis_csc\": [\"6.2\", \"13\"]}, {\"pci_dss\": [\"10.5.5\"]}, {\"nist_800_53\": [\"AU.14\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC7.1\", \"CC7.2\", \"CC7.3\", \"CC8.1\"]}]'),(2621,'Ensure&#x20;changes&#x20;to&#x20;system&#x20;administration&#x20;scope&#x20;&#40;sudoers&#41;&#x20;is&#x20;collected','Monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrations.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;force&#x20;system&#x20;administrators&#x20;to&#x20;log&#x20;in&#x20;as&#x20;themselves&#x20;first&#x20;and&#x20;then&#x20;use&#x20;the&#x20;sudo&#x20;command&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;it&#x20;is&#x20;possible&#x20;to&#x20;monitor&#x20;changes&#x20;in&#x20;scope.&#x20;The&#x20;file&#x20;/etc/sudoers&#x20;will&#x20;be&#x20;written&#x20;to&#x20;when&#x20;the&#x20;file&#x20;or&#x20;its&#x20;attributes&#x20;have&#x20;changed.&#x20;The&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;scope.&quot;','Changes&#x20;in&#x20;the&#x20;/etc/sudoers&#x20;file&#x20;can&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;change&#x20;has&#x20;been&#x20;made&#x20;to&#x20;scope&#x20;of&#x20;system&#x20;administrator&#x20;activity.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/etc/sudoers&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;|&#x20;-w&#x20;/etc/sudoers.d/&#x20;-p&#x20;wa&#x20;-k&#x20;scope.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.14\"]}, {\"cis_csc\": [\"4.8\"]}, {\"pci_dss\": [\"10.5.5\"]}, {\"nist_800_53\": [\"AU.14\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC7.1\", \"CC7.2\", \"CC7.3\", \"CC8.1\"]}]'),(2622,'Ensure&#x20;system&#x20;administrator&#x20;actions&#x20;&#40;sudolog&#41;&#x20;are&#x20;collected','Monitor&#x20;the&#x20;sudo&#x20;log&#x20;file.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;disable&#x20;the&#x20;use&#x20;of&#x20;the&#x20;su&#x20;command&#x20;and&#x20;force&#x20;all&#x20;administrators&#x20;to&#x20;have&#x20;to&#x20;log&#x20;in&#x20;first&#x20;and&#x20;then&#x20;use&#x20;sudo&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;then&#x20;all&#x20;administrator&#x20;commands&#x20;will&#x20;be&#x20;logged&#x20;to&#x20;/var/log/sudo.log&#x20;.&#x20;Any&#x20;time&#x20;a&#x20;command&#x20;is&#x20;executed,&#x20;an&#x20;audit&#x20;event&#x20;will&#x20;be&#x20;triggered&#x20;as&#x20;the&#x20;/var/log/sudo.log&#x20;file&#x20;will&#x20;be&#x20;opened&#x20;for&#x20;write&#x20;and&#x20;the&#x20;executed&#x20;administration&#x20;command&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;log.','Changes&#x20;in&#x20;/var/log/sudo.log&#x20;indicate&#x20;that&#x20;an&#x20;administrator&#x20;has&#x20;executed&#x20;a&#x20;command&#x20;or&#x20;the&#x20;log&#x20;file&#x20;itself&#x20;has&#x20;been&#x20;tampered&#x20;with.&#x20;Administrators&#x20;will&#x20;want&#x20;to&#x20;correlate&#x20;the&#x20;events&#x20;written&#x20;to&#x20;the&#x20;audit&#x20;trail&#x20;with&#x20;the&#x20;records&#x20;written&#x20;to&#x20;/var/log/sudo.log&#x20;to&#x20;verify&#x20;if&#x20;unauthorized&#x20;commands&#x20;have&#x20;been&#x20;executed.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-w&#x20;&lt;Path&#x20;to&#x20;sudo&#x20;logfile&gt;&#x20;-p&#x20;wa&#x20;-k&#x20;actions.&#x20;Notes:&#x20;The&#x20;system&#x20;must&#x20;be&#x20;configured&#x20;with&#x20;sudisabled&#x20;&#40;See&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted&#41;&#x20;to&#x20;force&#x20;all&#x20;command&#x20;execution&#x20;through&#x20;sudo.&#x20;This&#x20;will&#x20;not&#x20;be&#x20;effective&#x20;on&#x20;the&#x20;console,&#x20;as&#x20;administrators&#x20;can&#x20;log&#x20;in&#x20;as&#x20;root.&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.15\"]}, {\"cis_csc\": [\"4.9\"]}, {\"pci_dss\": [\"10.2.2\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.6\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2623,'Ensure&#x20;kernel&#x20;module&#x20;loading&#x20;and&#x20;unloading&#x20;is&#x20;collected','Monitor&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;kernel&#x20;modules.&#x20;The&#x20;programs&#x20;insmod&#x20;&#40;install&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;rmmod&#x20;&#40;remove&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;and&#x20;modprobe&#x20;&#40;a&#x20;more&#x20;sophisticated&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules,&#x20;as&#x20;well&#x20;as&#x20;some&#x20;other&#x20;features&#41;&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;The&#x20;init_module&#x20;&#40;load&#x20;a&#x20;module&#41;&#x20;and&#x20;delete_module&#x20;&#40;delete&#x20;a&#x20;module&#41;&#x20;system&#x20;calls&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;Any&#x20;execution&#x20;of&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;module&#x20;programs&#x20;and&#x20;system&#x20;calls&#x20;will&#x20;trigger&#x20;an&#x20;audit&#x20;record&#x20;with&#x20;an&#x20;identifier&#x20;of&#x20;&quot;modules&quot;.','Monitoring&#x20;the&#x20;use&#x20;of&#x20;insmod,&#x20;rmmod&#x20;and&#x20;modprobe&#x20;could&#x20;provide&#x20;system&#x20;administrators&#x20;with&#x20;evidence&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;loaded&#x20;or&#x20;unloaded&#x20;a&#x20;kernel&#x20;module,&#x20;possibly&#x20;compromising&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.&#x20;Monitoring&#x20;of&#x20;the&#x20;init_module&#x20;and&#x20;delete_module&#x20;system&#x20;calls&#x20;would&#x20;reflect&#x20;an&#x20;unauthorized&#x20;user&#x20;attempting&#x20;to&#x20;use&#x20;a&#x20;different&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules.','','For&#x20;32&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-w&#x20;/sbin/insmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;|&#x20;-w&#x20;/sbin/rmmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;|&#x20;-w&#x20;/sbin/modprobe&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;init_module&#x20;-S&#x20;delete_module&#x20;-k&#x20;modules.&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-w&#x20;/sbin/insmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;|&#x20;-w&#x20;/sbin/rmmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;|&#x20;-w&#x20;/sbin/modprobe&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;|&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;init_module&#x20;-S&#x20;delete_module&#x20;-k&#x20;modules.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.16\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(2624,'Ensure&#x20;the&#x20;audit&#x20;configuration&#x20;is&#x20;immutable','Set&#x20;system&#x20;audit&#x20;so&#x20;that&#x20;audit&#x20;rules&#x20;cannot&#x20;be&#x20;modified&#x20;with&#x20;auditctl.&#x20;Setting&#x20;the&#x20;flag&#x20;&quot;-e&#x20;2&quot;&#x20;forces&#x20;audit&#x20;to&#x20;be&#x20;put&#x20;in&#x20;immutable&#x20;mode.&#x20;Audit&#x20;changes&#x20;can&#x20;only&#x20;be&#x20;made&#x20;on&#x20;system&#x20;reboot.','In&#x20;immutable&#x20;mode,&#x20;unauthorized&#x20;users&#x20;cannot&#x20;execute&#x20;changes&#x20;to&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;potentially&#x20;hide&#x20;malicious&#x20;activity&#x20;and&#x20;then&#x20;put&#x20;the&#x20;audit&#x20;rules&#x20;back.&#x20;Users&#x20;would&#x20;most&#x20;likely&#x20;notice&#x20;a&#x20;system&#x20;reboot&#x20;and&#x20;that&#x20;could&#x20;alert&#x20;administrators&#x20;of&#x20;an&#x20;attempt&#x20;to&#x20;make&#x20;unauthorized&#x20;audit&#x20;changes.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/audit/rules.d/99-finalize.rules&#x20;and&#x20;add&#x20;the&#x20;line:&#x20;-e&#x20;2.&#x20;Notes:&#x20;This&#x20;setting&#x20;will&#x20;ensure&#x20;reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;requires&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.17\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.5\"]}, {\"nist_800_53\": [\"AU.9\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(2625,'Ensure&#x20;rsyslog&#x20;is&#x20;installed','The&#x20;rsyslog&#x20;software&#x20;are&#x20;recommended&#x20;replacements&#x20;to&#x20;the&#x20;original&#x20;syslogd&#x20;daemon&#x20;which&#x20;provide&#x20;improvements&#x20;over&#x20;syslogd&#x20;,&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server.','The&#x20;security&#x20;enhancements&#x20;of&#x20;rsyslogsuch&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server&#41;&#x20;justify&#x20;installing&#x20;and&#x20;configuring&#x20;the&#x20;package.','','Install&#x20;rsyslog:&#x20;#&#x20;apt&#x20;install&#x20;rsyslog','[{\"cis\": [\"4.2.1.1\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.1\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(2626,'Ensure&#x20;rsyslog&#x20;Service&#x20;is&#x20;enabled','Once&#x20;the&#x20;rsyslog&#x20;package&#x20;is&#x20;installed&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;activated.','If&#x20;the&#x20;rsyslog&#x20;service&#x20;is&#x20;not&#x20;activated&#x20;the&#x20;system&#x20;will&#x20;not&#x20;have&#x20;a&#x20;syslog&#x20;service&#x20;running.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;rsyslog:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;rsyslog','[{\"cis\": [\"4.2.1.2\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(2627,'Ensure&#x20;rsyslog&#x20;default&#x20;file&#x20;permissions&#x20;configured','rsyslog&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;set&#x20;$FileCreateMode&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;&#x20;&#x20;$FileCreateMode&#x20;0640','[{\"cis\": [\"4.2.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.5.1\", \"10.5.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.9\"]}, {\"tsc\": [\"CC5.2\", \"CC6.1\", \"CC7.2\", \"CC.7.3\", \"CC7.4\"]}]'),(2628,'Ensure&#x20;rsyslog&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host','The&#x20;rsyslog&#x20;utility&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;logs&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;running&#x20;syslogd&#40;8&#41;&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;reducing&#x20;administrative&#x20;overhead.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;add&#x20;one&#x20;of&#x20;the&#x20;following&#x20;lines:&#x20;Newer&#x20;syntax:&#x20;&lt;files&#x20;to&#x20;sent&#x20;to&#x20;the&#x20;remote&#x20;log&#x20;server&gt;&#x20;action&#40;type=&quot;omfwd&quot;&#x20;target=&quot;&lt;FQDN&#x20;or&#x20;ip&#x20;of&#x20;loghost&gt;&quot;&#x20;port=&quot;&lt;port&#x20;number&gt;&quot;&#x20;protocol=&quot;tcp&quot;&#x20;ction.resumeRetryCount=&quot;&lt;number&#x20;of&#x20;re-tries&gt;&quot;&#x20;&#x20;queue.type=&quot;linkList&quot;&#x20;queue.size=&lt;number&#x20;of&#x20;messages&#x20;to&#x20;queue&gt;&quot;&#41;&#x20;Example:&#x20;*.*&#x20;action&#40;type=&quot;omfwd&quot;&#x20;target=&quot;192.168.2.100&quot;&#x20;port&quot;514&quot;&#x20;protocol=&quot;tcp&quot;&#x20;action.resumeRetryCount=&quot;100&quot;&#x20;queue.type=&quot;linkList&quot;&#x20;queue.size=&quot;1000&quot;&#41;&#x20;Older&#x20;syntax:&#x20;*.*&#x20;@@&lt;FQDN&#x20;or&#x20;ip&#x20;of&#x20;loghost&gt;','[{\"cis\": [\"4.2.1.5\"]}, {\"cis_csc\": [\"6.6\", \"6.8\"]}, {\"pci_dss\": [\"10.5.3\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.4\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2629,'Ensure&#x20;remote&#x20;rsyslog&#x20;messages&#x20;are&#x20;only&#x20;accepted&#x20;on&#x20;designated&#x20;log&#x20;hosts','By&#x20;default,&#x20;rsyslog&#x20;does&#x20;not&#x20;listen&#x20;for&#x20;log&#x20;messages&#x20;coming&#x20;in&#x20;from&#x20;remote&#x20;systems.&#x20;The&#x20;ModLoad&#x20;tells&#x20;rsyslog&#x20;to&#x20;load&#x20;the&#x20;imtcp.so&#x20;module&#x20;so&#x20;it&#x20;can&#x20;listen&#x20;over&#x20;a&#x20;network&#x20;via&#x20;TCP.&#x20;The&#x20;InputTCPServerRun&#x20;option&#x20;instructs&#x20;rsyslogd&#x20;to&#x20;listen&#x20;on&#x20;the&#x20;specified&#x20;TCP&#x20;port.','The&#x20;guidance&#x20;in&#x20;the&#x20;section&#x20;ensures&#x20;that&#x20;remote&#x20;log&#x20;hosts&#x20;are&#x20;configured&#x20;to&#x20;only&#x20;accept&#x20;rsyslog&#x20;data&#x20;from&#x20;hosts&#x20;within&#x20;the&#x20;specified&#x20;domain&#x20;and&#x20;that&#x20;those&#x20;systems&#x20;that&#x20;are&#x20;not&#x20;designed&#x20;to&#x20;be&#x20;log&#x20;hosts&#x20;do&#x20;not&#x20;accept&#x20;any&#x20;remote&#x20;rsyslog&#x20;messages.&#x20;This&#x20;provides&#x20;protection&#x20;from&#x20;spoofed&#x20;log&#x20;data&#x20;and&#x20;ensures&#x20;that&#x20;system&#x20;administrators&#x20;are&#x20;reviewing&#x20;reasonably&#x20;complete&#x20;syslog&#x20;data&#x20;in&#x20;a&#x20;central&#x20;location.','','For&#x20;hosts&#x20;that&#x20;are&#x20;designated&#x20;as&#x20;log&#x20;hosts,&#x20;edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;file&#x20;and&#x20;un-comment&#x20;or&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;$ModLoad&#x20;imtcp&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;$InputTCPServerRun&#x20;514.&#x20;For&#x20;hosts&#x20;that&#x20;are&#x20;not&#x20;designated&#x20;as&#x20;log&#x20;hosts,&#x20;edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;file&#x20;and&#x20;comment&#x20;or&#x20;remove&#x20;the&#x20;following&#x20;lines:&#x20;#&#x20;$ModLoad&#x20;imtcp&#x20;#&#x20;$InputTCPServerRun&#x20;514.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;rsyslogd&#x20;configuration:&#x20;#&#x20;pkill&#x20;-HUP&#x20;rsyslogd','[{\"cis\": [\"4.2.1.6\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"10.5.1\"]}]'),(2630,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;rsyslog','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Utilities&#x20;exist&#x20;to&#x20;accept&#x20;remote&#x20;export&#x20;of&#x20;journald&#x20;logs,&#x20;however,&#x20;use&#x20;of&#x20;the&#x20;rsyslog&#x20;service&#x20;provides&#x20;a&#x20;consistent&#x20;means&#x20;of&#x20;log&#x20;collection&#x20;and&#x20;export.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;ForwardToSyslog=yes','[{\"cis\": [\"4.2.2.1\"]}, {\"cis_csc\": [\"6.5\"]}, {\"pci_dss\": [\"10.5.3\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.9\", \"AU.4\"]}, {\"tsc\": [\"CC5.2\", \"CC7.2\"]}]'),(2631,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;compress&#x20;large&#x20;log&#x20;files','The&#x20;journald&#x20;system&#x20;includes&#x20;the&#x20;capability&#x20;of&#x20;compressing&#x20;overly&#x20;large&#x20;files&#x20;to&#x20;avoid&#x20;filling&#x20;up&#x20;the&#x20;system&#x20;with&#x20;logs&#x20;or&#x20;making&#x20;the&#x20;logs&#x20;unmanageably&#x20;large.','Uncompressed&#x20;large&#x20;files&#x20;may&#x20;unexpectedly&#x20;fill&#x20;a&#x20;filesystem&#x20;leading&#x20;to&#x20;resource&#x20;unavailability.&#x20;Compressing&#x20;logs&#x20;prior&#x20;to&#x20;write&#x20;can&#x20;prevent&#x20;sudden,&#x20;unexpected&#x20;filesystem&#x20;impacts.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;&#x20;&#x20;Compress=yes','[{\"cis\": [\"4.2.2.2\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"10.7\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.4\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2632,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;write&#x20;logfiles&#x20;to&#x20;persistent&#x20;disk','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Logs&#x20;in&#x20;memory&#x20;will&#x20;be&#x20;lost&#x20;upon&#x20;a&#x20;system&#x20;reboot.&#x20;By&#x20;persisting&#x20;logs&#x20;to&#x20;local&#x20;disk&#x20;on&#x20;the&#x20;server&#x20;they&#x20;are&#x20;protected&#x20;from&#x20;loss.','Writing&#x20;log&#x20;data&#x20;to&#x20;disk&#x20;will&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;forensically&#x20;reconstruct&#x20;events&#x20;which&#x20;may&#x20;have&#x20;impacted&#x20;the&#x20;operations&#x20;or&#x20;security&#x20;of&#x20;a&#x20;system&#x20;even&#x20;after&#x20;a&#x20;system&#x20;crash&#x20;or&#x20;reboot.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;&#x20;&#x20;Storage=persistent','[{\"cis\": [\"4.2.2.3\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.7\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.4\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2633,'Ensure&#x20;permissions&#x20;on&#x20;all&#x20;logfiles&#x20;are&#x20;configured','Log&#x20;files&#x20;stored&#x20;in&#x20;/var/log/&#x20;contain&#x20;logged&#x20;information&#x20;from&#x20;many&#x20;services&#x20;on&#x20;the&#x20;system,&#x20;or&#x20;on&#x20;log&#x20;hosts&#x20;others&#x20;as&#x20;well.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitivebdata&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;all&#x20;existing&#x20;log&#x20;files:&#x20;find&#x20;/var/log&#x20;-type&#x20;f&#x20;-exec&#x20;chmod&#x20;g-wx,o-rwx&#x20;&quot;{}&quot;&#x20;+&#x20;-o&#x20;-type&#x20;d&#x20;-exec&#x20;chmod&#x20;g-w,o-rwx&#x20;&quot;{}&quot;&#x20;+','[{\"cis\": [\"4.2.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.5.1\", \"10.5.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.9\"]}, {\"tsc\": [\"CC5.2\", \"CC7.2\"]}]'),(2634,'Ensure&#x20;logrotate&#x20;assigns&#x20;appropriate&#x20;permissions','Log&#x20;files&#x20;stored&#x20;in&#x20;/var/log/&#x20;contain&#x20;logged&#x20;information&#x20;from&#x20;many&#x20;services&#x20;on&#x20;the&#x20;system,&#x20;or&#x20;on&#x20;log&#x20;hosts&#x20;others&#x20;as&#x20;well.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Edit&#x20;/etc/logrotate.conf&#x20;and&#x20;update&#x20;the&#x20;create&#x20;line&#x20;to&#x20;read&#x20;0640&#x20;or&#x20;more&#x20;restrictive,&#x20;following&#x20;local&#x20;site&#x20;policy&#x20;&#x20;&#x20;Example:&#x20;create&#x20;0640&#x20;root&#x20;utmp','[{\"cis\": [\"4.4\"]}, {\"cis_csc\": [\"14.6\"]}]'),(2635,'Ensure&#x20;cron&#x20;daemon&#x20;is&#x20;enabled','The&#x20;cron&#x20;daemon&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;batch&#x20;jobs&#x20;on&#x20;the&#x20;system.','While&#x20;there&#x20;may&#x20;not&#x20;be&#x20;user&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;be&#x20;run&#x20;on&#x20;the&#x20;system,&#x20;the&#x20;system&#x20;does&#x20;have&#x20;maintenance&#x20;jobs&#x20;that&#x20;may&#x20;include&#x20;security&#x20;monitoring&#x20;that&#x20;have&#x20;to&#x20;run,&#x20;and&#x20;cron&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;them.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;cron:&#x20;systemctl&#x20;--now&#x20;enable&#x20;cron','[{\"cis\": [\"5.1.1\"]}, {\"cis_csc\": [\"6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2636,'Ensure&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;are&#x20;configured','The&#x20;/etc/crontab&#x20;file&#x20;is&#x20;used&#x20;by&#x20;cron&#x20;to&#x20;control&#x20;its&#x20;own&#x20;jobs.&#x20;The&#x20;commands&#x20;in&#x20;this&#x20;item&#x20;make&#x20;sure&#x20;that&#x20;root&#x20;is&#x20;the&#x20;user&#x20;and&#x20;group&#x20;owner&#x20;of&#x20;the&#x20;file&#x20;and&#x20;that&#x20;only&#x20;the&#x20;owner&#x20;can&#x20;access&#x20;the&#x20;file.','This&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;what&#x20;system&#x20;jobs&#x20;are&#x20;run&#x20;by&#x20;cron.&#x20;Write&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;unprivileged&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;elevate&#x20;their&#x20;privileges.&#x20;Read&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;gain&#x20;insight&#x20;on&#x20;system&#x20;jobs&#x20;that&#x20;run&#x20;on&#x20;the&#x20;system&#x20;and&#x20;could&#x20;provide&#x20;them&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;unauthorized&#x20;privileged&#x20;access.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/crontab&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/crontab','[{\"cis\": [\"5.1.2\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(2637,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;are&#x20;configured','This&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;an&#x20;hourly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.hourly&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.hourly','[{\"cis\": [\"5.1.3\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2638,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;are&#x20;configured','The&#x20;/etc/cron.daily&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;daily&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.daily&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.daily','[{\"cis\": [\"5.1.4\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2639,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;are&#x20;configured','The&#x20;/etc/cron.weekly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;weekly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.weekly&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.weekly','[{\"cis\": [\"5.1.5\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2640,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;are&#x20;configured','The&#x20;/etc/cron.monthly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;monthly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.monthly&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.monthly','[{\"cis\": [\"5.1.6\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2641,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;are&#x20;configured','Configure&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/cron.allow&#x20;or&#x20;/etc/at.allow&#x20;do&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.deny&#x20;and&#x20;/etc/cron.deny&#x20;are&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;files,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;Note&#x20;that&#x20;even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow&#x20;,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cron&#x20;jobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny&#x20;and&#x20;/etc/at.deny&#x20;and&#x20;create&#x20;and&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow:&#x20;rm&#x20;/etc/cron.deny;rm&#x20;/etc/at.deny;touch&#x20;/etc/cron.allow;&#x20;touch&#x20;/etc/at.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/at.allow;&#x20;chown&#x20;root:root&#x20;/etc/cron.allow&#x20;and&#x20;chown&#x20;root:root&#x20;/etc/at.allow','[{\"cis\": [\"5.1.7\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2642,'Ensure&#x20;at/cron&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users','Configure&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/cron.allow&#x20;or&#x20;/etc/at.allow&#x20;do&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.deny&#x20;and&#x20;/etc/cron.deny&#x20;are&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;files,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;Note&#x20;that&#x20;even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cronjobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny&#x20;and&#x20;/etc/at.deny&#x20;and&#x20;create&#x20;and&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow:&#x20;#&#x20;rm&#x20;/etc/cron.deny&#x20;#&#x20;rm&#x20;/etc/at.deny&#x20;#&#x20;touch&#x20;/etc/cron.allow&#x20;#&#x20;touch&#x20;/etc/at.allow&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.allow&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/at.allow&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.allow&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/at.allow','[{\"cis\": [\"5.1.8\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2643,'Ensure&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config&#x20;are&#x20;configured','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;contains&#x20;configuration&#x20;specifications&#x20;for&#x20;sshd.&#x20;The&#x20;command&#x20;below&#x20;sets&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;file&#x20;to&#x20;root.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-&#x20;privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/ssh/sshd_config&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/ssh/sshd_config','[{\"cis\": [\"5.2.1\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2644,'Ensure&#x20;permissions&#x20;on&#x20;SSH&#x20;private&#x20;host&#x20;key&#x20;files&#x20;are&#x20;configured','An&#x20;SSH&#x20;private&#x20;key&#x20;is&#x20;one&#x20;of&#x20;two&#x20;files&#x20;used&#x20;in&#x20;SSH&#x20;public&#x20;key&#x20;authentication.&#x20;In&#x20;this&#x20;authentication&#x20;method,&#x20;The&#x20;possession&#x20;of&#x20;the&#x20;private&#x20;key&#x20;is&#x20;proof&#x20;of&#x20;identity.&#x20;Only&#x20;a&#x20;private&#x20;key&#x20;that&#x20;corresponds&#x20;to&#x20;a&#x20;public&#x20;key&#x20;will&#x20;be&#x20;able&#x20;to&#x20;authenticate&#x20;successfully.&#x20;The&#x20;private&#x20;keys&#x20;need&#x20;to&#x20;be&#x20;stored&#x20;and&#x20;handled&#x20;carefully,&#x20;and&#x20;no&#x20;copies&#x20;of&#x20;the&#x20;private&#x20;key&#x20;should&#x20;be&#x20;distributed.','If&#x20;an&#x20;unauthorized&#x20;user&#x20;obtains&#x20;the&#x20;private&#x20;SSH&#x20;host&#x20;key&#x20;file,&#x20;the&#x20;host&#x20;could&#x20;be&#x20;impersonated','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;private&#x20;SSH&#x20;host&#x20;key&#x20;files:&#x20;#&#x20;find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key&#039;&#x20;-exec&#x20;chown&#x20;root:root&#x20;{}&#x20;;&#x20;#&#x20;find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key&#039;&#x20;-exec&#x20;chmod&#x20;0600&#x20;{}&#x20;;','[{\"cis\": [\"5.2.2\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2645,'Ensure&#x20;permissions&#x20;on&#x20;SSH&#x20;public&#x20;host&#x20;key&#x20;files&#x20;are&#x20;configured','An&#x20;SSH&#x20;public&#x20;key&#x20;is&#x20;one&#x20;of&#x20;two&#x20;files&#x20;used&#x20;in&#x20;SSH&#x20;public&#x20;key&#x20;authentication.&#x20;In&#x20;this&#x20;authentication&#x20;method,&#x20;a&#x20;public&#x20;key&#x20;is&#x20;a&#x20;key&#x20;that&#x20;can&#x20;be&#x20;used&#x20;for&#x20;verifying&#x20;digital&#x20;signatures&#x20;generated&#x20;using&#x20;a&#x20;corresponding&#x20;private&#x20;key.&#x20;Only&#x20;a&#x20;public&#x20;key&#x20;that&#x20;corresponds&#x20;to&#x20;a&#x20;private&#x20;key&#x20;will&#x20;be&#x20;able&#x20;to&#x20;authenticate&#x20;successfully.','If&#x20;a&#x20;public&#x20;host&#x20;key&#x20;file&#x20;is&#x20;modified&#x20;by&#x20;an&#x20;unauthorized&#x20;user,&#x20;the&#x20;SSH&#x20;service&#x20;may&#x20;be&#x20;compromised.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;on&#x20;the&#x20;SSH&#x20;host&#x20;public&#x20;key&#x20;files:&#x20;#&#x20;find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key.pub&#039;&#x20;-exec&#x20;chmod&#x20;0644&#x20;{}&#x20;;&#x20;#find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key.pub&#039;&#x20;-exec&#x20;chown&#x20;root:root&#x20;{}&#x20;;','[{\"cis\": [\"5.2.3\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2646,'Ensure&#x20;SSH&#x20;Protocol&#x20;is&#x20;not&#x20;set&#x20;to&#x20;1','Older&#x20;versions&#x20;of&#x20;SSH&#x20;support&#x20;two&#x20;different&#x20;and&#x20;incompatible&#x20;protocols:&#x20;SSH1&#x20;and&#x20;SSH2.&#x20;SSH1&#x20;was&#x20;the&#x20;original&#x20;protocol&#x20;and&#x20;was&#x20;subject&#x20;to&#x20;security&#x20;issues.&#x20;SSH2&#x20;is&#x20;more&#x20;advanced&#x20;and&#x20;secure.','SSH&#x20;v1&#x20;suffers&#x20;from&#x20;insecurities&#x20;that&#x20;do&#x20;not&#x20;affect&#x20;SSH&#x20;v2.&#x20;Notes:&#x20;This&#x20;command&#x20;not&#x20;longer&#x20;exists&#x20;in&#x20;newer&#x20;versions&#x20;of&#x20;SSH.&#x20;This&#x20;check&#x20;is&#x20;still&#x20;being&#x20;included&#x20;for&#x20;systems&#x20;that&#x20;may&#x20;be&#x20;running&#x20;an&#x20;older&#x20;version&#x20;of&#x20;SSH.&#x20;As&#x20;of&#x20;openSSH&#x20;version&#x20;7.4&#x20;this&#x20;parameter&#x20;will&#x20;not&#x20;cause&#x20;an&#x20;issue&#x20;when&#x20;included.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Protocol&#x20;2','[{\"cis\": [\"5.2.4\"]}, {\"cis_csc\": [\"4.5\", \"14.4\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\"]}]'),(2647,'Ensure&#x20;SSH&#x20;LogLevel&#x20;is&#x20;appropriate','INFO&#x20;level&#x20;is&#x20;the&#x20;basic&#x20;level&#x20;that&#x20;only&#x20;records&#x20;login&#x20;activity&#x20;of&#x20;SSH&#x20;users.&#x20;In&#x20;many&#x20;situations,&#x20;such&#x20;as&#x20;Incident&#x20;Response,&#x20;it&#x20;is&#x20;important&#x20;to&#x20;determine&#x20;when&#x20;a&#x20;particular&#x20;user&#x20;was&#x20;active&#x20;on&#x20;a&#x20;system.&#x20;The&#x20;logout&#x20;record&#x20;can&#x20;eliminate&#x20;those&#x20;users&#x20;who&#x20;disconnected,&#x20;which&#x20;helps&#x20;narrow&#x20;the&#x20;field.&#x20;VERBOSE&#x20;level&#x20;specifies&#x20;that&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;as&#x20;well&#x20;as&#x20;the&#x20;key&#x20;fingerprint&#x20;for&#x20;any&#x20;SSH&#x20;key&#x20;used&#x20;for&#x20;login&#x20;will&#x20;be&#x20;logged.&#x20;This&#x20;information&#x20;is&#x20;important&#x20;for&#x20;SSH&#x20;key&#x20;management,&#x20;especially&#x20;in&#x20;legacy&#x20;environments.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;VERBOSE&#x20;or&#x20;LogLevel&#x20;INFO','[{\"cis\": [\"5.2.5\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\"]}]'),(2648,'Ensure&#x20;SSH&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled','The&#x20;X11Forwarding&#x20;parameter&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;tunnel&#x20;X11&#x20;traffic&#x20;through&#x20;the&#x20;connection&#x20;to&#x20;enable&#x20;remote&#x20;graphic&#x20;connections.','Disable&#x20;X11&#x20;forwarding&#x20;unless&#x20;there&#x20;is&#x20;an&#x20;operational&#x20;requirement&#x20;to&#x20;use&#x20;X11&#x20;applications&#x20;directly.&#x20;There&#x20;is&#x20;a&#x20;small&#x20;risk&#x20;that&#x20;the&#x20;remote&#x20;X11&#x20;servers&#x20;of&#x20;users&#x20;who&#x20;are&#x20;logged&#x20;in&#x20;via&#x20;SSH&#x20;with&#x20;X11&#x20;forwarding&#x20;could&#x20;be&#x20;compromised&#x20;by&#x20;other&#x20;users&#x20;on&#x20;the&#x20;X11&#x20;server.&#x20;Note&#x20;that&#x20;even&#x20;if&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled,&#x20;users&#x20;can&#x20;always&#x20;install&#x20;their&#x20;own&#x20;forwarders.','','Edit&#x20;the&#x20;/etc/ssh/sshd_configfile&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;X11Forwarding&#x20;no','[{\"cis\": [\"5.2.6\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(2649,'Ensure&#x20;SSH&#x20;MaxAuthTries&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc\": [\"16.13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2650,'Ensure&#x20;SSH&#x20;IgnoreRhosts&#x20;is&#x20;enabled','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhostsand&#x20;.shostsfiles&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthenticationor&#x20;HostbasedAuthentication.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;ssh.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;IgnoreRhosts&#x20;yes','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\"]}]'),(2651,'Ensure&#x20;SSH&#x20;HostbasedAuthentication&#x20;is&#x20;disabled','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts,&#x20;or&#x20;/etc/hosts.equiv,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.&#x20;This&#x20;option&#x20;only&#x20;applies&#x20;to&#x20;SSH&#x20;Protocol&#x20;Version&#x20;2.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no','[{\"cis\": [\"5.2.9\"]}, {\"cis_csc\": [\"16.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\"]}]'),(2652,'Ensure&#x20;SSH&#x20;root&#x20;login&#x20;is&#x20;disabled','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;ssh&#40;1&#41;.&#x20;The&#x20;default&#x20;is&#x20;no.','Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;server&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root&#x20;via&#x20;sudo&#x20;or&#x20;su.&#x20;This&#x20;in&#x20;turn&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no','[{\"cis\": [\"5.2.10\"]}, {\"cis_csc\": [\"4.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\"]}]'),(2653,'Ensure&#x20;SSH&#x20;PermitEmptyPasswords&#x20;is&#x20;disabled','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no','[{\"cis\": [\"5.2.11\"]}, {\"cis_csc\": [\"16.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\"]}]'),(2654,'Ensure&#x20;SSH&#x20;PermitUserEnvironment&#x20;is&#x20;disabled','The&#x20;PermitUserEnvironment&#x20;option&#x20;allows&#x20;users&#x20;to&#x20;present&#x20;environment&#x20;options&#x20;to&#x20;the&#x20;ssh&#x20;daemon.','Permitting&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;environment&#x20;variables&#x20;through&#x20;the&#x20;SSH&#x20;daemon&#x20;could&#x20;potentially&#x20;allow&#x20;users&#x20;to&#x20;bypass&#x20;security&#x20;controls&#x20;&#40;e.g.&#x20;setting&#x20;an&#x20;execution&#x20;path&#x20;that&#x20;has&#x20;ssh&#x20;executing&#x20;trojan&#039;d&#x20;programs&#41;','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitUserEnvironment&#x20;no','[{\"cis\": [\"5.2.12\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\", \"CC6.1\", \"CC7.2\"]}]'),(2655,'Ensure&#x20;only&#x20;strong&#x20;ciphers&#x20;are&#x20;used','This&#x20;variable&#x20;limits&#x20;the&#x20;ciphers&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.','Weak&#x20;ciphers&#x20;that&#x20;are&#x20;used&#x20;for&#x20;authentication&#x20;to&#x20;the&#x20;cryptographic&#x20;module&#x20;cannot&#x20;be&#x20;relied&#x20;upon&#x20;to&#x20;provide&#x20;confidentiality&#x20;or&#x20;integrity,&#x20;and&#x20;system&#x20;data&#x20;may&#x20;be&#x20;compromised&#x20;The&#x20;DES,&#x20;Triple&#x20;DES,&#x20;and&#x20;Blowfish&#x20;ciphers,&#x20;as&#x20;used&#x20;in&#x20;SSH,&#x20;have&#x20;a&#x20;birthday&#x20;bound&#x20;of&#x20;approximately&#x20;four&#x20;billion&#x20;blocks,&#x20;which&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;obtain&#x20;cleartext&#x20;data&#x20;via&#x20;a&#x20;birthday&#x20;attack&#x20;against&#x20;a&#x20;long-duration&#x20;encrypted&#x20;session,&#x20;aka&#x20;a&#x20;&quot;Sweet32&quot;&#x20;attack&#x20;The&#x20;RC4&#x20;algorithm,&#x20;as&#x20;used&#x20;in&#x20;the&#x20;TLS&#x20;protocol&#x20;and&#x20;SSL&#x20;protocol,&#x20;does&#x20;not&#x20;properly&#x20;combine&#x20;state&#x20;data&#x20;with&#x20;key&#x20;data&#x20;during&#x20;the&#x20;initialization&#x20;phase,&#x20;which&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;conduct&#x20;plaintext-recovery&#x20;attacks&#x20;against&#x20;the&#x20;initial&#x20;bytes&#x20;of&#x20;a&#x20;stream&#x20;by&#x20;sniffing&#x20;network&#x20;traffic&#x20;that&#x20;occasionally&#x20;relies&#x20;on&#x20;keys&#x20;affected&#x20;by&#x20;the&#x20;Invariance&#x20;Weakness,&#x20;and&#x20;then&#x20;using&#x20;a&#x20;brute-force&#x20;approach&#x20;involving&#x20;LSB&#x20;values,&#x20;aka&#x20;the&#x20;&quot;Bar&#x20;Mitzvah&quot;&#x20;issue&#x20;The&#x20;passwords&#x20;used&#x20;during&#x20;an&#x20;SSH&#x20;session&#x20;encrypted&#x20;with&#x20;RC4&#x20;can&#x20;be&#x20;recovered&#x20;by&#x20;an&#x20;attacker&#x20;who&#x20;is&#x20;able&#x20;to&#x20;capture&#x20;and&#x20;replay&#x20;the&#x20;session&#x20;Error&#x20;handling&#x20;in&#x20;the&#x20;SSH&#x20;protocol;&#x20;Client&#x20;and&#x20;Server,&#x20;when&#x20;using&#x20;a&#x20;block&#x20;cipher&#x20;algorithm&#x20;in&#x20;Cipher&#x20;Block&#x20;Chaining&#x20;&#40;CBC&#41;&#x20;mode,&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;recover&#x20;certain&#x20;plaintext&#x20;data&#x20;from&#x20;an&#x20;arbitrary&#x20;block&#x20;of&#x20;ciphertext&#x20;in&#x20;an&#x20;SSH&#x20;session&#x20;via&#x20;unknown&#x20;vectors&#x20;The&#x20;mm_newkeys_from_blob&#x20;function&#x20;in&#x20;monitor_wrap.c,&#x20;when&#x20;an&#x20;AES-GCM&#x20;cipher&#x20;is&#x20;used,&#x20;does&#x20;not&#x20;properly&#x20;initialize&#x20;memory&#x20;for&#x20;a&#x20;MAC&#x20;context&#x20;data&#x20;structure,&#x20;which&#x20;allows&#x20;remote&#x20;authenticated&#x20;users&#x20;to&#x20;bypass&#x20;intended&#x20;ForceCommand&#x20;and&#x20;login-shell&#x20;restrictions&#x20;via&#x20;packet&#x20;data&#x20;that&#x20;provides&#x20;a&#x20;crafted&#x20;callback&#x20;address','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;add/modify&#x20;the&#x20;Ciphers&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;ciphers&#x20;Example:&#x20;Ciphers&#x20;chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr','[{\"cis\": [\"5.2.13\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\", \"CC6.1\", \"CC7.2\"]}]'),(2656,'Ensure&#x20;only&#x20;strong&#x20;MAC&#x20;algorithms&#x20;are&#x20;used','This&#x20;variable&#x20;limits&#x20;the&#x20;types&#x20;of&#x20;MAC&#x20;algorithms&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.','MD5&#x20;and&#x20;96-bit&#x20;MAC&#x20;algorithms&#x20;are&#x20;considered&#x20;weak&#x20;and&#x20;have&#x20;been&#x20;shown&#x20;to&#x20;increase&#x20;exploitability&#x20;in&#x20;SSH&#x20;downgrade&#x20;attacks.&#x20;Weak&#x20;algorithms&#x20;continue&#x20;to&#x20;have&#x20;a&#x20;great&#x20;deal&#x20;of&#x20;attention&#x20;as&#x20;a&#x20;weak&#x20;spot&#x20;that&#x20;can&#x20;be&#x20;exploited&#x20;with&#x20;expanded&#x20;computing&#x20;power.&#x20;An&#x20;attacker&#x20;that&#x20;breaks&#x20;the&#x20;algorithm&#x20;could&#x20;take&#x20;advantage&#x20;of&#x20;a&#x20;MiTM&#x20;position&#x20;to&#x20;decrypt&#x20;the&#x20;SSH&#x20;tunnel&#x20;and&#x20;capture&#x20;credentials&#x20;and&#x20;information','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;and&#x20;add/modify&#x20;the&#x20;MACs&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;MACs&#x20;Example:&#x20;MACs&#x20;hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256','[{\"cis\": [\"5.2.14\"]}, {\"cis_csc\": [\"14.4\", \"16.5\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\", \"CC6.1\", \"CC7.2\"]}]'),(2657,'Ensure&#x20;only&#x20;strong&#x20;Key&#x20;Exchange&#x20;algorithms&#x20;are&#x20;used','Key&#x20;exchange&#x20;is&#x20;any&#x20;method&#x20;in&#x20;cryptography&#x20;by&#x20;which&#x20;cryptographic&#x20;keys&#x20;are&#x20;exchanged&#x20;between&#x20;two&#x20;parties,&#x20;allowing&#x20;use&#x20;of&#x20;a&#x20;cryptographic&#x20;algorithm.&#x20;If&#x20;the&#x20;sender&#x20;and&#x20;receiver&#x20;wish&#x20;to&#x20;exchange&#x20;encrypted&#x20;messages,&#x20;each&#x20;must&#x20;be&#x20;equipped&#x20;to&#x20;encrypt&#x20;messages&#x20;to&#x20;be&#x20;sent&#x20;and&#x20;decrypt&#x20;messages&#x20;received','Key&#x20;exchange&#x20;methods&#x20;that&#x20;are&#x20;considered&#x20;weak&#x20;should&#x20;be&#x20;removed.&#x20;A&#x20;key&#x20;exchange&#x20;method&#x20;may&#x20;be&#x20;weak&#x20;because&#x20;too&#x20;few&#x20;bits&#x20;are&#x20;used,&#x20;or&#x20;the&#x20;hashing&#x20;algorithm&#x20;is&#x20;considered&#x20;too&#x20;weak.&#x20;Using&#x20;weak&#x20;algorithms&#x20;could&#x20;expose&#x20;connections&#x20;to&#x20;man-in-the-middle&#x20;attacks','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;add/modify&#x20;the&#x20;KexAlgorithms&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;key&#x20;exchange&#x20;algorithms&#x20;Example:&#x20;KexAlgorithms&#x20;curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256','[{\"cis\": [\"5.2.15\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.7\", \"CC6.1\", \"CC7.2\"]}]'),(2658,'Ensure&#x20;SSH&#x20;Idle&#x20;Timeout&#x20;Interval&#x20;is&#x20;configured','The&#x20;two&#x20;options&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax&#x20;control&#x20;the&#x20;timeout&#x20;of&#x20;ssh&#x20;sessions.&#x20;When&#x20;the&#x20;ClientAliveInterval&#x20;variable&#x20;is&#x20;set,&#x20;ssh&#x20;sessions&#x20;that&#x20;have&#x20;no&#x20;activity&#x20;for&#x20;the&#x20;specified&#x20;length&#x20;of&#x20;time&#x20;are&#x20;terminated.&#x20;When&#x20;the&#x20;ClientAliveCountMax&#x20;variable&#x20;is&#x20;set,&#x20;sshd&#x20;will&#x20;send&#x20;client&#x20;alive&#x20;messages&#x20;at&#x20;every&#x20;ClientAliveInterval&#x20;interval.&#x20;When&#x20;the&#x20;number&#x20;of&#x20;consecutive&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;sent&#x20;with&#x20;no&#x20;response&#x20;from&#x20;the&#x20;client,&#x20;the&#x20;ssh&#x20;session&#x20;is&#x20;terminated.&#x20;For&#x20;example,&#x20;if&#x20;the&#x20;ClientAliveInterval&#x20;is&#x20;set&#x20;to&#x20;15&#x20;seconds&#x20;and&#x20;the&#x20;ClientAliveCountMax&#x20;is&#x20;set&#x20;to&#x20;3,&#x20;the&#x20;client&#x20;ssh&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;45&#x20;seconds&#x20;of&#x20;idle&#x20;time.','Having&#x20;no&#x20;timeout&#x20;value&#x20;associated&#x20;with&#x20;a&#x20;connection&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;ssh&#x20;session&#x20;&#40;e.g.&#x20;user&#x20;walks&#x20;away&#x20;from&#x20;their&#x20;computer&#x20;and&#x20;doesn&#039;t&#x20;lock&#x20;the&#x20;screen&#41;.&#x20;Setting&#x20;a&#x20;timeout&#x20;value&#x20;at&#x20;least&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;this&#x20;happening.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;300&#x20;seconds&#x20;&#40;5&#x20;minutes&#41;,&#x20;set&#x20;this&#x20;timeout&#x20;value&#x20;based&#x20;on&#x20;site&#x20;policy.&#x20;The&#x20;recommended&#x20;setting&#x20;for&#x20;ClientAliveCountMax&#x20;is&#x20;0.&#x20;In&#x20;this&#x20;case,&#x20;the&#x20;client&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;5&#x20;minutes&#x20;of&#x20;idle&#x20;time&#x20;and&#x20;no&#x20;keepalive&#x20;messages&#x20;will&#x20;be&#x20;sent.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameters&#x20;according&#x20;to&#x20;site&#x20;policy:&#x20;ClientAliveInterval&#x20;300&#x20;&#x20;&#x20;&#x20;ClientAliveCountMax&#x20;0','[{\"cis\": [\"5.2.16\"]}, {\"cis_csc\": [\"16.11\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(2659,'Ensure&#x20;SSH&#x20;LoginGraceTime&#x20;is&#x20;set&#x20;to&#x20;one&#x20;minute&#x20;or&#x20;less','The&#x20;LoginGraceTime&#x20;parameter&#x20;specifies&#x20;the&#x20;time&#x20;allowed&#x20;for&#x20;successful&#x20;authentication&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;The&#x20;longer&#x20;the&#x20;Grace&#x20;period&#x20;is&#x20;the&#x20;more&#x20;open&#x20;unauthenticated&#x20;connections&#x20;can&#x20;exist.&#x20;Like&#x20;other&#x20;session&#x20;controls&#x20;in&#x20;this&#x20;session&#x20;the&#x20;Grace&#x20;Period&#x20;should&#x20;be&#x20;limited&#x20;to&#x20;appropriate&#x20;organizational&#x20;limits&#x20;to&#x20;ensure&#x20;the&#x20;service&#x20;is&#x20;available&#x20;for&#x20;needed&#x20;access.','Setting&#x20;the&#x20;LoginGraceTime&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;It&#x20;will&#x20;also&#x20;limit&#x20;the&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;60&#x20;seconds&#x20;&#40;1&#x20;Minute&#41;,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LoginGraceTime&#x20;60','[{\"cis\": [\"5.2.17\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"8.1\"]}, {\"tsc\": [\"CC6.1\"]}]'),(2660,'Ensure&#x20;SSH&#x20;access&#x20;is&#x20;limited','There&#x20;are&#x20;several&#x20;options&#x20;available&#x20;to&#x20;limit&#x20;which&#x20;users&#x20;and&#x20;group&#x20;can&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;at&#x20;least&#x20;one&#x20;of&#x20;the&#x20;following&#x20;options&#x20;be&#x20;leveraged:&#x20;AllowUsers,&#x20;AllowGroups,&#x20;DenyUsers,&#x20;DenyGroups.','Restricting&#x20;which&#x20;users&#x20;can&#x20;remotely&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH&#x20;will&#x20;help&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;users&#x20;access&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;one&#x20;or&#x20;more&#x20;of&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowUsers&#x20;&lt;userlist&gt;&#x20;&#x20;&#x20;&#x20;AllowGroups&#x20;&lt;grouplist&gt;&#x20;&#x20;&#x20;&#x20;DenyUsers&#x20;&lt;userlist&gt;&#x20;&#x20;&#x20;&#x20;DenyGroups&#x20;&lt;grouplist&gt;','[{\"cis\": [\"5.2.18\"]}, {\"cis_csc\": [\"4.3\"]}, {\"pci_dss\": [\"8.1\"]}, {\"tsc\": [\"CC6.1\"]}]'),(2661,'Ensure&#x20;SSH&#x20;warning&#x20;banner&#x20;is&#x20;configured','The&#x20;Banner&#x20;parameter&#x20;specifies&#x20;a&#x20;file&#x20;whose&#x20;contents&#x20;must&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;remote&#x20;user&#x20;before&#x20;authentication&#x20;is&#x20;permitted.&#x20;By&#x20;default,&#x20;no&#x20;banner&#x20;is&#x20;displayed.','Banners&#x20;are&#x20;used&#x20;to&#x20;warn&#x20;connecting&#x20;users&#x20;of&#x20;the&#x20;particular&#x20;site&#039;s&#x20;policy&#x20;regarding&#x20;connection.&#x20;Presenting&#x20;a&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;login&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Banner&#x20;/etc/issue.net','[{\"cis\": [\"5.2.19\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2662,'Ensure&#x20;SSH&#x20;PAM&#x20;is&#x20;enabled','UsePAM&#x20;Enables&#x20;the&#x20;Pluggable&#x20;Authentication&#x20;Module&#x20;interface.&#x20;If&#x20;set&#x20;to&#x20;&ldquo;yes&rdquo;&#x20;this&#x20;will&#x20;enable&#x20;PAM&#x20;authentication&#x20;using&#x20;ChallengeResponseAuthentication&#x20;and&#x20;PasswordAuthentication&#x20;in&#x20;addition&#x20;to&#x20;PAM&#x20;account&#x20;and&#x20;session&#x20;module&#x20;processing&#x20;for&#x20;all&#x20;authentication&#x20;types.','When&#x20;usePAM&#x20;is&#x20;set&#x20;to&#x20;yes,&#x20;PAM&#x20;runs&#x20;through&#x20;account&#x20;and&#x20;session&#x20;types&#x20;properly.&#x20;This&#x20;is&#x20;important&#x20;if&#x20;you&#x20;want&#x20;to&#x20;restrict&#x20;access&#x20;to&#x20;services&#x20;based&#x20;off&#x20;of&#x20;IP,&#x20;time&#x20;or&#x20;other&#x20;factors&#x20;of&#x20;the&#x20;account.&#x20;Additionally,&#x20;you&#x20;can&#x20;make&#x20;sure&#x20;users&#x20;inherit&#x20;certain&#x20;environment&#x20;variables&#x20;on&#x20;login&#x20;or&#x20;disallow&#x20;access&#x20;to&#x20;the&#x20;server.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;UsePAM&#x20;yes','[{\"cis\": [\"5.2.20\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2663,'Ensure&#x20;SSH&#x20;AllowTcpForwarding&#x20;is&#x20;disabled','SSH&#x20;port&#x20;forwarding&#x20;is&#x20;a&#x20;mechanism&#x20;in&#x20;SSH&#x20;for&#x20;tunneling&#x20;application&#x20;ports&#x20;from&#x20;the&#x20;client&#x20;to&#x20;the&#x20;server,&#x20;or&#x20;servers&#x20;to&#x20;clients.&#x20;It&#x20;can&#x20;be&#x20;used&#x20;for&#x20;adding&#x20;encryption&#x20;to&#x20;legacy&#x20;applications,&#x20;going&#x20;through&#x20;firewalls,&#x20;and&#x20;some&#x20;system&#x20;administrators&#x20;and&#x20;IT&#x20;professionals&#x20;use&#x20;it&#x20;for&#x20;opening&#x20;backdoors&#x20;into&#x20;the&#x20;internal&#x20;network&#x20;from&#x20;their&#x20;home&#x20;machines.','Leaving&#x20;port&#x20;forwarding&#x20;enabled&#x20;can&#x20;expose&#x20;the&#x20;organization&#x20;to&#x20;security&#x20;risks&#x20;and&#x20;back-doors.&#x20;SSH&#x20;connections&#x20;are&#x20;protected&#x20;with&#x20;strong&#x20;encryption.&#x20;This&#x20;makes&#x20;their&#x20;contents&#x20;invisible&#x20;to&#x20;most&#x20;deployed&#x20;network&#x20;monitoring&#x20;and&#x20;traffic&#x20;filtering&#x20;solutions.&#x20;This&#x20;invisibility&#x20;carries&#x20;considerable&#x20;risk&#x20;potential&#x20;if&#x20;it&#x20;is&#x20;used&#x20;for&#x20;malicious&#x20;purposes&#x20;such&#x20;as&#x20;data&#x20;exfiltration.&#x20;Cybercriminals&#x20;or&#x20;malware&#x20;could&#x20;exploit&#x20;SSH&#x20;to&#x20;hide&#x20;their&#x20;unauthorized&#x20;communications,&#x20;or&#x20;to&#x20;exfiltrate&#x20;stolen&#x20;data&#x20;from&#x20;the&#x20;target&#x20;network.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowTcpForwarding&#x20;no','[{\"cis\": [\"5.2.21\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(2664,'Ensure&#x20;SSH&#x20;MaxStartups&#x20;is&#x20;configured','The&#x20;MaxStartups&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;to&#x20;the&#x20;SSH&#x20;daemon.','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;pending&#x20;authentication&#x20;connection&#x20;attempts,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxStartups&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;maxstartups&#x20;10:30:60','[{\"cis\": [\"5.2.22\"]}, {\"cis_csc\": [\"5.1\"]}]'),(2665,'Ensure&#x20;SSH&#x20;MaxSessions&#x20;is&#x20;limited','The&#x20;MaxSessions&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;open&#x20;sessions&#x20;permitted&#x20;from&#x20;a&#x20;given&#x20;connection.','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;concurrent&#x20;sessions,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxSessions&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxSessions&#x20;10','[{\"cis\": [\"5.2.19\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2666,'Ensure&#x20;password&#x20;creation&#x20;requirements&#x20;are&#x20;configured','The&#x20;pam_pwquality.so&#x20;module&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more.&#x20;The&#x20;following&#x20;are&#x20;definitions&#x20;of&#x20;the&#x20;pam_pwquality.so&#x20;options:&#x20;-&#x20;retry=3&#x20;&#40;Allow&#x20;3&#x20;tries&#x20;before&#x20;sending&#x20;back&#x20;a&#x20;failure&#41;.&#x20;The&#x20;following&#x20;options&#x20;are&#x20;set&#x20;in&#x20;the&#x20;/etc/security/pwquality.conf&#x20;file:&#x20;-&#x20;minlen&#x20;=&#x20;14&#x20;dcredit&#x20;=&#x20;-1&#x20;ucredit&#x20;=&#x20;-1&#x20;ocredit&#x20;=&#x20;-1&#x20;lcredit&#x20;=&#x20;-1&#x20;&#40;The&#x20;settings&#x20;shown&#x20;above&#x20;are&#x20;one&#x20;possible&#x20;policy.&#x20;Alter&#x20;these&#x20;values&#x20;to&#x20;conform&#x20;to&#x20;your&#x20;own&#x20;organization&#039;s&#x20;password&#x20;policies.&#41;','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','1&#41;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;the&#x20;pam_pwquality&#x20;module:&#x20;apt&#x20;install&#x20;libpam-pwquality&#x20;2&#41;&#x20;Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;file&#x20;to&#x20;include&#x20;the&#x20;appropriate&#x20;options&#x20;for&#x20;pam_pwquality.so&#x20;and&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;password&#x20;requisite&#x20;pam_pwquality.so&#x20;retry=3&#x20;3&#41;&#x20;Edit&#x20;/etc/security/pwquality.conf&#x20;to&#x20;add&#x20;or&#x20;update&#x20;the&#x20;following&#x20;settings&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minlen&#x20;=&#x20;14&#x20;dcredit&#x20;=&#x20;-1&#x20;ucredit&#x20;=&#x20;-1&#x20;ocredit&#x20;=&#x20;-1&#x20;lcredit&#x20;=&#x20;-1.&#x20;Notes:&#x20;Additional&#x20;module&#x20;options&#x20;may&#x20;be&#x20;set,&#x20;recommendation&#x20;requirements&#x20;only&#x20;cover&#x20;including&#x20;try_first_pass&#x20;and&#x20;minlen&#x20;set&#x20;to&#x20;14&#x20;or&#x20;more.&#x20;Settings&#x20;in&#x20;/etc/security/pwquality.conf&#x20;must&#x20;use&#x20;spaces&#x20;around&#x20;the&#x20;=&#x20;symbol.','[{\"cis\": [\"5.3.1\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2.3\"]}, {\"tsc\": [\"CC6.1\"]}]'),(2667,'Ensure&#x20;lockout&#x20;for&#x20;failed&#x20;password&#x20;attempts&#x20;is&#x20;configured','Lock&#x20;out&#x20;users&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts.&#x20;The&#x20;first&#x20;sets&#x20;of&#x20;changes&#x20;are&#x20;made&#x20;to&#x20;the&#x20;PAM&#x20;configuration&#x20;files.&#x20;The&#x20;second&#x20;set&#x20;of&#x20;changes&#x20;are&#x20;applied&#x20;to&#x20;the&#x20;program&#x20;specific&#x20;PAM&#x20;configuration&#x20;file.&#x20;The&#x20;second&#x20;set&#x20;of&#x20;changes&#x20;must&#x20;be&#x20;applied&#x20;to&#x20;each&#x20;program&#x20;that&#x20;will&#x20;lock&#x20;out&#x20;users.&#x20;Check&#x20;the&#x20;documentation&#x20;for&#x20;each&#x20;secondary&#x20;program&#x20;for&#x20;instructions&#x20;on&#x20;how&#x20;to&#x20;configure&#x20;them&#x20;to&#x20;work&#x20;with&#x20;PAM.&#x20;Set&#x20;the&#x20;lockout&#x20;number&#x20;to&#x20;the&#x20;policy&#x20;in&#x20;effect&#x20;at&#x20;your&#x20;site.','Locking&#x20;out&#x20;user&#x20;IDs&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts&#x20;mitigates&#x20;brute&#x20;force&#x20;password&#x20;attacks&#x20;against&#x20;your&#x20;systems.','','Edit&#x20;the&#x20;/etc/pam.d/common-auth&#x20;file&#x20;and&#x20;add&#x20;the&#x20;auth&#x20;line&#x20;below:&#x20;auth&#x20;required&#x20;pam_tally2.so&#x20;onerr=fail&#x20;audit&#x20;silent&#x20;deny=5&#x20;unlock_time=900.&#x20;Edit&#x20;the&#x20;/etc/pam.d/common-account&#x20;file&#x20;and&#x20;add&#x20;the&#x20;account&#x20;lines&#x20;below:&#x20;account&#x20;&#x20;&#x20;&#x20;requisite&#x20;&#x20;&#x20;&#x20;pam_deny.so&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;account&#x20;&#x20;&#x20;&#x20;required&#x20;&#x20;&#x20;&#x20;pam_tally2.so.&#x20;Note:&#x20;If&#x20;a&#x20;user&#x20;has&#x20;been&#x20;locked&#x20;out&#x20;because&#x20;they&#x20;have&#x20;reached&#x20;the&#x20;maximum&#x20;consecutive&#x20;failure&#x20;count&#x20;defined&#x20;by&#x20;deny=&#x20;in&#x20;the&#x20;pam_tally2.so&#x20;module,&#x20;the&#x20;user&#x20;can&#x20;be&#x20;unlocked&#x20;by&#x20;issuing&#x20;the&#x20;command&#x20;/sbin/pam_tally2&#x20;-u&#x20;&lt;username&gt;&#x20;--reset.&#x20;This&#x20;command&#x20;sets&#x20;the&#x20;failed&#x20;count&#x20;to&#x20;0,&#x20;effectively&#x20;unlocking&#x20;the&#x20;user.&#x20;Notes:BUG&#x20;In&#x20;pam_tally2.so&#x20;To&#x20;work&#x20;around&#x20;this&#x20;issue&#x20;the&#x20;addition&#x20;of&#x20;pam_tally2.so&#x20;in&#x20;the&#x20;accounts&#x20;section&#x20;of&#x20;the&#x20;/etc/pam.d/common-account&#x20;file&#x20;has&#x20;been&#x20;added&#x20;to&#x20;the&#x20;audit&#x20;and&#x20;remediation&#x20;sections.&#x20;pam_tally2&#x20;line&#x20;must&#x20;be&#x20;added&#x20;for&#x20;the&#x20;counter&#x20;to&#x20;reset&#x20;to&#x20;0&#x20;when&#x20;using&#x20;sudo.&#x20;&#x20;&#x20;&#x20;&#x20;Use&#x20;of&#x20;the&#x20;&quot;audit&quot;&#x20;keyword&#x20;may&#x20;log&#x20;credentials&#x20;in&#x20;the&#x20;case&#x20;of&#x20;user&#x20;error&#x20;during&#x20;authentication.&#x20;This&#x20;risk&#x20;should&#x20;be&#x20;evaluated&#x20;in&#x20;the&#x20;context&#x20;of&#x20;the&#x20;site&#x20;policies&#x20;of&#x20;your&#x20;organization.','[{\"cis\": [\"5.3.2\"]}, {\"cis_csc\": [\"16.7\"]}, {\"pci_dss\": [\"8.2.5\"]}, {\"tsc\": [\"CC6.1\"]}]'),(2668,'Ensure&#x20;password&#x20;reuse&#x20;is&#x20;limited','The&#x20;/etc/security/opasswd&#x20;file&#x20;stores&#x20;the&#x20;users&#039;&#x20;old&#x20;passwords&#x20;and&#x20;can&#x20;be&#x20;checked&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;are&#x20;not&#x20;recycling&#x20;recent&#x20;passwords.','Forcing&#x20;users&#x20;not&#x20;to&#x20;reuse&#x20;their&#x20;past&#x20;5&#x20;passwords&#x20;make&#x20;it&#x20;less&#x20;likely&#x20;that&#x20;an&#x20;attacker&#x20;will&#x20;be&#x20;able&#x20;to&#x20;guess&#x20;the&#x20;password.&#x20;Note&#x20;that&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;file&#x20;to&#x20;include&#x20;the&#x20;remember&#x20;option&#x20;and&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;as&#x20;shown:&#x20;password&#x20;required&#x20;pam_pwhistory.so&#x20;remember=5.&#x20;Notes:&#x20;Additional&#x20;module&#x20;options&#x20;may&#x20;be&#x20;set,&#x20;recommendation&#x20;only&#x20;covers&#x20;those&#x20;listed&#x20;here.','[{\"cis\": [\"5.3.3\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2.5\"]}, {\"tsc\": [\"CC6.1\"]}]'),(2669,'Ensure&#x20;password&#x20;hashing&#x20;algorithm&#x20;is&#x20;SHA-512','The&#x20;commands&#x20;below&#x20;change&#x20;password&#x20;encryption&#x20;from&#x20;md5&#x20;to&#x20;sha512&#x20;&#40;a&#x20;much&#x20;stronger&#x20;hashing&#x20;algorithm&#41;.&#x20;All&#x20;existing&#x20;accounts&#x20;will&#x20;need&#x20;to&#x20;perform&#x20;a&#x20;password&#x20;change&#x20;to&#x20;upgrade&#x20;the&#x20;stored&#x20;hashes&#x20;to&#x20;the&#x20;new&#x20;algorithm.','The&#x20;SHA-512&#x20;algorithm&#x20;provides&#x20;much&#x20;stronger&#x20;hashing&#x20;than&#x20;MD5,&#x20;thus&#x20;providing&#x20;additional&#x20;protection&#x20;to&#x20;the&#x20;system&#x20;by&#x20;increasing&#x20;the&#x20;level&#x20;of&#x20;effort&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;successfully&#x20;determine&#x20;passwords.&#x20;Note&#x20;that&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;file&#x20;to&#x20;include&#x20;the&#x20;sha512&#x20;option&#x20;for&#x20;pam_unix.so&#x20;as&#x20;shown:&#x20;password&#x20;[success=1&#x20;default=ignore]&#x20;pam_unix.so&#x20;sha512','[{\"cis\": [\"5.3.4\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"3.6.1\", \"8.2.1\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\"]}]'),(2670,'Ensure&#x20;password&#x20;expiration&#x20;is&#x20;365&#x20;days&#x20;or&#x20;less','The&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;force&#x20;passwords&#x20;to&#x20;expire&#x20;once&#x20;they&#x20;reach&#x20;a&#x20;defined&#x20;age.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;less&#x20;than&#x20;or&#x20;equal&#x20;to&#x20;365&#x20;days.','The&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;leverage&#x20;compromised&#x20;credentials&#x20;or&#x20;successfully&#x20;compromise&#x20;credentials&#x20;via&#x20;an&#x20;online&#x20;brute&#x20;force&#x20;attack&#x20;is&#x20;limited&#x20;by&#x20;the&#x20;age&#x20;of&#x20;the&#x20;password.&#x20;Therefore,&#x20;reducing&#x20;the&#x20;maximum&#x20;age&#x20;of&#x20;a&#x20;password&#x20;also&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;window&#x20;of&#x20;opportunity.','','Set&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;in&#x20;/etc/login.defs:&#x20;PASS_MAX_DAYS&#x20;90.&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--maxdays&#x20;90&#x20;&lt;user&gt;.&#x20;Notes:&#x20;You&#x20;can&#x20;also&#x20;check&#x20;this&#x20;setting&#x20;in&#x20;/etc/shadow&#x20;directly.&#x20;The&#x20;5th&#x20;field&#x20;should&#x20;be&#x20;365&#x20;or&#x20;less&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password.&#x20;A&#x20;value&#x20;of&#x20;-1&#x20;will&#x20;disable&#x20;password&#x20;expiration.&#x20;Additionally&#x20;the&#x20;password&#x20;expiration&#x20;must&#x20;be&#x20;greater&#x20;than&#x20;the&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;or&#x20;users&#x20;will&#x20;be&#x20;unable&#x20;to&#x20;change&#x20;their&#x20;password.','[{\"cis\": [\"5.4.1.1\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2.4\"]}, {\"tsc\": [\"CC6.1\"]}]'),(2671,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;7&#x20;or&#x20;more','The&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;changing&#x20;their&#x20;password&#x20;until&#x20;a&#x20;minimum&#x20;number&#x20;of&#x20;days&#x20;have&#x20;passed&#x20;since&#x20;the&#x20;last&#x20;time&#x20;the&#x20;user&#x20;changed&#x20;their&#x20;password.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','By&#x20;restricting&#x20;the&#x20;frequency&#x20;of&#x20;password&#x20;changes,&#x20;an&#x20;administrator&#x20;can&#x20;prevent&#x20;users&#x20;from&#x20;repeatedly&#x20;changing&#x20;their&#x20;password&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;circumvent&#x20;password&#x20;reuse&#x20;controls.','','Set&#x20;the&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_MIN_DAYS&#x20;7.&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--mindays&#x20;7&#x20;&lt;user&gt;.&#x20;Notes:&#x20;You&#x20;can&#x20;also&#x20;check&#x20;this&#x20;setting&#x20;in&#x20;/etc/shadow&#x20;directly.&#x20;The&#x20;4th&#x20;field&#x20;should&#x20;be&#x20;7&#x20;or&#x20;more&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password.','[{\"cis\": [\"5.4.1.2\"]}, {\"cis_csc\": [\"4.4\", \"16\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(2672,'Ensure&#x20;password&#x20;expiration&#x20;warning&#x20;days&#x20;is&#x20;7&#x20;or&#x20;more','The&#x20;PASS_WARN_AGE&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;notify&#x20;users&#x20;that&#x20;their&#x20;password&#x20;will&#x20;expire&#x20;in&#x20;a&#x20;defined&#x20;number&#x20;of&#x20;days.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','Providing&#x20;an&#x20;advance&#x20;warning&#x20;that&#x20;a&#x20;password&#x20;will&#x20;be&#x20;expiring&#x20;gives&#x20;users&#x20;time&#x20;to&#x20;think&#x20;of&#x20;a&#x20;secure&#x20;password.&#x20;Users&#x20;caught&#x20;unaware&#x20;may&#x20;choose&#x20;a&#x20;simple&#x20;password&#x20;or&#x20;write&#x20;it&#x20;down&#x20;where&#x20;it&#x20;may&#x20;be&#x20;discovered.','','Set&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_WARN_AGE&#x20;7.&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--warndays&#x20;7&#x20;&lt;user&gt;.&#x20;Notes:&#x20;You&#x20;can&#x20;also&#x20;check&#x20;this&#x20;setting&#x20;in&#x20;/etc/shadow&#x20;directly.&#x20;The&#x20;6th&#x20;field&#x20;should&#x20;be&#x20;7&#x20;or&#x20;more&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password.','[{\"cis\": [\"5.4.1.3\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(2673,'Ensure&#x20;inactive&#x20;password&#x20;lock&#x20;is&#x20;30&#x20;days&#x20;or&#x20;less','User&#x20;accounts&#x20;that&#x20;have&#x20;been&#x20;inactive&#x20;for&#x20;over&#x20;a&#x20;given&#x20;period&#x20;of&#x20;time&#x20;can&#x20;be&#x20;automatically&#x20;disabled.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;accounts&#x20;that&#x20;are&#x20;inactive&#x20;for&#x20;30&#x20;days&#x20;after&#x20;password&#x20;expiration&#x20;be&#x20;disabled.','Inactive&#x20;accounts&#x20;pose&#x20;a&#x20;threat&#x20;to&#x20;system&#x20;security&#x20;since&#x20;the&#x20;users&#x20;are&#x20;not&#x20;logging&#x20;in&#x20;to&#x20;notice&#x20;failed&#x20;login&#x20;attempts&#x20;or&#x20;other&#x20;anomalies.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;default&#x20;password&#x20;inactivity&#x20;period&#x20;to&#x20;30&#x20;days:&#x20;#&#x20;useradd&#x20;-D&#x20;-f&#x20;30.&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--inactive&#x20;30&#x20;&lt;user&gt;.&#x20;Notes:&#x20;You&#x20;can&#x20;also&#x20;check&#x20;this&#x20;setting&#x20;in&#x20;/etc/shadow&#x20;directly.&#x20;The&#x20;7th&#x20;field&#x20;should&#x20;be&#x20;30&#x20;or&#x20;less&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password.&#x20;A&#x20;value&#x20;of&#x20;-1&#x20;would&#x20;disable&#x20;this&#x20;setting.','[{\"cis\": [\"5.4.1.4\"]}, {\"cis_csc\": [\"4.4\", \"16\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(2674,'Ensure&#x20;default&#x20;group&#x20;for&#x20;the&#x20;root&#x20;account&#x20;is&#x20;GID&#x20;0','The&#x20;usermod&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;specify&#x20;which&#x20;group&#x20;the&#x20;root&#x20;user&#x20;belongs&#x20;to.&#x20;This&#x20;affects&#x20;permissions&#x20;of&#x20;files&#x20;that&#x20;are&#x20;created&#x20;by&#x20;the&#x20;root&#x20;user.','Using&#x20;GID&#x20;0&#x20;for&#x20;the&#x20;root&#x20;account&#x20;helps&#x20;prevent&#x20;root-owned&#x20;files&#x20;from&#x20;accidentally&#x20;becoming&#x20;accessible&#x20;to&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;root&#x20;user&#x20;default&#x20;group&#x20;to&#x20;GID&#x20;0:&#x20;#&#x20;usermod&#x20;-g&#x20;0&#x20;root','[{\"cis\": [\"5.4.3\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(2675,'Ensure&#x20;default&#x20;user&#x20;umask&#x20;is&#x20;027&#x20;or&#x20;more&#x20;restrictive','The&#x20;default&#x20;umask&#x20;determines&#x20;the&#x20;permissions&#x20;of&#x20;files&#x20;created&#x20;by&#x20;users.&#x20;The&#x20;user&#x20;creating&#x20;the&#x20;file&#x20;has&#x20;the&#x20;discretion&#x20;of&#x20;making&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;others&#x20;via&#x20;the&#x20;chmod&#x20;command.&#x20;Users&#x20;who&#x20;wish&#x20;to&#x20;allow&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;to&#x20;be&#x20;readable&#x20;by&#x20;others&#x20;by&#x20;default&#x20;may&#x20;choose&#x20;a&#x20;different&#x20;default&#x20;umask&#x20;by&#x20;inserting&#x20;the&#x20;umask&#x20;command&#x20;into&#x20;the&#x20;standard&#x20;shell&#x20;configuration&#x20;files&#x20;&#40;&#x20;.profile&#x20;,&#x20;.bashrc&#x20;,&#x20;etc.&#41;&#x20;in&#x20;their&#x20;home&#x20;directories.','Setting&#x20;a&#x20;very&#x20;secure&#x20;default&#x20;value&#x20;for&#x20;umask&#x20;ensures&#x20;that&#x20;users&#x20;make&#x20;a&#x20;conscious&#x20;choice&#x20;about&#x20;their&#x20;file&#x20;permissions.&#x20;A&#x20;default&#x20;umask&#x20;setting&#x20;of&#x20;077&#x20;causes&#x20;files&#x20;and&#x20;directories&#x20;created&#x20;by&#x20;users&#x20;to&#x20;not&#x20;be&#x20;readable&#x20;by&#x20;any&#x20;other&#x20;user&#x20;on&#x20;the&#x20;system.&#x20;A&#x20;umask&#x20;of&#x20;027&#x20;would&#x20;make&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;users&#x20;in&#x20;the&#x20;same&#x20;Unix&#x20;group,&#x20;while&#x20;a&#x20;umask&#x20;of&#x20;022&#x20;would&#x20;make&#x20;files&#x20;readable&#x20;by&#x20;every&#x20;user&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/bash.bashrc&#x20;,&#x20;/etc/profile&#x20;and&#x20;/etc/profile.d&#47;&#42;.sh&#x20;files&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;any&#x20;umask&#x20;parameters&#x20;as&#x20;follows:&#x20;umask&#x20;027','[{\"cis\": [\"5.4.4\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(2676,'Ensure&#x20;default&#x20;user&#x20;shell&#x20;timeout&#x20;is&#x20;900&#x20;seconds&#x20;or&#x20;less','The&#x20;default&#x20;TMOUT&#x20;determines&#x20;the&#x20;shell&#x20;timeout&#x20;for&#x20;users.&#x20;The&#x20;TMOUT&#x20;value&#x20;is&#x20;measured&#x20;in&#x20;seconds.','Having&#x20;no&#x20;timeout&#x20;value&#x20;associated&#x20;with&#x20;a&#x20;shell&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;shell&#x20;session&#x20;&#40;e.g.&#x20;user&#x20;walks&#x20;away&#x20;from&#x20;their&#x20;computer&#x20;and&#x20;doesn&#039;t&#x20;lock&#x20;the&#x20;screen&#41;.&#x20;Setting&#x20;a&#x20;timeout&#x20;value&#x20;at&#x20;least&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;this&#x20;happening.','','Edit&#x20;the&#x20;/etc/bash.bashrc&#x20;,&#x20;/etc/profile&#x20;and&#x20;/etc/profile.d&#47;&#42;.sh&#x20;files&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;any&#x20;umask&#x20;parameters&#x20;as&#x20;follows:&#x20;readonly&#x20;TMOUT=900&#x20;;&#x20;export&#x20;TMOUT&#x20;.&#x20;Note&#x20;that&#x20;setting&#x20;the&#x20;value&#x20;to&#x20;readonly&#x20;prevents&#x20;unwanted&#x20;modification&#x20;during&#x20;runtime.','[{\"cis\": [\"5.4.5\"]}, {\"cis_csc\": [\"16.11\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(2677,'Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted','The&#x20;su&#x20;command&#x20;allows&#x20;a&#x20;user&#x20;to&#x20;run&#x20;a&#x20;command&#x20;or&#x20;shell&#x20;as&#x20;another&#x20;user.&#x20;The&#x20;program&#x20;has&#x20;been&#x20;superseded&#x20;by&#x20;sudo,&#x20;which&#x20;allows&#x20;for&#x20;more&#x20;granular&#x20;control&#x20;over&#x20;privileged&#x20;access.&#x20;Normally,&#x20;the&#x20;su&#x20;command&#x20;can&#x20;be&#x20;executed&#x20;by&#x20;any&#x20;user.&#x20;By&#x20;uncommenting&#x20;the&#x20;pam_wheel.so&#x20;statement&#x20;in&#x20;/etc/pam.d/su,&#x20;the&#x20;su&#x20;command&#x20;will&#x20;only&#x20;allow&#x20;users&#x20;in&#x20;the&#x20;sudo&#x20;group&#x20;to&#x20;execute&#x20;su.','Restricting&#x20;the&#x20;use&#x20;of&#x20;su,&#x20;and&#x20;using&#x20;sudo&#x20;in&#x20;its&#x20;place,&#x20;provides&#x20;system&#x20;administrators&#x20;better&#x20;control&#x20;of&#x20;the&#x20;escalation&#x20;of&#x20;user&#x20;privileges&#x20;to&#x20;execute&#x20;privileged&#x20;commands.&#x20;The&#x20;sudo&#x20;utility&#x20;also&#x20;provides&#x20;a&#x20;better&#x20;logging&#x20;and&#x20;audit&#x20;mechanism,&#x20;as&#x20;it&#x20;can&#x20;log&#x20;each&#x20;command&#x20;executed&#x20;via&#x20;sudo,&#x20;whereas&#x20;su&#x20;can&#x20;only&#x20;record&#x20;that&#x20;a&#x20;user&#x20;executed&#x20;the&#x20;su&#x20;program.','','Create&#x20;an&#x20;empty&#x20;group&#x20;that&#x20;will&#x20;be&#x20;specified&#x20;for&#x20;use&#x20;of&#x20;the&#x20;su&#x20;command.&#x20;The&#x20;group&#x20;should&#x20;be&#x20;named&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;Example&#x20;#&#x20;groupadd&#x20;sugroup&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/pam.d/su&#x20;file,&#x20;specifying&#x20;the&#x20;empty&#x20;group:&#x20;auth&#x20;required&#x20;pam_wheel.so&#x20;use_uid&#x20;group=sugroup','[{\"cis\": [\"5.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(2678,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd&#x20;are&#x20;configured','The&#x20;/etc/passwd&#x20;file&#x20;contains&#x20;user&#x20;account&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;utilities&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;utilities&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd&#x20;#&#x20;chmod&#x20;644&#x20;/etc/passwd','[{\"cis\": [\"6.1.2\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2679,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;are&#x20;configured','The&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;one&#x20;of&#x20;the&#x20;following&#x20;chown&#x20;commands&#x20;as&#x20;appropriate&#x20;and&#x20;the&#x20;chmod&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow-&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/gshadow-&#x20;#&#x20;chmod&#x20;o-rwx,g-wx&#x20;/etc/gshadow-','[{\"cis\": [\"6.1.3\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2680,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow&#x20;are&#x20;configured','The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;user&#x20;accounts.','','Run&#x20;the&#x20;one&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/shadow&#x20;:&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/shadow&#x20;#&#x20;chmod&#x20;o-rwx,g-wx&#x20;/etc/shadow','[{\"cis\": [\"6.1.4\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2681,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group&#x20;are&#x20;configured','The&#x20;/etc/group&#x20;file&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.&#x20;The&#x20;command&#x20;below&#x20;allows&#x20;read/write&#x20;access&#x20;for&#x20;root&#x20;and&#x20;read&#x20;access&#x20;for&#x20;everyone&#x20;else.','The&#x20;/etc/group&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users,&#x20;but&#x20;needs&#x20;to&#x20;be&#x20;readable&#x20;as&#x20;this&#x20;information&#x20;is&#x20;used&#x20;with&#x20;many&#x20;non-privileged&#x20;programs.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group&#x20;#&#x20;chmod&#x20;644&#x20;/etc/group','[{\"cis\": [\"6.1.5\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2682,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd-&#x20;are&#x20;configured','The&#x20;/etc/passwd-&#x20;file&#x20;contains&#x20;backup&#x20;user&#x20;account&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd-&#x20;#&#x20;chmod&#x20;u-x,go-rwx&#x20;/etc/passwd-','[{\"cis\": [\"6.1.6\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2683,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow-&#x20;are&#x20;configured','The&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/shadow-&#x20;:&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/shadow-&#x20;#&#x20;chmod&#x20;u-x,go-rwx&#x20;/etc/shadow-','[{\"cis\": [\"6.1.7\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2684,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group-&#x20;are&#x20;configured','The&#x20;/etc/group-&#x20;file&#x20;contains&#x20;a&#x20;backup&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/group-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group-&#x20;#&#x20;chmod&#x20;u-x,go-rwx&#x20;/etc/group-','[{\"cis\": [\"6.1.8\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2685,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow&#x20;are&#x20;configured','The&#x20;/etc/gshadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/gshadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/gshadow&#x20;file&#x20;&#40;such&#x20;as&#x20;group&#x20;administrators&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;group','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/gshadow&#x20;:&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/gshadow&#x20;#&#x20;chmod&#x20;o-rwx,g-rw&#x20;/etc/gshadow','[{\"cis\": [\"6.1.9\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(2686,'Ensure&#x20;password&#x20;fields&#x20;are&#x20;not&#x20;empty','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;password,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;account&#x20;until&#x20;it&#x20;can&#x20;be&#x20;determined&#x20;why&#x20;it&#x20;does&#x20;not&#x20;have&#x20;a&#x20;password:&#x20;#&#x20;passwd&#x20;-l&#x20;&lt;em&gt;&lt;username&gt;&lt;/em&gt;.&#x20;Also,&#x20;check&#x20;to&#x20;see&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;investigate&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.1\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(2687,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/passwd','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;+&#x20;entries&#x20;from&#x20;/etc/passwd&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.2\"]}, {\"cis_csc\": [\"16.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(2688,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/shadow','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;+&#x20;entries&#x20;from&#x20;/etc/shadow&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.4\"]}, {\"cis_csc\": [\"16.9\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(2689,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/group','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;+&#x20;entries&#x20;from&#x20;/etc/group&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.5\"]}, {\"cis_csc\": [\"16.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(2690,'Ensure&#x20;root&#x20;is&#x20;the&#x20;only&#x20;UID&#x20;0&#x20;account','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','','Remove&#x20;any&#x20;users&#x20;other&#x20;than&#x20;root&#x20;with&#x20;UID&#x20;0&#x20;or&#x20;assign&#x20;them&#x20;a&#x20;new&#x20;UID&#x20;if&#x20;appropriate.','[{\"cis\": [\"6.2.6\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(2691,'Ensure&#x20;shadow&#x20;group&#x20;is&#x20;empty','The&#x20;shadow&#x20;group&#x20;allows&#x20;system&#x20;programs&#x20;which&#x20;require&#x20;access&#x20;the&#x20;ability&#x20;to&#x20;read&#x20;the&#x20;/etc/shadow&#x20;file.&#x20;No&#x20;users&#x20;should&#x20;be&#x20;assigned&#x20;to&#x20;the&#x20;shadow&#x20;group.','Any&#x20;users&#x20;assigned&#x20;to&#x20;the&#x20;shadow&#x20;group&#x20;would&#x20;be&#x20;granted&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file.&#x20;If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;passwords&#x20;to&#x20;break&#x20;them.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;additional&#x20;user&#x20;accounts.','','Remove&#x20;all&#x20;users&#x20;from&#x20;the&#x20;shadow&#x20;group,&#x20;and&#x20;change&#x20;the&#x20;primary&#x20;group&#x20;of&#x20;any&#x20;users&#x20;with&#x20;shadow&#x20;as&#x20;their&#x20;primary&#x20;group.','[{\"cis\": [\"6.2.20\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC7.2\", \"CC6.1\", \"CC6.8\", \"CC7.3\", \"CC7.4\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}]'),(3000,'SSH&#x20;Hardening:&#x20;Port&#x20;should&#x20;not&#x20;be&#x20;22','The&#x20;ssh&#x20;daemon&#x20;should&#x20;not&#x20;be&#x20;listening&#x20;on&#x20;port&#x20;22&#x20;&#40;the&#x20;default&#x20;value&#41;&#x20;for&#x20;incoming&#x20;connections.','Changing&#x20;the&#x20;default&#x20;port&#x20;you&#x20;may&#x20;reduce&#x20;the&#x20;number&#x20;of&#x20;successful&#x20;attacks&#x20;from&#x20;zombie&#x20;bots,&#x20;an&#x20;attacker&#x20;or&#x20;bot&#x20;doing&#x20;port-scanning&#x20;can&#x20;quickly&#x20;identify&#x20;your&#x20;SSH&#x20;port.','','Change&#x20;the&#x20;Port&#x20;option&#x20;value&#x20;in&#x20;the&#x20;sshd_config&#x20;file.','[{\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3001,'SSH&#x20;Hardening:&#x20;Protocol&#x20;should&#x20;be&#x20;set&#x20;to&#x20;2','The&#x20;SSH&#x20;protocol&#x20;should&#x20;not&#x20;be&#x20;1.','The&#x20;Protocol&#x20;parameter&#x20;dictates&#x20;which&#x20;version&#x20;of&#x20;the&#x20;SSH&#x20;communication&#x20;and&#x20;encryption&#x20;protocols&#x20;are&#x20;in&#x20;use.&#x20;Version&#x20;1&#x20;of&#x20;the&#x20;SSH&#x20;protocol&#x20;has&#x20;weaknesses.','','Change&#x20;the&#x20;Protocol&#x20;option&#x20;value&#x20;in&#x20;the&#x20;sshd_config&#x20;file.','[{\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3002,'SSH&#x20;Hardening:&#x20;Root&#x20;account&#x20;should&#x20;not&#x20;be&#x20;able&#x20;to&#x20;log&#x20;in','The&#x20;option&#x20;PermitRootLogin&#x20;should&#x20;be&#x20;set&#x20;to&#x20;no.','The&#x20;option&#x20;PermitRootLogin&#x20;specifies&#x20;whether&#x20;root&#x20;can&#x20;log&#x20;in&#x20;using&#x20;ssh.&#x20;If&#x20;you&#x20;want&#x20;log&#x20;in&#x20;as&#x20;root,&#x20;you&#x20;should&#x20;use&#x20;the&#x20;option&#x20;&quot;Match&quot;&#x20;and&#x20;restrict&#x20;it&#x20;to&#x20;a&#x20;few&#x20;IP&#x20;addresses.','','Change&#x20;the&#x20;PermitRootLogin&#x20;option&#x20;value&#x20;in&#x20;the&#x20;sshd_config&#x20;file.','\"\"'),(3003,'SSH&#x20;Hardening:&#x20;No&#x20;Public&#x20;Key&#x20;authentication','The&#x20;option&#x20;PubkeyAuthentication&#x20;should&#x20;be&#x20;set&#x20;yes.','Access&#x20;only&#x20;by&#x20;public&#x20;key.&#x20;Generally&#x20;people&#x20;will&#x20;use&#x20;weak&#x20;passwords&#x20;and&#x20;have&#x20;poor&#x20;password&#x20;practices.&#x20;Keys&#x20;are&#x20;considered&#x20;stronger&#x20;than&#x20;password.','','Change&#x20;the&#x20;PubkeyAuthentication&#x20;option&#x20;value&#x20;in&#x20;the&#x20;sshd_config&#x20;file.','[{\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3004,'SSH&#x20;Hardening:&#x20;Password&#x20;Authentication&#x20;should&#x20;be&#x20;disabled','The&#x20;option&#x20;PasswordAuthentication&#x20;should&#x20;be&#x20;set&#x20;to&#x20;no.','The&#x20;option&#x20;PasswordAuthentication&#x20;specifies&#x20;whether&#x20;we&#x20;should&#x20;use&#x20;password-based&#x20;authentication.&#x20;Use&#x20;public&#x20;key&#x20;authentication&#x20;instead&#x20;of&#x20;passwords.','','Change&#x20;the&#x20;PasswordAuthentication&#x20;option&#x20;value&#x20;in&#x20;the&#x20;sshd_config&#x20;file.','[{\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3005,'SSH&#x20;Hardening:&#x20;Empty&#x20;passwords&#x20;should&#x20;not&#x20;be&#x20;allowed','The&#x20;option&#x20;PermitEmptyPasswords&#x20;should&#x20;be&#x20;set&#x20;to&#x20;no.','The&#x20;option&#x20;PermitEmptyPasswords&#x20;specifies&#x20;whether&#x20;the&#x20;server&#x20;allows&#x20;logging&#x20;in&#x20;to&#x20;accounts&#x20;with&#x20;a&#x20;null&#x20;password.&#x20;Accounts&#x20;with&#x20;null&#x20;passwords&#x20;are&#x20;a&#x20;bad&#x20;practice.','','Change&#x20;the&#x20;PermitEmptyPasswords&#x20;option&#x20;value&#x20;in&#x20;the&#x20;sshd_config&#x20;file.','[{\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3006,'SSH&#x20;Hardening:&#x20;Rhost&#x20;or&#x20;shost&#x20;should&#x20;not&#x20;be&#x20;used&#x20;for&#x20;authentication','The&#x20;option&#x20;IgnoreRhosts&#x20;should&#x20;be&#x20;set&#x20;to&#x20;yes.','The&#x20;option&#x20;IgnoreRhosts&#x20;specifies&#x20;whether&#x20;rhosts&#x20;or&#x20;shosts&#x20;files&#x20;should&#x20;not&#x20;be&#x20;used&#x20;in&#x20;authentication.&#x20;For&#x20;security&#x20;reasons&#x20;it&#x20;is&#x20;recommended&#x20;to&#x20;no&#x20;use&#x20;rhosts&#x20;or&#x20;shosts&#x20;files&#x20;for&#x20;authentication.','','Change&#x20;the&#x20;IgnoreRhosts&#x20;option&#x20;value&#x20;in&#x20;the&#x20;sshd_config&#x20;file.','[{\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3007,'SSH&#x20;Hardening:&#x20;Grace&#x20;Time&#x20;should&#x20;be&#x20;one&#x20;minute&#x20;or&#x20;less.','The&#x20;option&#x20;LoginGraceTime&#x20;should&#x20;be&#x20;set&#x20;to&#x20;60&#x20;or&#x20;less.','The&#x20;option&#x20;LoginGraceTime&#x20;specifies&#x20;how&#x20;long&#x20;in&#x20;seconds&#x20;after&#x20;a&#x20;connection&#x20;request&#x20;the&#x20;server&#x20;will&#x20;wait&#x20;before&#x20;disconnecting&#x20;if&#x20;the&#x20;user&#x20;has&#x20;not&#x20;successfully&#x20;logged&#x20;in.&#x20;30&#x20;seconds&#x20;is&#x20;the&#x20;recommended&#x20;time&#x20;for&#x20;avoiding&#x20;open&#x20;connections&#x20;without&#x20;authenticate.','','Change&#x20;the&#x20;LoginGraceTime&#x20;option&#x20;value&#x20;in&#x20;the&#x20;sshd_config&#x20;file.','[{\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3008,'SSH&#x20;Hardening:&#x20;Wrong&#x20;Maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts','The&#x20;option&#x20;MaxAuthTries&#x20;should&#x20;be&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less.','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;Once&#x20;the&#x20;number&#x20;of&#x20;failures&#x20;reaches&#x20;half&#x20;this&#x20;value,&#x20;additional&#x20;failures&#x20;are&#x20;logged.&#x20;This&#x20;should&#x20;be&#x20;set&#x20;to&#x20;4.','','Change&#x20;the&#x20;MaxAuthTries&#x20;option&#x20;value&#x20;in&#x20;the&#x20;sshd_config&#x20;file.','[{\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3009,'SSH&#x20;Hardening:&#x20;Ensure&#x20;SSH&#x20;HostbasedAuthentication&#x20;is&#x20;disabled','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts&#x20;,&#x20;or&#x20;/etc/hosts.equiv&#x20;,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.&#x20;This&#x20;option&#x20;only&#x20;applies&#x20;to&#x20;SSH&#x20;Protocol&#x20;Version&#x20;2.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no','[{\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(3010,'Ensure&#x20;retry&#x20;option&#x20;for&#x20;passwords&#x20;is&#x20;less&#x20;than&#x20;3','The&#x20;pam_pwquality.so&#x20;module&#x20;and&#x20;pam_cracklib.so&#x20;module&#x20;&#40;depending&#x20;on&#x20;the&#x20;Linux&#x20;distribution&#x20;used&#41;&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more.','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;and&#x20;/etc/security/pwquality.conf&#x20;files,&#x20;or&#x20;the&#x20;/etc/pam.d/password-auth&#x20;and&#x20;/etc/pam.d/system-auth&#x20;files,&#x20;to&#x20;include&#x20;the&#x20;appropriate&#x20;options&#x20;for&#x20;pam_pwquality.so&#x20;or&#x20;pam_cracklib.so&#x20;and&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy.','[{\"cis_csc\": [\"4.4\", \"5.7\", \"16.12\"]}]'),(3011,'Ensure&#x20;passwords&#x20;are&#x20;longer&#x20;than&#x20;14&#x20;characters','The&#x20;pam_pwquality.so&#x20;module&#x20;and&#x20;pam_cracklib.so&#x20;module&#x20;&#40;depending&#x20;on&#x20;the&#x20;Linux&#x20;distribution&#x20;used&#41;&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more.','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;and&#x20;/etc/security/pwquality.conf&#x20;files,&#x20;or&#x20;the&#x20;/etc/pam.d/password-auth&#x20;and&#x20;/etc/pam.d/system-auth&#x20;files,&#x20;to&#x20;include&#x20;the&#x20;appropriate&#x20;options&#x20;for&#x20;pam_pwquality.so&#x20;or&#x20;pam_cracklib.so&#x20;and&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy.','[{\"cis_csc\": [\"4.4\", \"5.7\", \"16.12\"]}]'),(3012,'Ensure&#x20;passwords&#x20;contain&#x20;at&#x20;least&#x20;one&#x20;digit','The&#x20;pam_pwquality.so&#x20;module&#x20;and&#x20;pam_cracklib.so&#x20;module&#x20;&#40;depending&#x20;on&#x20;the&#x20;Linux&#x20;distribution&#x20;used&#41;&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more.','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;and&#x20;/etc/security/pwquality.conf&#x20;files,&#x20;or&#x20;the&#x20;/etc/pam.d/password-auth&#x20;and&#x20;/etc/pam.d/system-auth&#x20;files,&#x20;to&#x20;include&#x20;the&#x20;appropriate&#x20;options&#x20;for&#x20;pam_pwquality.so&#x20;or&#x20;pam_cracklib.so&#x20;and&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy.','[{\"cis_csc\": [\"4.4\", \"5.7\", \"16.12\"]}]'),(3013,'Ensure&#x20;passwords&#x20;contain&#x20;at&#x20;least&#x20;one&#x20;lowercase&#x20;character','The&#x20;pam_pwquality.so&#x20;module&#x20;and&#x20;pam_cracklib.so&#x20;module&#x20;&#40;depending&#x20;on&#x20;the&#x20;Linux&#x20;distribution&#x20;used&#41;&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more.','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;and&#x20;/etc/security/pwquality.conf&#x20;files,&#x20;or&#x20;the&#x20;/etc/pam.d/password-auth&#x20;and&#x20;/etc/pam.d/system-auth&#x20;files,&#x20;to&#x20;include&#x20;the&#x20;appropriate&#x20;options&#x20;for&#x20;pam_pwquality.so&#x20;or&#x20;pam_cracklib.so&#x20;and&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy.','[{\"cis_csc\": [\"4.4\", \"5.7\", \"16.12\"]}]'),(3014,'Ensure&#x20;passwords&#x20;contain&#x20;at&#x20;least&#x20;one&#x20;uppercase&#x20;character','The&#x20;pam_pwquality.so&#x20;module&#x20;and&#x20;pam_cracklib.so&#x20;module&#x20;&#40;depending&#x20;on&#x20;the&#x20;Linux&#x20;distribution&#x20;used&#41;&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more.','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;and&#x20;/etc/security/pwquality.conf&#x20;files,&#x20;or&#x20;the&#x20;/etc/pam.d/password-auth&#x20;and&#x20;/etc/pam.d/system-auth&#x20;files,&#x20;to&#x20;include&#x20;the&#x20;appropriate&#x20;options&#x20;for&#x20;pam_pwquality.so&#x20;or&#x20;pam_cracklib.so&#x20;and&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy.','[{\"cis_csc\": [\"4.4\", \"5.7\", \"16.12\"]}]'),(3015,'Ensure&#x20;passwords&#x20;contain&#x20;at&#x20;least&#x20;one&#x20;special&#x20;character','The&#x20;pam_pwquality.so&#x20;module&#x20;and&#x20;pam_cracklib.so&#x20;module&#x20;&#40;depending&#x20;on&#x20;the&#x20;Linux&#x20;distribution&#x20;used&#41;&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more.','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;and&#x20;/etc/security/pwquality.conf&#x20;files,&#x20;or&#x20;the&#x20;/etc/pam.d/password-auth&#x20;and&#x20;/etc/pam.d/system-auth&#x20;files,&#x20;to&#x20;include&#x20;the&#x20;appropriate&#x20;options&#x20;for&#x20;pam_pwquality.so&#x20;or&#x20;pam_cracklib.so&#x20;and&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy.','[{\"cis_csc\": [\"4.4\", \"5.7\", \"16.12\"]}]'),(3016,'Ensure&#x20;lockout&#x20;for&#x20;failed&#x20;password&#x20;attempts&#x20;is&#x20;configured','Lock&#x20;out&#x20;users&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts.&#x20;The&#x20;first&#x20;sets&#x20;of&#x20;changes&#x20;are&#x20;made&#x20;to&#x20;the&#x20;PAM&#x20;configuration&#x20;files.&#x20;The&#x20;second&#x20;set&#x20;of&#x20;changes&#x20;are&#x20;applied&#x20;to&#x20;the&#x20;program&#x20;specific&#x20;PAM&#x20;configuration&#x20;file.&#x20;The&#x20;second&#x20;set&#x20;of&#x20;changes&#x20;must&#x20;be&#x20;applied&#x20;to&#x20;each&#x20;program&#x20;that&#x20;will&#x20;lock&#x20;out&#x20;users.','Locking&#x20;out&#x20;user&#x20;IDs&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts&#x20;mitigates&#x20;brute&#x20;force&#x20;password&#x20;attacks&#x20;against&#x20;your&#x20;systems.','','Edit&#x20;the&#x20;/etc/pam.d/common-auth&#x20;file&#x20;and&#x20;add&#x20;the&#x20;auth&#x20;line&#x20;below:&#x20;#auth&#x20;required&#x20;pam_tally2.so&#x20;onerr=fail&#x20;audit&#x20;silent&#x20;deny=5&#x20;unlock_time=900','\"\"'),(3017,'Ensure&#x20;password&#x20;hashing&#x20;algorithm&#x20;is&#x20;SHA-512','The&#x20;commands&#x20;below&#x20;change&#x20;password&#x20;encryption&#x20;from&#x20;md5&#x20;to&#x20;sha512&#x20;&#40;a&#x20;much&#x20;stronger&#x20;hashing&#x20;algorithm&#41;.&#x20;All&#x20;existing&#x20;accounts&#x20;will&#x20;need&#x20;to&#x20;perform&#x20;a&#x20;password&#x20;change&#x20;to&#x20;upgrade&#x20;the&#x20;stored&#x20;hashes&#x20;to&#x20;the&#x20;new&#x20;algorithm.','The&#x20;SHA-512&#x20;algorithm&#x20;provides&#x20;much&#x20;stronger&#x20;hashing&#x20;than&#x20;MD5,&#x20;thus&#x20;providing&#x20;additional&#x20;protection&#x20;to&#x20;the&#x20;system&#x20;by&#x20;increasing&#x20;the&#x20;level&#x20;of&#x20;effort&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;successfully&#x20;determine&#x20;passwords.&#x20;Note&#x20;that&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;file&#x20;to&#x20;include&#x20;the&#x20;sha512&#x20;option&#x20;for&#x20;pam_unix.so&#x20;as&#x20;shown:&#x20;password&#x20;required&#x20;pam_unix.so&#x20;sha512','[{\"cis_csc\": [\"16.14\"]}]'),(3018,'Ensure&#x20;passwords&#x20;in&#x20;/etc/shadow&#x20;are&#x20;hashed&#x20;with&#x20;SHA-512&#x20;or&#x20;SHA-256','SHA-512&#x20;and&#x20;SHA-256&#x20;are&#x20;much&#x20;stronger&#x20;hashing&#x20;algorithms&#x20;than&#x20;MD5.','The&#x20;SHA-512&#x20;algorithm&#x20;provides&#x20;much&#x20;stronger&#x20;hashing&#x20;than&#x20;MD5,&#x20;thus&#x20;providing&#x20;additional&#x20;protection&#x20;to&#x20;the&#x20;system&#x20;by&#x20;increasing&#x20;the&#x20;level&#x20;of&#x20;effort&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;successfully&#x20;determine&#x20;passwords.','','Set&#x20;the&#x20;default&#x20;algorithm&#x20;for&#x20;password&#x20;hashing&#x20;in&#x20;/etc/shadow&#x20;to&#x20;SHA-512&#x20;or&#x20;SHA-256.','\"\"'),(3019,'Ensure&#x20;password&#x20;expiration&#x20;is&#x20;365&#x20;days&#x20;or&#x20;less','The&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;force&#x20;passwords&#x20;to&#x20;expire&#x20;once&#x20;they&#x20;reach&#x20;a&#x20;defined&#x20;age.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;less&#x20;than&#x20;or&#x20;equal&#x20;to&#x20;365&#x20;days.','The&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;leverage&#x20;compromised&#x20;credentials&#x20;or&#x20;successfully&#x20;compromise&#x20;credentials&#x20;via&#x20;an&#x20;online&#x20;brute&#x20;force&#x20;attack&#x20;is&#x20;limited&#x20;by&#x20;the&#x20;age&#x20;of&#x20;the&#x20;password.&#x20;Therefore,&#x20;reducing&#x20;the&#x20;maximum&#x20;age&#x20;of&#x20;a&#x20;password&#x20;also&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;window&#x20;of&#x20;opportunity.','','Set&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;in&#x20;/etc/login.defs.','[{\"cis_csc\": [\"4.4\", \"16\"]}]'),(3020,'Ensure&#x20;SELinux&#x20;or&#x20;AppArmor&#x20;are&#x20;installed','SELinux&#x20;and&#x20;AppArmor&#x20;provide&#x20;Mandatory&#x20;Access&#x20;Controls.','Without&#x20;a&#x20;Mandatory&#x20;Access&#x20;Control&#x20;system&#x20;installed&#x20;only&#x20;the&#x20;default&#x20;Discretionary&#x20;Access&#x20;Control&#x20;system&#x20;will&#x20;be&#x20;available.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;install&#x20;SELinux&#x20;or&#x20;apparmor:&#x20;#&#x20;apt-get&#x20;install&#x20;selinux-basics&#x20;Or:&#x20;#&#x20;apt-get&#x20;install&#x20;apparmor&#x20;apparmor-profiles&#x20;apparmor-utils','[{\"cis_csc\": [\"14.4\", \"14.6\"]}]'),(3021,'Ensure&#x20;CUPS&#x20;is&#x20;not&#x20;enabled','The&#x20;Common&#x20;Unix&#x20;Print&#x20;System&#x20;&#40;CUPS&#41;&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;print&#x20;to&#x20;both&#x20;local&#x20;and&#x20;network&#x20;printers.&#x20;A&#x20;system&#x20;running&#x20;CUPS&#x20;can&#x20;also&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;remote&#x20;systems&#x20;and&#x20;print&#x20;them&#x20;to&#x20;local&#x20;printers.&#x20;It&#x20;also&#x20;provides&#x20;a&#x20;web&#x20;based&#x20;remote&#x20;administration&#x20;capability.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;need&#x20;to&#x20;print&#x20;jobs&#x20;or&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;systems,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;CUPS&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;cups:&#x20;#&#x20;systemctl&#x20;disable&#x20;cups','[{\"cis_csc\": [\"9.1\", \"9.2\"]}]'),(3022,'Ensure&#x20;auditd&#x20;service&#x20;is&#x20;enabled','Turn&#x20;on&#x20;the&#x20;auditd&#x20;daemon&#x20;to&#x20;record&#x20;system&#x20;events.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;auditd:&#x20;#&#x20;systemctl&#x20;enable&#x20;auditd','[{\"cis_csc\": [\"6.2\", \"6.3\"]}]'),(3500,'Create&#x20;Separate&#x20;Partition&#x20;for&#x20;/tmp','The&#x20;/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Since&#x20;the&#x20;/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;In&#x20;addition,&#x20;making&#x20;/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.','','For&#x20;new&#x20;installations,&#x20;check&#x20;the&#x20;box&#x20;to&#x20;&#039;Review&#x20;and&#x20;modify&#x20;partitioning&#039;&#x20;and&#x20;create&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/tmp&#x20;.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;use&#x20;the&#x20;Logical&#x20;Volume&#x20;Manager&#x20;&#40;LVM&#41;&#x20;to&#x20;create&#x20;partitions.','[{\"cis\": [\"1.1.1\"]}]'),(3501,'Set&#x20;nodev&#x20;option&#x20;for&#x20;/tmp&#x20;Partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;.&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/tmp','[{\"cis\": [\"1.1.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3502,'Set&#x20;nosuid&#x20;option&#x20;for&#x20;/tmp&#x20;Partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;set&#x20;userid&#x20;files.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;set&#x20;userid&#x20;files&#x20;in&#x20;/tmp&#x20;.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;.','[{\"cis\": [\"1.1.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3503,'Set&#x20;noexec&#x20;option&#x20;for&#x20;/tmp&#x20;Partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/tmp&#x20;.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;.&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/tmp','[{\"cis\": [\"1.1.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3504,'Create&#x20;Separate&#x20;Partition&#x20;for&#x20;/var','The&#x20;/var&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;daemons&#x20;and&#x20;other&#x20;system&#x20;services&#x20;to&#x20;temporarily&#x20;store&#x20;dynamic&#x20;data.&#x20;Some&#x20;directories&#x20;created&#x20;by&#x20;these&#x20;processes&#x20;may&#x20;be&#x20;world-writable.','Since&#x20;the&#x20;/var&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.','','For&#x20;new&#x20;installations,&#x20;check&#x20;the&#x20;box&#x20;to&#x20;&#039;Review&#x20;and&#x20;modify&#x20;partitioning&#039;&#x20;and&#x20;create&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;use&#x20;the&#x20;Logical&#x20;Volume&#x20;Manager&#x20;&#40;LVM&#41;&#x20;to&#x20;create&#x20;partitions.','[{\"cis\": [\"1.1.5\"]}]'),(3505,'Bind&#x20;Mount&#x20;the&#x20;/var/tmp&#x20;directory&#x20;to&#x20;/tmp','The&#x20;/var/tmp&#x20;directory&#x20;is&#x20;normally&#x20;a&#x20;standalone&#x20;directory&#x20;in&#x20;the&#x20;/var&#x20;file&#x20;system.&#x20;Binding&#x20;/var/tmp&#x20;to&#x20;/tmp&#x20;establishes&#x20;an&#x20;unbreakable&#x20;link&#x20;to&#x20;/tmp&#x20;that&#x20;cannot&#x20;be&#x20;removed&#x20;&#40;even&#x20;by&#x20;the&#x20;root&#x20;user&#41;.&#x20;It&#x20;also&#x20;allows&#x20;/var/tmp&#x20;to&#x20;inherit&#x20;the&#x20;same&#x20;mount&#x20;options&#x20;that&#x20;/tmp&#x20;owns,&#x20;allowing&#x20;/var/tmp&#x20;to&#x20;be&#x20;protected&#x20;in&#x20;the&#x20;same&#x20;/tmp&#x20;is&#x20;protected.','All&#x20;programs&#x20;that&#x20;use&#x20;/var/tmp&#x20;and&#x20;/tmp&#x20;to&#x20;read/write&#x20;temporary&#x20;files&#x20;will&#x20;always&#x20;be&#x20;written&#x20;to&#x20;the&#x20;/tmp&#x20;file&#x20;system,&#x20;preventing&#x20;a&#x20;user&#x20;from&#x20;running&#x20;the&#x20;/var&#x20;file&#x20;system&#x20;out&#x20;of&#x20;space&#x20;or&#x20;trying&#x20;to&#x20;perform&#x20;operations&#x20;that&#x20;have&#x20;been&#x20;blocked&#x20;in&#x20;the&#x20;/tmp&#x20;filesystem.','','#&#x20;mount&#x20;--bind&#x20;/tmp&#x20;/var/tmp&#x20;and&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;to&#x20;contain&#x20;the&#x20;following&#x20;line:&#x20;/tmp&#x20;/var/tmp&#x20;none&#x20;bind&#x20;0&#x20;0','[{\"cis\": [\"1.1.6\"]}]'),(3506,'Create&#x20;Separate&#x20;Partition&#x20;for&#x20;/var/log','The&#x20;/var/log&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;system&#x20;services&#x20;to&#x20;store&#x20;log&#x20;data&#x20;.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;system&#x20;logs&#x20;are&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;logs&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;check&#x20;the&#x20;box&#x20;to&#x20;&#039;Review&#x20;and&#x20;modify&#x20;partitioning&#039;&#x20;and&#x20;create&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;use&#x20;the&#x20;Logical&#x20;Volume&#x20;Manager&#x20;&#40;LVM&#41;&#x20;to&#x20;create&#x20;partitions.','[{\"cis\": [\"1.1.7\"]}]'),(3507,'Create&#x20;Separate&#x20;Partition&#x20;for&#x20;/var/log/audit','The&#x20;auditing&#x20;daemon,&#x20;auditd&#x20;,&#x20;stores&#x20;log&#x20;data&#x20;in&#x20;the&#x20;/var/log/audit&#x20;directory.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;data&#x20;gathered&#x20;by&#x20;auditd&#x20;is&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;the&#x20;audit.log&#x20;file&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;check&#x20;the&#x20;box&#x20;to&#x20;&#039;Review&#x20;and&#x20;modify&#x20;partitioning&#039;&#x20;and&#x20;create&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log/audit&#x20;.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;use&#x20;the&#x20;Logical&#x20;Volume&#x20;Manager&#x20;&#40;LVM&#41;&#x20;to&#x20;create&#x20;partitions.','[{\"cis\": [\"1.1.8\"]}]'),(3508,'Create&#x20;Separate&#x20;Partition&#x20;for&#x20;/home','The&#x20;/home&#x20;directory&#x20;is&#x20;used&#x20;to&#x20;support&#x20;disk&#x20;storage&#x20;needs&#x20;of&#x20;local&#x20;users.','If&#x20;the&#x20;system&#x20;is&#x20;intended&#x20;to&#x20;support&#x20;local&#x20;users,&#x20;create&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;the&#x20;/home&#x20;directory&#x20;to&#x20;protect&#x20;against&#x20;resource&#x20;exhaustion&#x20;and&#x20;restrict&#x20;the&#x20;type&#x20;of&#x20;files&#x20;that&#x20;can&#x20;be&#x20;stored&#x20;under&#x20;/home.','','For&#x20;new&#x20;installations,&#x20;check&#x20;the&#x20;box&#x20;to&#x20;&#039;Review&#x20;and&#x20;modify&#x20;partitioning&#039;&#x20;and&#x20;create&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/home.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;use&#x20;the&#x20;Logical&#x20;Volume&#x20;Manager&#x20;&#40;LVM&#41;&#x20;to&#x20;create&#x20;partitions.','[{\"cis\": [\"1.1.9\"]}]'),(3509,'Add&#x20;nodev&#x20;Option&#x20;to&#x20;/home','When&#x20;set&#x20;on&#x20;a&#x20;file&#x20;system,&#x20;this&#x20;option&#x20;prevents&#x20;character&#x20;and&#x20;block&#x20;special&#x20;devices&#x20;from&#x20;being&#x20;defined,&#x20;or&#x20;if&#x20;they&#x20;exist,&#x20;from&#x20;being&#x20;used&#x20;as&#x20;character&#x20;and&#x20;block&#x20;special&#x20;devices.','Since&#x20;the&#x20;user&#x20;partitions&#x20;are&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;.&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/home','[{\"cis\": [\"1.1.10\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3510,'Add&#x20;nodev&#x20;Option&#x20;to&#x20;/dev/shm&#x20;Partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;/dev/shm&#x20;&#40;temporary&#x20;filesystem&#x20;stored&#x20;in&#x20;memory&#41;&#x20;cannot&#x20;contain&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices.','Since&#x20;the&#x20;/dev/shm&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;special&#x20;devices&#x20;in&#x20;/dev/shm&#x20;partitions.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#x20;of&#x20;entries&#x20;that&#x20;have&#x20;mount&#x20;points&#x20;that&#x20;contain&#x20;/dev/shm&#41;.&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/dev/shm','[{\"cis\": [\"1.1.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3511,'Add&#x20;nosuid&#x20;Option&#x20;to&#x20;/dev/shm&#x20;Partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;/dev/shm&#x20;&#40;temporary&#x20;filesystem&#x20;stored&#x20;in&#x20;memory&#41;&#x20;will&#x20;not&#x20;execute&#x20;setuid&#x20;and&#x20;setgid&#x20;on&#x20;executable&#x20;programs&#x20;as&#x20;such,&#x20;but&#x20;rather&#x20;execute&#x20;them&#x20;with&#x20;the&#x20;uid&#x20;and&#x20;gid&#x20;of&#x20;the&#x20;user&#x20;executing&#x20;the&#x20;program.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;introducing&#x20;privileged&#x20;programs&#x20;onto&#x20;the&#x20;system&#x20;and&#x20;allowing&#x20;non-root&#x20;users&#x20;to&#x20;execute&#x20;them.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;.&#x20;Look&#x20;for&#x20;entries&#x20;that&#x20;have&#x20;mount&#x20;points&#x20;that&#x20;contain&#x20;/dev/shm.&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/dev/shm','[{\"cis\": [\"1.1.15\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]');
 INSERT INTO `tsca` VALUES (3512,'Add&#x20;noexec&#x20;Option&#x20;to&#x20;/dev/shm&#x20;Partition','Set&#x20;noexec&#x20;on&#x20;the&#x20;shared&#x20;memory&#x20;partition&#x20;to&#x20;prevent&#x20;programs&#x20;from&#x20;executing&#x20;from&#x20;there.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;executing&#x20;programs&#x20;from&#x20;shared&#x20;memory.&#x20;This&#x20;deters&#x20;users&#x20;from&#x20;introducing&#x20;potentially&#x20;malicious&#x20;software&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;.&#x20;Look&#x20;for&#x20;entries&#x20;that&#x20;have&#x20;mount&#x20;points&#x20;that&#x20;contain&#x20;/dev/shm.&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/dev/shm','[{\"cis\": [\"1.1.16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3513,'Disable&#x20;yum-updatesd','The&#x20;yum-updatesd&#x20;utility&#x20;provides&#x20;notification&#x20;of&#x20;updates&#x20;that&#x20;are&#x20;available&#x20;for&#x20;your&#x20;system.','The&#x20;yum-updatesd&#x20;service&#x20;may&#x20;introduce&#x20;unnecessary&#x20;overhead&#x20;and&#x20;prevent&#x20;other&#x20;programs&#x20;from&#x20;running.&#x20;When&#x20;possible,&#x20;replace&#x20;this&#x20;service&#x20;with&#x20;a&#x20;cron&#x20;job&#x20;that&#x20;calls&#x20;yum&#x20;directly.','','Disable&#x20;the&#x20;yum-updatesd&#x20;daemon&#x20;by&#x20;running&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;chkconfig&#x20;yum-updatesd&#x20;off','[{\"cis\": [\"1.2.5\"]}, {\"pci_dss\": [\"6.2\"]}, {\"nist_800_53\": [\"SI.2\"]}, {\"tsc\": [\"A1.2\", \"CC6.8\"]}]'),(3514,'Enable&#x20;SELinux&#x20;in&#x20;/etc/grub.conf','Configure&#x20;SELINUX&#x20;to&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;and&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;not&#x20;been&#x20;overwritten&#x20;by&#x20;the&#x20;grub&#x20;boot&#x20;parameters','SELinux&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;/etc/grub.conf&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;not&#x20;overwritten.','','Remove&#x20;all&#x20;instances&#x20;of&#x20;selinux=0&#x20;and&#x20;enforcing=0&#x20;from&#x20;/etc/grub.conf.','[{\"cis\": [\"1.4.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3515,'Set&#x20;the&#x20;SELinux&#x20;State','Set&#x20;SELinux&#x20;to&#x20;enable&#x20;when&#x20;the&#x20;system&#x20;is&#x20;booted.','SELinux&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;in&#x20;effect&#x20;at&#x20;all&#x20;times.','','Edit&#x20;the&#x20;/etc/selinux/config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;SELINUX&#x20;parameter:&#x20;SELINUX=enforcing','[{\"cis\": [\"1.4.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3516,'Set&#x20;the&#x20;SELinux&#x20;Policy','Configure&#x20;SELinux&#x20;to&#x20;meet&#x20;or&#x20;exceed&#x20;the&#x20;default&#x20;targeted&#x20;policy,&#x20;which&#x20;constrains&#x20;daemons&#x20;and&#x20;system&#x20;software&#x20;only.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;at&#x20;least&#x20;the&#x20;default&#x20;recommendations&#x20;are&#x20;met.','','Edit&#x20;the&#x20;/etc/selinux/config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;SELINUXTYPE&#x20;parameter:&#x20;SELINUXTYPE=targeted','[{\"cis\": [\"1.4.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3517,'Remove&#x20;SETroubleshoot','The&#x20;SETroubleshoot&#x20;service&#x20;notifies&#x20;desktop&#x20;users&#x20;of&#x20;SELinux&#x20;denials&#x20;through&#x20;a&#x20;user-friendly&#x20;interface.&#x20;The&#x20;service&#x20;provides&#x20;important&#x20;information&#x20;around&#x20;configuration&#x20;errors,&#x20;unauthorized&#x20;intrusions,&#x20;and&#x20;other&#x20;potential&#x20;errors.','The&#x20;SETroubleshoot&#x20;service&#x20;is&#x20;an&#x20;unnecessary&#x20;daemon&#x20;to&#x20;have&#x20;running&#x20;on&#x20;a&#x20;server,&#x20;especially&#x20;if&#x20;X&#x20;Windows&#x20;is&#x20;disabled.','','rpm&#x20;-qa&#x20;setroubleshoot','[{\"cis\": [\"1.4.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3518,'Disable&#x20;MCS&#x20;Translation&#x20;Service&#x20;&#40;mcstrans&#41;','The&#x20;mcstransd&#x20;daemon&#x20;provides&#x20;category&#x20;label&#x20;information&#x20;to&#x20;client&#x20;processes&#x20;requesting&#x20;information.&#x20;The&#x20;label&#x20;translations&#x20;are&#x20;defined&#x20;in&#x20;/etc/selinux/targeted/setrans.conf','Since&#x20;this&#x20;service&#x20;is&#x20;not&#x20;used&#x20;very&#x20;often,&#x20;disable&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;amount&#x20;of&#x20;potentially&#x20;vulnerable&#x20;code&#x20;running&#x20;on&#x20;the&#x20;system.','','#&#x20;chkconfig&#x20;mctrans&#x20;off','[{\"cis\": [\"1.4.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3519,'Set&#x20;Boot&#x20;Loader&#x20;Password','Setting&#x20;the&#x20;boot&#x20;loader&#x20;password&#x20;will&#x20;require&#x20;that&#x20;the&#x20;person&#x20;who&#x20;is&#x20;rebooting&#x20;system&#x20;the&#x20;must&#x20;enter&#x20;a&#x20;password&#x20;before&#x20;being&#x20;able&#x20;to&#x20;set&#x20;command&#x20;line&#x20;boot&#x20;parameters','Requiring&#x20;a&#x20;boot&#x20;password&#x20;upon&#x20;execution&#x20;of&#x20;the&#x20;boot&#x20;loader&#x20;will&#x20;prevent&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;entering&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;the&#x20;boot&#x20;partition.&#x20;This&#x20;prevents&#x20;users&#x20;from&#x20;weakening&#x20;security&#x20;&#40;e.g.&#x20;turning&#x20;off&#x20;SELinux&#x20;at&#x20;boot&#x20;time&#41;.','','Set&#x20;a&#x20;bootloader&#x20;password','[{\"cis\": [\"1.5.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3520,'Require&#x20;Authentication&#x20;for&#x20;Single-User&#x20;Mode','Since&#x20;/etc/init&#x20;determines&#x20;what&#x20;run&#x20;state&#x20;the&#x20;system&#x20;is&#x20;in,&#x20;setting&#x20;the&#x20;entry&#x20;in&#x20;/etc/inittab&#x20;will&#x20;force&#x20;single&#x20;user&#x20;authentication.','Requiring&#x20;authentication&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;prevents&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;rebooting&#x20;the&#x20;system&#x20;into&#x20;single&#x20;user&#x20;to&#x20;gain&#x20;root&#x20;privileges&#x20;without&#x20;credentials.','','Add&#x20;the&#x20;following&#x20;to&#x20;/etc/inittab&#x20;:&#x20;~:S:wait:/sbin/sulogin','[{\"cis\": [\"1.5.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3521,'Disable&#x20;Interactive&#x20;Boot','The&#x20;PROMPT&#x20;option&#x20;provides&#x20;console&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;interactively&#x20;boot&#x20;the&#x20;system&#x20;and&#x20;select&#x20;which&#x20;services&#x20;to&#x20;start&#x20;on&#x20;boot&#x20;.','Turn&#x20;off&#x20;the&#x20;PROMPT&#x20;option&#x20;on&#x20;the&#x20;console&#x20;to&#x20;prevent&#x20;console&#x20;users&#x20;from&#x20;potentially&#x20;overriding&#x20;established&#x20;security&#x20;settings.','','Set&#x20;the&#x20;PROMPT&#x20;parameter&#x20;in&#x20;/etc/sysconfig/init&#x20;to&#x20;no&#x20;.','[{\"cis\": [\"1.5.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3522,'Restrict&#x20;Core&#x20;Dumps','A&#x20;core&#x20;dump&#x20;is&#x20;the&#x20;memory&#x20;of&#x20;an&#x20;executable&#x20;program.&#x20;It&#x20;is&#x20;generally&#x20;used&#x20;to&#x20;determine&#x20;why&#x20;a&#x20;program&#x20;aborted.&#x20;It&#x20;can&#x20;also&#x20;be&#x20;used&#x20;to&#x20;glean&#x20;confidential&#x20;information&#x20;from&#x20;a&#x20;core&#x20;file.&#x20;The&#x20;system&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;a&#x20;soft&#x20;limit&#x20;for&#x20;core&#x20;dumps,&#x20;but&#x20;this&#x20;can&#x20;be&#x20;overridden&#x20;by&#x20;the&#x20;user.','Setting&#x20;a&#x20;hard&#x20;limit&#x20;on&#x20;core&#x20;dumps&#x20;prevents&#x20;users&#x20;from&#x20;overriding&#x20;the&#x20;soft&#x20;variable.&#x20;If&#x20;core&#x20;dumps&#x20;are&#x20;required,&#x20;consider&#x20;setting&#x20;limits&#x20;for&#x20;user&#x20;groups&#x20;&#40;see&#x20;limits.conf&#40;5&#41;&#x20;&#41;.&#x20;In&#x20;addition,&#x20;setting&#x20;the&#x20;fs.suid.dumpable&#x20;variable&#x20;to&#x20;0&#x20;will&#x20;prevent&#x20;setuid&#x20;programs&#x20;from&#x20;dumping&#x20;core.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;/etc/security/limits.conf&#x20;file.&#x20;*&#x20;hard&#x20;core&#x20;0.&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/sysctl.conf&#x20;file.&#x20;fs.suid_dumpable&#x20;=&#x20;0','[{\"cis\": [\"1.6.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3523,'Enable&#x20;Randomized&#x20;Virtual&#x20;Memory&#x20;Region&#x20;Placement','Set&#x20;the&#x20;system&#x20;flag&#x20;to&#x20;force&#x20;randomized&#x20;virtual&#x20;memory&#x20;region&#x20;placement.','Randomly&#x20;placing&#x20;virtual&#x20;memory&#x20;regions&#x20;will&#x20;make&#x20;it&#x20;difficult&#x20;for&#x20;to&#x20;write&#x20;memory&#x20;page&#x20;exploits&#x20;as&#x20;the&#x20;memory&#x20;placement&#x20;will&#x20;be&#x20;consistently&#x20;shifting.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/sysctl.conf&#x20;file.&#x20;kernel.randomize_va_space&#x20;=&#x20;2','[{\"cis\": [\"1.6.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3524,'Configure&#x20;ExecShield','Execshield&#x20;is&#x20;made&#x20;up&#x20;of&#x20;a&#x20;number&#x20;of&#x20;kernel&#x20;features&#x20;to&#x20;provide&#x20;protection&#x20;against&#x20;buffer&#x20;overflow&#x20;attacks.&#x20;These&#x20;features&#x20;include&#x20;prevention&#x20;of&#x20;execution&#x20;in&#x20;memory&#x20;data&#x20;space,&#x20;and&#x20;special&#x20;handling&#x20;of&#x20;text&#x20;buffers.','Enabling&#x20;any&#x20;feature&#x20;that&#x20;can&#x20;protect&#x20;against&#x20;buffer&#x20;overflow&#x20;attacks&#x20;enhances&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/sysctl.conf&#x20;file.&#x20;kernel.exec-shield&#x20;=&#x20;1','[{\"cis\": [\"1.6.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3525,'Disable&#x20;Prelink','Prelinking&#x20;is&#x20;a&#x20;performance&#x20;enhancing&#x20;feature&#x20;that&#x20;decreases&#x20;process&#x20;start&#x20;up&#x20;time.&#x20;It&#x20;loads&#x20;shared&#x20;libraries&#x20;into&#x20;addresses&#x20;for&#x20;which&#x20;the&#x20;linking&#x20;of&#x20;required&#x20;symbols&#x20;has&#x20;already&#x20;been&#x20;performed.&#x20;After&#x20;a&#x20;binary&#x20;has&#x20;been&#x20;prelinked,&#x20;the&#x20;addresses&#x20;at&#x20;which&#x20;shared&#x20;libraries&#x20;is&#x20;not&#x20;changed,&#x20;even&#x20;if&#x20;kernel.randomize_va_space&#x20;is&#x20;set&#x20;to&#x20;1.','There&#x20;is&#x20;a&#x20;bug&#x20;in&#x20;prelink&#x20;that&#x20;interferes&#x20;with&#x20;AIDE,&#x20;the&#x20;Linux&#x20;file&#x20;integrity&#x20;checker.&#x20;This&#x20;has&#x20;been&#x20;fixed&#x20;in&#x20;RHEL6&#x20;&#40;so&#x20;prelink&#x20;does&#x20;not&#x20;need&#x20;to&#x20;be&#x20;disabled&#x20;in&#x20;RHEL6&#x20;systems&#41;.','','Edit&#x20;/etc/sysconfig/prelink&#x20;and&#x20;set&#x20;PRELINKING=no','[{\"cis\": [\"1.6.5\"]}]'),(3526,'Remove&#x20;telnet-server','The&#x20;telnet-server&#x20;package&#x20;contains&#x20;the&#x20;telnetd&#x20;daemon,&#x20;which&#x20;accepts&#x20;connections&#x20;from&#x20;users&#x20;from&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;a&#x20;user&#x20;with&#x20;access&#x20;to&#x20;sniff&#x20;network&#x20;traffic&#x20;the&#x20;ability&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security&#x20;and&#x20;is&#x20;included&#x20;in&#x20;most&#x20;Red&#x20;Hat&#x20;Linux&#x20;distributions.','','#&#x20;yum&#x20;erase&#x20;telnet-server','[{\"cis\": [\"2.1.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3527,'Remove&#x20;rsh-server','The&#x20;Berkeley&#x20;rsh-server&#x20;&#40;&#x20;rsh&#x20;,&#x20;rlogin&#x20;,&#x20;rcp&#x20;&#41;&#x20;package&#x20;contains&#x20;legacy&#x20;services&#x20;that&#x20;exchange&#x20;credentials&#x20;in&#x20;clear-text.','These&#x20;legacy&#x20;service&#x20;contain&#x20;numerous&#x20;security&#x20;exposures&#x20;and&#x20;have&#x20;been&#x20;replaced&#x20;with&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;package.','','#&#x20;yum&#x20;erase&#x20;rsh-server','[{\"cis\": [\"2.1.3\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3528,'Remove&#x20;NIS&#x20;Client','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;,&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;used&#x20;to&#x20;distribute&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;client&#x20;&#40;ypbind&#41;&#x20;was&#x20;used&#x20;to&#x20;bind&#x20;a&#x20;machine&#x20;to&#x20;an&#x20;NIS&#x20;server&#x20;and&#x20;receive&#x20;the&#x20;distributed&#x20;configuration&#x20;files','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed.','','#&#x20;yum&#x20;erase&#x20;ypbind','[{\"cis\": [\"2.1.5\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3529,'Remove&#x20;NIS&#x20;Server','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;&#x20;&#40;formally&#x20;known&#x20;as&#x20;Yellow&#x20;Pages&#41;&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;for&#x20;distributing&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;server&#x20;is&#x20;a&#x20;collection&#x20;of&#x20;programs&#x20;that&#x20;allow&#x20;for&#x20;the&#x20;distribution&#x20;of&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;and&#x20;other,&#x20;more&#x20;secure&#x20;services&#x20;be&#x20;used.','','#&#x20;yum&#x20;erase&#x20;ypserv','[{\"cis\": [\"2.1.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3530,'Remove&#x20;tftp-server','Trivial&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;TFTP&#41;&#x20;is&#x20;a&#x20;simple&#x20;file&#x20;transfer&#x20;protocol,&#x20;typically&#x20;used&#x20;to&#x20;automatically&#x20;transfer&#x20;configuration&#x20;or&#x20;boot&#x20;machines&#x20;from&#x20;a&#x20;boot&#x20;server.&#x20;The&#x20;package&#x20;tftp-server&#x20;is&#x20;the&#x20;server&#x20;package&#x20;used&#x20;to&#x20;define&#x20;and&#x20;support&#x20;a&#x20;TFTP&#x20;server.','TFTP&#x20;does&#x20;not&#x20;support&#x20;authentication&#x20;nor&#x20;does&#x20;it&#x20;ensure&#x20;the&#x20;confidentiality&#x20;of&#x20;integrity&#x20;of&#x20;data.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;TFTP&#x20;be&#x20;removed,&#x20;unless&#x20;there&#x20;is&#x20;a&#x20;specific&#x20;need&#x20;for&#x20;TFTP.&#x20;In&#x20;that&#x20;case,&#x20;extreme&#x20;caution&#x20;must&#x20;be&#x20;used&#x20;when&#x20;configuring&#x20;the&#x20;services.','','#&#x20;yum&#x20;erase&#x20;tftp-server','[{\"cis\": [\"2.1.8\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3531,'Remove&#x20;talk-server','The&#x20;talk&#x20;software&#x20;makes&#x20;it&#x20;possible&#x20;for&#x20;users&#x20;to&#x20;send&#x20;and&#x20;receive&#x20;messages&#x20;across&#x20;systems&#x20;through&#x20;a&#x20;terminal&#x20;session.&#x20;The&#x20;talk&#x20;client&#x20;&#40;allows&#x20;initialization&#x20;of&#x20;talk&#x20;sessions&#41;&#x20;is&#x20;installed&#x20;by&#x20;default.','The&#x20;software&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','#&#x20;yum&#x20;erase&#x20;talk-server','[{\"cis\": [\"2.1.10\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3532,'Set&#x20;Daemon&#x20;umask','Set&#x20;the&#x20;default&#x20;umask&#x20;for&#x20;all&#x20;processes&#x20;started&#x20;at&#x20;boot&#x20;time.&#x20;The&#x20;settings&#x20;in&#x20;umask&#x20;selectively&#x20;turn&#x20;off&#x20;default&#x20;permission&#x20;when&#x20;a&#x20;file&#x20;is&#x20;created&#x20;by&#x20;a&#x20;daemon&#x20;process.','Setting&#x20;the&#x20;umask&#x20;to&#x20;027&#x20;will&#x20;make&#x20;sure&#x20;that&#x20;files&#x20;created&#x20;by&#x20;daemons&#x20;will&#x20;not&#x20;be&#x20;readable,&#x20;writable&#x20;or&#x20;executable&#x20;by&#x20;any&#x20;other&#x20;than&#x20;the&#x20;group&#x20;and&#x20;owner&#x20;of&#x20;the&#x20;daemon&#x20;process&#x20;and&#x20;will&#x20;not&#x20;be&#x20;writable&#x20;by&#x20;the&#x20;group&#x20;of&#x20;the&#x20;daemon&#x20;process.&#x20;The&#x20;daemon&#x20;process&#x20;can&#x20;manually&#x20;override&#x20;these&#x20;settings&#x20;if&#x20;these&#x20;files&#x20;need&#x20;additional&#x20;permission.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/sysconfig/init&#x20;file.&#x20;umask&#x20;027','[{\"cis\": [\"3.2\"]}]'),(3533,'Remove&#x20;X&#x20;Windows','The&#x20;X&#x20;Windows&#x20;system&#x20;provides&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;where&#x20;users&#x20;can&#x20;have&#x20;multiple&#x20;windows&#x20;in&#x20;which&#x20;to&#x20;run&#x20;programs&#x20;and&#x20;various&#x20;add&#x20;on.','Unless&#x20;your&#x20;organization&#x20;specifically&#x20;requires&#x20;graphical&#x20;login&#x20;access&#x20;via&#x20;X&#x20;Windows,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;/etc/inittab&#x20;set&#x20;default&#x20;runlevel&#x20;as&#x20;follows:&#x20;s/:5:/:3:/&#x20;Uninstall&#x20;the&#x20;X&#x20;Windows&#x20;System:&#x20;#&#x20;yum&#x20;groupremove&#x20;&#039;X&#x20;Window&#x20;System&#039;','[{\"cis\": [\"3.3\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3534,'Disable&#x20;Avahi&#x20;Server','Avahi&#x20;is&#x20;a&#x20;free&#x20;zeroconf&#x20;implementation,&#x20;including&#x20;a&#x20;system&#x20;for&#x20;multicast&#x20;DNS/DNS-SD&#x20;service&#x20;discovery.&#x20;Avahi&#x20;allows&#x20;programs&#x20;to&#x20;publish&#x20;and&#x20;discover&#x20;services&#x20;and&#x20;hosts&#x20;running&#x20;on&#x20;a&#x20;local&#x20;network&#x20;with&#x20;no&#x20;specific&#x20;configuration.','Since&#x20;servers&#x20;are&#x20;not&#x20;normally&#x20;used&#x20;for&#x20;printing,&#x20;this&#x20;service&#x20;is&#x20;not&#x20;needed&#x20;unless&#x20;dependencies&#x20;require&#x20;it.&#x20;If&#x20;this&#x20;is&#x20;the&#x20;case,&#x20;disable&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.&#x20;If&#x20;for&#x20;some&#x20;reason&#x20;the&#x20;service&#x20;is&#x20;required&#x20;on&#x20;the&#x20;server,&#x20;follow&#x20;the&#x20;recommendations&#x20;in&#x20;sub-sections&#x20;3.2.1&#x20;-&#x20;3.2.5&#x20;to&#x20;secure&#x20;it.','','#&#x20;chkconfig&#x20;avahi-daemon&#x20;off&#x20;In&#x20;addition,&#x20;edit&#x20;the&#x20;/etc/sysconfig/network&#x20;file&#x20;and&#x20;remove&#x20;zeroconf.','[{\"cis\": [\"3.1.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3535,'Disable&#x20;NFS&#x20;and&#x20;RPC','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;server&#x20;does&#x20;not&#x20;export&#x20;NFS&#x20;shares&#x20;or&#x20;act&#x20;as&#x20;an&#x20;NFS&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;these&#x20;services&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;remote&#x20;attack&#x20;surface.','','#&#x20;chkconfig&#x20;nfslock&#x20;off;&#x20;#chkconfig&#x20;rpcgssd&#x20;off;&#x20;#chkconfig&#x20;rpcidmapd&#x20;off;&#x20;#&#x20;chkconfig&#x20;portmap&#x20;off;','[{\"cis\": [\"3.8\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3536,'Remove&#x20;FTP&#x20;Server','The&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;FTP&#41;&#x20;provides&#x20;networked&#x20;computers&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;transfer&#x20;files.','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;sftp&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','#&#x20;yum&#x20;erase&#x20;vsftpd','[{\"cis\": [\"3.10\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3537,'Remove&#x20;HTTP&#x20;Server','HTTP&#x20;or&#x20;web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.&#x20;The&#x20;default&#x20;HTTP&#x20;server&#x20;shipped&#x20;with&#x20;Red&#x20;Hat&#x20;Linux&#x20;is&#x20;Apache.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','#&#x20;yum&#x20;erase&#x20;httpd','[{\"cis\": [\"3.11\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3538,'Remove&#x20;Dovecot','Dovecot&#x20;is&#x20;an&#x20;open&#x20;source&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;POP3&#x20;and/or&#x20;IMAP&#x20;servers&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;to&#x20;this&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','#&#x20;yum&#x20;erase&#x20;dovecot','[{\"cis\": [\"3.12\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3539,'Remove&#x20;Samba','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Small&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;service&#x20;can&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','#&#x20;yum&#x20;erase&#x20;samba','[{\"cis\": [\"3.13\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3540,'Remove&#x20;HTTP&#x20;Proxy&#x20;Server','The&#x20;default&#x20;HTTP&#x20;proxy&#x20;package&#x20;shipped&#x20;with&#x20;Red&#x20;Hat&#x20;Linux&#x20;is&#x20;squid.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;proxy&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','#&#x20;yum&#x20;erase&#x20;squid','[{\"cis\": [\"3.14\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3541,'Remove&#x20;SNMP&#x20;Server','The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;communicates&#x20;using&#x20;SNMP&#x20;v1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;Unless&#x20;absolutely&#x20;necessary,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;SNMP&#x20;service&#x20;not&#x20;be&#x20;used.','','#&#x20;yum&#x20;erase&#x20;net-snmp','[{\"cis\": [\"3.15\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3542,'Disable&#x20;IP&#x20;Forwarding','The&#x20;net.ipv4.ip_forward&#x20;flag&#x20;is&#x20;used&#x20;to&#x20;tell&#x20;the&#x20;server&#x20;whether&#x20;it&#x20;can&#x20;forward&#x20;packets&#x20;or&#x20;not.&#x20;If&#x20;the&#x20;server&#x20;is&#x20;not&#x20;to&#x20;be&#x20;used&#x20;as&#x20;a&#x20;router,&#x20;set&#x20;the&#x20;flag&#x20;to&#x20;0.','Setting&#x20;the&#x20;flag&#x20;to&#x20;0&#x20;ensures&#x20;that&#x20;a&#x20;server&#x20;with&#x20;multiple&#x20;interfaces&#x20;&#40;for&#x20;example,&#x20;a&#x20;hard&#x20;proxy&#41;,&#x20;will&#x20;never&#x20;be&#x20;able&#x20;to&#x20;forward&#x20;packets,&#x20;and&#x20;therefore,&#x20;never&#x20;serve&#x20;as&#x20;a&#x20;router.','','Set&#x20;the&#x20;net.ipv4.ip_forward&#x20;parameter&#x20;to&#x20;0&#x20;in&#x20;/etc/sysctl.conf&#x20;and&#x20;modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match:','[{\"cis\": [\"4.1.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3543,'Disable&#x20;Send&#x20;Packet&#x20;Redirects','ICMP&#x20;Redirects&#x20;are&#x20;used&#x20;to&#x20;send&#x20;routing&#x20;information&#x20;to&#x20;other&#x20;hosts.&#x20;As&#x20;a&#x20;host&#x20;itself&#x20;does&#x20;not&#x20;act&#x20;as&#x20;a&#x20;router&#x20;&#40;in&#x20;a&#x20;host&#x20;only&#x20;configuration&#41;,&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;send&#x20;redirects.','An&#x20;attacker&#x20;could&#x20;use&#x20;a&#x20;compromised&#x20;host&#x20;to&#x20;send&#x20;invalid&#x20;ICMP&#x20;redirects&#x20;to&#x20;other&#x20;router&#x20;devices&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;corrupt&#x20;routing&#x20;and&#x20;have&#x20;users&#x20;access&#x20;a&#x20;system&#x20;set&#x20;up&#x20;by&#x20;the&#x20;attacker&#x20;as&#x20;opposed&#x20;to&#x20;a&#x20;valid&#x20;system.','','Set&#x20;the&#x20;net.ipv4.conf.all.send_redirects&#x20;and&#x20;net.ipv4.conf.default.send_redirects&#x20;parameters&#x20;to&#x20;0&#x20;in&#x20;/etc/sysctl.conf','[{\"cis\": [\"4.1.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3544,'Disable&#x20;Source&#x20;Routed&#x20;Packet&#x20;Acceptance','In&#x20;networking,&#x20;source&#x20;routing&#x20;allows&#x20;a&#x20;sender&#x20;to&#x20;partially&#x20;or&#x20;fully&#x20;specify&#x20;the&#x20;route&#x20;packets&#x20;take&#x20;through&#x20;a&#x20;network.&#x20;In&#x20;contrast,&#x20;non-source&#x20;routed&#x20;packets&#x20;travel&#x20;a&#x20;path&#x20;determined&#x20;by&#x20;routers&#x20;in&#x20;the&#x20;network.','Setting&#x20;net.ipv4.conf.all.accept_source_route&#x20;and&#x20;net.ipv4.conf.default.accept_source_route&#x20;to&#x20;0&#x20;disables&#x20;the&#x20;system&#x20;from&#x20;accepting&#x20;source&#x20;routed&#x20;packets.&#x20;Assume&#x20;this&#x20;server&#x20;was&#x20;capable&#x20;of&#x20;routing&#x20;packets&#x20;to&#x20;Internet&#x20;routable&#x20;addresses&#x20;on&#x20;one&#x20;interface&#x20;and&#x20;private&#x20;addresses&#x20;on&#x20;another&#x20;interface.','','Set&#x20;the&#x20;net.ipv4.conf.all.accept_source_route&#x20;and&#x20;net.ipv4.conf.default.accept_source_route&#x20;parameters&#x20;to&#x20;0&#x20;in&#x20;/etc/sysctl.conf&#x20;and&#x20;modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match.','[{\"cis\": [\"4.2.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3545,'Disable&#x20;ICMP&#x20;Redirect&#x20;Acceptance','ICMP&#x20;redirect&#x20;messages&#x20;are&#x20;packets&#x20;that&#x20;convey&#x20;routing&#x20;information&#x20;and&#x20;tell&#x20;your&#x20;host&#x20;&#40;acting&#x20;as&#x20;a&#x20;router&#41;&#x20;to&#x20;send&#x20;packets&#x20;via&#x20;an&#x20;alternate&#x20;path.&#x20;It&#x20;is&#x20;a&#x20;way&#x20;of&#x20;allowing&#x20;an&#x20;outside&#x20;routing&#x20;device&#x20;to&#x20;update&#x20;your&#x20;system&#x20;routing&#x20;tables.','Attackers&#x20;could&#x20;use&#x20;bogus&#x20;ICMP&#x20;redirect&#x20;messages&#x20;to&#x20;maliciously&#x20;alter&#x20;the&#x20;system&#x20;routing&#x20;tables&#x20;and&#x20;get&#x20;them&#x20;to&#x20;send&#x20;packets&#x20;to&#x20;incorrect&#x20;networks&#x20;and&#x20;allow&#x20;your&#x20;system&#x20;packets&#x20;to&#x20;be&#x20;captured.','','Set&#x20;the&#x20;net.ipv4.conf.all.accept_redirects&#x20;and&#x20;net.ipv4.conf.default.accept_redirects&#x20;parameters&#x20;to&#x20;0&#x20;in&#x20;/etc/sysctl.conf&#x20;and&#x20;modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match.','[{\"cis\": [\"4.2.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3546,'Disable&#x20;Secure&#x20;ICMP&#x20;Redirect&#x20;Acceptance','Secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;the&#x20;same&#x20;as&#x20;ICMP&#x20;redirects,&#x20;except&#x20;they&#x20;come&#x20;from&#x20;gateways&#x20;listed&#x20;on&#x20;the&#x20;default&#x20;gateway&#x20;list.&#x20;It&#x20;is&#x20;assumed&#x20;that&#x20;these&#x20;gateways&#x20;are&#x20;known&#x20;to&#x20;your&#x20;system,&#x20;and&#x20;that&#x20;they&#x20;are&#x20;likely&#x20;to&#x20;be&#x20;secure.','It&#x20;is&#x20;still&#x20;possible&#x20;for&#x20;even&#x20;known&#x20;gateways&#x20;to&#x20;be&#x20;compromised.&#x20;Setting&#x20;net.ipv4.conf.all.secure_redirects&#x20;to&#x20;0&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;routing&#x20;table&#x20;updates&#x20;by&#x20;possibly&#x20;compromised&#x20;known&#x20;gateways.','','Set&#x20;the&#x20;net.ipv4.conf.all.secure_redirects&#x20;and&#x20;net.ipv4.conf.default.secure_redirects&#x20;parameters&#x20;to&#x20;0&#x20;in&#x20;/etc/sysctl.conf&#x20;and&#x20;modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match.','[{\"cis\": [\"4.2.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3547,'Log&#x20;Suspicious&#x20;Packets','When&#x20;enabled,&#x20;this&#x20;feature&#x20;logs&#x20;packets&#x20;with&#x20;un-routable&#x20;source&#x20;addresses&#x20;to&#x20;the&#x20;kernel&#x20;log.','Enabling&#x20;this&#x20;feature&#x20;and&#x20;logging&#x20;these&#x20;packets&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;investigate&#x20;the&#x20;possibility&#x20;that&#x20;an&#x20;attacker&#x20;is&#x20;sending&#x20;spoofed&#x20;packets&#x20;to&#x20;their&#x20;server.','','Set&#x20;the&#x20;net.ipv4.conf.all.log_martians&#x20;and&#x20;net.ipv4.conf.default.log_martians&#x20;parameters&#x20;to&#x20;1&#x20;in&#x20;/etc/sysctl.conf&#x20;and&#x20;modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match.','[{\"cis\": [\"4.2.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3548,'Enable&#x20;Ignore&#x20;Broadcast&#x20;Requests','Setting&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;to&#x20;1&#x20;will&#x20;cause&#x20;the&#x20;system&#x20;to&#x20;ignore&#x20;all&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;to&#x20;broadcast&#x20;and&#x20;multicast&#x20;addresses.','Accepting&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;with&#x20;broadcast&#x20;or&#x20;multicast&#x20;destinations&#x20;for&#x20;your&#x20;network&#x20;could&#x20;be&#x20;used&#x20;to&#x20;trick&#x20;your&#x20;host&#x20;into&#x20;starting&#x20;&#40;or&#x20;participating&#41;&#x20;in&#x20;a&#x20;Smurf&#x20;attack.&#x20;A&#x20;Smurf&#x20;attack&#x20;relies&#x20;on&#x20;an&#x20;attacker&#x20;sending&#x20;large&#x20;amounts&#x20;of&#x20;ICMP&#x20;broadcast&#x20;messages&#x20;with&#x20;a&#x20;spoofed&#x20;source&#x20;address.','','Set&#x20;the&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;parameter&#x20;to&#x20;1&#x20;in&#x20;/etc/sysctl.conf&#x20;and&#x20;modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match.','[{\"cis\": [\"4.2.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3549,'Enable&#x20;Bad&#x20;Error&#x20;Message&#x20;Protection','Setting&#x20;icmp_ignore_bogus_error_responses&#x20;to&#x20;1&#x20;prevents&#x20;the&#x20;the&#x20;kernel&#x20;from&#x20;logging&#x20;bogus&#x20;responses&#x20;&#40;RFC-1122&#x20;non-compliant&#41;&#x20;from&#x20;broadcast&#x20;reframes,&#x20;keeping&#x20;file&#x20;systems&#x20;from&#x20;filling&#x20;up&#x20;with&#x20;useless&#x20;log&#x20;messages.','Some&#x20;routers&#x20;&#40;and&#x20;some&#x20;attackers&#41;&#x20;will&#x20;send&#x20;responses&#x20;that&#x20;violate&#x20;RFC-1122&#x20;and&#x20;attempt&#x20;to&#x20;fill&#x20;up&#x20;a&#x20;log&#x20;file&#x20;system&#x20;with&#x20;many&#x20;useless&#x20;error&#x20;messages.','','Set&#x20;the&#x20;net.ipv4.icmp_ignore_bogus_error_responses&#x20;parameter&#x20;to&#x20;1&#x20;in&#x20;/etc/sysctl.conf&#x20;and&#x20;modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match.','[{\"cis\": [\"4.2.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3550,'Enable&#x20;RFC-recommended&#x20;Source&#x20;Route&#x20;Validation','Setting&#x20;net.ipv4.conf.all.rp_filter&#x20;and&#x20;net.ipv4.conf.default.rp_filter&#x20;to&#x20;1&#x20;forces&#x20;the&#x20;Linux&#x20;kernel&#x20;to&#x20;utilize&#x20;reverse&#x20;path&#x20;filtering&#x20;on&#x20;a&#x20;received&#x20;packet&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;packet&#x20;was&#x20;valid.','Setting&#x20;these&#x20;flags&#x20;is&#x20;a&#x20;good&#x20;way&#x20;to&#x20;deter&#x20;attackers&#x20;from&#x20;sending&#x20;your&#x20;server&#x20;bogus&#x20;packets&#x20;that&#x20;cannot&#x20;be&#x20;responded&#x20;to.&#x20;One&#x20;instance&#x20;where&#x20;this&#x20;feature&#x20;breaks&#x20;down&#x20;is&#x20;if&#x20;asymmetrical&#x20;routing&#x20;is&#x20;employed.','','Set&#x20;the&#x20;net.ipv4.conf.all.rp_filter&#x20;and&#x20;net.ipv4.conf.default.rp_filter&#x20;parameters&#x20;to&#x20;1&#x20;in&#x20;/etc/sysctl.conf&#x20;and&#x20;modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match.','[{\"cis\": [\"4.2.7\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3551,'Enable&#x20;TCP&#x20;SYN&#x20;Cookies','When&#x20;tcp_syncookies&#x20;is&#x20;set,&#x20;the&#x20;kernel&#x20;will&#x20;handle&#x20;TCP&#x20;SYN&#x20;packets&#x20;normally&#x20;until&#x20;the&#x20;half-open&#x20;connection&#x20;queue&#x20;is&#x20;full,&#x20;at&#x20;which&#x20;time,&#x20;the&#x20;SYN&#x20;cookie&#x20;functionality&#x20;kicks&#x20;in.&#x20;SYN&#x20;cookies&#x20;work&#x20;by&#x20;not&#x20;using&#x20;the&#x20;SYN&#x20;queue&#x20;at&#x20;all.','Attackers&#x20;use&#x20;SYN&#x20;flood&#x20;attacks&#x20;to&#x20;perform&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attacked&#x20;on&#x20;a&#x20;server&#x20;by&#x20;sending&#x20;many&#x20;SYN&#x20;packets&#x20;without&#x20;completing&#x20;the&#x20;three&#x20;way&#x20;handshake.&#x20;This&#x20;will&#x20;quickly&#x20;use&#x20;up&#x20;slots&#x20;in&#x20;the&#x20;kernel&#039;s&#x20;half-open&#x20;connection&#x20;queue&#x20;and&#x20;prevent&#x20;legitimate&#x20;connections&#x20;from&#x20;succeeding.','','Set&#x20;the&#x20;net.ipv4.tcp_syncookies&#x20;parameter&#x20;to&#x20;1&#x20;in&#x20;/etc/sysctl.conf:&#x20;net.ipv4.tcp_syncookies=1&#x20;Modify&#x20;active&#x20;kernel&#x20;parameters&#x20;to&#x20;match.','[{\"cis\": [\"4.2.8\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3552,'Set&#x20;SSH&#x20;Protocol&#x20;to&#x20;2','SSH&#x20;supports&#x20;two&#x20;different&#x20;and&#x20;incompatible&#x20;protocols:&#x20;SSH1&#x20;and&#x20;SSH2.&#x20;SSH1&#x20;was&#x20;the&#x20;original&#x20;protocol&#x20;and&#x20;was&#x20;subject&#x20;to&#x20;security&#x20;issues.&#x20;SSH2&#x20;is&#x20;more&#x20;advanced&#x20;and&#x20;secure.','SSH&#x20;v1&#x20;suffers&#x20;from&#x20;insecurities&#x20;that&#x20;do&#x20;not&#x20;affect&#x20;SSH&#x20;v2.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Protocol&#x20;2','[{\"cis\": [\"6.2.1\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(3553,'Ensure&#x20;SSH&#x20;LogLevel&#x20;is&#x20;set&#x20;to&#x20;INFO','The&#x20;INFO&#x20;parameter&#x20;specifies&#x20;that&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;will&#x20;be&#x20;logged.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;INFO','[{\"cis\": [\"5.2.3\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(3554,'Ensure&#x20;SSH&#x20;MaxAuthTries&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4','[{\"cis\": [\"5.2.5\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(3555,'Set&#x20;SSH&#x20;IgnoreRhosts&#x20;to&#x20;Yes','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthentication&#x20;or&#x20;HostbasedAuthentication&#x20;.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;ssh&#x20;.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;IgnoreRhosts&#x20;yes','[{\"cis\": [\"6.2.6\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(3556,'Set&#x20;SSH&#x20;HostbasedAuthentication&#x20;to&#x20;No','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts&#x20;,&#x20;or&#x20;/etc/hosts.equiv&#x20;,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.&#x20;This&#x20;option&#x20;only&#x20;applies&#x20;to&#x20;SSH&#x20;Protocol&#x20;Version&#x20;2.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf&#x20;,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no','[{\"cis\": [\"6.2.7\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(3557,'Disable&#x20;SSH&#x20;Root&#x20;Login','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;ssh&#40;1&#41;&#x20;.&#x20;The&#x20;default&#x20;is&#x20;no.','Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;server&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root&#x20;via&#x20;sudo&#x20;or&#x20;su&#x20;.&#x20;This&#x20;in&#x20;turn&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no','[{\"cis\": [\"6.2.8\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(3558,'Set&#x20;SSH&#x20;PermitEmptyPasswords&#x20;to&#x20;No','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no','[{\"cis\": [\"6.2.9\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(3559,'Verify&#x20;No&#x20;UID&#x20;0&#x20;Accounts&#x20;Exist&#x20;Other&#x20;Than&#x20;root','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;7.5&#x20;Restrict&#x20;root&#x20;Login&#x20;to&#x20;System&#x20;Console.','','Remove&#x20;any&#x20;users&#x20;other&#x20;than&#x20;root&#x20;with&#x20;UID&#x20;0&#x20;or&#x20;assign&#x20;them&#x20;a&#x20;new&#x20;UID&#x20;if&#x20;appropriate.','[{\"cis\": [\"9.2.5\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4000,'Ensure&#x20;mounting&#x20;of&#x20;cramfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;cramfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;compressed&#x20;read-only&#x20;Linux&#x20;filesystem&#x20;embedded&#x20;in&#x20;small&#x20;footprint&#x20;systems.&#x20;A&#x20;cramfs&#x20;image&#x20;can&#x20;be&#x20;used&#x20;without&#x20;having&#x20;to&#x20;first&#x20;decompress&#x20;the&#x20;image.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;server.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;cramfs&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;cramfs&#x20;module:&#x20;rmmod&#x20;cramfs','[{\"cis\": [\"1.1.1.1\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(4001,'Ensure&#x20;mounting&#x20;of&#x20;freevxfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;freevxfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;free&#x20;version&#x20;of&#x20;the&#x20;Veritas&#x20;type&#x20;filesystem.&#x20;This&#x20;is&#x20;the&#x20;primary&#x20;filesystem&#x20;type&#x20;for&#x20;HP-UX&#x20;operating&#x20;systems.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;freevxfs&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;freevxfs&#x20;module:&#x20;rmmod&#x20;freevxfs','[{\"cis\": [\"1.1.1.2\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(4002,'Ensure&#x20;mounting&#x20;of&#x20;jffs2&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;jffs2&#x20;&#40;journaling&#x20;flash&#x20;filesystem&#x20;2&#41;&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;log-structured&#x20;filesystem&#x20;used&#x20;in&#x20;flash&#x20;memory&#x20;devices.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;jffs2&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;jffs2&#x20;module:&#x20;rmmod&#x20;jffs2','[{\"cis\": [\"1.1.1.3\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(4003,'Ensure&#x20;mounting&#x20;of&#x20;hfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;hfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;hierarchical&#x20;filesystem&#x20;that&#x20;allows&#x20;you&#x20;to&#x20;mount&#x20;Mac&#x20;OS&#x20;filesystems.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;hfs&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;hfs&#x20;module:&#x20;rmmod&#x20;hfs','[{\"cis\": [\"1.1.1.4\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(4004,'Ensure&#x20;mounting&#x20;of&#x20;hfsplus&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;hfsplus&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;hierarchical&#x20;filesystem&#x20;designed&#x20;to&#x20;replace&#x20;hfs&#x20;that&#x20;allows&#x20;you&#x20;to&#x20;mount&#x20;Mac&#x20;OS&#x20;filesystems.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;hfsplus&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;hfsplus&#x20;module:&#x20;rmmod&#x20;hfsplus','[{\"cis\": [\"1.1.1.5\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(4005,'Ensure&#x20;mounting&#x20;of&#x20;squashfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;squashfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;compressed&#x20;read-only&#x20;Linux&#x20;filesystem&#x20;embedded&#x20;in&#x20;small&#x20;footprint&#x20;systems&#x20;&#40;similar&#x20;to&#x20;cramfs&#x20;&#41;.&#x20;A&#x20;squashfs&#x20;image&#x20;can&#x20;be&#x20;used&#x20;without&#x20;having&#x20;to&#x20;first&#x20;decompress&#x20;the&#x20;image.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;squashfs&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;squashfs&#x20;module:&#x20;rmmod&#x20;squashfs','[{\"cis\": [\"1.1.1.6\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(4006,'Ensure&#x20;mounting&#x20;of&#x20;udf&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;udf&#x20;filesystem&#x20;type&#x20;is&#x20;the&#x20;universal&#x20;disk&#x20;format&#x20;used&#x20;to&#x20;implement&#x20;ISO/IEC&#x20;13346&#x20;and&#x20;ECMA-167&#x20;specifications.&#x20;This&#x20;is&#x20;an&#x20;open&#x20;vendor&#x20;filesystem&#x20;type&#x20;for&#x20;data&#x20;storage&#x20;on&#x20;a&#x20;broad&#x20;range&#x20;of&#x20;media.&#x20;This&#x20;filesystem&#x20;type&#x20;is&#x20;necessary&#x20;to&#x20;support&#x20;writing&#x20;DVDs&#x20;and&#x20;newer&#x20;optical&#x20;disc&#x20;formats.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;udf&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;udf&#x20;module:&#x20;rmmod&#x20;udf','[{\"cis\": [\"1.1.1.7\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(4007,'Ensure&#x20;mounting&#x20;of&#x20;FAT&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;FAT&#x20;filesystem&#x20;format&#x20;is&#x20;primarily&#x20;used&#x20;on&#x20;older&#x20;windows&#x20;systems&#x20;and&#x20;portable&#x20;USB&#x20;drives&#x20;or&#x20;flash&#x20;modules.&#x20;It&#x20;comes&#x20;in&#x20;three&#x20;types&#x20;FAT12&#x20;,&#x20;FAT16&#x20;,&#x20;and&#x20;FAT32&#x20;all&#x20;of&#x20;which&#x20;are&#x20;supported&#x20;by&#x20;the&#x20;vfat&#x20;kernel&#x20;module.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;vfat&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;vfat&#x20;module:&#x20;rmmod&#x20;vfat','[{\"cis\": [\"1.1.1.8\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(4008,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/tmp','The&#x20;/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Since&#x20;the&#x20;/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;In&#x20;addition,&#x20;making&#x20;/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hardlink&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hardlink&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/tmp.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4009,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstabfile&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/tmp','[{\"cis\": [\"1.1.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4010,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/tmp','[{\"cis\": [\"1.1.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4011,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/tmp','[{\"cis\": [\"1.1.5\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4012,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var','The&#x20;/var&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;daemons&#x20;and&#x20;other&#x20;system&#x20;services&#x20;to&#x20;temporarily&#x20;store&#x20;dynamic&#x20;data.&#x20;Some&#x20;directories&#x20;created&#x20;by&#x20;these&#x20;processes&#x20;may&#x20;be&#x20;world-writable.','Since&#x20;the&#x20;/var&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4013,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/tmp','The&#x20;/var/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Since&#x20;the&#x20;/var/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;In&#x20;addition,&#x20;making&#x20;/var/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/var/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/tmp.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.7\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4014,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/tmp&#x20;.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.','[{\"cis\": [\"1.1.8\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4015,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.','[{\"cis\": [\"1.1.9\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4016,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.','[{\"cis\": [\"1.1.10\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4017,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log','The&#x20;/var/log&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;system&#x20;services&#x20;to&#x20;store&#x20;log&#x20;data&#x20;.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;system&#x20;logs&#x20;are&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;logs&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.11\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"2.2.4\", \"10.7\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4018,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log/audit','The&#x20;auditing&#x20;daemon,&#x20;auditd&#x20;,&#x20;stores&#x20;log&#x20;data&#x20;in&#x20;the&#x20;/var/log/audit&#x20;directory.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;data&#x20;gathered&#x20;by&#x20;auditd&#x20;is&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;the&#x20;audit.log&#x20;file&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log/audit.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.12\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"2.2.4\", \"10.7\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4019,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/home','The&#x20;/home&#x20;directory&#x20;is&#x20;used&#x20;to&#x20;support&#x20;disk&#x20;storage&#x20;needs&#x20;of&#x20;local&#x20;users.','If&#x20;the&#x20;system&#x20;is&#x20;intended&#x20;to&#x20;support&#x20;local&#x20;users,&#x20;create&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;the&#x20;/home&#x20;directory&#x20;to&#x20;protect&#x20;against&#x20;resource&#x20;exhaustion&#x20;and&#x20;restrict&#x20;the&#x20;type&#x20;of&#x20;files&#x20;that&#x20;can&#x20;be&#x20;stored&#x20;under&#x20;/home.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/home.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4020,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;user&#x20;partitions&#x20;are&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/home&#x20;partition.&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/home','[{\"cis\": [\"1.1.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4021,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/dev/shm&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;special&#x20;devices&#x20;in&#x20;/dev/shm&#x20;partitions.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/dev/shm','[{\"cis\": [\"1.1.15\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4022,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;introducing&#x20;privileged&#x20;programs&#x20;onto&#x20;the&#x20;system&#x20;and&#x20;allowing&#x20;non-root&#x20;users&#x20;to&#x20;execute&#x20;them.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/dev/shm','[{\"cis\": [\"1.1.16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4023,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;executing&#x20;programs&#x20;from&#x20;shared&#x20;memory.&#x20;This&#x20;deters&#x20;users&#x20;from&#x20;introducing&#x20;potentially&#x20;malicious&#x20;software&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/dev/shm','[{\"cis\": [\"1.1.17\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4024,'Disable&#x20;Automounting','autofs&#x20;allows&#x20;automatic&#x20;mounting&#x20;of&#x20;devices,&#x20;typically&#x20;including&#x20;CD/DVDs&#x20;and&#x20;USB&#x20;drives.','With&#x20;automounting&#x20;enabled&#x20;anyone&#x20;with&#x20;physical&#x20;access&#x20;could&#x20;attach&#x20;a&#x20;USB&#x20;drive&#x20;or&#x20;disc&#x20;and&#x20;have&#x20;its&#x20;contents&#x20;available&#x20;in&#x20;system&#x20;even&#x20;if&#x20;they&#x20;lacked&#x20;permissions&#x20;to&#x20;mount&#x20;it&#x20;themselves.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;autofs:&#x20;#&#x20;chkconfig&#x20;autofs&#x20;off','[{\"cis\": [\"1.1.22\"]}, {\"cis_csc\": [\"8.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4025,'Ensure&#x20;gpgcheck&#x20;is&#x20;globally&#x20;activated','The&#x20;gpgcheck&#x20;option,&#x20;found&#x20;in&#x20;the&#x20;main&#x20;section&#x20;of&#x20;the&#x20;/etc/yum.conf&#x20;and&#x20;individual&#x20;/etc/yum/repos.d&#47;&#42;&#x20;files&#x20;determines&#x20;if&#x20;an&#x20;RPM&#x20;package&#039;s&#x20;signature&#x20;is&#x20;checked&#x20;prior&#x20;to&#x20;its&#x20;installation.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;an&#x20;RPM&#039;s&#x20;package&#x20;signature&#x20;is&#x20;always&#x20;checked&#x20;prior&#x20;to&#x20;installation&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;software&#x20;is&#x20;obtained&#x20;from&#x20;a&#x20;trusted&#x20;source.','','Edit&#x20;/etc/yum.conf&#x20;and&#x20;set&#x20;&#039;&#x20;gpgcheck=1&#x20;&#039;&#x20;in&#x20;the&#x20;[main]&#x20;section.&#x20;Edit&#x20;any&#x20;failing&#x20;files&#x20;in&#x20;/etc/yum.repos.d&#47;&#42;&#x20;and&#x20;set&#x20;all&#x20;instances&#x20;of&#x20;gpgcheck&#x20;to&#x20;&#039;&#x20;1&#x20;&#039;.','[{\"cis\": [\"1.2.3\"]}, {\"cis_csc\": [\"4.5\"]}, {\"pci_dss\": [\"6.2\"]}, {\"nist_800_53\": [\"SI.2\", \"SA.11\", \"SI.4\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"A1.2\", \"CC6.8\"]}]'),(4026,'Disable&#x20;the&#x20;rhnsd&#x20;Daemon','The&#x20;rhnsd&#x20;daemon&#x20;polls&#x20;the&#x20;Red&#x20;Hat&#x20;Network&#x20;web&#x20;site&#x20;for&#x20;scheduled&#x20;actions&#x20;and,&#x20;if&#x20;there&#x20;are,&#x20;executes&#x20;those&#x20;actions.','Patch&#x20;management&#x20;policies&#x20;may&#x20;require&#x20;that&#x20;organizations&#x20;test&#x20;the&#x20;impact&#x20;of&#x20;a&#x20;patch&#x20;before&#x20;it&#x20;is&#x20;deployed&#x20;in&#x20;a&#x20;production&#x20;environment.&#x20;Having&#x20;patches&#x20;automatically&#x20;deployed&#x20;could&#x20;have&#x20;a&#x20;negative&#x20;impact&#x20;on&#x20;the&#x20;environment.&#x20;It&#x20;is&#x20;best&#x20;to&#x20;not&#x20;allow&#x20;an&#x20;action&#x20;by&#x20;default&#x20;but&#x20;only&#x20;after&#x20;appropriate&#x20;consideration&#x20;has&#x20;been&#x20;made.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;unless&#x20;the&#x20;risk&#x20;is&#x20;understood&#x20;and&#x20;accepted&#x20;or&#x20;you&#x20;are&#x20;running&#x20;your&#x20;own&#x20;satellite&#x20;.&#x20;This&#x20;item&#x20;is&#x20;not&#x20;scored&#x20;because&#x20;organizations&#x20;may&#x20;have&#x20;addressed&#x20;the&#x20;risk.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;rhnsd&#x20;:&#x20;#&#x20;chkconfig&#x20;rhnsd&#x20;off','[{\"cis\": [\"1.2.5\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(4027,'Ensure&#x20;AIDE&#x20;is&#x20;installed','AIDE&#x20;takes&#x20;a&#x20;snapshot&#x20;of&#x20;filesystem&#x20;state&#x20;including&#x20;modification&#x20;times,&#x20;permissions,&#x20;and&#x20;file&#x20;hashes&#x20;which&#x20;can&#x20;then&#x20;be&#x20;used&#x20;to&#x20;compare&#x20;against&#x20;the&#x20;current&#x20;state&#x20;of&#x20;the&#x20;filesystem&#x20;to&#x20;detect&#x20;modifications&#x20;to&#x20;the&#x20;system.','By&#x20;monitoring&#x20;the&#x20;filesystem&#x20;state&#x20;compromised&#x20;files&#x20;can&#x20;be&#x20;detected&#x20;to&#x20;prevent&#x20;or&#x20;limit&#x20;the&#x20;exposure&#x20;of&#x20;accidental&#x20;or&#x20;malicious&#x20;misconfigurations&#x20;or&#x20;modified&#x20;binaries.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;aide:&#x20;yum&#x20;install&#x20;aide&#x20;//&#x20;Configure&#x20;AIDE&#x20;as&#x20;appropriate&#x20;for&#x20;your&#x20;environment.&#x20;Consult&#x20;the&#x20;AIDE&#x20;documentation&#x20;for&#x20;options.&#x20;Initialize&#x20;AIDE:&#x20;aide&#x20;--init&#x20;&amp;&amp;&#x20;mv&#x20;/var/lib/aide/aide.db.new.gz&#x20;/var/lib/aide/aide.db.gz','[{\"cis\": [\"1.3.1\"]}, {\"cis_csc\": [\"3.5\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4028,'Ensure&#x20;filesystem&#x20;integrity&#x20;is&#x20;regularly&#x20;checked','Periodic&#x20;checking&#x20;of&#x20;the&#x20;filesystem&#x20;integrity&#x20;is&#x20;needed&#x20;to&#x20;detect&#x20;changes&#x20;to&#x20;the&#x20;filesystem.','Periodic&#x20;file&#x20;checking&#x20;allows&#x20;the&#x20;system&#x20;administrator&#x20;to&#x20;determine&#x20;on&#x20;a&#x20;regular&#x20;basis&#x20;if&#x20;critical&#x20;files&#x20;have&#x20;been&#x20;changed&#x20;in&#x20;an&#x20;unauthorized&#x20;fashion.','','Run&#x20;the&#x20;following&#x20;command:&#x20;crontab&#x20;-u&#x20;root&#x20;-e&#x20;//&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;crontab:&#x20;0&#x20;5&#x20;*&#x20;*&#x20;*&#x20;/usr/sbin/aide&#x20;--check&#x20;&#x20;//&#x20;Notes:&#x20;The&#x20;checking&#x20;in&#x20;this&#x20;recommendation&#x20;occurs&#x20;every&#x20;day&#x20;at&#x20;5am.&#x20;Alter&#x20;the&#x20;frequency&#x20;and&#x20;time&#x20;of&#x20;the&#x20;checks&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy.&#x20;&#x20;','[{\"cis\": [\"1.3.2\"]}, {\"cis_csc\": [\"3.5\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4029,'Ensure&#x20;permissions&#x20;on&#x20;bootloader&#x20;config&#x20;are&#x20;configured','The&#x20;grub&#x20;configuration&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;boot&#x20;settings&#x20;and&#x20;passwords&#x20;for&#x20;unlocking&#x20;boot&#x20;options.&#x20;The&#x20;grub&#x20;configuration&#x20;is&#x20;usually&#x20;located&#x20;at&#x20;/boot/grub/grub.conf&#x20;and&#x20;linked&#x20;as&#x20;/boot/grub/menu.lst&#x20;and&#x20;/etc/grub.conf&#x20;.','Setting&#x20;the&#x20;permissions&#x20;to&#x20;read&#x20;and&#x20;write&#x20;for&#x20;root&#x20;only&#x20;prevents&#x20;non-root&#x20;users&#x20;from&#x20;seeing&#x20;the&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;them.&#x20;Non-root&#x20;users&#x20;who&#x20;read&#x20;the&#x20;boot&#x20;parameters&#x20;may&#x20;be&#x20;able&#x20;to&#x20;identify&#x20;weaknesses&#x20;in&#x20;security&#x20;upon&#x20;boot&#x20;and&#x20;be&#x20;able&#x20;to&#x20;exploit&#x20;them.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;your&#x20;grub&#x20;configuration:&#x20;#&#x20;chown&#x20;root:root&#x20;/boot/grub/grub.conf&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/boot/grub/grub.conf','[{\"cis\": [\"1.4.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4030,'Ensure&#x20;bootloader&#x20;password&#x20;is&#x20;set','Setting&#x20;the&#x20;boot&#x20;loader&#x20;password&#x20;will&#x20;require&#x20;that&#x20;anyone&#x20;rebooting&#x20;the&#x20;system&#x20;must&#x20;enter&#x20;a&#x20;password&#x20;before&#x20;being&#x20;able&#x20;to&#x20;set&#x20;command&#x20;line&#x20;boot&#x20;parameters.','Requiring&#x20;a&#x20;boot&#x20;password&#x20;upon&#x20;execution&#x20;of&#x20;the&#x20;boot&#x20;loader&#x20;will&#x20;prevent&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;entering&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;the&#x20;boot&#x20;partition.&#x20;This&#x20;prevents&#x20;users&#x20;from&#x20;weakening&#x20;security&#x20;&#40;e.g.&#x20;turning&#x20;off&#x20;SELinux&#x20;at&#x20;boot&#x20;time&#41;.','','Create&#x20;an&#x20;encrypted&#x20;password&#x20;with&#x20;grub-md5-crypt:&#x20;#&#x20;grub-md5-crypt&#x20;Password:&#x20;&lt;password&gt;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Retype&#x20;Password:&#x20;&lt;password&gt;&#x20;&lt;encrypted-password&gt;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Copy&#x20;and&#x20;paste&#x20;the&#x20;&lt;encrypted-password&gt;&#x20;into&#x20;the&#x20;global&#x20;section&#x20;of&#x20;/boot/grub/grub.conf&#x20;:&#x20;password&#x20;--md5&#x20;&lt;encrypted-password&gt;','[{\"cis\": [\"1.4.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4031,'Ensure&#x20;authentication&#x20;required&#x20;for&#x20;single&#x20;user&#x20;mode','Single&#x20;user&#x20;mode&#x20;is&#x20;used&#x20;for&#x20;recovery&#x20;when&#x20;the&#x20;system&#x20;detects&#x20;an&#x20;issue&#x20;during&#x20;boot&#x20;or&#x20;by&#x20;manual&#x20;selection&#x20;from&#x20;the&#x20;bootloader.','Requiring&#x20;authentication&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;prevents&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;rebooting&#x20;the&#x20;system&#x20;into&#x20;single&#x20;user&#x20;to&#x20;gain&#x20;root&#x20;privileges&#x20;without&#x20;credentials.','','Edit&#x20;/etc/sysconfig/init&#x20;and&#x20;set&#x20;SINGLE&#x20;to&#x20;&#039;&#x20;/sbin/sulogin&#039;:&#x20;&#x20;SINGLE=/sbin/sulogin','[{\"cis\": [\"1.4.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4032,'Ensure&#x20;interactive&#x20;boot&#x20;is&#x20;not&#x20;enabled','Interactive&#x20;boot&#x20;allows&#x20;console&#x20;users&#x20;to&#x20;interactively&#x20;select&#x20;which&#x20;services&#x20;start&#x20;on&#x20;boot.&#x20;The&#x20;PROMPT&#x20;option&#x20;provides&#x20;console&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;interactively&#x20;boot&#x20;the&#x20;system&#x20;and&#x20;select&#x20;which&#x20;services&#x20;to&#x20;start&#x20;on&#x20;boot&#x20;.&#x20;','Turn&#x20;off&#x20;the&#x20;PROMPT&#x20;option&#x20;on&#x20;the&#x20;console&#x20;to&#x20;prevent&#x20;console&#x20;users&#x20;from&#x20;potentially&#x20;overriding&#x20;established&#x20;security&#x20;settings.&#x20;','','Edit&#x20;the&#x20;/etc/sysconfig/init&#x20;file&#x20;and&#x20;set&#x20;PROMPT&#x20;to&#x20;&#039;&#x20;no&#x20;&#039;:&#x20;PROMPT=no','[{\"cis\": [\"1.4.4\"]}, {\"cis_csc\": [\"5.1\"]}]'),(4033,'Ensure&#x20;core&#x20;dumps&#x20;are&#x20;restricted','A&#x20;core&#x20;dump&#x20;is&#x20;the&#x20;memory&#x20;of&#x20;an&#x20;executable&#x20;program.&#x20;It&#x20;is&#x20;generally&#x20;used&#x20;to&#x20;determine&#x20;why&#x20;a&#x20;program&#x20;aborted.&#x20;It&#x20;can&#x20;also&#x20;be&#x20;used&#x20;to&#x20;glean&#x20;confidential&#x20;information&#x20;from&#x20;a&#x20;core&#x20;file.','Setting&#x20;a&#x20;hard&#x20;limit&#x20;on&#x20;core&#x20;dumps&#x20;prevents&#x20;users&#x20;from&#x20;overriding&#x20;the&#x20;soft&#x20;variable.&#x20;If&#x20;core&#x20;dumps&#x20;are&#x20;required,&#x20;consider&#x20;setting&#x20;limits&#x20;for&#x20;user&#x20;groups&#x20;&#40;see&#x20;limits.conf&#41;.&#x20;In&#x20;addition,&#x20;setting&#x20;the&#x20;fs.suid_dumpable&#x20;variable&#x20;to&#x20;0&#x20;will&#x20;prevent&#x20;setuid&#x20;programs&#x20;from&#x20;dumping&#x20;core.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;/etc/security/limits.conf&#x20;or&#x20;a&#x20;/etc/security/limits.d&#47;&#42;&#x20;file:&#x20;*&#x20;hard&#x20;core&#x20;0.&#x20;Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;fs.suid_dumpable&#x20;=&#x20;0&#x20;and&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;fs.suid_dumpable=0','[{\"cis\": [\"1.5.1\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4034,'Ensure&#x20;XD/NX&#x20;support&#x20;is&#x20;enabled','Recent&#x20;processors&#x20;in&#x20;the&#x20;x86&#x20;family&#x20;support&#x20;the&#x20;ability&#x20;to&#x20;prevent&#x20;code&#x20;execution&#x20;on&#x20;a&#x20;per&#x20;memory&#x20;page&#x20;basis.&#x20;Generically&#x20;and&#x20;on&#x20;AMD&#x20;processors,&#x20;this&#x20;ability&#x20;is&#x20;called&#x20;No&#x20;Execute&#x20;&#40;NX&#41;,&#x20;while&#x20;on&#x20;Intel&#x20;processors&#x20;it&#x20;is&#x20;called&#x20;Execute&#x20;Disable&#x20;&#40;XD&#41;.&#x20;This&#x20;ability&#x20;can&#x20;help&#x20;prevent&#x20;exploitation&#x20;of&#x20;buffer&#x20;overflow&#x20;vulnerabilities&#x20;and&#x20;should&#x20;be&#x20;activated&#x20;whenever&#x20;possible.&#x20;Extra&#x20;steps&#x20;must&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;that&#x20;this&#x20;protection&#x20;is&#x20;enabled,&#x20;particularly&#x20;on&#x20;32-bit&#x20;x86&#x20;systems.&#x20;Other&#x20;processors,&#x20;such&#x20;as&#x20;Itanium&#x20;and&#x20;POWER,&#x20;have&#x20;included&#x20;such&#x20;support&#x20;since&#x20;inception&#x20;and&#x20;the&#x20;standard&#x20;kernel&#x20;for&#x20;those&#x20;platforms&#x20;supports&#x20;the&#x20;feature.','Enabling&#x20;any&#x20;feature&#x20;that&#x20;can&#x20;protect&#x20;against&#x20;buffer&#x20;overflow&#x20;attacks&#x20;enhances&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.','','On&#x20;32&#x20;bit&#x20;systems&#x20;install&#x20;a&#x20;kernel&#x20;with&#x20;PAE&#x20;support,&#x20;no&#x20;installation&#x20;is&#x20;required&#x20;on&#x20;64&#x20;bit&#x20;systems:&#x20;If&#x20;necessary&#x20;configure&#x20;your&#x20;bootloader&#x20;to&#x20;load&#x20;the&#x20;new&#x20;kernel&#x20;and&#x20;reboot&#x20;the&#x20;system.&#x20;You&#x20;may&#x20;need&#x20;to&#x20;enable&#x20;NX&#x20;or&#x20;XD&#x20;support&#x20;in&#x20;your&#x20;bios.','[{\"cis\": [\"1.5.2\"]}, {\"cis_csc\": [\"8.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4035,'Ensure&#x20;address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;enabled','Address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;an&#x20;exploit&#x20;mitigation&#x20;technique&#x20;which&#x20;randomly&#x20;arranges&#x20;the&#x20;address&#x20;space&#x20;of&#x20;key&#x20;data&#x20;areas&#x20;of&#x20;a&#x20;process.','Randomly&#x20;placing&#x20;virtual&#x20;memory&#x20;regions&#x20;will&#x20;make&#x20;it&#x20;difficult&#x20;to&#x20;write&#x20;memory&#x20;page&#x20;exploits&#x20;as&#x20;the&#x20;memory&#x20;placement&#x20;will&#x20;be&#x20;consistently&#x20;shifting.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;kernel.randomize_va_space&#x20;=&#x20;2.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;kernel.randomize_va_space=2','[{\"cis\": [\"1.5.3\"]}, {\"cis_csc\": [\"8.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4036,'Ensure&#x20;prelink&#x20;is&#x20;disabled','prelink&#x20;is&#x20;a&#x20;program&#x20;that&#x20;modifies&#x20;ELF&#x20;shared&#x20;libraries&#x20;and&#x20;ELF&#x20;dynamically&#x20;linked&#x20;binaries&#x20;in&#x20;such&#x20;a&#x20;way&#x20;that&#x20;the&#x20;time&#x20;needed&#x20;for&#x20;the&#x20;dynamic&#x20;linker&#x20;to&#x20;perform&#x20;relocations&#x20;at&#x20;startup&#x20;significantly&#x20;decreases.','The&#x20;prelinking&#x20;feature&#x20;can&#x20;interfere&#x20;with&#x20;the&#x20;operation&#x20;of&#x20;AIDE,&#x20;because&#x20;it&#x20;changes&#x20;binaries.&#x20;Prelinking&#x20;can&#x20;also&#x20;increase&#x20;the&#x20;vulnerability&#x20;of&#x20;the&#x20;system&#x20;if&#x20;a&#x20;malicious&#x20;user&#x20;is&#x20;able&#x20;to&#x20;compromise&#x20;a&#x20;common&#x20;library&#x20;such&#x20;as&#x20;libc.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;restore&#x20;binaries&#x20;to&#x20;normal&#x20;and&#x20;uninstall&#x20;prelink:&#x20;prelink&#x20;-ua&#x20;&amp;&amp;&#x20;yum&#x20;remove&#x20;prelink','[{\"cis\": [\"1.5.4\"]}, {\"cis_csc\": [\"3.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4037,'Ensure&#x20;SELinux&#x20;is&#x20;not&#x20;disabled&#x20;in&#x20;bootloader&#x20;configuration','Configure&#x20;SELINUX&#x20;to&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;and&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;not&#x20;been&#x20;overwritten&#x20;by&#x20;the&#x20;grub&#x20;boot&#x20;parameters.','SELinux&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;your&#x20;grub&#x20;configuration&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;not&#x20;overridden.','','Edit&#x20;/boot/grub/grub.conf&#x20;and&#x20;remove&#x20;all&#x20;instances&#x20;of&#x20;selinux=0&#x20;and&#x20;enforcing=0&#x20;on&#x20;all&#x20;kernel&#x20;lines','[{\"cis\": [\"1.6.1.1\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4038,'Ensure&#x20;the&#x20;SELinux&#x20;state&#x20;is&#x20;enforcing','Set&#x20;SELinux&#x20;to&#x20;enable&#x20;when&#x20;the&#x20;system&#x20;is&#x20;booted.','SELinux&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;in&#x20;effect&#x20;at&#x20;all&#x20;times.','','Edit&#x20;the&#x20;/etc/selinux/config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;SELINUX&#x20;parameter:&#x20;SELINUX=enforcing','[{\"cis\": [\"1.6.1.2\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4039,'Ensure&#x20;SELinux&#x20;policy&#x20;is&#x20;configured','Configure&#x20;SELinux&#x20;to&#x20;meet&#x20;or&#x20;exceed&#x20;the&#x20;default&#x20;targeted&#x20;policy,&#x20;which&#x20;constrains&#x20;daemons&#x20;and&#x20;system&#x20;software&#x20;only.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;at&#x20;least&#x20;the&#x20;default&#x20;recommendations&#x20;are&#x20;met.','','Edit&#x20;the&#x20;/etc/selinux/config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;SELINUXTYPE&#x20;parameter:&#x20;SELINUXTYPE=targeted','[{\"cis\": [\"1.6.1.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4040,'Ensure&#x20;SETroubleshoot&#x20;is&#x20;not&#x20;installed','The&#x20;SETroubleshoot&#x20;service&#x20;notifies&#x20;desktop&#x20;users&#x20;of&#x20;SELinux&#x20;denials&#x20;through&#x20;a&#x20;user-friendly&#x20;interface.&#x20;The&#x20;service&#x20;provides&#x20;important&#x20;information&#x20;around&#x20;configuration&#x20;errors,&#x20;unauthorized&#x20;intrusions,&#x20;and&#x20;other&#x20;potential&#x20;errors.','The&#x20;SETroubleshoot&#x20;service&#x20;is&#x20;an&#x20;unnecessary&#x20;daemon&#x20;to&#x20;have&#x20;running&#x20;on&#x20;a&#x20;server,&#x20;especially&#x20;if&#x20;X&#x20;Windows&#x20;is&#x20;disabled.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;setroubleshoot:&#x20;#&#x20;yum&#x20;remove&#x20;setroubleshoot','[{\"cis\": [\"1.6.1.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4041,'Ensure&#x20;the&#x20;MCS&#x20;Translation&#x20;Service&#x20;&#40;mcstrans&#41;&#x20;is&#x20;not&#x20;installed','The&#x20;mcstransd&#x20;daemon&#x20;provides&#x20;category&#x20;label&#x20;information&#x20;to&#x20;client&#x20;processes&#x20;requesting&#x20;information.&#x20;The&#x20;label&#x20;translations&#x20;are&#x20;defined&#x20;in&#x20;/etc/selinux/targeted/setrans.conf','Since&#x20;this&#x20;service&#x20;is&#x20;not&#x20;used&#x20;very&#x20;often,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;amount&#x20;of&#x20;potentially&#x20;vulnerable&#x20;code&#x20;running&#x20;on&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;mcstrans:&#x20;#&#x20;yum&#x20;remove&#x20;mcstrans','[{\"cis\": [\"1.6.1.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4042,'Ensure&#x20;no&#x20;unconfined&#x20;daemons&#x20;exist','Daemons&#x20;that&#x20;are&#x20;not&#x20;defined&#x20;in&#x20;SELinux&#x20;policy&#x20;will&#x20;inherit&#x20;the&#x20;security&#x20;context&#x20;of&#x20;their&#x20;parent&#x20;process.','Since&#x20;daemons&#x20;are&#x20;launched&#x20;and&#x20;descend&#x20;from&#x20;the&#x20;init&#x20;process,&#x20;they&#x20;will&#x20;inherit&#x20;the&#x20;security&#x20;context&#x20;label&#x20;initrc_t&#x20;.&#x20;This&#x20;could&#x20;cause&#x20;the&#x20;unintended&#x20;consequence&#x20;of&#x20;giving&#x20;the&#x20;process&#x20;more&#x20;permission&#x20;than&#x20;it&#x20;requires.','','Investigate&#x20;any&#x20;unconfined&#x20;daemons&#x20;found&#x20;during&#x20;the&#x20;audit&#x20;action.&#x20;They&#x20;may&#x20;need&#x20;to&#x20;have&#x20;an&#x20;existing&#x20;security&#x20;context&#x20;assigned&#x20;to&#x20;them&#x20;or&#x20;a&#x20;policy&#x20;built&#x20;for&#x20;them.','[{\"cis\": [\"1.6.1.6\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4043,'Ensure&#x20;SELinux&#x20;is&#x20;installed','SELinux&#x20;provides&#x20;Mandatory&#x20;Access&#x20;Controls.','Without&#x20;a&#x20;Mandatory&#x20;Access&#x20;Control&#x20;system&#x20;installed&#x20;only&#x20;the&#x20;default&#x20;Discretionary&#x20;Access&#x20;Control&#x20;system&#x20;will&#x20;be&#x20;available.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;libselinux:&#x20;yum&#x20;install&#x20;libselinux','[{\"cis\": [\"1.6.2\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4044,'Ensure&#x20;message&#x20;of&#x20;the&#x20;day&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/motd&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;or&#x20;v.','[{\"cis\": [\"1.7.1.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(4045,'Ensure&#x20;local&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;or&#x20;v:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue','[{\"cis\": [\"1.7.1.2\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(4046,'Ensure&#x20;remote&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;or&#x20;v:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue.net','[{\"cis\": [\"1.7.1.3\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(4047,'Ensure&#x20;permissions&#x20;on&#x20;/etc/motd&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.','If&#x20;the&#x20;/etc/motd&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/motd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/motd&#x20;#&#x20;chmod&#x20;644&#x20;/etc/motd','[{\"cis\": [\"1.7.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4048,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.','If&#x20;the&#x20;/etc/issue&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue','[{\"cis\": [\"1.7.1.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4049,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue.net&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.','If&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue.net:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue.net&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue.net','[{\"cis\": [\"1.7.1.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4050,'Ensure&#x20;GDM&#x20;login&#x20;banner&#x20;is&#x20;configured','GDM&#x20;is&#x20;the&#x20;GNOME&#x20;Display&#x20;Manager&#x20;which&#x20;handles&#x20;graphical&#x20;login&#x20;for&#x20;GNOME&#x20;based&#x20;systems.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.','','Create&#x20;the&#x20;/etc/dconf/profile/gdm&#x20;file&#x20;with&#x20;the&#x20;following&#x20;contents:&#x20;&#x20;user-db:user&#x20;&#x20;&#x20;system-db:gdm&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;file-db:/usr/share/gdm/greeter-dconf-defaults&#x20;&#x20;&#x20;&#x20;&#x20;||&#x20;&#x20;Create&#x20;or&#x20;edit&#x20;the&#x20;banner-message-enable&#x20;and&#x20;banner-message-text&#x20;options&#x20;in&#x20;/etc/dconf/db/gdm.d/01-banner-message&#x20;:&#x20;&#x20;&#x20;[org/gnome/login-screen]&#x20;&#x20;&#x20;&#x20;&#x20;banner-message-enable=true&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;banner-message-text=&#039;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&#039;&#x20;&#x20;&#x20;||&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;system&#x20;databases:&#x20;dconf&#x20;update','[{\"cis\": [\"1.7.2\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(4051,'Ensure&#x20;updates,&#x20;patches,&#x20;and&#x20;additional&#x20;security&#x20;software&#x20;are&#x20;installed','Periodically&#x20;patches&#x20;are&#x20;released&#x20;for&#x20;included&#x20;software&#x20;either&#x20;due&#x20;to&#x20;security&#x20;flaws&#x20;or&#x20;to&#x20;include&#x20;additional&#x20;functionality.','Newer&#x20;patches&#x20;may&#x20;contain&#x20;security&#x20;enhancements&#x20;that&#x20;would&#x20;not&#x20;be&#x20;available&#x20;through&#x20;the&#x20;latest&#x20;full&#x20;update.&#x20;As&#x20;a&#x20;result,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;latest&#x20;software&#x20;patches&#x20;be&#x20;used&#x20;to&#x20;take&#x20;advantage&#x20;of&#x20;the&#x20;latest&#x20;functionality.&#x20;As&#x20;with&#x20;any&#x20;software&#x20;installation,&#x20;organizations&#x20;need&#x20;to&#x20;determine&#x20;if&#x20;a&#x20;given&#x20;update&#x20;meets&#x20;their&#x20;requirements&#x20;and&#x20;verify&#x20;the&#x20;compatibility&#x20;and&#x20;supportability&#x20;of&#x20;any&#x20;additional&#x20;software&#x20;against&#x20;the&#x20;update&#x20;revision&#x20;that&#x20;is&#x20;selected.','','Site&#x20;policy&#x20;may&#x20;mandate&#x20;a&#x20;testing&#x20;period&#x20;before&#x20;install&#x20;onto&#x20;production&#x20;systems&#x20;for&#x20;available&#x20;updates.&#x20;The&#x20;audit&#x20;and&#x20;remediation&#x20;here&#x20;only&#x20;cover&#x20;security&#x20;updates.&#x20;Non-security&#x20;updates&#x20;can&#x20;be&#x20;audited&#x20;with&#x20;and&#x20;comparing&#x20;against&#x20;site&#x20;policy:&#x20;#&#x20;yum&#x20;check-update','[{\"cis\": [\"1.8\"]}, {\"cis_csc\": [\"4.5\"]}, {\"pci_dss\": [\"5.2\"]}, {\"nist_800_53\": [\"AU.6\", \"SI.4\"]}, {\"gpg_13\": [\"4.2\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"A1.2\"]}]'),(4052,'Ensure&#x20;chargen&#x20;services&#x20;are&#x20;not&#x20;enabled','chargen&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;with&#x20;0&#x20;to&#x20;512&#x20;ASCII&#x20;characters&#x20;for&#x20;each&#x20;connection&#x20;it&#x20;receives.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;chargen-dgram&#x20;and&#x20;chargen-stream:&#x20;#&#x20;chkconfig&#x20;chargen-dgram&#x20;off;&#x20;#&#x20;chkconfig&#x20;chargen-stream&#x20;off','[{\"cis\": [\"2.1.1\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4053,'Ensure&#x20;daytime&#x20;services&#x20;are&#x20;not&#x20;enabled','daytime&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;with&#x20;the&#x20;server&#039;s&#x20;current&#x20;date&#x20;and&#x20;time.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;daytime-dgram&#x20;and&#x20;daytime-stream:&#x20;#&#x20;chkconfig&#x20;daytime-dgram&#x20;off;&#x20;#&#x20;chkconfig&#x20;daytime-stream&#x20;off','[{\"cis\": [\"2.1.2\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4054,'Ensure&#x20;discard&#x20;services&#x20;are&#x20;not&#x20;enabled','discardis&#x20;a&#x20;network&#x20;service&#x20;that&#x20;simply&#x20;discards&#x20;all&#x20;data&#x20;it&#x20;receives.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;discard-dgram&#x20;and&#x20;discard-stream:&#x20;#&#x20;chkconfig&#x20;discard-dgram&#x20;off;&#x20;#&#x20;chkconfig&#x20;discard-stream&#x20;off','[{\"cis\": [\"2.1.3\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4055,'Ensure&#x20;echo&#x20;services&#x20;are&#x20;not&#x20;enabled','echo&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;to&#x20;clients&#x20;with&#x20;the&#x20;data&#x20;sent&#x20;to&#x20;it&#x20;by&#x20;the&#x20;client.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;echo-dgram&#x20;and&#x20;echo-stream:&#x20;#&#x20;chkconfig&#x20;echo-dgram&#x20;off;&#x20;#&#x20;chkconfig&#x20;echo-stream&#x20;off','[{\"cis\": [\"2.1.4\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4056,'Ensure&#x20;time&#x20;services&#x20;are&#x20;not&#x20;enabled','time&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;with&#x20;the&#x20;server&#039;s&#x20;current&#x20;date&#x20;and&#x20;time&#x20;as&#x20;a&#x20;32&#x20;bit&#x20;integer.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;time-dgram&#x20;and&#x20;time-stream:&#x20;#&#x20;chkconfig&#x20;time-dgram&#x20;off;&#x20;#&#x20;chkconfig&#x20;time-stream&#x20;off','[{\"cis\": [\"2.1.5\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4057,'Ensure&#x20;rsh&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;Berkeley&#x20;rsh-server&#x20;&#40;&#x20;rsh&#x20;,&#x20;rlogin&#x20;,&#x20;rexec&#x20;&#41;&#x20;package&#x20;contains&#x20;legacy&#x20;services&#x20;that&#x20;exchange&#x20;credentials&#x20;in&#x20;clear-text.','These&#x20;legacy&#x20;services&#x20;contain&#x20;numerous&#x20;security&#x20;exposures&#x20;and&#x20;have&#x20;been&#x20;replaced&#x20;with&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;package.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;rsh,&#x20;rlogin,&#x20;and&#x20;rexec:&#x20;#&#x20;chkconfig&#x20;rsh&#x20;off&#x20;&#x20;&#x20;#&#x20;chkconfig&#x20;rlogin&#x20;off&#x20;&#x20;#&#x20;chkconfig&#x20;rexec&#x20;off','[{\"cis\": [\"2.1.6\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4058,'Ensure&#x20;talk&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;talk&#x20;software&#x20;makes&#x20;it&#x20;possible&#x20;for&#x20;users&#x20;to&#x20;send&#x20;and&#x20;receive&#x20;messages&#x20;across&#x20;systems&#x20;through&#x20;a&#x20;terminal&#x20;session.&#x20;The&#x20;talk&#x20;client&#x20;&#40;allows&#x20;initiate&#x20;of&#x20;talk&#x20;sessions&#41;&#x20;is&#x20;installed&#x20;by&#x20;default.','The&#x20;software&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;talk:&#x20;#&#x20;chkconfig&#x20;talk&#x20;off','[{\"cis\": [\"2.1.7\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4059,'Ensure&#x20;telnet&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;telnet-server&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;daemon,&#x20;which&#x20;accepts&#x20;connections&#x20;from&#x20;users&#x20;from&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;a&#x20;user&#x20;with&#x20;access&#x20;to&#x20;sniff&#x20;network&#x20;traffic&#x20;the&#x20;ability&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;telnet:&#x20;#&#x20;chkconfig&#x20;telnet&#x20;off','[{\"cis\": [\"2.1.8\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4060,'Ensure&#x20;tftp&#x20;server&#x20;is&#x20;not&#x20;enabled','Trivial&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;TFTP&#41;&#x20;is&#x20;a&#x20;simple&#x20;file&#x20;transfer&#x20;protocol,&#x20;typically&#x20;used&#x20;to&#x20;automatically&#x20;transfer&#x20;configuration&#x20;or&#x20;boot&#x20;machines&#x20;from&#x20;a&#x20;boot&#x20;server.&#x20;The&#x20;package&#x20;tftp-server&#x20;is&#x20;used&#x20;to&#x20;define&#x20;and&#x20;support&#x20;a&#x20;TFTP&#x20;server.','TFTP&#x20;does&#x20;not&#x20;support&#x20;authentication&#x20;nor&#x20;does&#x20;it&#x20;ensure&#x20;the&#x20;confidentiality&#x20;or&#x20;integrity&#x20;of&#x20;data.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;TFTP&#x20;be&#x20;removed,&#x20;unless&#x20;there&#x20;is&#x20;a&#x20;specific&#x20;need&#x20;for&#x20;TFTP.&#x20;In&#x20;that&#x20;case,&#x20;extreme&#x20;caution&#x20;must&#x20;be&#x20;used&#x20;when&#x20;configuring&#x20;the&#x20;services.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;tftp:&#x20;#&#x20;chkconfig&#x20;tftp&#x20;off','[{\"cis\": [\"2.1.9\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\", \"AC.4\", \"SC.7\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4061,'Ensure&#x20;rsync&#x20;service&#x20;is&#x20;not&#x20;enabled','The&#x20;rsyncd&#x20;service&#x20;can&#x20;be&#x20;used&#x20;to&#x20;synchronize&#x20;files&#x20;between&#x20;systems&#x20;over&#x20;network&#x20;links.','The&#x20;rsyncd&#x20;service&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;rsync:&#x20;#&#x20;chkconfig&#x20;rsyncd&#x20;off','[{\"cis\": [\"2.1.10\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4062,'Ensure&#x20;xinetd&#x20;is&#x20;not&#x20;enabled','The&#x20;eXtended&#x20;InterNET&#x20;Daemon&#x20;&#40;&#x20;xinetd&#x20;&#41;&#x20;is&#x20;an&#x20;open&#x20;source&#x20;super&#x20;daemon&#x20;that&#x20;replaced&#x20;the&#x20;original&#x20;inetd&#x20;daemon.&#x20;The&#x20;xinetd&#x20;daemon&#x20;listens&#x20;for&#x20;well&#x20;known&#x20;services&#x20;and&#x20;dispatches&#x20;the&#x20;appropriate&#x20;daemon&#x20;to&#x20;properly&#x20;respond&#x20;to&#x20;service&#x20;requests.','If&#x20;there&#x20;are&#x20;no&#x20;xinetd&#x20;services&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;daemon&#x20;be&#x20;disabled.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;xinetd:&#x20;#&#x20;chkconfig&#x20;xinetd&#x20;off','[{\"cis\": [\"2.1.11\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4063,'Ensure&#x20;time&#x20;synchronization&#x20;is&#x20;in&#x20;use','System&#x20;time&#x20;should&#x20;be&#x20;synchronized&#x20;between&#x20;all&#x20;systems&#x20;in&#x20;an&#x20;environment.&#x20;This&#x20;is&#x20;typically&#x20;done&#x20;by&#x20;establishing&#x20;an&#x20;authoritative&#x20;time&#x20;server&#x20;or&#x20;set&#x20;of&#x20;servers&#x20;and&#x20;having&#x20;all&#x20;systems&#x20;synchronize&#x20;their&#x20;clocks&#x20;to&#x20;them.','Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;like&#x20;Kerberos&#x20;and&#x20;also&#x20;ensures&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise,&#x20;which&#x20;aids&#x20;in&#x20;forensic&#x20;investigations.','','On&#x20;physical&#x20;systems&#x20;or&#x20;virtual&#x20;systems&#x20;where&#x20;host&#x20;based&#x20;time&#x20;synchronization&#x20;is&#x20;not&#x20;available&#x20;run&#x20;the&#x20;following&#x20;commands&#x20;and&#x20;verify&#x20;either&#x20;ntp&#x20;or&#x20;chrony&#x20;is&#x20;installed:&#x20;#&#x20;rpm&#x20;-q&#x20;ntp&#x20;#&#x20;rpm&#x20;-q&#x20;chrony&#x20;&#x20;On&#x20;virtual&#x20;systems&#x20;where&#x20;host&#x20;based&#x20;time&#x20;synchronization&#x20;is&#x20;available&#x20;consult&#x20;your&#x20;virtualization&#x20;software&#x20;documentation&#x20;and&#x20;verify&#x20;that&#x20;host&#x20;based&#x20;synchronization&#x20;is&#x20;in&#x20;use.','[{\"cis\": [\"2.2.2.1\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"10.4\"]}, {\"nist_800_53\": [\"AU.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4064,'Ensure&#x20;ntp&#x20;is&#x20;configured','ntp&#x20;is&#x20;a&#x20;daemon&#x20;which&#x20;implements&#x20;the&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;.&#x20;It&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;NTP&#x20;can&#x20;be&#x20;found&#x20;at&#x20;https://www.ntp.org.&#x20;ntp&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.','If&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.','','1&#41;&#x20;Add&#x20;or&#x20;edit&#x20;restrict&#x20;lines&#x20;in&#x20;/etc/ntp.conf&#x20;to&#x20;match&#x20;the&#x20;following:&#x20;-&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;and&#x20;-&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery.&#x20;2&#41;&#x20;Add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;to&#x20;/etc/ntp.conf&#x20;as&#x20;appropriate:&#x20;server&#x20;&lt;remote-server&gt;.&#x20;3&#41;&#x20;Add&#x20;or&#x20;edit&#x20;the&#x20;OPTIONS&#x20;in&#x20;/etc/sysconfig/ntpd&#x20;to&#x20;include&#x20;&#039;&#x20;-u&#x20;ntp:ntp&#x20;&#039;:&#x20;-&#x20;OPTIONS=&#039;-u&#x20;ntp:ntp&#039;','[{\"cis\": [\"2.2.1.2\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4065,'Ensure&#x20;chrony&#x20;is&#x20;configured','chrony&#x20;is&#x20;a&#x20;daemon&#x20;which&#x20;implements&#x20;the&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;.&#x20;It&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;NTP&#x20;can&#x20;be&#x20;found&#x20;at&#x20;https://www.ntp.org.&#x20;ntp&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.','If&#x20;chrony&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.','','1&#41;&#x20;Add&#x20;or&#x20;edit&#x20;restrict&#x20;lines&#x20;in&#x20;/etc/chrony.conf&#x20;to&#x20;match&#x20;the&#x20;following:&#x20;-&#x20;1&#41;&#x20;Add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;to&#x20;/etc/chrony.conf&#x20;as&#x20;appropriate:&#x20;server&#x20;&lt;remote-server&gt;.&#x20;3&#41;&#x20;Add&#x20;or&#x20;edit&#x20;the&#x20;OPTIONS&#x20;in&#x20;/etc/sysconfig/chronyd&#x20;to&#x20;include:&#x20;-&#x20;OPTIONS=&#039;-u&#x20;chronyd&#039;','[{\"cis\": [\"2.2.1.3\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4066,'Ensure&#x20;X&#x20;Window&#x20;System&#x20;is&#x20;not&#x20;installed','The&#x20;X&#x20;Window&#x20;System&#x20;provides&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;where&#x20;users&#x20;can&#x20;have&#x20;multiple&#x20;windows&#x20;in&#x20;which&#x20;to&#x20;run&#x20;programs&#x20;and&#x20;various&#x20;add&#x20;on.&#x20;The&#x20;X&#x20;Windows&#x20;system&#x20;is&#x20;typically&#x20;used&#x20;on&#x20;workstations&#x20;where&#x20;users&#x20;login,&#x20;but&#x20;not&#x20;on&#x20;servers&#x20;where&#x20;users&#x20;typically&#x20;do&#x20;not&#x20;login.','Unless&#x20;your&#x20;organization&#x20;specifically&#x20;requires&#x20;graphical&#x20;login&#x20;access&#x20;via&#x20;X&#x20;Windows,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;X&#x20;Windows&#x20;System&#x20;packages:&#x20;#&#x20;yum&#x20;remove&#x20;xorg-x11*','[{\"cis\": [\"2.2.2\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4067,'Ensure&#x20;Avahi&#x20;Server&#x20;is&#x20;not&#x20;enabled','Avahi&#x20;is&#x20;a&#x20;free&#x20;zeroconf&#x20;implementation,&#x20;including&#x20;a&#x20;system&#x20;for&#x20;multicast&#x20;DNS/DNS-SD&#x20;service&#x20;discovery.&#x20;Avahi&#x20;allows&#x20;programs&#x20;to&#x20;publish&#x20;and&#x20;discover&#x20;services&#x20;and&#x20;hosts&#x20;running&#x20;on&#x20;a&#x20;local&#x20;network&#x20;with&#x20;no&#x20;specific&#x20;configuration.&#x20;For&#x20;example,&#x20;a&#x20;user&#x20;can&#x20;plug&#x20;a&#x20;computer&#x20;into&#x20;a&#x20;network&#x20;and&#x20;Avahi&#x20;automatically&#x20;finds&#x20;printers&#x20;to&#x20;print&#x20;to,&#x20;files&#x20;to&#x20;look&#x20;at&#x20;and&#x20;people&#x20;to&#x20;talk&#x20;to,&#x20;as&#x20;well&#x20;as&#x20;network&#x20;services&#x20;running&#x20;on&#x20;the&#x20;machine.','Automatic&#x20;discovery&#x20;of&#x20;network&#x20;services&#x20;is&#x20;not&#x20;normally&#x20;required&#x20;for&#x20;system&#x20;functionality.&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;disable&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;avahi-daemon:&#x20;#&#x20;chkconfig&#x20;avahi-daemon&#x20;off','[{\"cis\": [\"2.2.3\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4068,'Ensure&#x20;CUPS&#x20;is&#x20;not&#x20;enabled','The&#x20;Common&#x20;Unix&#x20;Print&#x20;System&#x20;&#40;CUPS&#41;&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;print&#x20;to&#x20;both&#x20;local&#x20;and&#x20;network&#x20;printers.&#x20;A&#x20;system&#x20;running&#x20;CUPS&#x20;can&#x20;also&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;remote&#x20;systems&#x20;and&#x20;print&#x20;them&#x20;to&#x20;local&#x20;printers.&#x20;It&#x20;also&#x20;provides&#x20;a&#x20;web&#x20;based&#x20;remote&#x20;administration&#x20;capability.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;need&#x20;to&#x20;print&#x20;jobs&#x20;or&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;systems,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;CUPS&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;cups&#x20;:&#x20;#&#x20;chkconfig&#x20;cups&#x20;off','[{\"cis\": [\"2.2.4\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4069,'Ensure&#x20;DHCP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Dynamic&#x20;Host&#x20;Configuration&#x20;Protocol&#x20;&#40;DHCP&#41;&#x20;is&#x20;a&#x20;service&#x20;that&#x20;allows&#x20;machines&#x20;to&#x20;be&#x20;dynamically&#x20;assigned&#x20;IP&#x20;addresses.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;set&#x20;up&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DHCP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;dhcpd:&#x20;#&#x20;chkconfig&#x20;dhcpd&#x20;off','[{\"cis\": [\"2.2.5\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4070,'Ensure&#x20;LDAP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;slapd:&#x20;#&#x20;chkconfig&#x20;slapd&#x20;off','[{\"cis\": [\"2.2.6\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4071,'Ensure&#x20;NFS&#x20;and&#x20;RPC&#x20;are&#x20;not&#x20;enabled','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;export&#x20;NFS&#x20;shares&#x20;or&#x20;act&#x20;as&#x20;an&#x20;NFS&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;these&#x20;services&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;nfs,&#x20;nfs-server&#x20;and&#x20;rpcbind:&#x20;#&#x20;chkconfig&#x20;nfs&#x20;off;&#x20;#&#x20;chkconfig&#x20;rpcbind&#x20;off','[{\"cis\": [\"2.2.7\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4072,'Ensure&#x20;DNS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Domain&#x20;Name&#x20;System&#x20;&#40;DNS&#41;&#x20;is&#x20;a&#x20;hierarchical&#x20;naming&#x20;system&#x20;that&#x20;maps&#x20;names&#x20;to&#x20;IP&#x20;addresses&#x20;for&#x20;computers,&#x20;services&#x20;and&#x20;other&#x20;resources&#x20;connected&#x20;to&#x20;a&#x20;network.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;designated&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DNS&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;named&#x20;:&#x20;#&#x20;chkconfig&#x20;named&#x20;off','[{\"cis\": [\"2.2.8\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4073,'Ensure&#x20;FTP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;FTP&#41;&#x20;provides&#x20;networked&#x20;computers&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;transfer&#x20;files.','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;sftp&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;vsftpd:&#x20;#&#x20;chkconfig&#x20;vsftpd&#x20;off','[{\"cis\": [\"2.2.9\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4074,'Ensure&#x20;HTTP&#x20;server&#x20;is&#x20;not&#x20;enabled','HTTP&#x20;or&#x20;web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;httpd:&#x20;#&#x20;chkconfig&#x20;httpd&#x20;off','[{\"cis\": [\"2.2.10\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4075,'Ensure&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;is&#x20;not&#x20;enabled','dovecot&#x20;is&#x20;an&#x20;open&#x20;source&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;POP3&#x20;and/or&#x20;IMAP&#x20;servers&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;by&#x20;this&#x20;system,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;dovecot:&#x20;#&#x20;chkconfig&#x20;dovecot&#x20;off','[{\"cis\": [\"2.2.11\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4076,'Ensure&#x20;Samba&#x20;is&#x20;not&#x20;enabled','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Small&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.&#x20;Windows&#x20;desktop&#x20;users&#x20;will&#x20;be&#x20;able&#x20;to&#x20;mount&#x20;these&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;as&#x20;letter&#x20;drives&#x20;on&#x20;their&#x20;systems.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;service&#x20;can&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;smb:&#x20;#&#x20;chkconfig&#x20;smb&#x20;off','[{\"cis\": [\"2.2.12\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4077,'Ensure&#x20;HTTP&#x20;Proxy&#x20;Server&#x20;is&#x20;not&#x20;enabled','Squid&#x20;is&#x20;a&#x20;standard&#x20;proxy&#x20;server&#x20;used&#x20;in&#x20;many&#x20;distributions&#x20;and&#x20;environments.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;proxy&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;squid:&#x20;#&#x20;chkconfig&#x20;squid&#x20;off','[{\"cis\": [\"2.2.13\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4078,'Ensure&#x20;SNMP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;can&#x20;communicate&#x20;using&#x20;SNMP&#x20;v1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;Unless&#x20;absolutely&#x20;necessary,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;SNMP&#x20;service&#x20;not&#x20;be&#x20;used.&#x20;If&#x20;SNMP&#x20;is&#x20;required&#x20;the&#x20;server&#x20;should&#x20;be&#x20;configured&#x20;to&#x20;disallow&#x20;SNMP&#x20;v1.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;snmpd:&#x20;#&#x20;chkconfig&#x20;snmpd&#x20;off','[{\"cis\": [\"2.2.14\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4079,'Ensure&#x20;mail&#x20;transfer&#x20;agent&#x20;is&#x20;configured&#x20;for&#x20;local-only&#x20;mode','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','','Edit&#x20;/etc/postfix/main.cf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;RECEIVING&#x20;MAIL&#x20;section.&#x20;If&#x20;the&#x20;line&#x20;already&#x20;exists,&#x20;change&#x20;it&#x20;to&#x20;look&#x20;like&#x20;the&#x20;line&#x20;below:&#x20;inet_interfaces&#x20;=&#x20;loopback-only&#x20;Restart&#x20;postfix:&#x20;#&#x20;service&#x20;postfix&#x20;restart','[{\"cis\": [\"2.2.15\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AC.4\", \"SC.7\"]}, {\"tsc\": [\"CC5.2\", \"CC6.4\", \"CC6.6\", \"CC6.7\"]}]'),(4080,'Ensure&#x20;NIS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;&#x20;&#40;formally&#x20;known&#x20;as&#x20;Yellow&#x20;Pages&#41;&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;for&#x20;distributing&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;server&#x20;is&#x20;a&#x20;collection&#x20;of&#x20;programs&#x20;that&#x20;allow&#x20;for&#x20;the&#x20;distribution&#x20;of&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;and&#x20;other,&#x20;more&#x20;secure&#x20;services&#x20;be&#x20;used','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;ypserv:&#x20;#&#x20;chkconfig&#x20;ypserv&#x20;off','[{\"cis\": [\"2.2.16\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4081,'Ensure&#x20;NIS&#x20;Client&#x20;is&#x20;not&#x20;installed','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;,&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;used&#x20;to&#x20;distribute&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;client&#x20;&#40;&#x20;ypbind&#x20;&#41;&#x20;was&#x20;used&#x20;to&#x20;bind&#x20;a&#x20;machine&#x20;to&#x20;an&#x20;NIS&#x20;server&#x20;and&#x20;receive&#x20;the&#x20;distributed&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;ypbind:&#x20;#&#x20;yum&#x20;remove&#x20;ypbind','[{\"cis\": [\"2.3.1\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4082,'Ensure&#x20;rsh&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;rsh&#x20;package&#x20;contains&#x20;the&#x20;client&#x20;commands&#x20;for&#x20;the&#x20;rsh&#x20;services.','These&#x20;legacy&#x20;clients&#x20;contain&#x20;numerous&#x20;security&#x20;exposures&#x20;and&#x20;have&#x20;been&#x20;replaced&#x20;with&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;package.&#x20;Even&#x20;if&#x20;the&#x20;server&#x20;is&#x20;removed,&#x20;it&#x20;is&#x20;best&#x20;to&#x20;ensure&#x20;the&#x20;clients&#x20;are&#x20;also&#x20;removed&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;inadvertently&#x20;attempting&#x20;to&#x20;use&#x20;these&#x20;commands&#x20;and&#x20;therefore&#x20;exposing&#x20;their&#x20;credentials.&#x20;Note&#x20;that&#x20;removing&#x20;the&#x20;rsh&#x20;package&#x20;removes&#x20;the&#x20;clients&#x20;for&#x20;rsh&#x20;,&#x20;rcp&#x20;and&#x20;rlogin&#x20;.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;rsh&#x20;:&#x20;#&#x20;yum&#x20;remove&#x20;rsh','[{\"cis\": [\"2.3.2\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4083,'Ensure&#x20;talk&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;talk&#x20;software&#x20;makes&#x20;it&#x20;possible&#x20;for&#x20;users&#x20;to&#x20;send&#x20;and&#x20;receive&#x20;messages&#x20;across&#x20;systems&#x20;through&#x20;a&#x20;terminal&#x20;session.&#x20;The&#x20;talk&#x20;client,&#x20;which&#x20;allows&#x20;initialization&#x20;of&#x20;talk&#x20;sessions,&#x20;is&#x20;installed&#x20;by&#x20;default.','The&#x20;software&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;talk&#x20;:&#x20;#&#x20;yum&#x20;remove&#x20;talk','[{\"cis\": [\"2.3.3\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4084,'Ensure&#x20;telnet&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;telnet&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;client,&#x20;which&#x20;allows&#x20;users&#x20;to&#x20;start&#x20;connections&#x20;to&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security&#x20;and&#x20;is&#x20;included&#x20;in&#x20;most&#x20;Linux&#x20;distributions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;telnet&#x20;:&#x20;#&#x20;yum&#x20;remove&#x20;telnet','[{\"cis\": [\"2.3.4\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4085,'Ensure&#x20;LDAP&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;openldap-clients&#x20;:&#x20;#&#x20;yum&#x20;remove&#x20;openldap-clients','[{\"cis\": [\"2.3.5\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4086,'Ensure&#x20;IP&#x20;forwarding&#x20;is&#x20;disabled','The&#x20;net.ipv4.ip_forward&#x20;flag&#x20;is&#x20;used&#x20;to&#x20;tell&#x20;the&#x20;system&#x20;whether&#x20;it&#x20;can&#x20;forward&#x20;packets&#x20;or&#x20;not.','Setting&#x20;the&#x20;flag&#x20;to&#x20;0&#x20;ensures&#x20;that&#x20;a&#x20;system&#x20;with&#x20;multiple&#x20;interfaces&#x20;&#40;for&#x20;example,&#x20;a&#x20;hard&#x20;proxy&#41;,&#x20;will&#x20;never&#x20;be&#x20;able&#x20;to&#x20;forward&#x20;packets,&#x20;and&#x20;therefore,&#x20;never&#x20;serve&#x20;as&#x20;a&#x20;router.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.ip_forward&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.ip_forward=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.1.1\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4087,'Ensure&#x20;packet&#x20;redirect&#x20;sending&#x20;is&#x20;disabled','ICMP&#x20;Redirects&#x20;are&#x20;used&#x20;to&#x20;send&#x20;routing&#x20;information&#x20;to&#x20;other&#x20;hosts.&#x20;As&#x20;a&#x20;host&#x20;itself&#x20;does&#x20;not&#x20;act&#x20;as&#x20;a&#x20;router&#x20;&#40;in&#x20;a&#x20;host&#x20;only&#x20;configuration&#41;,&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;send&#x20;redirects.','An&#x20;attacker&#x20;could&#x20;use&#x20;a&#x20;compromised&#x20;host&#x20;to&#x20;send&#x20;invalid&#x20;ICMP&#x20;redirects&#x20;to&#x20;other&#x20;router&#x20;devices&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;corrupt&#x20;routing&#x20;and&#x20;have&#x20;users&#x20;access&#x20;a&#x20;system&#x20;set&#x20;up&#x20;by&#x20;the&#x20;attacker&#x20;as&#x20;opposed&#x20;to&#x20;a&#x20;valid&#x20;system.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.send_redirects&#x20;=&#x20;0;&#x20;net.ipv4.conf.default.send_redirects&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.send_redirects=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.send_redirects=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.1.2\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4088,'Ensure&#x20;source&#x20;routed&#x20;packets&#x20;are&#x20;not&#x20;accepted','In&#x20;networking,&#x20;source&#x20;routing&#x20;allows&#x20;a&#x20;sender&#x20;to&#x20;partially&#x20;or&#x20;fully&#x20;specify&#x20;the&#x20;route&#x20;packets&#x20;take&#x20;through&#x20;a&#x20;network.&#x20;In&#x20;contrast,&#x20;non-source&#x20;routed&#x20;packets&#x20;travel&#x20;a&#x20;path&#x20;determined&#x20;by&#x20;routers&#x20;in&#x20;the&#x20;network.&#x20;In&#x20;some&#x20;cases,&#x20;systems&#x20;may&#x20;not&#x20;be&#x20;routable&#x20;or&#x20;reachable&#x20;from&#x20;some&#x20;locations&#x20;&#40;e.g.&#x20;private&#x20;addresses&#x20;vs.&#x20;Internet&#x20;routable&#41;,&#x20;and&#x20;so&#x20;source&#x20;routed&#x20;packets&#x20;would&#x20;need&#x20;to&#x20;be&#x20;used.','Setting&#x20;net.ipv4.conf.all.accept_source_route&#x20;and&#x20;net.ipv4.conf.default.accept_source_route&#x20;to&#x20;0&#x20;disables&#x20;the&#x20;system&#x20;from&#x20;accepting&#x20;source&#x20;routed&#x20;packets.&#x20;Assume&#x20;this&#x20;system&#x20;was&#x20;capable&#x20;of&#x20;routing&#x20;packets&#x20;to&#x20;Internet&#x20;routable&#x20;addresses&#x20;on&#x20;one&#x20;interface&#x20;and&#x20;private&#x20;addresses&#x20;on&#x20;another&#x20;interface.&#x20;Assume&#x20;that&#x20;the&#x20;private&#x20;addresses&#x20;were&#x20;not&#x20;routable&#x20;to&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;and&#x20;vice&#x20;versa.&#x20;Under&#x20;normal&#x20;routing&#x20;circumstances,&#x20;an&#x20;attacker&#x20;from&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;could&#x20;not&#x20;use&#x20;the&#x20;system&#x20;as&#x20;a&#x20;way&#x20;to&#x20;reach&#x20;the&#x20;private&#x20;address&#x20;systems.&#x20;If,&#x20;however,&#x20;source&#x20;routed&#x20;packets&#x20;were&#x20;allowed,&#x20;they&#x20;could&#x20;be&#x20;used&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;private&#x20;address&#x20;systems&#x20;as&#x20;the&#x20;route&#x20;could&#x20;be&#x20;specified,&#x20;rather&#x20;than&#x20;rely&#x20;on&#x20;routing&#x20;protocols&#x20;that&#x20;did&#x20;not&#x20;allow&#x20;this&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_source_route&#x20;=&#x20;0;&#x20;net.ipv4.conf.default.accept_source_route&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.1\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4089,'Ensure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','ICMP&#x20;redirect&#x20;messages&#x20;are&#x20;packets&#x20;that&#x20;convey&#x20;routing&#x20;information&#x20;and&#x20;tell&#x20;your&#x20;host&#x20;&#40;acting&#x20;as&#x20;a&#x20;router&#41;&#x20;to&#x20;send&#x20;packets&#x20;via&#x20;an&#x20;alternate&#x20;path.&#x20;It&#x20;is&#x20;a&#x20;way&#x20;of&#x20;allowing&#x20;an&#x20;outside&#x20;routing&#x20;device&#x20;to&#x20;update&#x20;your&#x20;system&#x20;routing&#x20;tables.','Attackers&#x20;could&#x20;use&#x20;bogus&#x20;ICMP&#x20;redirect&#x20;messages&#x20;to&#x20;maliciously&#x20;alter&#x20;the&#x20;system&#x20;routing&#x20;tables&#x20;and&#x20;get&#x20;them&#x20;to&#x20;send&#x20;packets&#x20;to&#x20;incorrect&#x20;networks&#x20;and&#x20;allow&#x20;your&#x20;system&#x20;packets&#x20;to&#x20;be&#x20;captured.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_redirects&#x20;=&#x20;0;&#x20;net.ipv4.conf.default.accept_redirects&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.2\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4090,'Ensure&#x20;secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','Secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;the&#x20;same&#x20;as&#x20;ICMP&#x20;redirects,&#x20;except&#x20;they&#x20;come&#x20;from&#x20;gateways&#x20;listed&#x20;on&#x20;the&#x20;default&#x20;gateway&#x20;list.&#x20;It&#x20;is&#x20;assumed&#x20;that&#x20;these&#x20;gateways&#x20;are&#x20;known&#x20;to&#x20;your&#x20;system,&#x20;and&#x20;that&#x20;they&#x20;are&#x20;likely&#x20;to&#x20;be&#x20;secure.','It&#x20;is&#x20;still&#x20;possible&#x20;for&#x20;even&#x20;known&#x20;gateways&#x20;to&#x20;be&#x20;compromised.&#x20;Setting&#x20;net.ipv4.conf.all.secure_redirects&#x20;to&#x20;0&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;routing&#x20;table&#x20;updates&#x20;by&#x20;possibly&#x20;compromised&#x20;known&#x20;gateways.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.secure_redirects&#x20;=&#x20;0;&#x20;net.ipv4.conf.default.secure_redirects&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.secure_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.secure_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.3\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4091,'Ensure&#x20;suspicious&#x20;packets&#x20;are&#x20;logged','When&#x20;enabled,&#x20;this&#x20;feature&#x20;logs&#x20;packets&#x20;with&#x20;un-routable&#x20;source&#x20;addresses&#x20;to&#x20;the&#x20;kernel&#x20;log.','Enabling&#x20;this&#x20;feature&#x20;and&#x20;logging&#x20;these&#x20;packets&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;investigate&#x20;the&#x20;possibility&#x20;that&#x20;an&#x20;attacker&#x20;is&#x20;sending&#x20;spoofed&#x20;packets&#x20;to&#x20;their&#x20;system.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.log_martians&#x20;=&#x20;1;&#x20;net.ipv4.conf.default.log_martians&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.log_martians=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.log_martians=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.4\"]}, {\"cis_csc\": [\"6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4092,'Ensure&#x20;broadcast&#x20;ICMP&#x20;requests&#x20;are&#x20;ignored','Setting&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;to&#x20;1&#x20;will&#x20;cause&#x20;the&#x20;system&#x20;to&#x20;ignore&#x20;all&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;to&#x20;broadcast&#x20;and&#x20;multicast&#x20;addresses.','Accepting&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;with&#x20;broadcast&#x20;or&#x20;multicast&#x20;destinations&#x20;for&#x20;your&#x20;network&#x20;could&#x20;be&#x20;used&#x20;to&#x20;trick&#x20;your&#x20;host&#x20;into&#x20;starting&#x20;&#40;or&#x20;participating&#41;&#x20;in&#x20;a&#x20;Smurf&#x20;attack.&#x20;A&#x20;Smurf&#x20;attack&#x20;relies&#x20;on&#x20;an&#x20;attacker&#x20;sending&#x20;large&#x20;amounts&#x20;of&#x20;ICMP&#x20;broadcast&#x20;messages&#x20;with&#x20;a&#x20;spoofed&#x20;source&#x20;address.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_echo_ignore_broadcasts=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.5\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4093,'Ensure&#x20;bogus&#x20;ICMP&#x20;responses&#x20;are&#x20;ignored','Setting&#x20;icmp_ignore_bogus_error_responses&#x20;to&#x20;1&#x20;prevents&#x20;the&#x20;kernel&#x20;from&#x20;logging&#x20;bogus&#x20;responses&#x20;&#40;RFC-1122&#x20;non-compliant&#41;&#x20;from&#x20;broadcast&#x20;reframes,&#x20;keeping&#x20;file&#x20;systems&#x20;from&#x20;filling&#x20;up&#x20;with&#x20;useless&#x20;log&#x20;messages.','Some&#x20;routers&#x20;&#40;and&#x20;some&#x20;attackers&#41;&#x20;will&#x20;send&#x20;responses&#x20;that&#x20;violate&#x20;RFC-1122&#x20;and&#x20;attempt&#x20;to&#x20;fill&#x20;up&#x20;a&#x20;log&#x20;file&#x20;system&#x20;with&#x20;many&#x20;useless&#x20;error&#x20;messages.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.icmp_ignore_bogus_error_responses&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_ignore_bogus_error_responses=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.6\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4094,'Ensure&#x20;Reverse&#x20;Path&#x20;Filtering&#x20;is&#x20;enabled','Setting&#x20;net.ipv4.conf.all.rp_filter&#x20;and&#x20;net.ipv4.conf.default.rp_filter&#x20;to&#x20;1&#x20;forces&#x20;the&#x20;Linux&#x20;kernel&#x20;to&#x20;utilize&#x20;reverse&#x20;path&#x20;filtering&#x20;on&#x20;a&#x20;received&#x20;packet&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;packet&#x20;was&#x20;valid.&#x20;Essentially,&#x20;with&#x20;reverse&#x20;path&#x20;filtering,&#x20;if&#x20;the&#x20;return&#x20;packet&#x20;does&#x20;not&#x20;go&#x20;out&#x20;the&#x20;same&#x20;interface&#x20;that&#x20;the&#x20;corresponding&#x20;source&#x20;packet&#x20;came&#x20;from,&#x20;the&#x20;packet&#x20;is&#x20;dropped&#x20;&#40;and&#x20;logged&#x20;if&#x20;log_martians&#x20;is&#x20;set&#41;.','Setting&#x20;these&#x20;flags&#x20;is&#x20;a&#x20;good&#x20;way&#x20;to&#x20;deter&#x20;attackers&#x20;from&#x20;sending&#x20;your&#x20;server&#x20;bogus&#x20;packets&#x20;that&#x20;cannot&#x20;be&#x20;responded&#x20;to.&#x20;One&#x20;instance&#x20;where&#x20;this&#x20;feature&#x20;breaks&#x20;down&#x20;is&#x20;if&#x20;asymmetrical&#x20;routing&#x20;is&#x20;employed.&#x20;This&#x20;would&#x20;occur&#x20;when&#x20;using&#x20;dynamic&#x20;routing&#x20;protocols&#x20;&#40;bgp,&#x20;ospf,&#x20;etc&#41;&#x20;on&#x20;your&#x20;system.&#x20;If&#x20;you&#x20;are&#x20;using&#x20;asymmetrical&#x20;routing&#x20;on&#x20;your&#x20;system,&#x20;you&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;enable&#x20;this&#x20;feature&#x20;without&#x20;breaking&#x20;the&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.rp_filter&#x20;=&#x20;1;&#x20;net.ipv4.conf.default.rp_filter&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.rp_filter=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.rp_filter=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.7\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4095,'Ensure&#x20;TCP&#x20;SYN&#x20;Cookies&#x20;is&#x20;enabled','When&#x20;tcp_syncookies&#x20;is&#x20;set,&#x20;the&#x20;kernel&#x20;will&#x20;handle&#x20;TCP&#x20;SYN&#x20;packets&#x20;normally&#x20;until&#x20;the&#x20;half-open&#x20;connection&#x20;queue&#x20;is&#x20;full,&#x20;at&#x20;which&#x20;time,&#x20;the&#x20;SYN&#x20;cookie&#x20;functionality&#x20;kicks&#x20;in.&#x20;SYN&#x20;cookies&#x20;work&#x20;by&#x20;not&#x20;using&#x20;the&#x20;SYN&#x20;queue&#x20;at&#x20;all.&#x20;Instead,&#x20;the&#x20;kernel&#x20;simply&#x20;replies&#x20;to&#x20;the&#x20;SYN&#x20;with&#x20;a&#x20;SYN|ACK,&#x20;but&#x20;will&#x20;include&#x20;a&#x20;specially&#x20;crafted&#x20;TCP&#x20;sequence&#x20;number&#x20;that&#x20;encodes&#x20;the&#x20;source&#x20;and&#x20;destination&#x20;IP&#x20;address&#x20;and&#x20;port&#x20;number&#x20;and&#x20;the&#x20;time&#x20;the&#x20;packet&#x20;was&#x20;sent.','Attackers&#x20;use&#x20;SYN&#x20;flood&#x20;attacks&#x20;to&#x20;perform&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attacked&#x20;on&#x20;a&#x20;system&#x20;by&#x20;sending&#x20;many&#x20;SYN&#x20;packets&#x20;without&#x20;completing&#x20;the&#x20;three&#x20;way&#x20;handshake.&#x20;This&#x20;will&#x20;quickly&#x20;use&#x20;up&#x20;slots&#x20;in&#x20;the&#x20;kernel&#039;s&#x20;half-open&#x20;connection&#x20;queue&#x20;and&#x20;prevent&#x20;legitimate&#x20;connections&#x20;from&#x20;succeeding.&#x20;SYN&#x20;cookies&#x20;allow&#x20;the&#x20;system&#x20;to&#x20;keep&#x20;accepting&#x20;valid&#x20;connections,&#x20;even&#x20;if&#x20;under&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attack.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.tcp_syncookies&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.tcp_syncookies=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.8\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4096,'Ensure&#x20;IPv6&#x20;router&#x20;advertisements&#x20;are&#x20;not&#x20;accepted','This&#x20;setting&#x20;disables&#x20;the&#x20;system&#039;s&#x20;ability&#x20;to&#x20;accept&#x20;IPv6&#x20;router&#x20;advertisements.','It&#x20;is&#x20;recommended&#x20;that&#x20;systems&#x20;not&#x20;accept&#x20;router&#x20;advertisements&#x20;as&#x20;they&#x20;could&#x20;be&#x20;tricked&#x20;into&#x20;routing&#x20;traffic&#x20;to&#x20;compromised&#x20;machines.&#x20;Setting&#x20;hard&#x20;routes&#x20;within&#x20;the&#x20;system&#x20;&#40;usually&#x20;a&#x20;single&#x20;default&#x20;route&#x20;to&#x20;a&#x20;trusted&#x20;router&#41;&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;bad&#x20;routes.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv6.conf.all.accept_ra&#x20;=&#x20;0&#x20;and&#x20;net.ipv6.conf.default.accept_ra&#x20;=&#x20;0&#x20;Then,&#x20;run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_ra=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_ra=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.3.1\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4097,'Ensure&#x20;IPv6&#x20;redirects&#x20;are&#x20;not&#x20;accepted','This&#x20;setting&#x20;prevents&#x20;the&#x20;system&#x20;from&#x20;accepting&#x20;ICMP&#x20;redirects.&#x20;ICMP&#x20;redirects&#x20;tell&#x20;the&#x20;system&#x20;about&#x20;alternate&#x20;routes&#x20;for&#x20;sending&#x20;traffic.','It&#x20;is&#x20;recommended&#x20;that&#x20;systems&#x20;not&#x20;accept&#x20;ICMP&#x20;redirects&#x20;as&#x20;they&#x20;could&#x20;be&#x20;tricked&#x20;into&#x20;routing&#x20;traffic&#x20;to&#x20;compromised&#x20;machines.&#x20;Setting&#x20;hard&#x20;routes&#x20;within&#x20;the&#x20;system&#x20;&#40;usually&#x20;a&#x20;single&#x20;default&#x20;route&#x20;to&#x20;a&#x20;trusted&#x20;router&#41;&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;bad&#x20;routes.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv6.conf.all.accept_redirects&#x20;=&#x20;0&#x20;&#x20;||&#x20;net.ipv6.conf.default.accept_redirects&#x20;=&#x20;0&#x20;Then,&#x20;run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.3.2\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4098,'Ensure&#x20;IPv6&#x20;is&#x20;disabled','Although&#x20;IPv6&#x20;has&#x20;many&#x20;advantages&#x20;over&#x20;IPv4,&#x20;few&#x20;organizations&#x20;have&#x20;implemented&#x20;IPv6.','If&#x20;IPv6&#x20;is&#x20;not&#x20;to&#x20;be&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;it&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Edit&#x20;/boot/grub/grub.conf&#x20;to&#x20;include&#x20;ipv6.disable=1&#x20;on&#x20;all&#x20;kernel&#x20;lines.','[{\"cis\": [\"3.3.3\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4099,'Ensure&#x20;TCP&#x20;Wrappers&#x20;is&#x20;installed','TCP&#x20;Wrappers&#x20;provides&#x20;a&#x20;simple&#x20;access&#x20;list&#x20;and&#x20;standardized&#x20;logging&#x20;method&#x20;for&#x20;services&#x20;capable&#x20;of&#x20;supporting&#x20;it.&#x20;In&#x20;the&#x20;past,&#x20;services&#x20;that&#x20;were&#x20;called&#x20;from&#x20;inetd&#x20;and&#x20;xinetd&#x20;supported&#x20;the&#x20;use&#x20;of&#x20;tcp&#x20;wrappers.&#x20;As&#x20;inetd&#x20;and&#x20;xinetd&#x20;have&#x20;been&#x20;falling&#x20;in&#x20;disuse,&#x20;any&#x20;service&#x20;that&#x20;can&#x20;support&#x20;tcp&#x20;wrappers&#x20;will&#x20;have&#x20;the&#x20;libwrap.so&#x20;library&#x20;attached&#x20;to&#x20;it.','TCP&#x20;Wrappers&#x20;provide&#x20;a&#x20;good&#x20;simple&#x20;access&#x20;list&#x20;mechanism&#x20;to&#x20;services&#x20;that&#x20;may&#x20;not&#x20;have&#x20;that&#x20;support&#x20;built&#x20;in.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;all&#x20;services&#x20;that&#x20;can&#x20;support&#x20;TCP&#x20;Wrappers,&#x20;use&#x20;it.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;tcp_wrappers:&#x20;yum&#x20;install&#x20;tcp_wrappers','[{\"cis\": [\"3.4.1\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"1.3.5\"]}]'),(4100,'Ensure&#x20;/etc/hosts.deny&#x20;is&#x20;configured','The&#x20;/etc/hosts.deny&#x20;file&#x20;specifies&#x20;which&#x20;IP&#x20;addresses&#x20;are&#x20;not&#x20;permitted&#x20;to&#x20;connect&#x20;to&#x20;the&#x20;host.&#x20;It&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;used&#x20;in&#x20;conjunction&#x20;with&#x20;the&#x20;/etc/hosts.allow&#x20;file.','The&#x20;/etc/hosts.allow&#x20;file&#x20;supports&#x20;access&#x20;control&#x20;by&#x20;IP&#x20;and&#x20;helps&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;systems&#x20;can&#x20;connect&#x20;to&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;/etc/hosts.deny:&#x20;echo&#x20;&#039;ALL:&#x20;ALL&#039;&#x20;&gt;&gt;&#x20;/etc/hosts.deny','[{\"cis\": [\"3.4.3\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"1.3.5\"]}]'),(4101,'Ensure&#x20;permissions&#x20;on&#x20;/etc/hosts.allow&#x20;are&#x20;configured.','The&#x20;/etc/hosts.allow&#x20;file&#x20;contains&#x20;networking&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;applications&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;applications&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/hosts.allow&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/hosts.allow&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/hosts.allow&#x20;and&#x20;chmod&#x20;644&#x20;/etc/hosts.allow','[{\"cis\": [\"3.4.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"1.3.5\"]}]'),(4102,'Ensure&#x20;permissions&#x20;on&#x20;/etc/hosts.deny&#x20;are&#x20;configured.','The&#x20;/etc/hosts.deny&#x20;file&#x20;contains&#x20;network&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;applications&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;applications&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/hosts.deny&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/hosts.deny&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/hosts.deny&#x20;and&#x20;chmod&#x20;644&#x20;/etc/hosts.deny','[{\"cis\": [\"3.4.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4103,'Ensure&#x20;DCCP&#x20;is&#x20;disabled','The&#x20;Datagram&#x20;Congestion&#x20;Control&#x20;Protocol&#x20;&#40;DCCP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;that&#x20;supports&#x20;streaming&#x20;media&#x20;and&#x20;telephony.&#x20;DCCP&#x20;provides&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;congestion&#x20;control,&#x20;without&#x20;having&#x20;to&#x20;do&#x20;it&#x20;at&#x20;the&#x20;application&#x20;layer,&#x20;but&#x20;does&#x20;not&#x20;provide&#x20;in-sequence&#x20;delivery.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;drivers&#x20;not&#x20;be&#x20;installed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;dccp&#x20;/bin/true','[{\"cis\": [\"3.5.1\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4104,'Ensure&#x20;SCTP&#x20;is&#x20;disabled','The&#x20;Stream&#x20;Control&#x20;Transmission&#x20;Protocol&#x20;&#40;SCTP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;used&#x20;to&#x20;support&#x20;message&#x20;oriented&#x20;communication,&#x20;with&#x20;several&#x20;streams&#x20;of&#x20;messages&#x20;in&#x20;one&#x20;connection.&#x20;It&#x20;serves&#x20;a&#x20;similar&#x20;function&#x20;as&#x20;TCP&#x20;and&#x20;UDP,&#x20;incorporating&#x20;features&#x20;of&#x20;both.&#x20;It&#x20;is&#x20;message-oriented&#x20;like&#x20;UDP,&#x20;and&#x20;ensures&#x20;reliable&#x20;in-sequence&#x20;transport&#x20;of&#x20;messages&#x20;with&#x20;congestion&#x20;control&#x20;like&#x20;TCP.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;sctp&#x20;/bin/true','[{\"cis\": [\"3.5.2\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4105,'Ensure&#x20;RDS&#x20;is&#x20;disabled','The&#x20;Reliable&#x20;Datagram&#x20;Sockets&#x20;&#40;RDS&#41;&#x20;protocol&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;designed&#x20;to&#x20;provide&#x20;low-latency,&#x20;high-bandwidth&#x20;communications&#x20;between&#x20;cluster&#x20;nodes.&#x20;It&#x20;was&#x20;developed&#x20;by&#x20;the&#x20;Oracle&#x20;Corporation.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;rds&#x20;/bin/true','[{\"cis\": [\"3.5.3\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4106,'Ensure&#x20;TIPC&#x20;is&#x20;disabled','The&#x20;Transparent&#x20;Inter-Process&#x20;Communication&#x20;&#40;TIPC&#41;&#x20;protocol&#x20;is&#x20;designed&#x20;to&#x20;provide&#x20;communication&#x20;between&#x20;cluster&#x20;nodes.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;tipc&#x20;/bin/true','[{\"cis\": [\"3.5.4\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4107,'Ensure&#x20;iptables&#x20;is&#x20;installed','iptables&#x20;allows&#x20;configuration&#x20;of&#x20;the&#x20;IPv4&#x20;tables&#x20;in&#x20;the&#x20;linux&#x20;kernel&#x20;and&#x20;the&#x20;rules&#x20;stored&#x20;within&#x20;them.&#x20;Most&#x20;firewall&#x20;configuration&#x20;utilities&#x20;operate&#x20;as&#x20;a&#x20;front&#x20;end&#x20;to&#x20;iptables&#x20;.','iptables&#x20;is&#x20;required&#x20;for&#x20;firewall&#x20;management&#x20;and&#x20;configuration.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;iptables&#x20;:&#x20;yum&#x20;install&#x20;iptables','[{\"cis\": [\"3.6.1\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"1.1\"]}]'),(4108,'Ensure&#x20;default&#x20;deny&#x20;firewall&#x20;policy','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;iptables&#x20;-P&#x20;INPUT&#x20;DROP;&#x20;iptables&#x20;-P&#x20;OUTPUT&#x20;DROP&#x20;and&#x20;iptables&#x20;-P&#x20;FORWARD&#x20;DROP','[{\"cis\": [\"3.6.2\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4109,'Ensure&#x20;loopback&#x20;traffic&#x20;is&#x20;configured','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-s&#x20;127.0.0.0/8&#x20;-j&#x20;DROP','[{\"cis\": [\"3.6.3\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4110,'Ensure&#x20;audit&#x20;log&#x20;storage&#x20;size&#x20;is&#x20;configured','Configure&#x20;the&#x20;maximum&#x20;size&#x20;of&#x20;the&#x20;audit&#x20;log&#x20;file.&#x20;Once&#x20;the&#x20;log&#x20;reaches&#x20;the&#x20;maximum&#x20;size,&#x20;it&#x20;will&#x20;be&#x20;rotated&#x20;and&#x20;a&#x20;new&#x20;log&#x20;file&#x20;will&#x20;be&#x20;started.','It&#x20;is&#x20;important&#x20;that&#x20;an&#x20;appropriate&#x20;size&#x20;is&#x20;determined&#x20;for&#x20;log&#x20;files&#x20;so&#x20;that&#x20;they&#x20;do&#x20;not&#x20;impact&#x20;the&#x20;system&#x20;and&#x20;audit&#x20;data&#x20;is&#x20;not&#x20;lost.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy:&#x20;max_log_file&#x20;=&#x20;&lt;MB&gt;','[{\"cis\": [\"4.1.1.1\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"10.7\"]}]'),(4111,'Ensure&#x20;system&#x20;is&#x20;disabled&#x20;when&#x20;audit&#x20;logs&#x20;are&#x20;full','The&#x20;auditd&#x20;daemon&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;halt&#x20;the&#x20;system&#x20;when&#x20;the&#x20;audit&#x20;logs&#x20;are&#x20;full.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;risk&#x20;of&#x20;detecting&#x20;unauthorized&#x20;access&#x20;or&#x20;nonrepudiation&#x20;exceeds&#x20;the&#x20;benefit&#x20;of&#x20;the&#x20;system&#039;s&#x20;availability.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;space_left_action&#x20;=&#x20;email&#x20;&#x20;&#x20;action_mail_acct&#x20;=&#x20;root&#x20;&#x20;&#x20;admin_space_left_action&#x20;=&#x20;halt','[{\"cis\": [\"4.1.1.2\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"10.7\"]}]'),(4112,'Ensure&#x20;audit&#x20;logs&#x20;are&#x20;not&#x20;automatically&#x20;deleted','The&#x20;max_log_file_action&#x20;setting&#x20;determines&#x20;how&#x20;to&#x20;handle&#x20;the&#x20;audit&#x20;log&#x20;file&#x20;reaching&#x20;the&#x20;max&#x20;file&#x20;size.&#x20;A&#x20;value&#x20;of&#x20;keep_logs&#x20;will&#x20;rotate&#x20;the&#x20;logs&#x20;but&#x20;never&#x20;delete&#x20;old&#x20;logs.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;benefits&#x20;of&#x20;maintaining&#x20;a&#x20;long&#x20;audit&#x20;history&#x20;exceed&#x20;the&#x20;cost&#x20;of&#x20;storing&#x20;the&#x20;audit&#x20;history.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;max_log_file_action&#x20;=&#x20;keep_logs','[{\"cis\": [\"4.1.1.3\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"10.7\"]}]'),(4113,'Ensure&#x20;auditd&#x20;service&#x20;is&#x20;enabled','Turn&#x20;on&#x20;the&#x20;auditd&#x20;daemon&#x20;to&#x20;record&#x20;system&#x20;events.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;auditd&#x20;:&#x20;#&#x20;chkconfig&#x20;auditd&#x20;on','[{\"cis\": [\"4.1.2\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.1\", \"10.7\"]}, {\"tsc\": [\"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4114,'Ensure&#x20;auditing&#x20;for&#x20;processes&#x20;that&#x20;start&#x20;prior&#x20;to&#x20;auditd&#x20;is&#x20;enabled','Configure&#x20;grub&#x20;so&#x20;that&#x20;processes&#x20;that&#x20;are&#x20;capable&#x20;of&#x20;being&#x20;audited&#x20;can&#x20;be&#x20;audited&#x20;even&#x20;if&#x20;they&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;startup.','Audit&#x20;events&#x20;need&#x20;to&#x20;be&#x20;captured&#x20;on&#x20;processes&#x20;that&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd,&#x20;so&#x20;that&#x20;potential&#x20;malicious&#x20;activity&#x20;cannot&#x20;go&#x20;undetected.','','Edit&#x20;/boot/grub/grub.conf&#x20;to&#x20;include&#x20;audit=1&#x20;on&#x20;all&#x20;kernel&#x20;lines.&#x20;Notes:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.','[{\"cis\": [\"4.1.3\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.2.6\", \"10.7\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"35.7.d\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4115,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;date&#x20;and&#x20;time&#x20;information&#x20;are&#x20;collected','Capture&#x20;events&#x20;where&#x20;the&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;has&#x20;been&#x20;modified.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;are&#x20;set&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;adjtimex&#x20;&#40;tune&#x20;kernel&#x20;clock&#41;,&#x20;settimeofday&#x20;&#40;Set&#x20;time,&#x20;using&#x20;timeval&#x20;and&#x20;timezone&#x20;structures&#41;&#x20;stime&#x20;&#40;using&#x20;seconds&#x20;since&#x20;1/1/1970&#41;&#x20;or&#x20;clock_settime&#x20;&#40;allows&#x20;for&#x20;the&#x20;setting&#x20;of&#x20;several&#x20;internal&#x20;clocks&#x20;and&#x20;timers&#41;&#x20;system&#x20;calls&#x20;have&#x20;been&#x20;executed&#x20;and&#x20;always&#x20;write&#x20;an&#x20;audit&#x20;record&#x20;to&#x20;the&#x20;/var/log/audit.log&#x20;file&#x20;upon&#x20;exit,&#x20;tagging&#x20;the&#x20;records&#x20;with&#x20;the&#x20;identifier&#x20;&quot;time-change&quot;.','Unexpected&#x20;changes&#x20;in&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;could&#x20;be&#x20;a&#x20;sign&#x20;of&#x20;malicious&#x20;activity&#x20;on&#x20;the&#x20;system.','','For&#x20;32&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-Farch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change','[{\"cis\": [\"4.1.4\"]}, {\"cis_csc\": [\"3.6\"]}, {\"pci_dss\": [\"10.4.2\", \"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4116,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;user/group&#x20;information&#x20;are&#x20;collected','Record&#x20;events&#x20;affecting&#x20;the&#x20;group&#x20;,&#x20;passwd&#x20;&#40;user&#x20;IDs&#41;,&#x20;shadow&#x20;and&#x20;gshadow&#x20;&#40;passwords&#41;&#x20;or&#x20;/etc/security/opasswd&#x20;&#40;old&#x20;passwords,&#x20;based&#x20;on&#x20;remember&#x20;parameter&#x20;in&#x20;the&#x20;PAM&#x20;configuration&#41;&#x20;files.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;will&#x20;watch&#x20;the&#x20;files&#x20;to&#x20;see&#x20;if&#x20;they&#x20;have&#x20;been&#x20;opened&#x20;for&#x20;write&#x20;or&#x20;have&#x20;had&#x20;attribute&#x20;changes&#x20;&#40;e.g.&#x20;permissions&#41;&#x20;and&#x20;tag&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;identity&quot;&#x20;in&#x20;the&#x20;audit&#x20;log&#x20;file.','Unexpected&#x20;changes&#x20;to&#x20;these&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;the&#x20;system&#x20;has&#x20;been&#x20;compromised&#x20;and&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;hide&#x20;their&#x20;activities&#x20;or&#x20;compromise&#x20;additional&#x20;accounts.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/group&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/passwd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/gshadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/shadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/security/opasswd&#x20;-p&#x20;wa&#x20;-k&#x20;identity','[{\"cis\": [\"4.1.5\"]}, {\"cis_csc\": [\"5.4\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4117,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;network&#x20;environment&#x20;are&#x20;collected','Record&#x20;changes&#x20;to&#x20;network&#x20;environment&#x20;files&#x20;or&#x20;system&#x20;calls.&#x20;The&#x20;below&#x20;parameters&#x20;monitor&#x20;the&#x20;sethostname&#x20;&#40;set&#x20;the&#x20;systems&#x20;host&#x20;name&#41;&#x20;or&#x20;setdomainname&#x20;&#40;set&#x20;the&#x20;systems&#x20;domainname&#41;&#x20;system&#x20;calls,&#x20;and&#x20;write&#x20;an&#x20;audit&#x20;event&#x20;on&#x20;system&#x20;call&#x20;exit.&#x20;The&#x20;other&#x20;parameters&#x20;monitor&#x20;the&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;files&#x20;&#40;messages&#x20;displayed&#x20;pre-login&#41;,&#x20;/etc/hosts&#x20;&#40;file&#x20;containing&#x20;host&#x20;names&#x20;and&#x20;associated&#x20;IP&#x20;addresses&#41;,&#x20;/etc/sysconfig/network&#x20;file&#x20;and&#x20;/etc/sysconfig/network-scripts/&#x20;directory&#x20;&#40;containing&#x20;network&#x20;interface&#x20;scripts&#x20;and&#x20;configurations&#41;.','Monitoring&#x20;sethostname&#x20;and&#x20;setdomainname&#x20;will&#x20;identify&#x20;potential&#x20;unauthorized&#x20;changes&#x20;to&#x20;host&#x20;and&#x20;domainname&#x20;of&#x20;a&#x20;system.&#x20;The&#x20;changing&#x20;of&#x20;these&#x20;names&#x20;could&#x20;potentially&#x20;break&#x20;security&#x20;parameters&#x20;that&#x20;are&#x20;set&#x20;based&#x20;on&#x20;those&#x20;names.&#x20;The&#x20;/etc/hosts&#x20;file&#x20;is&#x20;monitored&#x20;for&#x20;changes&#x20;in&#x20;the&#x20;file&#x20;that&#x20;can&#x20;indicate&#x20;an&#x20;unauthorized&#x20;intruder&#x20;is&#x20;trying&#x20;to&#x20;change&#x20;machine&#x20;associations&#x20;with&#x20;IP&#x20;addresses&#x20;and&#x20;trick&#x20;users&#x20;and&#x20;processes&#x20;into&#x20;connecting&#x20;to&#x20;unintended&#x20;machines.&#x20;Monitoring&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;is&#x20;important,&#x20;as&#x20;intruders&#x20;could&#x20;put&#x20;disinformation&#x20;into&#x20;those&#x20;files&#x20;and&#x20;trick&#x20;users&#x20;into&#x20;providing&#x20;information&#x20;to&#x20;the&#x20;intruder.&#x20;Monitoring&#x20;/etc/sysconfig/network&#x20;and&#x20;/etc/sysconfig/network-scripts/&#x20;is&#x20;important&#x20;as&#x20;it&#x20;can&#x20;show&#x20;if&#x20;network&#x20;interfaces&#x20;or&#x20;scripts&#x20;are&#x20;being&#x20;modified&#x20;in&#x20;a&#x20;way&#x20;that&#x20;can&#x20;lead&#x20;to&#x20;the&#x20;machine&#x20;becoming&#x20;unavailable&#x20;or&#x20;compromised.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;system-locale.&quot;','','For&#x20;32&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/sysconfig/network&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/sysconfig/network-scripts/&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/sysconfig/network&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/sysconfig/network-scripts/&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale','[{\"cis\": [\"4.1.6\"]}, {\"cis_csc\": [\"3.6\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4118,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;Mandatory&#x20;Access&#x20;Controls&#x20;are&#x20;collected','Monitor&#x20;SELinux&#x20;mandatory&#x20;access&#x20;controls.&#x20;The&#x20;parameters&#x20;below&#x20;monitor&#x20;any&#x20;write&#x20;access&#x20;&#40;potential&#x20;additional,&#x20;deletion&#x20;or&#x20;modification&#x20;of&#x20;files&#x20;in&#x20;the&#x20;directory&#41;&#x20;or&#x20;attribute&#x20;changes&#x20;to&#x20;the&#x20;/etc/selinux&#x20;or&#x20;directory.','Changes&#x20;to&#x20;files&#x20;in&#x20;these&#x20;directories&#x20;could&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;modify&#x20;access&#x20;controls&#x20;and&#x20;change&#x20;security&#x20;contexts,&#x20;leading&#x20;to&#x20;a&#x20;compromise&#x20;of&#x20;the&#x20;system.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/etc/selinux/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;-w&#x20;/usr/share/selinux/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy','[{\"cis\": [\"4.1.7\"]}, {\"cis_csc\": [\"3.6\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4119,'Ensure&#x20;login&#x20;and&#x20;logout&#x20;events&#x20;are&#x20;collected','Monitor&#x20;login&#x20;and&#x20;logout&#x20;events.&#x20;The&#x20;parameters&#x20;below&#x20;track&#x20;changes&#x20;to&#x20;files&#x20;associated&#x20;with&#x20;login/logout&#x20;events.&#x20;The&#x20;file&#x20;/var/log/lastlog&#x20;maintain&#x20;records&#x20;of&#x20;the&#x20;last&#x20;time&#x20;a&#x20;user&#x20;successfully&#x20;logged&#x20;in.&#x20;The&#x20;/var/run/failock&#x20;directory&#x20;maintains&#x20;records&#x20;of&#x20;login&#x20;failures&#x20;via&#x20;the&#x20;pam_faillock&#x20;module.','Monitoring&#x20;login/logout&#x20;events&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;information&#x20;associated&#x20;with&#x20;brute&#x20;force&#x20;attacks&#x20;against&#x20;user&#x20;logins.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;-w&#x20;/var/log/lastlog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&#x20;&#x20;-w&#x20;/var/run/faillock/&#x20;-p&#x20;wa&#x20;-k&#x20;logins','[{\"cis\": [\"4.1.8\"]}, {\"cis_csc\": [\"5.5\", \"16.10\", \"16.4\"]}, {\"pci_dss\": [\"10.2.1\", \"10.2.4\", \"10.3\"]}, {\"nist_800_53\": [\"AC.7\", \"AU.14\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4120,'Ensure&#x20;session&#x20;initiation&#x20;information&#x20;is&#x20;collected','Monitor&#x20;session&#x20;initiation&#x20;events.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;to&#x20;the&#x20;files&#x20;associated&#x20;with&#x20;session&#x20;events.&#x20;The&#x20;file&#x20;/var/run/utmp&#x20;file&#x20;tracks&#x20;all&#x20;currently&#x20;logged&#x20;in&#x20;users.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;session.&quot;&#x20;The&#x20;/var/log/wtmp&#x20;file&#x20;tracks&#x20;logins,&#x20;logouts,&#x20;shutdown,&#x20;and&#x20;reboot&#x20;events.&#x20;The&#x20;file&#x20;/var/log/btmp&#x20;keeps&#x20;track&#x20;of&#x20;failed&#x20;login&#x20;attempts&#x20;and&#x20;can&#x20;be&#x20;read&#x20;by&#x20;entering&#x20;the&#x20;command&#x20;/usr/bin/last&#x20;-f&#x20;/var/log/btmp&#x20;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;logins.&quot;.','Monitoring&#x20;these&#x20;files&#x20;for&#x20;changes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;logins&#x20;occurring&#x20;at&#x20;unusual&#x20;hours,&#x20;which&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;&#40;i.e.&#x20;a&#x20;user&#x20;logging&#x20;in&#x20;at&#x20;a&#x20;time&#x20;when&#x20;they&#x20;do&#x20;not&#x20;normally&#x20;log&#x20;in&#41;.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-w&#x20;/var/run/utmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;&#x20;&#x20;-w&#x20;/var/log/wtmp&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&#x20;&#x20;-w&#x20;/var/log/btmp&#x20;-p&#x20;wa&#x20;-k&#x20;logins','[{\"cis\": [\"4.1.8\"]}, {\"cis_csc\": [\"5.5\", \"16.10\", \"16.4\"]}, {\"pci_dss\": [\"10.3\"]}]'),(4121,'Ensure&#x20;discretionary&#x20;access&#x20;control&#x20;permission&#x20;modification&#x20;events&#x20;are&#x20;collected','Monitor&#x20;changes&#x20;to&#x20;file&#x20;permissions,&#x20;attributes,&#x20;ownership&#x20;and&#x20;group.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;for&#x20;system&#x20;calls&#x20;that&#x20;affect&#x20;file&#x20;permissions&#x20;and&#x20;attributes.&#x20;The&#x20;chmod&#x20;,&#x20;fchmod&#x20;and&#x20;fchmodat&#x20;system&#x20;calls&#x20;affect&#x20;the&#x20;permissions&#x20;associated&#x20;with&#x20;a&#x20;file.&#x20;The&#x20;chown&#x20;,&#x20;fchown&#x20;,&#x20;fchownat&#x20;and&#x20;lchown&#x20;system&#x20;calls&#x20;affect&#x20;owner&#x20;and&#x20;group&#x20;attributes&#x20;on&#x20;a&#x20;file.&#x20;The&#x20;setxattr&#x20;,&#x20;lsetxattr&#x20;,&#x20;fsetxattr&#x20;&#40;set&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;and&#x20;removexattr&#x20;,&#x20;lremovexattr&#x20;,&#x20;fremovexattr&#x20;&#40;remove&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;control&#x20;extended&#x20;file&#x20;attributes.&#x20;In&#x20;all&#x20;cases,&#x20;an&#x20;audit&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;for&#x20;non-system&#x20;user&#x20;ids&#x20;&#40;auid&#x20;&gt;=&#x20;500&#41;&#x20;and&#x20;will&#x20;ignore&#x20;Daemon&#x20;events&#x20;&#40;auid&#x20;=&#x20;4294967295&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;perm_mod.&quot;','Monitoring&#x20;for&#x20;changes&#x20;in&#x20;file&#x20;attributes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;activity&#x20;that&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;or&#x20;policy&#x20;violation.','','For&#x20;32&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lrem','[{\"cis\": [\"4.1.10\"]}, {\"cis_csc\": [\"3.6\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4122,'Ensure&#x20;unsuccessful&#x20;unauthorized&#x20;file&#x20;access&#x20;attempts&#x20;are&#x20;collected','Monitor&#x20;for&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;access&#x20;files.&#x20;The&#x20;parameters&#x20;below&#x20;are&#x20;associated&#x20;&#x20;with&#x20;system&#x20;calls&#x20;that&#x20;control&#x20;creation&#x20;&#40;&#x20;creat&#x20;&#41;,&#x20;opening&#x20;&#40;&#x20;open&#x20;,&#x20;openat&#x20;&#41;&#x20;and&#x20;truncation&#x20;&#40;&#x20;&#x20;truncate&#x20;,&#x20;ftruncate&#x20;&#41;&#x20;of&#x20;files.&#x20;An&#x20;audit&#x20;log&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;if&#x20;the&#x20;user&#x20;is&#x20;a&#x20;non-&#x20;&#x20;privileged&#x20;user&#x20;&#40;auid&#x20;&gt;&#x20;=&#x20;500&#41;,&#x20;is&#x20;not&#x20;a&#x20;Daemon&#x20;event&#x20;&#40;auid=4294967295&#41;&#x20;and&#x20;if&#x20;the&#x20;&#x20;system&#x20;call&#x20;returned&#x20;EACCES&#x20;&#40;permission&#x20;denied&#x20;to&#x20;the&#x20;file&#41;&#x20;or&#x20;EPERM&#x20;&#40;some&#x20;other&#x20;&#x20;permanent&#x20;error&#x20;associated&#x20;with&#x20;the&#x20;specific&#x20;system&#x20;call&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;&#x20;with&#x20;the&#x20;identifier&#x20;&quot;access.&quot;','Failed&#x20;attempts&#x20;to&#x20;open,&#x20;create&#x20;or&#x20;truncate&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;an&#x20;individual&#x20;or&#x20;process&#x20;is&#x20;trying&#x20;to&#x20;gain&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','For&#x20;32&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access','[{\"cis\": [\"4.1.11\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"10.2.4\"]}, {\"nist_800_53\": [\"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4123,'Ensure&#x20;successful&#x20;file&#x20;system&#x20;mounts&#x20;are&#x20;collected','Monitor&#x20;the&#x20;use&#x20;of&#x20;the&#x20;mount&#x20;system&#x20;call.&#x20;The&#x20;mount&#x20;&#40;and&#x20;umount&#x20;&#41;&#x20;system&#x20;call&#x20;controls&#x20;the&#x20;mounting&#x20;and&#x20;unmounting&#x20;of&#x20;file&#x20;systems.&#x20;The&#x20;parameters&#x20;below&#x20;configure&#x20;the&#x20;system&#x20;to&#x20;create&#x20;an&#x20;audit&#x20;record&#x20;when&#x20;the&#x20;mount&#x20;system&#x20;call&#x20;is&#x20;used&#x20;by&#x20;a&#x20;non-privileged&#x20;user.','It&#x20;is&#x20;highly&#x20;unusual&#x20;for&#x20;a&#x20;non&#x20;privileged&#x20;user&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;to&#x20;the&#x20;system.&#x20;While&#x20;tracking&#x20;mount&#x20;commands&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;evidence&#x20;that&#x20;external&#x20;media&#x20;may&#x20;have&#x20;been&#x20;mounted&#x20;&#40;based&#x20;on&#x20;a&#x20;review&#x20;of&#x20;the&#x20;source&#x20;of&#x20;the&#x20;mount&#x20;and&#x20;confirming&#x20;it&#039;s&#x20;an&#x20;external&#x20;media&#x20;type&#41;,&#x20;it&#x20;does&#x20;not&#x20;conclusively&#x20;indicate&#x20;that&#x20;data&#x20;was&#x20;exported&#x20;to&#x20;the&#x20;media.&#x20;System&#x20;administrators&#x20;who&#x20;wish&#x20;to&#x20;determine&#x20;if&#x20;data&#x20;were&#x20;exported,&#x20;would&#x20;also&#x20;have&#x20;to&#x20;track&#x20;successful&#x20;open&#x20;,&#x20;creat&#x20;and&#x20;truncate&#x20;system&#x20;calls&#x20;requiring&#x20;write&#x20;access&#x20;to&#x20;a&#x20;file&#x20;under&#x20;the&#x20;mount&#x20;point&#x20;of&#x20;the&#x20;external&#x20;media&#x20;file&#x20;system.&#x20;This&#x20;could&#x20;give&#x20;a&#x20;fair&#x20;indication&#x20;that&#x20;a&#x20;write&#x20;occurred.&#x20;The&#x20;only&#x20;way&#x20;to&#x20;truly&#x20;prove&#x20;it,&#x20;would&#x20;be&#x20;to&#x20;track&#x20;successful&#x20;writes&#x20;to&#x20;the&#x20;external&#x20;media.&#x20;Tracking&#x20;write&#x20;system&#x20;calls&#x20;could&#x20;quickly&#x20;fill&#x20;up&#x20;the&#x20;audit&#x20;log&#x20;and&#x20;is&#x20;not&#x20;recommended.&#x20;Recommendations&#x20;on&#x20;configuration&#x20;options&#x20;to&#x20;track&#x20;data&#x20;export&#x20;to&#x20;media&#x20;is&#x20;beyond&#x20;the&#x20;scope&#x20;of&#x20;this&#x20;document.','','For&#x20;32&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts','[{\"cis\": [\"4.1.13\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4124,'Ensure&#x20;file&#x20;deletion&#x20;events&#x20;by&#x20;users&#x20;are&#x20;collected','Monitor&#x20;the&#x20;use&#x20;of&#x20;system&#x20;calls&#x20;associated&#x20;with&#x20;the&#x20;deletion&#x20;or&#x20;renaming&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes.&#x20;This&#x20;configuration&#x20;statement&#x20;sets&#x20;up&#x20;monitoring&#x20;for&#x20;the&#x20;unlink&#x20;&#40;remove&#x20;a&#x20;file&#41;,&#x20;unlinkat&#x20;&#40;remove&#x20;a&#x20;file&#x20;attribute&#41;,&#x20;rename&#x20;&#40;rename&#x20;a&#x20;file&#41;&#x20;and&#x20;renameat&#x20;&#40;rename&#x20;a&#x20;file&#x20;attribute&#41;&#x20;system&#x20;calls&#x20;and&#x20;tags&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;delete&quot;.','Monitoring&#x20;these&#x20;calls&#x20;from&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;evidence&#x20;that&#x20;inappropriate&#x20;removal&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes&#x20;associated&#x20;with&#x20;protected&#x20;files&#x20;is&#x20;occurring.&#x20;While&#x20;this&#x20;audit&#x20;option&#x20;will&#x20;look&#x20;at&#x20;all&#x20;events,&#x20;system&#x20;administrators&#x20;will&#x20;want&#x20;to&#x20;look&#x20;for&#x20;specific&#x20;privileged&#x20;files&#x20;that&#x20;are&#x20;being&#x20;deleted&#x20;or&#x20;altered.','','For&#x20;32&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete','[{\"cis\": [\"4.1.14\"]}, {\"pci_dss\": [\"10.5.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC7.1\", \"CC7.2\", \"CC7.3\", \"CC8.1\"]}]'),(4125,'Ensure&#x20;changes&#x20;to&#x20;system&#x20;administration&#x20;scope&#x20;&#40;sudoers&#41;&#x20;is&#x20;collected','Monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrations.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;force&#x20;system&#x20;administrators&#x20;to&#x20;log&#x20;in&#x20;as&#x20;themselves&#x20;first&#x20;and&#x20;then&#x20;use&#x20;the&#x20;sudo&#x20;command&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;it&#x20;is&#x20;possible&#x20;to&#x20;monitor&#x20;changes&#x20;in&#x20;scope.&#x20;The&#x20;file&#x20;/etc/sudoers&#x20;will&#x20;be&#x20;written&#x20;to&#x20;when&#x20;the&#x20;file&#x20;or&#x20;its&#x20;attributes&#x20;have&#x20;changed.&#x20;The&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;scope.&quot;','Changes&#x20;in&#x20;the&#x20;/etc/sudoers&#x20;file&#x20;can&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;change&#x20;has&#x20;been&#x20;made&#x20;to&#x20;scope&#x20;of&#x20;system&#x20;administrator&#x20;activity.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-w&#x20;/etc/sudoers&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;&#x20;&#x20;-w&#x20;/etc/sudoers.d/&#x20;-p&#x20;wa&#x20;-k&#x20;scope','[{\"cis\": [\"4.1.15\"]}, {\"cis_csc\": [\"5.4\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4126,'Ensure&#x20;system&#x20;administrator&#x20;actions&#x20;&#40;sudolog&#41;&#x20;are&#x20;collected','Monitor&#x20;the&#x20;sudo&#x20;log&#x20;file.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;disable&#x20;the&#x20;use&#x20;of&#x20;the&#x20;su&#x20;command&#x20;and&#x20;force&#x20;all&#x20;administrators&#x20;to&#x20;have&#x20;to&#x20;log&#x20;in&#x20;first&#x20;and&#x20;then&#x20;use&#x20;sudo&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;then&#x20;all&#x20;administrator&#x20;commands&#x20;will&#x20;be&#x20;logged&#x20;to&#x20;/var/log/sudo.log&#x20;.&#x20;Any&#x20;time&#x20;a&#x20;command&#x20;is&#x20;executed,&#x20;an&#x20;audit&#x20;event&#x20;will&#x20;be&#x20;triggered&#x20;as&#x20;the&#x20;/var/log/sudo.log&#x20;file&#x20;will&#x20;be&#x20;opened&#x20;for&#x20;write&#x20;and&#x20;the&#x20;executed&#x20;administration&#x20;command&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;log.','Changes&#x20;in&#x20;/var/log/sudo.log&#x20;indicate&#x20;that&#x20;an&#x20;administrator&#x20;has&#x20;executed&#x20;a&#x20;command&#x20;or&#x20;the&#x20;log&#x20;file&#x20;itself&#x20;has&#x20;been&#x20;tampered&#x20;with.&#x20;Administrators&#x20;will&#x20;want&#x20;to&#x20;correlate&#x20;the&#x20;events&#x20;written&#x20;to&#x20;the&#x20;audit&#x20;trail&#x20;with&#x20;the&#x20;records&#x20;written&#x20;to&#x20;/var/log/sudo.log&#x20;to&#x20;verify&#x20;if&#x20;unauthorized&#x20;commands&#x20;have&#x20;been&#x20;executed.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-w&#x20;/var/log/sudo.log&#x20;-p&#x20;wa&#x20;-k&#x20;actions','[{\"cis\": [\"4.1.16\"]}, {\"cis_csc\": [\"5.1\", \"5.5\"]}, {\"pci_dss\": [\"10.2.2\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.6\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4127,'Ensure&#x20;kernel&#x20;module&#x20;loading&#x20;and&#x20;unloading&#x20;is&#x20;collected','Monitor&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;kernel&#x20;modules.&#x20;The&#x20;programs&#x20;insmod&#x20;&#40;install&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;rmmod&#x20;&#40;remove&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;and&#x20;modprobe&#x20;&#40;a&#x20;more&#x20;sophisticated&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules,&#x20;as&#x20;well&#x20;as&#x20;some&#x20;other&#x20;features&#41;&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;The&#x20;init_module&#x20;&#40;load&#x20;a&#x20;module&#41;&#x20;and&#x20;delete_module&#x20;&#40;delete&#x20;a&#x20;module&#41;&#x20;system&#x20;calls&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;Any&#x20;execution&#x20;of&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;module&#x20;programs&#x20;and&#x20;system&#x20;calls&#x20;will&#x20;trigger&#x20;an&#x20;audit&#x20;record&#x20;with&#x20;an&#x20;identifier&#x20;of&#x20;&quot;modules&quot;.','Monitoring&#x20;the&#x20;use&#x20;of&#x20;insmod&#x20;,&#x20;rmmod&#x20;and&#x20;modprobe&#x20;could&#x20;provide&#x20;system&#x20;administrators&#x20;with&#x20;evidence&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;loaded&#x20;or&#x20;unloaded&#x20;a&#x20;kernel&#x20;module,&#x20;possibly&#x20;compromising&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.&#x20;Monitoring&#x20;of&#x20;the&#x20;init_module&#x20;and&#x20;delete_module&#x20;system&#x20;calls&#x20;would&#x20;reflect&#x20;an&#x20;unauthorized&#x20;user&#x20;attempting&#x20;to&#x20;use&#x20;a&#x20;different&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-w&#x20;/var/log/sudo.log&#x20;-p&#x20;wa&#x20;-k&#x20;actions','[{\"cis\": [\"4.1.17\"]}, {\"cis_csc\": [\"3\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4128,'Ensure&#x20;the&#x20;audit&#x20;configuration&#x20;is&#x20;immutable','Set&#x20;system&#x20;audit&#x20;so&#x20;that&#x20;audit&#x20;rules&#x20;cannot&#x20;be&#x20;modified&#x20;with&#x20;auditctl&#x20;.&#x20;Setting&#x20;the&#x20;flag&#x20;&quot;-e&#x20;2&quot;&#x20;forces&#x20;audit&#x20;to&#x20;be&#x20;put&#x20;in&#x20;immutable&#x20;mode.&#x20;Audit&#x20;changes&#x20;can&#x20;only&#x20;be&#x20;made&#x20;on&#x20;system&#x20;reboot.','In&#x20;immutable&#x20;mode,&#x20;unauthorized&#x20;users&#x20;cannot&#x20;execute&#x20;changes&#x20;to&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;potentially&#x20;hide&#x20;malicious&#x20;activity&#x20;and&#x20;then&#x20;put&#x20;the&#x20;audit&#x20;rules&#x20;back.&#x20;Users&#x20;would&#x20;most&#x20;likely&#x20;notice&#x20;a&#x20;system&#x20;reboot&#x20;and&#x20;that&#x20;could&#x20;alert&#x20;administrators&#x20;of&#x20;an&#x20;attempt&#x20;to&#x20;make&#x20;unauthorized&#x20;audit&#x20;changes.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;end&#x20;of&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;&#x20;&#x20;-e&#x20;2','[{\"cis\": [\"4.1.18\"]}, {\"cis_csc\": [\"3\", \"6\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4129,'Ensure&#x20;rsyslog&#x20;Service&#x20;is&#x20;enabled','Once&#x20;the&#x20;rsyslog&#x20;package&#x20;is&#x20;installed&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;activated.','If&#x20;the&#x20;rsyslog&#x20;service&#x20;is&#x20;not&#x20;activated&#x20;the&#x20;system&#x20;may&#x20;default&#x20;to&#x20;the&#x20;syslogd&#x20;service&#x20;or&#x20;lackblogging&#x20;instead.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;rsyslog&#x20;:&#x20;&#x20;&#x20;#&#x20;chkconfig&#x20;rsyslog&#x20;on','[{\"cis\": [\"4.2.1.1\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4130,'Ensure&#x20;rsyslog&#x20;default&#x20;file&#x20;permissions&#x20;configured','rsyslog&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;set&#x20;$FileCreateMode&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;&#x20;&#x20;$FileCreateMode&#x20;0640','[{\"cis\": [\"4.2.1.3\"]}, {\"cis_csc\": [\"5.1\"]}]'),(4131,'Ensure&#x20;rsyslog&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host','The&#x20;rsyslog&#x20;utility&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;logs&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;running&#x20;syslogd&#40;8&#41;&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;reducing&#x20;administrative&#x20;overhead.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;&#40;where&#x20;loghost.example.com&#x20;is&#x20;the&#x20;name&#x20;of&#x20;your&#x20;central&#x20;log&#x20;host&#41;.&#x20;&#x20;&#x20;*.*&#x20;@@loghost.example.com&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;rsyslogd&#x20;configuration:&#x20;#&#x20;pkill&#x20;-HUP&#x20;rsyslogd','[{\"cis\": [\"4.2.1.4\"]}, {\"cis_csc\": [\"6.6\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4132,'Ensure&#x20;syslog-ng&#x20;service&#x20;is&#x20;enabled','Once&#x20;the&#x20;syslog-ng&#x20;package&#x20;is&#x20;installed&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;activated.','If&#x20;the&#x20;syslog-ng&#x20;service&#x20;is&#x20;not&#x20;activated&#x20;the&#x20;system&#x20;may&#x20;default&#x20;to&#x20;the&#x20;syslogd&#x20;service&#x20;or&#x20;lack&#x20;logging&#x20;instead.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;syslog-ng&#x20;:&#x20;&#x20;&#x20;#&#x20;chkconfig&#x20;syslog-ng&#x20;on','[{\"cis\": [\"4.2.2.1\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4133,'Ensure&#x20;syslog-ng&#x20;default&#x20;file&#x20;permissions&#x20;configured','syslog-ng&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;syslog-ng&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Edit&#x20;the&#x20;/etc/syslog-ng/syslog-ng.conf&#x20;and&#x20;set&#x20;perm&#x20;option&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;&#x20;&#x20;&#x20;&#x20;options&#x20;{&#x20;chain_hostnames&#40;off&#41;;&#x20;flush_lines&#40;0&#41;;&#x20;perm&#40;0640&#41;;&#x20;stats_freq&#40;3600&#41;;&#x20;threaded&#40;yes&#41;;&#x20;};','[{\"cis\": [\"4.2.2.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4134,'Ensure&#x20;syslog-ng&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host','The&#x20;syslog-ng&#x20;utility&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;logs&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;reducing&#x20;administrative&#x20;overhead.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/syslog-ng/syslog-ng.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;&#40;where&#x20;logfile.example.com&#x20;is&#x20;the&#x20;name&#x20;of&#x20;your&#x20;central&#x20;log&#x20;host&#41;.&#x20;&#x20;&#x20;&#x20;destination&#x20;logserver&#x20;{&#x20;tcp&#40;&quot;logfile.example.com&quot;&#x20;port&#40;514&#41;&#41;;&#x20;};&#x20;&#x20;&#x20;&#x20;log&#x20;{&#x20;source&#40;src&#41;;&#x20;destination&#40;logserver&#41;;&#x20;};&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;rsyslogd&#x20;configuration:&#x20;#&#x20;pkill&#x20;-HUP&#x20;syslog-ng','[{\"cis\": [\"4.2.2.4\"]}, {\"cis_csc\": [\"6.6\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4135,'Ensure&#x20;rsyslog&#x20;or&#x20;syslog-ng&#x20;is&#x20;installed','The&#x20;rsyslog&#x20;and&#x20;syslog-ng&#x20;software&#x20;are&#x20;recommended&#x20;replacements&#x20;to&#x20;the&#x20;original&#x20;syslogd&#x20;daemon&#x20;which&#x20;provide&#x20;improvements&#x20;over&#x20;syslogd&#x20;,&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server.','The&#x20;security&#x20;enhancements&#x20;of&#x20;rsyslog&#x20;and&#x20;syslog-ng&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server&#41;&#x20;justify&#x20;installing&#x20;and&#x20;configuring&#x20;the&#x20;package.','','Install&#x20;rsyslog&#x20;or&#x20;syslog-ng&#x20;using&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands:&#x20;&#x20;&#x20;#&#x20;yum&#x20;install&#x20;rsyslog&#x20;&#x20;&#x20;#&#x20;yum&#x20;install&#x20;syslog-ng','[{\"cis\": [\"4.2.3\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4136,'Ensure&#x20;permissions&#x20;on&#x20;all&#x20;logfiles&#x20;are&#x20;configured','Log&#x20;files&#x20;stored&#x20;in&#x20;/var/log/&#x20;contain&#x20;logged&#x20;information&#x20;from&#x20;many&#x20;services&#x20;on&#x20;the&#x20;system,&#x20;or&#x20;on&#x20;log&#x20;hosts&#x20;others&#x20;as&#x20;well.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitivebdata&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;all&#x20;existing&#x20;log&#x20;files:&#x20;#&#x20;find&#x20;/var/log&#x20;-type&#x20;f&#x20;-exec&#x20;chmod&#x20;g-wx,o-rwx&#x20;{}&#x20;+','[{\"cis\": [\"4.2.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4137,'Ensure&#x20;cron&#x20;daemon&#x20;is&#x20;enabled','The&#x20;cron&#x20;daemon&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;batch&#x20;jobs&#x20;on&#x20;the&#x20;system.','While&#x20;there&#x20;may&#x20;not&#x20;be&#x20;user&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;be&#x20;run&#x20;on&#x20;the&#x20;system,&#x20;the&#x20;system&#x20;does&#x20;have&#x20;maintenance&#x20;jobs&#x20;that&#x20;may&#x20;include&#x20;security&#x20;monitoring&#x20;that&#x20;have&#x20;to&#x20;run,&#x20;and&#x20;cron&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;them.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;cron&#x20;:&#x20;#&#x20;chkconfig&#x20;crond&#x20;on','[{\"cis\": [\"5.1.1\"]}, {\"cis_csc\": [\"6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4138,'Ensure&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;are&#x20;configured','The&#x20;/etc/crontab&#x20;file&#x20;is&#x20;used&#x20;by&#x20;cron&#x20;to&#x20;control&#x20;its&#x20;own&#x20;jobs.&#x20;The&#x20;commands&#x20;in&#x20;this&#x20;item&#x20;make&#x20;sure&#x20;that&#x20;root&#x20;is&#x20;the&#x20;user&#x20;and&#x20;group&#x20;owner&#x20;of&#x20;the&#x20;file&#x20;and&#x20;that&#x20;only&#x20;the&#x20;owner&#x20;can&#x20;access&#x20;the&#x20;file.','This&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;what&#x20;system&#x20;jobs&#x20;are&#x20;run&#x20;by&#x20;cron.&#x20;Write&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;unprivileged&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;elevate&#x20;their&#x20;privileges.&#x20;Read&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;gain&#x20;insight&#x20;on&#x20;system&#x20;jobs&#x20;that&#x20;run&#x20;on&#x20;the&#x20;system&#x20;and&#x20;could&#x20;provide&#x20;them&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;unauthorized&#x20;privileged&#x20;access.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/crontab&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/crontab','[{\"cis\": [\"5.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4139,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;are&#x20;configured','This&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;an&#x20;hourly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.hourly&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.hourly','[{\"cis\": [\"5.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4140,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;are&#x20;configured','The&#x20;/etc/cron.daily&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;daily&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.daily&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.daily','[{\"cis\": [\"5.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4141,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;are&#x20;configured','The&#x20;/etc/cron.weekly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;weekly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.weekly&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.weekly','[{\"cis\": [\"5.1.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4142,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;are&#x20;configured','The&#x20;/etc/cron.monthly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;monthly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.monthly&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.monthly','[{\"cis\": [\"5.1.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4143,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;are&#x20;configured','Configure&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/cron.allow&#x20;or&#x20;/etc/at.allow&#x20;do&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.deny&#x20;and&#x20;/etc/cron.deny&#x20;are&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;files,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;Note&#x20;that&#x20;even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow&#x20;,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cron&#x20;jobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny&#x20;and&#x20;/etc/at.deny&#x20;and&#x20;create&#x20;and&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow:&#x20;rm&#x20;/etc/cron.deny;rm&#x20;/etc/at.deny;touch&#x20;/etc/cron.allow;&#x20;touch&#x20;/etc/at.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/at.allow;&#x20;chown&#x20;root:root&#x20;/etc/cron.allow&#x20;and&#x20;chown&#x20;root:root&#x20;/etc/at.allow','[{\"cis\": [\"5.1.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4144,'Ensure&#x20;at/cron&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users','Configure&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/cron.allow&#x20;or&#x20;/etc/at.allow&#x20;do&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.deny&#x20;and&#x20;/etc/cron.deny&#x20;are&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;files,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;Note&#x20;that&#x20;even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow&#x20;,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cron&#x20;jobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny&#x20;and&#x20;/etc/at.deny&#x20;and&#x20;create&#x20;and&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow:&#x20;rm&#x20;/etc/cron.deny;rm&#x20;/etc/at.deny;touch&#x20;/etc/cron.allow;&#x20;touch&#x20;/etc/at.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/at.allow;&#x20;chown&#x20;root:root&#x20;/etc/cron.allow&#x20;and&#x20;chown&#x20;root:root&#x20;/etc/at.allow','[{\"cis\": [\"5.1.8\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4145,'Ensure&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config&#x20;are&#x20;configured','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;contains&#x20;configuration&#x20;specifications&#x20;for&#x20;sshd.&#x20;The&#x20;command&#x20;below&#x20;sets&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;file&#x20;to&#x20;root.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config:&#x20;chown&#x20;root:root&#x20;/etc/ssh/sshd_config&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/ssh/sshd_config','[{\"cis\": [\"5.2.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4146,'Ensure&#x20;SSH&#x20;Protocol&#x20;is&#x20;set&#x20;to&#x20;2','SSH&#x20;supports&#x20;two&#x20;different&#x20;and&#x20;incompatible&#x20;protocols:&#x20;SSH1&#x20;and&#x20;SSH2.&#x20;SSH1&#x20;was&#x20;the&#x20;original&#x20;protocol&#x20;and&#x20;was&#x20;subject&#x20;to&#x20;security&#x20;issues.&#x20;SSH2&#x20;is&#x20;more&#x20;advanced&#x20;and&#x20;secure.','SSH&#x20;v1&#x20;suffers&#x20;from&#x20;insecurities&#x20;that&#x20;do&#x20;not&#x20;affect&#x20;SSH&#x20;v2.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Protocol&#x20;2','[{\"cis\": [\"5.2.2\"]}, {\"cis_csc\": [\"3.4\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(4147,'Ensure&#x20;SSH&#x20;LogLevel&#x20;is&#x20;set&#x20;to&#x20;INFO','The&#x20;INFO&#x20;parameter&#x20;specifies&#x20;that&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;will&#x20;be&#x20;logged.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;INFO','[{\"cis\": [\"5.2.3\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(4148,'Ensure&#x20;SSH&#x20;MaxAuthTries&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4','[{\"cis\": [\"5.2.5\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4149,'Ensure&#x20;SSH&#x20;IgnoreRhosts&#x20;is&#x20;enabled','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthentication&#x20;or&#x20;HostbasedAuthentication.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;ssh.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;IgnoreRhosts&#x20;yes','[{\"cis\": [\"5.2.6\"]}, {\"cis_csc\": [\"9\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(4150,'Ensure&#x20;SSH&#x20;HostbasedAuthentication&#x20;is&#x20;disabled','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts&#x20;,&#x20;or&#x20;/etc/hosts.equiv,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.&#x20;This&#x20;option&#x20;only&#x20;applies&#x20;to&#x20;SSH&#x20;Protocol&#x20;Version&#x20;2.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc\": [\"9\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(4151,'Ensure&#x20;SSH&#x20;root&#x20;login&#x20;is&#x20;disabled','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;ssh&#40;1&#41;.&#x20;The&#x20;default&#x20;is&#x20;no.','Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;system&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root&#x20;via&#x20;sudo&#x20;or&#x20;su&#x20;.&#x20;This&#x20;in&#x20;turn&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc\": [\"5.8\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(4152,'Ensure&#x20;SSH&#x20;PermitEmptyPasswords&#x20;is&#x20;disabled','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;SSH&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no','[{\"cis\": [\"5.2.9\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(4153,'Ensure&#x20;SSH&#x20;PermitUserEnvironment&#x20;is&#x20;disabled','The&#x20;PermitUserEnvironment&#x20;option&#x20;allows&#x20;users&#x20;to&#x20;present&#x20;environment&#x20;options&#x20;to&#x20;the&#x20;ssh&#x20;daemon.','Permitting&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;environment&#x20;variables&#x20;through&#x20;the&#x20;SSH&#x20;daemon&#x20;could&#x20;potentially&#x20;allow&#x20;users&#x20;to&#x20;bypass&#x20;security&#x20;controls&#x20;&#40;e.g.&#x20;setting&#x20;an&#x20;execution&#x20;path&#x20;that&#x20;has&#x20;ssh&#x20;executing&#x20;trojan&#039;d&#x20;programs&#41;','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitUserEnvironment&#x20;no','[{\"cis\": [\"5.2.10\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(4154,'Ensure&#x20;SSH&#x20;Idle&#x20;Timeout&#x20;Interval&#x20;is&#x20;configured','The&#x20;two&#x20;options&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax&#x20;control&#x20;the&#x20;timeout&#x20;of&#x20;ssh&#x20;sessions.&#x20;When&#x20;the&#x20;ClientAliveInterval&#x20;variable&#x20;is&#x20;set,&#x20;ssh&#x20;sessions&#x20;that&#x20;have&#x20;no&#x20;activity&#x20;for&#x20;the&#x20;specified&#x20;length&#x20;of&#x20;time&#x20;are&#x20;terminated.&#x20;When&#x20;the&#x20;ClientAliveCountMax&#x20;variable&#x20;is&#x20;set,&#x20;sshd&#x20;will&#x20;send&#x20;client&#x20;alive&#x20;messages&#x20;at&#x20;every&#x20;ClientAliveInterval&#x20;interval.&#x20;When&#x20;the&#x20;number&#x20;of&#x20;consecutive&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;sent&#x20;with&#x20;no&#x20;response&#x20;from&#x20;the&#x20;client,&#x20;the&#x20;ssh&#x20;session&#x20;is&#x20;terminated.&#x20;For&#x20;example,&#x20;if&#x20;the&#x20;ClientAliveInterval&#x20;is&#x20;set&#x20;to&#x20;15&#x20;seconds&#x20;and&#x20;the&#x20;ClientAliveCountMax&#x20;is&#x20;set&#x20;to&#x20;3,&#x20;the&#x20;client&#x20;ssh&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;45&#x20;seconds&#x20;of&#x20;idle&#x20;time.','Having&#x20;no&#x20;timeout&#x20;value&#x20;associated&#x20;with&#x20;a&#x20;connection&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;ssh&#x20;session&#x20;&#40;e.g.&#x20;user&#x20;walks&#x20;away&#x20;from&#x20;their&#x20;computer&#x20;and&#x20;doesn&#039;t&#x20;lock&#x20;the&#x20;screen&#41;.&#x20;Setting&#x20;a&#x20;timeout&#x20;value&#x20;at&#x20;least&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;this&#x20;happening.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;300&#x20;seconds&#x20;&#40;5&#x20;minutes&#41;,&#x20;set&#x20;this&#x20;timeout&#x20;value&#x20;based&#x20;on&#x20;site&#x20;policy.&#x20;The&#x20;recommended&#x20;setting&#x20;for&#x20;ClientAliveCountMax&#x20;is&#x20;0.&#x20;In&#x20;this&#x20;case,&#x20;the&#x20;client&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;5&#x20;minutes&#x20;of&#x20;idle&#x20;time&#x20;and&#x20;no&#x20;keepalive&#x20;messages&#x20;will&#x20;be&#x20;sent.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameters&#x20;according&#x20;to&#x20;site&#x20;policy:&#x20;ClientAliveInterval&#x20;300&#x20;and&#x20;ClientAliveCountMax&#x20;0','[{\"cis\": [\"5.2.12\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(4155,'Ensure&#x20;SSH&#x20;LoginGraceTime&#x20;is&#x20;set&#x20;to&#x20;one&#x20;minute&#x20;or&#x20;less','The&#x20;LoginGraceTime&#x20;parameter&#x20;specifies&#x20;the&#x20;time&#x20;allowed&#x20;for&#x20;successful&#x20;authentication&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;The&#x20;longer&#x20;the&#x20;Grace&#x20;period&#x20;is&#x20;the&#x20;more&#x20;open&#x20;unauthenticated&#x20;connections&#x20;can&#x20;exist.&#x20;Like&#x20;other&#x20;session&#x20;controls&#x20;in&#x20;this&#x20;session&#x20;the&#x20;Grace&#x20;Period&#x20;should&#x20;be&#x20;limited&#x20;to&#x20;appropriate&#x20;organizational&#x20;limits&#x20;to&#x20;ensure&#x20;the&#x20;service&#x20;is&#x20;available&#x20;for&#x20;needed&#x20;access.','Setting&#x20;the&#x20;LoginGraceTime&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;It&#x20;will&#x20;also&#x20;limit&#x20;the&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;60&#x20;seconds&#x20;&#40;1&#x20;Minute&#41;,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LoginGraceTime&#x20;60','[{\"cis\": [\"5.2.13\"]}, {\"pci_dss\": [\"8.1\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4156,'Ensure&#x20;SSH&#x20;access&#x20;is&#x20;limited','There&#x20;are&#x20;several&#x20;options&#x20;available&#x20;to&#x20;limit&#x20;which&#x20;users&#x20;and&#x20;group&#x20;can&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;at&#x20;least&#x20;one&#x20;of&#x20;the&#x20;following&#x20;options&#x20;be&#x20;leveraged:&#x20;AllowUsers&#x20;The&#x20;AllowUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;only&#x20;allowing&#x20;the&#x20;allowed&#x20;users&#x20;to&#x20;log&#x20;in&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;AllowGroups&#x20;The&#x20;AllowGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;DenyUsers&#x20;The&#x20;DenyUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;specifically&#x20;denying&#x20;a&#x20;user&#039;s&#x20;access&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;DenyGroups&#x20;The&#x20;DenyGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.','Restricting&#x20;which&#x20;users&#x20;can&#x20;remotely&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH&#x20;will&#x20;help&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;users&#x20;access&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;one&#x20;or&#x20;more&#x20;of&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowUsers&#x20;&lt;userlist&gt;;&#x20;AllowGroups&#x20;&lt;grouplist&gt;;&#x20;DenyUsers&#x20;&lt;userlist&gt;&#x20;and&#x20;DenyGroups&#x20;&lt;grouplist&gt;','[{\"cis\": [\"5.2.14\"]}, {\"cis_csc\": [\"5.1\", \"5.8\"]}, {\"pci_dss\": [\"8.1\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4157,'Ensure&#x20;SSH&#x20;warning&#x20;banner&#x20;is&#x20;configured','The&#x20;Banner&#x20;parameter&#x20;specifies&#x20;a&#x20;file&#x20;whose&#x20;contents&#x20;must&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;remote&#x20;user&#x20;before&#x20;authentication&#x20;is&#x20;permitted.&#x20;By&#x20;default,&#x20;no&#x20;banner&#x20;is&#x20;displayed.','Banners&#x20;are&#x20;used&#x20;to&#x20;warn&#x20;connecting&#x20;users&#x20;of&#x20;the&#x20;particular&#x20;site&#039;s&#x20;policy&#x20;regarding&#x20;connection.&#x20;Presenting&#x20;a&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;login&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Banner&#x20;/etc/issue.net','[{\"cis\": [\"5.2.15\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4158,'Ensure&#x20;password&#x20;creation&#x20;requirements&#x20;are&#x20;configured','The&#x20;pam_cracklib.so&#x20;module&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','Edit&#x20;the&#x20;/etc/pam.d/password-auth&#x20;and&#x20;/etc/pam.d/system-auth&#x20;files&#x20;to&#x20;include&#x20;the&#x20;appropriate&#x20;options&#x20;for&#x20;pam_cracklib.so&#x20;and&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;password&#x20;requisite&#x20;pam_cracklib.so&#x20;try_first_pass&#x20;retry=3&#x20;minlen=14&#x20;dcredit=-1&#x20;ucredit=-1&#x20;ocredit=-1&#x20;lcredit=-1','[{\"cis\": [\"5.3.1\"]}, {\"cis_csc\": [\"5.7\", \"16.12\"]}, {\"pci_dss\": [\"8.2.3\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4159,'Ensure&#x20;password&#x20;reuse&#x20;is&#x20;limited','The&#x20;/etc/security/opasswd&#x20;file&#x20;stores&#x20;the&#x20;users&#039;&#x20;old&#x20;passwords&#x20;and&#x20;can&#x20;be&#x20;checked&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;are&#x20;not&#x20;recycling&#x20;recent&#x20;passwords.','Forcing&#x20;users&#x20;not&#x20;to&#x20;reuse&#x20;their&#x20;past&#x20;5&#x20;passwords&#x20;make&#x20;it&#x20;less&#x20;likely&#x20;that&#x20;an&#x20;attacker&#x20;will&#x20;be&#x20;able&#x20;to&#x20;guess&#x20;the&#x20;password.&#x20;Note&#x20;that&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/pam.d/password-auth&#x20;and&#x20;/etc/pam.d/system-auth&#x20;files&#x20;to&#x20;include&#x20;the&#x20;remember&#x20;option&#x20;and&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;as&#x20;shown:&#x20;password&#x20;sufficient&#x20;pam_unix.so&#x20;remember=5&#x20;&#x20;&#x20;or&#x20;&#x20;&#x20;&#x20;password&#x20;required&#x20;pam_pwhistory.so&#x20;remember=5','[{\"cis\": [\"5.3.3\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2.5\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4160,'Ensure&#x20;password&#x20;hashing&#x20;algorithm&#x20;is&#x20;SHA-512','The&#x20;commands&#x20;below&#x20;change&#x20;password&#x20;encryption&#x20;from&#x20;md5&#x20;to&#x20;sha512&#x20;&#40;a&#x20;much&#x20;stronger&#x20;hashing&#x20;algorithm&#41;.&#x20;All&#x20;existing&#x20;accounts&#x20;will&#x20;need&#x20;to&#x20;perform&#x20;a&#x20;password&#x20;change&#x20;to&#x20;upgrade&#x20;the&#x20;stored&#x20;hashes&#x20;to&#x20;the&#x20;new&#x20;algorithm.','The&#x20;SHA-512&#x20;algorithm&#x20;provides&#x20;much&#x20;stronger&#x20;hashing&#x20;than&#x20;MD5,&#x20;thus&#x20;providing&#x20;additional&#x20;protection&#x20;to&#x20;the&#x20;system&#x20;by&#x20;increasing&#x20;the&#x20;level&#x20;of&#x20;effort&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;successfully&#x20;determine&#x20;passwords.&#x20;Note&#x20;that&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/pam.d/password-auth&#x20;and&#x20;/etc/pam.d/system-auth&#x20;files&#x20;to&#x20;include&#x20;the&#x20;sha512&#x20;option&#x20;for&#x20;pam_unix.so&#x20;as&#x20;shown:&#x20;password&#x20;sufficient&#x20;pam_unix.so&#x20;sha512','[{\"cis\": [\"5.3.4\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"3.6.1\", \"8.2.1\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\"]}]'),(4161,'Ensure&#x20;password&#x20;expiration&#x20;is&#x20;365&#x20;days&#x20;or&#x20;less','The&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;force&#x20;passwords&#x20;to&#x20;expire&#x20;once&#x20;they&#x20;reach&#x20;a&#x20;defined&#x20;age.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;less&#x20;than&#x20;or&#x20;equal&#x20;to&#x20;365&#x20;days.','The&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;leverage&#x20;compromised&#x20;credentials&#x20;or&#x20;successfully&#x20;compromise&#x20;credentials&#x20;via&#x20;an&#x20;online&#x20;brute&#x20;force&#x20;attack&#x20;is&#x20;limited&#x20;by&#x20;the&#x20;age&#x20;of&#x20;the&#x20;password.&#x20;Therefore,&#x20;reducing&#x20;the&#x20;maximum&#x20;age&#x20;of&#x20;a&#x20;password&#x20;also&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;window&#x20;of&#x20;opportunity.','','Set&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;in&#x20;/etc/login.defs&#x20;:&#x20;PASS_MAX_DAYS&#x20;90&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--maxdays&#x20;90&#x20;&lt;user&gt;','[{\"cis\": [\"5.4.1.1\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2.4\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4162,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;7&#x20;or&#x20;more','The&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;changing&#x20;their&#x20;password&#x20;until&#x20;a&#x20;minimum&#x20;number&#x20;of&#x20;days&#x20;have&#x20;passed&#x20;since&#x20;the&#x20;last&#x20;time&#x20;the&#x20;user&#x20;changed&#x20;their&#x20;password.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','By&#x20;restricting&#x20;the&#x20;frequency&#x20;of&#x20;password&#x20;changes,&#x20;an&#x20;administrator&#x20;can&#x20;prevent&#x20;users&#x20;from&#x20;repeatedly&#x20;changing&#x20;their&#x20;password&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;circumvent&#x20;password&#x20;reuse&#x20;controls.','','Set&#x20;the&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_MIN_DAYS&#x20;7&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--mindays&#x20;7&#x20;&lt;user&gt;','[{\"cis\": [\"5.4.1.2\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4163,'Ensure&#x20;password&#x20;expiration&#x20;warning&#x20;days&#x20;is&#x20;7&#x20;or&#x20;more','The&#x20;PASS_WARN_AGE&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;notify&#x20;users&#x20;that&#x20;their&#x20;password&#x20;will&#x20;expire&#x20;in&#x20;a&#x20;defined&#x20;number&#x20;of&#x20;days.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','Providing&#x20;an&#x20;advance&#x20;warning&#x20;that&#x20;a&#x20;password&#x20;will&#x20;be&#x20;expiring&#x20;gives&#x20;users&#x20;time&#x20;to&#x20;think&#x20;of&#x20;a&#x20;secure&#x20;password.&#x20;Users&#x20;caught&#x20;unaware&#x20;may&#x20;choose&#x20;a&#x20;simple&#x20;password&#x20;or&#x20;write&#x20;it&#x20;down&#x20;where&#x20;it&#x20;may&#x20;be&#x20;discovered.','','Set&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_WARN_AGE&#x20;7&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--warndays&#x20;7&#x20;&lt;user&gt;','[{\"cis\": [\"5.4.1.3\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4164,'Ensure&#x20;inactive&#x20;password&#x20;lock&#x20;is&#x20;30&#x20;days&#x20;or&#x20;less','User&#x20;accounts&#x20;that&#x20;have&#x20;been&#x20;inactive&#x20;for&#x20;over&#x20;a&#x20;given&#x20;period&#x20;of&#x20;time&#x20;can&#x20;be&#x20;automatically&#x20;disabled.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;accounts&#x20;that&#x20;are&#x20;inactive&#x20;for&#x20;30&#x20;days&#x20;after&#x20;password&#x20;expiration&#x20;be&#x20;disabled.','Inactive&#x20;accounts&#x20;pose&#x20;a&#x20;threat&#x20;to&#x20;system&#x20;security&#x20;since&#x20;the&#x20;users&#x20;are&#x20;not&#x20;logging&#x20;in&#x20;to&#x20;notice&#x20;failed&#x20;login&#x20;attempts&#x20;or&#x20;other&#x20;anomalies.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;default&#x20;password&#x20;inactivity&#x20;period&#x20;to&#x20;30&#x20;days:&#x20;useradd&#x20;-D&#x20;-f&#x20;30&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--inactive&#x20;30&#x20;&lt;user&gt;','[{\"cis\": [\"5.4.1.4\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4165,'Ensure&#x20;default&#x20;group&#x20;for&#x20;the&#x20;root&#x20;account&#x20;is&#x20;GID&#x20;0','The&#x20;usermod&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;specify&#x20;which&#x20;group&#x20;the&#x20;root&#x20;user&#x20;belongs&#x20;to.&#x20;This&#x20;affects&#x20;permissions&#x20;of&#x20;files&#x20;that&#x20;are&#x20;created&#x20;by&#x20;the&#x20;root&#x20;user.','Using&#x20;GID&#x20;0&#x20;for&#x20;the&#x20;root&#x20;account&#x20;helps&#x20;prevent&#x20;root&#x20;-owned&#x20;files&#x20;from&#x20;accidentally&#x20;becoming&#x20;accessible&#x20;to&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;root&#x20;user&#x20;default&#x20;group&#x20;to&#x20;GID&#x20;0:&#x20;usermod&#x20;-g&#x20;0&#x20;root','[{\"cis\": [\"5.4.3\"]}, {\"cis_csc\": [\"5\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4166,'Ensure&#x20;default&#x20;user&#x20;umask&#x20;is&#x20;027&#x20;or&#x20;more&#x20;restrictive','The&#x20;default&#x20;umask&#x20;determines&#x20;the&#x20;permissions&#x20;of&#x20;files&#x20;created&#x20;by&#x20;users.&#x20;The&#x20;user&#x20;creating&#x20;the&#x20;file&#x20;has&#x20;the&#x20;discretion&#x20;of&#x20;making&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;others&#x20;via&#x20;the&#x20;chmod&#x20;command.&#x20;Users&#x20;who&#x20;wish&#x20;to&#x20;allow&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;to&#x20;be&#x20;readable&#x20;by&#x20;others&#x20;by&#x20;default&#x20;may&#x20;choose&#x20;a&#x20;different&#x20;default&#x20;umask&#x20;by&#x20;inserting&#x20;the&#x20;umask&#x20;command&#x20;into&#x20;the&#x20;standard&#x20;shell&#x20;configuration&#x20;files&#x20;&#40;&#x20;.profile&#x20;,&#x20;.bashrc&#x20;,&#x20;etc.&#41;&#x20;in&#x20;their&#x20;home&#x20;directories.','Setting&#x20;a&#x20;very&#x20;secure&#x20;default&#x20;value&#x20;for&#x20;umask&#x20;ensures&#x20;that&#x20;users&#x20;make&#x20;a&#x20;conscious&#x20;choice&#x20;about&#x20;their&#x20;file&#x20;permissions.&#x20;A&#x20;default&#x20;umask&#x20;setting&#x20;of&#x20;077&#x20;causes&#x20;files&#x20;and&#x20;directories&#x20;created&#x20;by&#x20;users&#x20;to&#x20;not&#x20;be&#x20;readable&#x20;by&#x20;any&#x20;other&#x20;user&#x20;on&#x20;the&#x20;system.&#x20;A&#x20;umask&#x20;of&#x20;027&#x20;would&#x20;make&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;users&#x20;in&#x20;the&#x20;same&#x20;Unix&#x20;group,&#x20;while&#x20;a&#x20;umask&#x20;of&#x20;022&#x20;would&#x20;make&#x20;files&#x20;readable&#x20;by&#x20;every&#x20;user&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/bashrc&#x20;,&#x20;/etc/profile&#x20;and&#x20;/etc/profile.d&#47;&#42;.sh&#x20;files&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;any&#x20;umask&#x20;parameters&#x20;as&#x20;follows:&#x20;umask&#x20;027','[{\"cis\": [\"5.4.4\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4167,'Ensure&#x20;default&#x20;user&#x20;shell&#x20;timeout&#x20;is&#x20;900&#x20;seconds&#x20;or&#x20;less','The&#x20;default&#x20;TMOUT&#x20;determines&#x20;the&#x20;shell&#x20;timeout&#x20;for&#x20;users.&#x20;The&#x20;TMOUT&#x20;value&#x20;is&#x20;measured&#x20;in&#x20;seconds.','Having&#x20;no&#x20;timeout&#x20;value&#x20;associated&#x20;with&#x20;a&#x20;shell&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;shell&#x20;session&#x20;&#40;e.g.&#x20;user&#x20;walks&#x20;away&#x20;from&#x20;their&#x20;computer&#x20;and&#x20;doesn&#039;t&#x20;lock&#x20;the&#x20;screen&#41;.&#x20;Setting&#x20;a&#x20;timeout&#x20;value&#x20;at&#x20;least&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;this&#x20;happening.','','Edit&#x20;the&#x20;/etc/bashrc&#x20;and&#x20;/etc/profile&#x20;files&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;any&#x20;umask&#x20;parameters&#x20;as&#x20;follows:&#x20;TMOUT=600','[{\"cis\": [\"5.4.5\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(4168,'Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','The&#x20;su&#x20;command&#x20;allows&#x20;a&#x20;user&#x20;to&#x20;run&#x20;a&#x20;command&#x20;or&#x20;shell&#x20;as&#x20;another&#x20;user.&#x20;The&#x20;program&#x20;has&#x20;been&#x20;superseded&#x20;by&#x20;sudo&#x20;,&#x20;which&#x20;allows&#x20;for&#x20;more&#x20;granular&#x20;control&#x20;over&#x20;privileged&#x20;access.&#x20;Normally,&#x20;the&#x20;su&#x20;command&#x20;can&#x20;be&#x20;executed&#x20;by&#x20;any&#x20;user.&#x20;By&#x20;uncommenting&#x20;the&#x20;pam_wheel.so&#x20;statement&#x20;in&#x20;/etc/pam.d/su&#x20;,&#x20;the&#x20;su&#x20;command&#x20;will&#x20;only&#x20;allow&#x20;users&#x20;in&#x20;the&#x20;wheel&#x20;group&#x20;to&#x20;execute&#x20;su&#x20;.','Restricting&#x20;the&#x20;use&#x20;of&#x20;su&#x20;,&#x20;and&#x20;using&#x20;sudo&#x20;in&#x20;its&#x20;place,&#x20;provides&#x20;system&#x20;administrators&#x20;better&#x20;control&#x20;of&#x20;the&#x20;escalation&#x20;of&#x20;user&#x20;privileges&#x20;to&#x20;execute&#x20;privileged&#x20;commands.&#x20;The&#x20;sudo&#x20;utility&#x20;also&#x20;provides&#x20;a&#x20;better&#x20;logging&#x20;and&#x20;audit&#x20;mechanism,&#x20;as&#x20;it&#x20;can&#x20;log&#x20;each&#x20;command&#x20;executed&#x20;via&#x20;sudo&#x20;,&#x20;whereas&#x20;su&#x20;can&#x20;only&#x20;record&#x20;that&#x20;a&#x20;user&#x20;executed&#x20;the&#x20;su&#x20;program.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/pam.d/su&#x20;file:&#x20;auth&#x20;required&#x20;pam_wheel.so&#x20;use_uid','[{\"cis\": [\"5.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4169,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd&#x20;are&#x20;configured','The&#x20;/etc/passwd&#x20;file&#x20;contains&#x20;user&#x20;account&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;utilities&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;utilities&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd&#x20;#&#x20;chmod&#x20;644&#x20;/etc/passwd','[{\"cis\": [\"6.1.2\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4170,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow&#x20;are&#x20;configured','The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;user&#x20;accounts.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/shadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow&#x20;#&#x20;chmod&#x20;000&#x20;/etc/shadow','[{\"cis\": [\"6.1.3\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4171,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group&#x20;are&#x20;configured','The&#x20;/etc/group&#x20;file&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.&#x20;The&#x20;command&#x20;below&#x20;allows&#x20;read/write&#x20;access&#x20;for&#x20;root&#x20;and&#x20;read&#x20;access&#x20;for&#x20;everyone&#x20;else.','The&#x20;/etc/group&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users,&#x20;but&#x20;needs&#x20;to&#x20;be&#x20;readable&#x20;as&#x20;this&#x20;information&#x20;is&#x20;used&#x20;with&#x20;many&#x20;non-privileged&#x20;programs.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group&#x20;#&#x20;chmod&#x20;644&#x20;/etc/group','[{\"cis\": [\"6.1.4\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4172,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow&#x20;are&#x20;configured','The&#x20;/etc/gshadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/gshadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/gshadow&#x20;file&#x20;&#40;such&#x20;as&#x20;group&#x20;administrators&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;group','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/gshadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow&#x20;#&#x20;chmod&#x20;000&#x20;/etc/gshadow','[{\"cis\": [\"6.1.5\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4173,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd-&#x20;are&#x20;configured','The&#x20;/etc/passwd-&#x20;file&#x20;contains&#x20;backup&#x20;user&#x20;account&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd-&#x20;#&#x20;chmod&#x20;644&#x20;/etc/passwd-','[{\"cis\": [\"6.1.6\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4174,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow-&#x20;are&#x20;configured','The&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/shadow-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow-&#x20;#&#x20;chmod&#x20;000&#x20;/etc/shadow-','[{\"cis\": [\"6.1.7\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4175,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group-&#x20;are&#x20;configured','The&#x20;/etc/group-&#x20;file&#x20;contains&#x20;a&#x20;backup&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/group-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group-&#x20;#&#x20;chmod&#x20;644&#x20;/etc/group-','[{\"cis\": [\"6.1.8\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4176,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;are&#x20;configured','The&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/gshadow-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow-&#x20;#&#x20;chmod&#x20;000&#x20;/etc/gshadow-','[{\"cis\": [\"6.1.9\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4177,'Ensure&#x20;password&#x20;fields&#x20;are&#x20;not&#x20;empty','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;password,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;account&#x20;until&#x20;it&#x20;can&#x20;be&#x20;determined&#x20;why&#x20;it&#x20;does&#x20;not&#x20;have&#x20;a&#x20;password:&#x20;passwd&#x20;-l&#x20;&lt;username&gt;&#x20;||&#x20;Also,&#x20;check&#x20;to&#x20;see&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;investigate&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.1\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4178,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/passwd','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;&#039;+&#039;&#x20;entries&#x20;from&#x20;/etc/passwd&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.2\"]}, {\"cis_csc\": [\"16.9\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4179,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/shadow','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;&#039;+&#039;&#x20;entries&#x20;from&#x20;/etc/shadow&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.3\"]}, {\"cis_csc\": [\"16.9\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4180,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/group','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;&#039;+&#039;&#x20;entries&#x20;from&#x20;/etc/group&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.4\"]}, {\"cis_csc\": [\"16.9\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4181,'Ensure&#x20;root&#x20;is&#x20;the&#x20;only&#x20;UID&#x20;0&#x20;account','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','','Remove&#x20;any&#x20;users&#x20;other&#x20;than&#x20;root&#x20;with&#x20;UID&#x20;0&#x20;or&#x20;assign&#x20;them&#x20;a&#x20;new&#x20;UID&#x20;if&#x20;appropriate.','[{\"cis\": [\"6.2.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4500,'Ensure&#x20;mounting&#x20;of&#x20;cramfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;cramfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;compressed&#x20;read-only&#x20;Linux&#x20;filesystem&#x20;embedded&#x20;in&#x20;small&#x20;footprint&#x20;systems.&#x20;A&#x20;cramfs&#x20;image&#x20;can&#x20;be&#x20;used&#x20;without&#x20;having&#x20;to&#x20;first&#x20;decompress&#x20;the&#x20;image.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;server.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/directory&#x20;ending&#x20;in&#x20;.conf.&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/cramfs.confand&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;cramfs&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;cramfs&#x20;module:&#x20;rmmod&#x20;cramfs','[{\"cis\": [\"1.1.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(4501,'Ensure&#x20;mounting&#x20;of&#x20;squashfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;squashfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;compressed&#x20;read-only&#x20;Linux&#x20;filesystem&#x20;embedded&#x20;in&#x20;small&#x20;footprint&#x20;systems&#x20;&#40;similar&#x20;to&#x20;cramfs&#x20;&#41;.&#x20;A&#x20;squashfs&#x20;image&#x20;can&#x20;be&#x20;used&#x20;without&#x20;having&#x20;to&#x20;first&#x20;decompress&#x20;the&#x20;image.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;squashfs&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;squashfs&#x20;module:&#x20;rmmod&#x20;squashfs','[{\"cis\": [\"1.1.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(4502,'Ensure&#x20;mounting&#x20;of&#x20;udf&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;udf&#x20;filesystem&#x20;type&#x20;is&#x20;the&#x20;universal&#x20;disk&#x20;format&#x20;used&#x20;to&#x20;implement&#x20;ISO/IEC&#x20;13346&#x20;and&#x20;ECMA-167&#x20;specifications.&#x20;This&#x20;is&#x20;an&#x20;open&#x20;vendor&#x20;filesystem&#x20;type&#x20;for&#x20;data&#x20;storage&#x20;on&#x20;a&#x20;broad&#x20;range&#x20;of&#x20;media.&#x20;This&#x20;filesystem&#x20;type&#x20;is&#x20;necessary&#x20;to&#x20;support&#x20;writing&#x20;DVDs&#x20;and&#x20;newer&#x20;optical&#x20;disc&#x20;formats.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;udf&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;udf&#x20;module:&#x20;rmmod&#x20;udf','[{\"cis\": [\"1.1.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(4503,'Ensure&#x20;mounting&#x20;of&#x20;FAT&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;FAT&#x20;filesystem&#x20;format&#x20;is&#x20;primarily&#x20;used&#x20;on&#x20;older&#x20;windows&#x20;systems&#x20;and&#x20;portable&#x20;USB&#x20;drives&#x20;or&#x20;flash&#x20;modules.&#x20;It&#x20;comes&#x20;in&#x20;three&#x20;types&#x20;FAT12,&#x20;FAT16,&#x20;and&#x20;FAT32&#x20;all&#x20;of&#x20;which&#x20;are&#x20;supported&#x20;by&#x20;the&#x20;vfat&#x20;kernel&#x20;module.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','If&#x20;utilizing&#x20;UEFI&#x20;the&#x20;FAT&#x20;filesystem&#x20;format&#x20;is&#x20;required.&#x20;If&#x20;this&#x20;case,&#x20;ensure&#x20;that&#x20;the&#x20;FAT&#x20;filesystem&#x20;is&#x20;only&#x20;used&#x20;where&#x20;appropriate.&#x20;Run&#x20;the&#x20;following&#x20;command:&#x20;grep&#x20;-E&#x20;-i&#x20;&#039;svfats&#039;&#x20;/etc/fstab&#x20;And&#x20;review&#x20;that&#x20;any&#x20;output&#x20;is&#x20;appropriate&#x20;for&#x20;your&#x20;environment.&#x20;&#x20;If&#x20;not&#x20;utilizing&#x20;UEFI:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/fat.conf&#x20;&#x20;&#x20;&#x20;install&#x20;fat&#x20;/bin/true&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;install&#x20;vfat&#x20;/bin/true&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;install&#x20;msdos&#x20;/bin/true&#x20;&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;unload&#x20;the&#x20;msdos,&#x20;vfat,&#x20;and&#x20;fatmodules:&#x20;&#x20;#&#x20;rmmod&#x20;msdos&#x20;&#x20;&#x20;#&#x20;rmmod&#x20;vfat&#x20;&#x20;#&#x20;rmmod&#x20;fat&#x20;','[{\"cis\": [\"1.1.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(4504,'Ensure&#x20;/tmp&#x20;is&#x20;configured','The&#x20;/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Since&#x20;the&#x20;/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;In&#x20;addition,&#x20;making&#x20;/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hardlink&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hardlink&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','','Create&#x20;or&#x20;update&#x20;an&#x20;entry&#x20;for&#x20;/tmp&#x20;in&#x20;either&#x20;/etc/fstab&#x20;&#x20;OR&#x20;&#x20;&#x20;in&#x20;a&#x20;systemd&#x20;tmp.mount&#x20;file:&#x20;&#x20;If&#x20;/etc/fstab&#x20;is&#x20;used:&#x20;&#x20;Configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.&#x20;Example:&#x20;tmpfs&#x20;/tmp&#x20;tmpfs&#x20;&#x20;&#x20;&#x20;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;&#x20;0&#x20;0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:&#x20;&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec,nodev,nosuid&#x20;/tmp&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;If&#x20;systemd&#x20;tmp.mount&#x20;file&#x20;is&#x20;used:&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;the&#x20;file&#x20;/etc/systemd/system/tmp.mount&#x20;if&#x20;it&#x20;doesn&#039;t&#x20;exist:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;[&#x20;!&#x20;-f&#x20;/etc/systemd/system/tmp.mount&#x20;]&#x20;&amp;&amp;&#x20;cp&#x20;-v&#x20;/usr/lib/systemd/system/tmp.mount&#x20;/etc/systemd/system/&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Edit&#x20;the&#x20;file&#x20;/etc/systemd/system/tmp.mount:&#x20;&#x20;[Mount]&#x20;&#x20;&#x20;What=tmpfs&#x20;&#x20;&#x20;&#x20;Where=/tmp&#x20;&#x20;&#x20;&#x20;Type=tmpfs&#x20;&#x20;&#x20;&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;systemd&#x20;daemon:#&#x20;systemctl&#x20;daemon-reload&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;tmp.mount:&#x20;&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;unmask&#x20;tmp.mpunt&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;tmp.mount:&#x20;&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;enable&#x20;--now&#x20;tmp.mount','[{\"cis\": [\"1.1.2\"]}, {\"cis_csc\": [\"9.4\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4505,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;OR&#x20;&#x20;the&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;file:&#x20;&#x20;&#x20;&#x20;IF&#x20;/etc/fstab&#x20;is&#x20;used&#x20;to&#x20;mount&#x20;/tmp&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Edit&#x20;the&#x20;/etc/fstabfile&#x20;and&#x20;add&#x20;noexecto&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/tmp&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;IF&#x20;systemd&#x20;is&#x20;used&#x20;to&#x20;mount&#x20;/tmp:&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;/tmp&#x20;mount&#x20;options:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;[Mount]&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;the&#x20;systemd&#x20;daemon:&#x20;#&#x20;&#x20;systemctl&#x20;daemon-reload&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;tmp.mount&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;restart&#x20;tmp.mount','[{\"cis\": [\"1.1.3\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4506,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;&#x20;&#x20;file&#x20;OR&#x20;the&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;file:&#x20;&#x20;&#x20;IF&#x20;/etc/fstab&#x20;is&#x20;used&#x20;to&#x20;mount&#x20;/tmp&#x20;&#x20;Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/tmp&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;IF&#x20;systemd&#x20;is&#x20;used&#x20;to&#x20;mount&#x20;/tmp:&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;/tmp&#x20;mount&#x20;options:&#x20;&#x20;&#x20;&#x20;[Mount]&#x20;&#x20;&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;the&#x20;systemd&#x20;daemon:&#x20;#&#x20;&#x20;systemctl&#x20;daemon-reload&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;tmp.mount&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;restart&#x20;tmp.mount','[{\"cis\": [\"1.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4507,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/tmp.','','IF&#x20;/etc/fstab&#x20;is&#x20;used&#x20;to&#x20;mount&#x20;/tmp&#x20;Edit&#x20;the&#x20;/etc/fstab&#x20;&#x20;&#x20;file&#x20;OR&#x20;the&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;file:&#x20;&#x20;&#x20;IF&#x20;/etc/fstab&#x20;is&#x20;used&#x20;to&#x20;mount&#x20;/tmp&#x20;&#x20;Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/tmp&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;IF&#x20;systemd&#x20;is&#x20;used&#x20;to&#x20;mount&#x20;/tmp:&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;/tmp&#x20;mount&#x20;options:&#x20;&#x20;&#x20;&#x20;[Mount]&#x20;&#x20;&#x20;Options=mode=1777,strictatime,noexec,nosuid,nosuid&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;the&#x20;systemd&#x20;daemon:&#x20;#&#x20;&#x20;systemctl&#x20;daemon-reload&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;tmp.mount&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;restart&#x20;tmp.mount','[{\"cis\": [\"1.1.5\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4508,'Ensure&#x20;/dev/shm&#x20;is&#x20;configured&#x20;','/dev/shm&#x20;is&#x20;a&#x20;traditional&#x20;shared&#x20;memory&#x20;concept.&#x20;One&#x20;program&#x20;will&#x20;create&#x20;a&#x20;memory&#x20;portion,&#x20;which&#x20;other&#x20;processes&#x20;&#40;if&#x20;permitted&#41;&#x20;can&#x20;access.&#x20;Mounting&#x20;tmpfs&#x20;at&#x20;/dev/shm&#x20;is&#x20;handled&#x20;automatically&#x20;by&#x20;systemd.','Any&#x20;user&#x20;can&#x20;upload&#x20;and&#x20;execute&#x20;files&#x20;inside&#x20;the&#x20;/dev/shm&#x20;similar&#x20;to&#x20;the&#x20;/tmp&#x20;partition.&#x20;Configuring&#x20;/dev/shm&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/dev/shm&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hardlink&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hardlink&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','','Edit&#x20;/etc/fstab&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;the&#x20;following&#x20;line:&#x20;tmpfs&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;/dev/shm&#x20;&#x20;&#x20;&#x20;tmpfs&#x20;&#x20;&#x20;defaults,noexec,nodev,nosuid,seclabel&#x20;&#x20;&#x20;0&#x20;0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec,nodev,nosuid&#x20;/dev/shm','[{\"cis\": [\"1.1.6\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4509,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;executing&#x20;programs&#x20;from&#x20;shared&#x20;memory.&#x20;This&#x20;deters&#x20;users&#x20;from&#x20;introducing&#x20;potentially&#x20;malicious&#x20;software&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/dev/shm','[{\"cis\": [\"1.1.7\"]}, {\"cis_csc\": [\"2.6\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4510,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/dev/shm&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;special&#x20;devices&#x20;in&#x20;/dev/shm&#x20;partitions.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/dev/shm','[{\"cis\": [\"1.1.8\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4511,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;introducing&#x20;privileged&#x20;programs&#x20;onto&#x20;the&#x20;system&#x20;and&#x20;allowing&#x20;non-root&#x20;users&#x20;to&#x20;execute&#x20;them.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/dev/shm','[{\"cis\": [\"1.1.9\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4512,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var','The&#x20;/var&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;daemons&#x20;and&#x20;other&#x20;system&#x20;services&#x20;to&#x20;temporarily&#x20;store&#x20;dynamic&#x20;data.&#x20;Some&#x20;directories&#x20;created&#x20;by&#x20;these&#x20;processes&#x20;may&#x20;be&#x20;world-writable.','Since&#x20;the&#x20;/var&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.10\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4513,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/tmp','The&#x20;/var/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications&#x20;and&#x20;is&#x20;intended&#x20;for&#x20;temporary&#x20;files&#x20;that&#x20;are&#x20;preserved&#x20;across&#x20;reboots.','Since&#x20;the&#x20;/var/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;In&#x20;addition,&#x20;making&#x20;/var/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/var/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/tmp.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.11\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4514,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;un&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/var/tmp','[{\"cis\": [\"1.1.12\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4515,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/tmp&#x20;.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/var/tmp','[{\"cis\": [\"1.1.13\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4516,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/var/tmp','[{\"cis\": [\"1.1.14\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4517,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log','The&#x20;/var/log&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;system&#x20;services&#x20;to&#x20;store&#x20;log&#x20;data&#x20;.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;system&#x20;logs&#x20;are&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;logs&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.15\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"2.2.4\", \"10.7\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4518,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log/audit','The&#x20;auditing&#x20;daemon,&#x20;auditd,&#x20;stores&#x20;log&#x20;data&#x20;in&#x20;the&#x20;/var/log/audit&#x20;directory.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;data&#x20;gathered&#x20;by&#x20;auditd&#x20;is&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;the&#x20;audit.log&#x20;file&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log/audit.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.16\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"2.2.4\", \"10.7\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4519,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/home','The&#x20;/home&#x20;directory&#x20;is&#x20;used&#x20;to&#x20;support&#x20;disk&#x20;storage&#x20;needs&#x20;of&#x20;local&#x20;users.','If&#x20;the&#x20;system&#x20;is&#x20;intended&#x20;to&#x20;support&#x20;local&#x20;users,&#x20;create&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;the&#x20;/home&#x20;directory&#x20;to&#x20;protect&#x20;against&#x20;resource&#x20;exhaustion&#x20;and&#x20;restrict&#x20;the&#x20;type&#x20;of&#x20;files&#x20;that&#x20;can&#x20;be&#x20;stored&#x20;under&#x20;/home.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/home.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.17\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4520,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;user&#x20;partitions&#x20;are&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/home&#x20;partition.&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/home','[{\"cis\": [\"1.1.18\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4521,'Disable&#x20;Automounting','autofs&#x20;allows&#x20;automatic&#x20;mounting&#x20;of&#x20;devices,&#x20;typically&#x20;including&#x20;CD/DVDs&#x20;and&#x20;USB&#x20;drives.','With&#x20;automounting&#x20;enabled&#x20;anyone&#x20;with&#x20;physical&#x20;access&#x20;could&#x20;attach&#x20;a&#x20;USB&#x20;drive&#x20;or&#x20;disc&#x20;and&#x20;have&#x20;its&#x20;contents&#x20;available&#x20;in&#x20;system&#x20;even&#x20;if&#x20;they&#x20;lacked&#x20;permissions&#x20;to&#x20;mount&#x20;it&#x20;themselves.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;autofs:&#x20;systemctl&#x20;disable&#x20;autofs','[{\"cis\": [\"1.1.23\"]}, {\"cis_csc\": [\"8.4\", \"8.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4522,'Disable&#x20;USB&#x20;Storage','USB&#x20;storage&#x20;provides&#x20;a&#x20;means&#x20;to&#x20;transfer&#x20;and&#x20;store&#x20;files&#x20;insuring&#x20;persistence&#x20;and&#x20;availability&#x20;of&#x20;the&#x20;files&#x20;independent&#x20;of&#x20;network&#x20;connection&#x20;status.&#x20;Its&#x20;popularity&#x20;and&#x20;utility&#x20;has&#x20;led&#x20;to&#x20;USB-based&#x20;malware&#x20;being&#x20;a&#x20;simple&#x20;and&#x20;common&#x20;means&#x20;for&#x20;network&#x20;infiltration&#x20;and&#x20;a&#x20;first&#x20;step&#x20;to&#x20;establishing&#x20;a&#x20;persistent&#x20;threat&#x20;within&#x20;a&#x20;networked&#x20;environment.','Restricting&#x20;USB&#x20;access&#x20;on&#x20;the&#x20;system&#x20;will&#x20;decrease&#x20;the&#x20;physical&#x20;attack&#x20;surface&#x20;for&#x20;a&#x20;device&#x20;and&#x20;diminish&#x20;the&#x20;possible&#x20;vectors&#x20;to&#x20;introduce&#x20;malware.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/usb_storage.conf&#x20;&#x20;Add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;usb-storage&#x20;/bin/true&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;usb-storage&#x20;module:&#x20;&#x20;rmmod&#x20;usb-storage','[{\"cis\": [\"1.1.22\"]}, {\"cis_csc\": [\"8.4\", \"8.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4523,'Ensure&#x20;gpgcheck&#x20;is&#x20;globally&#x20;activated','The&#x20;gpgcheck&#x20;option,&#x20;found&#x20;in&#x20;the&#x20;main&#x20;section&#x20;of&#x20;the&#x20;/etc/yum.conf&#x20;and&#x20;individual&#x20;/etc/yum/repos.d&#47;&#42;&#x20;files&#x20;determines&#x20;if&#x20;an&#x20;RPM&#x20;package&#039;s&#x20;signature&#x20;is&#x20;checked&#x20;prior&#x20;to&#x20;its&#x20;installation.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;an&#x20;RPM&#039;s&#x20;package&#x20;signature&#x20;is&#x20;always&#x20;checked&#x20;prior&#x20;to&#x20;installation&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;software&#x20;is&#x20;obtained&#x20;from&#x20;a&#x20;trusted&#x20;source.','','Edit&#x20;/etc/yum.conf&#x20;and&#x20;set&#x20;&#039;&#x20;gpgcheck=1&#x20;&#039;&#x20;in&#x20;the&#x20;[main]&#x20;section.&#x20;Edit&#x20;any&#x20;failing&#x20;files&#x20;in&#x20;/etc/yum.repos.d&#47;&#42;&#x20;and&#x20;set&#x20;all&#x20;instances&#x20;of&#x20;gpgcheck&#x20;to&#x20;&#039;&#x20;1&#x20;&#039;.','[{\"cis\": [\"1.2.3\"]}, {\"cis_csc\": [\"3.4\"]}, {\"pci_dss\": [\"6.2\"]}, {\"nist_800_53\": [\"SI.2\", \"SA.11\", \"SI.4\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"A1.2\", \"CC6.8\"]}]'),(4524,'Disable&#x20;the&#x20;rhnsd&#x20;Daemon','The&#x20;rhnsd&#x20;daemon&#x20;polls&#x20;the&#x20;Red&#x20;Hat&#x20;Network&#x20;web&#x20;site&#x20;for&#x20;scheduled&#x20;actions&#x20;and,&#x20;if&#x20;there&#x20;are,&#x20;executes&#x20;those&#x20;actions.','Patch&#x20;management&#x20;policies&#x20;may&#x20;require&#x20;that&#x20;organizations&#x20;test&#x20;the&#x20;impact&#x20;of&#x20;a&#x20;patch&#x20;before&#x20;it&#x20;is&#x20;deployed&#x20;in&#x20;a&#x20;production&#x20;environment.&#x20;Having&#x20;patches&#x20;automatically&#x20;deployed&#x20;could&#x20;have&#x20;a&#x20;negative&#x20;impact&#x20;on&#x20;the&#x20;environment.&#x20;It&#x20;is&#x20;best&#x20;to&#x20;not&#x20;allow&#x20;an&#x20;action&#x20;by&#x20;default&#x20;but&#x20;only&#x20;after&#x20;appropriate&#x20;consideration&#x20;has&#x20;been&#x20;made.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;unless&#x20;the&#x20;risk&#x20;is&#x20;understood&#x20;and&#x20;accepted&#x20;or&#x20;you&#x20;are&#x20;running&#x20;your&#x20;own&#x20;satellite&#x20;.&#x20;This&#x20;item&#x20;is&#x20;not&#x20;scored&#x20;because&#x20;organizations&#x20;may&#x20;have&#x20;addressed&#x20;the&#x20;risk.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;the&#x20;rhnsd:&#x20;&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;rhnsd','[{\"cis\": [\"1.2.5\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(4525,'Ensure&#x20;sudo&#x20;is&#x20;installed','sudo&#x20;allows&#x20;a&#x20;permitted&#x20;user&#x20;to&#x20;execute&#x20;a&#x20;command&#x20;as&#x20;the&#x20;superuser&#x20;or&#x20;another&#x20;user,&#x20;as&#x20;specified&#x20;by&#x20;the&#x20;security&#x20;policy.&#x20;The&#x20;invoking&#x20;user&#039;s&#x20;real&#x20;&#40;not&#x20;effective&#41;&#x20;user&#x20;ID&#x20;is&#x20;used&#x20;to&#x20;determine&#x20;the&#x20;user&#x20;name&#x20;with&#x20;which&#x20;to&#x20;query&#x20;the&#x20;security&#x20;policy.','sudo&#x20;supports&#x20;a&#x20;plugin&#x20;architecture&#x20;for&#x20;security&#x20;policies&#x20;and&#x20;input/output&#x20;logging.&#x20;Third&#x20;parties&#x20;can&#x20;develop&#x20;and&#x20;distribute&#x20;their&#x20;own&#x20;policy&#x20;and&#x20;I/O&#x20;logging&#x20;plugins&#x20;to&#x20;work&#x20;seamlessly&#x20;with&#x20;the&#x20;sudo&#x20;front&#x20;end.&#x20;The&#x20;default&#x20;security&#x20;policy&#x20;is&#x20;sudoers,&#x20;which&#x20;is&#x20;configured&#x20;via&#x20;the&#x20;file&#x20;/etc/sudoers.&#x20;The&#x20;security&#x20;policy&#x20;determines&#x20;what&#x20;privileges,&#x20;if&#x20;any,&#x20;a&#x20;user&#x20;has&#x20;to&#x20;run&#x20;sudo.&#x20;The&#x20;policy&#x20;may&#x20;require&#x20;that&#x20;users&#x20;authenticate&#x20;themselves&#x20;with&#x20;a&#x20;password&#x20;or&#x20;another&#x20;authentication&#x20;mechanism.&#x20;If&#x20;authentication&#x20;is&#x20;required,&#x20;sudo&#x20;will&#x20;exit&#x20;if&#x20;the&#x20;user&#039;s&#x20;password&#x20;is&#x20;not&#x20;entered&#x20;within&#x20;a&#x20;configurable&#x20;time&#x20;limit.&#x20;This&#x20;limit&#x20;is&#x20;policy-specific.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;sudo.&#x20;#&#x20;yum&#x20;install&#x20;sudo','[{\"cis\": [\"1.3.1\"]}, {\"cis_csc\": [\"4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4526,'Ensure&#x20;sudo&#x20;commands&#x20;use&#x20;pty','sudo&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;run&#x20;only&#x20;from&#x20;a&#x20;pseudo-pty','Attackers&#x20;can&#x20;run&#x20;a&#x20;malicious&#x20;program&#x20;using&#x20;sudo,&#x20;which&#x20;would&#x20;again&#x20;fork&#x20;a&#x20;background&#x20;process&#x20;that&#x20;remains&#x20;even&#x20;when&#x20;the&#x20;main&#x20;program&#x20;has&#x20;finished&#x20;executing.&#x20;This&#x20;can&#x20;be&#x20;mitigated&#x20;by&#x20;configuring&#x20;sudo&#x20;to&#x20;run&#x20;other&#x20;commands&#x20;only&#x20;from&#x20;a&#x20;pseudo-pty,&#x20;whether&#x20;I/O&#x20;logging&#x20;is&#x20;turned&#x20;on&#x20;or&#x20;not.','','Edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;or&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Defaults&#x20;use_pty','[{\"cis\": [\"1.3.2\"]}, {\"cis_csc\": [\"4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4527,'Ensure&#x20;sudo&#x20;log&#x20;file&#x20;exists','sudo&#x20;can&#x20;use&#x20;a&#x20;custom&#x20;log&#x20;file','A&#x20;sudo&#x20;log&#x20;file&#x20;simplifies&#x20;auditing&#x20;of&#x20;sudo&#x20;commands','','Edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;or&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Defaults&#x20;logfile=&#039;&lt;PATH&#x20;TO&#x20;CUSTOM&#x20;LOG&#x20;FILE&gt;&#039;&#x20;&#x20;&#x20;Example:Defaults&#x20;&#x20;logfile=&quot;/var/log/sudo.log&quot;','[{\"cis\": [\"1.3.3\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4528,'Ensure&#x20;AIDE&#x20;is&#x20;installed','AIDE&#x20;takes&#x20;a&#x20;snapshot&#x20;of&#x20;filesystem&#x20;state&#x20;including&#x20;modification&#x20;times,&#x20;permissions,&#x20;and&#x20;file&#x20;hashes&#x20;which&#x20;can&#x20;then&#x20;be&#x20;used&#x20;to&#x20;compare&#x20;against&#x20;the&#x20;current&#x20;state&#x20;of&#x20;the&#x20;filesystem&#x20;to&#x20;detect&#x20;modifications&#x20;to&#x20;the&#x20;system.','By&#x20;monitoring&#x20;the&#x20;filesystem&#x20;state&#x20;compromised&#x20;files&#x20;can&#x20;be&#x20;detected&#x20;to&#x20;prevent&#x20;or&#x20;limit&#x20;the&#x20;exposure&#x20;of&#x20;accidental&#x20;or&#x20;malicious&#x20;misconfigurations&#x20;or&#x20;modified&#x20;binaries.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;AIDE:&#x20;yum&#x20;install&#x20;aide&#x20;//&#x20;Configure&#x20;AIDE&#x20;as&#x20;appropriate&#x20;for&#x20;your&#x20;environment.&#x20;Consult&#x20;the&#x20;AIDE&#x20;documentation&#x20;for&#x20;options.&#x20;Initialize&#x20;AIDE:&#x20;aide&#x20;--init&#x20;&amp;&amp;&#x20;mv&#x20;/var/lib/aide/aide.db.new.gz&#x20;/var/lib/aide/aide.db.gz','[{\"cis\": [\"1.4.1\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4529,'Ensure&#x20;filesystem&#x20;integrity&#x20;is&#x20;regularly&#x20;checked','Periodic&#x20;checking&#x20;of&#x20;the&#x20;filesystem&#x20;integrity&#x20;is&#x20;needed&#x20;to&#x20;detect&#x20;changes&#x20;to&#x20;the&#x20;filesystem.','Periodic&#x20;file&#x20;checking&#x20;allows&#x20;the&#x20;system&#x20;administrator&#x20;to&#x20;determine&#x20;on&#x20;a&#x20;regular&#x20;basis&#x20;if&#x20;critical&#x20;files&#x20;have&#x20;been&#x20;changed&#x20;in&#x20;an&#x20;unauthorized&#x20;fashion.','','If&#x20;cron&#x20;will&#x20;be&#x20;used&#x20;to&#x20;schedule&#x20;and&#x20;run&#x20;aide&#x20;check&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;crontab&#x20;-u&#x20;root&#x20;-e&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;crontab:&#x20;0&#x20;5&#x20;*&#x20;*&#x20;*&#x20;/usr/sbin/aide&#x20;--check&#x20;&#x20;//&#x20;Notes:&#x20;The&#x20;checking&#x20;in&#x20;this&#x20;recommendation&#x20;occurs&#x20;every&#x20;day&#x20;at&#x20;5am.&#x20;Alter&#x20;the&#x20;frequency&#x20;and&#x20;time&#x20;of&#x20;the&#x20;checks&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy.&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;If&#x20;aidecheck.service&#x20;and&#x20;aidecheck.timer&#x20;will&#x20;be&#x20;used&#x20;to&#x20;schedule&#x20;and&#x20;run&#x20;aide&#x20;check:&#x20;Create&#x20;or&#x20;edit&#x20;the&#x20;file&#x20;/etc/systemd/system/aidecheck.service&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;&#x20;[Unit]&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Description=Aide&#x20;Check&#x20;&#x20;&#x20;&#x20;[Service]&#x20;&#x20;&#x20;&#x20;&#x20;Type=simpleExecStart=/usr/sbin/aide&#x20;--check&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;[Install]&#x20;&#x20;&#x20;&#x20;&#x20;WantedBy=multi-user.target&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Create&#x20;or&#x20;edit&#x20;the&#x20;file&#x20;&#x20;/etc/systemd/system/aidecheck.timer&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;[Unit]&#x20;&#x20;&#x20;Description=Aide&#x20;check&#x20;every&#x20;day&#x20;at&#x20;5AM&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;[Timer]&#x20;&#x20;&#x20;&#x20;&#x20;OnCalendar=*-*-*&#x20;05:00:00&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Unit=aidecheck.service&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;[Install]&#x20;&#x20;&#x20;&#x20;&#x20;WantedBy=multi-user.target&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;commands:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/systemd/system/aidecheck.*&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;chmod&#x20;0644&#x20;/etc/systemd/system/aidecheck.*&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;daemon-reload&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;enable&#x20;aidecheck.service&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;aidecheck.timer&#x20;','[{\"cis\": [\"1.4.2\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4530,'Ensure&#x20;bootloader&#x20;password&#x20;is&#x20;set','Setting&#x20;the&#x20;boot&#x20;loader&#x20;password&#x20;will&#x20;require&#x20;that&#x20;anyone&#x20;rebooting&#x20;the&#x20;system&#x20;must&#x20;enter&#x20;a&#x20;password&#x20;before&#x20;being&#x20;able&#x20;to&#x20;set&#x20;command&#x20;line&#x20;boot&#x20;parameters.','Requiring&#x20;a&#x20;boot&#x20;password&#x20;upon&#x20;execution&#x20;of&#x20;the&#x20;boot&#x20;loader&#x20;will&#x20;prevent&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;entering&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;the&#x20;boot&#x20;partition.&#x20;This&#x20;prevents&#x20;users&#x20;from&#x20;weakening&#x20;security&#x20;&#40;e.g.&#x20;turning&#x20;off&#x20;SELinux&#x20;at&#x20;boot&#x20;time&#41;.','','For&#x20;newergrub2based&#x20;systems&#x20;&#40;centOS/RHEL&#x20;7.2&#x20;and&#x20;newer&#41;:&#x20;Create&#x20;an&#x20;encrypted&#x20;password&#x20;with&#x20;grub2-setpassword:&#x20;#&#x20;grub2-setpassword&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;For&#x20;older&#x20;&#x20;grub2based&#x20;systems:&#x20;create&#x20;an&#x20;encrypted&#x20;password&#x20;with&#x20;grub2-mkpasswd-pbkdf2:&#x20;&#x20;&#x20;#&#x20;grub2-mkpasswd-pbkdf2&#x20;&#x20;&#x20;Enter&#x20;password:&#x20;&lt;password&gt;&#x20;&#x20;&#x20;&#x20;Reenter&#x20;password:&#x20;&lt;password&gt;&#x20;&#x20;&#x20;&#x20;&#x20;Your&#x20;PBKDF2&#x20;is&#x20;&lt;encrypted-password&gt;&#x20;&#x20;&#x20;&#x20;&#x20;Add&#x20;the&#x20;following&#x20;into&#x20;/etc/grub.d/01_users&#x20;or&#x20;a&#x20;custom&#x20;/etc/grub.d&#x20;configuration&#x20;file:&#x20;&#x20;cat&#x20;&lt;&lt;EOFset&#x20;superusers=&quot;&lt;username&gt;&quot;password_pbkdf2&#x20;&lt;username&gt;&#x20;&lt;encrypted-password&gt;EOF&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;&#x20;#&#x20;grub2-mkconfig&#x20;-o&#x20;/boot/grub2/grub.cfg','[{\"cis\": [\"1.5.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4531,'Ensure&#x20;permissions&#x20;on&#x20;bootloader&#x20;config&#x20;are&#x20;configured','The&#x20;grub&#x20;configuration&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;boot&#x20;settings&#x20;and&#x20;passwords&#x20;for&#x20;unlocking&#x20;boot&#x20;options.&#x20;The&#x20;grub&#x20;configuration&#x20;is&#x20;usually&#x20;located&#x20;at&#x20;/boot/grub2/grub.cfg&#x20;and&#x20;linked&#x20;as&#x20;/etc/grub2.cfg&#x20;.&#x20;&#x20;On&#x20;newer&#x20;grub2&#x20;systems&#x20;the&#x20;encrypted&#x20;bootloader&#x20;password&#x20;is&#x20;contained&#x20;in&#x20;/boot/grub2/user.cfg','Setting&#x20;the&#x20;permissions&#x20;to&#x20;read&#x20;and&#x20;write&#x20;for&#x20;root&#x20;only&#x20;prevents&#x20;non-root&#x20;users&#x20;from&#x20;seeing&#x20;the&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;them.&#x20;Non-root&#x20;users&#x20;who&#x20;read&#x20;the&#x20;boot&#x20;parameters&#x20;may&#x20;be&#x20;able&#x20;to&#x20;identify&#x20;weaknesses&#x20;in&#x20;security&#x20;upon&#x20;boot&#x20;and&#x20;be&#x20;able&#x20;to&#x20;exploit&#x20;them.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;your&#x20;grub&#x20;configuration:&#x20;#&#x20;chown&#x20;root:root&#x20;/boot/grub2/grub.cfg&#x20;&#x20;&#x20;&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/boot/grub2/grub.cfg&#x20;&#x20;#&#x20;chown&#x20;root:root&#x20;/boot/grub2/user.cfg&#x20;&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/boot/grub2/user.cfg','[{\"cis\": [\"1.5.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4532,'Ensure&#x20;authentication&#x20;required&#x20;for&#x20;single&#x20;user&#x20;mode','Single&#x20;user&#x20;mode&#x20;&#40;rescue&#x20;mode&#41;&#x20;is&#x20;used&#x20;for&#x20;recovery&#x20;when&#x20;the&#x20;system&#x20;detects&#x20;an&#x20;issue&#x20;during&#x20;boot&#x20;or&#x20;by&#x20;manual&#x20;selection&#x20;from&#x20;the&#x20;bootloader.','Requiring&#x20;authentication&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;&#40;rescue&#x20;mode&#41;&#x20;prevents&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;rebooting&#x20;the&#x20;system&#x20;into&#x20;single&#x20;user&#x20;to&#x20;gain&#x20;root&#x20;privileges&#x20;without&#x20;credentials.','','Edit&#x20;/usr/lib/systemd/system/rescue.service&#x20;and&#x20;/usr/lib/systemd/system/emergency.service&#x20;and&#x20;set&#x20;ExecStart&#x20;to&#x20;use&#x20;/sbin/sulogin&#x20;or&#x20;/usr/sbin/sulogin:&#x20;ExecStart=-/bin/sh&#x20;-c&#x20;&quot;/sbin/sulogin;&#x20;/usr/bin/systemctl&#x20;--fail&#x20;--no-block&#x20;default&quot;&#x20;','[{\"cis\": [\"1.5.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4533,'Ensure&#x20;core&#x20;dumps&#x20;are&#x20;restricted','A&#x20;core&#x20;dump&#x20;is&#x20;the&#x20;memory&#x20;of&#x20;an&#x20;executable&#x20;program.&#x20;It&#x20;is&#x20;generally&#x20;used&#x20;to&#x20;determine&#x20;why&#x20;a&#x20;program&#x20;aborted.&#x20;It&#x20;can&#x20;also&#x20;be&#x20;used&#x20;to&#x20;glean&#x20;confidential&#x20;information&#x20;from&#x20;a&#x20;core&#x20;file.','Setting&#x20;a&#x20;hard&#x20;limit&#x20;on&#x20;core&#x20;dumps&#x20;prevents&#x20;users&#x20;from&#x20;overriding&#x20;the&#x20;soft&#x20;variable.&#x20;If&#x20;core&#x20;dumps&#x20;are&#x20;required,&#x20;consider&#x20;setting&#x20;limits&#x20;for&#x20;user&#x20;groups&#x20;&#40;see&#x20;limits.conf&#41;.&#x20;In&#x20;addition,&#x20;setting&#x20;the&#x20;fs.suid_dumpable&#x20;variable&#x20;to&#x20;0&#x20;will&#x20;prevent&#x20;setuid&#x20;programs&#x20;from&#x20;dumping&#x20;core.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;/etc/security/limits.conf&#x20;or&#x20;a&#x20;/etc/security/limits.d&#47;&#42;&#x20;file:&#x20;*&#x20;hard&#x20;core&#x20;0.&#x20;Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;fs.suid_dumpable&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;fs.suid_dumpable=0','[{\"cis\": [\"1.6.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4534,'Ensure&#x20;XD/NX&#x20;support&#x20;is&#x20;enabled','Recent&#x20;processors&#x20;in&#x20;the&#x20;x86&#x20;family&#x20;support&#x20;the&#x20;ability&#x20;to&#x20;prevent&#x20;code&#x20;execution&#x20;on&#x20;a&#x20;per&#x20;memory&#x20;page&#x20;basis.&#x20;Generically&#x20;and&#x20;on&#x20;AMD&#x20;processors,&#x20;this&#x20;ability&#x20;is&#x20;called&#x20;No&#x20;Execute&#x20;&#40;NX&#41;,&#x20;while&#x20;on&#x20;Intel&#x20;processors&#x20;it&#x20;is&#x20;called&#x20;Execute&#x20;Disable&#x20;&#40;XD&#41;.&#x20;This&#x20;ability&#x20;can&#x20;help&#x20;prevent&#x20;exploitation&#x20;of&#x20;buffer&#x20;overflow&#x20;vulnerabilities&#x20;and&#x20;should&#x20;be&#x20;activated&#x20;whenever&#x20;possible.&#x20;Extra&#x20;steps&#x20;must&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;that&#x20;this&#x20;protection&#x20;is&#x20;enabled,&#x20;particularly&#x20;on&#x20;32-bit&#x20;x86&#x20;systems.&#x20;Other&#x20;processors,&#x20;such&#x20;as&#x20;Itanium&#x20;and&#x20;POWER,&#x20;have&#x20;included&#x20;such&#x20;support&#x20;since&#x20;inception&#x20;and&#x20;the&#x20;standard&#x20;kernel&#x20;for&#x20;those&#x20;platforms&#x20;supports&#x20;the&#x20;feature.','Enabling&#x20;any&#x20;feature&#x20;that&#x20;can&#x20;protect&#x20;against&#x20;buffer&#x20;overflow&#x20;attacks&#x20;enhances&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.','','On&#x20;32&#x20;bit&#x20;systems&#x20;install&#x20;a&#x20;kernel&#x20;with&#x20;PAE&#x20;support,&#x20;no&#x20;installation&#x20;is&#x20;required&#x20;on&#x20;64&#x20;bit&#x20;systems:&#x20;If&#x20;necessary&#x20;configure&#x20;your&#x20;bootloader&#x20;to&#x20;load&#x20;the&#x20;new&#x20;kernel&#x20;and&#x20;reboot&#x20;the&#x20;system.&#x20;You&#x20;may&#x20;need&#x20;to&#x20;enable&#x20;NX&#x20;or&#x20;XD&#x20;support&#x20;in&#x20;your&#x20;bios.','[{\"cis\": [\"1.6.2\"]}, {\"cis_csc\": [\"8.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4535,'Ensure&#x20;address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;enabled','Address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;an&#x20;exploit&#x20;mitigation&#x20;technique&#x20;which&#x20;randomly&#x20;arranges&#x20;the&#x20;address&#x20;space&#x20;of&#x20;key&#x20;data&#x20;areas&#x20;of&#x20;a&#x20;process.','Randomly&#x20;placing&#x20;virtual&#x20;memory&#x20;regions&#x20;will&#x20;make&#x20;it&#x20;difficult&#x20;to&#x20;write&#x20;memory&#x20;page&#x20;exploits&#x20;as&#x20;the&#x20;memory&#x20;placement&#x20;will&#x20;be&#x20;consistently&#x20;shifting.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;kernel.randomize_va_space&#x20;=&#x20;2.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;kernel.randomize_va_space=2','[{\"cis\": [\"1.6.3\"]}, {\"cis_csc\": [\"8.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4536,'Ensure&#x20;prelink&#x20;is&#x20;disabled','prelink&#x20;is&#x20;a&#x20;program&#x20;that&#x20;modifies&#x20;ELF&#x20;shared&#x20;libraries&#x20;and&#x20;ELF&#x20;dynamically&#x20;linked&#x20;binaries&#x20;in&#x20;such&#x20;a&#x20;way&#x20;that&#x20;the&#x20;time&#x20;needed&#x20;for&#x20;the&#x20;dynamic&#x20;linker&#x20;to&#x20;perform&#x20;relocations&#x20;at&#x20;startup&#x20;significantly&#x20;decreases.','The&#x20;prelinking&#x20;feature&#x20;can&#x20;interfere&#x20;with&#x20;the&#x20;operation&#x20;of&#x20;AIDE,&#x20;because&#x20;it&#x20;changes&#x20;binaries.&#x20;Prelinking&#x20;can&#x20;also&#x20;increase&#x20;the&#x20;vulnerability&#x20;of&#x20;the&#x20;system&#x20;if&#x20;a&#x20;malicious&#x20;user&#x20;is&#x20;able&#x20;to&#x20;compromise&#x20;a&#x20;common&#x20;library&#x20;such&#x20;as&#x20;libc.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;restore&#x20;binaries&#x20;to&#x20;normal:&#x20;#&#x20;prelink&#x20;-ua&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;prelink:&#x20;#&#x20;yum&#x20;remove&#x20;prelink','[{\"cis\": [\"1.6.4\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4537,'Ensure&#x20;SELinux&#x20;is&#x20;installed','SELinux&#x20;provides&#x20;Mandatory&#x20;Access&#x20;Controls.','Without&#x20;a&#x20;Mandatory&#x20;Access&#x20;Control&#x20;system&#x20;installed&#x20;only&#x20;the&#x20;default&#x20;Discretionary&#x20;Access&#x20;Control&#x20;system&#x20;will&#x20;be&#x20;available.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;libselinux:&#x20;#&#x20;yum&#x20;install&#x20;libselinux','[{\"cis\": [\"1.7.1.1\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4538,'Ensure&#x20;SELinux&#x20;is&#x20;not&#x20;disabled&#x20;in&#x20;bootloader&#x20;configuration','Configure&#x20;SELINUX&#x20;to&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;and&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;not&#x20;been&#x20;overwritten&#x20;by&#x20;the&#x20;grub&#x20;boot&#x20;parameters.','SELinux&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;your&#x20;grub&#x20;configuration&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;not&#x20;overridden.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;remove&#x20;all&#x20;instances&#x20;of&#x20;selinux=0&#x20;and&#x20;enforcing=0&#x20;from&#x20;all&#x20;CMDLINE_LINUX&#x20;parameters:&#x20;GRUB_CMDLINE_LINUX_DEFAULT=&quot;quiet&quot;&#x20;GRUB_CMDLINE_LINUX=&quot;&quot;&#x20;&#x20;||&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;grub2-mkconfig&#x20;-o&#x20;/boot/grub2/grub.cfg','[{\"cis\": [\"1.7.1.2\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4539,'Ensure&#x20;SELinux&#x20;policy&#x20;is&#x20;configured','Configure&#x20;SELinux&#x20;to&#x20;meet&#x20;or&#x20;exceed&#x20;the&#x20;default&#x20;targeted&#x20;policy,&#x20;which&#x20;constrains&#x20;daemons&#x20;and&#x20;system&#x20;software&#x20;only.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;at&#x20;least&#x20;the&#x20;default&#x20;recommendations&#x20;are&#x20;met.','','Edit&#x20;the&#x20;/etc/selinux/config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;SELINUXTYPE&#x20;parameter:&#x20;SELINUXTYPE=targeted','[{\"cis\": [\"1.7.1.3\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4540,'Ensure&#x20;the&#x20;SELinux&#x20;mode&#x20;is&#x20;enforcing&#x20;or&#x20;permissive','SELinux&#x20;can&#x20;run&#x20;in&#x20;one&#x20;of&#x20;three&#x20;modes:&#x20;disabled,&#x20;permissive,&#x20;or&#x20;enforcing:&#x20;&#x20;Enforcing&#x20;-&#x20;Is&#x20;the&#x20;default,&#x20;and&#x20;recommended,&#x20;mode&#x20;of&#x20;operation;&#x20;in&#x20;enforcing&#x20;mode&#x20;SELinux&#x20;operates&#x20;normally,&#x20;enforcing&#x20;the&#x20;loaded&#x20;security&#x20;policy&#x20;on&#x20;the&#x20;entire&#x20;system.&#x20;&#x20;Permissive&#x20;-&#x20;The&#x20;system&#x20;acts&#x20;as&#x20;if&#x20;SELinux&#x20;is&#x20;enforcing&#x20;the&#x20;loaded&#x20;security&#x20;policy,&#x20;including&#x20;labeling&#x20;objects&#x20;and&#x20;emitting&#x20;access&#x20;denial&#x20;entries&#x20;in&#x20;the&#x20;logs,&#x20;but&#x20;it&#x20;does&#x20;not&#x20;actually&#x20;deny&#x20;any&#x20;operations.&#x20;While&#x20;not&#x20;recommended&#x20;for&#x20;production&#x20;systems,&#x20;permissive&#x20;mode&#x20;can&#x20;be&#x20;helpful&#x20;for&#x20;SELinux&#x20;policy&#x20;development.&#x20;&#x20;&#x20;Disabled&#x20;-Is&#x20;strongly&#x20;discouraged;&#x20;not&#x20;only&#x20;does&#x20;the&#x20;system&#x20;avoid&#x20;enforcing&#x20;the&#x20;SELinux&#x20;policy,&#x20;it&#x20;also&#x20;avoids&#x20;labeling&#x20;any&#x20;persistent&#x20;objects&#x20;such&#x20;as&#x20;files,&#x20;making&#x20;it&#x20;difficult&#x20;to&#x20;enable&#x20;SELinux&#x20;in&#x20;the&#x20;future','Running&#x20;SELinux&#x20;in&#x20;disabled&#x20;modeis&#x20;strongly&#x20;discouraged;&#x20;not&#x20;only&#x20;does&#x20;the&#x20;system&#x20;avoid&#x20;enforcing&#x20;the&#x20;SELinux&#x20;policy,&#x20;it&#x20;also&#x20;avoids&#x20;labeling&#x20;any&#x20;persistent&#x20;objects&#x20;such&#x20;as&#x20;files,&#x20;making&#x20;it&#x20;difficult&#x20;to&#x20;enable&#x20;SELinux&#x20;in&#x20;the&#x20;future.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;SELinux&#039;s&#x20;running&#x20;mode:&#x20;To&#x20;set&#x20;SELinux&#x20;mode&#x20;to&#x20;Enforcing:&#x20;#&#x20;setenforce&#x20;1&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;To&#x20;set&#x20;SELinux&#x20;mode&#x20;to&#x20;Permissive:&#x20;#&#x20;setenforce&#x20;0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Edit&#x20;the&#x20;/etc/selinux/config&#x20;&#x20;file&#x20;to&#x20;set&#x20;the&#x20;SELINUX&#x20;parameter:&#x20;For&#x20;Enforcing&#x20;mode:&#x20;SELINUX=enforcing&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;For&#x20;Permissive&#x20;mode:&#x20;&#x20;SELINUX=permissive','[{\"cis\": [\"1.7.1.4\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4541,'Ensure&#x20;no&#x20;unconfined&#x20;services&#x20;exist','Unconfined&#x20;processes&#x20;run&#x20;in&#x20;unconfined&#x20;domains','For&#x20;unconfined&#x20;processes,&#x20;SELinux&#x20;policy&#x20;rules&#x20;are&#x20;applied,&#x20;but&#x20;policy&#x20;rules&#x20;exist&#x20;that&#x20;allow&#x20;processes&#x20;running&#x20;in&#x20;unconfined&#x20;domains&#x20;almost&#x20;all&#x20;access.&#x20;Processes&#x20;running&#x20;in&#x20;unconfined&#x20;domains&#x20;fall&#x20;back&#x20;to&#x20;using&#x20;DAC&#x20;rules&#x20;exclusively.&#x20;If&#x20;an&#x20;unconfined&#x20;process&#x20;is&#x20;compromised,&#x20;SELinux&#x20;does&#x20;not&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;gaining&#x20;access&#x20;to&#x20;system&#x20;resources&#x20;and&#x20;data,&#x20;but&#x20;of&#x20;course,&#x20;DAC&#x20;rules&#x20;are&#x20;still&#x20;used.&#x20;SELinux&#x20;is&#x20;a&#x20;security&#x20;enhancement&#x20;on&#x20;top&#x20;of&#x20;DAC&#x20;rules&#x20;&ndash;&#x20;it&#x20;does&#x20;not&#x20;replace&#x20;them','','Investigate&#x20;any&#x20;unconfined&#x20;processes&#x20;found&#x20;during&#x20;the&#x20;audit&#x20;action.&#x20;They&#x20;may&#x20;need&#x20;to&#x20;have&#x20;an&#x20;existing&#x20;security&#x20;context&#x20;assigned&#x20;to&#x20;them&#x20;or&#x20;a&#x20;policy&#x20;built&#x20;for&#x20;them.','[{\"cis\": [\"1.7.1.6\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4542,'Ensure&#x20;SETroubleshoot&#x20;is&#x20;not&#x20;installed','The&#x20;SETroubleshoot&#x20;service&#x20;notifies&#x20;desktop&#x20;users&#x20;of&#x20;SELinux&#x20;denials&#x20;through&#x20;a&#x20;user-friendly&#x20;interface.&#x20;The&#x20;service&#x20;provides&#x20;important&#x20;information&#x20;around&#x20;configuration&#x20;errors,&#x20;unauthorized&#x20;intrusions,&#x20;and&#x20;other&#x20;potential&#x20;errors.','The&#x20;SETroubleshoot&#x20;service&#x20;is&#x20;an&#x20;unnecessary&#x20;daemon&#x20;to&#x20;have&#x20;running&#x20;on&#x20;a&#x20;server,&#x20;especially&#x20;if&#x20;X&#x20;Windows&#x20;is&#x20;disabled.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;setroubleshoot:&#x20;#&#x20;yum&#x20;remove&#x20;setroubleshoot','[{\"cis\": [\"1.7.1.7\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4543,'Ensure&#x20;the&#x20;MCS&#x20;Translation&#x20;Service&#x20;&#40;mcstrans&#41;&#x20;is&#x20;not&#x20;installed','The&#x20;mcstransd&#x20;daemon&#x20;provides&#x20;category&#x20;label&#x20;information&#x20;to&#x20;client&#x20;processes&#x20;requesting&#x20;information.&#x20;The&#x20;label&#x20;translations&#x20;are&#x20;defined&#x20;in&#x20;/etc/selinux/targeted/setrans.conf','Since&#x20;this&#x20;service&#x20;is&#x20;not&#x20;used&#x20;very&#x20;often,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;amount&#x20;of&#x20;potentially&#x20;vulnerable&#x20;code&#x20;running&#x20;on&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;mcstrans:&#x20;#&#x20;yum&#x20;remove&#x20;mcstrans','[{\"cis\": [\"1.7.1.8\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4544,'Ensure&#x20;message&#x20;of&#x20;the&#x20;day&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/motd&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m,&#x20;&#x0d;,&#x20;s,&#x20;v&#x20;&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;If&#x20;the&#x20;motd&#x20;is&#x20;not&#x20;used,&#x20;this&#x20;file&#x20;can&#x20;be&#x20;removed.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;motd&#x20;file:&#x20;#&#x20;rm&#x20;/etc/motd','[{\"cis\": [\"1.8.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(4545,'Ensure&#x20;local&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version&#x20;-or&#x20;the&#x20;operating&#x20;system&#039;s&#x20;name.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m,&#x20;&#x0d;,&#x20;s,&#x20;or&#x20;v:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue','[{\"cis\": [\"1.8.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(4546,'Ensure&#x20;remote&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m,&#x20;&#x0d;,&#x20;s,&#x20;or&#x20;v:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue.net','[{\"cis\": [\"1.8.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(4547,'Ensure&#x20;permissions&#x20;on&#x20;/etc/motd&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.','If&#x20;the&#x20;/etc/motd&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/motd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/motd&#x20;#&#x20;chmod&#x20;644&#x20;/etc/motd','[{\"cis\": [\"1.8.1.4\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4548,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.','If&#x20;the&#x20;/etc/issue&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue','[{\"cis\": [\"1.8.1.5\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4549,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue.net&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.','If&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue.net:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue.net&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue.net','[{\"cis\": [\"1.8.1.6\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4550,'Ensure&#x20;updates,&#x20;patches,&#x20;and&#x20;additional&#x20;security&#x20;software&#x20;are&#x20;installed','Periodically&#x20;patches&#x20;are&#x20;released&#x20;for&#x20;included&#x20;software&#x20;either&#x20;due&#x20;to&#x20;security&#x20;flaws&#x20;or&#x20;to&#x20;include&#x20;additional&#x20;functionality.','Newer&#x20;patches&#x20;may&#x20;contain&#x20;security&#x20;enhancements&#x20;that&#x20;would&#x20;not&#x20;be&#x20;available&#x20;through&#x20;the&#x20;latest&#x20;full&#x20;update.&#x20;As&#x20;a&#x20;result,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;latest&#x20;software&#x20;patches&#x20;be&#x20;used&#x20;to&#x20;take&#x20;advantage&#x20;of&#x20;the&#x20;latest&#x20;functionality.&#x20;As&#x20;with&#x20;any&#x20;software&#x20;installation,&#x20;organizations&#x20;need&#x20;to&#x20;determine&#x20;if&#x20;a&#x20;given&#x20;update&#x20;meets&#x20;their&#x20;requirements&#x20;and&#x20;verify&#x20;the&#x20;compatibility&#x20;and&#x20;supportability&#x20;of&#x20;any&#x20;additional&#x20;software&#x20;against&#x20;the&#x20;update&#x20;revision&#x20;that&#x20;is&#x20;selected.','','Use&#x20;your&#x20;package&#x20;manager&#x20;to&#x20;update&#x20;all&#x20;packages&#x20;on&#x20;the&#x20;system&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;The&#x20;following&#x20;command&#x20;will&#x20;install&#x20;all&#x20;available&#x20;packages&#x20;#&#x20;yum&#x20;update&#x20;--security&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Note:&#x20;The&#x20;audit&#x20;and&#x20;remediation&#x20;here&#x20;only&#x20;cover&#x20;security&#x20;updates.&#x20;Non-security&#x20;updates&#x20;can&#x20;be&#x20;audited&#x20;with&#x20;the&#x20;following&#x20;command&#x20;and&#x20;comparing&#x20;the&#x20;output&#x20;against&#x20;site&#x20;policy:&#x20;&#x20;#&#x20;yum&#x20;check-update','[{\"cis\": [\"1.9\"]}, {\"cis_csc\": [\"3.4\", \"3.5\"]}, {\"pci_dss\": [\"5.2\"]}, {\"nist_800_53\": [\"AU.6\", \"SI.4\"]}, {\"gpg_13\": [\"4.2\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"A1.2\"]}]'),(4551,'Ensure&#x20;GDM&#x20;login&#x20;banner&#x20;is&#x20;configured','GDM&#x20;is&#x20;the&#x20;GNOME&#x20;Display&#x20;Manager&#x20;which&#x20;handles&#x20;graphical&#x20;login&#x20;for&#x20;GNOME&#x20;based&#x20;systems.','If&#x20;a&#x20;graphical&#x20;login&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;a&#x20;graphical&#x20;login&#x20;is&#x20;required,&#x20;last&#x20;logged&#x20;in&#x20;user&#x20;display&#x20;should&#x20;be&#x20;disabled,&#x20;and&#x20;a&#x20;warning&#x20;banner&#x20;should&#x20;be&#x20;configured.&#x20;Displaying&#x20;the&#x20;last&#x20;logged&#x20;in&#x20;user&#x20;eliminates&#x20;half&#x20;of&#x20;the&#x20;Userid/Password&#x20;equation&#x20;that&#x20;an&#x20;unauthorized&#x20;person&#x20;would&#x20;need&#x20;to&#x20;log&#x20;on.&#x20;Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;gdm:&#x20;#&#x20;yum&#x20;remove&#x20;gdm&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;If&#x20;GDM&#x20;is&#x20;required:&#x20;Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/dconf/profile/gdm&#x20;and&#x20;add&#x20;the&#x20;following:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;user-db:user&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;system-db:gdm&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;file-db:/usr/share/gdm/greeter-dconf-defaults&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/dconf/db/gdm.d/&#x20;&#x20;and&#x20;add&#x20;the&#x20;following:&#x20;&#40;This&#x20;is&#x20;typically&#x20;/etc/dconf/db/gdm.d/01-banner-message&#41;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;[org/gnome/login-screen]&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;banner-message-enable=true&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;banner-message-text=&#039;&lt;banner&#x20;message&gt;&#039;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Example&#x20;Banner&#x20;Text:&#x20;&#x20;&#039;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&#x20;&#039;Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/dconf/db/gdm.d/and&#x20;add&#x20;the&#x20;following:&#x20;&#40;This&#x20;is&#x20;typically&#x20;/etc/dconf/db/gdm.d/00-login-screen&#41;&#x20;&#x20;&#x20;&#x20;&#x20;[org/gnome/login-screen]&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;Do&#x20;not&#x20;show&#x20;the&#x20;user&#x20;list&#x20;&#x20;&#x20;&#x20;&#x20;disable-user-list=true&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;system&#x20;databases:&#x20;&#x20;#&#x20;dconf&#x20;update','[{\"cis\": [\"1.10\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(4552,'Ensure&#x20;daytime&#x20;services&#x20;are&#x20;not&#x20;enabled','The&#x20;eXtended&#x20;InterNET&#x20;Daemon&#x20;&#40;&#x20;xinetd&#x20;&#41;&#x20;is&#x20;an&#x20;open&#x20;source&#x20;super&#x20;daemon&#x20;that&#x20;replaced&#x20;the&#x20;original&#x20;inetd&#x20;daemon.&#x20;The&#x20;xinetd&#x20;daemon&#x20;listens&#x20;for&#x20;well&#x20;known&#x20;services&#x20;and&#x20;dispatches&#x20;the&#x20;appropriate&#x20;daemon&#x20;to&#x20;properly&#x20;respond&#x20;to&#x20;service&#x20;requests.','If&#x20;there&#x20;are&#x20;no&#x20;xinetd&#x20;services&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;area&#x20;of&#x20;the&#x20;system.&#x20;Note:&#x20;If&#x20;an&#x20;xinetd&#x20;service&#x20;or&#x20;services&#x20;are&#x20;required,&#x20;ensure&#x20;that&#x20;any&#x20;xinetd&#x20;service&#x20;not&#x20;required&#x20;is&#x20;stopped&#x20;and&#x20;disabled','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;xinetd:&#x20;#&#x20;yum&#x20;remove&#x20;xinetd','[{\"cis\": [\"2.1.2\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4553,'Ensure&#x20;time&#x20;synchronization&#x20;is&#x20;in&#x20;use','System&#x20;time&#x20;should&#x20;be&#x20;synchronized&#x20;between&#x20;all&#x20;systems&#x20;in&#x20;an&#x20;environment.&#x20;This&#x20;is&#x20;typically&#x20;done&#x20;by&#x20;establishing&#x20;an&#x20;authoritative&#x20;time&#x20;server&#x20;or&#x20;set&#x20;of&#x20;servers&#x20;and&#x20;having&#x20;all&#x20;systems&#x20;synchronize&#x20;their&#x20;clocks&#x20;to&#x20;them.','Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;like&#x20;Kerberos&#x20;and&#x20;also&#x20;ensures&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise,&#x20;which&#x20;aids&#x20;in&#x20;forensic&#x20;investigations.','','On&#x20;systems&#x20;where&#x20;host&#x20;based&#x20;time&#x20;synchronization&#x20;is&#x20;not&#x20;available,&#x20;install&#x20;chrony&#x20;or&#x20;NTP:&#x20;to&#x20;install&#x20;chrony&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;yum&#x20;install&#x20;chrony&#x20;OR&#x20;to&#x20;install&#x20;ntp:&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;yum&#x20;install&#x20;ntp','[{\"cis\": [\"2.2.1.1\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"10.4\"]}, {\"nist_800_53\": [\"AU.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4554,'Ensure&#x20;chrony&#x20;is&#x20;configured','chrony&#x20;is&#x20;a&#x20;daemon&#x20;which&#x20;implements&#x20;the&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;&#x20;and&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;chrony&#x20;can&#x20;be&#x20;found&#x20;at&#x20;http://chrony.tuxfamily.org/.&#x20;chrony&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.','If&#x20;chrony&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.&#x20;Note:&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;chrony&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system.','','1&#41;&#x20;Add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;to&#x20;/etc/chrony.conf&#x20;as&#x20;appropriate:&#x20;server&#x20;&lt;remote-server&gt;.&#x20;2&#41;&#x20;Add&#x20;or&#x20;edit&#x20;the&#x20;OPTIONS&#x20;in&#x20;/etc/sysconfig/chronyd&#x20;to&#x20;include&#x20;&#039;-u&#x20;chrony&#039;:OPTIONS=&quot;-u&#x20;chrony&quot;','[{\"cis\": [\"2.2.1.3\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4555,'Ensure&#x20;ntp&#x20;is&#x20;configured','ntp&#x20;is&#x20;a&#x20;daemon&#x20;which&#x20;implements&#x20;the&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;.&#x20;It&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;NTP&#x20;can&#x20;be&#x20;found&#x20;at&#x20;https://www.ntp.org.&#x20;ntp&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.','If&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.','','1&#41;&#x20;Add&#x20;or&#x20;edit&#x20;restrict&#x20;lines&#x20;in&#x20;/etc/ntp.conf&#x20;to&#x20;match&#x20;the&#x20;following:&#x20;-&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;and&#x20;-&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery.&#x20;2&#41;&#x20;Add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;to&#x20;/etc/ntp.conf&#x20;as&#x20;appropriate:&#x20;server&#x20;&lt;remote-server&gt;.&#x20;3&#41;&#x20;Add&#x20;or&#x20;edit&#x20;the&#x20;OPTIONS&#x20;in&#x20;/etc/sysconfig/ntpd&#x20;to&#x20;include&#x20;&#039;&#x20;-u&#x20;ntp:ntp&#x20;&#039;:&#x20;-&#x20;OPTIONS=&#039;-u&#x20;ntp:ntp&#039;','[{\"cis\": [\"2.2.1.2\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4556,'&#x20;Ensure&#x20;X11&#x20;Server&#x20;components&#x20;are&#x20;not&#x20;installed','The&#x20;X&#x20;Window&#x20;System&#x20;provides&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;where&#x20;users&#x20;can&#x20;have&#x20;multiple&#x20;windows&#x20;in&#x20;which&#x20;to&#x20;run&#x20;programs&#x20;and&#x20;various&#x20;add&#x20;on.&#x20;The&#x20;X&#x20;Windows&#x20;system&#x20;is&#x20;typically&#x20;used&#x20;on&#x20;workstations&#x20;where&#x20;users&#x20;login,&#x20;but&#x20;not&#x20;on&#x20;servers&#x20;where&#x20;users&#x20;typically&#x20;do&#x20;not&#x20;login.','Unless&#x20;your&#x20;organization&#x20;specifically&#x20;requires&#x20;graphical&#x20;login&#x20;access&#x20;via&#x20;X&#x20;Windows,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;X&#x20;Windows&#x20;System&#x20;packages:&#x20;#&#x20;yum&#x20;remove&#x20;xorg-x11*','[{\"cis\": [\"2.2.2\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4557,'&#x20;Ensure&#x20;Avahi&#x20;Server&#x20;is&#x20;not&#x20;installed','Avahi&#x20;is&#x20;a&#x20;free&#x20;zeroconf&#x20;implementation,&#x20;including&#x20;a&#x20;system&#x20;for&#x20;multicast&#x20;DNS/DNS-SD&#x20;service&#x20;discovery.&#x20;Avahi&#x20;allows&#x20;programs&#x20;to&#x20;publish&#x20;and&#x20;discover&#x20;services&#x20;and&#x20;hosts&#x20;running&#x20;on&#x20;a&#x20;local&#x20;network&#x20;with&#x20;no&#x20;specific&#x20;configuration.&#x20;For&#x20;example,&#x20;a&#x20;user&#x20;can&#x20;plug&#x20;a&#x20;computer&#x20;into&#x20;a&#x20;network&#x20;and&#x20;Avahi&#x20;automatically&#x20;finds&#x20;printers&#x20;to&#x20;print&#x20;to,&#x20;files&#x20;to&#x20;look&#x20;at&#x20;and&#x20;people&#x20;to&#x20;talk&#x20;to,&#x20;as&#x20;well&#x20;as&#x20;network&#x20;services&#x20;running&#x20;on&#x20;the&#x20;machine.','Automatic&#x20;discovery&#x20;of&#x20;network&#x20;services&#x20;is&#x20;not&#x20;normally&#x20;required&#x20;for&#x20;system&#x20;functionality.&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;remove&#x20;this&#x20;package&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;stop,&#x20;mask&#x20;and&#x20;remove&#x20;avahi-autoipd&#x20;and&#x20;avahi:&#x20;#&#x20;systemctl&#x20;stop&#x20;avahi-daemon.socket&#x20;avahi-daemon.service;&#x20;#&#x20;yum&#x20;remove&#x20;avahi-autoipd&#x20;avahi','[{\"cis\": [\"2.2.3\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4558,'Ensure&#x20;CUPS&#x20;is&#x20;not&#x20;installed','The&#x20;Common&#x20;Unix&#x20;Print&#x20;System&#x20;&#40;CUPS&#41;&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;print&#x20;to&#x20;both&#x20;local&#x20;and&#x20;network&#x20;printers.&#x20;A&#x20;system&#x20;running&#x20;CUPS&#x20;can&#x20;also&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;remote&#x20;systems&#x20;and&#x20;print&#x20;them&#x20;to&#x20;local&#x20;printers.&#x20;It&#x20;also&#x20;provides&#x20;a&#x20;web&#x20;based&#x20;remote&#x20;administration&#x20;capability.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;need&#x20;to&#x20;print&#x20;jobs&#x20;or&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;systems,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;CUPS&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.&#x20;Disabling&#x20;CUPS&#x20;will&#x20;prevent&#x20;printing&#x20;from&#x20;the&#x20;system,&#x20;a&#x20;common&#x20;task&#x20;for&#x20;workstation&#x20;systems.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;cups:&#x20;#&#x20;yum&#x20;remove&#x20;cups','[{\"cis\": [\"2.2.4\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4559,'Ensure&#x20;DHCP&#x20;Server&#x20;is&#x20;not&#x20;installed','The&#x20;Dynamic&#x20;Host&#x20;Configuration&#x20;Protocol&#x20;&#40;DHCP&#41;&#x20;is&#x20;a&#x20;service&#x20;that&#x20;allows&#x20;machines&#x20;to&#x20;be&#x20;dynamically&#x20;assigned&#x20;IP&#x20;addresses.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;set&#x20;up&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DHCP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;the&#x20;dhcp&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;dhcpd:&#x20;#&#x20;yum&#x20;remove&#x20;dhcp','[{\"cis\": [\"2.2.5\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4560,'Ensure&#x20;LDAP&#x20;Server&#x20;is&#x20;not&#x20;installed','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;slapd:&#x20;#&#x20;yum&#x20;remove&#x20;openldap-servers','[{\"cis\": [\"2.2.6\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4561,'Ensure&#x20;nfs-utils&#x20;is&#x20;not&#x20;installed&#x20;or&#x20;the&#x20;nfs-server&#x20;service&#x20;is&#x20;masked','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;require&#x20;network&#x20;shares,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;nfs-utils&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nfs-utils:&#x20;#&#x20;yum&#x20;remove&#x20;nfs-utils;&#x20;OR&#x20;if&#x20;the&#x20;nfs-package&#x20;is&#x20;required&#x20;as&#x20;a&#x20;dependency:&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;the&#x20;nfs-server&#x20;service:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;nfs-server','[{\"cis\": [\"2.2.7\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4562,'Ensure&#x20;nfs-utils&#x20;is&#x20;not&#x20;installed&#x20;or&#x20;the&#x20;nfs-server&#x20;service&#x20;is&#x20;masked','The&#x20;rpcbind&#x20;utility&#x20;maps&#x20;RPC&#x20;services&#x20;to&#x20;the&#x20;ports&#x20;on&#x20;which&#x20;they&#x20;listen.&#x20;RPC&#x20;processes&#x20;notify&#x20;rpcbind&#x20;when&#x20;they&#x20;start,&#x20;registering&#x20;the&#x20;ports&#x20;they&#x20;are&#x20;listening&#x20;on&#x20;and&#x20;the&#x20;RPC&#x20;program&#x20;numbers&#x20;they&#x20;expect&#x20;to&#x20;serve.&#x20;The&#x20;client&#x20;system&#x20;then&#x20;contacts&#x20;rpcbind&#x20;on&#x20;the&#x20;server&#x20;with&#x20;a&#x20;particular&#x20;RPC&#x20;program&#x20;number.&#x20;The&#x20;rpcbind&#x20;service&#x20;redirects&#x20;the&#x20;client&#x20;to&#x20;the&#x20;proper&#x20;port&#x20;number&#x20;so&#x20;it&#x20;can&#x20;communicate&#x20;with&#x20;the&#x20;requested&#x20;service&#x20;Portmapper&#x20;is&#x20;an&#x20;RPC&#x20;service,&#x20;which&#x20;always&#x20;listens&#x20;on&#x20;tcp&#x20;and&#x20;udp&#x20;111,&#x20;and&#x20;is&#x20;used&#x20;to&#x20;map&#x20;other&#x20;RPC&#x20;services&#x20;&#40;such&#x20;as&#x20;nfs,&#x20;nlockmgr,&#x20;quotad,&#x20;mountd,&#x20;etc.&#41;&#x20;to&#x20;their&#x20;corresponding&#x20;port&#x20;number&#x20;on&#x20;the&#x20;server.&#x20;When&#x20;a&#x20;remote&#x20;host&#x20;makes&#x20;an&#x20;RPC&#x20;call&#x20;to&#x20;that&#x20;server,&#x20;it&#x20;first&#x20;consults&#x20;with&#x20;portmap&#x20;to&#x20;determine&#x20;where&#x20;the&#x20;RPC&#x20;server&#x20;is&#x20;listening','A&#x20;small&#x20;request&#x20;&#40;~82&#x20;bytes&#x20;via&#x20;UDP&#41;&#x20;sent&#x20;to&#x20;the&#x20;Portmapper&#x20;generates&#x20;a&#x20;large&#x20;response&#x20;&#40;7x&#x20;to&#x20;28x&#x20;amplification&#41;,&#x20;which&#x20;makes&#x20;it&#x20;a&#x20;suitable&#x20;tool&#x20;for&#x20;DDoS&#x20;attacks.&#x20;If&#x20;rpcbind&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;rpcbind&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nfs-utils:&#x20;#&#x20;yum&#x20;remove&#x20;nfs-utils;&#x20;OR&#x20;if&#x20;the&#x20;nfs-package&#x20;is&#x20;required&#x20;as&#x20;a&#x20;dependency:&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;the&#x20;nfs-server&#x20;service:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;nfs-server','[{\"cis\": [\"2.2.8\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4563,'&#x20;Ensure&#x20;DNS&#x20;Server&#x20;is&#x20;not&#x20;installed&#x20;','The&#x20;Domain&#x20;Name&#x20;System&#x20;&#40;DNS&#41;&#x20;is&#x20;a&#x20;hierarchical&#x20;naming&#x20;system&#x20;that&#x20;maps&#x20;names&#x20;to&#x20;IP&#x20;addresses&#x20;for&#x20;computers,&#x20;services&#x20;and&#x20;other&#x20;resources&#x20;connected&#x20;to&#x20;a&#x20;network.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;designated&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DNS&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;named:&#x20;#&#x20;yum&#x20;remove&#x20;bind','[{\"cis\": [\"2.2.9\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4564,'Ensure&#x20;FTP&#x20;Server&#x20;is&#x20;not&#x20;installed','FTP&#x20;&#40;File&#x20;Transfer&#x20;Protocol&#41;&#x20;is&#x20;a&#x20;traditional&#x20;and&#x20;widely&#x20;used&#x20;standard&#x20;tool&#x20;for&#x20;transferring&#x20;files&#x20;between&#x20;a&#x20;server&#x20;and&#x20;clients&#x20;over&#x20;a&#x20;network,&#x20;especially&#x20;where&#x20;no&#x20;authentication&#x20;is&#x20;necessary&#x20;&#40;permits&#x20;anonymous&#x20;users&#x20;to&#x20;connect&#x20;to&#x20;a&#x20;server&#41;','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;sftp&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;vsftpd:&#x20;#&#x20;yum&#x20;remove&#x20;vsftpd','[{\"cis\": [\"2.2.10\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4565,'Ensure&#x20;HTTP&#x20;server&#x20;is&#x20;not&#x20;installed','HTTP&#x20;or&#x20;web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;httpd:&#x20;#&#x20;yum&#x20;remove&#x20;httpd','[{\"cis\": [\"2.2.11\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4566,'Ensure&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;is&#x20;not&#x20;installed','dovecot&#x20;is&#x20;an&#x20;open&#x20;source&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;POP3&#x20;and/or&#x20;IMAP&#x20;servers&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;by&#x20;this&#x20;system,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;dovecot:&#x20;#&#x20;yum&#x20;remove&#x20;dovecot','[{\"cis\": [\"2.2.12\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4567,'Ensure&#x20;Samba&#x20;is&#x20;not&#x20;installed','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Small&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.&#x20;Windows&#x20;desktop&#x20;users&#x20;will&#x20;be&#x20;able&#x20;to&#x20;mount&#x20;these&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;as&#x20;letter&#x20;drives&#x20;on&#x20;their&#x20;systems.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;package&#x20;can&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;smb:&#x20;#&#x20;yum&#x20;remove&#x20;samba','[{\"cis\": [\"2.2.13\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4568,'Ensure&#x20;HTTP&#x20;Proxy&#x20;Server&#x20;is&#x20;not&#x20;installed','Squid&#x20;is&#x20;a&#x20;standard&#x20;proxy&#x20;server&#x20;used&#x20;in&#x20;many&#x20;distributions&#x20;and&#x20;environments.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;squid:&#x20;#&#x20;yum&#x20;remove&#x20;squid','[{\"cis\": [\"2.2.14\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4569,'Ensure&#x20;SNMP&#x20;Server&#x20;is&#x20;not&#x20;installed','The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;can&#x20;communicate&#x20;using&#x20;SNMPv1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;SNMPv3replaces&#x20;the&#x20;simple/clear&#x20;text&#x20;password&#x20;sharing&#x20;used&#x20;in&#x20;SNMPv2with&#x20;more&#x20;securely&#x20;encoded&#x20;parameters.&#x20;If&#x20;the&#x20;SNMP&#x20;service&#x20;is&#x20;not&#x20;required,&#x20;the&#x20;net-snmp&#x20;package&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;snmpd:&#x20;#&#x20;#&#x20;yum&#x20;remove&#x20;net-snmp','[{\"cis\": [\"2.2.15\"]}, {\"cis_csc\": [\"2.6\", \"9.2\"\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4570,'Ensure&#x20;mail&#x20;transfer&#x20;agent&#x20;is&#x20;configured&#x20;for&#x20;local-only&#x20;mode','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','The&#x20;software&#x20;for&#x20;all&#x20;Mail&#x20;Transfer&#x20;Agents&#x20;is&#x20;complex&#x20;and&#x20;most&#x20;have&#x20;a&#x20;long&#x20;history&#x20;of&#x20;security&#x20;issues.&#x20;While&#x20;it&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;system&#x20;can&#x20;process&#x20;local&#x20;mail&#x20;messages,&#x20;it&#x20;is&#x20;not&#x20;necessary&#x20;to&#x20;have&#x20;the&#x20;MTA&#039;s&#x20;daemon&#x20;listening&#x20;on&#x20;a&#x20;port&#x20;unless&#x20;the&#x20;server&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server&#x20;that&#x20;receives&#x20;and&#x20;processes&#x20;mail&#x20;from&#x20;other&#x20;systems.','','Edit&#x20;/etc/postfix/main.cf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;RECEIVING&#x20;MAIL&#x20;section.&#x20;If&#x20;the&#x20;line&#x20;already&#x20;exists,&#x20;change&#x20;it&#x20;to&#x20;look&#x20;like&#x20;the&#x20;line&#x20;below:&#x20;inet_interfaces&#x20;=&#x20;loopback-only&#x20;.&#x20;Restart&#x20;postfix:&#x20;#&#x20;systemctl&#x20;restart&#x20;postfix','[{\"cis\": [\"2.2.16\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AC.4\", \"SC.7\"]}, {\"tsc\": [\"CC5.2\", \"CC6.4\", \"CC6.6\", \"CC6.7\"]}]'),(4571,'Ensure&#x20;rsync&#x20;is&#x20;not&#x20;installed&#x20;or&#x20;the&#x20;rsyncd&#x20;service&#x20;is&#x20;masked','The&#x20;rsyncd&#x20;service&#x20;can&#x20;be&#x20;used&#x20;to&#x20;synchronize&#x20;files&#x20;between&#x20;systems&#x20;over&#x20;network&#x20;links.','Unless&#x20;required,&#x20;the&#x20;rsync&#x20;package&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;area&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;rsyncd&#x20;service&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;rsync&#x20;package:&#x20;#&#x20;yum&#x20;remove&#x20;rsync;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;mask&#x20;the&#x20;rsyncd&#x20;service:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;rsyncd','[{\"cis\": [\"2.2.17\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AC.4\", \"SC.7\"]}, {\"tsc\": [\"CC5.2\", \"CC6.4\", \"CC6.6\", \"CC6.7\"]}]'),(4572,'Ensure&#x20;NIS&#x20;Server&#x20;is&#x20;not&#x20;installed','The&#x20;ypserv&#x20;package&#x20;provides&#x20;the&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;.&#x20;This&#x20;service,&#x20;formally&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;for&#x20;distributing&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;server&#x20;is&#x20;a&#x20;collection&#x20;of&#x20;programs&#x20;that&#x20;allow&#x20;for&#x20;the&#x20;distribution&#x20;of&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;ypservpackage&#x20;be&#x20;removed,&#x20;and&#x20;if&#x20;required&#x20;a&#x20;more&#x20;secure&#x20;services&#x20;be&#x20;used.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;ypserv:&#x20;#&#x20;yum&#x20;remove&#x20;ypserv','[{\"cis\": [\"2.2.18\"]}, {\"cis_csc\": [\"2.6\", \"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4573,'Ensure&#x20;telnet&#x20;server&#x20;is&#x20;not&#x20;installed','The&#x20;telnet-server&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;daemon,&#x20;which&#x20;accepts&#x20;connections&#x20;from&#x20;users&#x20;from&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;a&#x20;user&#x20;with&#x20;access&#x20;to&#x20;sniff&#x20;network&#x20;traffic&#x20;the&#x20;ability&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;telnet:&#x20;#&#x20;yum&#x20;remove&#x20;telnet-server','[{\"cis\": [\"2.2.19\"]}, {\"cis_csc\": [\"2.6\", \"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4574,'Ensure&#x20;NIS&#x20;Client&#x20;is&#x20;not&#x20;installed','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;,&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;used&#x20;to&#x20;distribute&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;client&#x20;&#40;&#x20;ypbind&#x20;&#41;&#x20;was&#x20;used&#x20;to&#x20;bind&#x20;a&#x20;machine&#x20;to&#x20;an&#x20;NIS&#x20;server&#x20;and&#x20;receive&#x20;the&#x20;distributed&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;ypbind:&#x20;#&#x20;yum&#x20;remove&#x20;ypbind','[{\"cis\": [\"2.3.1\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4575,'Ensure&#x20;rsh&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;rsh&#x20;package&#x20;contains&#x20;the&#x20;client&#x20;commands&#x20;for&#x20;the&#x20;rsh&#x20;services.','These&#x20;legacy&#x20;clients&#x20;contain&#x20;numerous&#x20;security&#x20;exposures&#x20;and&#x20;have&#x20;been&#x20;replaced&#x20;with&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;package.&#x20;Even&#x20;if&#x20;the&#x20;server&#x20;is&#x20;removed,&#x20;it&#x20;is&#x20;best&#x20;to&#x20;ensure&#x20;the&#x20;clients&#x20;are&#x20;also&#x20;removed&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;inadvertently&#x20;attempting&#x20;to&#x20;use&#x20;these&#x20;commands&#x20;and&#x20;therefore&#x20;exposing&#x20;their&#x20;credentials.&#x20;Note&#x20;that&#x20;removing&#x20;the&#x20;rsh&#x20;package&#x20;removes&#x20;the&#x20;clients&#x20;for&#x20;rsh,&#x20;rcp&#x20;and&#x20;rlogin&#x20;.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;rsh:&#x20;#&#x20;yum&#x20;remove&#x20;rsh','[{\"cis\": [\"2.3.2\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4576,'Ensure&#x20;talk&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;talk&#x20;software&#x20;makes&#x20;it&#x20;possible&#x20;for&#x20;users&#x20;to&#x20;send&#x20;and&#x20;receive&#x20;messages&#x20;across&#x20;systems&#x20;through&#x20;a&#x20;terminal&#x20;session.&#x20;The&#x20;talk&#x20;client,&#x20;which&#x20;allows&#x20;initialization&#x20;of&#x20;talk&#x20;sessions,&#x20;is&#x20;installed&#x20;by&#x20;default.','The&#x20;software&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;talk:&#x20;#&#x20;yum&#x20;remove&#x20;talk','[{\"cis\": [\"2.3.3\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4577,'Ensure&#x20;telnet&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;telnet&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;client,&#x20;which&#x20;allows&#x20;users&#x20;to&#x20;start&#x20;connections&#x20;to&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security&#x20;and&#x20;is&#x20;included&#x20;in&#x20;most&#x20;Linux&#x20;distributions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;telnet:&#x20;#&#x20;yum&#x20;remove&#x20;telnet','[{\"cis\": [\"2.3.4\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4578,'Ensure&#x20;LDAP&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;openldap-clients:&#x20;#&#x20;yum&#x20;remove&#x20;openldap-clients','[{\"cis\": [\"2.3.5\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4579,'Ensure&#x20;nonessential&#x20;services&#x20;are&#x20;removed&#x20;or&#x20;masked','A&#x20;network&#x20;port&#x20;is&#x20;identified&#x20;by&#x20;its&#x20;number,&#x20;the&#x20;associated&#x20;IP&#x20;address,&#x20;and&#x20;the&#x20;type&#x20;of&#x20;the&#x20;communication&#x20;protocol&#x20;such&#x20;as&#x20;TCP&#x20;or&#x20;UDP.A&#x20;listening&#x20;port&#x20;is&#x20;a&#x20;network&#x20;port&#x20;on&#x20;which&#x20;an&#x20;application&#x20;or&#x20;process&#x20;listens&#x20;on,&#x20;acting&#x20;as&#x20;a&#x20;communication&#x20;endpoint.&#x20;Each&#x20;listening&#x20;port&#x20;can&#x20;be&#x20;open&#x20;or&#x20;closed&#x20;&#40;filtered&#41;&#x20;using&#x20;a&#x20;firewall.&#x20;In&#x20;general&#x20;terms,&#x20;an&#x20;open&#x20;port&#x20;is&#x20;a&#x20;network&#x20;port&#x20;that&#x20;accepts&#x20;incoming&#x20;packets&#x20;from&#x20;remote&#x20;locations','Services&#x20;listening&#x20;on&#x20;the&#x20;system&#x20;pose&#x20;a&#x20;potential&#x20;risk&#x20;as&#x20;an&#x20;attack&#x20;vector.&#x20;These&#x20;services&#x20;should&#x20;be&#x20;reviewed,&#x20;and&#x20;if&#x20;not&#x20;required,&#x20;the&#x20;service&#x20;should&#x20;be&#x20;stopped,&#x20;and&#x20;the&#x20;package&#x20;containing&#x20;the&#x20;service&#x20;should&#x20;be&#x20;removed.&#x20;If&#x20;required&#x20;packages&#x20;have&#x20;a&#x20;dependency,&#x20;the&#x20;service&#x20;should&#x20;be&#x20;stopped&#x20;and&#x20;masked&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Review&#x20;the&#x20;output&#x20;of:&#x20;#&#x20;lsof&#x20;-i&#x20;-P&#x20;-n&#x20;|&#x20;grep&#x20;-v&#x20;&#039;&#40;ESTABLISHED&#41;&#039;;&#x20;to&#x20;ensure&#x20;that&#x20;all&#x20;services&#x20;listed&#x20;are&#x20;required&#x20;on&#x20;the&#x20;system.&#x20;If&#x20;a&#x20;listed&#x20;service&#x20;is&#x20;not&#x20;required,&#x20;remove&#x20;the&#x20;package&#x20;containing&#x20;the&#x20;service.&#x20;If&#x20;the&#x20;package&#x20;containing&#x20;the&#x20;service&#x20;is&#x20;required,&#x20;stop&#x20;and&#x20;mask&#x20;the&#x20;service.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;package&#x20;containing&#x20;the&#x20;service:#&#x20;yum&#x20;remove&#x20;&lt;package_name&gt;&#x20;OR&#x20;if&#x20;required&#x20;packages&#x20;have&#x20;a&#x20;dependency:&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;the&#x20;service:#&#x20;systemctl&#x20;--now&#x20;mask&#x20;&lt;service_name&gt;','[{\"cis\": [\"2.5\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4580,'Disable&#x20;IPv6','Although&#x20;IPv6&#x20;has&#x20;many&#x20;advantages&#x20;over&#x20;IPv4,&#x20;not&#x20;all&#x20;organizations&#x20;have&#x20;IPv6&#x20;or&#x20;dual&#x20;stack&#x20;configurations&#x20;implemented.','If&#x20;IPv6&#x20;or&#x20;dual&#x20;stack&#x20;is&#x20;not&#x20;to&#x20;be&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;IPv6be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','To&#x20;disable&#x20;IPv6&#x20;through&#x20;the&#x20;GRUB2&#x20;config:&#x20;edit&#x20;/etc/default/gruband&#x20;add&#x20;ipv6.disable=1&#x20;to&#x20;the&#x20;GRUB_CMDLINE_LINUX&#x20;parameters:&#x20;GRUB_CMDLINE_LINUX=&quot;ipv6.disable=1&quot;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:#&#x20;grub2-mkconfig&#x20;&ndash;o&#x20;/boot/grub2/grub.cfg;&#x20;OR&#x20;to&#x20;disable&#x20;IPv6&#x20;through&#x20;sysctl&#x20;settings:&#x20;set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;#&#x20;net.ipv6.conf.all.disable_ipv6&#x20;=&#x20;1;&#x20;#&#x20;net.ipv6.conf.default.disable_ipv6&#x20;=&#x20;1;&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.disable_ipv6=1;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.disable_ipv6=1;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.1.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4581,'Ensure&#x20;wireless&#x20;interfaces&#x20;are&#x20;disabled','Wireless&#x20;networking&#x20;is&#x20;used&#x20;when&#x20;wired&#x20;networks&#x20;are&#x20;unavailable.','If&#x20;wireless&#x20;is&#x20;not&#x20;to&#x20;be&#x20;used,&#x20;wireless&#x20;devices&#x20;should&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;any&#x20;wireless&#x20;interfaces:&#x20;#&#x20;ip&#x20;link&#x20;set&#x20;&lt;interface&gt;&#x20;down','[{\"cis\": [\"3.1.2\"]}, {\"cis_csc\": [\"15.4\", \"15.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4582,'Ensure&#x20;IP&#x20;forwarding&#x20;is&#x20;disabled','The&#x20;net.ipv4.ip_forward&#x20;flag&#x20;is&#x20;used&#x20;to&#x20;tell&#x20;the&#x20;system&#x20;whether&#x20;it&#x20;can&#x20;forward&#x20;packets&#x20;or&#x20;not.','Setting&#x20;the&#x20;flag&#x20;to&#x20;0&#x20;ensures&#x20;that&#x20;a&#x20;system&#x20;with&#x20;multiple&#x20;interfaces&#x20;&#40;for&#x20;example,&#x20;a&#x20;hard&#x20;proxy&#41;,&#x20;will&#x20;never&#x20;be&#x20;able&#x20;to&#x20;forward&#x20;packets,&#x20;and&#x20;therefore,&#x20;never&#x20;serve&#x20;as&#x20;a&#x20;router.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;restore&#x20;the&#x20;default&#x20;parameters&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;grep&#x20;-Els&#x20;&#039;^s*net.ipv4.ip_forwards*=s*1&#039;&#x20;/etc/sysctl.conf&#x20;/etc/sysctl.d&#47;&#42;.conf&#x20;/usr/lib/sysctl.d&#47;&#42;.conf&#x20;/run/sysctl.d&#47;&#42;.conf&#x20;|&#x20;while&#x20;read&#x20;filename;&#x20;do&#x20;sed&#x20;-ri&#x20;&#039;s/^s*&#40;net.ipv4.ip_forwards*&#41;&#40;=&#41;&#40;s*S+&#x08;&#41;.*$/#&#x20;*REMOVED*&#x20;1/&#039;&#x20;$filename;&#x20;done;&#x20;sysctl&#x20;-w&#x20;net.ipv4.ip_forward=0;&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4583,'Ensure&#x20;packet&#x20;redirect&#x20;sending&#x20;is&#x20;disabled','ICMP&#x20;Redirects&#x20;are&#x20;used&#x20;to&#x20;send&#x20;routing&#x20;information&#x20;to&#x20;other&#x20;hosts.&#x20;As&#x20;a&#x20;host&#x20;itself&#x20;does&#x20;not&#x20;act&#x20;as&#x20;a&#x20;router&#x20;&#40;in&#x20;a&#x20;host&#x20;only&#x20;configuration&#41;,&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;send&#x20;redirects.','An&#x20;attacker&#x20;could&#x20;use&#x20;a&#x20;compromised&#x20;host&#x20;to&#x20;send&#x20;invalid&#x20;ICMP&#x20;redirects&#x20;to&#x20;other&#x20;router&#x20;devices&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;corrupt&#x20;routing&#x20;and&#x20;have&#x20;users&#x20;access&#x20;a&#x20;system&#x20;set&#x20;up&#x20;by&#x20;the&#x20;attacker&#x20;as&#x20;opposed&#x20;to&#x20;a&#x20;valid&#x20;system.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.send_redirects&#x20;=&#x20;0;&#x20;net.ipv4.conf.default.send_redirects&#x20;=&#x20;0&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.send_redirects=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.send_redirects=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4584,'Ensure&#x20;source&#x20;routed&#x20;packets&#x20;are&#x20;not&#x20;accepted','In&#x20;networking,&#x20;source&#x20;routing&#x20;allows&#x20;a&#x20;sender&#x20;to&#x20;partially&#x20;or&#x20;fully&#x20;specify&#x20;the&#x20;route&#x20;packets&#x20;take&#x20;through&#x20;a&#x20;network.&#x20;In&#x20;contrast,&#x20;non-source&#x20;routed&#x20;packets&#x20;travel&#x20;a&#x20;path&#x20;determined&#x20;by&#x20;routers&#x20;in&#x20;the&#x20;network.&#x20;In&#x20;some&#x20;cases,&#x20;systems&#x20;may&#x20;not&#x20;be&#x20;routable&#x20;or&#x20;reachable&#x20;from&#x20;some&#x20;locations&#x20;&#40;e.g.&#x20;private&#x20;addresses&#x20;vs.&#x20;Internet&#x20;routable&#41;,&#x20;and&#x20;so&#x20;source&#x20;routed&#x20;packets&#x20;would&#x20;need&#x20;to&#x20;be&#x20;used.','Setting&#x20;net.ipv4.conf.all.accept_source_route&#x20;and&#x20;net.ipv4.conf.default.accept_source_route&#x20;to&#x20;0&#x20;disables&#x20;the&#x20;system&#x20;from&#x20;accepting&#x20;source&#x20;routed&#x20;packets.&#x20;Assume&#x20;this&#x20;system&#x20;was&#x20;capable&#x20;of&#x20;routing&#x20;packets&#x20;to&#x20;Internet&#x20;routable&#x20;addresses&#x20;on&#x20;one&#x20;interface&#x20;and&#x20;private&#x20;addresses&#x20;on&#x20;another&#x20;interface.&#x20;Assume&#x20;that&#x20;the&#x20;private&#x20;addresses&#x20;were&#x20;not&#x20;routable&#x20;to&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;and&#x20;vice&#x20;versa.&#x20;Under&#x20;normal&#x20;routing&#x20;circumstances,&#x20;an&#x20;attacker&#x20;from&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;could&#x20;not&#x20;use&#x20;the&#x20;system&#x20;as&#x20;a&#x20;way&#x20;to&#x20;reach&#x20;the&#x20;private&#x20;address&#x20;systems.&#x20;If,&#x20;however,&#x20;source&#x20;routed&#x20;packets&#x20;were&#x20;allowed,&#x20;they&#x20;could&#x20;be&#x20;used&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;private&#x20;address&#x20;systems&#x20;as&#x20;the&#x20;route&#x20;could&#x20;be&#x20;specified,&#x20;rather&#x20;than&#x20;rely&#x20;on&#x20;routing&#x20;protocols&#x20;that&#x20;did&#x20;not&#x20;allow&#x20;this&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_source_route&#x20;=&#x20;0;&#x20;net.ipv4.conf.default.accept_source_route&#x20;=&#x20;0&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_source_route=0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_source_route=0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4585,'Ensure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','ICMP&#x20;redirect&#x20;messages&#x20;are&#x20;packets&#x20;that&#x20;convey&#x20;routing&#x20;information&#x20;and&#x20;tell&#x20;your&#x20;host&#x20;&#40;acting&#x20;as&#x20;a&#x20;router&#41;&#x20;to&#x20;send&#x20;packets&#x20;via&#x20;an&#x20;alternate&#x20;path.&#x20;It&#x20;is&#x20;a&#x20;way&#x20;of&#x20;allowing&#x20;an&#x20;outside&#x20;routing&#x20;device&#x20;to&#x20;update&#x20;your&#x20;system&#x20;routing&#x20;tables.','Attackers&#x20;could&#x20;use&#x20;bogus&#x20;ICMP&#x20;redirect&#x20;messages&#x20;to&#x20;maliciously&#x20;alter&#x20;the&#x20;system&#x20;routing&#x20;tables&#x20;and&#x20;get&#x20;them&#x20;to&#x20;send&#x20;packets&#x20;to&#x20;incorrect&#x20;networks&#x20;and&#x20;allow&#x20;your&#x20;system&#x20;packets&#x20;to&#x20;be&#x20;captured.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_redirects&#x20;=&#x20;0;&#x20;net.ipv4.conf.default.accept_redirects&#x20;=&#x20;0&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_redirects=0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_redirects=0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4586,'Ensure&#x20;secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','Secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;the&#x20;same&#x20;as&#x20;ICMP&#x20;redirects,&#x20;except&#x20;they&#x20;come&#x20;from&#x20;gateways&#x20;listed&#x20;on&#x20;the&#x20;default&#x20;gateway&#x20;list.&#x20;It&#x20;is&#x20;assumed&#x20;that&#x20;these&#x20;gateways&#x20;are&#x20;known&#x20;to&#x20;your&#x20;system,&#x20;and&#x20;that&#x20;they&#x20;are&#x20;likely&#x20;to&#x20;be&#x20;secure.','It&#x20;is&#x20;still&#x20;possible&#x20;for&#x20;even&#x20;known&#x20;gateways&#x20;to&#x20;be&#x20;compromised.&#x20;Setting&#x20;net.ipv4.conf.all.secure_redirects&#x20;to&#x20;0&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;routing&#x20;table&#x20;updates&#x20;by&#x20;possibly&#x20;compromised&#x20;known&#x20;gateways.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.secure_redirects&#x20;=&#x20;0;&#x20;net.ipv4.conf.default.secure_redirects&#x20;=&#x20;0&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.secure_redirects=0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.secure_redirects=0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4587,'Ensure&#x20;suspicious&#x20;packets&#x20;are&#x20;logged','When&#x20;enabled,&#x20;this&#x20;feature&#x20;logs&#x20;packets&#x20;with&#x20;un-routable&#x20;source&#x20;addresses&#x20;to&#x20;the&#x20;kernel&#x20;log.','Enabling&#x20;this&#x20;feature&#x20;and&#x20;logging&#x20;these&#x20;packets&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;investigate&#x20;the&#x20;possibility&#x20;that&#x20;an&#x20;attacker&#x20;is&#x20;sending&#x20;spoofed&#x20;packets&#x20;to&#x20;their&#x20;system.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.log_martians&#x20;=&#x20;1;&#x20;net.ipv4.conf.default.log_martians&#x20;=&#x20;1&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.log_martians=1&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.log_martians=1&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.4\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4588,'Ensure&#x20;broadcast&#x20;ICMP&#x20;requests&#x20;are&#x20;ignored','Setting&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;to&#x20;1&#x20;will&#x20;cause&#x20;the&#x20;system&#x20;to&#x20;ignore&#x20;all&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;to&#x20;broadcast&#x20;and&#x20;multicast&#x20;addresses.','Accepting&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;with&#x20;broadcast&#x20;or&#x20;multicast&#x20;destinations&#x20;for&#x20;your&#x20;network&#x20;could&#x20;be&#x20;used&#x20;to&#x20;trick&#x20;your&#x20;host&#x20;into&#x20;starting&#x20;&#40;or&#x20;participating&#41;&#x20;in&#x20;a&#x20;Smurf&#x20;attack.&#x20;A&#x20;Smurf&#x20;attack&#x20;relies&#x20;on&#x20;an&#x20;attacker&#x20;sending&#x20;large&#x20;amounts&#x20;of&#x20;ICMP&#x20;broadcast&#x20;messages&#x20;with&#x20;a&#x20;spoofed&#x20;source&#x20;address.&#x20;All&#x20;hosts&#x20;receiving&#x20;this&#x20;message&#x20;and&#x20;responding&#x20;would&#x20;send&#x20;echo-reply&#x20;messages&#x20;back&#x20;to&#x20;the&#x20;spoofed&#x20;address,&#x20;which&#x20;is&#x20;probably&#x20;not&#x20;routable.&#x20;If&#x20;many&#x20;hosts&#x20;respond&#x20;to&#x20;the&#x20;packets,&#x20;the&#x20;amount&#x20;of&#x20;traffic&#x20;on&#x20;the&#x20;network&#x20;could&#x20;be&#x20;significantly&#x20;multiplied.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;=&#x20;1&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_echo_ignore_broadcasts=1&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4589,'Ensure&#x20;bogus&#x20;ICMP&#x20;responses&#x20;are&#x20;ignored','Setting&#x20;icmp_ignore_bogus_error_responses&#x20;to&#x20;1&#x20;prevents&#x20;the&#x20;kernel&#x20;from&#x20;logging&#x20;bogus&#x20;responses&#x20;&#40;RFC-1122&#x20;non-compliant&#41;&#x20;from&#x20;broadcast&#x20;reframes,&#x20;keeping&#x20;file&#x20;systems&#x20;from&#x20;filling&#x20;up&#x20;with&#x20;useless&#x20;log&#x20;messages.','Some&#x20;routers&#x20;&#40;and&#x20;some&#x20;attackers&#41;&#x20;will&#x20;send&#x20;responses&#x20;that&#x20;violate&#x20;RFC-1122&#x20;and&#x20;attempt&#x20;to&#x20;fill&#x20;up&#x20;a&#x20;log&#x20;file&#x20;system&#x20;with&#x20;many&#x20;useless&#x20;error&#x20;messages.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.icmp_ignore_bogus_error_responses&#x20;=&#x20;1&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_ignore_bogus_error_responses=1&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4590,'Ensure&#x20;Reverse&#x20;Path&#x20;Filtering&#x20;is&#x20;enabled','Setting&#x20;net.ipv4.conf.all.rp_filter&#x20;and&#x20;net.ipv4.conf.default.rp_filter&#x20;to&#x20;1&#x20;forces&#x20;the&#x20;Linux&#x20;kernel&#x20;to&#x20;utilize&#x20;reverse&#x20;path&#x20;filtering&#x20;on&#x20;a&#x20;received&#x20;packet&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;packet&#x20;was&#x20;valid.&#x20;Essentially,&#x20;with&#x20;reverse&#x20;path&#x20;filtering,&#x20;if&#x20;the&#x20;return&#x20;packet&#x20;does&#x20;not&#x20;go&#x20;out&#x20;the&#x20;same&#x20;interface&#x20;that&#x20;the&#x20;corresponding&#x20;source&#x20;packet&#x20;came&#x20;from,&#x20;the&#x20;packet&#x20;is&#x20;dropped&#x20;&#40;and&#x20;logged&#x20;if&#x20;log_martians&#x20;is&#x20;set&#41;.','Setting&#x20;these&#x20;flags&#x20;is&#x20;a&#x20;good&#x20;way&#x20;to&#x20;deter&#x20;attackers&#x20;from&#x20;sending&#x20;your&#x20;server&#x20;bogus&#x20;packets&#x20;that&#x20;cannot&#x20;be&#x20;responded&#x20;to.&#x20;One&#x20;instance&#x20;where&#x20;this&#x20;feature&#x20;breaks&#x20;down&#x20;is&#x20;if&#x20;asymmetrical&#x20;routing&#x20;is&#x20;employed.&#x20;This&#x20;would&#x20;occur&#x20;when&#x20;using&#x20;dynamic&#x20;routing&#x20;protocols&#x20;&#40;bgp,&#x20;ospf,&#x20;etc&#41;&#x20;on&#x20;your&#x20;system.&#x20;If&#x20;you&#x20;are&#x20;using&#x20;asymmetrical&#x20;routing&#x20;on&#x20;your&#x20;system,&#x20;you&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;enable&#x20;this&#x20;feature&#x20;without&#x20;breaking&#x20;the&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.rp_filter&#x20;=&#x20;1;&#x20;net.ipv4.conf.default.rp_filter&#x20;=&#x20;1&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.rp_filter=1&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.rp_filter=1&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4591,'Ensure&#x20;TCP&#x20;SYN&#x20;Cookies&#x20;is&#x20;enabled','When&#x20;tcp_syncookies&#x20;is&#x20;set,&#x20;the&#x20;kernel&#x20;will&#x20;handle&#x20;TCP&#x20;SYN&#x20;packets&#x20;normally&#x20;until&#x20;the&#x20;half-open&#x20;connection&#x20;queue&#x20;is&#x20;full,&#x20;at&#x20;which&#x20;time,&#x20;the&#x20;SYN&#x20;cookie&#x20;functionality&#x20;kicks&#x20;in.&#x20;SYN&#x20;cookies&#x20;work&#x20;by&#x20;not&#x20;using&#x20;the&#x20;SYN&#x20;queue&#x20;at&#x20;all.&#x20;Instead,&#x20;the&#x20;kernel&#x20;simply&#x20;replies&#x20;to&#x20;the&#x20;SYN&#x20;with&#x20;a&#x20;SYN|ACK,&#x20;but&#x20;will&#x20;include&#x20;a&#x20;specially&#x20;crafted&#x20;TCP&#x20;sequence&#x20;number&#x20;that&#x20;encodes&#x20;the&#x20;source&#x20;and&#x20;destination&#x20;IP&#x20;address&#x20;and&#x20;port&#x20;number&#x20;and&#x20;the&#x20;time&#x20;the&#x20;packet&#x20;was&#x20;sent.','Attackers&#x20;use&#x20;SYN&#x20;flood&#x20;attacks&#x20;to&#x20;perform&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attacked&#x20;on&#x20;a&#x20;system&#x20;by&#x20;sending&#x20;many&#x20;SYN&#x20;packets&#x20;without&#x20;completing&#x20;the&#x20;three&#x20;way&#x20;handshake.&#x20;This&#x20;will&#x20;quickly&#x20;use&#x20;up&#x20;slots&#x20;in&#x20;the&#x20;kernel&#039;s&#x20;half-open&#x20;connection&#x20;queue&#x20;and&#x20;prevent&#x20;legitimate&#x20;connections&#x20;from&#x20;succeeding.&#x20;SYN&#x20;cookies&#x20;allow&#x20;the&#x20;system&#x20;to&#x20;keep&#x20;accepting&#x20;valid&#x20;connections,&#x20;even&#x20;if&#x20;under&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attack.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.tcp_syncookies&#x20;=&#x20;1&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.tcp_syncookies=1&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.8\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4592,'Ensure&#x20;IPv6&#x20;router&#x20;advertisements&#x20;are&#x20;not&#x20;accepted','This&#x20;setting&#x20;disables&#x20;the&#x20;system&#039;s&#x20;ability&#x20;to&#x20;accept&#x20;IPv6&#x20;router&#x20;advertisements.','It&#x20;is&#x20;recommended&#x20;that&#x20;systems&#x20;not&#x20;accept&#x20;router&#x20;advertisements&#x20;as&#x20;they&#x20;could&#x20;be&#x20;tricked&#x20;into&#x20;routing&#x20;traffic&#x20;to&#x20;compromised&#x20;machines.&#x20;Setting&#x20;hard&#x20;routes&#x20;within&#x20;the&#x20;system&#x20;&#40;usually&#x20;a&#x20;single&#x20;default&#x20;route&#x20;to&#x20;a&#x20;trusted&#x20;router&#41;&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;bad&#x20;routes.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;net.ipv6.conf.all.accept_ra&#x20;=&#x20;0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;and&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;net.ipv6.conf.default.accept_ra&#x20;=&#x20;0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Then,&#x20;run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_ra=0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_ra=0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.3.9\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4593,'Ensure&#x20;DCCP&#x20;is&#x20;disabled','The&#x20;Datagram&#x20;Congestion&#x20;Control&#x20;Protocol&#x20;&#40;DCCP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;that&#x20;supports&#x20;streaming&#x20;media&#x20;and&#x20;telephony.&#x20;DCCP&#x20;provides&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;congestion&#x20;control,&#x20;without&#x20;having&#x20;to&#x20;do&#x20;it&#x20;at&#x20;the&#x20;application&#x20;layer,&#x20;but&#x20;does&#x20;not&#x20;provide&#x20;in-sequence&#x20;delivery.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;drivers&#x20;not&#x20;be&#x20;installed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;dccp&#x20;/bin/true','[{\"cis\": [\"3.4.1\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4594,'Ensure&#x20;SCTP&#x20;is&#x20;disabled','The&#x20;Stream&#x20;Control&#x20;Transmission&#x20;Protocol&#x20;&#40;SCTP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;used&#x20;to&#x20;support&#x20;message&#x20;oriented&#x20;communication,&#x20;with&#x20;several&#x20;streams&#x20;of&#x20;messages&#x20;in&#x20;one&#x20;connection.&#x20;It&#x20;serves&#x20;a&#x20;similar&#x20;function&#x20;as&#x20;TCP&#x20;and&#x20;UDP,&#x20;incorporating&#x20;features&#x20;of&#x20;both.&#x20;It&#x20;is&#x20;message-oriented&#x20;like&#x20;UDP,&#x20;and&#x20;ensures&#x20;reliable&#x20;in-sequence&#x20;transport&#x20;of&#x20;messages&#x20;with&#x20;congestion&#x20;control&#x20;like&#x20;TCP.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;sctp&#x20;/bin/true','[{\"cis\": [\"3.4.2\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4595,'Ensure&#x20;FirewallD&#x20;or&#x20;nftables&#x20;or&#x20;iptables-services&#x20;is&#x20;installed','firewalld&#x20;is&#x20;a&#x20;firewall&#x20;management&#x20;tool&#x20;for&#x20;Linux&#x20;operating&#x20;systems.&#x20;It&#x20;provides&#x20;firewall&#x20;features&#x20;by&#x20;acting&#x20;as&#x20;a&#x20;front-end&#x20;for&#x20;the&#x20;Linux&#x20;kernel&#039;s&#x20;net&#x20;filter&#x20;framework&#x20;via&#x20;the&#x20;iptables&#x20;backend&#x20;or&#x20;provides&#x20;firewall&#x20;features&#x20;by&#x20;acting&#x20;as&#x20;a&#x20;front-end&#x20;for&#x20;the&#x20;Linux&#x20;kernel&#039;s&#x20;netfilter&#x20;framework&#x20;via&#x20;the&#x20;nftables&#x20;utility.&#x20;FirewallD&#x20;replaces&#x20;iptables&#x20;as&#x20;the&#x20;default&#x20;firewall&#x20;management&#x20;tool.&#x20;Use&#x20;the&#x20;firewalld&#x20;utility&#x20;to&#x20;configure&#x20;a&#x20;firewall&#x20;for&#x20;less&#x20;complex&#x20;firewalls.&#x20;The&#x20;utility&#x20;is&#x20;easy&#x20;to&#x20;use&#x20;and&#x20;covers&#x20;the&#x20;typical&#x20;use&#x20;cases&#x20;scenario.&#x20;FirewallD&#x20;supports&#x20;both&#x20;IPv4&#x20;and&#x20;IPv6&#x20;networks&#x20;and&#x20;can&#x20;administer&#x20;separate&#x20;firewall&#x20;zones&#x20;with&#x20;varying&#x20;degrees&#x20;of&#x20;trust&#x20;as&#x20;defined&#x20;in&#x20;zone&#x20;profiles.','A&#x20;firewall&#x20;utility&#x20;is&#x20;required&#x20;to&#x20;configure&#x20;the&#x20;Linux&#x20;kernel&#039;s&#x20;netfilter&#x20;framework&#x20;via&#x20;the&#x20;iptables&#x20;or&#x20;nftables&#x20;back-end.&#x20;The&#x20;Linux&#x20;kernel&#039;s&#x20;netfilter&#x20;framework&#x20;host-based&#x20;firewall&#x20;can&#x20;protect&#x20;against&#x20;threats&#x20;originating&#x20;from&#x20;within&#x20;a&#x20;corporate&#x20;network&#x20;to&#x20;include&#x20;malicious&#x20;mobile&#x20;code&#x20;and&#x20;poorly&#x20;configured&#x20;software&#x20;on&#x20;a&#x20;host.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;firewalld:&#x20;#&#x20;yum&#x20;install&#x20;firewalld&#x20;iptables;&#x20;OR&#x20;to&#x20;&#x20;install&#x20;nftables:&#x20;#&#x20;yum&#x20;install&#x20;nftables;&#x20;OR&#x20;to&#x20;install&#x20;&#x20;iptables-services:&#x20;#&#x20;yum&#x20;install&#x20;iptables-services&#x20;iptables','[{\"cis\": [\"3.5.1.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4596,'Ensure&#x20;iptables-services&#x20;and&#x20;FirewallD&#x20;are&#x20;not&#x20;installed&#x20;at&#x20;the&#x20;same&#x20;time','The&#x20;iptables-services&#x20;package&#x20;contains&#x20;the&#x20;iptables.service&#x20;and&#x20;ip6tables.service.&#x20;These&#x20;services&#x20;allow&#x20;for&#x20;management&#x20;of&#x20;the&#x20;Host&#x20;Based&#x20;Firewall&#x20;provided&#x20;by&#x20;the&#x20;iptables&#x20;package.','iptables.service&#x20;and&#x20;ip6tables.service&#x20;are&#x20;still&#x20;supported&#x20;and&#x20;can&#x20;be&#x20;installed&#x20;with&#x20;the&#x20;iptables-services&#x20;package.&#x20;Running&#x20;both&#x20;firewalld&#x20;and&#x20;the&#x20;services&#x20;included&#x20;in&#x20;the&#x20;iptables-services&#x20;package&#x20;may&#x20;lead&#x20;to&#x20;conflict.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;stop&#x20;the&#x20;services&#x20;included&#x20;in&#x20;the&#x20;iptables-services&#x20;package&#x20;and&#x20;remove&#x20;the&#x20;iptables-services&#x20;package:&#x20;#&#x20;systemctl&#x20;stop&#x20;iptables;&#x20;#&#x20;systemctl&#x20;stop&#x20;ip6tables;&#x20;#&#x20;yum&#x20;remove&#x20;iptables-services.&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;firewalld:&#x20;#&#x20;yum&#x20;remove&#x20;firewalld&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;firewalld:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;firewalld','[{\"cis\": [\"3.5.1.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4597,'Ensure&#x20;nftables&#x20;and&#x20;FirewallD&#x20;are&#x20;not&#x20;installed&#x20;at&#x20;the&#x20;same&#x20;time&#x20;or&#x20;ensure&#x20;one&#x20;of&#x20;them&#x20;is&#x20;stopped&#x20;and&#x20;masked','nftables&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;Linux&#x20;kernel&#x20;providing&#x20;filtering&#x20;and&#x20;classification&#x20;of&#x20;network&#x20;packets/datagrams/frames&#x20;and&#x20;is&#x20;the&#x20;successor&#x20;to&#x20;iptables.Note:&#x20;Support&#x20;for&#x20;using&#x20;nftables&#x20;as&#x20;the&#x20;back-end&#x20;for&#x20;firewalld&#x20;was&#x20;added&#x20;in&#x20;release&#x20;v0.6.0.&#x20;In&#x20;Fedora&#x20;19&#x20;Linux&#x20;derivatives,&#x20;firewalld&#x20;utilizes&#x20;iptables&#x20;as&#x20;its&#x20;back-end&#x20;by&#x20;default.','Running&#x20;both&#x20;firewalld&#x20;and&#x20;nftables&#x20;may&#x20;lead&#x20;to&#x20;conflict.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nftables:#&#x20;yum&#x20;remove&#x20;nftables;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;nftables:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;nftables.&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;firewalld:&#x20;#&#x20;yum&#x20;remove&#x20;firewalld&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;firewalld:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;firewalld','[{\"cis\": [\"3.5.1.3\", \"3.5.3.1.3\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4598,'Ensure&#x20;nftables&#x20;and&#x20;iptables-services&#x20;are&#x20;not&#x20;installed&#x20;at&#x20;the&#x20;same&#x20;time&#x20;or&#x20;ensure&#x20;one&#x20;of&#x20;them&#x20;is&#x20;stopped&#x20;and&#x20;masked','nftables&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;Linux&#x20;kernel&#x20;providing&#x20;filtering&#x20;and&#x20;classification&#x20;of&#x20;network&#x20;packets/datagrams/frames&#x20;and&#x20;is&#x20;the&#x20;successor&#x20;to&#x20;iptables.Note:&#x20;Support&#x20;for&#x20;using&#x20;nftables&#x20;as&#x20;the&#x20;back-end&#x20;for&#x20;firewalld&#x20;was&#x20;added&#x20;in&#x20;release&#x20;v0.6.0.&#x20;In&#x20;Fedora&#x20;19&#x20;Linux&#x20;derivatives,&#x20;firewalld&#x20;utilizes&#x20;iptables&#x20;as&#x20;its&#x20;back-end&#x20;by&#x20;default.','Running&#x20;both&#x20;nftables&#x20;and&#x20;nftables&#x20;may&#x20;lead&#x20;to&#x20;conflict.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nftables:#&#x20;yum&#x20;remove&#x20;nftables;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;nftables:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;nftables.&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;iptables#&#x20;#&#x20;systemctl&#x20;stop&#x20;iptables;&#x20;#&#x20;systemctl&#x20;stop&#x20;ip6tables;&#x20;#&#x20;yum&#x20;remove&#x20;iptables-services','[{\"cis\": [\"3.5.1.3\", \"3.5.3.1.3\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4599,'Ensure&#x20;firewalld&#x20;service&#x20;is&#x20;enabled&#x20;and&#x20;running','firewalld.serviceenables&#x20;the&#x20;enforcement&#x20;of&#x20;firewall&#x20;rules&#x20;configured&#x20;through&#x20;firewalld','Ensure&#x20;that&#x20;the&#x20;firewalld.service&#x20;is&#x20;enabled&#x20;and&#x20;running&#x20;to&#x20;enforce&#x20;firewall&#x20;rules&#x20;configured&#x20;through&#x20;firewalld','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;firewalld:&#x20;#&#x20;systemctl&#x20;unmask&#x20;firewalld;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;firewalld:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;firewalld','[{\"cis\": [\"3.5.1.4\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4600,'Ensure&#x20;a&#x20;table&#x20;exists','nTables&#x20;hold&#x20;chains.&#x20;Each&#x20;table&#x20;only&#x20;has&#x20;one&#x20;address&#x20;family&#x20;and&#x20;only&#x20;applies&#x20;to&#x20;packets&#x20;of&#x20;this&#x20;family.&#x20;Tables&#x20;can&#x20;have&#x20;one&#x20;of&#x20;five&#x20;families.','nftables&#x20;doesn&#039;t&#x20;have&#x20;any&#x20;default&#x20;tables.&#x20;Without&#x20;a&#x20;table&#x20;being&#x20;build,&#x20;nftables&#x20;will&#x20;not&#x20;filter&#x20;network&#x20;traffic.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;a&#x20;table&#x20;in&#x20;nftables:&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;&lt;table&#x20;name&gt;','[{\"cis\": [\"3.5.2.5\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4601,'Ensure&#x20;base&#x20;chains&#x20;exist','Chains&#x20;are&#x20;containers&#x20;for&#x20;rules.&#x20;They&#x20;exist&#x20;in&#x20;two&#x20;kinds,&#x20;base&#x20;chains&#x20;and&#x20;regular&#x20;chains.&#x20;A&#x20;base&#x20;chain&#x20;is&#x20;an&#x20;entry&#x20;point&#x20;for&#x20;packets&#x20;from&#x20;the&#x20;networking&#x20;stack,&#x20;a&#x20;regular&#x20;chain&#x20;may&#x20;be&#x20;used&#x20;as&#x20;jump&#x20;target&#x20;and&#x20;is&#x20;used&#x20;for&#x20;better&#x20;rule&#x20;organization.','If&#x20;a&#x20;base&#x20;chain&#x20;doesn&#039;t&#x20;exist&#x20;with&#x20;a&#x20;hook&#x20;for&#x20;input,&#x20;forward,&#x20;and&#x20;delete,&#x20;packets&#x20;that&#x20;would&#x20;flow&#x20;through&#x20;those&#x20;chains&#x20;will&#x20;not&#x20;be&#x20;touched&#x20;by&#x20;nftables.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;the&#x20;base&#x20;chains:&#x20;#&#x20;nft&#x20;createchain&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;&lt;base&#x20;chain&#x20;name&gt;&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;&lt;&#40;input|forward|output&#41;&gt;&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;','[{\"cis\": [\"3.5.2.6\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4602,'Ensure&#x20;loopback&#x20;traffic&#x20;is&#x20;configured','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;input&#x20;iif&#x20;lo&#x20;accept;&#x20;&#x20;&#x20;#&#x20;nft&#x20;create&#x20;rule&#x20;inet&#x20;filter&#x20;input&#x20;ip&#x20;saddr&#x20;127.0.0.0/8&#x20;counter&#x20;drop;&#x20;IF&#x20;IPv6&#x20;is&#x20;enabled:&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;implement&#x20;the&#x20;IPv6&#x20;loopback&#x20;rules:&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;input&#x20;ip6&#x20;saddr::1&#x20;counter&#x20;drop','[{\"cis\": [\"3.5.2.7\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4603,'Ensure&#x20;outbound&#x20;and&#x20;established&#x20;connections&#x20;are&#x20;configured','Configure&#x20;the&#x20;firewall&#x20;rules&#x20;for&#x20;new&#x20;outbound&#x20;and&#x20;established&#x20;connections.','If&#x20;rules&#x20;are&#x20;not&#x20;in&#x20;place&#x20;for&#x20;new&#x20;outbound&#x20;and&#x20;established&#x20;connections,&#x20;all&#x20;packets&#x20;will&#x20;be&#x20;dropped&#x20;by&#x20;the&#x20;default&#x20;policy&#x20;preventing&#x20;network&#x20;usage.','','Configure&#x20;nftables&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy.&#x20;The&#x20;following&#x20;commands&#x20;will&#x20;implement&#x20;a&#x20;policy&#x20;to&#x20;allow&#x20;all&#x20;outbound&#x20;connections&#x20;and&#x20;all&#x20;established&#x20;connections:&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;input&#x20;ip&#x20;protocol&#x20;tcp&#x20;ct&#x20;state&#x20;established&#x20;accept;&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;input&#x20;ip&#x20;protocol&#x20;udp&#x20;ct&#x20;state&#x20;established&#x20;accept;&#x20;&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;input&#x20;ip&#x20;protocol&#x20;icmp&#x20;ct&#x20;state&#x20;established&#x20;accept;&#x20;&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;output&#x20;ip&#x20;protocol&#x20;tcp&#x20;ct&#x20;state&#x20;new,related,established&#x20;accept;&#x20;&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;output&#x20;ip&#x20;protocol&#x20;udp&#x20;ct&#x20;state&#x20;new,related,established&#x20;accept;&#x20;&#x20;&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;output&#x20;ip&#x20;protocol&#x20;icmp&#x20;ct&#x20;state&#x20;new,related,established&#x20;accept','[{\"cis\": [\"3.5.2.8\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4604,'Ensure&#x20;default&#x20;deny&#x20;firewall&#x20;policy','Base&#x20;chain&#x20;policy&#x20;is&#x20;the&#x20;default&#x20;verdict&#x20;that&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;packets&#x20;reaching&#x20;the&#x20;end&#x20;of&#x20;the&#x20;chain.','There&#x20;are&#x20;two&#x20;policies:&#x20;accept&#x20;&#40;Default&#41;&#x20;and&#x20;drop.&#x20;If&#x20;the&#x20;policy&#x20;is&#x20;set&#x20;to&#x20;accept,&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied&#x20;and&#x20;the&#x20;packet&#x20;will&#x20;continue&#x20;traversing&#x20;the&#x20;network&#x20;stack.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;command&#x20;for&#x20;the&#x20;base&#x20;chains&#x20;with&#x20;the&#x20;input,&#x20;forward,&#x20;and&#x20;output&#x20;hooks&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;nft&#x20;chain&#x20;&lt;table&#x20;family&gt;&#x20;&lt;table&#x20;name&gt;&#x20;&lt;chain&#x20;name&gt;&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}','[{\"cis\": [\"3.5.2.9\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4605,'Ensure&#x20;nftables&#x20;service&#x20;is&#x20;enabled','The&#x20;nftables&#x20;service&#x20;allows&#x20;for&#x20;the&#x20;loading&#x20;of&#x20;nftables&#x20;rulesets&#x20;during&#x20;boot,&#x20;or&#x20;starting&#x20;on&#x20;the&#x20;nftables&#x20;service','The&#x20;nftables&#x20;service&#x20;restores&#x20;the&#x20;nftables&#x20;rules&#x20;from&#x20;the&#x20;rules&#x20;files&#x20;referenced&#x20;in&#x20;the&#x20;/etc/sysconfig/nftables.conffile&#x20;during&#x20;boot&#x20;or&#x20;the&#x20;starting&#x20;of&#x20;the&#x20;nftables&#x20;service','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;nftables&#x20;service:&#x20;#&#x20;systemctl&#x20;enable&#x20;nftables','[{\"cis\": [\"3.5.2.10\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4606,'Ensure&#x20;nftables&#x20;rules&#x20;are&#x20;permanent','nftables&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;Linux&#x20;kernel&#x20;providing&#x20;filtering&#x20;and&#x20;classification&#x20;of&#x20;network&#x20;packets/datagrams/frames.&#x20;The&#x20;nftables&#x20;service&#x20;reads&#x20;the&#x20;/etc/sysconfig/nftables.conffile&#x20;for&#x20;a&#x20;nftables&#x20;file&#x20;or&#x20;files&#x20;to&#x20;include&#x20;in&#x20;the&#x20;nftables&#x20;ruleset.&#x20;A&#x20;nftables&#x20;ruleset&#x20;containing&#x20;the&#x20;input,&#x20;forward,&#x20;and&#x20;output&#x20;base&#x20;chains&#x20;allow&#x20;network&#x20;traffic&#x20;to&#x20;be&#x20;filtered.','Changes&#x20;made&#x20;to&#x20;nftables&#x20;ruleset&#x20;only&#x20;affect&#x20;the&#x20;live&#x20;system,&#x20;you&#x20;will&#x20;also&#x20;need&#x20;to&#x20;configure&#x20;the&#x20;nftables&#x20;ruleset&#x20;to&#x20;apply&#x20;on&#x20;boot','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;nftables&#x20;service:&#x20;#&#x20;systemctl&#x20;enable&#x20;nftables','[{\"cis\": [\"3.5.2.11\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4607,'Ensure&#x20;default&#x20;deny&#x20;firewall&#x20;policy','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;iptables&#x20;-P&#x20;INPUT&#x20;DROP&#x20;&#x20;&#x20;#&#x20;iptables&#x20;-P&#x20;OUTPUT&#x20;DROP&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;iptables&#x20;-P&#x20;FORWARD&#x20;DROP','[{\"cis\": [\"3.5.3.2.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4608,'Ensure&#x20;loopback&#x20;traffic&#x20;is&#x20;configured','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;iptables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-s&#x20;127.0.0.0/8&#x20;-j&#x20;DROP','[{\"cis\": [\"3.5.3.2.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4609,'Ensure&#x20;iptables&#x20;is&#x20;enabled&#x20;and&#x20;running','iptables.service&#x20;is&#x20;a&#x20;utility&#x20;for&#x20;configuring&#x20;and&#x20;maintaining&#x20;iptables.','iptables.service&#x20;willload&#x20;the&#x20;iptables&#x20;rules&#x20;saved&#x20;in&#x20;the&#x20;file&#x20;/etc/sysconfig/iptablesat&#x20;boot,&#x20;otherwise&#x20;the&#x20;iptables&#x20;rules&#x20;will&#x20;be&#x20;cleared&#x20;during&#x20;a&#x20;re-boot&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;ip6tables&#x20;-P&#x20;INPUT&#x20;DROP;&#x20;#&#x20;ip6tables&#x20;-P&#x20;OUTPUT&#x20;DROP;&#x20;#&#x20;ip6tables&#x20;-PFORWARD&#x20;DROP','[{\"cis\": [\"3.5.3.2.6\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4610,'Ensure&#x20;IPv6&#x20;default&#x20;deny&#x20;firewall&#x20;policy','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;ip6tables&#x20;-P&#x20;INPUT&#x20;DROP;&#x20;#&#x20;ip6tables&#x20;-P&#x20;OUTPUT&#x20;DROP;&#x20;#&#x20;ip6tables&#x20;-PFORWARD&#x20;DROP','[{\"cis\": [\"3.5.3.3.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4611,'Ensure&#x20;IPv6&#x20;loopback&#x20;traffic&#x20;is&#x20;configured','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;tothe&#x20;loopback&#x20;network&#x20;&#40;::1&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;::1&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT#&#x20;ip6tables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-s::1&#x20;-j&#x20;DROP','[{\"cis\": [\"3.5.3.3.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4612,'Ensure&#x20;IPv6&#x20;outbound&#x20;and&#x20;established&#x20;connections&#x20;are&#x20;configured','Configure&#x20;the&#x20;firewall&#x20;rules&#x20;for&#x20;new&#x20;outbound,&#x20;and&#x20;established&#x20;IPv6&#x20;connections.','If&#x20;rules&#x20;are&#x20;not&#x20;in&#x20;place&#x20;for&#x20;new&#x20;outbound,&#x20;and&#x20;established&#x20;connections&#x20;all&#x20;packets&#x20;will&#x20;be&#x20;dropped&#x20;by&#x20;the&#x20;default&#x20;policy&#x20;preventing&#x20;network&#x20;usage','','Configure&#x20;iptables&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy.&#x20;The&#x20;following&#x20;commands&#x20;will&#x20;implement&#x20;a&#x20;policy&#x20;to&#x20;allow&#x20;all&#x20;outbound&#x20;connections&#x20;and&#x20;all&#x20;established&#x20;connections:#&#x20;ip6tables&#x20;-AOUTPUT&#x20;-p&#x20;tcp&#x20;-m&#x20;state&#x20;--state&#x20;NEW,ESTABLISHED&#x20;-j&#x20;ACCEPT#&#x20;ip6tables&#x20;-A&#x20;OUTPUT&#x20;-p&#x20;udp&#x20;-m&#x20;state&#x20;--state&#x20;NEW,ESTABLISHED&#x20;-j&#x20;ACCEPT#&#x20;ip6tables&#x20;-A&#x20;OUTPUT&#x20;-p&#x20;icmp&#x20;-m&#x20;state&#x20;--state&#x20;NEW,ESTABLISHED&#x20;-j&#x20;ACCEPT#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-p&#x20;tcp&#x20;-m&#x20;state&#x20;--state&#x20;ESTABLISHED&#x20;-j&#x20;ACCEPT#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-p&#x20;udp&#x20;-m&#x20;state&#x20;--state&#x20;ESTABLISHED&#x20;-j&#x20;ACCEPT#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-p&#x20;icmp&#x20;-m&#x20;state&#x20;--state&#x20;ESTABLISHED&#x20;-j&#x20;ACCEPT','[{\"cis\": [\"3.5.3.3.3\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4613,'Ensure&#x20;ip6tables&#x20;is&#x20;enabled&#x20;and&#x20;running','ip6tables.service&#x20;is&#x20;a&#x20;utility&#x20;for&#x20;configuring&#x20;and&#x20;maintaining&#x20;ip6tables.','ip6tables.service&#x20;will&#x20;load&#x20;the&#x20;iptables&#x20;rules&#x20;saved&#x20;in&#x20;the&#x20;file&#x20;/etc/sysconfig/ip6tables&#x20;at&#x20;boot,&#x20;otherwise&#x20;the&#x20;ip6tables&#x20;rules&#x20;will&#x20;be&#x20;cleared&#x20;during&#x20;a&#x20;re-boot&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;ip6tables:&#x20;#&#x20;systemctl&#x20;--now&#x20;start&#x20;ip6tables','[{\"cis\": [\"3.5.3.3.3\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(4614,'Ensure&#x20;auditd&#x20;is&#x20;installed','auditd&#x20;is&#x20;the&#x20;userspace&#x20;component&#x20;to&#x20;the&#x20;Linux&#x20;Auditing&#x20;System.&#x20;It&#039;s&#x20;responsible&#x20;for&#x20;writing&#x20;audit&#x20;records&#x20;to&#x20;the&#x20;disk.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;Install&#x20;auditd&#x20;&#x20;#&#x20;yum&#x20;install&#x20;audit&#x20;audit-libs','[{\"cis\": [\"4.1.1.1\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\", \"10.7\"]}, {\"tsc\": [\"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4615,'Ensure&#x20;auditd&#x20;service&#x20;is&#x20;enabled&#x20;and&#x20;running','Turn&#x20;on&#x20;the&#x20;auditd&#x20;daemon&#x20;to&#x20;record&#x20;system&#x20;events.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;auditd:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;auditd','[{\"cis\": [\"4.1.1.2\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\", \"10.7\"]}, {\"tsc\": [\"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4616,'Ensure&#x20;auditing&#x20;for&#x20;processes&#x20;that&#x20;start&#x20;prior&#x20;to&#x20;auditd&#x20;is&#x20;enabled','Configure&#x20;grub&#x20;so&#x20;that&#x20;processes&#x20;that&#x20;are&#x20;capable&#x20;of&#x20;being&#x20;audited&#x20;can&#x20;be&#x20;audited&#x20;even&#x20;if&#x20;they&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;startup.','Audit&#x20;events&#x20;need&#x20;to&#x20;be&#x20;captured&#x20;on&#x20;processes&#x20;that&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd,&#x20;so&#x20;that&#x20;potential&#x20;malicious&#x20;activity&#x20;cannot&#x20;go&#x20;undetected.&#x20;Note:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub2&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit=1&#x20;to&#x20;GRUB_CMDLINE_LINUX:&#x20;GRUB_CMDLINE_LINUX=&quot;audit=1&quot;&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;grub2-mkconfig&#x20;-o&#x20;/boot/grub2/grub.cfg','[{\"cis\": [\"4.1.1.3\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.2.6\", \"10.7\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"35.7.d\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4617,'Ensure&#x20;audit&#x20;log&#x20;storage&#x20;size&#x20;is&#x20;configured','Configure&#x20;the&#x20;maximum&#x20;size&#x20;of&#x20;the&#x20;audit&#x20;log&#x20;file.&#x20;Once&#x20;the&#x20;log&#x20;reaches&#x20;the&#x20;maximum&#x20;size,&#x20;it&#x20;will&#x20;be&#x20;rotated&#x20;and&#x20;a&#x20;new&#x20;log&#x20;file&#x20;will&#x20;be&#x20;started.','It&#x20;is&#x20;important&#x20;that&#x20;an&#x20;appropriate&#x20;size&#x20;is&#x20;determined&#x20;for&#x20;log&#x20;files&#x20;so&#x20;that&#x20;they&#x20;do&#x20;not&#x20;impact&#x20;the&#x20;system&#x20;and&#x20;audit&#x20;data&#x20;is&#x20;not&#x20;lost.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy:&#x20;max_log_file&#x20;=&#x20;&lt;MB&gt;','[{\"cis\": [\"4.1.2.1\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"10.7\"]}]'),(4618,'Ensure&#x20;audit&#x20;logs&#x20;are&#x20;not&#x20;automatically&#x20;deleted','The&#x20;max_log_file_action&#x20;setting&#x20;determines&#x20;how&#x20;to&#x20;handle&#x20;the&#x20;audit&#x20;log&#x20;file&#x20;reaching&#x20;the&#x20;max&#x20;file&#x20;size.&#x20;A&#x20;value&#x20;of&#x20;keep_logs&#x20;will&#x20;rotate&#x20;the&#x20;logs&#x20;but&#x20;never&#x20;delete&#x20;old&#x20;logs.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;benefits&#x20;of&#x20;maintaining&#x20;a&#x20;long&#x20;audit&#x20;history&#x20;exceed&#x20;the&#x20;cost&#x20;of&#x20;storing&#x20;the&#x20;audit&#x20;history.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;max_log_file_action&#x20;=&#x20;keep_logs','[{\"cis\": [\"4.1.2.2\"]}, {\"cis_csc\": [\"6.2\", \"6.4\"]}, {\"pci_dss\": [\"10.7\"]}]'),(4619,'Ensure&#x20;system&#x20;is&#x20;disabled&#x20;when&#x20;audit&#x20;logs&#x20;are&#x20;full','The&#x20;auditd&#x20;daemon&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;halt&#x20;the&#x20;system&#x20;when&#x20;the&#x20;audit&#x20;logs&#x20;are&#x20;full.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;risk&#x20;of&#x20;detecting&#x20;unauthorized&#x20;access&#x20;or&#x20;nonrepudiation&#x20;exceeds&#x20;the&#x20;benefit&#x20;of&#x20;the&#x20;system&#039;s&#x20;availability.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;space_left_action&#x20;=&#x20;email&#x20;&#x20;&#x20;action_mail_acct&#x20;=&#x20;root&#x20;&#x20;&#x20;admin_space_left_action&#x20;=&#x20;halt','[{\"cis\": [\"4.1.2.3\"]}, {\"cis_csc\": [\"6.2\", \"6.4\"]}, {\"pci_dss\": [\"10.7\"]}]'),(4620,'Ensure&#x20;audit_backlog_limit&#x20;is&#x20;sufficient','The&#x20;backlog&#x20;limit&#x20;has&#x20;a&#x20;default&#x20;setting&#x20;of&#x20;64','During&#x20;boot&#x20;if&#x20;audit=1,&#x20;then&#x20;the&#x20;backlog&#x20;will&#x20;hold&#x20;64&#x20;records.&#x20;If&#x20;more&#x20;than&#x20;64&#x20;records&#x20;are&#x20;created&#x20;during&#x20;boot,&#x20;auditd&#x20;records&#x20;will&#x20;be&#x20;lost&#x20;and&#x20;potential&#x20;malicious&#x20;activity&#x20;could&#x20;go&#x20;undetected','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit_backlog_limit=&lt;BACKLOG&#x20;SIZE&gt;&#x20;&#x20;to&#x20;GRUB_CMDLINE_LINUX:&#x20;&#x20;&#x20;Example:&#x20;&#x20;GRUB_CMDLINE_LINUX=&quot;audit_backlog_limit=8192&quot;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;grub2-mkconfig&#x20;-o&#x20;/boot/grub2/grub.cfg','[{\"cis\": [\"4.1.2.4\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.7\"]}]'),(4621,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;date&#x20;and&#x20;time&#x20;information&#x20;are&#x20;collected','Capture&#x20;events&#x20;where&#x20;the&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;has&#x20;been&#x20;modified.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;are&#x20;set&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;adjtimex&#x20;&#40;tune&#x20;kernel&#x20;clock&#41;,&#x20;settimeofday&#x20;&#40;Set&#x20;time,&#x20;using&#x20;timeval&#x20;and&#x20;timezone&#x20;structures&#41;&#x20;stime&#x20;&#40;using&#x20;seconds&#x20;since&#x20;1/1/1970&#41;&#x20;or&#x20;clock_settime&#x20;&#40;allows&#x20;for&#x20;the&#x20;setting&#x20;of&#x20;several&#x20;internal&#x20;clocks&#x20;and&#x20;timers&#41;&#x20;system&#x20;calls&#x20;have&#x20;been&#x20;executed&#x20;and&#x20;always&#x20;write&#x20;an&#x20;audit&#x20;record&#x20;to&#x20;the&#x20;/var/log/audit.log&#x20;file&#x20;upon&#x20;exit,&#x20;tagging&#x20;the&#x20;records&#x20;with&#x20;the&#x20;identifier&#x20;&quot;time-change&quot;.','Unexpected&#x20;changes&#x20;in&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;could&#x20;be&#x20;a&#x20;sign&#x20;of&#x20;malicious&#x20;activity&#x20;on&#x20;the&#x20;system.','','For&#x20;32&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/time-change.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/time-change.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-Farch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.3\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.4.2\", \"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4622,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;user/group&#x20;information&#x20;are&#x20;collected','Record&#x20;events&#x20;affecting&#x20;the&#x20;group,&#x20;passwd&#x20;&#40;user&#x20;IDs&#41;,&#x20;shadow&#x20;and&#x20;gshadow&#x20;&#40;passwords&#41;&#x20;or&#x20;/etc/security/opasswd&#x20;&#40;old&#x20;passwords,&#x20;based&#x20;on&#x20;remember&#x20;parameter&#x20;in&#x20;the&#x20;PAM&#x20;configuration&#41;&#x20;files.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;will&#x20;watch&#x20;the&#x20;files&#x20;to&#x20;see&#x20;if&#x20;they&#x20;have&#x20;been&#x20;opened&#x20;for&#x20;write&#x20;or&#x20;have&#x20;had&#x20;attribute&#x20;changes&#x20;&#40;e.g.&#x20;permissions&#41;&#x20;and&#x20;tag&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;identity&quot;&#x20;in&#x20;the&#x20;audit&#x20;log&#x20;file.','Unexpected&#x20;changes&#x20;to&#x20;these&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;the&#x20;system&#x20;has&#x20;been&#x20;compromised&#x20;and&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;hide&#x20;their&#x20;activities&#x20;or&#x20;compromise&#x20;additional&#x20;accounts.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/identity.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/group&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/passwd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/gshadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/shadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/security/opasswd&#x20;-p&#x20;wa&#x20;-k&#x20;identity.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.4\"]}, {\"cis_csc\": [\"4.8\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4623,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;network&#x20;environment&#x20;are&#x20;collected','Record&#x20;changes&#x20;to&#x20;network&#x20;environment&#x20;files&#x20;or&#x20;system&#x20;calls.&#x20;The&#x20;below&#x20;parameters&#x20;monitor&#x20;the&#x20;sethostname&#x20;&#40;set&#x20;the&#x20;systems&#x20;host&#x20;name&#41;&#x20;or&#x20;setdomainname&#x20;&#40;set&#x20;the&#x20;systems&#x20;domainname&#41;&#x20;system&#x20;calls,&#x20;and&#x20;write&#x20;an&#x20;audit&#x20;event&#x20;on&#x20;system&#x20;call&#x20;exit.&#x20;The&#x20;other&#x20;parameters&#x20;monitor&#x20;the&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;files&#x20;&#40;messages&#x20;displayed&#x20;pre-login&#41;,&#x20;/etc/hosts&#x20;&#40;file&#x20;containing&#x20;host&#x20;names&#x20;and&#x20;associated&#x20;IP&#x20;addresses&#41;,&#x20;/etc/sysconfig/network&#x20;file&#x20;and&#x20;/etc/sysconfig/network-scripts/&#x20;directory&#x20;&#40;containing&#x20;network&#x20;interface&#x20;scripts&#x20;and&#x20;configurations&#41;.','Monitoring&#x20;sethostname&#x20;and&#x20;setdomainname&#x20;will&#x20;identify&#x20;potential&#x20;unauthorized&#x20;changes&#x20;to&#x20;host&#x20;and&#x20;domainname&#x20;of&#x20;a&#x20;system.&#x20;The&#x20;changing&#x20;of&#x20;these&#x20;names&#x20;could&#x20;potentially&#x20;break&#x20;security&#x20;parameters&#x20;that&#x20;are&#x20;set&#x20;based&#x20;on&#x20;those&#x20;names.&#x20;The&#x20;/etc/hosts&#x20;file&#x20;is&#x20;monitored&#x20;for&#x20;changes&#x20;in&#x20;the&#x20;file&#x20;that&#x20;can&#x20;indicate&#x20;an&#x20;unauthorized&#x20;intruder&#x20;is&#x20;trying&#x20;to&#x20;change&#x20;machine&#x20;associations&#x20;with&#x20;IP&#x20;addresses&#x20;and&#x20;trick&#x20;users&#x20;and&#x20;processes&#x20;into&#x20;connecting&#x20;to&#x20;unintended&#x20;machines.&#x20;Monitoring&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;is&#x20;important,&#x20;as&#x20;intruders&#x20;could&#x20;put&#x20;disinformation&#x20;into&#x20;those&#x20;files&#x20;and&#x20;trick&#x20;users&#x20;into&#x20;providing&#x20;information&#x20;to&#x20;the&#x20;intruder.&#x20;Monitoring&#x20;/etc/sysconfig/network&#x20;and&#x20;/etc/sysconfig/network-scripts/&#x20;is&#x20;important&#x20;as&#x20;it&#x20;can&#x20;show&#x20;if&#x20;network&#x20;interfaces&#x20;or&#x20;scripts&#x20;are&#x20;being&#x20;modified&#x20;in&#x20;a&#x20;way&#x20;that&#x20;can&#x20;lead&#x20;to&#x20;the&#x20;machine&#x20;becoming&#x20;unavailable&#x20;or&#x20;compromised.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;system-locale.&quot;','','For&#x20;32&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/system-locale.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/sysconfig/network&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/system-locale.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/sysconfig/network&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;','[{\"cis\": [\"4.1.5\"]}, {\"cis_csc\": [\"5.5\", \"6.2\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4624,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;Mandatory&#x20;Access&#x20;Controls&#x20;are&#x20;collected','Monitor&#x20;SELinux&#x20;mandatory&#x20;access&#x20;controls.&#x20;The&#x20;parameters&#x20;below&#x20;monitor&#x20;any&#x20;write&#x20;access&#x20;&#40;potential&#x20;additional,&#x20;deletion&#x20;or&#x20;modification&#x20;of&#x20;files&#x20;in&#x20;the&#x20;directory&#41;&#x20;or&#x20;attribute&#x20;changes&#x20;to&#x20;&#x20;the&#x20;/etc/selinux/&#x20;and&#x20;/usr/share/selinux/&#x20;directories.','Changes&#x20;to&#x20;files&#x20;in&#x20;the&#x20;/etc/selinux/&#x20;and&#x20;/usr/share/selinux/&#x20;directories&#x20;could&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;modify&#x20;access&#x20;controls&#x20;and&#x20;change&#x20;security&#x20;contexts,&#x20;leading&#x20;to&#x20;a&#x20;compromise&#x20;of&#x20;the&#x20;system.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/MAC-policy.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-w&#x20;/etc/selinux/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;-w&#x20;/usr/share/selinux/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;.','[{\"cis\": [\"4.1.6\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4625,'Ensure&#x20;login&#x20;and&#x20;logout&#x20;events&#x20;are&#x20;collected','Monitor&#x20;login&#x20;and&#x20;logout&#x20;events.&#x20;The&#x20;parameters&#x20;below&#x20;track&#x20;changes&#x20;to&#x20;files&#x20;associated&#x20;with&#x20;login/logout&#x20;events.&#x20;The&#x20;file&#x20;/var/log/faillog&#x20;tracks&#x20;failed&#x20;events&#x20;from&#x20;login.&#x20;The&#x20;file&#x20;/var/log/lastlog&#x20;maintain&#x20;records&#x20;of&#x20;the&#x20;last&#x20;time&#x20;a&#x20;user&#x20;successfully&#x20;logged&#x20;in.&#x20;The&#x20;/var/run/faillock/&#x20;directory&#x20;maintains&#x20;records&#x20;of&#x20;login&#x20;failures&#x20;via&#x20;the&#x20;pam_faillock&#x20;module.&#x20;The&#x20;file&#x20;/var/log/tallylog&#x20;maintains&#x20;records&#x20;of&#x20;failures&#x20;via&#x20;the&#x20;pam_tally2&#x20;module','Monitoring&#x20;login/logout&#x20;events&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;information&#x20;associated&#x20;with&#x20;brute&#x20;force&#x20;attacks&#x20;against&#x20;user&#x20;logins.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/logins.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;-w&#x20;/var/log/lastlog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&#x20;&#x20;-w&#x20;/var/run/faillog/&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&#x20;&#x20;IF&#x20;&#x20;&#x20;the&#x20;pam_faillock.so&#x20;module&#x20;is&#x20;used:&#x20;Also&#x20;include&#x20;the&#x20;line:&#x20;&#x20;-w&#x20;/var/run/faillock/&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&#x20;&#x20;OR&#x20;IF&#x20;the&#x20;pam_tally2.so&#x20;module&#x20;is&#x20;used:&#x20;Also&#x20;include&#x20;the&#x20;line:&#x20;&#x20;-w&#x20;/var/log/tallylog&#x20;-p&#x20;wa&#x20;-k&#x20;logins','[{\"cis\": [\"4.1.7\"]}, {\"cis_csc\": [\"4.9\", \"16.11\", \"16.13\"]}, {\"pci_dss\": [\"10.2.1\", \"10.2.4\", \"10.3\"]}, {\"nist_800_53\": [\"AC.7\", \"AU.14\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4626,'Ensure&#x20;session&#x20;initiation&#x20;information&#x20;is&#x20;collected','Monitor&#x20;session&#x20;initiation&#x20;events.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;to&#x20;the&#x20;files&#x20;associated&#x20;with&#x20;session&#x20;events.&#x20;The&#x20;file&#x20;/var/run/utmp&#x20;file&#x20;tracks&#x20;all&#x20;currently&#x20;logged&#x20;in&#x20;users.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;session.&quot;&#x20;The&#x20;/var/log/wtmp&#x20;file&#x20;tracks&#x20;logins,&#x20;logouts,&#x20;shutdown,&#x20;and&#x20;reboot&#x20;events.&#x20;The&#x20;file&#x20;/var/log/btmp&#x20;keeps&#x20;track&#x20;of&#x20;failed&#x20;login&#x20;attempts&#x20;and&#x20;can&#x20;be&#x20;read&#x20;by&#x20;entering&#x20;the&#x20;command&#x20;/usr/bin/last&#x20;-f&#x20;/var/log/btmp&#x20;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;logins.&quot;.','Monitoring&#x20;these&#x20;files&#x20;for&#x20;changes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;logins&#x20;occurring&#x20;at&#x20;unusual&#x20;hours,&#x20;which&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;&#40;i.e.&#x20;a&#x20;user&#x20;logging&#x20;in&#x20;at&#x20;a&#x20;time&#x20;when&#x20;they&#x20;do&#x20;not&#x20;normally&#x20;log&#x20;in&#41;.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/logins.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-w&#x20;/var/run/utmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;&#x20;&#x20;-w&#x20;/var/log/wtmp&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&#x20;&#x20;-w&#x20;/var/log/btmp&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;.&#x20;Notes:&#x20;The&#x20;last&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;read&#x20;/var/log/wtmp&#x20;&#40;&#x20;last&#x20;with&#x20;no&#x20;parameters&#41;&#x20;and&#x20;/var/run/utmp&#x20;&#40;&#x20;last&#x20;-f&#x20;/var/run/utmp&#x20;&#41;&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.8\"]}, {\"cis_csc\": [\"4.9\", \"16.11\", \"16.13\"]}, {\"pci_dss\": [\"10.3\"]}]'),(4627,'Ensure&#x20;discretionary&#x20;access&#x20;control&#x20;permission&#x20;modification&#x20;events&#x20;are&#x20;collected','Monitor&#x20;changes&#x20;to&#x20;file&#x20;permissions,&#x20;attributes,&#x20;ownership&#x20;and&#x20;group.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;for&#x20;system&#x20;calls&#x20;that&#x20;affect&#x20;file&#x20;permissions&#x20;and&#x20;attributes.&#x20;The&#x20;chmod,&#x20;fchmod&#x20;and&#x20;fchmodat&#x20;system&#x20;calls&#x20;affect&#x20;the&#x20;permissions&#x20;associated&#x20;with&#x20;a&#x20;file.&#x20;The&#x20;chown,&#x20;fchown,&#x20;fchownat&#x20;and&#x20;lchown&#x20;system&#x20;calls&#x20;affect&#x20;owner&#x20;and&#x20;group&#x20;attributes&#x20;on&#x20;a&#x20;file.&#x20;The&#x20;setxattr,&#x20;lsetxattr,&#x20;fsetxattr&#x20;&#40;set&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;and&#x20;removexattr,&#x20;lremovexattr,&#x20;fremovexattr&#x20;&#40;remove&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;control&#x20;extended&#x20;file&#x20;attributes.&#x20;In&#x20;all&#x20;cases,&#x20;an&#x20;audit&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;for&#x20;non-system&#x20;user&#x20;ids&#x20;&#40;auid&#x20;&gt;=&#x20;1000&#41;&#x20;and&#x20;will&#x20;ignore&#x20;Daemon&#x20;events&#x20;&#40;auid&#x20;=&#x20;4294967295&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;perm_mod.&quot;','Monitoring&#x20;for&#x20;changes&#x20;in&#x20;file&#x20;attributes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;activity&#x20;that&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;or&#x20;policy&#x20;violation.','','For&#x20;32&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/perm_mod.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/perm_mod.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lrem&#x20;.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.9\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4628,'Ensure&#x20;unsuccessful&#x20;unauthorized&#x20;file&#x20;access&#x20;attempts&#x20;are&#x20;collected','Monitor&#x20;for&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;access&#x20;files.&#x20;The&#x20;parameters&#x20;below&#x20;are&#x20;associated&#x20;&#x20;with&#x20;system&#x20;calls&#x20;that&#x20;control&#x20;creation&#x20;&#40;&#x20;creat&#x20;&#41;,&#x20;opening&#x20;&#40;&#x20;open,&#x20;openat&#x20;&#41;&#x20;and&#x20;truncation&#x20;&#40;&#x20;&#x20;truncate,&#x20;ftruncate&#x20;&#41;&#x20;of&#x20;files.&#x20;An&#x20;audit&#x20;log&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;if&#x20;the&#x20;user&#x20;is&#x20;a&#x20;non-&#x20;&#x20;privileged&#x20;user&#x20;&#40;auid&#x20;&gt;&#x20;=&#x20;1000&#41;,&#x20;is&#x20;not&#x20;a&#x20;Daemon&#x20;event&#x20;&#40;auid=4294967295&#41;&#x20;and&#x20;if&#x20;the&#x20;&#x20;system&#x20;call&#x20;returned&#x20;EACCES&#x20;&#40;permission&#x20;denied&#x20;to&#x20;the&#x20;file&#41;&#x20;or&#x20;EPERM&#x20;&#40;some&#x20;other&#x20;&#x20;permanent&#x20;error&#x20;associated&#x20;with&#x20;the&#x20;specific&#x20;system&#x20;call&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;&#x20;with&#x20;the&#x20;identifier&#x20;&quot;access.&quot;','Failed&#x20;attempts&#x20;to&#x20;open,&#x20;create&#x20;or&#x20;truncate&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;an&#x20;individual&#x20;or&#x20;process&#x20;is&#x20;trying&#x20;to&#x20;gain&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','For&#x20;32&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/access.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/access.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.10\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"10.2.4\"]}, {\"nist_800_53\": [\"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4629,'Ensure&#x20;successful&#x20;file&#x20;system&#x20;mounts&#x20;are&#x20;collected','Monitor&#x20;the&#x20;use&#x20;of&#x20;the&#x20;mount&#x20;system&#x20;call.&#x20;The&#x20;mount&#x20;&#40;and&#x20;umount&#x20;&#41;&#x20;system&#x20;call&#x20;controls&#x20;the&#x20;mounting&#x20;and&#x20;unmounting&#x20;of&#x20;file&#x20;systems.&#x20;The&#x20;parameters&#x20;below&#x20;configure&#x20;the&#x20;system&#x20;to&#x20;create&#x20;an&#x20;audit&#x20;record&#x20;when&#x20;the&#x20;mount&#x20;system&#x20;call&#x20;is&#x20;used&#x20;by&#x20;a&#x20;non-privileged&#x20;user.','It&#x20;is&#x20;highly&#x20;unusual&#x20;for&#x20;a&#x20;non&#x20;privileged&#x20;user&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;to&#x20;the&#x20;system.&#x20;While&#x20;tracking&#x20;mount&#x20;commands&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;evidence&#x20;that&#x20;external&#x20;media&#x20;may&#x20;have&#x20;been&#x20;mounted&#x20;&#40;based&#x20;on&#x20;a&#x20;review&#x20;of&#x20;the&#x20;source&#x20;of&#x20;the&#x20;mount&#x20;and&#x20;confirming&#x20;it&#039;s&#x20;an&#x20;external&#x20;media&#x20;type&#41;,&#x20;it&#x20;does&#x20;not&#x20;conclusively&#x20;indicate&#x20;that&#x20;data&#x20;was&#x20;exported&#x20;to&#x20;the&#x20;media.&#x20;System&#x20;administrators&#x20;who&#x20;wish&#x20;to&#x20;determine&#x20;if&#x20;data&#x20;were&#x20;exported,&#x20;would&#x20;also&#x20;have&#x20;to&#x20;track&#x20;successful&#x20;open,&#x20;creat&#x20;and&#x20;truncate&#x20;system&#x20;calls&#x20;requiring&#x20;write&#x20;access&#x20;to&#x20;a&#x20;file&#x20;under&#x20;the&#x20;mount&#x20;point&#x20;of&#x20;the&#x20;external&#x20;media&#x20;file&#x20;system.&#x20;This&#x20;could&#x20;give&#x20;a&#x20;fair&#x20;indication&#x20;that&#x20;a&#x20;write&#x20;occurred.&#x20;The&#x20;only&#x20;way&#x20;to&#x20;truly&#x20;prove&#x20;it,&#x20;would&#x20;be&#x20;to&#x20;track&#x20;successful&#x20;writes&#x20;to&#x20;the&#x20;external&#x20;media.&#x20;Tracking&#x20;write&#x20;system&#x20;calls&#x20;could&#x20;quickly&#x20;fill&#x20;up&#x20;the&#x20;audit&#x20;log&#x20;and&#x20;is&#x20;not&#x20;recommended.&#x20;Recommendations&#x20;on&#x20;configuration&#x20;options&#x20;to&#x20;track&#x20;data&#x20;export&#x20;to&#x20;media&#x20;is&#x20;beyond&#x20;the&#x20;scope&#x20;of&#x20;this&#x20;document.','','For&#x20;32&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/mount.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/mounts.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts&#x20;.&#x20;Notes:&#x20;This&#x20;tracks&#x20;successful&#x20;and&#x20;unsuccessful&#x20;mount&#x20;commands.&#x20;File&#x20;system&#x20;mounts&#x20;do&#x20;not&#x20;have&#x20;to&#x20;come&#x20;from&#x20;external&#x20;media&#x20;and&#x20;this&#x20;action&#x20;still&#x20;does&#x20;not&#x20;verify&#x20;write&#x20;&#40;e.g.&#x20;CD&#x20;ROMS&#41;.&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.13\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4630,'Ensure&#x20;file&#x20;deletion&#x20;events&#x20;by&#x20;users&#x20;are&#x20;collected','Monitor&#x20;the&#x20;use&#x20;of&#x20;system&#x20;calls&#x20;associated&#x20;with&#x20;the&#x20;deletion&#x20;or&#x20;renaming&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes.&#x20;This&#x20;configuration&#x20;statement&#x20;sets&#x20;up&#x20;monitoring&#x20;for&#x20;ollowing&#x20;system&#x20;calls&#x20;and&#x20;tags&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;delete&quot;:&#x20;unlink&#x20;-remove&#x20;a&#x20;file&#x20;&#x20;&#x20;&#x20;&#x20;unlinkat&#x20;-&#x20;remove&#x20;a&#x20;file&#x20;attribute&#41;,&#x20;rename&#x20;&#40;rename&#x20;a&#x20;file&#x20;and&#x20;renameat&#x20;-&#x20;rename&#x20;a&#x20;file&#x20;attribute.','Monitoring&#x20;these&#x20;calls&#x20;from&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;evidence&#x20;that&#x20;inappropriate&#x20;removal&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes&#x20;associated&#x20;with&#x20;protected&#x20;files&#x20;is&#x20;occurring.&#x20;While&#x20;this&#x20;audit&#x20;option&#x20;will&#x20;look&#x20;at&#x20;all&#x20;events,&#x20;system&#x20;administrators&#x20;will&#x20;want&#x20;to&#x20;look&#x20;for&#x20;specific&#x20;privileged&#x20;files&#x20;that&#x20;are&#x20;being&#x20;deleted&#x20;or&#x20;altered.','','For&#x20;32&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/delete.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/delete.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete&#x20;.&#x20;Notes:&#x20;At&#x20;a&#x20;minimum,&#x20;configure&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;collect&#x20;file&#x20;deletion&#x20;events&#x20;for&#x20;all&#x20;users&#x20;and&#x20;root.&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.13\"]}, {\"cis_csc\": [\"6.2\", \"13\"]}, {\"pci_dss\": [\"10.5.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC7.1\", \"CC7.2\", \"CC7.3\", \"CC8.1\"]}]'),(4631,'Ensure&#x20;changes&#x20;to&#x20;system&#x20;administration&#x20;scope&#x20;&#40;sudoers&#41;&#x20;is&#x20;collected','Monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrators.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;force&#x20;system&#x20;administrators&#x20;to&#x20;log&#x20;in&#x20;as&#x20;themselves&#x20;first&#x20;and&#x20;then&#x20;use&#x20;the&#x20;sudo&#x20;command&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;it&#x20;is&#x20;possible&#x20;to&#x20;monitor&#x20;changes&#x20;in&#x20;scope.&#x20;The&#x20;file&#x20;/etc/sudoers&#x20;or&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/sudoers.d&#x20;directory&#x20;will&#x20;be&#x20;written&#x20;to&#x20;when&#x20;the&#x20;file&#x20;or&#x20;its&#x20;attributes&#x20;have&#x20;changed.','Changes&#x20;in&#x20;the&#x20;/etc/sudoers&#x20;file,&#x20;or&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/sudoers.d/&#x20;directory&#x20;can&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;change&#x20;has&#x20;been&#x20;made&#x20;to&#x20;scope&#x20;of&#x20;system&#x20;administrator&#x20;activity.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/scope.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines::&#x20;&#x20;&#x20;-w&#x20;/etc/sudoers&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;&#x20;&#x20;-w&#x20;/etc/sudoers.d/&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.14\"]}, {\"cis_csc\": [\"4.8\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4632,'Ensure&#x20;system&#x20;administrator&#x20;actions&#x20;&#40;sudolog&#41;&#x20;are&#x20;collected','Monitor&#x20;the&#x20;sudo&#x20;log&#x20;file.&#x20;The&#x20;sudo&#x20;log&#x20;file&#x20;is&#x20;configured&#x20;in&#x20;/etc/sudoersor&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;disable&#x20;the&#x20;use&#x20;of&#x20;the&#x20;su&#x20;command&#x20;and&#x20;force&#x20;all&#x20;administrators&#x20;to&#x20;have&#x20;to&#x20;log&#x20;in&#x20;first&#x20;and&#x20;then&#x20;use&#x20;sudo&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;then&#x20;all&#x20;administrator&#x20;commands&#x20;will&#x20;be&#x20;logged&#x20;to&#x20;the&#x20;sudo&#x20;log&#x20;file.&#x20;Any&#x20;time&#x20;a&#x20;command&#x20;is&#x20;executed,&#x20;an&#x20;audit&#x20;event&#x20;will&#x20;be&#x20;triggered&#x20;as&#x20;the&#x20;sudo&#x20;log&#x20;file&#x20;will&#x20;be&#x20;opened&#x20;for&#x20;write&#x20;and&#x20;the&#x20;executed&#x20;administration&#x20;command&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;log.','Changes&#x20;in&#x20;/var/log/sudo.log&#x20;indicate&#x20;that&#x20;an&#x20;administrator&#x20;has&#x20;executed&#x20;a&#x20;command&#x20;or&#x20;the&#x20;log&#x20;file&#x20;itself&#x20;has&#x20;been&#x20;tampered&#x20;with.&#x20;Administrators&#x20;will&#x20;want&#x20;to&#x20;correlate&#x20;the&#x20;events&#x20;written&#x20;to&#x20;the&#x20;audit&#x20;trail&#x20;with&#x20;the&#x20;records&#x20;written&#x20;to&#x20;/var/log/sudo.log&#x20;to&#x20;verify&#x20;if&#x20;unauthorized&#x20;commands&#x20;have&#x20;been&#x20;executed.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/action.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-w&#x20;/var/log/sudo.log&#x20;-p&#x20;wa&#x20;-k&#x20;actions&#x20;.','[{\"cis\": [\"4.1.15\"]}, {\"cis_csc\": [\"4.9\", \"5.5\"]}, {\"pci_dss\": [\"10.2.2\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.6\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4633,'Ensure&#x20;kernel&#x20;module&#x20;loading&#x20;and&#x20;unloading&#x20;is&#x20;collected','Monitor&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;kernel&#x20;modules.&#x20;The&#x20;programs&#x20;insmod&#x20;&#40;install&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;rmmod&#x20;&#40;remove&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;and&#x20;modprobe&#x20;&#40;a&#x20;more&#x20;sophisticated&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules,&#x20;as&#x20;well&#x20;as&#x20;some&#x20;other&#x20;features&#41;&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;The&#x20;init_module&#x20;&#40;load&#x20;a&#x20;module&#41;&#x20;and&#x20;delete_module&#x20;&#40;delete&#x20;a&#x20;module&#41;&#x20;system&#x20;calls&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;Any&#x20;execution&#x20;of&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;module&#x20;programs&#x20;and&#x20;system&#x20;calls&#x20;will&#x20;trigger&#x20;an&#x20;audit&#x20;record&#x20;with&#x20;an&#x20;identifier&#x20;of&#x20;&quot;modules&quot;.','Monitoring&#x20;the&#x20;use&#x20;of&#x20;insmod,&#x20;rmmod&#x20;and&#x20;modprobe&#x20;could&#x20;provide&#x20;system&#x20;administrators&#x20;with&#x20;evidence&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;loaded&#x20;or&#x20;unloaded&#x20;a&#x20;kernel&#x20;module,&#x20;possibly&#x20;compromising&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.&#x20;Monitoring&#x20;of&#x20;the&#x20;init_module&#x20;and&#x20;delete_module&#x20;system&#x20;calls&#x20;would&#x20;reflect&#x20;an&#x20;unauthorized&#x20;user&#x20;attempting&#x20;to&#x20;use&#x20;a&#x20;different&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/modules.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;-w&#x20;/sbin/insmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-w&#x20;/sbin/rmmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-w&#x20;/sbin/modprobe&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;init_module&#x20;-S&#x20;delete_module&#x20;-k&#x20;modules&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/directory&#x20;ending&#x20;in&#x20;.rules&#x20;&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/modules.rules&#x20;Add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-w&#x20;/sbin/insmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-w&#x20;/sbin/rmmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-w&#x20;/sbin/modprobe&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;init_module&#x20;-S&#x20;delete_module&#x20;-k&#x20;modules&#x20;','[{\"cis\": [\"4.1.16\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4634,'Ensure&#x20;the&#x20;audit&#x20;configuration&#x20;is&#x20;immutable','Set&#x20;system&#x20;audit&#x20;so&#x20;that&#x20;audit&#x20;rules&#x20;cannot&#x20;be&#x20;modified&#x20;with&#x20;auditctl&#x20;.&#x20;Setting&#x20;the&#x20;flag&#x20;&quot;-e&#x20;2&quot;&#x20;forces&#x20;audit&#x20;to&#x20;be&#x20;put&#x20;in&#x20;immutable&#x20;mode.&#x20;Audit&#x20;changes&#x20;can&#x20;only&#x20;be&#x20;made&#x20;on&#x20;system&#x20;reboot.','In&#x20;immutable&#x20;mode,&#x20;unauthorized&#x20;users&#x20;cannot&#x20;execute&#x20;changes&#x20;to&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;potentially&#x20;hide&#x20;malicious&#x20;activity&#x20;and&#x20;then&#x20;put&#x20;the&#x20;audit&#x20;rules&#x20;back.&#x20;Users&#x20;would&#x20;most&#x20;likely&#x20;notice&#x20;a&#x20;system&#x20;reboot&#x20;and&#x20;that&#x20;could&#x20;alert&#x20;administrators&#x20;of&#x20;an&#x20;attempt&#x20;to&#x20;make&#x20;unauthorized&#x20;audit&#x20;changes.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/audit/rules.d/99-finalize.rulesand&#x20;add&#x20;the&#x20;following&#x20;line&#x20;at&#x20;the&#x20;end&#x20;of&#x20;the&#x20;file:&#x20;&#x20;-e&#x20;2','[{\"cis\": [\"4.1.17\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4635,'Ensure&#x20;rsyslog&#x20;is&#x20;installed','The&#x20;rsyslog&#x20;software&#x20;is&#x20;a&#x20;recommended&#x20;replacement&#x20;to&#x20;the&#x20;original&#x20;syslogd&#x20;daemon.&#x20;rsyslog&#x20;provides&#x20;improvements&#x20;over&#x20;syslogd,&#x20;including:&#x20;&#x20;&#x20;-&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs&#x20;&#x20;&#x20;&#x20;&#x20;-&#x20;The&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats&#x20;&#x20;&#x20;&#x20;-&#x20;Encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server','The&#x20;security&#x20;enhancements&#x20;of&#x20;rsyslog&#x20;and&#x20;syslog-ng&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server&#41;&#x20;justify&#x20;installing&#x20;and&#x20;configuring&#x20;the&#x20;package.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;rsyslog:&#x20;#&#x20;yum&#x20;install&#x20;rsyslog','[{\"cis\": [\"4.2.1.1\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4636,'Ensure&#x20;rsyslog&#x20;Service&#x20;is&#x20;enabled&#x20;and&#x20;running','rsyslogneeds&#x20;to&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;to&#x20;perform&#x20;logging','If&#x20;the&#x20;rsyslog&#x20;service&#x20;is&#x20;not&#x20;activated&#x20;the&#x20;system&#x20;may&#x20;default&#x20;to&#x20;the&#x20;syslogd&#x20;service&#x20;or&#x20;lackblogging&#x20;instead.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;rsyslog:&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;rsyslog','[{\"cis\": [\"4.2.1.1\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4637,'Ensure&#x20;rsyslog&#x20;default&#x20;file&#x20;permissions&#x20;configured','rsyslog&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;set&#x20;$FileCreateMode&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;&#x20;&#x20;$FileCreateMode&#x20;0640','[{\"cis\": [\"4.2.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4638,'Ensure&#x20;rsyslog&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host','The&#x20;rsyslog&#x20;utility&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;logs&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;running&#x20;syslogd&#40;8&#41;&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;reducing&#x20;administrative&#x20;overhead.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;&#40;where&#x20;loghost.example.com&#x20;is&#x20;the&#x20;name&#x20;of&#x20;your&#x20;central&#x20;log&#x20;host&#41;.&#x20;&#x20;&#x20;*.*&#x20;@@loghost.example.com&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;rsyslogd&#x20;configuration:&#x20;#&#x20;&#x20;systemctl&#x20;restart&#x20;rsyslog','[{\"cis\": [\"4.2.1.5\"]}, {\"cis_csc\": [\"6.6\", \"6.8\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4639,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;rsyslog&#x20;','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Utilities&#x20;exist&#x20;to&#x20;accept&#x20;remote&#x20;export&#x20;of&#x20;journald&#x20;logs,&#x20;however,&#x20;use&#x20;of&#x20;the&#x20;rsyslog&#x20;service&#x20;provides&#x20;a&#x20;consistent&#x20;means&#x20;of&#x20;log&#x20;collection&#x20;and&#x20;export.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;ForwardToSyslog=yes','[{\"cis\": [\"4.2.2.1\"]}, {\"cis_csc\": [\"6.5\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4640,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;compress&#x20;large&#x20;log&#x20;files','The&#x20;journald&#x20;system&#x20;includes&#x20;the&#x20;capability&#x20;of&#x20;compressing&#x20;overly&#x20;large&#x20;files&#x20;to&#x20;avoid&#x20;filling&#x20;up&#x20;the&#x20;system&#x20;with&#x20;logs&#x20;or&#x20;making&#x20;the&#x20;logs&#x20;unmanageably&#x20;large.','Uncompressed&#x20;large&#x20;files&#x20;may&#x20;unexpectedly&#x20;fill&#x20;a&#x20;filesystem&#x20;leading&#x20;to&#x20;resource&#x20;unavailability.&#x20;Compressing&#x20;logs&#x20;prior&#x20;to&#x20;write&#x20;can&#x20;prevent&#x20;sudden,&#x20;unexpected&#x20;filesystem&#x20;impacts.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Compress=yes','[{\"cis\": [\"4.2.2.2\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4641,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;compress&#x20;large&#x20;log&#x20;files','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Logs&#x20;in&#x20;memory&#x20;will&#x20;be&#x20;lost&#x20;upon&#x20;a&#x20;system&#x20;reboot.&#x20;By&#x20;persisting&#x20;logs&#x20;to&#x20;local&#x20;disk&#x20;on&#x20;the&#x20;server&#x20;they&#x20;are&#x20;protected&#x20;from&#x20;loss.','Writing&#x20;log&#x20;data&#x20;to&#x20;disk&#x20;will&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;forensically&#x20;reconstruct&#x20;events&#x20;which&#x20;may&#x20;have&#x20;impacted&#x20;the&#x20;operations&#x20;or&#x20;security&#x20;of&#x20;a&#x20;system&#x20;even&#x20;after&#x20;a&#x20;system&#x20;crash&#x20;or&#x20;reboot.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Storage=persistent','[{\"cis\": [\"4.2.2.3\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4642,'Ensure&#x20;permissions&#x20;on&#x20;all&#x20;logfiles&#x20;are&#x20;configured','Log&#x20;files&#x20;stored&#x20;in&#x20;/var/log/&#x20;contain&#x20;logged&#x20;information&#x20;from&#x20;many&#x20;services&#x20;on&#x20;the&#x20;system,&#x20;or&#x20;on&#x20;log&#x20;hosts&#x20;others&#x20;as&#x20;well.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.&#x20;&#x20;Other/world&#x20;should&#x20;not&#x20;have&#x20;the&#x20;ability&#x20;to&#x20;view&#x20;this&#x20;information.&#x20;Group&#x20;should&#x20;not&#x20;have&#x20;the&#x20;ability&#x20;to&#x20;modify&#x20;this&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;all&#x20;existing&#x20;log&#x20;files:&#x20;#&#x20;find&#x20;/var/log&#x20;-type&#x20;f&#x20;-exec&#x20;chmod&#x20;g-wx,o-rwx&#x20;&quot;{}&quot;&#x20;+&#x20;-o&#x20;-type&#x20;d&#x20;-exec&#x20;chmod&#x20;g-wx,o-rwx&#x20;&quot;{}&quot;&#x20;+','[{\"cis\": [\"4.2.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4643,'Ensure&#x20;cron&#x20;daemon&#x20;is&#x20;enabled','The&#x20;cron&#x20;daemon&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;batch&#x20;jobs&#x20;on&#x20;the&#x20;system.','While&#x20;there&#x20;may&#x20;not&#x20;be&#x20;user&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;be&#x20;run&#x20;on&#x20;the&#x20;system,&#x20;the&#x20;system&#x20;does&#x20;have&#x20;maintenance&#x20;jobs&#x20;that&#x20;may&#x20;include&#x20;security&#x20;monitoring&#x20;that&#x20;have&#x20;to&#x20;run,&#x20;and&#x20;cron&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;them.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;cron&#x20;:&#x20;#&#x20;systemctl&#x20;enable&#x20;crond;&#x20;&#x20;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;cron:&#x20;#&#x20;yum&#x20;remove&#x20;cronie','[{\"cis\": [\"5.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4644,'Ensure&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;are&#x20;configured','The&#x20;/etc/crontab&#x20;file&#x20;is&#x20;used&#x20;by&#x20;cron&#x20;to&#x20;control&#x20;its&#x20;own&#x20;jobs.&#x20;The&#x20;commands&#x20;in&#x20;this&#x20;item&#x20;make&#x20;sure&#x20;that&#x20;root&#x20;is&#x20;the&#x20;user&#x20;and&#x20;group&#x20;owner&#x20;of&#x20;the&#x20;file&#x20;and&#x20;that&#x20;only&#x20;the&#x20;owner&#x20;can&#x20;access&#x20;the&#x20;file.','This&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;what&#x20;system&#x20;jobs&#x20;are&#x20;run&#x20;by&#x20;cron.&#x20;Write&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;unprivileged&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;elevate&#x20;their&#x20;privileges.&#x20;Read&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;gain&#x20;insight&#x20;on&#x20;system&#x20;jobs&#x20;that&#x20;run&#x20;on&#x20;the&#x20;system&#x20;and&#x20;could&#x20;provide&#x20;them&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;unauthorized&#x20;privileged&#x20;access.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/crontab;&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/crontab;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;cron:&#x20;#&#x20;yum&#x20;remove&#x20;cronie','[{\"cis\": [\"5.1.2\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4645,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;are&#x20;configured','This&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;an&#x20;hourly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.hourly;&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.hourly;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;cron:&#x20;#&#x20;yum&#x20;remove&#x20;cronie','[{\"cis\": [\"5.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4646,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;are&#x20;configured','The&#x20;/etc/cron.daily&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;daily&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.daily;&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.daily;&#x20;&#x20;&#x20;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;cron:&#x20;#&#x20;yum&#x20;remove&#x20;cronie','[{\"cis\": [\"5.1.4\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4647,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;are&#x20;configured','The&#x20;/etc/cron.weekly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;weekly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.weekly;&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.weekly;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;cron:&#x20;#&#x20;yum&#x20;remove&#x20;cronie','[{\"cis\": [\"5.1.5\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4648,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;are&#x20;configured','The&#x20;/etc/cron.monthly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;monthly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.monthly;&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.monthly;&#x20;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;cron:&#x20;#&#x20;yum&#x20;remove&#x20;cronie','[{\"cis\": [\"5.1.6\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4649,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;are&#x20;configured','The&#x20;/etc/cron.d/directory&#x20;contains&#x20;system&#x20;cronjobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;in&#x20;a&#x20;similar&#x20;manner&#x20;to&#x20;the&#x20;hourly,&#x20;daily&#x20;weekly&#x20;and&#x20;monthly&#x20;jobs&#x20;from&#x20;/etc/crontab,&#x20;but&#x20;require&#x20;more&#x20;granular&#x20;control&#x20;as&#x20;to&#x20;when&#x20;they&#x20;run.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;:&#x20;&#x20;&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.d;&#x20;&#x20;&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.d;&#x20;&#x20;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;cron:&#x20;#&#x20;yum&#x20;remove&#x20;cronie','[{\"cis\": [\"5.1.7\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4650,'Ensure&#x20;cron&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users','If&#x20;cronis&#x20;installed&#x20;in&#x20;the&#x20;system,&#x20;configure&#x20;/etc/cron.allowto&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/cron.allowdoes&#x20;not&#x20;exist,&#x20;then&#x20;/etc/cron.denyis&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;file,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.alloware&#x20;allowed&#x20;to&#x20;use&#x20;cron.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cronjobs.&#x20;Using&#x20;the&#x20;cron.allowfile&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cronjobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny&#x20;and&#x20;/etc/at.deny&#x20;and&#x20;create&#x20;and&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow:&#x20;rm&#x20;/etc/cron.deny;rm&#x20;/etc/at.deny;touch&#x20;/etc/cron.allow;&#x20;touch&#x20;/etc/at.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/at.allow;&#x20;chown&#x20;root:root&#x20;/etc/cron.allow&#x20;and&#x20;chown&#x20;root:root&#x20;/etc/at.allow','[{\"cis\": [\"5.1.8\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4651,'Ensure&#x20;at&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users','If&#x20;atis&#x20;installed&#x20;in&#x20;the&#x20;system,&#x20;configure&#x20;/etc/at.allowto&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/at.allowdoes&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.denyis&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at.&#x20;By&#x20;removing&#x20;the&#x20;file,&#x20;only&#x20;users&#x20;in&#x20;/etc/at.alloware&#x20;allowed&#x20;to&#x20;use&#x20;at.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;atjobs.&#x20;Using&#x20;the&#x20;at.allowfile&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;atjobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny&#x20;and&#x20;/etc/at.deny&#x20;and&#x20;create&#x20;and&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow:&#x20;rm&#x20;/etc/cron.deny;rm&#x20;/etc/at.deny;touch&#x20;/etc/cron.allow;&#x20;touch&#x20;/etc/at.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/at.allow;&#x20;chown&#x20;root:root&#x20;/etc/cron.allow&#x20;and&#x20;chown&#x20;root:root&#x20;/etc/at.allow','[{\"cis\": [\"5.1.9\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4652,'Ensure&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config&#x20;are&#x20;configured','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;contains&#x20;configuration&#x20;specifications&#x20;for&#x20;sshd.&#x20;The&#x20;command&#x20;below&#x20;sets&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;file&#x20;to&#x20;root.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config:&#x20;chown&#x20;root:root&#x20;/etc/ssh/sshd_config&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/ssh/sshd_config','[{\"cis\": [\"5.2.1\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4653,'Ensure&#x20;permissions&#x20;on&#x20;SSH&#x20;private&#x20;host&#x20;key&#x20;files&#x20;are&#x20;configured','An&#x20;SSH&#x20;private&#x20;key&#x20;is&#x20;one&#x20;of&#x20;two&#x20;files&#x20;used&#x20;in&#x20;SSH&#x20;public&#x20;key&#x20;authentication.&#x20;In&#x20;this&#x20;authentication&#x20;method,&#x20;The&#x20;possession&#x20;of&#x20;the&#x20;private&#x20;key&#x20;is&#x20;proof&#x20;of&#x20;identity.&#x20;Only&#x20;a&#x20;private&#x20;key&#x20;that&#x20;corresponds&#x20;to&#x20;a&#x20;public&#x20;key&#x20;will&#x20;be&#x20;able&#x20;to&#x20;authenticate&#x20;successfully.&#x20;The&#x20;private&#x20;keys&#x20;need&#x20;to&#x20;be&#x20;stored&#x20;and&#x20;handled&#x20;carefully,&#x20;and&#x20;no&#x20;copies&#x20;of&#x20;the&#x20;private&#x20;key&#x20;should&#x20;be&#x20;distributed.','If&#x20;an&#x20;unauthorized&#x20;user&#x20;obtains&#x20;the&#x20;private&#x20;SSH&#x20;host&#x20;key&#x20;file,&#x20;the&#x20;host&#x20;could&#x20;be&#x20;impersonated','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions,&#x20;ownership,&#x20;and&#x20;group&#x20;on&#x20;the&#x20;private&#x20;SSH&#x20;host&#x20;key&#x20;files:&#x20;#&#x20;find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key&#039;&#x20;-exec&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;{}&#x20;;&#x20;&#x20;#&#x20;find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key&#039;&#x20;-exec&#x20;chown&#x20;root:ssh_keys&#x20;{}&#x20;;','[{\"cis\": [\"5.2.2\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4654,'Ensure&#x20;permissions&#x20;on&#x20;SSH&#x20;private&#x20;host&#x20;key&#x20;files&#x20;are&#x20;configured','An&#x20;SSH&#x20;public&#x20;key&#x20;is&#x20;one&#x20;of&#x20;two&#x20;files&#x20;used&#x20;in&#x20;SSH&#x20;public&#x20;key&#x20;authentication.&#x20;In&#x20;this&#x20;authentication&#x20;method,&#x20;a&#x20;public&#x20;key&#x20;is&#x20;a&#x20;key&#x20;that&#x20;can&#x20;be&#x20;used&#x20;for&#x20;verifying&#x20;digital&#x20;signatures&#x20;generated&#x20;using&#x20;a&#x20;corresponding&#x20;private&#x20;key.&#x20;Only&#x20;a&#x20;public&#x20;key&#x20;that&#x20;corresponds&#x20;to&#x20;a&#x20;private&#x20;key&#x20;will&#x20;be&#x20;able&#x20;to&#x20;authenticate&#x20;successfully.','If&#x20;a&#x20;public&#x20;host&#x20;key&#x20;file&#x20;is&#x20;modified&#x20;by&#x20;an&#x20;unauthorized&#x20;user,&#x20;the&#x20;SSH&#x20;service&#x20;may&#x20;be&#x20;compromised.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;on&#x20;the&#x20;SSH&#x20;host&#x20;public&#x20;key:&#x20;#&#x20;find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key.pub&#039;&#x20;-exec&#x20;chmod&#x20;u-x,go-wx&#x20;{}&#x20;;&#x20;&#x20;&#x20;&#x20;#find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key.pub&#039;&#x20;-exec&#x20;chown&#x20;root:root&#x20;{}&#x20;;','[{\"cis\": [\"5.2.3\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4655,'Ensure&#x20;SSH&#x20;access&#x20;is&#x20;limited','There&#x20;are&#x20;several&#x20;options&#x20;available&#x20;to&#x20;limit&#x20;which&#x20;users&#x20;and&#x20;group&#x20;can&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;at&#x20;least&#x20;one&#x20;of&#x20;the&#x20;following&#x20;options&#x20;be&#x20;leveraged:&#x20;AllowUsers&#x20;The&#x20;AllowUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;only&#x20;allowing&#x20;the&#x20;allowed&#x20;users&#x20;to&#x20;log&#x20;in&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;AllowGroups&#x20;The&#x20;AllowGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;DenyUsers&#x20;The&#x20;DenyUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;specifically&#x20;denying&#x20;a&#x20;user&#039;s&#x20;access&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;DenyGroups&#x20;The&#x20;DenyGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.','Restricting&#x20;which&#x20;users&#x20;can&#x20;remotely&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH&#x20;will&#x20;help&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;users&#x20;access&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;one&#x20;or&#x20;more&#x20;of&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;#&#x20;AllowUsers&#x20;&lt;userlist&gt;;&#x20;#&#x20;AllowGroups&#x20;&lt;grouplist&gt;;&#x20;#&#x20;DenyUsers&#x20;&lt;userlist&gt;;&#x20;#&#x20;DenyGroups&#x20;&lt;grouplist&gt;','[{\"cis\": [\"5.2.4\"]}, {\"cis_csc\": [\"4.3\"]}, {\"pci_dss\": [\"8.1\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4656,'Ensure&#x20;SSH&#x20;LogLevel&#x20;is&#x20;appropriate','INFO&#x20;level&#x20;is&#x20;the&#x20;basic&#x20;level&#x20;that&#x20;only&#x20;records&#x20;login&#x20;activity&#x20;of&#x20;SSH&#x20;users.&#x20;In&#x20;many&#x20;situations,&#x20;such&#x20;as&#x20;Incident&#x20;Response,&#x20;it&#x20;is&#x20;important&#x20;to&#x20;determine&#x20;when&#x20;a&#x20;particular&#x20;user&#x20;was&#x20;active&#x20;on&#x20;a&#x20;system.&#x20;The&#x20;logout&#x20;record&#x20;can&#x20;eliminate&#x20;those&#x20;users&#x20;who&#x20;disconnected,&#x20;which&#x20;helps&#x20;narrow&#x20;the&#x20;field.VERBOSE&#x20;level&#x20;specifies&#x20;that&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;as&#x20;well&#x20;as&#x20;the&#x20;key&#x20;fingerprint&#x20;for&#x20;any&#x20;SSH&#x20;key&#x20;used&#x20;for&#x20;login&#x20;will&#x20;be&#x20;logged.&#x20;This&#x20;information&#x20;is&#x20;important&#x20;for&#x20;SSH&#x20;key&#x20;management,&#x20;especially&#x20;in&#x20;legacy&#x20;environments.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;INFO','[{\"cis\": [\"5.2.3\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(4657,'Ensure&#x20;SSH&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled','The&#x20;X11Forwarding&#x20;parameter&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;tunnel&#x20;X11&#x20;traffic&#x20;through&#x20;the&#x20;connection&#x20;to&#x20;enable&#x20;remote&#x20;graphic&#x20;connections.','Disable&#x20;X11&#x20;forwarding&#x20;unless&#x20;there&#x20;is&#x20;an&#x20;operational&#x20;requirement&#x20;to&#x20;use&#x20;X11&#x20;applications&#x20;directly.&#x20;There&#x20;is&#x20;a&#x20;small&#x20;risk&#x20;that&#x20;the&#x20;remote&#x20;X11&#x20;servers&#x20;of&#x20;users&#x20;who&#x20;are&#x20;logged&#x20;in&#x20;via&#x20;SSH&#x20;with&#x20;X11&#x20;forwarding&#x20;could&#x20;be&#x20;compromised&#x20;by&#x20;other&#x20;users&#x20;on&#x20;the&#x20;X11&#x20;server.&#x20;Note&#x20;that&#x20;even&#x20;if&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled,&#x20;users&#x20;can&#x20;always&#x20;install&#x20;their&#x20;own&#x20;forwarders.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;X11Forwarding&#x20;no','[{\"cis\": [\"5.2.6\"]}, {\"pci_dss\": [\"9.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4658,'Ensure&#x20;SSH&#x20;MaxAuthTries&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc\": [\"16.13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4659,'Ensure&#x20;SSH&#x20;IgnoreRhosts&#x20;is&#x20;enabled','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthentication&#x20;or&#x20;HostbasedAuthentication.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;ssh.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;IgnoreRhosts&#x20;yes','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(4660,'Ensure&#x20;SSH&#x20;HostbasedAuthentication&#x20;is&#x20;disabled','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts,&#x20;or&#x20;/etc/hosts.equiv,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.&#x20;This&#x20;option&#x20;only&#x20;applies&#x20;to&#x20;SSH&#x20;Protocol&#x20;Version&#x20;2.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no','[{\"cis\": [\"5.2.9\"]}, {\"cis_csc\": [\"16.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(4661,'Ensure&#x20;SSH&#x20;root&#x20;login&#x20;is&#x20;disabled','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;ssh.&#x20;The&#x20;default&#x20;is&#x20;no.','Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;system&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root&#x20;via&#x20;sudo&#x20;or&#x20;su&#x20;.&#x20;This&#x20;in&#x20;turn&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no','[{\"cis\": [\"5.2.10\"]}, {\"cis_csc\": [\"4.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(4662,'Ensure&#x20;SSH&#x20;PermitEmptyPasswords&#x20;is&#x20;disabled','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;SSH&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no','[{\"cis\": [\"5.2.11\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(4663,'Ensure&#x20;SSH&#x20;PermitUserEnvironment&#x20;is&#x20;disabled','The&#x20;PermitUserEnvironment&#x20;option&#x20;allows&#x20;users&#x20;to&#x20;present&#x20;environment&#x20;options&#x20;to&#x20;the&#x20;ssh&#x20;daemon.','Permitting&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;environment&#x20;variables&#x20;through&#x20;the&#x20;SSH&#x20;daemon&#x20;could&#x20;potentially&#x20;allow&#x20;users&#x20;to&#x20;bypass&#x20;security&#x20;controls&#x20;&#40;e.g.&#x20;setting&#x20;an&#x20;execution&#x20;path&#x20;that&#x20;has&#x20;ssh&#x20;executing&#x20;trojan&#039;d&#x20;programs&#41;','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitUserEnvironment&#x20;no','[{\"cis\": [\"5.2.12\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(4664,'Ensure&#x20;SSH&#x20;Idle&#x20;Timeout&#x20;Interval&#x20;is&#x20;configured','This&#x20;variable&#x20;limits&#x20;the&#x20;ciphers&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.','Weak&#x20;ciphers&#x20;that&#x20;are&#x20;used&#x20;for&#x20;authentication&#x20;to&#x20;the&#x20;cryptographic&#x20;module&#x20;cannot&#x20;be&#x20;relied&#x20;upon&#x20;to&#x20;provide&#x20;confidentiality&#x20;or&#x20;integrity,&#x20;and&#x20;system&#x20;data&#x20;may&#x20;be&#x20;compromised.:&#x20;The&#x20;DES,&#x20;Triple&#x20;DES,&#x20;and&#x20;Blowfish&#x20;ciphers,&#x20;as&#x20;used&#x20;in&#x20;SSH,&#x20;have&#x20;a&#x20;birthday&#x20;bound&#x20;of&#x20;approximately&#x20;four&#x20;billion&#x20;blocks,&#x20;which&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;obtain&#x20;cleartext&#x20;data&#x20;via&#x20;a&#x20;birthday&#x20;attack&#x20;against&#x20;a&#x20;long-duration&#x20;encrypted&#x20;session,&#x20;aka&#x20;a&#x20;&#039;Sweet32&#039;&#x20;attack;&#x20;The&#x20;RC4&#x20;algorithm,&#x20;as&#x20;used&#x20;in&#x20;the&#x20;TLS&#x20;protocol&#x20;and&#x20;SSL&#x20;protocol,&#x20;does&#x20;not&#x20;properly&#x20;combine&#x20;state&#x20;data&#x20;with&#x20;key&#x20;data&#x20;during&#x20;the&#x20;initialization&#x20;phase,&#x20;which&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;conduct&#x20;plaintext-recovery&#x20;attacks&#x20;against&#x20;the&#x20;initial&#x20;bytes&#x20;of&#x20;a&#x20;stream&#x20;by&#x20;sniffing&#x20;network&#x20;traffic&#x20;that&#x20;occasionally&#x20;relies&#x20;on&#x20;keys&#x20;affected&#x20;by&#x20;the&#x20;Invariance&#x20;Weakness,&#x20;and&#x20;then&#x20;using&#x20;a&#x20;brute-force&#x20;approach&#x20;involvingLSB&#x20;values,&#x20;aka&#x20;the&#x20;&#039;Bar&#x20;Mitzvah&#039;&#x20;issue;&#x20;The&#x20;passwords&#x20;used&#x20;during&#x20;an&#x20;SSH&#x20;session&#x20;encrypted&#x20;with&#x20;RC4&#x20;can&#x20;be&#x20;recovered&#x20;by&#x20;an&#x20;attacker&#x20;who&#x20;is&#x20;able&#x20;to&#x20;capture&#x20;and&#x20;replay&#x20;the&#x20;session;&#x20;Error&#x20;handling&#x20;in&#x20;the&#x20;SSH&#x20;protocol;&#x20;Client&#x20;and&#x20;Server,&#x20;when&#x20;using&#x20;a&#x20;block&#x20;cipher&#x20;algorithm&#x20;in&#x20;Cipher&#x20;Block&#x20;Chaining&#x20;&#40;CBC&#41;&#x20;mode,&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;recover&#x20;certain&#x20;plaintext&#x20;data&#x20;from&#x20;an&#x20;arbitrary&#x20;block&#x20;of&#x20;ciphertext&#x20;in&#x20;an&#x20;SSH&#x20;session&#x20;via&#x20;unknown&#x20;vectors;&#x20;The&#x20;mm_newkeys_from_blob&#x20;function&#x20;in&#x20;monitor_wrap.c,&#x20;when&#x20;an&#x20;AES-GCM&#x20;cipher&#x20;is&#x20;used,&#x20;does&#x20;not&#x20;properly&#x20;initialize&#x20;memory&#x20;for&#x20;a&#x20;MAC&#x20;context&#x20;data&#x20;structure,&#x20;which&#x20;allows&#x20;remote&#x20;authenticated&#x20;users&#x20;to&#x20;bypass&#x20;intended&#x20;ForceCommand&#x20;and&#x20;login-shell&#x20;restrictions&#x20;via&#x20;packet&#x20;data&#x20;that&#x20;provides&#x20;a&#x20;crafted&#x20;callback&#x20;address','','Edit&#x20;the&#x20;/etc/ssh/sshd_configfile&#x20;add/modify&#x20;the&#x20;Ciphersline&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;ciphersExample:Ciphers&#x20;chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr','[{\"cis\": [\"5.2.13\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(4665,'Ensure&#x20;only&#x20;strong&#x20;MAC&#x20;algorithms&#x20;are&#x20;used','This&#x20;variable&#x20;limits&#x20;the&#x20;types&#x20;of&#x20;MAC&#x20;algorithms&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.','MD5&#x20;and&#x20;96-bit&#x20;MAC&#x20;algorithms&#x20;are&#x20;considered&#x20;weak&#x20;and&#x20;have&#x20;been&#x20;shown&#x20;to&#x20;increase&#x20;exploitability&#x20;in&#x20;SSH&#x20;downgrade&#x20;attacks.&#x20;Weak&#x20;algorithms&#x20;continue&#x20;to&#x20;have&#x20;a&#x20;great&#x20;deal&#x20;of&#x20;attention&#x20;as&#x20;a&#x20;weak&#x20;spot&#x20;that&#x20;can&#x20;be&#x20;exploited&#x20;with&#x20;expanded&#x20;computing&#x20;power.&#x20;An&#x20;attacker&#x20;that&#x20;breaks&#x20;the&#x20;algorithm&#x20;could&#x20;take&#x20;advantage&#x20;of&#x20;a&#x20;MiTM&#x20;position&#x20;to&#x20;decrypt&#x20;the&#x20;SSH&#x20;tunnel&#x20;and&#x20;capture&#x20;credentials&#x20;and&#x20;information','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;and&#x20;add/modify&#x20;the&#x20;MACs&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;MACs&#x20;Example:MACs&#x20;hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256','[{\"cis\": [\"5.2.14\"]}, {\"cis_csc\": [\"14.4\", \"16.5\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(4666,'Ensure&#x20;only&#x20;strong&#x20;Key&#x20;Exchange&#x20;algorithms&#x20;are&#x20;used','Key&#x20;exchange&#x20;is&#x20;any&#x20;method&#x20;in&#x20;cryptography&#x20;by&#x20;which&#x20;cryptographic&#x20;keys&#x20;are&#x20;exchanged&#x20;between&#x20;two&#x20;parties,&#x20;allowing&#x20;use&#x20;of&#x20;a&#x20;cryptographic&#x20;algorithm.&#x20;If&#x20;the&#x20;sender&#x20;and&#x20;receiver&#x20;wish&#x20;to&#x20;exchange&#x20;encrypted&#x20;messages,&#x20;each&#x20;must&#x20;be&#x20;equipped&#x20;to&#x20;encrypt&#x20;messages&#x20;to&#x20;be&#x20;sent&#x20;and&#x20;decrypt&#x20;messages&#x20;received','Key&#x20;exchange&#x20;methods&#x20;that&#x20;are&#x20;considered&#x20;weak&#x20;should&#x20;be&#x20;removed.&#x20;A&#x20;key&#x20;exchange&#x20;method&#x20;may&#x20;be&#x20;weak&#x20;because&#x20;too&#x20;few&#x20;bits&#x20;are&#x20;used,&#x20;or&#x20;the&#x20;hashing&#x20;algorithm&#x20;is&#x20;considered&#x20;too&#x20;weak.&#x20;Using&#x20;weak&#x20;algorithms&#x20;could&#x20;expose&#x20;connections&#x20;to&#x20;man-in-the-middle&#x20;attacks','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;add/modify&#x20;the&#x20;KexAlgorithms&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;key&#x20;exchange&#x20;algorithms.Example:&#039;KexAlgorithms&#x20;curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256&#039;','[{\"cis\": [\"5.2.15\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(4667,'Ensure&#x20;SSH&#x20;Idle&#x20;Timeout&#x20;Interval&#x20;is&#x20;configured','The&#x20;two&#x20;options&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax&#x20;control&#x20;the&#x20;timeout&#x20;of&#x20;ssh&#x20;sessions.&#x20;When&#x20;the&#x20;ClientAliveInterval&#x20;variable&#x20;is&#x20;set,&#x20;ssh&#x20;sessions&#x20;that&#x20;have&#x20;no&#x20;activity&#x20;for&#x20;the&#x20;specified&#x20;length&#x20;of&#x20;time&#x20;are&#x20;terminated.&#x20;When&#x20;the&#x20;ClientAliveCountMax&#x20;variable&#x20;is&#x20;set,&#x20;sshd&#x20;will&#x20;send&#x20;client&#x20;alive&#x20;messages&#x20;at&#x20;every&#x20;ClientAliveInterval&#x20;interval.&#x20;When&#x20;the&#x20;number&#x20;of&#x20;consecutive&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;sent&#x20;with&#x20;no&#x20;response&#x20;from&#x20;the&#x20;client,&#x20;the&#x20;ssh&#x20;session&#x20;is&#x20;terminated.&#x20;For&#x20;example,&#x20;if&#x20;the&#x20;ClientAliveInterval&#x20;is&#x20;set&#x20;to&#x20;15&#x20;seconds&#x20;and&#x20;the&#x20;ClientAliveCountMax&#x20;is&#x20;set&#x20;to&#x20;3,&#x20;the&#x20;client&#x20;ssh&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;45&#x20;seconds&#x20;of&#x20;idle&#x20;time.','Having&#x20;no&#x20;timeout&#x20;value&#x20;associated&#x20;with&#x20;a&#x20;connection&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;ssh&#x20;session&#x20;&#40;e.g.&#x20;user&#x20;walks&#x20;away&#x20;from&#x20;their&#x20;computer&#x20;and&#x20;doesn&#039;t&#x20;lock&#x20;the&#x20;screen&#41;.&#x20;Setting&#x20;a&#x20;timeout&#x20;value&#x20;at&#x20;least&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;this&#x20;happening.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;300&#x20;seconds&#x20;&#40;5&#x20;minutes&#41;,&#x20;set&#x20;this&#x20;timeout&#x20;value&#x20;based&#x20;on&#x20;site&#x20;policy.&#x20;The&#x20;recommended&#x20;setting&#x20;for&#x20;ClientAliveCountMax&#x20;is&#x20;0.&#x20;In&#x20;this&#x20;case,&#x20;the&#x20;client&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;5&#x20;minutes&#x20;of&#x20;idle&#x20;time&#x20;and&#x20;no&#x20;keepalive&#x20;messages&#x20;will&#x20;be&#x20;sent.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameters&#x20;according&#x20;to&#x20;site&#x20;policy:&#x20;ClientAliveInterval&#x20;300&#x20;and&#x20;ClientAliveCountMax&#x20;0','[{\"cis\": [\"5.2.16\"]}, {\"cis_csc\": [\"16.11\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(4668,'Ensure&#x20;SSH&#x20;LoginGraceTime&#x20;is&#x20;set&#x20;to&#x20;one&#x20;minute&#x20;or&#x20;less','The&#x20;LoginGraceTime&#x20;parameter&#x20;specifies&#x20;the&#x20;time&#x20;allowed&#x20;for&#x20;successful&#x20;authentication&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;The&#x20;longer&#x20;the&#x20;Grace&#x20;period&#x20;is&#x20;the&#x20;more&#x20;open&#x20;unauthenticated&#x20;connections&#x20;can&#x20;exist.&#x20;Like&#x20;other&#x20;session&#x20;controls&#x20;in&#x20;this&#x20;session&#x20;the&#x20;Grace&#x20;Period&#x20;should&#x20;be&#x20;limited&#x20;to&#x20;appropriate&#x20;organizational&#x20;limits&#x20;to&#x20;ensure&#x20;the&#x20;service&#x20;is&#x20;available&#x20;for&#x20;needed&#x20;access.','Setting&#x20;the&#x20;LoginGraceTime&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;It&#x20;will&#x20;also&#x20;limit&#x20;the&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;60&#x20;seconds&#x20;&#40;1&#x20;Minute&#41;,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LoginGraceTime&#x20;60','[{\"cis\": [\"5.2.17\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"4.1\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4669,'Ensure&#x20;SSH&#x20;warning&#x20;banner&#x20;is&#x20;configured','The&#x20;Banner&#x20;parameter&#x20;specifies&#x20;a&#x20;file&#x20;whose&#x20;contents&#x20;must&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;remote&#x20;user&#x20;before&#x20;authentication&#x20;is&#x20;permitted.&#x20;By&#x20;default,&#x20;no&#x20;banner&#x20;is&#x20;displayed.','Banners&#x20;are&#x20;used&#x20;to&#x20;warn&#x20;connecting&#x20;users&#x20;of&#x20;the&#x20;particular&#x20;site&#039;s&#x20;policy&#x20;regarding&#x20;connection.&#x20;Presenting&#x20;a&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;login&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Banner&#x20;/etc/issue.net','[{\"cis\": [\"5.2.18\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4670,'Ensure&#x20;SSH&#x20;PAM&#x20;is&#x20;enabled','UsePAM&#x20;Enables&#x20;the&#x20;Pluggable&#x20;Authentication&#x20;Module&#x20;interface.&#x20;If&#x20;set&#x20;to&#x20;&ldquo;yes&rdquo;&#x20;this&#x20;will&#x20;enable&#x20;PAM&#x20;authentication&#x20;using&#x20;ChallengeResponseAuthenticationand&#x20;PasswordAuthentication&#x20;in&#x20;addition&#x20;to&#x20;PAM&#x20;account&#x20;and&#x20;session&#x20;module&#x20;processing&#x20;for&#x20;all&#x20;authentication&#x20;types','When&#x20;usePAM&#x20;is&#x20;set&#x20;to&#x20;yes,&#x20;PAM&#x20;runs&#x20;through&#x20;account&#x20;and&#x20;session&#x20;types&#x20;properly.&#x20;This&#x20;is&#x20;important&#x20;if&#x20;you&#x20;want&#x20;to&#x20;restrict&#x20;access&#x20;to&#x20;services&#x20;based&#x20;off&#x20;of&#x20;IP,&#x20;time&#x20;or&#x20;other&#x20;factors&#x20;of&#x20;the&#x20;account.&#x20;Additionally,&#x20;you&#x20;can&#x20;make&#x20;sure&#x20;users&#x20;inherit&#x20;certain&#x20;environment&#x20;variables&#x20;on&#x20;login&#x20;or&#x20;disallow&#x20;access&#x20;to&#x20;the&#x20;server','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;UsePAM&#x20;yes','[{\"cis\": [\"5.2.19\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4671,'Ensure&#x20;SSH&#x20;AllowTcpForwarding&#x20;is&#x20;disabled','SSH&#x20;port&#x20;forwarding&#x20;is&#x20;a&#x20;mechanism&#x20;in&#x20;SSH&#x20;for&#x20;tunneling&#x20;application&#x20;ports&#x20;from&#x20;the&#x20;client&#x20;to&#x20;the&#x20;server,&#x20;or&#x20;servers&#x20;to&#x20;clients.&#x20;It&#x20;can&#x20;be&#x20;used&#x20;for&#x20;adding&#x20;encryption&#x20;to&#x20;legacy&#x20;applications,&#x20;going&#x20;through&#x20;firewalls,&#x20;and&#x20;some&#x20;system&#x20;administrators&#x20;and&#x20;IT&#x20;professionals&#x20;use&#x20;it&#x20;for&#x20;opening&#x20;backdoors&#x20;into&#x20;the&#x20;internal&#x20;network&#x20;from&#x20;their&#x20;home&#x20;machines','Leaving&#x20;port&#x20;forwarding&#x20;enabled&#x20;can&#x20;expose&#x20;the&#x20;organization&#x20;to&#x20;security&#x20;risks&#x20;and&#x20;back-doors.SSH&#x20;connections&#x20;are&#x20;protected&#x20;with&#x20;strong&#x20;encryption.&#x20;This&#x20;makes&#x20;their&#x20;contents&#x20;invisible&#x20;to&#x20;most&#x20;deployed&#x20;network&#x20;monitoring&#x20;and&#x20;traffic&#x20;filtering&#x20;solutions.&#x20;This&#x20;invisibility&#x20;carries&#x20;considerable&#x20;risk&#x20;potential&#x20;if&#x20;it&#x20;is&#x20;used&#x20;for&#x20;malicious&#x20;purposes&#x20;such&#x20;as&#x20;data&#x20;exfiltration.&#x20;Cybercriminals&#x20;or&#x20;malware&#x20;could&#x20;exploit&#x20;SSH&#x20;to&#x20;hide&#x20;their&#x20;unauthorized&#x20;communications,&#x20;or&#x20;to&#x20;exfiltrate&#x20;stolen&#x20;data&#x20;from&#x20;the&#x20;target&#x20;network','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowTcpForwarding&#x20;no','[{\"cis\": [\"5.2.20\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4672,'Ensure&#x20;SSH&#x20;MaxStartups&#x20;is&#x20;configured','The&#x20;MaxStartupsparameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;to&#x20;the&#x20;SSH&#x20;daemon','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;pending&#x20;authentication&#x20;connection&#x20;attempts,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxStartups&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;maxstartups&#x20;10:30:60','[{\"cis\": [\"5.2.21\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4673,'Ensure&#x20;SSH&#x20;MaxSessions&#x20;is&#x20;limited','The&#x20;MaxSessionsparameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;open&#x20;sessions&#x20;permitted&#x20;from&#x20;a&#x20;given&#x20;connection.','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;pending&#x20;authentication&#x20;connection&#x20;attempts,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxStartups&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxSessions&#x20;10','[{\"cis\": [\"5.2.22\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4674,'Ensure&#x20;password&#x20;creation&#x20;requirements&#x20;are&#x20;configured','The&#x20;pam_pwquality.so&#x20;module&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;password&#x20;length&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minlen&#x20;=&#x20;14&#x20;&#x20;&#x20;&#x20;&#x20;Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;password&#x20;complexity&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minclass&#x20;=&#x20;4&#x20;&#x20;&#x20;&#x20;OR&#x20;dcredit&#x20;=&#x20;-1&#x20;ucredit&#x20;=&#x20;-1&#x20;ocredit&#x20;=&#x20;-1&#x20;lcredit&#x20;=&#x20;-1&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Edit&#x20;the&#x20;/etc/pam.d/password-auth&#x20;and&#x20;/etc/pam.d/system-auth&#x20;files&#x20;to&#x20;include&#x20;the&#x20;appropriate&#x20;options&#x20;for&#x20;pam_pwquality.so&#x20;and&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:password&#x20;requisite&#x20;pam_pwquality.so&#x20;try_first_pass&#x20;retry=3','[{\"cis\": [\"5.3.1\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2.3\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4675,'Ensure&#x20;password&#x20;hashing&#x20;algorithm&#x20;is&#x20;SHA-512','The&#x20;commands&#x20;below&#x20;change&#x20;password&#x20;encryption&#x20;from&#x20;md5&#x20;to&#x20;sha512&#x20;&#40;a&#x20;much&#x20;stronger&#x20;hashing&#x20;algorithm&#41;.&#x20;All&#x20;existing&#x20;accounts&#x20;will&#x20;need&#x20;to&#x20;perform&#x20;a&#x20;password&#x20;change&#x20;to&#x20;upgrade&#x20;the&#x20;stored&#x20;hashes&#x20;to&#x20;the&#x20;new&#x20;algorithm.','The&#x20;SHA-512&#x20;algorithm&#x20;provides&#x20;much&#x20;stronger&#x20;hashing&#x20;than&#x20;MD5,&#x20;thus&#x20;providing&#x20;additional&#x20;protection&#x20;to&#x20;the&#x20;system&#x20;by&#x20;increasing&#x20;the&#x20;level&#x20;of&#x20;effort&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;successfully&#x20;determine&#x20;passwords.&#x20;Note&#x20;that&#x20;these&#x20;changes&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/pam.d/password-auth&#x20;and&#x20;/etc/pam.d/system-auth&#x20;files&#x20;to&#x20;include&#x20;the&#x20;sha512&#x20;option&#x20;for&#x20;pam_unix.so&#x20;as&#x20;shown:&#x20;password&#x20;sufficient&#x20;pam_unix.so&#x20;sha512','[{\"cis\": [\"5.3.3\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"3.6.1\", \"8.2.1\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\"]}]'),(4676,'Ensure&#x20;password&#x20;reuse&#x20;is&#x20;limited','The&#x20;/etc/security/opasswd&#x20;file&#x20;stores&#x20;the&#x20;users&#039;&#x20;old&#x20;passwords&#x20;and&#x20;can&#x20;be&#x20;checked&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;are&#x20;not&#x20;recycling&#x20;recent&#x20;passwords.','Forcing&#x20;users&#x20;not&#x20;to&#x20;reuse&#x20;their&#x20;past&#x20;5&#x20;passwords&#x20;make&#x20;it&#x20;less&#x20;likely&#x20;that&#x20;an&#x20;attacker&#x20;will&#x20;be&#x20;able&#x20;to&#x20;guess&#x20;the&#x20;password.&#x20;Note&#x20;that&#x20;these&#x20;changes&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/pam.d/password-auth&#x20;and&#x20;/etc/pam.d/system-auth&#x20;files&#x20;to&#x20;include&#x20;the&#x20;remember&#x20;option&#x20;and&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;as&#x20;shown:&#x20;password&#x20;sufficient&#x20;pam_unix.so&#x20;remember=5&#x20;&#x20;&#x20;or&#x20;&#x20;&#x20;&#x20;password&#x20;required&#x20;pam_pwhistory.so&#x20;remember=5','[{\"cis\": [\"5.3.3\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2.5\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4677,'Ensure&#x20;password&#x20;expiration&#x20;is&#x20;365&#x20;days&#x20;or&#x20;less','The&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;force&#x20;passwords&#x20;to&#x20;expire&#x20;once&#x20;they&#x20;reach&#x20;a&#x20;defined&#x20;age.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;less&#x20;than&#x20;or&#x20;equal&#x20;to&#x20;365&#x20;days.','The&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;leverage&#x20;compromised&#x20;credentials&#x20;or&#x20;successfully&#x20;compromise&#x20;credentials&#x20;via&#x20;an&#x20;online&#x20;brute&#x20;force&#x20;attack&#x20;is&#x20;limited&#x20;by&#x20;the&#x20;age&#x20;of&#x20;the&#x20;password.&#x20;Therefore,&#x20;reducing&#x20;the&#x20;maximum&#x20;age&#x20;of&#x20;a&#x20;password&#x20;also&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;window&#x20;of&#x20;opportunity.','','Set&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;in&#x20;/etc/login.defs&#x20;:&#x20;PASS_MAX_DAYS&#x20;90&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--maxdays&#x20;90&#x20;&lt;user&gt;','[{\"cis\": [\"5.4.1.1\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2.4\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4678,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;configured','The&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;changing&#x20;their&#x20;password&#x20;until&#x20;a&#x20;minimum&#x20;number&#x20;of&#x20;days&#x20;have&#x20;passed&#x20;since&#x20;the&#x20;last&#x20;time&#x20;the&#x20;user&#x20;changed&#x20;their&#x20;password.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;1&#x20;or&#x20;more&#x20;days.','By&#x20;restricting&#x20;the&#x20;frequency&#x20;of&#x20;password&#x20;changes,&#x20;an&#x20;administrator&#x20;can&#x20;prevent&#x20;users&#x20;from&#x20;repeatedly&#x20;changing&#x20;their&#x20;password&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;circumvent&#x20;password&#x20;reuse&#x20;controls.','','Set&#x20;the&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;to&#x20;1&#x20;in&#x20;/etc/login.defs:&#x20;PASS_MIN_DAYS&#x20;1&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--mindays&#x20;1&#x20;&lt;user&gt;','[{\"cis\": [\"5.4.1.2\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4679,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;7&#x20;or&#x20;more','The&#x20;PASS_WARN_AGE&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;notify&#x20;users&#x20;that&#x20;their&#x20;password&#x20;will&#x20;expire&#x20;in&#x20;a&#x20;defined&#x20;number&#x20;of&#x20;days.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','Providing&#x20;an&#x20;advance&#x20;warning&#x20;that&#x20;a&#x20;password&#x20;will&#x20;be&#x20;expiring&#x20;gives&#x20;users&#x20;time&#x20;to&#x20;think&#x20;of&#x20;a&#x20;secure&#x20;password.&#x20;Users&#x20;caught&#x20;unaware&#x20;may&#x20;choose&#x20;a&#x20;simple&#x20;password&#x20;or&#x20;write&#x20;it&#x20;down&#x20;where&#x20;it&#x20;may&#x20;be&#x20;discovered.','','Set&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_WARN_AGE&#x20;7&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--warndays&#x20;7&#x20;&lt;user&gt;','[{\"cis\": [\"5.4.1.3\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4680,'Ensure&#x20;inactive&#x20;password&#x20;lock&#x20;is&#x20;30&#x20;days&#x20;or&#x20;less','User&#x20;accounts&#x20;that&#x20;have&#x20;been&#x20;inactive&#x20;for&#x20;over&#x20;a&#x20;given&#x20;period&#x20;of&#x20;time&#x20;can&#x20;be&#x20;automatically&#x20;disabled.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;accounts&#x20;that&#x20;are&#x20;inactive&#x20;for&#x20;30&#x20;days&#x20;after&#x20;password&#x20;expiration&#x20;be&#x20;disabled.','Inactive&#x20;accounts&#x20;pose&#x20;a&#x20;threat&#x20;to&#x20;system&#x20;security&#x20;since&#x20;the&#x20;users&#x20;are&#x20;not&#x20;logging&#x20;in&#x20;to&#x20;notice&#x20;failed&#x20;login&#x20;attempts&#x20;or&#x20;other&#x20;anomalies.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;default&#x20;password&#x20;inactivity&#x20;period&#x20;to&#x20;30&#x20;days:&#x20;useradd&#x20;-D&#x20;-f&#x20;30&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--inactive&#x20;30&#x20;&lt;user&gt;','[{\"cis\": [\"5.4.1.4\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4681,'Ensure&#x20;default&#x20;group&#x20;for&#x20;the&#x20;root&#x20;account&#x20;is&#x20;GID&#x20;0','The&#x20;usermod&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;specify&#x20;which&#x20;group&#x20;the&#x20;root&#x20;user&#x20;belongs&#x20;to.&#x20;This&#x20;affects&#x20;permissions&#x20;of&#x20;files&#x20;that&#x20;are&#x20;created&#x20;by&#x20;the&#x20;root&#x20;user.','Using&#x20;GID&#x20;0&#x20;for&#x20;the&#x20;root&#x20;account&#x20;helps&#x20;prevent&#x20;root&#x20;-owned&#x20;files&#x20;from&#x20;accidentally&#x20;becoming&#x20;accessible&#x20;to&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;root&#x20;user&#x20;default&#x20;group&#x20;to&#x20;GID&#x20;0:&#x20;usermod&#x20;-g&#x20;0&#x20;root','[{\"cis\": [\"5.4.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4682,'&#x20;Ensure&#x20;default&#x20;user&#x20;shell&#x20;timeout&#x20;is&#x20;configured','TMOUT&#x20;is&#x20;an&#x20;environmental&#x20;setting&#x20;that&#x20;determines&#x20;the&#x20;timeout&#x20;of&#x20;a&#x20;shell&#x20;in&#x20;seconds.','Setting&#x20;a&#x20;timeout&#x20;value&#x20;reduces&#x20;the&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;shell&#x20;session&#x20;that&#x20;has&#x20;been&#x20;left&#x20;unattended.&#x20;It&#x20;also&#x20;ends&#x20;the&#x20;inactive&#x20;session&#x20;and&#x20;releases&#x20;the&#x20;resources&#x20;associated&#x20;with&#x20;that&#x20;session.','','Edit&#x20;the&#x20;/etc/bashrc&#x20;and&#x20;/etc/profile&#x20;files&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;any&#x20;umask&#x20;parameters&#x20;as&#x20;follows:&#x20;TMOUT=600','[{\"cis\": [\"5.4.4\"]}, {\"cis_csc\": [\"16.11\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(4683,'Ensure&#x20;default&#x20;user&#x20;umask&#x20;is&#x20;configured','The&#x20;user&#x20;file-creation&#x20;mode&#x20;mask&#x20;&#40;umask&#41;&#x20;is&#x20;use&#x20;to&#x20;determine&#x20;the&#x20;file&#x20;permission&#x20;for&#x20;newly&#x20;created&#x20;directories&#x20;and&#x20;files.&#x20;In&#x20;Linux,&#x20;the&#x20;default&#x20;permissions&#x20;for&#x20;any&#x20;newly&#x20;created&#x20;directory&#x20;is&#x20;0777&#x20;&#40;rwxrwxrwx&#41;,&#x20;and&#x20;for&#x20;any&#x20;newly&#x20;created&#x20;file&#x20;it&#x20;is&#x20;0666&#x20;&#40;rw-rw-rw-&#41;.&#x20;The&#x20;umask&#x20;modifies&#x20;the&#x20;default&#x20;Linux&#x20;permissions&#x20;by&#x20;restricting&#x20;&#40;masking&#41;&#x20;these&#x20;permissions.&#x20;The&#x20;umask&#x20;is&#x20;not&#x20;simply&#x20;subtracted,&#x20;but&#x20;is&#x20;processed&#x20;bitwise.&#x20;Bits&#x20;set&#x20;in&#x20;the&#x20;umaskare&#x20;cleared&#x20;in&#x20;the&#x20;resulting&#x20;file&#x20;mode.','Setting&#x20;a&#x20;very&#x20;secure&#x20;default&#x20;value&#x20;for&#x20;umask&#x20;ensures&#x20;that&#x20;users&#x20;make&#x20;a&#x20;conscious&#x20;choice&#x20;about&#x20;their&#x20;file&#x20;permissions.&#x20;A&#x20;default&#x20;umask&#x20;setting&#x20;of&#x20;077&#x20;causes&#x20;files&#x20;and&#x20;directories&#x20;created&#x20;by&#x20;users&#x20;to&#x20;not&#x20;be&#x20;readable&#x20;by&#x20;any&#x20;other&#x20;user&#x20;on&#x20;the&#x20;system.&#x20;A&#x20;umask&#x20;of&#x20;027&#x20;would&#x20;make&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;users&#x20;in&#x20;the&#x20;same&#x20;Unix&#x20;group,&#x20;while&#x20;a&#x20;umask&#x20;of&#x20;022&#x20;would&#x20;make&#x20;files&#x20;readable&#x20;by&#x20;every&#x20;user&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/bashrc,&#x20;/etc/profile&#x20;and&#x20;/etc/profile.d&#47;&#42;.sh&#x20;files&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;any&#x20;umask&#x20;parameters&#x20;as&#x20;follows:&#x20;umask&#x20;027','[{\"cis\": [\"5.4.4\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4684,'Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','The&#x20;su&#x20;command&#x20;allows&#x20;a&#x20;user&#x20;to&#x20;run&#x20;a&#x20;command&#x20;or&#x20;shell&#x20;as&#x20;another&#x20;user.&#x20;The&#x20;program&#x20;has&#x20;been&#x20;superseded&#x20;by&#x20;sudo,&#x20;which&#x20;allows&#x20;for&#x20;more&#x20;granular&#x20;control&#x20;over&#x20;privileged&#x20;access.&#x20;Normally,&#x20;the&#x20;su&#x20;command&#x20;can&#x20;be&#x20;executed&#x20;by&#x20;any&#x20;user.&#x20;By&#x20;uncommenting&#x20;the&#x20;pam_wheel.so&#x20;statement&#x20;in&#x20;/etc/pam.d/su,&#x20;the&#x20;su&#x20;command&#x20;will&#x20;only&#x20;allow&#x20;users&#x20;in&#x20;the&#x20;wheel&#x20;group&#x20;to&#x20;execute&#x20;su&#x20;.','Restricting&#x20;the&#x20;use&#x20;of&#x20;su,&#x20;and&#x20;using&#x20;sudo&#x20;in&#x20;its&#x20;place,&#x20;provides&#x20;system&#x20;administrators&#x20;better&#x20;control&#x20;of&#x20;the&#x20;escalation&#x20;of&#x20;user&#x20;privileges&#x20;to&#x20;execute&#x20;privileged&#x20;commands.&#x20;The&#x20;sudo&#x20;utility&#x20;also&#x20;provides&#x20;a&#x20;better&#x20;logging&#x20;and&#x20;audit&#x20;mechanism,&#x20;as&#x20;it&#x20;can&#x20;log&#x20;each&#x20;command&#x20;executed&#x20;via&#x20;sudo,&#x20;whereas&#x20;su&#x20;can&#x20;only&#x20;record&#x20;that&#x20;a&#x20;user&#x20;executed&#x20;the&#x20;su&#x20;program.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/pam.d/su&#x20;file:&#x20;auth&#x20;required&#x20;pam_wheel.so&#x20;use_uid','[{\"cis\": [\"5.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4685,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd&#x20;are&#x20;configured','The&#x20;/etc/passwd&#x20;file&#x20;contains&#x20;user&#x20;account&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;utilities&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;utilities&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd&#x20;&#x20;&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-wx&#x20;/etc/passwd','[{\"cis\": [\"6.1.2\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4686,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow&#x20;are&#x20;configured','The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;user&#x20;accounts.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/shadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow&#x20;#&#x20;chmod&#x20;000&#x20;/etc/shadow','[{\"cis\": [\"6.1.3\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(4687,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group&#x20;are&#x20;configured','The&#x20;/etc/group&#x20;file&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.&#x20;The&#x20;command&#x20;below&#x20;allows&#x20;read/write&#x20;access&#x20;for&#x20;root&#x20;and&#x20;read&#x20;access&#x20;for&#x20;everyone&#x20;else.','The&#x20;/etc/group&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users,&#x20;but&#x20;needs&#x20;to&#x20;be&#x20;readable&#x20;as&#x20;this&#x20;information&#x20;is&#x20;used&#x20;with&#x20;many&#x20;non-privileged&#x20;programs.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-wx&#x20;/etc/group','[{\"cis\": [\"6.1.4\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4688,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow&#x20;are&#x20;configured','The&#x20;/etc/gshadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/gshadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/gshadow&#x20;file&#x20;&#40;such&#x20;as&#x20;group&#x20;administrators&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;group','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/gshadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow&#x20;#&#x20;chmod&#x20;000&#x20;/etc/gshadow','[{\"cis\": [\"6.1.5\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4689,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd-&#x20;are&#x20;configured','The&#x20;/etc/passwd-&#x20;file&#x20;contains&#x20;backup&#x20;user&#x20;account&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd-&#x20;#&#x20;chmod&#x20;644&#x20;/etc/passwd-','[{\"cis\": [\"6.1.6\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4690,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow-&#x20;are&#x20;configured','The&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/shadow-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow-&#x20;#&#x20;chmod&#x20;000&#x20;/etc/shadow-','[{\"cis\": [\"6.1.7\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4691,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group-&#x20;are&#x20;configured','The&#x20;/etc/group-&#x20;file&#x20;contains&#x20;a&#x20;backup&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/group-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group-&#x20;#&#x20;chmod&#x20;644&#x20;/etc/group-','[{\"cis\": [\"6.1.8\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4692,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;are&#x20;configured','The&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/gshadow-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow-&#x20;#&#x20;chmod&#x20;000&#x20;/etc/gshadow-','[{\"cis\": [\"6.1.9\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(4693,'Ensure&#x20;accounts&#x20;in&#x20;/etc/passwd&#x20;use&#x20;shadowed&#x20;passwords','Local&#x20;accounts&#x20;can&#x20;uses&#x20;shadowed&#x20;passwords.&#x20;With&#x20;shadowed&#x20;passwords,&#x20;The&#x20;passwords&#x20;are&#x20;saved&#x20;in&#x20;shadow&#x20;password&#x20;file,&#x20;/etc/shadow,&#x20;encrypted&#x20;by&#x20;a&#x20;salted&#x20;one-way&#x20;hash.&#x20;Accounts&#x20;with&#x20;a&#x20;shadowed&#x20;password&#x20;have&#x20;an&#x20;xin&#x20;the&#x20;second&#x20;field&#x20;in&#x20;/etc/passwd.','The&#x20;/etc/passwd&#x20;file&#x20;also&#x20;contains&#x20;information&#x20;like&#x20;user&#x20;ID&#039;s&#x20;and&#x20;group&#x20;ID&#039;s&#x20;that&#x20;are&#x20;used&#x20;by&#x20;many&#x20;system&#x20;programs.&#x20;Therefore,&#x20;the&#x20;/etc/passwd&#x20;file&#x20;must&#x20;remain&#x20;world&#x20;readable.&#x20;In&#x20;spite&#x20;of&#x20;encoding&#x20;the&#x20;password&#x20;with&#x20;a&#x20;randomly-generated&#x20;one-way&#x20;hash&#x20;function,&#x20;an&#x20;attacker&#x20;could&#x20;still&#x20;break&#x20;the&#x20;system&#x20;if&#x20;they&#x20;got&#x20;access&#x20;to&#x20;the&#x20;/etc/passwd&#x20;file.&#x20;This&#x20;can&#x20;be&#x20;mitigated&#x20;by&#x20;using&#x20;shadowed&#x20;passwords,&#x20;thus&#x20;moving&#x20;the&#x20;passwords&#x20;in&#x20;the&#x20;/etc/passwd&#x20;file&#x20;to&#x20;/etc/shadow.&#x20;The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;set&#x20;so&#x20;only&#x20;root&#x20;will&#x20;be&#x20;able&#x20;to&#x20;read&#x20;and&#x20;write.&#x20;This&#x20;helps&#x20;mitigate&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;encoded&#x20;passwords&#x20;with&#x20;which&#x20;to&#x20;perform&#x20;a&#x20;dictionary&#x20;attack.','','f&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/passwdfile&#x20;do&#x20;not&#x20;have&#x20;a&#x20;single&#x20;x&#x20;in&#x20;the&#x20;password&#x20;field,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;these&#x20;accounts&#x20;to&#x20;use&#x20;shadowed&#x20;passwords:#&#x20;sed&#x20;-e&#x20;&#039;s/^&#40;[a-zA-Z0-9_]*&#41;:[^:]*:/1:x:/&#039;&#x20;-i&#x20;/etc/passwdInvestigate&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for,&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.1\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4694,'Ensure&#x20;password&#x20;fields&#x20;are&#x20;not&#x20;empty','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;password,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;account&#x20;until&#x20;it&#x20;can&#x20;be&#x20;determined&#x20;why&#x20;it&#x20;does&#x20;not&#x20;have&#x20;a&#x20;password:&#x20;passwd&#x20;-l&#x20;&lt;username&gt;&#x20;||&#x20;Also,&#x20;check&#x20;to&#x20;see&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;investigate&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.2\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(4695,'Ensure&#x20;root&#x20;is&#x20;the&#x20;only&#x20;UID&#x20;0&#x20;account','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','','Remove&#x20;any&#x20;users&#x20;other&#x20;than&#x20;root&#x20;with&#x20;UID&#x20;0&#x20;or&#x20;assign&#x20;them&#x20;a&#x20;new&#x20;UID&#x20;if&#x20;appropriate.','[{\"cis\": [\"6.2.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(4696,'Ensure&#x20;shadow&#x20;group&#x20;is&#x20;empty','The&#x20;shadow&#x20;group&#x20;allows&#x20;system&#x20;programs&#x20;which&#x20;require&#x20;access&#x20;the&#x20;ability&#x20;to&#x20;read&#x20;the&#x20;/etc/shadow&#x20;file.&#x20;No&#x20;users&#x20;should&#x20;be&#x20;assigned&#x20;to&#x20;the&#x20;shadow&#x20;group','Any&#x20;users&#x20;assigned&#x20;to&#x20;the&#x20;shadow&#x20;group&#x20;would&#x20;be&#x20;granted&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file.&#x20;If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;runa&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;passwords&#x20;to&#x20;break&#x20;them.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;additional&#x20;user&#x20;accounts.','','Remove&#x20;any&#x20;legacy&#x20;&#039;+&#039;&#x20;entries&#x20;from&#x20;/etc/shadow&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.18\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5000,'Ensure&#x20;mounting&#x20;of&#x20;cramfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;cramfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;compressed&#x20;read-only&#x20;Linux&#x20;filesystem&#x20;embedded&#x20;in&#x20;small&#x20;footprint&#x20;systems.&#x20;A&#x20;cramfs&#x20;image&#x20;can&#x20;be&#x20;used&#x20;without&#x20;having&#x20;to&#x20;first&#x20;decompress&#x20;the&#x20;image.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;server.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;.Example:&#x20;vim&#x20;/etc/modprobe.d/cramfs.conf:&#x20;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;cramfs&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;cramfs&#x20;module:&#x20;#&#x20;rmmod&#x20;cramfs','[{\"cis\": [\"1.1.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(5001,'Ensure&#x20;mounting&#x20;of&#x20;FAT&#x20;filesystems&#x20;is&#x20;limited','The&#x20;VFAT&#x20;filesystem&#x20;format&#x20;is&#x20;primarily&#x20;used&#x20;on&#x20;older&#x20;windows&#x20;systems&#x20;and&#x20;portable&#x20;USB&#x20;drives&#x20;or&#x20;flash&#x20;modules.&#x20;It&#x20;comes&#x20;in&#x20;three&#x20;types&#x20;FAT12&#x20;,&#x20;FAT16&#x20;,&#x20;and&#x20;FAT32&#x20;all&#x20;of&#x20;which&#x20;are&#x20;supported&#x20;by&#x20;the&#x20;vfat&#x20;kernel&#x20;module.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;.&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/vfat.conf:&#x20;install&#x20;vfat&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;vfat&#x20;module:&#x20;#&#x20;rmmod&#x20;vfat','[{\"cis\": [\"1.1.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(5002,'Ensure&#x20;mounting&#x20;of&#x20;squashfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;squashfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;compressed&#x20;read-only&#x20;Linux&#x20;filesystem&#x20;embedded&#x20;in&#x20;small&#x20;footprint&#x20;systems&#x20;&#40;similar&#x20;to&#x20;cramfs&#x20;&#41;.&#x20;A&#x20;squashfs&#x20;image&#x20;can&#x20;be&#x20;used&#x20;without&#x20;having&#x20;to&#x20;first&#x20;decompress&#x20;the&#x20;image.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;.&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/squashfs.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;squashfs&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;squashfs&#x20;module:&#x20;rmmod&#x20;squashfs','[{\"cis\": [\"1.1.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(5003,'Ensure&#x20;mounting&#x20;of&#x20;udf&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;udf&#x20;filesystem&#x20;type&#x20;is&#x20;the&#x20;universal&#x20;disk&#x20;format&#x20;used&#x20;to&#x20;implement&#x20;ISO/IEC&#x20;13346&#x20;and&#x20;ECMA-167&#x20;specifications.&#x20;This&#x20;is&#x20;an&#x20;open&#x20;vendor&#x20;filesystem&#x20;type&#x20;for&#x20;data&#x20;storage&#x20;on&#x20;a&#x20;broad&#x20;range&#x20;of&#x20;media.&#x20;This&#x20;filesystem&#x20;type&#x20;is&#x20;necessary&#x20;to&#x20;support&#x20;writing&#x20;DVDs&#x20;and&#x20;newer&#x20;optical&#x20;disc&#x20;formats.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf.&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/udf.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;udf&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;udf&#x20;module:&#x20;#&#x20;rmmod&#x20;udf','[{\"cis\": [\"1.1.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(5004,'Ensure&#x20;/tmp&#x20;is&#x20;configured','The&#x20;/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Making&#x20;/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hardlink&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hardlink&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.&#x20;This&#x20;can&#x20;be&#x20;accomplished&#x20;by&#x20;either&#x20;mounting&#x20;tmpfs&#x20;to&#x20;/tmp,&#x20;or&#x20;creating&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/tmp.','','Configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.&#x20;example:&#x20;&quot;tmpfs&#x20;&#x20;/tmp&#x20;&#x20;tmpfs&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;&#x20;0&#x20;0&quot;&#x20;&#x20;OR&#x20;&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;enable&#x20;systemd&#x20;/tmp&#x20;mounting:&#x20;#&#x20;systemctl&#x20;unmask&#x20;tmp.mount&#x20;#&#x20;systemctl&#x20;enable&#x20;tmp.mount&#x20;&#x20;&#x20;&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;configure&#x20;the&#x20;/tmp&#x20;mount:&#x20;&#x20;&#x20;[Mount]&#x20;What=tmpfs&#x20;Where=/tmp&#x20;Type=tmpfs&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid','[{\"cis\": [\"1.1.2\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5005,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/tmp&#x20;&#x20;OR&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;/tmp&#x20;mount&#x20;options:&#x20;[Mount]&#x20;&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/tmp','[{\"cis\": [\"1.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5006,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/tmp&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;/tmp&#x20;mount&#x20;options:&#x20;&#x20;&#x20;&#x20;[Mount]&#x20;&#x20;&#x20;&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/tmp','[{\"cis\": [\"1.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5007,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/tmp&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;/tmp&#x20;mount&#x20;options:&#x20;[Mount]&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/tmp','[{\"cis\": [\"1.1.5\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5008,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var','The&#x20;/var&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;daemons&#x20;and&#x20;other&#x20;system&#x20;services&#x20;to&#x20;temporarily&#x20;store&#x20;dynamic&#x20;data.&#x20;Some&#x20;directories&#x20;created&#x20;by&#x20;these&#x20;processes&#x20;may&#x20;be&#x20;world-writable.','Since&#x20;the&#x20;/var&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5009,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/tmp','The&#x20;/var/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Since&#x20;the&#x20;/var/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;In&#x20;addition,&#x20;making&#x20;/var/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/var/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/tmp.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5010,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/tmp&#x20;.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.','[{\"cis\": [\"1.1.8\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5011,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.','[{\"cis\": [\"1.1.9\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5012,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.','[{\"cis\": [\"1.1.10\"]}, {\"cis_csc\": [\"5.1\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5013,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log','The&#x20;/var/log&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;system&#x20;services&#x20;to&#x20;store&#x20;log&#x20;data&#x20;.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;system&#x20;logs&#x20;are&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;logs&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.11\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"2.2.4\", \"10.7\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5014,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log/audit','The&#x20;auditing&#x20;daemon,&#x20;auditd&#x20;,&#x20;stores&#x20;log&#x20;data&#x20;in&#x20;the&#x20;/var/log/audit&#x20;directory.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;data&#x20;gathered&#x20;by&#x20;auditd&#x20;is&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;the&#x20;audit.log&#x20;file&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log/audit.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.12\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"2.2.4\", \"10.7\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5015,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/home','The&#x20;/home&#x20;directory&#x20;is&#x20;used&#x20;to&#x20;support&#x20;disk&#x20;storage&#x20;needs&#x20;of&#x20;local&#x20;users.','If&#x20;the&#x20;system&#x20;is&#x20;intended&#x20;to&#x20;support&#x20;local&#x20;users,&#x20;create&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;the&#x20;/home&#x20;directory&#x20;to&#x20;protect&#x20;against&#x20;resource&#x20;exhaustion&#x20;and&#x20;restrict&#x20;the&#x20;type&#x20;of&#x20;files&#x20;that&#x20;can&#x20;be&#x20;stored&#x20;under&#x20;/home.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/home.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.13\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5016,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;user&#x20;partitions&#x20;are&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/home&#x20;partition.&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/home','[{\"cis\": [\"1.1.14\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5017,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/dev/shm&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;special&#x20;devices&#x20;in&#x20;/dev/shm&#x20;partitions.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/dev/shm','[{\"cis\": [\"1.1.15\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5018,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;introducing&#x20;privileged&#x20;programs&#x20;onto&#x20;the&#x20;system&#x20;and&#x20;allowing&#x20;non-root&#x20;users&#x20;to&#x20;execute&#x20;them.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/dev/shm','[{\"cis\": [\"1.1.16\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5019,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;executing&#x20;programs&#x20;from&#x20;shared&#x20;memory.&#x20;This&#x20;deters&#x20;users&#x20;from&#x20;introducing&#x20;potentially&#x20;malicious&#x20;software&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/dev/shm','[{\"cis\": [\"1.1.17\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5020,'Disable&#x20;Automounting','autofs&#x20;allows&#x20;automatic&#x20;mounting&#x20;of&#x20;devices,&#x20;typically&#x20;including&#x20;CD/DVDs&#x20;and&#x20;USB&#x20;drives.','With&#x20;automounting&#x20;enabled&#x20;anyone&#x20;with&#x20;physical&#x20;access&#x20;could&#x20;attach&#x20;a&#x20;USB&#x20;drive&#x20;or&#x20;disc&#x20;and&#x20;have&#x20;its&#x20;contents&#x20;available&#x20;in&#x20;system&#x20;even&#x20;if&#x20;they&#x20;lacked&#x20;permissions&#x20;to&#x20;mount&#x20;it&#x20;themselves.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;autofs&#x20;:&#x20;systemctl&#x20;disable&#x20;autofs','[{\"cis\": [\"1.1.22\"]}, {\"cis_csc\": [\"8.4\", \"8.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5021,'Disable&#x20;USB&#x20;Storage','USB&#x20;storage&#x20;provides&#x20;a&#x20;means&#x20;to&#x20;transfer&#x20;and&#x20;store&#x20;files&#x20;insuring&#x20;persistence&#x20;and&#x20;availability&#x20;of&#x20;the&#x20;files&#x20;independent&#x20;of&#x20;network&#x20;connection&#x20;status.&#x20;Its&#x20;popularity&#x20;and&#x20;utility&#x20;has&#x20;led&#x20;to&#x20;USB-based&#x20;malware&#x20;being&#x20;a&#x20;simple&#x20;and&#x20;common&#x20;means&#x20;for&#x20;network&#x20;infiltration&#x20;and&#x20;a&#x20;first&#x20;step&#x20;to&#x20;establishing&#x20;a&#x20;persistent&#x20;threat&#x20;within&#x20;a&#x20;networked&#x20;environment.','Restricting&#x20;USB&#x20;access&#x20;on&#x20;the&#x20;system&#x20;will&#x20;decrease&#x20;the&#x20;physical&#x20;attack&#x20;surface&#x20;for&#x20;a&#x20;device&#x20;and&#x20;diminish&#x20;the&#x20;possible&#x20;vectors&#x20;to&#x20;introduce&#x20;malware.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/usb-storage.conf&#x20;&#x20;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;usb-storage&#x20;/bin/true&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;usb-storage&#x20;module:&#x20;&#x20;#&#x20;rmmod&#x20;usb-storage','[{\"cis\": [\"1.1.23\"]}, {\"cis_csc\": [\"8.4\", \"8.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5022,'Disable&#x20;the&#x20;rhnsd&#x20;Daemon','The&#x20;rhnsd&#x20;daemon&#x20;polls&#x20;the&#x20;Red&#x20;Hat&#x20;Network&#x20;web&#x20;site&#x20;for&#x20;scheduled&#x20;actions&#x20;and,&#x20;if&#x20;there&#x20;are,&#x20;executes&#x20;those&#x20;actions.','Patch&#x20;management&#x20;policies&#x20;may&#x20;require&#x20;that&#x20;organizations&#x20;test&#x20;the&#x20;impact&#x20;of&#x20;a&#x20;patch&#x20;before&#x20;it&#x20;is&#x20;deployed&#x20;in&#x20;a&#x20;production&#x20;environment.&#x20;Having&#x20;patches&#x20;automatically&#x20;deployed&#x20;could&#x20;have&#x20;a&#x20;negative&#x20;impact&#x20;on&#x20;the&#x20;environment.&#x20;It&#x20;is&#x20;best&#x20;to&#x20;not&#x20;allow&#x20;an&#x20;action&#x20;by&#x20;default&#x20;but&#x20;only&#x20;after&#x20;appropriate&#x20;consideration&#x20;has&#x20;been&#x20;made.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;unless&#x20;the&#x20;risk&#x20;is&#x20;understood&#x20;and&#x20;accepted&#x20;or&#x20;you&#x20;are&#x20;running&#x20;your&#x20;own&#x20;satellite&#x20;.&#x20;This&#x20;item&#x20;is&#x20;not&#x20;scored&#x20;because&#x20;organizations&#x20;may&#x20;have&#x20;addressed&#x20;the&#x20;risk.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;rhnsd&#x20;:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;rhnsd','[{\"cis\": [\"1.2.2\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(5023,'Ensure&#x20;gpgcheck&#x20;is&#x20;globally&#x20;activated','The&#x20;gpgcheck&#x20;option,&#x20;found&#x20;in&#x20;the&#x20;main&#x20;section&#x20;of&#x20;the&#x20;/etc/yum.conf&#x20;and&#x20;individual&#x20;/etc/yum/repos.d&#47;&#42;&#x20;files&#x20;determines&#x20;if&#x20;an&#x20;RPM&#x20;package&#039;s&#x20;signature&#x20;is&#x20;checked&#x20;prior&#x20;to&#x20;its&#x20;installation.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;an&#x20;RPM&#039;s&#x20;package&#x20;signature&#x20;is&#x20;always&#x20;checked&#x20;prior&#x20;to&#x20;installation&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;software&#x20;is&#x20;obtained&#x20;from&#x20;a&#x20;trusted&#x20;source.','','Edit&#x20;/etc/yum.conf&#x20;and&#x20;set&#x20;&#039;&#x20;gpgcheck=1&#x20;&#039;&#x20;in&#x20;the&#x20;[main]&#x20;section.&#x20;Edit&#x20;any&#x20;failing&#x20;files&#x20;in&#x20;/etc/yum.repos.d&#47;&#42;&#x20;and&#x20;set&#x20;all&#x20;instances&#x20;of&#x20;gpgcheck&#x20;to&#x20;&#039;&#x20;1&#x20;&#039;.','[{\"cis\": [\"1.2.4\"]}, {\"cis_csc\": [\"3.4\"]}, {\"pci_dss\": [\"6.2\"]}, {\"nist_800_53\": [\"SI.2\", \"SA.11\", \"SI.4\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"A1.2\", \"CC6.8\"]}]'),(5024,'Ensure&#x20;sudo&#x20;is&#x20;installed','sudo&#x20;allows&#x20;a&#x20;permitted&#x20;user&#x20;to&#x20;execute&#x20;a&#x20;command&#x20;as&#x20;the&#x20;superuser&#x20;or&#x20;another&#x20;user,&#x20;as&#x20;specified&#x20;by&#x20;the&#x20;security&#x20;policy.&#x20;The&#x20;invoking&#x20;user&#039;s&#x20;real&#x20;&#40;not&#x20;effective&#41;&#x20;user&#x20;ID&#x20;is&#x20;used&#x20;to&#x20;determine&#x20;the&#x20;user&#x20;name&#x20;with&#x20;which&#x20;to&#x20;query&#x20;the&#x20;security&#x20;policy.','sudo&#x20;supports&#x20;a&#x20;plugin&#x20;architecture&#x20;for&#x20;security&#x20;policies&#x20;and&#x20;input/output&#x20;logging.&#x20;Third&#x20;parties&#x20;can&#x20;develop&#x20;and&#x20;distribute&#x20;their&#x20;own&#x20;policy&#x20;and&#x20;I/O&#x20;logging&#x20;plugins&#x20;to&#x20;work&#x20;seamlessly&#x20;with&#x20;the&#x20;sudo&#x20;front&#x20;end.&#x20;The&#x20;default&#x20;security&#x20;policy&#x20;is&#x20;sudoers,&#x20;which&#x20;is&#x20;configured&#x20;via&#x20;the&#x20;file&#x20;/etc/sudoers.&#x20;The&#x20;security&#x20;policy&#x20;determines&#x20;what&#x20;privileges,&#x20;if&#x20;any,&#x20;a&#x20;user&#x20;has&#x20;to&#x20;run&#x20;sudo.&#x20;The&#x20;policy&#x20;may&#x20;require&#x20;that&#x20;users&#x20;authenticate&#x20;themselves&#x20;with&#x20;a&#x20;password&#x20;or&#x20;another&#x20;authentication&#x20;mechanism.&#x20;If&#x20;authentication&#x20;is&#x20;required,&#x20;sudo&#x20;will&#x20;exit&#x20;if&#x20;the&#x20;user&#039;s&#x20;password&#x20;is&#x20;not&#x20;entered&#x20;within&#x20;a&#x20;configurable&#x20;time&#x20;limit.&#x20;This&#x20;limit&#x20;is&#x20;policy-specific.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;sudo:&#x20;#&#x20;dnf&#x20;install&#x20;sudo','[{\"cis\": [\"1.3.1\"]}, {\"cis_csc\": [\"4.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5025,'Ensure&#x20;sudo&#x20;commands&#x20;use&#x20;pty','sudo&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;run&#x20;only&#x20;from&#x20;a&#x20;pseudo-pty','Attackers&#x20;can&#x20;run&#x20;a&#x20;malicious&#x20;program&#x20;using&#x20;sudo&#x20;which&#x20;would&#x20;fork&#x20;a&#x20;background&#x20;process&#x20;that&#x20;remains&#x20;even&#x20;when&#x20;the&#x20;main&#x20;program&#x20;has&#x20;finished&#x20;executing.','','edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;-f&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Defaults&#x20;use_pty','[{\"cis\": [\"1.3.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5026,'Ensure&#x20;sudo&#x20;log&#x20;file&#x20;exists','sudo&#x20;can&#x20;use&#x20;a&#x20;custom&#x20;log&#x20;file','A&#x20;sudo&#x20;log&#x20;file&#x20;simplifies&#x20;auditing&#x20;of&#x20;sudo&#x20;commands','','edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;-f&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Defaults&#x20;logfile=&quot;&lt;PATH&#x20;TO&#x20;CUSTOM&#x20;LOG&#x20;FILE&gt;&quot;','[{\"cis\": [\"1.3.3\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5027,'Ensure&#x20;AIDE&#x20;is&#x20;installed','AIDE&#x20;takes&#x20;a&#x20;snapshot&#x20;of&#x20;filesystem&#x20;state&#x20;including&#x20;modification&#x20;times,&#x20;permissions,&#x20;and&#x20;file&#x20;hashes&#x20;which&#x20;can&#x20;then&#x20;be&#x20;used&#x20;to&#x20;compare&#x20;against&#x20;the&#x20;current&#x20;state&#x20;of&#x20;the&#x20;filesystem&#x20;to&#x20;detect&#x20;modifications&#x20;to&#x20;the&#x20;system.','By&#x20;monitoring&#x20;the&#x20;filesystem&#x20;state&#x20;compromised&#x20;files&#x20;can&#x20;be&#x20;detected&#x20;to&#x20;prevent&#x20;or&#x20;limit&#x20;the&#x20;exposure&#x20;of&#x20;accidental&#x20;or&#x20;malicious&#x20;misconfigurations&#x20;or&#x20;modified&#x20;binaries.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;aide:&#x20;#&#x20;dnf&#x20;install&#x20;aide&#x20;&#x20;||&#x20;&#x20;Configure&#x20;AIDE&#x20;as&#x20;appropriate&#x20;for&#x20;your&#x20;environment.&#x20;Consult&#x20;the&#x20;AIDE&#x20;documentation&#x20;for&#x20;options.&#x20;Initialize&#x20;AIDE:&#x20;#aide&#x20;--init&#x20;&amp;&amp;&#x20;mv&#x20;/var/lib/aide/aide.db.new.gz&#x20;/var/lib/aide/aide.db.gz','[{\"cis\": [\"1.3.1\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5028,'Ensure&#x20;filesystem&#x20;integrity&#x20;is&#x20;regularly&#x20;checked','Periodic&#x20;checking&#x20;of&#x20;the&#x20;filesystem&#x20;integrity&#x20;is&#x20;needed&#x20;to&#x20;detect&#x20;changes&#x20;to&#x20;the&#x20;filesystem.','Periodic&#x20;file&#x20;checking&#x20;allows&#x20;the&#x20;system&#x20;administrator&#x20;to&#x20;determine&#x20;on&#x20;a&#x20;regular&#x20;basis&#x20;if&#x20;critical&#x20;files&#x20;have&#x20;been&#x20;changed&#x20;in&#x20;an&#x20;unauthorized&#x20;fashion.','','&#x20;Run&#x20;the&#x20;following&#x20;commands:&#x20;#&#x20;cp&#x20;./config/aidecheck.service&#x20;/etc/systemd/system/aidecheck.service&#x20;&#x20;#&#x20;cp&#x20;./config/aidecheck.timer&#x20;/etc/systemd/system/aidecheck.timer&#x20;&#x20;&#x20;#&#x20;chmod&#x20;0644&#x20;/etc/systemd/system/aidecheck.*&#x20;&#x20;#&#x20;systemctl&#x20;reenable&#x20;aidecheck.timer&#x20;#&#x20;systemctl&#x20;restart&#x20;aidecheck.timer&#x20;#&#x20;systemctl&#x20;daemon-reload.&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;command:&#x20;crontab&#x20;-u&#x20;root&#x20;-e&#x20;//&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;crontab:&#x20;0&#x20;5&#x20;*&#x20;*&#x20;*&#x20;/usr/sbin/aide&#x20;--check&#x20;&#x20;//&#x20;Notes:&#x20;The&#x20;checking&#x20;in&#x20;this&#x20;recommendation&#x20;occurs&#x20;every&#x20;day&#x20;at&#x20;5am.&#x20;Alter&#x20;the&#x20;frequency&#x20;and&#x20;time&#x20;of&#x20;the&#x20;checks&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy.&#x20;&#x20;','[{\"cis\": [\"1.3.2\"]}, {\"cis_csc\": [\"3.5\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5029,'Ensure&#x20;permissions&#x20;on&#x20;bootloader&#x20;config&#x20;are&#x20;configured','The&#x20;grub&#x20;configuration&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;boot&#x20;settings&#x20;and&#x20;passwords&#x20;for&#x20;unlocking&#x20;boot&#x20;options.&#x20;The&#x20;grub&#x20;configuration&#x20;is&#x20;usually&#x20;grub.cfg&#x20;and&#x20;grubenv&#x20;stored&#x20;in&#x20;/boot/grub2/','Setting&#x20;the&#x20;permissions&#x20;to&#x20;read&#x20;and&#x20;write&#x20;for&#x20;root&#x20;only&#x20;prevents&#x20;non-root&#x20;users&#x20;from&#x20;seeing&#x20;the&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;them.&#x20;Non-root&#x20;users&#x20;who&#x20;read&#x20;the&#x20;boot&#x20;parameters&#x20;may&#x20;be&#x20;able&#x20;to&#x20;identify&#x20;weaknesses&#x20;in&#x20;security&#x20;upon&#x20;boot&#x20;and&#x20;be&#x20;able&#x20;to&#x20;exploit&#x20;them.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;your&#x20;grub&#x20;configuration:&#x20;#&#x20;chown&#x20;root:root&#x20;/boot/grub2/grub.cfg&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/boot/grub2/grub.cfg&#x20;#&#x20;chown&#x20;root:root&#x20;/boot/grub2/grubenv&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/boot/grub2/grubenv','[{\"cis\": [\"1.5.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5030,'Ensure&#x20;bootloader&#x20;password&#x20;is&#x20;set','Setting&#x20;the&#x20;boot&#x20;loader&#x20;password&#x20;will&#x20;require&#x20;that&#x20;anyone&#x20;rebooting&#x20;the&#x20;system&#x20;must&#x20;enter&#x20;a&#x20;password&#x20;before&#x20;being&#x20;able&#x20;to&#x20;set&#x20;command&#x20;line&#x20;boot&#x20;parameters.','Requiring&#x20;a&#x20;boot&#x20;password&#x20;upon&#x20;execution&#x20;of&#x20;the&#x20;boot&#x20;loader&#x20;will&#x20;prevent&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;entering&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;the&#x20;boot&#x20;partition.&#x20;This&#x20;prevents&#x20;users&#x20;from&#x20;weakening&#x20;security&#x20;&#40;e.g.&#x20;turning&#x20;off&#x20;SELinux&#x20;at&#x20;boot&#x20;time&#41;.','','Create&#x20;an&#x20;encrypted&#x20;password&#x20;with&#x20;grub2-setpassword:&#x20;#&#x20;grub2-setpassword&#x20;&#x20;&#x20;&#x20;||&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;grub2-mkconfig&#x20;-o&#x20;/boot/grub2/grub.cfg','[{\"cis\": [\"1.5.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5031,'Ensure&#x20;authentication&#x20;required&#x20;for&#x20;single&#x20;user&#x20;mode','Single&#x20;user&#x20;mode&#x20;&#40;rescue&#x20;mode&#41;&#x20;is&#x20;used&#x20;for&#x20;recovery&#x20;when&#x20;the&#x20;system&#x20;detects&#x20;an&#x20;issue&#x20;during&#x20;boot&#x20;or&#x20;by&#x20;manual&#x20;selection&#x20;from&#x20;the&#x20;bootloader.','Requiring&#x20;authentication&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;&#40;rescue&#x20;mode&#41;&#x20;prevents&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;rebooting&#x20;the&#x20;system&#x20;into&#x20;single&#x20;user&#x20;to&#x20;gain&#x20;root&#x20;privileges&#x20;without&#x20;credentials.','','Edit&#x20;/usr/lib/systemd/system/rescue.service&#x20;and&#x20;add/modify&#x20;the&#x20;following&#x20;line:&#x20;ExecStart=-/usr/lib/systemd/systemd-sulogin-shell&#x20;rescue&#x20;Edit&#x20;/usr/lib/systemd/system/emergency.service&#x20;and&#x20;add/modify&#x20;the&#x20;following&#x20;line:&#x20;ExecStart=-/usr/lib/systemd/systemd-sulogin-shell&#x20;emergency','[{\"cis\": [\"1.5.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5032,'Ensure&#x20;core&#x20;dumps&#x20;are&#x20;restricted','A&#x20;core&#x20;dump&#x20;is&#x20;the&#x20;memory&#x20;of&#x20;an&#x20;executable&#x20;program.&#x20;It&#x20;is&#x20;generally&#x20;used&#x20;to&#x20;determine&#x20;why&#x20;a&#x20;program&#x20;aborted.&#x20;It&#x20;can&#x20;also&#x20;be&#x20;used&#x20;to&#x20;glean&#x20;confidential&#x20;information&#x20;from&#x20;a&#x20;core&#x20;file.The&#x20;system&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;a&#x20;soft&#x20;limit&#x20;for&#x20;core&#x20;dumps,&#x20;but&#x20;this&#x20;can&#x20;be&#x20;overridden&#x20;by&#x20;the&#x20;user.','Setting&#x20;a&#x20;hard&#x20;limit&#x20;on&#x20;core&#x20;dumps&#x20;prevents&#x20;users&#x20;from&#x20;overriding&#x20;the&#x20;soft&#x20;variable.&#x20;If&#x20;core&#x20;dumps&#x20;are&#x20;required,&#x20;consider&#x20;setting&#x20;limits&#x20;for&#x20;user&#x20;groups&#x20;&#40;see&#x20;limits.conf&#40;5&#41;&#41;.&#x20;In&#x20;addition,&#x20;setting&#x20;the&#x20;fs.suid_dumpable&#x20;variable&#x20;to&#x20;0&#x20;will&#x20;prevent&#x20;setuid&#x20;programs&#x20;from&#x20;dumping&#x20;core.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;/etc/security/limits.conf&#x20;or&#x20;a&#x20;/etc/security/limits.d&#47;&#42;&#x20;file:&#x20;*&#x20;hard&#x20;core&#x20;0.&#x20;Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;fs.suid_dumpable&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;fs.suid_dumpable=0.&#x20;If&#x20;systemd-coredump&#x20;is&#x20;installed:&#x20;&#x20;edit&#x20;/etc/systemd/coredump.conf&#x20;and&#x20;add/modify&#x20;the&#x20;following&#x20;lines:&#x20;Storage=none&#x20;ProcessSizeMax=0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;command:&#x20;#&#x20;systemctl&#x20;daemon-reload','[{\"cis\": [\"1.6.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5033,'Ensure&#x20;address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;enabled','Address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;an&#x20;exploit&#x20;mitigation&#x20;technique&#x20;which&#x20;randomly&#x20;arranges&#x20;the&#x20;address&#x20;space&#x20;of&#x20;key&#x20;data&#x20;areas&#x20;of&#x20;a&#x20;process.','Randomly&#x20;placing&#x20;virtual&#x20;memory&#x20;regions&#x20;will&#x20;make&#x20;it&#x20;difficult&#x20;to&#x20;write&#x20;memory&#x20;page&#x20;exploits&#x20;as&#x20;the&#x20;memory&#x20;placement&#x20;will&#x20;be&#x20;consistently&#x20;shifting.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;kernel.randomize_va_space&#x20;=&#x20;2&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;kernel.randomize_va_space=2','[{\"cis\": [\"1.6.2\"]}, {\"cis_csc\": [\"8.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5034,'Ensure&#x20;SELinux&#x20;is&#x20;installed','SELinux&#x20;provides&#x20;Mandatory&#x20;Access&#x20;Control.','Without&#x20;a&#x20;Mandatory&#x20;Access&#x20;Control&#x20;system&#x20;installed&#x20;only&#x20;the&#x20;default&#x20;Discretionary&#x20;Access&#x20;Control&#x20;system&#x20;will&#x20;be&#x20;available.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;SELinux&#x20;:&#x20;#&#x20;dnf&#x20;install&#x20;libselinux','[{\"cis\": [\"1.7.1.1\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5035,'Ensure&#x20;SELinux&#x20;is&#x20;not&#x20;disabled&#x20;in&#x20;bootloader&#x20;configuration','Configure&#x20;SELINUX&#x20;to&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;and&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;not&#x20;been&#x20;overwritten&#x20;by&#x20;the&#x20;grub&#x20;boot&#x20;parameters.','SELinux&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;your&#x20;grub&#x20;configuration&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;not&#x20;overridden.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;remove&#x20;all&#x20;instances&#x20;of&#x20;selinux=0&#x20;and&#x20;enforcing=0&#x20;from&#x20;all&#x20;CMDLINE_LINUX&#x20;parameters:&#x20;GRUB_CMDLINE_LINUX_DEFAULT=&quot;quiet&quot;&#x20;GRUB_CMDLINE_LINUX=&quot;&quot;&#x20;&#x20;||&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;grub2-mkconfig&#x20;-o&#x20;/boot/grub2/grub.cfg','[{\"cis\": [\"1.7.1.2\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5036,'Ensure&#x20;SELinux&#x20;policy&#x20;is&#x20;configured','Configure&#x20;SELinux&#x20;to&#x20;meet&#x20;or&#x20;exceed&#x20;the&#x20;default&#x20;targeted&#x20;policy,&#x20;which&#x20;constrains&#x20;daemons&#x20;and&#x20;system&#x20;software&#x20;only.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;at&#x20;least&#x20;the&#x20;default&#x20;recommendations&#x20;are&#x20;met.','','Edit&#x20;the&#x20;/etc/selinux/config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;SELINUXTYPE&#x20;parameter:&#x20;SELINUXTYPE=targeted','[{\"cis\": [\"1.7.1.3\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5037,'Ensure&#x20;the&#x20;SELinux&#x20;state&#x20;is&#x20;enforcing','Set&#x20;SELinux&#x20;to&#x20;enable&#x20;when&#x20;the&#x20;system&#x20;is&#x20;booted.','SELinux&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;in&#x20;effect&#x20;at&#x20;all&#x20;times.','','Edit&#x20;the&#x20;/etc/selinux/config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;SELINUX&#x20;parameter:&#x20;SELINUX=enforcing','[{\"cis\": [\"1.7.1.4\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5038,'Ensure&#x20;no&#x20;unconfined&#x20;services&#x20;exist','Unconfined&#x20;processes&#x20;run&#x20;in&#x20;unconfined&#x20;domains','For&#x20;unconfined&#x20;processes,&#x20;SELinux&#x20;policy&#x20;rules&#x20;are&#x20;applied,&#x20;but&#x20;policy&#x20;rules&#x20;exist&#x20;that&#x20;allow&#x20;processes&#x20;running&#x20;in&#x20;unconfined&#x20;domains&#x20;almost&#x20;all&#x20;access.&#x20;Processes&#x20;running&#x20;in&#x20;unconfined&#x20;domains&#x20;fall&#x20;back&#x20;to&#x20;using&#x20;DAC&#x20;rules&#x20;exclusively.&#x20;If&#x20;an&#x20;unconfined&#x20;process&#x20;is&#x20;compromised,&#x20;SELinux&#x20;does&#x20;not&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;gaining&#x20;access&#x20;to&#x20;system&#x20;resources&#x20;and&#x20;data,&#x20;but&#x20;of&#x20;course,&#x20;DAC&#x20;rules&#x20;are&#x20;still&#x20;used.&#x20;SELinux&#x20;is&#x20;a&#x20;security&#x20;enhancement&#x20;on&#x20;top&#x20;of&#x20;DAC&#x20;rules&#x20;&ndash;&#x20;it&#x20;does&#x20;not&#x20;replace&#x20;them','','Investigate&#x20;any&#x20;unconfined&#x20;processes&#x20;found&#x20;during&#x20;the&#x20;audit&#x20;action.&#x20;They&#x20;may&#x20;need&#x20;to&#x20;have&#x20;an&#x20;existing&#x20;security&#x20;context&#x20;assigned&#x20;to&#x20;them&#x20;or&#x20;a&#x20;policy&#x20;built&#x20;for&#x20;them.&#x20;Notes:&#x20;Occasionally&#x20;certain&#x20;daemons&#x20;such&#x20;as&#x20;backup&#x20;or&#x20;centralized&#x20;management&#x20;software&#x20;may&#x20;require&#x20;running&#x20;unconfined.&#x20;Any&#x20;such&#x20;software&#x20;should&#x20;be&#x20;carefully&#x20;analyzed&#x20;and&#x20;documented&#x20;before&#x20;such&#x20;an&#x20;exception&#x20;is&#x20;made.','[{\"cis\": [\"1.7.1.5\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5039,'Ensure&#x20;SETroubleshoot&#x20;is&#x20;not&#x20;installed','The&#x20;SETroubleshoot&#x20;service&#x20;notifies&#x20;desktop&#x20;users&#x20;of&#x20;SELinux&#x20;denials&#x20;through&#x20;a&#x20;user-friendly&#x20;interface.&#x20;The&#x20;service&#x20;provides&#x20;important&#x20;information&#x20;around&#x20;configuration&#x20;errors,&#x20;unauthorized&#x20;intrusions,&#x20;and&#x20;other&#x20;potential&#x20;errors.','The&#x20;SETroubleshoot&#x20;service&#x20;is&#x20;an&#x20;unnecessary&#x20;daemon&#x20;to&#x20;have&#x20;running&#x20;on&#x20;a&#x20;server,&#x20;especially&#x20;if&#x20;X&#x20;Windows&#x20;is&#x20;disabled.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;setroubleshoot:&#x20;#&#x20;dnf&#x20;remove&#x20;setroubleshoot','[{\"cis\": [\"1.7.1.6\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5040,'Ensure&#x20;the&#x20;MCS&#x20;Translation&#x20;Service&#x20;&#40;mcstrans&#41;&#x20;is&#x20;not&#x20;installed','The&#x20;mcstransd&#x20;daemon&#x20;provides&#x20;category&#x20;label&#x20;information&#x20;to&#x20;client&#x20;processes&#x20;requesting&#x20;information.&#x20;The&#x20;label&#x20;translations&#x20;are&#x20;defined&#x20;in&#x20;/etc/selinux/targeted/setrans.conf','Since&#x20;this&#x20;service&#x20;is&#x20;not&#x20;used&#x20;very&#x20;often,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;amount&#x20;of&#x20;potentially&#x20;vulnerable&#x20;code&#x20;running&#x20;on&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;mcstrans:&#x20;#&#x20;dnf&#x20;remove&#x20;mcstrans','[{\"cis\": [\"1.7.1.5\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5041,'Ensure&#x20;message&#x20;of&#x20;the&#x20;day&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/motd&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;v&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;If&#x20;the&#x20;motd&#x20;is&#x20;not&#x20;used,&#x20;this&#x20;file&#x20;can&#x20;be&#x20;removed.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;motd&#x20;file:&#x20;#&#x20;rm&#x20;/etc/motd','[{\"cis\": [\"1.8.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(5042,'Ensure&#x20;local&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;v&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue','[{\"cis\": [\"1.8.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(5043,'Ensure&#x20;remote&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;v&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue.net','[{\"cis\": [\"1.8.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(5044,'Ensure&#x20;permissions&#x20;on&#x20;/etc/motd&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.','If&#x20;the&#x20;/etc/motd&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/motd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/motd&#x20;#&#x20;chmod&#x20;644&#x20;/etc/motd','[{\"cis\": [\"1.8.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5045,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.','If&#x20;the&#x20;/etc/issue&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue','[{\"cis\": [\"1.8.1.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5046,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue.net&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.','If&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue.net:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue.net&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue.net','[{\"cis\": [\"1.8.1.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5047,'Ensure&#x20;GDM&#x20;login&#x20;banner&#x20;is&#x20;configured','GDM&#x20;is&#x20;the&#x20;GNOME&#x20;Display&#x20;Manager&#x20;which&#x20;handles&#x20;graphical&#x20;login&#x20;for&#x20;GNOME&#x20;based&#x20;systems.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/gdm3/greeter.dconf-defaults&#x20;and&#x20;add&#x20;the&#x20;following&#x20;in&#x20;3&#x20;lines:&#x20;&#40;1&#41;&#x20;[org/gnome/login-screen]&#x20;&#x20;&#x20;&#x20;&#40;2&#41;&#x20;banner-message-enable=true&#x20;&#x20;&#x20;&#40;3&#41;&#x20;banner-message-text=&#039;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&#039;','[{\"cis\": [\"1.8.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(5048,'Ensure&#x20;updates,&#x20;patches,&#x20;and&#x20;additional&#x20;security&#x20;software&#x20;are&#x20;installed','Periodically&#x20;patches&#x20;are&#x20;released&#x20;for&#x20;included&#x20;software&#x20;either&#x20;due&#x20;to&#x20;security&#x20;flaws&#x20;or&#x20;to&#x20;include&#x20;additional&#x20;functionality.','Newer&#x20;patches&#x20;may&#x20;contain&#x20;security&#x20;enhancements&#x20;that&#x20;would&#x20;not&#x20;be&#x20;available&#x20;through&#x20;the&#x20;latest&#x20;full&#x20;update.&#x20;As&#x20;a&#x20;result,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;latest&#x20;software&#x20;patches&#x20;be&#x20;used&#x20;to&#x20;take&#x20;advantage&#x20;of&#x20;the&#x20;latest&#x20;functionality.&#x20;As&#x20;with&#x20;any&#x20;software&#x20;installation,&#x20;organizations&#x20;need&#x20;to&#x20;determine&#x20;if&#x20;a&#x20;given&#x20;update&#x20;meets&#x20;their&#x20;requirements&#x20;and&#x20;verify&#x20;the&#x20;compatibility&#x20;and&#x20;supportability&#x20;of&#x20;any&#x20;additional&#x20;software&#x20;against&#x20;the&#x20;update&#x20;revision&#x20;that&#x20;is&#x20;selected.','','Use&#x20;your&#x20;package&#x20;manager&#x20;to&#x20;update&#x20;all&#x20;packages&#x20;on&#x20;the&#x20;system&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;The&#x20;following&#x20;command&#x20;will&#x20;install&#x20;all&#x20;available&#x20;security&#x20;updates:&#x20;#&#x20;dnf&#x20;update&#x20;--security&#x20;.&#x20;Site&#x20;policy&#x20;may&#x20;mandate&#x20;a&#x20;testing&#x20;period&#x20;before&#x20;install&#x20;onto&#x20;production&#x20;systems&#x20;for&#x20;available&#x20;updates.&#x20;The&#x20;audit&#x20;and&#x20;remediation&#x20;here&#x20;only&#x20;cover&#x20;security&#x20;updates.&#x20;Non-security&#x20;updates&#x20;can&#x20;be&#x20;audited&#x20;with&#x20;and&#x20;comparing&#x20;against&#x20;site&#x20;policy:&#x20;#&#x20;dnf&#x20;check-update','[{\"cis\": [\"1.9\"]}, {\"cis_csc\": [\"3.4\"]}, {\"pci_dss\": [\"5.2\"]}, {\"nist_800_53\": [\"AU.6\", \"SI.4\"]}, {\"gpg_13\": [\"4.2\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"A1.2\"]}]'),(5049,'Ensure&#x20;system-wide&#x20;crypto&#x20;policy&#x20;is&#x20;not&#x20;legacy','The&#x20;system-wide&#x20;crypto-policies&#x20;followed&#x20;by&#x20;the&#x20;crypto&#x20;core&#x20;components&#x20;allow&#x20;consistently&#x20;deprecating&#x20;and&#x20;disabling&#x20;algorithms&#x20;system-wide.&#x20;The&#x20;individual&#x20;policy&#x20;levels&#x20;&#40;DEFAULT,&#x20;LEGACY,&#x20;FUTURE,&#x20;and&#x20;FIPS&#41;&#x20;are&#x20;included&#x20;in&#x20;the&#x20;crypto-policies&#40;7&#41;&#x20;package.','If&#x20;the&#x20;Legacy&#x20;system-wide&#x20;crypto&#x20;policy&#x20;is&#x20;selected,&#x20;it&#x20;includes&#x20;support&#x20;for&#x20;TLS&#x20;1.0,&#x20;TLS&#x20;1.1,&#x20;and&#x20;SSH2&#x20;protocols&#x20;or&#x20;later.&#x20;The&#x20;algorithms&#x20;DSA,&#x20;3DES,&#x20;and&#x20;RC4&#x20;are&#x20;allowed,&#x20;while&#x20;RSA&#x20;and&#x20;Diffie-Hellman&#x20;parameters&#x20;are&#x20;accepted&#x20;if&#x20;larger&#x20;than&#x20;1023-bits.&#x20;These&#x20;legacy&#x20;protocols&#x20;and&#x20;algorithms&#x20;can&#x20;make&#x20;the&#x20;system&#x20;vulnerable&#x20;to&#x20;attacks,&#x20;including&#x20;those&#x20;listed&#x20;in&#x20;RFC&#x20;7457','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;the&#x20;system-wide&#x20;crypto&#x20;policy&#x20;#&#x20;update-crypto-policies&#x20;--set&#x20;&lt;CRYPTO&#x20;POLICY&gt;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Example:&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;update-crypto-policies&#x20;--set&#x20;DEFAULT&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;to&#x20;make&#x20;the&#x20;updated&#x20;system-wide&#x20;crypto&#x20;policy&#x20;active&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;update-crypto-policies','[{\"cis\": [\"1.10\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5050,'Ensure&#x20;system-wide&#x20;crypto&#x20;policy&#x20;is&#x20;FUTURE&#x20;or&#x20;FIPS','The&#x20;system-wide&#x20;crypto-policies&#x20;followed&#x20;by&#x20;the&#x20;crypto&#x20;core&#x20;components&#x20;allow&#x20;consistently&#x20;deprecating&#x20;and&#x20;disabling&#x20;algorithms&#x20;system-wide.&#x20;The&#x20;individual&#x20;policy&#x20;levels&#x20;&#40;DEFAULT,&#x20;LEGACY,&#x20;FUTURE,&#x20;and&#x20;FIPS&#41;&#x20;are&#x20;included&#x20;in&#x20;the&#x20;crypto-policies&#40;7&#41;&#x20;package.','If&#x20;the&#x20;Legacy&#x20;system-wide&#x20;crypto&#x20;policy&#x20;is&#x20;selected,&#x20;it&#x20;includes&#x20;support&#x20;for&#x20;TLS&#x20;1.0,&#x20;TLS&#x20;1.1,&#x20;and&#x20;SSH2&#x20;protocols&#x20;or&#x20;later.&#x20;The&#x20;algorithms&#x20;DSA,&#x20;3DES,&#x20;and&#x20;RC4&#x20;are&#x20;allowed,&#x20;while&#x20;RSA&#x20;and&#x20;Diffie-Hellman&#x20;parameters&#x20;are&#x20;accepted&#x20;if&#x20;larger&#x20;than&#x20;1023-bits.&#x20;These&#x20;legacy&#x20;protocols&#x20;and&#x20;algorithms&#x20;can&#x20;make&#x20;the&#x20;system&#x20;vulnerable&#x20;to&#x20;attacks,&#x20;including&#x20;those&#x20;listed&#x20;in&#x20;RFC&#x20;7457&#x20;FUTURE:&#x20;Is&#x20;a&#x20;conservative&#x20;security&#x20;level&#x20;that&#x20;is&#x20;believed&#x20;to&#x20;withstand&#x20;any&#x20;near-term&#x20;future&#x20;attacks.&#x20;This&#x20;level&#x20;does&#x20;not&#x20;allow&#x20;the&#x20;use&#x20;of&#x20;SHA-1&#x20;in&#x20;signature&#x20;algorithms.&#x20;The&#x20;RSA&#x20;and&#x20;Diffie-Hellman&#x20;parameters&#x20;are&#x20;accepted&#x20;if&#x20;larger&#x20;than&#x20;3071&#x20;bits.&#x20;The&#x20;level&#x20;provides&#x20;at&#x20;least&#x20;128-bit&#x20;security&#x20;FIPS:&#x20;Conforms&#x20;to&#x20;the&#x20;FIPS&#x20;140-2&#x20;requirements.&#x20;This&#x20;policy&#x20;is&#x20;used&#x20;internally&#x20;by&#x20;the&#x20;fips-mode-setup&#40;8&#41;&#x20;tool&#x20;which&#x20;can&#x20;switch&#x20;the&#x20;system&#x20;into&#x20;the&#x20;FIPS&#x20;140-2&#x20;compliance&#x20;mode.&#x20;The&#x20;level&#x20;provides&#x20;at&#x20;least&#x20;112-bit&#x20;security','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;the&#x20;system-wide&#x20;crypto&#x20;policy&#x20;#&#x20;update-crypto-policies&#x20;--set&#x20;FUTURE&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;To&#x20;switch&#x20;the&#x20;system&#x20;to&#x20;FIPS&#x20;mode,&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;fips-mode-setup&#x20;--enable','[{\"cis\": [\"1.11\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5051,'Ensure&#x20;xinetd&#x20;is&#x20;not&#x20;installed','The&#x20;eXtended&#x20;InterNET&#x20;Daemon&#x20;&#40;&#x20;xinetd&#x20;&#41;&#x20;is&#x20;an&#x20;open&#x20;source&#x20;super&#x20;daemon&#x20;that&#x20;replaced&#x20;the&#x20;original&#x20;inetd&#x20;daemon.&#x20;The&#x20;xinetd&#x20;daemon&#x20;listens&#x20;for&#x20;well&#x20;known&#x20;services&#x20;and&#x20;dispatches&#x20;the&#x20;appropriate&#x20;daemon&#x20;to&#x20;properly&#x20;respond&#x20;to&#x20;service&#x20;requests.','If&#x20;there&#x20;are&#x20;no&#x20;xinetd&#x20;services&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;daemon&#x20;be&#x20;disabled.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;xinetd:&#x20;#&#x20;dnf&#x20;remove&#x20;xinetd','[{\"cis\": [\"2.1.1\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5052,'Ensure&#x20;time&#x20;synchronization&#x20;is&#x20;in&#x20;use','System&#x20;time&#x20;should&#x20;be&#x20;synchronized&#x20;between&#x20;all&#x20;systems&#x20;in&#x20;an&#x20;environment.&#x20;This&#x20;is&#x20;typically&#x20;done&#x20;by&#x20;establishing&#x20;an&#x20;authoritative&#x20;time&#x20;server&#x20;or&#x20;set&#x20;of&#x20;servers&#x20;and&#x20;having&#x20;all&#x20;systems&#x20;synchronize&#x20;their&#x20;clocks&#x20;to&#x20;them.','Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;like&#x20;Kerberos&#x20;and&#x20;also&#x20;ensures&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise,&#x20;which&#x20;aids&#x20;in&#x20;forensic&#x20;investigations.','','On&#x20;physical&#x20;systems&#x20;or&#x20;virtual&#x20;systems&#x20;where&#x20;host&#x20;based&#x20;time&#x20;synchronization&#x20;is&#x20;not&#x20;available&#x20;install&#x20;chrony:&#x20;#&#x20;dnf&#x20;install&#x20;chrony&#x20;&#x20;On&#x20;virtual&#x20;systems&#x20;where&#x20;host&#x20;based&#x20;time&#x20;synchronization&#x20;is&#x20;available&#x20;consult&#x20;your&#x20;virtualization&#x20;software&#x20;documentation&#x20;and&#x20;verify&#x20;that&#x20;host&#x20;based&#x20;synchronization&#x20;is&#x20;in&#x20;use.','[{\"cis\": [\"2.2.2.1\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"10.4\"]}, {\"nist_800_53\": [\"AU.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5053,'Ensure&#x20;chrony&#x20;is&#x20;configured','chrony&#x20;is&#x20;a&#x20;daemon&#x20;which&#x20;implements&#x20;the&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;.&#x20;It&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;NTP&#x20;can&#x20;be&#x20;found&#x20;at&#x20;https://www.ntp.org.&#x20;ntp&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.','If&#x20;chrony&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.','','Add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;to&#x20;/etc/chrony.conf&#x20;as&#x20;appropriate:&#x20;server&#x20;&lt;remote-server&gt;&#x20;&#x20;&#x20;Configure&#x20;chrony&#x20;to&#x20;run&#x20;as&#x20;the&#x20;chrony&#x20;user','[{\"cis\": [\"2.2.1.2\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5054,'Ensure&#x20;X&#x20;Window&#x20;System&#x20;is&#x20;not&#x20;installed','The&#x20;X&#x20;Window&#x20;System&#x20;provides&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;where&#x20;users&#x20;can&#x20;have&#x20;multiple&#x20;windows&#x20;in&#x20;which&#x20;to&#x20;run&#x20;programs&#x20;and&#x20;various&#x20;add&#x20;on.&#x20;The&#x20;X&#x20;Windows&#x20;system&#x20;is&#x20;typically&#x20;used&#x20;on&#x20;workstations&#x20;where&#x20;users&#x20;login,&#x20;but&#x20;not&#x20;on&#x20;servers&#x20;where&#x20;users&#x20;typically&#x20;do&#x20;not&#x20;login.','Unless&#x20;your&#x20;organization&#x20;specifically&#x20;requires&#x20;graphical&#x20;login&#x20;access&#x20;via&#x20;X&#x20;Windows,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;X&#x20;Windows&#x20;System&#x20;packages:&#x20;#&#x20;dnf&#x20;remove&#x20;xorg-x11*','[{\"cis\": [\"2.2.2\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5055,'Ensure&#x20;rsync&#x20;service&#x20;is&#x20;not&#x20;enabled','The&#x20;rsyncd&#x20;service&#x20;can&#x20;be&#x20;used&#x20;to&#x20;synchronize&#x20;files&#x20;between&#x20;systems&#x20;over&#x20;network&#x20;links.','The&#x20;rsyncd&#x20;service&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;rsync:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;rsyncd','[{\"cis\": [\"2.2.3\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5056,'Ensure&#x20;Avahi&#x20;Server&#x20;is&#x20;not&#x20;enabled','Avahi&#x20;is&#x20;a&#x20;free&#x20;zeroconf&#x20;implementation,&#x20;including&#x20;a&#x20;system&#x20;for&#x20;multicast&#x20;DNS/DNS-SD&#x20;service&#x20;discovery.&#x20;Avahi&#x20;allows&#x20;programs&#x20;to&#x20;publish&#x20;and&#x20;discover&#x20;services&#x20;and&#x20;hosts&#x20;running&#x20;on&#x20;a&#x20;local&#x20;network&#x20;with&#x20;no&#x20;specific&#x20;configuration.&#x20;For&#x20;example,&#x20;a&#x20;user&#x20;can&#x20;plug&#x20;a&#x20;computer&#x20;into&#x20;a&#x20;network&#x20;and&#x20;Avahi&#x20;automatically&#x20;finds&#x20;printers&#x20;to&#x20;print&#x20;to,&#x20;files&#x20;to&#x20;look&#x20;at&#x20;and&#x20;people&#x20;to&#x20;talk&#x20;to,&#x20;as&#x20;well&#x20;as&#x20;network&#x20;services&#x20;running&#x20;on&#x20;the&#x20;machine.','Automatic&#x20;discovery&#x20;of&#x20;network&#x20;services&#x20;is&#x20;not&#x20;normally&#x20;required&#x20;for&#x20;system&#x20;functionality.&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;disable&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;avahi-daemon:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;avahi-daemon','[{\"cis\": [\"2.2.4\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5057,'Ensure&#x20;SNMP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;can&#x20;communicate&#x20;using&#x20;SNMP&#x20;v1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;Unless&#x20;absolutely&#x20;necessary,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;SNMP&#x20;service&#x20;not&#x20;be&#x20;used.&#x20;If&#x20;SNMP&#x20;is&#x20;required&#x20;the&#x20;server&#x20;should&#x20;be&#x20;configured&#x20;to&#x20;disallow&#x20;SNMP&#x20;v1.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;snmpd:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;snmpd','[{\"cis\": [\"2.2.5\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5058,'Ensure&#x20;HTTP&#x20;Proxy&#x20;Server&#x20;is&#x20;not&#x20;enabled','Squid&#x20;is&#x20;a&#x20;standard&#x20;proxy&#x20;server&#x20;used&#x20;in&#x20;many&#x20;distributions&#x20;and&#x20;environments.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;proxy&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;squid:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;squid','[{\"cis\": [\"2.2.6\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5059,'Ensure&#x20;Samba&#x20;is&#x20;not&#x20;enabled','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Small&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.&#x20;Windows&#x20;desktop&#x20;users&#x20;will&#x20;be&#x20;able&#x20;to&#x20;mount&#x20;these&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;as&#x20;letter&#x20;drives&#x20;on&#x20;their&#x20;systems.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;service&#x20;can&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;smb:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;smb','[{\"cis\": [\"2.2.7\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5060,'Ensure&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;is&#x20;not&#x20;enabled','dovecot&#x20;is&#x20;an&#x20;open&#x20;source&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;POP3&#x20;and/or&#x20;IMAP&#x20;servers&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;by&#x20;this&#x20;system,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;dovecot:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;dovecot','[{\"cis\": [\"2.2.8\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5061,'Ensure&#x20;HTTP&#x20;server&#x20;is&#x20;not&#x20;enabled','HTTP&#x20;or&#x20;web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;httpd:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;httpd','[{\"cis\": [\"2.2.9\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5062,'Ensure&#x20;FTP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;FTP&#41;&#x20;provides&#x20;networked&#x20;computers&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;transfer&#x20;files.','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;sftp&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;vsftpd:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;vsftpd','[{\"cis\": [\"2.2.10\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5063,'Ensure&#x20;DNS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Domain&#x20;Name&#x20;System&#x20;&#40;DNS&#41;&#x20;is&#x20;a&#x20;hierarchical&#x20;naming&#x20;system&#x20;that&#x20;maps&#x20;names&#x20;to&#x20;IP&#x20;addresses&#x20;for&#x20;computers,&#x20;services&#x20;and&#x20;other&#x20;resources&#x20;connected&#x20;to&#x20;a&#x20;network.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;designated&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DNS&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;named&#x20;:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;named','[{\"cis\": [\"2.2.11\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5064,'Ensure&#x20;NFS&#x20;is&#x20;not&#x20;enabled','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;export&#x20;NFS&#x20;shares,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;NFS&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;nfs:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;nfs','[{\"cis\": [\"2.2.12\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5065,'Ensure&#x20;RPC&#x20;is&#x20;not&#x20;enabled','The&#x20;rpcbind&#x20;service&#x20;maps&#x20;Remote&#x20;Procedure&#x20;Call&#x20;&#40;RPC&#41;&#x20;services&#x20;to&#x20;the&#x20;ports&#x20;on&#x20;which&#x20;they&#x20;listen.&#x20;RPC&#x20;processes&#x20;notify&#x20;rpcbind&#x20;when&#x20;they&#x20;start,&#x20;registering&#x20;the&#x20;ports&#x20;they&#x20;are&#x20;listening&#x20;on&#x20;and&#x20;the&#x20;RPC&#x20;program&#x20;numbers&#x20;they&#x20;expect&#x20;to&#x20;serve.&#x20;The&#x20;client&#x20;system&#x20;then&#x20;contacts&#x20;rpcbind&#x20;on&#x20;the&#x20;server&#x20;with&#x20;a&#x20;particular&#x20;RPC&#x20;program&#x20;number.&#x20;The&#x20;rpcbind&#x20;service&#x20;redirects&#x20;the&#x20;client&#x20;to&#x20;the&#x20;proper&#x20;port&#x20;number&#x20;so&#x20;it&#x20;can&#x20;communicate&#x20;with&#x20;the&#x20;requested&#x20;service.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;require&#x20;rpc&#x20;based&#x20;services,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;rpcbind&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;nfs:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;rpcbind','[{\"cis\": [\"2.2.13\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5066,'Ensure&#x20;LDAP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;slapd:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;slapd','[{\"cis\": [\"2.2.14\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5067,'Ensure&#x20;DHCP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Dynamic&#x20;Host&#x20;Configuration&#x20;Protocol&#x20;&#40;DHCP&#41;&#x20;is&#x20;a&#x20;service&#x20;that&#x20;allows&#x20;machines&#x20;to&#x20;be&#x20;dynamically&#x20;assigned&#x20;IP&#x20;addresses.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;set&#x20;up&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DHCP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;dhcpd:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;dhcpd','[{\"cis\": [\"2.2.15\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5068,'Ensure&#x20;CUPS&#x20;is&#x20;not&#x20;enabled','The&#x20;Common&#x20;Unix&#x20;Print&#x20;System&#x20;&#40;CUPS&#41;&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;print&#x20;to&#x20;both&#x20;local&#x20;and&#x20;network&#x20;printers.&#x20;A&#x20;system&#x20;running&#x20;CUPS&#x20;can&#x20;also&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;remote&#x20;systems&#x20;and&#x20;print&#x20;them&#x20;to&#x20;local&#x20;printers.&#x20;It&#x20;also&#x20;provides&#x20;a&#x20;web&#x20;based&#x20;remote&#x20;administration&#x20;capability.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;need&#x20;to&#x20;print&#x20;jobs&#x20;or&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;systems,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;CUPS&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;cups&#x20;:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;cups','[{\"cis\": [\"2.2.16\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5069,'Ensure&#x20;NIS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;&#x20;&#40;formally&#x20;known&#x20;as&#x20;Yellow&#x20;Pages&#41;&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;for&#x20;distributing&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;server&#x20;is&#x20;a&#x20;collection&#x20;of&#x20;programs&#x20;that&#x20;allow&#x20;for&#x20;the&#x20;distribution&#x20;of&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;and&#x20;other,&#x20;more&#x20;secure&#x20;services&#x20;be&#x20;used','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;ypserv:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;ypserv','[{\"cis\": [\"2.2.17\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5070,'Ensure&#x20;mail&#x20;transfer&#x20;agent&#x20;is&#x20;configured&#x20;for&#x20;local-only&#x20;mode','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','','Edit&#x20;/etc/postfix/main.cf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;RECEIVING&#x20;MAIL&#x20;section.&#x20;If&#x20;the&#x20;line&#x20;already&#x20;exists,&#x20;change&#x20;it&#x20;to&#x20;look&#x20;like&#x20;the&#x20;line&#x20;below:&#x20;inet_interfaces&#x20;=&#x20;loopback-only&#x20;.&#x20;Restart&#x20;postfix:&#x20;#&#x20;systemctl&#x20;restart&#x20;postfix','[{\"cis\": [\"2.2.18\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AC.4\", \"SC.7\"]}, {\"tsc\": [\"CC5.2\", \"CC6.4\", \"CC6.6\", \"CC6.7\"]}]'),(5071,'Ensure&#x20;NIS&#x20;Client&#x20;is&#x20;not&#x20;installed','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;,&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;used&#x20;to&#x20;distribute&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;client&#x20;&#40;&#x20;ypbind&#x20;&#41;&#x20;was&#x20;used&#x20;to&#x20;bind&#x20;a&#x20;machine&#x20;to&#x20;an&#x20;NIS&#x20;server&#x20;and&#x20;receive&#x20;the&#x20;distributed&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;ypbind:&#x20;#&#x20;dnf&#x20;remove&#x20;ypbind','[{\"cis\": [\"2.3.1\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5072,'Ensure&#x20;telnet&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;telnet&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;client,&#x20;which&#x20;allows&#x20;users&#x20;to&#x20;start&#x20;connections&#x20;to&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security&#x20;and&#x20;is&#x20;included&#x20;in&#x20;most&#x20;Linux&#x20;distributions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;telnet&#x20;:&#x20;#&#x20;dnf&#x20;remove&#x20;telnet','[{\"cis\": [\"2.3.2\"]}, {\"cis_csc\": [\"4.5\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5073,'Ensure&#x20;LDAP&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;openldap-clients&#x20;:&#x20;#&#x20;dnf&#x20;remove&#x20;openldap-clients','[{\"cis\": [\"2.3.3\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5074,'Ensure&#x20;IP&#x20;forwarding&#x20;is&#x20;disabled','The&#x20;net.ipv4.ip_forward&#x20;and&#x20;net.ipv6.conf.all.forwarding&#x20;flags&#x20;are&#x20;used&#x20;to&#x20;tell&#x20;the&#x20;system&#x20;whether&#x20;it&#x20;can&#x20;forward&#x20;packets&#x20;or&#x20;not.','Setting&#x20;the&#x20;flags&#x20;to&#x20;0&#x20;ensures&#x20;that&#x20;a&#x20;system&#x20;with&#x20;multiple&#x20;interfaces&#x20;&#40;for&#x20;example,&#x20;a&#x20;hard&#x20;proxy&#41;,&#x20;will&#x20;never&#x20;be&#x20;able&#x20;to&#x20;forward&#x20;packets,&#x20;and&#x20;therefore,&#x20;never&#x20;serve&#x20;as&#x20;a&#x20;router.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;restore&#x20;the&#x20;default&#x20;parameters&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;grep&#x20;-Els&#x20;&quot;^s*net.ipv4.ip_forwards*=s*1&quot;&#x20;/etc/sysctl.conf&#x20;/etc/sysctl.d&#47;&#42;.conf&#x20;/usr/lib/sysctl.d&#47;&#42;.conf&#x20;/run/sysctl.d&#47;&#42;.conf&#x20;|&#x20;while&#x20;read&#x20;filename;&#x20;do&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;net.ipv4.ip_forwards*&#41;&#40;=&#41;&#40;s*S+&#x08;&#41;.*$/#&#x20;*REMOVED*&#x20;1/&quot;&#x20;&#x20;&quot;s/^s*&#40;net.ipv4.ip_forwards*&#41;&#40;=&#41;&#40;s*S+&#x08;&#41;.*$/#&#x20;*REMOVED*&#x20;1/&quot;&#x20;$filename;&#x20;done;&#x20;sysctl&#x20;-w&#x20;net.ipv4.ip_forward=0;&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1&#x20;&#x20;&#x20;&#x20;&amp;&amp;&#x20;&#x20;&#x20;#&#x20;grep&#x20;-Els&#x20;&quot;^s*net.ipv6.conf.all.forwardings*=s*1&quot;&#x20;/etc/sysctl.conf&#x20;/etc/sysctl.d&#47;&#42;.conf&#x20;/usr/lib/sysctl.d&#47;&#42;.conf&#x20;/run/sysctl.d&#47;&#42;.conf&#x20;|&#x20;while&#x20;read&#x20;filename;&#x20;do&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;net.ipv6.conf.all.forwardings*&#41;&#40;=&#41;&#40;s*S+&#x08;&#41;.*$/#&#x20;*REMOVED*&#x20;1/&quot;&#x20;$filename;&#x20;done;&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.forwarding=0;&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5075,'Ensure&#x20;packet&#x20;redirect&#x20;sending&#x20;is&#x20;disabled','ICMP&#x20;Redirects&#x20;are&#x20;used&#x20;to&#x20;send&#x20;routing&#x20;information&#x20;to&#x20;other&#x20;hosts.&#x20;As&#x20;a&#x20;host&#x20;itself&#x20;does&#x20;not&#x20;act&#x20;as&#x20;a&#x20;router&#x20;&#40;in&#x20;a&#x20;host&#x20;only&#x20;configuration&#41;,&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;send&#x20;redirects.','An&#x20;attacker&#x20;could&#x20;use&#x20;a&#x20;compromised&#x20;host&#x20;to&#x20;send&#x20;invalid&#x20;ICMP&#x20;redirects&#x20;to&#x20;other&#x20;router&#x20;devices&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;corrupt&#x20;routing&#x20;and&#x20;have&#x20;users&#x20;access&#x20;a&#x20;system&#x20;set&#x20;up&#x20;by&#x20;the&#x20;attacker&#x20;as&#x20;opposed&#x20;to&#x20;a&#x20;valid&#x20;system.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.send_redirects&#x20;=&#x20;0&#x20;net.ipv4.conf.default.send_redirects&#x20;=&#x20;0&#x20;.Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.send_redirects=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.send_redirects=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5076,'Ensure&#x20;source&#x20;routed&#x20;packets&#x20;are&#x20;not&#x20;accepted','In&#x20;networking,&#x20;source&#x20;routing&#x20;allows&#x20;a&#x20;sender&#x20;to&#x20;partially&#x20;or&#x20;fully&#x20;specify&#x20;the&#x20;route&#x20;packets&#x20;&#x20;take&#x20;through&#x20;a&#x20;network.&#x20;In&#x20;contrast,&#x20;non-source&#x20;routed&#x20;packets&#x20;travel&#x20;a&#x20;path&#x20;determined&#x20;by&#x20;routers&#x20;in&#x20;the&#x20;network.&#x20;In&#x20;some&#x20;cases,&#x20;systems&#x20;may&#x20;not&#x20;be&#x20;routable&#x20;or&#x20;reachable&#x20;from&#x20;some&#x20;locations&#x20;&#40;e.g.&#x20;private&#x20;addresses&#x20;vs.&#x20;Internet&#x20;routable&#41;,&#x20;and&#x20;so&#x20;source&#x20;routed&#x20;packets&#x20;would&#x20;need&#x20;to&#x20;be&#x20;used.','Setting&#x20;net.ipv4.conf.all.accept_source_route,&#x20;net.ipv4.conf.default.accept_source_route,&#x20;net.ipv6.conf.all.accept_source_route&#x20;and&#x20;net.ipv6.conf.default.accept_source_route&#x20;to&#x20;0&#x20;disables&#x20;the&#x20;system&#x20;from&#x20;accepting&#x20;source&#x20;routed&#x20;packets.&#x20;Assume&#x20;this&#x20;system&#x20;was&#x20;capable&#x20;of&#x20;routing&#x20;packets&#x20;to&#x20;Internet&#x20;routable&#x20;addresses&#x20;on&#x20;one&#x20;interface&#x20;and&#x20;private&#x20;addresses&#x20;on&#x20;another&#x20;interface.&#x20;Assume&#x20;that&#x20;the&#x20;private&#x20;addresses&#x20;were&#x20;not&#x20;routable&#x20;to&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;and&#x20;vice&#x20;versa.&#x20;Under&#x20;normal&#x20;routing&#x20;circumstances,&#x20;an&#x20;attacker&#x20;from&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;could&#x20;not&#x20;use&#x20;the&#x20;system&#x20;as&#x20;a&#x20;way&#x20;to&#x20;reach&#x20;the&#x20;private&#x20;address&#x20;systems.&#x20;If,&#x20;however,&#x20;source&#x20;routed&#x20;packets&#x20;were&#x20;allowed,&#x20;they&#x20;could&#x20;be&#x20;used&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;private&#x20;address&#x20;systems&#x20;as&#x20;the&#x20;route&#x20;could&#x20;be&#x20;specified,&#x20;rather&#x20;than&#x20;rely&#x20;on&#x20;routing&#x20;protocols&#x20;that&#x20;did&#x20;not&#x20;allow&#x20;this&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_source_route&#x20;=&#x20;0&#x20;&#x20;net.ipv4.conf.default.accept_source_route&#x20;=&#x20;0&#x20;&#x20;net.ipv6.conf.all.accept_source_route&#x20;=&#x20;0&#x20;&#x20;net.ipv6.conf.default.accept_source_route&#x20;=&#x20;0&#x20;and&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_source_route=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_source_route=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_source_route=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_source_route=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.2.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5077,'Ensure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','ICMP&#x20;redirect&#x20;messages&#x20;are&#x20;packets&#x20;that&#x20;convey&#x20;routing&#x20;information&#x20;and&#x20;tell&#x20;your&#x20;host&#x20;&#40;acting&#x20;as&#x20;a&#x20;router&#41;&#x20;to&#x20;send&#x20;packets&#x20;via&#x20;an&#x20;alternate&#x20;path.&#x20;It&#x20;is&#x20;a&#x20;way&#x20;of&#x20;allowing&#x20;an&#x20;outside&#x20;routing&#x20;device&#x20;to&#x20;update&#x20;your&#x20;system&#x20;routing&#x20;tables.&#x20;By&#x20;setting&#x20;net.ipv4.conf.all.accept_redirects&#x20;and&#x20;net.ipv6.conf.all.accept_redirects&#x20;to&#x20;0,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;accept&#x20;any&#x20;ICMP&#x20;redirect&#x20;messages,&#x20;and&#x20;therefore,&#x20;won&#039;t&#x20;allow&#x20;outsiders&#x20;to&#x20;update&#x20;the&#x20;system&#039;s&#x20;routing&#x20;tables.','Attackers&#x20;could&#x20;use&#x20;bogus&#x20;ICMP&#x20;redirect&#x20;messages&#x20;to&#x20;maliciously&#x20;alter&#x20;the&#x20;system&#x20;routing&#x20;tables&#x20;and&#x20;get&#x20;them&#x20;to&#x20;send&#x20;packets&#x20;to&#x20;incorrect&#x20;networks&#x20;and&#x20;allow&#x20;your&#x20;system&#x20;packets&#x20;to&#x20;be&#x20;captured.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_redirects&#x20;=&#x20;0&#x20;&#x20;net.ipv4.conf.default.accept_redirects&#x20;=&#x20;0&#x20;&#x20;net.ipv6.conf.all.accept_redirects&#x20;=&#x20;0&#x20;net.ipv6.conf.default.accept_redirects&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_redirects=0;&#x20;#&#x20;&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_redirects=0;&#x20;#&#x20;&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_redirects=0;&#x20;#&#x20;&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_redirects=0;&#x20;#&#x20;&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1&#x20;and&#x20;#&#x20;&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.2.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5078,'Ensure&#x20;secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','Secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;the&#x20;same&#x20;as&#x20;ICMP&#x20;redirects,&#x20;except&#x20;they&#x20;come&#x20;from&#x20;gateways&#x20;listed&#x20;on&#x20;the&#x20;default&#x20;gateway&#x20;list.&#x20;It&#x20;is&#x20;assumed&#x20;that&#x20;these&#x20;gateways&#x20;are&#x20;known&#x20;to&#x20;your&#x20;system,&#x20;and&#x20;that&#x20;they&#x20;are&#x20;likely&#x20;to&#x20;be&#x20;secure.','It&#x20;is&#x20;still&#x20;possible&#x20;for&#x20;even&#x20;known&#x20;gateways&#x20;to&#x20;be&#x20;compromised.&#x20;Setting&#x20;net.ipv4.conf.all.secure_redirects&#x20;to&#x20;0&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;routing&#x20;table&#x20;updates&#x20;by&#x20;possibly&#x20;compromised&#x20;known&#x20;gateways.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.secure_redirects&#x20;=&#x20;0&#x20;and&#x20;net.ipv4.conf.default.secure_redirects&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.secure_redirects=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.secure_redirects=0&#x20;and&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5079,'Ensure&#x20;suspicious&#x20;packets&#x20;are&#x20;logged','When&#x20;enabled,&#x20;this&#x20;feature&#x20;logs&#x20;packets&#x20;with&#x20;un-routable&#x20;source&#x20;addresses&#x20;to&#x20;the&#x20;kernel&#x20;log.','Enabling&#x20;this&#x20;feature&#x20;and&#x20;logging&#x20;these&#x20;packets&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;investigate&#x20;the&#x20;possibility&#x20;that&#x20;an&#x20;attacker&#x20;is&#x20;sending&#x20;spoofed&#x20;packets&#x20;to&#x20;their&#x20;system.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.log_martians&#x20;=&#x20;1&#x20;and&#x20;net.ipv4.conf.default.log_martians&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.log_martians=1;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.log_martians=1&#x20;and&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.4\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5080,'Ensure&#x20;broadcast&#x20;ICMP&#x20;requests&#x20;are&#x20;ignored','Setting&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;to&#x20;1&#x20;will&#x20;cause&#x20;the&#x20;system&#x20;to&#x20;ignore&#x20;all&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;to&#x20;broadcast&#x20;and&#x20;multicast&#x20;addresses.','Accepting&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;with&#x20;broadcast&#x20;or&#x20;multicast&#x20;destinations&#x20;for&#x20;your&#x20;network&#x20;could&#x20;be&#x20;used&#x20;to&#x20;trick&#x20;your&#x20;host&#x20;into&#x20;starting&#x20;&#40;or&#x20;participating&#41;&#x20;in&#x20;a&#x20;Smurf&#x20;attack.&#x20;A&#x20;Smurf&#x20;attack&#x20;relies&#x20;on&#x20;an&#x20;attacker&#x20;sending&#x20;large&#x20;amounts&#x20;of&#x20;ICMP&#x20;broadcast&#x20;messages&#x20;with&#x20;a&#x20;spoofed&#x20;source&#x20;address.&#x20;All&#x20;hosts&#x20;receiving&#x20;this&#x20;message&#x20;and&#x20;responding&#x20;would&#x20;send&#x20;echo-reply&#x20;messages&#x20;back&#x20;to&#x20;the&#x20;spoofed&#x20;address,&#x20;which&#x20;is&#x20;probably&#x20;not&#x20;routable.&#x20;If&#x20;many&#x20;hosts&#x20;respond&#x20;to&#x20;the&#x20;packets,&#x20;the&#x20;amount&#x20;of&#x20;traffic&#x20;on&#x20;the&#x20;network&#x20;could&#x20;be&#x20;significantly&#x20;multiplied.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restore&#x20;the&#x20;default&#x20;parameters&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;grep&#x20;-Els&#x20;&quot;^s*net.ipv4.icmp_echo_ignore_broadcastss*=s*0&quot;&#x20;/etc/sysctl.conf&#x20;/etc/sysctl.d&#47;&#42;.conf&#x20;/usr/lib/sysctl.d&#47;&#42;.conf&#x20;/etc/sysctl.conf&#x20;/etc/sysctl.d&#47;&#42;.conf&#x20;/usr/lib/sysctl.d&#47;&#42;.conf&#x20;&quot;s/^s*&#40;net.ipv4.icmp_echo_ignore_broadcastss*&#41;&#40;=&#41;&#40;s*S+&#x08;&#41;.*$/#&#x20;*REMOVED*&#x20;1/&quot;&#x20;$filename;&#x20;done;&#x20;sysctl&#x20;-w&#x20;net.icmp_echo_ignore_broadcasts=1;&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5081,'Ensure&#x20;bogus&#x20;ICMP&#x20;responses&#x20;are&#x20;ignored','Setting&#x20;icmp_ignore_bogus_error_responses&#x20;to&#x20;1&#x20;prevents&#x20;the&#x20;kernel&#x20;from&#x20;logging&#x20;bogus&#x20;responses&#x20;&#40;RFC-1122&#x20;non-compliant&#41;&#x20;from&#x20;broadcast&#x20;reframes,&#x20;keeping&#x20;file&#x20;systems&#x20;from&#x20;filling&#x20;up&#x20;with&#x20;useless&#x20;log&#x20;messages.','Some&#x20;routers&#x20;&#40;and&#x20;some&#x20;attackers&#41;&#x20;will&#x20;send&#x20;responses&#x20;that&#x20;violate&#x20;RFC-1122&#x20;and&#x20;attempt&#x20;to&#x20;fill&#x20;up&#x20;a&#x20;log&#x20;file&#x20;system&#x20;with&#x20;many&#x20;useless&#x20;error&#x20;messages.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;restore&#x20;the&#x20;default&#x20;parameters&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;grep&#x20;-Els&#x20;&quot;^s*net.ipv4.icmp_ignore_bogus_error_responsess*=s*0&#x20;/etc/sysctl.conf&#x20;/etc/sysctl.d&#47;&#42;.conf&#x20;/usr/lib/sysctl.d&#47;&#42;.conf&#x20;/run/sysctl.d&#47;&#42;.conf&#x20;|&#x20;while&#x20;read&#x20;filename;&#x20;do&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;net.ipv4.icmp_ignore_bogus_error_responsess*&#41;&#40;=&#41;&#40;s*S+&#x08;&#41;.*$/#&#x20;*REMOVED*&#x20;1/&quot;&#x20;$filename;&#x20;done;&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_ignore_bogus_error_responses=1;&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1&quot;','[{\"cis\": [\"3.2.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5082,'Ensure&#x20;Reverse&#x20;Path&#x20;Filtering&#x20;is&#x20;enabled','Setting&#x20;net.ipv4.conf.all.rp_filter&#x20;and&#x20;net.ipv4.conf.default.rp_filter&#x20;to&#x20;1&#x20;forces&#x20;the&#x20;Linux&#x20;kernel&#x20;to&#x20;utilize&#x20;reverse&#x20;path&#x20;filtering&#x20;on&#x20;a&#x20;received&#x20;packet&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;packet&#x20;was&#x20;valid.&#x20;Essentially,&#x20;with&#x20;reverse&#x20;path&#x20;filtering,&#x20;if&#x20;the&#x20;return&#x20;packet&#x20;does&#x20;not&#x20;go&#x20;out&#x20;the&#x20;same&#x20;interface&#x20;that&#x20;the&#x20;corresponding&#x20;source&#x20;packet&#x20;came&#x20;from,&#x20;the&#x20;packet&#x20;is&#x20;dropped&#x20;&#40;and&#x20;logged&#x20;if&#x20;log_martians&#x20;is&#x20;set&#41;.','Setting&#x20;these&#x20;flags&#x20;is&#x20;a&#x20;good&#x20;way&#x20;to&#x20;deter&#x20;attackers&#x20;from&#x20;sending&#x20;your&#x20;system&#x20;bogus&#x20;packets&#x20;that&#x20;cannot&#x20;be&#x20;responded&#x20;to.&#x20;One&#x20;instance&#x20;where&#x20;this&#x20;feature&#x20;breaks&#x20;down&#x20;is&#x20;if&#x20;asymmetrical&#x20;routing&#x20;is&#x20;employed.&#x20;This&#x20;would&#x20;occur&#x20;when&#x20;using&#x20;dynamic&#x20;routing&#x20;protocols&#x20;&#40;bgp,&#x20;ospf,&#x20;etc&#41;&#x20;on&#x20;your&#x20;system.&#x20;If&#x20;you&#x20;are&#x20;using&#x20;asymmetrical&#x20;routing&#x20;on&#x20;your&#x20;system,&#x20;you&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;enable&#x20;this&#x20;feature&#x20;without&#x20;breaking&#x20;the&#x20;routing.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restore&#x20;the&#x20;default&#x20;net.ipv4.conf.all.rp_filter&#x20;=&#x20;1&#x20;parameter&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;grep&#x20;-Els&#x20;&quot;^s*net.ipv4.conf.all.rp_filters*=s*0&quot;&#x20;/etc/sysctl.conf&#x20;/etc/sysctl.d&#47;&#42;.conf&#x20;/usr/lib/sysctl.d&#47;&#42;.conf&#x20;/run/sysctl.d&#47;&#42;.conf&#x20;|&#x20;while&#x20;read&#x20;filename;&#x20;do&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;net.ipv4.net.ipv4.conf.all.rp_filters*&#41;&#40;=&#41;&#40;s*S+&#x08;&#41;.*$/#&#x20;*REMOVED*&#x20;1/&quot;&#x20;$filename;&#x20;done;&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.rp_filter=1;&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1&#x20;.Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.default.rp_filter=1&#x20;and&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.rp_filter=1&#x20;and&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5083,'Ensure&#x20;TCP&#x20;SYN&#x20;Cookies&#x20;is&#x20;enabled','When&#x20;tcp_syncookies&#x20;is&#x20;set,&#x20;the&#x20;kernel&#x20;will&#x20;handle&#x20;TCP&#x20;SYN&#x20;packets&#x20;normally&#x20;until&#x20;the&#x20;half-open&#x20;connection&#x20;queue&#x20;is&#x20;full,&#x20;at&#x20;which&#x20;time,&#x20;the&#x20;SYN&#x20;cookie&#x20;functionality&#x20;kicks&#x20;in.&#x20;SYN&#x20;cookies&#x20;work&#x20;by&#x20;not&#x20;using&#x20;the&#x20;SYN&#x20;queue&#x20;at&#x20;all.&#x20;Instead,&#x20;the&#x20;kernel&#x20;simply&#x20;replies&#x20;to&#x20;the&#x20;SYN&#x20;with&#x20;a&#x20;SYN|ACK,&#x20;but&#x20;will&#x20;include&#x20;a&#x20;specially&#x20;crafted&#x20;TCP&#x20;sequence&#x20;number&#x20;that&#x20;encodes&#x20;the&#x20;source&#x20;and&#x20;destination&#x20;IP&#x20;address&#x20;and&#x20;port&#x20;number&#x20;and&#x20;the&#x20;time&#x20;the&#x20;packet&#x20;was&#x20;sent.&#x20;A&#x20;legitimate&#x20;connection&#x20;would&#x20;send&#x20;the&#x20;ACK&#x20;packet&#x20;of&#x20;the&#x20;three&#x20;way&#x20;handshake&#x20;with&#x20;the&#x20;specially&#x20;crafted&#x20;sequence&#x20;number.&#x20;This&#x20;allows&#x20;the&#x20;system&#x20;to&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;received&#x20;a&#x20;valid&#x20;response&#x20;to&#x20;a&#x20;SYN&#x20;cookie&#x20;and&#x20;allow&#x20;the&#x20;connection,&#x20;even&#x20;though&#x20;there&#x20;is&#x20;no&#x20;corresponding&#x20;SYN&#x20;in&#x20;the&#x20;queue.','Attackers&#x20;use&#x20;SYN&#x20;flood&#x20;attacks&#x20;to&#x20;perform&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attacked&#x20;on&#x20;a&#x20;system&#x20;by&#x20;sending&#x20;many&#x20;SYN&#x20;packets&#x20;without&#x20;completing&#x20;the&#x20;three&#x20;way&#x20;handshake.&#x20;This&#x20;will&#x20;quickly&#x20;use&#x20;up&#x20;slots&#x20;in&#x20;the&#x20;kernel&#039;s&#x20;half-open&#x20;connection&#x20;queue&#x20;and&#x20;prevent&#x20;legitimate&#x20;connections&#x20;from&#x20;succeeding.&#x20;SYN&#x20;cookies&#x20;allow&#x20;the&#x20;system&#x20;to&#x20;keep&#x20;accepting&#x20;valid&#x20;connections,&#x20;even&#x20;if&#x20;under&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attack.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restore&#x20;the&#x20;default&#x20;parameter&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;grep&#x20;-Els&#x20;&quot;^s*net.ipv4.tcp_syncookiess*=s*[02]*&quot;&#x20;/etc/sysctl.conf&#x20;/etc/sysctl.d&#47;&#42;.conf&#x20;/usr/lib/sysctl.d&#47;&#42;.conf&#x20;/run/sysctl.d&#47;&#42;.conf&#x20;|&#x20;while&#x20;read&#x20;filename;&#x20;do&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;net.ipv4.tcp_syncookiess*&#41;&#40;=&#41;&#40;s*S+&#x08;&#41;.*$/#&#x20;*REMOVED*&#x20;1/&quot;&#x20;$filename;&#x20;done;&#x20;sysctl&#x20;-w&#x20;net.ipv4.tcp_syncookies=1;&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.8\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5084,'Ensure&#x20;IPv6&#x20;router&#x20;advertisements&#x20;are&#x20;not&#x20;accepted','This&#x20;setting&#x20;disables&#x20;the&#x20;system&#039;s&#x20;ability&#x20;to&#x20;accept&#x20;IPv6&#x20;router&#x20;advertisements.','It&#x20;is&#x20;recommended&#x20;that&#x20;systems&#x20;do&#x20;not&#x20;accept&#x20;router&#x20;advertisements&#x20;as&#x20;they&#x20;could&#x20;be&#x20;tricked&#x20;into&#x20;routing&#x20;traffic&#x20;to&#x20;compromised&#x20;machines.&#x20;Setting&#x20;hard&#x20;routes&#x20;within&#x20;the&#x20;system&#x20;&#40;usually&#x20;a&#x20;single&#x20;default&#x20;route&#x20;to&#x20;a&#x20;trusted&#x20;router&#41;&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;bad&#x20;routes.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv6.conf.all.accept_ra&#x20;=&#x20;0&#x20;and&#x20;net.ipv6.conf.default.accept_ra&#x20;=&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_ra=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_ra=0&#x20;and&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1;','[{\"cis\": [\"3.2.9\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5085,'Ensure&#x20;DCCP&#x20;is&#x20;disabled','The&#x20;Datagram&#x20;Congestion&#x20;Control&#x20;Protocol&#x20;&#40;DCCP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;that&#x20;supports&#x20;streaming&#x20;media&#x20;and&#x20;telephony.&#x20;DCCP&#x20;provides&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;congestion&#x20;control,&#x20;without&#x20;having&#x20;to&#x20;do&#x20;it&#x20;at&#x20;the&#x20;application&#x20;layer,&#x20;but&#x20;does&#x20;not&#x20;provide&#x20;in-sequence&#x20;delivery','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;drivers&#x20;not&#x20;be&#x20;installed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf.&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/dccp.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;dccp&#x20;/bin/true','[{\"cis\": [\"3.3.1\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5086,'Ensure&#x20;SCTP&#x20;is&#x20;disabled','The&#x20;Stream&#x20;Control&#x20;Transmission&#x20;Protocol&#x20;&#40;SCTP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;used&#x20;to&#x20;support&#x20;message&#x20;oriented&#x20;communication,&#x20;with&#x20;several&#x20;streams&#x20;of&#x20;messages&#x20;in&#x20;one&#x20;connection.&#x20;It&#x20;serves&#x20;a&#x20;similar&#x20;function&#x20;as&#x20;TCP&#x20;and&#x20;UDP,&#x20;incorporating&#x20;features&#x20;of&#x20;both.&#x20;It&#x20;is&#x20;message-oriented&#x20;like&#x20;UDP,&#x20;and&#x20;ensures&#x20;reliable&#x20;in-sequence&#x20;transport&#x20;of&#x20;messages&#x20;with&#x20;congestion&#x20;control&#x20;like&#x20;TCP.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;.Example:&#x20;vim&#x20;/etc/modprobe.d/sctp.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;sctp&#x20;/bin/true','[{\"cis\": [\"3.3.2\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5087,'Ensure&#x20;RDS&#x20;is&#x20;disabled','The&#x20;Reliable&#x20;Datagram&#x20;Sockets&#x20;&#40;RDS&#41;&#x20;protocol&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;designed&#x20;to&#x20;provide&#x20;low-latency,&#x20;high-bandwidth&#x20;communications&#x20;between&#x20;cluster&#x20;nodes.&#x20;It&#x20;was&#x20;developed&#x20;by&#x20;the&#x20;Oracle&#x20;Corporation.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;.Example:&#x20;vim&#x20;/etc/modprobe.d/rds.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;rds&#x20;/bin/true','[{\"cis\": [\"3.3.3\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5088,'Ensure&#x20;TIPC&#x20;is&#x20;disabled','The&#x20;Transparent&#x20;Inter-Process&#x20;Communication&#x20;&#40;TIPC&#41;&#x20;protocol&#x20;is&#x20;designed&#x20;to&#x20;provide&#x20;communication&#x20;between&#x20;cluster&#x20;nodes.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;.Example:&#x20;vim&#x20;/etc/modprobe.d/tipc.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;tipc&#x20;/bin/true','[{\"cis\": [\"3.3.4\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5089,'Ensure&#x20;a&#x20;Firewall&#x20;package&#x20;is&#x20;installed','A&#x20;Firewall&#x20;package&#x20;should&#x20;be&#x20;selected.&#x20;Most&#x20;firewall&#x20;configuration&#x20;utilities&#x20;operate&#x20;as&#x20;a&#x20;front&#x20;end&#x20;to&#x20;nftables&#x20;or&#x20;iptables.','A&#x20;Firewall&#x20;package&#x20;is&#x20;required&#x20;for&#x20;firewall&#x20;management&#x20;and&#x20;configuration.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;install&#x20;a&#x20;Firewall&#x20;package.&#x20;For&#x20;firewalld:&#x20;dnf&#x20;install&#x20;firewalld&#x20;.For&#x20;nftables:&#x20;#&#x20;dnf&#x20;install&#x20;nftables.&#x20;For&#x20;iptables:&#x20;#&#x20;dnf&#x20;install&#x20;iptables','[{\"cis\": [\"3.4.1.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.1\"]}, {\"tsc\": [\"CC6.6\"]}]'),(5090,'Ensure&#x20;firewalld&#x20;service&#x20;is&#x20;enabled&#x20;and&#x20;running','Ensure&#x20;that&#x20;the&#x20;firewalld&#x20;service&#x20;is&#x20;enabled&#x20;to&#x20;protect&#x20;your&#x20;system','firewalld&#x20;&#40;Dynamic&#x20;Firewall&#x20;Manager&#41;&#x20;tool&#x20;provides&#x20;a&#x20;dynamically&#x20;managed&#x20;firewall.&#x20;The&#x20;tool&#x20;enables&#x20;network/firewall&#x20;zones&#x20;to&#x20;define&#x20;the&#x20;trust&#x20;level&#x20;of&#x20;network&#x20;connections&#x20;and/or&#x20;interfaces.&#x20;It&#x20;has&#x20;support&#x20;both&#x20;for&#x20;IPv4&#x20;and&#x20;IPv6&#x20;firewall&#x20;settings.&#x20;Also,&#x20;it&#x20;supports&#x20;Ethernet&#x20;bridges&#x20;and&#x20;allow&#x20;you&#x20;to&#x20;separate&#x20;between&#x20;runtime&#x20;and&#x20;permanent&#x20;configuration&#x20;options.&#x20;Finally,&#x20;it&#x20;supports&#x20;an&#x20;interface&#x20;for&#x20;services&#x20;or&#x20;applications&#x20;to&#x20;add&#x20;firewall&#x20;rules&#x20;directly','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;firewalld:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;firewalld','[{\"cis\": [\"3.4.2.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2\"]}, {\"tsc\": [\"CC6.6\"]}]'),(5091,'Ensure&#x20;iptables&#x20;is&#x20;not&#x20;enabled','IPtables&#x20;is&#x20;an&#x20;application&#x20;that&#x20;allows&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;configure&#x20;the&#x20;IPv4&#x20;and&#x20;IPv6&#x20;tables,&#x20;chains&#x20;and&#x20;rules&#x20;provided&#x20;by&#x20;the&#x20;Linux&#x20;kernel&#x20;firewall.&#x20;IPtables&#x20;is&#x20;installed&#x20;as&#x20;a&#x20;dependency&#x20;with&#x20;firewalld.','Running&#x20;firewalld&#x20;and&#x20;IPtables&#x20;concurrently&#x20;may&#x20;lead&#x20;to&#x20;conflict,&#x20;therefore&#x20;IPtables&#x20;should&#x20;be&#x20;stopped&#x20;and&#x20;masked&#x20;when&#x20;using&#x20;firewalld.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;iptables:&#x20;systemctl&#x20;--now&#x20;mask&#x20;iptables','[{\"cis\": [\"3.4.2.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2\"]}, {\"tsc\": [\"CC6.6\"]}]'),(5092,'Ensure&#x20;nftables&#x20;is&#x20;not&#x20;enabled','nftables&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;Linux&#x20;kernel&#x20;providing&#x20;filtering&#x20;and&#x20;classification&#x20;of&#x20;network&#x20;packets/datagrams/frames&#x20;and&#x20;is&#x20;the&#x20;successor&#x20;to&#x20;iptables.&#x20;nftables&#x20;are&#x20;installed&#x20;as&#x20;a&#x20;dependency&#x20;with&#x20;firewalld.','Running&#x20;firewalld&#x20;and&#x20;nftables&#x20;concurrently&#x20;may&#x20;lead&#x20;to&#x20;conflict,&#x20;therefore&#x20;nftables&#x20;should&#x20;be&#x20;stopped&#x20;and&#x20;masked&#x20;when&#x20;using&#x20;firewalld.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;mask&#x20;and&#x20;stop&#x20;nftables:&#x20;systemctl&#x20;--now&#x20;mask&#x20;nftables','[{\"cis\": [\"3.4.2.3\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2\"]}, {\"tsc\": [\"CC6.6\"]}]'),(5093,'Ensure&#x20;iptables&#x20;are&#x20;flushed','nftables&#x20;is&#x20;a&#x20;replacement&#x20;for&#x20;iptables,&#x20;ip6tables,&#x20;ebtables&#x20;and&#x20;arptables','It&#x20;is&#x20;possible&#x20;to&#x20;mix&#x20;iptables&#x20;and&#x20;nftables.&#x20;However,&#x20;this&#x20;increases&#x20;complexity&#x20;and&#x20;also&#x20;the&#x20;chance&#x20;to&#x20;introduce&#x20;errors.&#x20;For&#x20;simplicity&#x20;flush&#x20;out&#x20;all&#x20;iptables&#x20;rules,&#x20;and&#x20;ensure&#x20;it&#x20;is&#x20;not&#x20;loaded.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;flush&#x20;iptables:&#x20;For&#x20;iptables:&#x20;#&#x20;iptables&#x20;-F&#x20;and&#x20;For&#x20;ip6tables:&#x20;#&#x20;ip6tables&#x20;-F','[{\"cis\": [\"3.4.3.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2\"]}, {\"tsc\": [\"CC6.6\"]}]'),(5094,'Ensure&#x20;a&#x20;table&#x20;exists','Tables&#x20;hold&#x20;chains.&#x20;Each&#x20;table&#x20;only&#x20;has&#x20;one&#x20;address&#x20;family&#x20;and&#x20;only&#x20;applies&#x20;to&#x20;packets&#x20;of&#x20;this&#x20;family.&#x20;Tables&#x20;can&#x20;have&#x20;one&#x20;of&#x20;five&#x20;families.','nftables&#x20;doesn&#039;t&#x20;have&#x20;any&#x20;default&#x20;tables.&#x20;Without&#x20;a&#x20;table&#x20;being&#x20;build,&#x20;nftables&#x20;will&#x20;not&#x20;filter&#x20;network&#x20;traffic.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;a&#x20;table&#x20;in&#x20;nftables:&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;.Example:&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;filter','[{\"cis\": [\"3.4.3.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2\"]}, {\"tsc\": [\"CC6.6\"]}]'),(5095,'Ensure&#x20;base&#x20;chains&#x20;exist','Chains&#x20;are&#x20;containers&#x20;for&#x20;rules.&#x20;They&#x20;exist&#x20;in&#x20;two&#x20;kinds,&#x20;base&#x20;chains&#x20;and&#x20;regular&#x20;chains.&#x20;A&#x20;base&#x20;chain&#x20;is&#x20;an&#x20;entry&#x20;point&#x20;for&#x20;packets&#x20;from&#x20;the&#x20;networking&#x20;stack,&#x20;a&#x20;regular&#x20;chain&#x20;may&#x20;be&#x20;used&#x20;as&#x20;jump&#x20;target&#x20;and&#x20;is&#x20;used&#x20;for&#x20;better&#x20;rule&#x20;organization.','If&#x20;a&#x20;base&#x20;chain&#x20;doesn&#039;t&#x20;exist&#x20;with&#x20;a&#x20;hook&#x20;for&#x20;input,&#x20;forward,&#x20;and&#x20;delete,&#x20;packets&#x20;that&#x20;would&#x20;flow&#x20;through&#x20;those&#x20;chains&#x20;will&#x20;not&#x20;be&#x20;touched&#x20;by&#x20;nftables.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;the&#x20;base&#x20;chains:&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;&lt;base&#x20;chain&#x20;name&gt;&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;&lt;&#40;input|forward|output&#41;&gt;&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;.&#x20;Example:&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;input&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;input&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;forward&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;forward&#x20;priority&#x20;0;&#x20;}&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;output&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;output&#x20;priority&#x20;0&#x20;;&#x20;}','[{\"cis\": [\"3.4.3.3\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2\"]}, {\"tsc\": [\"CC6.6\"]}]'),(5096,'Ensure&#x20;default&#x20;deny&#x20;firewall&#x20;policy','Base&#x20;chain&#x20;policy&#x20;is&#x20;the&#x20;default&#x20;verdict&#x20;that&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;packets&#x20;reaching&#x20;the&#x20;end&#x20;of&#x20;the&#x20;chain.','There&#x20;are&#x20;two&#x20;policies:&#x20;accept&#x20;&#40;Default&#41;&#x20;and&#x20;drop.&#x20;If&#x20;the&#x20;policy&#x20;is&#x20;set&#x20;to&#x20;accept&#x20;,&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied&#x20;and&#x20;the&#x20;packet&#x20;will&#x20;continue&#x20;transversing&#x20;the&#x20;network&#x20;stack.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;command&#x20;for&#x20;the&#x20;base&#x20;chains&#x20;with&#x20;the&#x20;input,&#x20;forward,&#x20;and&#x20;output&#x20;hooks&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;nft&#x20;chain&#x20;&lt;table&#x20;family&gt;&#x20;&lt;table&#x20;name&gt;&#x20;&lt;chain&#x20;name&gt;&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;.&#x20;Example:&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;input&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;;&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;forward&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;and&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;output&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}','[{\"cis\": [\"3.4.3.6\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC6.6\"]}]'),(5097,'Ensure&#x20;nftables&#x20;service&#x20;is&#x20;enabled','The&#x20;nftables&#x20;service&#x20;allows&#x20;for&#x20;the&#x20;loading&#x20;of&#x20;nftables&#x20;rulesets&#x20;during&#x20;boot,&#x20;or&#x20;starting&#x20;of&#x20;the&#x20;nftables&#x20;service.','The&#x20;nftables&#x20;service&#x20;restores&#x20;the&#x20;nftables&#x20;rules&#x20;from&#x20;the&#x20;rules&#x20;files&#x20;referenced&#x20;in&#x20;the&#x20;/etc/sysconfig/nftables.conf&#x20;file&#x20;during&#x20;boot&#x20;or&#x20;the&#x20;starting&#x20;of&#x20;the&#x20;nftables&#x20;service.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;nftables&#x20;service:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;nftables','[{\"cis\": [\"3.4.3.7\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2\"]}, {\"tsc\": [\"CC6.6\"]}]'),(5098,'Ensure&#x20;iptables&#x20;default&#x20;deny&#x20;firewall&#x20;policy','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;iptables&#x20;-P&#x20;INPUT&#x20;DROP;&#x20;#&#x20;iptables&#x20;-P&#x20;OUTPUT&#x20;DROP;&#x20;#&#x20;iptables&#x20;-P&#x20;FORWARD&#x20;DROP','[{\"cis\": [\"3.4.4.1.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC6.6\"]}]'),(5099,'Ensure&#x20;loopback&#x20;traffic&#x20;is&#x20;configured','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-s&#x20;127.0.0.0/8&#x20;-j&#x20;DROP','[{\"cis\": [\"3.4.4.1.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC6.6\"]}]'),(5100,'Ensure&#x20;IPv6&#x20;default&#x20;deny&#x20;firewall&#x20;policy','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;ip6tables&#x20;-P&#x20;INPUT&#x20;DROP;&#x20;#&#x20;ip6tables&#x20;-P&#x20;OUTPUT&#x20;DROP;&#x20;#&#x20;ip6tables&#x20;-P&#x20;FORWARD&#x20;DROP','[{\"cis\": [\"3.4.4.2.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC6.6\"]}]'),(5101,'Ensure&#x20;loopback&#x20;traffic&#x20;is&#x20;configured','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;::1&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;::1&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;ip6tables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-s&#x20;::1&#x20;-j&#x20;DROP','[{\"cis\": [\"3.4.4.2.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC6.6\"]}]'),(5102,'Ensure&#x20;wireless&#x20;interfaces&#x20;are&#x20;disabled','Wireless&#x20;networking&#x20;is&#x20;used&#x20;when&#x20;wired&#x20;networks&#x20;are&#x20;unavailable.&#x20;Red&#x20;Hat&#x20;Enterprise&#x20;Linux&#x20;contains&#x20;a&#x20;wireless&#x20;tool&#x20;kit&#x20;to&#x20;allow&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;and&#x20;use&#x20;wireless&#x20;networks.','If&#x20;wireless&#x20;is&#x20;not&#x20;to&#x20;be&#x20;used,&#x20;wireless&#x20;devices&#x20;can&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;any&#x20;wireless&#x20;interfaces:&#x20;#&#x20;nmcli&#x20;radio&#x20;all&#x20;off&#x20;.&#x20;Disable&#x20;any&#x20;wireless&#x20;interfaces&#x20;in&#x20;your&#x20;network&#x20;configuration.','[{\"cis\": [\"3.5\"]}, {\"cis_csc\": [\"15.4\", \"15.5\"]}, {\"pci_dss\": [\"1.2.3\"]}, {\"tsc\": [\"CC6.6\"]}]'),(5103,'Disable&#x20;IPv6','Although&#x20;IPv6&#x20;has&#x20;many&#x20;advantages&#x20;over&#x20;IPv4,&#x20;not&#x20;all&#x20;organizations&#x20;have&#x20;IPv6&#x20;or&#x20;dual&#x20;stack&#x20;configurations&#x20;implemented.','If&#x20;IPv6&#x20;or&#x20;dual&#x20;stack&#x20;is&#x20;not&#x20;to&#x20;be&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;IPv6&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;ipv6.disable=1&#x20;to&#x20;the&#x20;GRUB_CMDLINE_LINUX&#x20;parameters:&#x20;GRUB_CMDLINE_LINUX=&quot;ipv6.disable=1&quot;&#x20;.Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;grub2-mkconfig&#x20;-o&#x20;/boot/grub2/grub.cfg','[{\"cis\": [\"3.6\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.6\", \"CC5.2\"]}]'),(5104,'Ensure&#x20;rsyslog&#x20;is&#x20;installed','The&#x20;rsyslog&#x20;software&#x20;is&#x20;a&#x20;recommended&#x20;replacement&#x20;to&#x20;the&#x20;original&#x20;syslogd&#x20;daemon&#x20;which&#x20;provide&#x20;improvements&#x20;over&#x20;syslogd&#x20;,&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server.','The&#x20;security&#x20;enhancements&#x20;of&#x20;rsyslog&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server&#41;&#x20;justify&#x20;installing&#x20;and&#x20;configuring&#x20;the&#x20;package.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;rsyslog:&#x20;&#x20;&#x20;#&#x20;dnf&#x20;install&#x20;rsyslog','[{\"cis\": [\"4.2.1.1\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5105,'Ensure&#x20;auditd&#x20;is&#x20;installed','auditd&#x20;is&#x20;the&#x20;userspace&#x20;component&#x20;to&#x20;the&#x20;Linux&#x20;Auditing&#x20;System.&#x20;It&#039;s&#x20;responsible&#x20;for&#x20;writing&#x20;audit&#x20;records&#x20;to&#x20;the&#x20;disk.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;Install&#x20;auditd&#x20;#&#x20;dnf&#x20;install&#x20;audit&#x20;audit-libs','[{\"cis\": [\"4.1.1.1\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\"]}, {\"nist_800_53\": [\"AU.2\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5106,'Ensure&#x20;auditd&#x20;service&#x20;is&#x20;enabled','Turn&#x20;on&#x20;the&#x20;auditd&#x20;daemon&#x20;to&#x20;record&#x20;system&#x20;events.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;auditd&#x20;:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;auditd','[{\"cis\": [\"4.1.2\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\", \"10.7\"]}, {\"nist_800_53\": [\"AU.2\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5107,'Ensure&#x20;auditing&#x20;for&#x20;processes&#x20;that&#x20;start&#x20;prior&#x20;to&#x20;auditd&#x20;is&#x20;enabled','Configure&#x20;grub2&#x20;so&#x20;that&#x20;processes&#x20;that&#x20;are&#x20;capable&#x20;of&#x20;being&#x20;audited&#x20;can&#x20;be&#x20;audited&#x20;even&#x20;if&#x20;they&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;startup.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit=1&#x20;to&#x20;GRUB_CMDLINE_LINUX&#x20;:&#x20;GRUB_CMDLINE_LINUX=&quot;audit=1&quot;&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;grub2-mkconfig&#x20;-o&#x20;/boot/grub2/grub.cfg','[{\"cis\": [\"4.1.1.3\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.2.6\", \"10.7\"]}, {\"nist_800_53\": [\"AU.2\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"35.7.d\", \"32.2\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5108,'Ensure&#x20;audit_backlog_limit&#x20;is&#x20;sufficient','The&#x20;backlog&#x20;limit&#x20;has&#x20;a&#x20;default&#x20;setting&#x20;of&#x20;64.','During&#x20;boot&#x20;if&#x20;audit=1,&#x20;then&#x20;the&#x20;backlog&#x20;will&#x20;hold&#x20;64&#x20;records.&#x20;If&#x20;more&#x20;than&#x20;64&#x20;records&#x20;are&#x20;created&#x20;during&#x20;boot,&#x20;auditd&#x20;records&#x20;will&#x20;be&#x20;lost&#x20;and&#x20;potential&#x20;malicious&#x20;activity&#x20;could&#x20;go&#x20;undetected.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit_backlog_limit=&lt;BACKLOG&#x20;SIZE&gt;&#x20;to&#x20;GRUB_CMDLINE_LINUX:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;grub2-mkconfig&#x20;-o&#x20;/boot/grub2/grub.cfg','[{\"cis\": [\"4.1.1.4\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.7\"]}, {\"nist_800_53\": [\"AU.4\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(5109,'Ensure&#x20;audit&#x20;log&#x20;storage&#x20;size&#x20;is&#x20;configured','Configure&#x20;the&#x20;maximum&#x20;size&#x20;of&#x20;the&#x20;audit&#x20;log&#x20;file.&#x20;Once&#x20;the&#x20;log&#x20;reaches&#x20;the&#x20;maximum&#x20;size,&#x20;it&#x20;will&#x20;be&#x20;rotated&#x20;and&#x20;a&#x20;new&#x20;log&#x20;file&#x20;will&#x20;be&#x20;started.','It&#x20;is&#x20;important&#x20;that&#x20;an&#x20;appropriate&#x20;size&#x20;is&#x20;determined&#x20;for&#x20;log&#x20;files&#x20;so&#x20;that&#x20;they&#x20;do&#x20;not&#x20;impact&#x20;the&#x20;system&#x20;and&#x20;audit&#x20;data&#x20;is&#x20;not&#x20;lost.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy:&#x20;max_log_file&#x20;=&#x20;&lt;MB&gt;','[{\"cis\": [\"4.1.2.1\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"10.7\"]}, {\"nist_800_53\": [\"AU.4\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(5110,'Ensure&#x20;audit&#x20;logs&#x20;are&#x20;not&#x20;automatically&#x20;deleted','The&#x20;max_log_file_action&#x20;setting&#x20;determines&#x20;how&#x20;to&#x20;handle&#x20;the&#x20;audit&#x20;log&#x20;file&#x20;reaching&#x20;the&#x20;max&#x20;file&#x20;size.&#x20;A&#x20;value&#x20;of&#x20;keep_logs&#x20;will&#x20;rotate&#x20;the&#x20;logs&#x20;but&#x20;never&#x20;delete&#x20;old&#x20;logs.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;benefits&#x20;of&#x20;maintaining&#x20;a&#x20;long&#x20;audit&#x20;history&#x20;exceed&#x20;the&#x20;cost&#x20;of&#x20;storing&#x20;the&#x20;audit&#x20;history.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;max_log_file_action&#x20;=&#x20;keep_logs','[{\"cis\": [\"4.1.2.2\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"10.7\"]}, {\"nist_800_53\": [\"AU.9\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(5111,'Ensure&#x20;system&#x20;is&#x20;disabled&#x20;when&#x20;audit&#x20;logs&#x20;are&#x20;full','The&#x20;auditd&#x20;daemon&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;halt&#x20;the&#x20;system&#x20;when&#x20;the&#x20;audit&#x20;logs&#x20;are&#x20;full.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;risk&#x20;of&#x20;detecting&#x20;unauthorized&#x20;access&#x20;or&#x20;nonrepudiation&#x20;exceeds&#x20;the&#x20;benefit&#x20;of&#x20;the&#x20;system&#039;s&#x20;availability.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;space_left_action&#x20;=&#x20;email&#x20;&#x20;&#x20;action_mail_acct&#x20;=&#x20;root&#x20;&#x20;&#x20;admin_space_left_action&#x20;=&#x20;halt','[{\"cis\": [\"4.1.1.2\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"10.7\"]}]'),(5112,'Ensure&#x20;changes&#x20;to&#x20;system&#x20;administration&#x20;scope&#x20;&#40;sudoers&#41;&#x20;is&#x20;collected','Monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrations.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;force&#x20;system&#x20;administrators&#x20;to&#x20;log&#x20;in&#x20;as&#x20;themselves&#x20;first&#x20;and&#x20;then&#x20;use&#x20;the&#x20;sudo&#x20;command&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;it&#x20;is&#x20;possible&#x20;to&#x20;monitor&#x20;changes&#x20;in&#x20;scope.&#x20;The&#x20;file&#x20;/etc/sudoers&#x20;will&#x20;be&#x20;written&#x20;to&#x20;when&#x20;the&#x20;file&#x20;or&#x20;its&#x20;attributes&#x20;have&#x20;changed.&#x20;The&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;scope.&quot;','Changes&#x20;in&#x20;the&#x20;/etc/sudoers&#x20;file&#x20;can&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;change&#x20;has&#x20;been&#x20;made&#x20;to&#x20;scope&#x20;of&#x20;system&#x20;administrator&#x20;activity.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-w&#x20;/etc/sudoers&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;&#x20;&#x20;-w&#x20;/etc/sudoers.d/&#x20;-p&#x20;wa&#x20;-k&#x20;scope','[{\"cis\": [\"4.1.15\"]}, {\"cis_csc\": [\"4.8\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5113,'Ensure&#x20;login&#x20;and&#x20;logout&#x20;events&#x20;are&#x20;collected','Monitor&#x20;login&#x20;and&#x20;logout&#x20;events.&#x20;The&#x20;parameters&#x20;below&#x20;track&#x20;changes&#x20;to&#x20;files&#x20;associated&#x20;with&#x20;login/logout&#x20;events.&#x20;The&#x20;file&#x20;/var/log/faillog&#x20;tracks&#x20;failed&#x20;events&#x20;from&#x20;login.&#x20;The&#x20;file&#x20;/var/log/lastlog&#x20;maintain&#x20;records&#x20;of&#x20;the&#x20;last&#x20;time&#x20;a&#x20;user&#x20;successfully&#x20;logged&#x20;in.','Monitoring&#x20;login/logout&#x20;events&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;information&#x20;associated&#x20;with&#x20;brute&#x20;force&#x20;attacks&#x20;against&#x20;user&#x20;logins.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;-w&#x20;/var/log/lastlog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&#x20;&#x20;-w&#x20;/var/run/faillock/&#x20;-p&#x20;wa&#x20;-k&#x20;logins','[{\"cis\": [\"4.1.4\"]}, {\"cis_csc\": [\"4.9\", \"16.13\"]}, {\"pci_dss\": [\"10.2.1\", \"10.2.4\", \"10.3\"]}, {\"nist_800_53\": [\"AC.7\", \"AU.14\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5114,'Ensure&#x20;session&#x20;initiation&#x20;information&#x20;is&#x20;collected','Monitor&#x20;session&#x20;initiation&#x20;events.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;to&#x20;the&#x20;files&#x20;associated&#x20;with&#x20;session&#x20;events.&#x20;The&#x20;file&#x20;/var/run/utmp&#x20;file&#x20;tracks&#x20;all&#x20;currently&#x20;logged&#x20;in&#x20;users.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;session.&quot;&#x20;The&#x20;/var/log/wtmp&#x20;file&#x20;tracks&#x20;logins,&#x20;logouts,&#x20;shutdown,&#x20;and&#x20;reboot&#x20;events.&#x20;The&#x20;file&#x20;/var/log/btmp&#x20;keeps&#x20;track&#x20;of&#x20;failed&#x20;login&#x20;attempts&#x20;and&#x20;can&#x20;be&#x20;read&#x20;by&#x20;entering&#x20;the&#x20;command&#x20;/usr/bin/last&#x20;-f&#x20;/var/log/btmp&#x20;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;logins.&quot;.','Monitoring&#x20;these&#x20;files&#x20;for&#x20;changes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;logins&#x20;occurring&#x20;at&#x20;unusual&#x20;hours,&#x20;which&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;&#40;i.e.&#x20;a&#x20;user&#x20;logging&#x20;in&#x20;at&#x20;a&#x20;time&#x20;when&#x20;they&#x20;do&#x20;not&#x20;normally&#x20;log&#x20;in&#41;.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-w&#x20;/var/run/utmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;&#x20;&#x20;-w&#x20;/var/log/wtmp&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&#x20;&#x20;-w&#x20;/var/log/btmp&#x20;-p&#x20;wa&#x20;-k&#x20;logins','[{\"cis\": [\"4.1.5\"]}, {\"cis_csc\": [\"4.9\", \"16.13\"]}, {\"pci_dss\": [\"10.3\"]}, {\"nist_800_53\": [\"AC.7\", \"AU.14\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(5115,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;date&#x20;and&#x20;time&#x20;information&#x20;are&#x20;collected','Capture&#x20;events&#x20;where&#x20;the&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;has&#x20;been&#x20;modified.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;are&#x20;set&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;adjtimex&#x20;&#40;tune&#x20;kernel&#x20;clock&#41;,&#x20;settimeofday&#x20;&#40;Set&#x20;time,&#x20;using&#x20;timeval&#x20;and&#x20;timezone&#x20;structures&#41;&#x20;stime&#x20;&#40;using&#x20;seconds&#x20;since&#x20;1/1/1970&#41;&#x20;or&#x20;clock_settime&#x20;&#40;allows&#x20;for&#x20;the&#x20;setting&#x20;of&#x20;several&#x20;internal&#x20;clocks&#x20;and&#x20;timers&#41;&#x20;system&#x20;calls&#x20;have&#x20;been&#x20;executed&#x20;and&#x20;always&#x20;write&#x20;an&#x20;audit&#x20;record&#x20;to&#x20;the&#x20;/var/log/audit.log&#x20;file&#x20;upon&#x20;exit,&#x20;tagging&#x20;the&#x20;records&#x20;with&#x20;the&#x20;identifier&#x20;&quot;time-change&quot;.','Unexpected&#x20;changes&#x20;in&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;could&#x20;be&#x20;a&#x20;sign&#x20;of&#x20;malicious&#x20;activity&#x20;on&#x20;the&#x20;system.','','For&#x20;32&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-Farch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change','[{\"cis\": [\"4.1.6\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.4.2\", \"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5116,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;Mandatory&#x20;Access&#x20;Controls&#x20;are&#x20;collected','Monitor&#x20;SELinux&#x20;mandatory&#x20;access&#x20;controls.&#x20;The&#x20;parameters&#x20;below&#x20;monitor&#x20;any&#x20;write&#x20;access&#x20;&#40;potential&#x20;additional,&#x20;deletion&#x20;or&#x20;modification&#x20;of&#x20;files&#x20;in&#x20;the&#x20;directory&#41;&#x20;or&#x20;attribute&#x20;changes&#x20;to&#x20;the&#x20;/etc/selinux&#x20;or&#x20;/etc/apparmor&#x20;and&#x20;/etc/apparmor.d&#x20;directories.','Changes&#x20;to&#x20;files&#x20;in&#x20;these&#x20;directories&#x20;could&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;modify&#x20;access&#x20;controls&#x20;and&#x20;change&#x20;security&#x20;contexts,&#x20;leading&#x20;to&#x20;a&#x20;compromise&#x20;of&#x20;the&#x20;system.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-w&#x20;/etc/selinux/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;-w&#x20;/usr/share/selinux/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy','[{\"cis\": [\"4.1.7\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5117,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;network&#x20;environment&#x20;are&#x20;collected','Record&#x20;changes&#x20;to&#x20;network&#x20;environment&#x20;files&#x20;or&#x20;system&#x20;calls.&#x20;The&#x20;below&#x20;parameters&#x20;monitor&#x20;the&#x20;sethostname&#x20;&#40;set&#x20;the&#x20;systems&#x20;host&#x20;name&#41;&#x20;or&#x20;setdomainname&#x20;&#40;set&#x20;the&#x20;systems&#x20;domainname&#41;&#x20;system&#x20;calls,&#x20;and&#x20;write&#x20;an&#x20;audit&#x20;event&#x20;on&#x20;system&#x20;call&#x20;exit.&#x20;The&#x20;other&#x20;parameters&#x20;monitor&#x20;the&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;files&#x20;&#40;messages&#x20;displayed&#x20;pre-login&#41;,&#x20;/etc/hosts&#x20;&#40;file&#x20;containing&#x20;host&#x20;names&#x20;and&#x20;associated&#x20;IP&#x20;addresses&#41;,&#x20;/etc/sysconfig/network&#x20;file&#x20;and&#x20;/etc/sysconfig/network-scripts/&#x20;directory&#x20;&#40;containing&#x20;network&#x20;interface&#x20;scripts&#x20;and&#x20;configurations&#41;.','Monitoring&#x20;sethostname&#x20;and&#x20;setdomainname&#x20;will&#x20;identify&#x20;potential&#x20;unauthorized&#x20;changes&#x20;to&#x20;host&#x20;and&#x20;domainname&#x20;of&#x20;a&#x20;system.&#x20;The&#x20;changing&#x20;of&#x20;these&#x20;names&#x20;could&#x20;potentially&#x20;break&#x20;security&#x20;parameters&#x20;that&#x20;are&#x20;set&#x20;based&#x20;on&#x20;those&#x20;names.&#x20;The&#x20;/etc/hosts&#x20;file&#x20;is&#x20;monitored&#x20;for&#x20;changes&#x20;in&#x20;the&#x20;file&#x20;that&#x20;can&#x20;indicate&#x20;an&#x20;unauthorized&#x20;intruder&#x20;is&#x20;trying&#x20;to&#x20;change&#x20;machine&#x20;associations&#x20;with&#x20;IP&#x20;addresses&#x20;and&#x20;trick&#x20;users&#x20;and&#x20;processes&#x20;into&#x20;connecting&#x20;to&#x20;unintended&#x20;machines.&#x20;Monitoring&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;is&#x20;important,&#x20;as&#x20;intruders&#x20;could&#x20;put&#x20;disinformation&#x20;into&#x20;those&#x20;files&#x20;and&#x20;trick&#x20;users&#x20;into&#x20;providing&#x20;information&#x20;to&#x20;the&#x20;intruder.&#x20;Monitoring&#x20;/etc/sysconfig/network&#x20;and&#x20;/etc/sysconfig/network-scripts/&#x20;is&#x20;important&#x20;as&#x20;it&#x20;can&#x20;show&#x20;if&#x20;network&#x20;interfaces&#x20;or&#x20;scripts&#x20;are&#x20;being&#x20;modified&#x20;in&#x20;a&#x20;way&#x20;that&#x20;can&#x20;lead&#x20;to&#x20;the&#x20;machine&#x20;becoming&#x20;unavailable&#x20;or&#x20;compromised.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;system-locale.&quot;','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/sysconfig/network&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/sysconfig/network-scripts/&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale','[{\"cis\": [\"4.1.8\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5118,'Ensure&#x20;discretionary&#x20;access&#x20;control&#x20;permission&#x20;modification&#x20;events&#x20;are&#x20;collected','Monitor&#x20;changes&#x20;to&#x20;file&#x20;permissions,&#x20;attributes,&#x20;ownership&#x20;and&#x20;group.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;for&#x20;system&#x20;calls&#x20;that&#x20;affect&#x20;file&#x20;permissions&#x20;and&#x20;attributes.&#x20;The&#x20;chmod&#x20;,&#x20;fchmod&#x20;and&#x20;fchmodat&#x20;system&#x20;calls&#x20;affect&#x20;the&#x20;permissions&#x20;associated&#x20;with&#x20;a&#x20;file.&#x20;The&#x20;chown&#x20;,&#x20;fchown&#x20;,&#x20;fchownat&#x20;and&#x20;lchown&#x20;system&#x20;calls&#x20;affect&#x20;owner&#x20;and&#x20;group&#x20;attributes&#x20;on&#x20;a&#x20;file.&#x20;The&#x20;setxattr&#x20;,&#x20;lsetxattr&#x20;,&#x20;fsetxattr&#x20;&#40;set&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;and&#x20;removexattr&#x20;,&#x20;lremovexattr&#x20;,&#x20;fremovexattr&#x20;&#40;remove&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;control&#x20;extended&#x20;file&#x20;attributes.&#x20;In&#x20;all&#x20;cases,&#x20;an&#x20;audit&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;for&#x20;non-system&#x20;user&#x20;ids&#x20;&#40;auid&#x20;&gt;=&#x20;1000&#41;&#x20;and&#x20;will&#x20;ignore&#x20;Daemon&#x20;events&#x20;&#40;auid&#x20;=&#x20;4294967295&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;perm_mod.&quot;','Monitoring&#x20;for&#x20;changes&#x20;in&#x20;file&#x20;attributes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;activity&#x20;that&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;or&#x20;policy&#x20;violation.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lrem','[{\"cis\": [\"4.1.9\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5119,'Ensure&#x20;unsuccessful&#x20;unauthorized&#x20;file&#x20;access&#x20;attempts&#x20;are&#x20;collected','Monitor&#x20;for&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;access&#x20;files.&#x20;The&#x20;parameters&#x20;below&#x20;are&#x20;associated&#x20;&#x20;with&#x20;system&#x20;calls&#x20;that&#x20;control&#x20;creation&#x20;&#40;&#x20;creat&#x20;&#41;,&#x20;opening&#x20;&#40;&#x20;open&#x20;,&#x20;openat&#x20;&#41;&#x20;and&#x20;truncation&#x20;&#40;&#x20;&#x20;truncate&#x20;,&#x20;ftruncate&#x20;&#41;&#x20;of&#x20;files.&#x20;An&#x20;audit&#x20;log&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;if&#x20;the&#x20;user&#x20;is&#x20;a&#x20;non-&#x20;&#x20;privileged&#x20;user&#x20;&#40;auid&#x20;&gt;&#x20;=&#x20;1000&#41;,&#x20;is&#x20;not&#x20;a&#x20;Daemon&#x20;event&#x20;&#40;auid=4294967295&#41;&#x20;and&#x20;if&#x20;the&#x20;&#x20;system&#x20;call&#x20;returned&#x20;EACCES&#x20;&#40;permission&#x20;denied&#x20;to&#x20;the&#x20;file&#41;&#x20;or&#x20;EPERM&#x20;&#40;some&#x20;other&#x20;&#x20;permanent&#x20;error&#x20;associated&#x20;with&#x20;the&#x20;specific&#x20;system&#x20;call&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;&#x20;with&#x20;the&#x20;identifier&#x20;&quot;access.&quot;','Failed&#x20;attempts&#x20;to&#x20;open,&#x20;create&#x20;or&#x20;truncate&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;an&#x20;individual&#x20;or&#x20;process&#x20;is&#x20;trying&#x20;to&#x20;gain&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','For&#x20;32&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access','[{\"cis\": [\"4.1.10\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"10.2.4\"]}, {\"nist_800_53\": [\"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5120,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;user/group&#x20;information&#x20;are&#x20;collected','Record&#x20;events&#x20;affecting&#x20;the&#x20;group&#x20;,&#x20;passwd&#x20;&#40;user&#x20;IDs&#41;,&#x20;shadow&#x20;and&#x20;gshadow&#x20;&#40;passwords&#41;&#x20;or&#x20;/etc/security/opasswd&#x20;&#40;old&#x20;passwords,&#x20;based&#x20;on&#x20;remember&#x20;parameter&#x20;in&#x20;the&#x20;PAM&#x20;configuration&#41;&#x20;files.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;will&#x20;watch&#x20;the&#x20;files&#x20;to&#x20;see&#x20;if&#x20;they&#x20;have&#x20;been&#x20;opened&#x20;for&#x20;write&#x20;or&#x20;have&#x20;had&#x20;attribute&#x20;changes&#x20;&#40;e.g.&#x20;permissions&#41;&#x20;and&#x20;tag&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;identity&quot;&#x20;in&#x20;the&#x20;audit&#x20;log&#x20;file.','Unexpected&#x20;changes&#x20;to&#x20;these&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;the&#x20;system&#x20;has&#x20;been&#x20;compromised&#x20;and&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;hide&#x20;their&#x20;activities&#x20;or&#x20;compromise&#x20;additional&#x20;accounts.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/group&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/passwd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/gshadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/shadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/security/opasswd&#x20;-p&#x20;wa&#x20;-k&#x20;identity','[{\"cis\": [\"4.1.11\"]}, {\"cis_csc\": [\"4.8\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5121,'Ensure&#x20;successful&#x20;file&#x20;system&#x20;mounts&#x20;are&#x20;collected','Monitor&#x20;the&#x20;use&#x20;of&#x20;the&#x20;mount&#x20;system&#x20;call.&#x20;The&#x20;mount&#x20;&#40;and&#x20;umount&#x20;&#41;&#x20;system&#x20;call&#x20;controls&#x20;the&#x20;mounting&#x20;and&#x20;unmounting&#x20;of&#x20;file&#x20;systems.&#x20;The&#x20;parameters&#x20;below&#x20;configure&#x20;the&#x20;system&#x20;to&#x20;create&#x20;an&#x20;audit&#x20;record&#x20;when&#x20;the&#x20;mount&#x20;system&#x20;call&#x20;is&#x20;used&#x20;by&#x20;a&#x20;non-privileged&#x20;user.','It&#x20;is&#x20;highly&#x20;unusual&#x20;for&#x20;a&#x20;non&#x20;privileged&#x20;user&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;to&#x20;the&#x20;system.&#x20;While&#x20;tracking&#x20;mount&#x20;commands&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;evidence&#x20;that&#x20;external&#x20;media&#x20;may&#x20;have&#x20;been&#x20;mounted&#x20;&#40;based&#x20;on&#x20;a&#x20;review&#x20;of&#x20;the&#x20;source&#x20;of&#x20;the&#x20;mount&#x20;and&#x20;confirming&#x20;it&#039;s&#x20;an&#x20;external&#x20;media&#x20;type&#41;,&#x20;it&#x20;does&#x20;not&#x20;conclusively&#x20;indicate&#x20;that&#x20;data&#x20;was&#x20;exported&#x20;to&#x20;the&#x20;media.&#x20;System&#x20;administrators&#x20;who&#x20;wish&#x20;to&#x20;determine&#x20;if&#x20;data&#x20;were&#x20;exported,&#x20;would&#x20;also&#x20;have&#x20;to&#x20;track&#x20;successful&#x20;open&#x20;,&#x20;creat&#x20;and&#x20;truncate&#x20;system&#x20;calls&#x20;requiring&#x20;write&#x20;access&#x20;to&#x20;a&#x20;file&#x20;under&#x20;the&#x20;mount&#x20;point&#x20;of&#x20;the&#x20;external&#x20;media&#x20;file&#x20;system.&#x20;This&#x20;could&#x20;give&#x20;a&#x20;fair&#x20;indication&#x20;that&#x20;a&#x20;write&#x20;occurred.&#x20;The&#x20;only&#x20;way&#x20;to&#x20;truly&#x20;prove&#x20;it,&#x20;would&#x20;be&#x20;to&#x20;track&#x20;successful&#x20;writes&#x20;to&#x20;the&#x20;external&#x20;media.&#x20;Tracking&#x20;write&#x20;system&#x20;calls&#x20;could&#x20;quickly&#x20;fill&#x20;up&#x20;the&#x20;audit&#x20;log&#x20;and&#x20;is&#x20;not&#x20;recommended.&#x20;Recommendations&#x20;on&#x20;configuration&#x20;options&#x20;to&#x20;track&#x20;data&#x20;export&#x20;to&#x20;media&#x20;is&#x20;beyond&#x20;the&#x20;scope&#x20;of&#x20;this&#x20;document.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts','[{\"cis\": [\"4.1.12\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5122,'Ensure&#x20;file&#x20;deletion&#x20;events&#x20;by&#x20;users&#x20;are&#x20;collected','Monitor&#x20;the&#x20;use&#x20;of&#x20;system&#x20;calls&#x20;associated&#x20;with&#x20;the&#x20;deletion&#x20;or&#x20;renaming&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes.&#x20;This&#x20;configuration&#x20;statement&#x20;sets&#x20;up&#x20;monitoring&#x20;for&#x20;the&#x20;unlink&#x20;&#40;remove&#x20;a&#x20;file&#41;,&#x20;unlinkat&#x20;&#40;remove&#x20;a&#x20;file&#x20;attribute&#41;,&#x20;rename&#x20;&#40;rename&#x20;a&#x20;file&#41;&#x20;and&#x20;renameat&#x20;&#40;rename&#x20;a&#x20;file&#x20;attribute&#41;&#x20;system&#x20;calls&#x20;and&#x20;tags&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;delete&quot;.','Monitoring&#x20;these&#x20;calls&#x20;from&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;evidence&#x20;that&#x20;inappropriate&#x20;removal&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes&#x20;associated&#x20;with&#x20;protected&#x20;files&#x20;is&#x20;occurring.&#x20;While&#x20;this&#x20;audit&#x20;option&#x20;will&#x20;look&#x20;at&#x20;all&#x20;events,&#x20;system&#x20;administrators&#x20;will&#x20;want&#x20;to&#x20;look&#x20;for&#x20;specific&#x20;privileged&#x20;files&#x20;that&#x20;are&#x20;being&#x20;deleted&#x20;or&#x20;altered.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete','[{\"cis\": [\"4.1.14\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"10.5.5\"]}, {\"nist_800_53\": [\"AU.14\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC7.1\", \"CC7.2\", \"CC7.3\", \"CC8.1\"]}]'),(5123,'Ensure&#x20;kernel&#x20;module&#x20;loading&#x20;and&#x20;unloading&#x20;is&#x20;collected','Monitor&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;kernel&#x20;modules.&#x20;The&#x20;programs&#x20;insmod&#x20;&#40;install&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;rmmod&#x20;&#40;remove&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;and&#x20;modprobe&#x20;&#40;a&#x20;more&#x20;sophisticated&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules,&#x20;as&#x20;well&#x20;as&#x20;some&#x20;other&#x20;features&#41;&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;The&#x20;init_module&#x20;&#40;load&#x20;a&#x20;module&#41;&#x20;and&#x20;delete_module&#x20;&#40;delete&#x20;a&#x20;module&#41;&#x20;system&#x20;calls&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;Any&#x20;execution&#x20;of&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;module&#x20;programs&#x20;and&#x20;system&#x20;calls&#x20;will&#x20;trigger&#x20;an&#x20;audit&#x20;record&#x20;with&#x20;an&#x20;identifier&#x20;of&#x20;&quot;modules&quot;.','Monitoring&#x20;the&#x20;use&#x20;of&#x20;insmod&#x20;,&#x20;rmmod&#x20;and&#x20;modprobe&#x20;could&#x20;provide&#x20;system&#x20;administrators&#x20;with&#x20;evidence&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;loaded&#x20;or&#x20;unloaded&#x20;a&#x20;kernel&#x20;module,&#x20;possibly&#x20;compromising&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.&#x20;Monitoring&#x20;of&#x20;the&#x20;init_module&#x20;and&#x20;delete_module&#x20;system&#x20;calls&#x20;would&#x20;reflect&#x20;an&#x20;unauthorized&#x20;user&#x20;attempting&#x20;to&#x20;use&#x20;a&#x20;different&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-w&#x20;/sbin/insmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;&#x20;&#x20;-w&#x20;/sbin/rmmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;&#x20;&#x20;-w&#x20;/sbin/modprobe&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;init_module&#x20;-S&#x20;delete_module&#x20;-k&#x20;modules&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;init_module&#x20;-S&#x20;delete_module&#x20;-k&#x20;modules','[{\"cis\": [\"4.1.15\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5124,'Ensure&#x20;system&#x20;administrator&#x20;actions&#x20;&#40;sudolog&#41;&#x20;are&#x20;collected','Monitor&#x20;the&#x20;sudo&#x20;log&#x20;file.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;disable&#x20;the&#x20;use&#x20;of&#x20;the&#x20;su&#x20;command&#x20;and&#x20;force&#x20;all&#x20;administrators&#x20;to&#x20;have&#x20;to&#x20;log&#x20;in&#x20;first&#x20;and&#x20;then&#x20;use&#x20;sudo&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;then&#x20;all&#x20;administrator&#x20;commands&#x20;will&#x20;be&#x20;logged&#x20;to&#x20;/var/log/sudo.log&#x20;.&#x20;Any&#x20;time&#x20;a&#x20;command&#x20;is&#x20;executed,&#x20;an&#x20;audit&#x20;event&#x20;will&#x20;be&#x20;triggered&#x20;as&#x20;the&#x20;/var/log/sudo.log&#x20;file&#x20;will&#x20;be&#x20;opened&#x20;for&#x20;write&#x20;and&#x20;the&#x20;executed&#x20;administration&#x20;command&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;log.','Changes&#x20;in&#x20;/var/log/sudo.log&#x20;indicate&#x20;that&#x20;an&#x20;administrator&#x20;has&#x20;executed&#x20;a&#x20;command&#x20;or&#x20;the&#x20;log&#x20;file&#x20;itself&#x20;has&#x20;been&#x20;tampered&#x20;with.&#x20;Administrators&#x20;will&#x20;want&#x20;to&#x20;correlate&#x20;the&#x20;events&#x20;written&#x20;to&#x20;the&#x20;audit&#x20;trail&#x20;with&#x20;the&#x20;records&#x20;written&#x20;to&#x20;/var/log/sudo.log&#x20;to&#x20;verify&#x20;if&#x20;unauthorized&#x20;commands&#x20;have&#x20;been&#x20;executed.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-w&#x20;/var/log/sudo.log&#x20;-p&#x20;wa&#x20;-k&#x20;actions','[{\"cis\": [\"4.1.16\"]}, {\"cis_csc\": [\"4.9\"]}, {\"pci_dss\": [\"10.2.2\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.6\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5125,'Ensure&#x20;the&#x20;audit&#x20;configuration&#x20;is&#x20;immutable','Set&#x20;system&#x20;audit&#x20;so&#x20;that&#x20;audit&#x20;rules&#x20;cannot&#x20;be&#x20;modified&#x20;with&#x20;auditctl&#x20;.&#x20;Setting&#x20;the&#x20;flag&#x20;&quot;-e&#x20;2&quot;&#x20;forces&#x20;audit&#x20;to&#x20;be&#x20;put&#x20;in&#x20;immutable&#x20;mode.&#x20;Audit&#x20;changes&#x20;can&#x20;only&#x20;be&#x20;made&#x20;on&#x20;system&#x20;reboot.','In&#x20;immutable&#x20;mode,&#x20;unauthorized&#x20;users&#x20;cannot&#x20;execute&#x20;changes&#x20;to&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;potentially&#x20;hide&#x20;malicious&#x20;activity&#x20;and&#x20;then&#x20;put&#x20;the&#x20;audit&#x20;rules&#x20;back.&#x20;Users&#x20;would&#x20;most&#x20;likely&#x20;notice&#x20;a&#x20;system&#x20;reboot&#x20;and&#x20;that&#x20;could&#x20;alert&#x20;administrators&#x20;of&#x20;an&#x20;attempt&#x20;to&#x20;make&#x20;unauthorized&#x20;audit&#x20;changes.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/audit/rules.d/99-finalize.rules&#x20;and&#x20;add&#x20;the&#x20;line:&#x20;&#x20;&#x20;-e&#x20;2&#x20;&#x20;&#x20;&#x20;at&#x20;the&#x20;end&#x20;of&#x20;the&#x20;file','[{\"cis\": [\"4.1.17\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.5\"]}, {\"nist_800_53\": [\"AU.9\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(5126,'Ensure&#x20;rsyslog&#x20;Service&#x20;is&#x20;enabled','Once&#x20;the&#x20;rsyslog&#x20;package&#x20;is&#x20;installed&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;activated.','If&#x20;the&#x20;rsyslog&#x20;service&#x20;is&#x20;not&#x20;activated&#x20;the&#x20;system&#x20;may&#x20;default&#x20;to&#x20;the&#x20;syslogd&#x20;service&#x20;or&#x20;lack&#x20;logging&#x20;instead.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;rsyslog&#x20;:&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;rsyslog','[{\"cis\": [\"4.2.1.2\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5127,'Ensure&#x20;rsyslog&#x20;default&#x20;file&#x20;permissions&#x20;configured','rsyslog&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;set&#x20;$FileCreateMode&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;&#x20;&#x20;$FileCreateMode&#x20;0640','[{\"cis\": [\"4.2.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.5.1\", \"10.5.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.9\"]}, {\"tsc\": [\"CC5.2\", \"CC7.2\"]}]'),(5128,'Ensure&#x20;rsyslog&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host','The&#x20;rsyslog&#x20;utility&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;logs&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;running&#x20;syslogd&#40;8&#41;&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;reducing&#x20;administrative&#x20;overhead.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;&#40;where&#x20;loghost.example.com&#x20;is&#x20;the&#x20;name&#x20;of&#x20;your&#x20;central&#x20;log&#x20;host&#41;.&#x20;&#x20;&#x20;*.*&#x20;@@loghost.example.com&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;rsyslogd&#x20;configuration:&#x20;#&#x20;pkill&#x20;-HUP&#x20;rsyslogd','[{\"cis\": [\"4.2.1.5\"]}, {\"cis_csc\": [\"6.6\", \"6.8\"]}, {\"pci_dss\": [\"10.5.3\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.4\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5129,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;rsyslog','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Utilities&#x20;exist&#x20;to&#x20;accept&#x20;remote&#x20;export&#x20;of&#x20;journald&#x20;logs,&#x20;however,&#x20;use&#x20;of&#x20;the&#x20;rsyslog&#x20;service&#x20;provides&#x20;a&#x20;consistent&#x20;means&#x20;of&#x20;log&#x20;collection&#x20;and&#x20;export.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;ForwardToSyslog=yes','[{\"cis\": [\"4.2.2.1\"]}, {\"cis_csc\": [\"6.5\"]}, {\"pci_dss\": [\"10.5.3\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.9\", \"AU.4\"]}, {\"tsc\": [\"CC5.2\", \"CC7.2\"]}]'),(5130,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;compress&#x20;large&#x20;log&#x20;files','The&#x20;journald&#x20;system&#x20;includes&#x20;the&#x20;capability&#x20;of&#x20;compressing&#x20;overly&#x20;large&#x20;files&#x20;to&#x20;avoid&#x20;filling&#x20;up&#x20;the&#x20;system&#x20;with&#x20;logs&#x20;or&#x20;making&#x20;the&#x20;logs&#x20;unmanageably&#x20;large.','Uncompressed&#x20;large&#x20;files&#x20;may&#x20;unexpectedly&#x20;fill&#x20;a&#x20;filesystem&#x20;leading&#x20;to&#x20;resource&#x20;unavailability.&#x20;Compressing&#x20;logs&#x20;prior&#x20;to&#x20;write&#x20;can&#x20;prevent&#x20;sudden,&#x20;unexpected&#x20;filesystem&#x20;impacts.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;&#x20;&#x20;Compress=yes','[{\"cis\": [\"4.2.2.2\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"10.7\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.4\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5131,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;write&#x20;logfiles&#x20;to&#x20;persistent&#x20;disk','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Logs&#x20;in&#x20;memory&#x20;will&#x20;be&#x20;lost&#x20;upon&#x20;a&#x20;system&#x20;reboot.&#x20;By&#x20;persisting&#x20;logs&#x20;to&#x20;local&#x20;disk&#x20;on&#x20;the&#x20;server&#x20;they&#x20;are&#x20;protected&#x20;from&#x20;loss.','Writing&#x20;log&#x20;data&#x20;to&#x20;disk&#x20;will&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;forensically&#x20;reconstruct&#x20;events&#x20;which&#x20;may&#x20;have&#x20;impacted&#x20;the&#x20;operations&#x20;or&#x20;security&#x20;of&#x20;a&#x20;system&#x20;even&#x20;after&#x20;a&#x20;system&#x20;crash&#x20;or&#x20;reboot.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;&#x20;&#x20;Compress=yes','[{\"cis\": [\"4.2.2.3\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.7\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.4\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5132,'Ensure&#x20;permissions&#x20;on&#x20;all&#x20;logfiles&#x20;are&#x20;configured','Log&#x20;files&#x20;stored&#x20;in&#x20;/var/log/&#x20;contain&#x20;logged&#x20;information&#x20;from&#x20;many&#x20;services&#x20;on&#x20;the&#x20;system,&#x20;or&#x20;on&#x20;log&#x20;hosts&#x20;others&#x20;as&#x20;well.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;all&#x20;existing&#x20;log&#x20;files:&#x20;#&#x20;find&#x20;/var/log&#x20;-type&#x20;f&#x20;-exec&#x20;chmod&#x20;g-wx,o-rwx&#x20;{}&#x20;+','[{\"cis\": [\"4.2.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.5.1\", \"10.5.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.9\"]}, {\"tsc\": [\"CC5.2\", \"CC7.2\"]}]'),(5133,'Ensure&#x20;cron&#x20;daemon&#x20;is&#x20;enabled','The&#x20;cron&#x20;daemon&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;batch&#x20;jobs&#x20;on&#x20;the&#x20;system.','While&#x20;there&#x20;may&#x20;not&#x20;be&#x20;user&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;be&#x20;run&#x20;on&#x20;the&#x20;system,&#x20;the&#x20;system&#x20;does&#x20;have&#x20;maintenance&#x20;jobs&#x20;that&#x20;may&#x20;include&#x20;security&#x20;monitoring&#x20;that&#x20;have&#x20;to&#x20;run,&#x20;and&#x20;cron&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;them.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;cron&#x20;:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;crond','[{\"cis\": [\"5.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5134,'Ensure&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;are&#x20;configured','The&#x20;/etc/crontab&#x20;file&#x20;is&#x20;used&#x20;by&#x20;cron&#x20;to&#x20;control&#x20;its&#x20;own&#x20;jobs.&#x20;The&#x20;commands&#x20;in&#x20;this&#x20;item&#x20;make&#x20;sure&#x20;that&#x20;root&#x20;is&#x20;the&#x20;user&#x20;and&#x20;group&#x20;owner&#x20;of&#x20;the&#x20;file&#x20;and&#x20;that&#x20;only&#x20;the&#x20;owner&#x20;can&#x20;access&#x20;the&#x20;file.','This&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;what&#x20;system&#x20;jobs&#x20;are&#x20;run&#x20;by&#x20;cron.&#x20;Write&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;unprivileged&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;elevate&#x20;their&#x20;privileges.&#x20;Read&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;gain&#x20;insight&#x20;on&#x20;system&#x20;jobs&#x20;that&#x20;run&#x20;on&#x20;the&#x20;system&#x20;and&#x20;could&#x20;provide&#x20;them&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;unauthorized&#x20;privileged&#x20;access.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/crontab&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/crontab','[{\"cis\": [\"5.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5135,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;are&#x20;configured','This&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;an&#x20;hourly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.hourly&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.hourly','[{\"cis\": [\"5.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5136,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;are&#x20;configured','The&#x20;/etc/cron.daily&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;daily&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.daily&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.daily','[{\"cis\": [\"5.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5137,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;are&#x20;configured','The&#x20;/etc/cron.weekly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;weekly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.weekly&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.weekly','[{\"cis\": [\"5.1.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5138,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;are&#x20;configured','The&#x20;/etc/cron.monthly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;monthly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.monthly&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.monthly','[{\"cis\": [\"5.1.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5139,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;are&#x20;configured','Configure&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/cron.allow&#x20;or&#x20;/etc/at.allow&#x20;do&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.deny&#x20;and&#x20;/etc/cron.deny&#x20;are&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;files,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;Note&#x20;that&#x20;even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow&#x20;,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cron&#x20;jobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.d&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.d','[{\"cis\": [\"5.1.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5140,'Ensure&#x20;at/cron&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users','Configure&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/cron.allow&#x20;or&#x20;/etc/at.allow&#x20;do&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.deny&#x20;and&#x20;/etc/cron.deny&#x20;are&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;files,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;Note&#x20;that&#x20;even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow&#x20;,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cron&#x20;jobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny&#x20;and&#x20;/etc/at.deny&#x20;and&#x20;create&#x20;and&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;:&#x20;#&#x20;rm&#x20;/etc/cron.deny&#x20;#&#x20;rm&#x20;/etc/at.deny&#x20;#&#x20;touch&#x20;/etc/cron.allow&#x20;#&#x20;touch&#x20;/etc/at.allow&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.allow&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/at.allow&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.allow','[{\"cis\": [\"5.1.8\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5141,'Ensure&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config&#x20;are&#x20;configured','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;contains&#x20;configuration&#x20;specifications&#x20;for&#x20;sshd.&#x20;The&#x20;command&#x20;below&#x20;sets&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;file&#x20;to&#x20;root.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/ssh/sshd_config&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/ssh/sshd_config','[{\"cis\": [\"5.2.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5142,'Ensure&#x20;SSH&#x20;access&#x20;is&#x20;limited','There&#x20;are&#x20;several&#x20;options&#x20;available&#x20;to&#x20;limit&#x20;which&#x20;users&#x20;and&#x20;group&#x20;can&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;at&#x20;least&#x20;one&#x20;of&#x20;the&#x20;following&#x20;options&#x20;be&#x20;leveraged:&#x20;AllowUsers&#x20;The&#x20;AllowUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;only&#x20;allowing&#x20;the&#x20;allowed&#x20;users&#x20;to&#x20;log&#x20;in&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;AllowGroups&#x20;The&#x20;AllowGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;DenyUsers&#x20;The&#x20;DenyUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;specifically&#x20;denying&#x20;a&#x20;user&#039;s&#x20;access&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;DenyGroups&#x20;The&#x20;DenyGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.','Restricting&#x20;which&#x20;users&#x20;can&#x20;remotely&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH&#x20;will&#x20;help&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;users&#x20;access&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;one&#x20;or&#x20;more&#x20;of&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowUsers&#x20;&lt;userlist&gt;;&#x20;AllowGroups&#x20;&lt;grouplist&gt;;&#x20;DenyUsers&#x20;&lt;userlist&gt;&#x20;and&#x20;DenyGroups&#x20;&lt;grouplist&gt;','[{\"cis\": [\"5.2.2\"]}, {\"cis_csc\": [\"4.3\"]}, {\"pci_dss\": [\"8.1\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5143,'Ensure&#x20;permissions&#x20;on&#x20;SSH&#x20;private&#x20;host&#x20;key&#x20;files&#x20;are&#x20;configured','An&#x20;SSH&#x20;private&#x20;key&#x20;is&#x20;one&#x20;of&#x20;two&#x20;files&#x20;used&#x20;in&#x20;SSH&#x20;public&#x20;key&#x20;authentication.&#x20;In&#x20;this&#x20;authentication&#x20;method,&#x20;The&#x20;possession&#x20;of&#x20;the&#x20;private&#x20;key&#x20;is&#x20;proof&#x20;of&#x20;identity.&#x20;Only&#x20;a&#x20;private&#x20;key&#x20;that&#x20;corresponds&#x20;to&#x20;a&#x20;public&#x20;key&#x20;will&#x20;be&#x20;able&#x20;to&#x20;authenticate&#x20;successfully.&#x20;The&#x20;private&#x20;keys&#x20;need&#x20;to&#x20;be&#x20;stored&#x20;and&#x20;handled&#x20;carefully,&#x20;and&#x20;no&#x20;copies&#x20;of&#x20;the&#x20;private&#x20;key&#x20;should&#x20;be&#x20;distributed.','If&#x20;an&#x20;unauthorized&#x20;user&#x20;obtains&#x20;the&#x20;private&#x20;SSH&#x20;host&#x20;key&#x20;file,&#x20;the&#x20;host&#x20;could&#x20;be&#x20;impersonated','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;private&#x20;SSH&#x20;host&#x20;key&#x20;files:&#x20;#&#x20;find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key&#039;&#x20;-exec&#x20;chown&#x20;root:root&#x20;{}&#x20;;&#x20;#&#x20;find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key&#039;&#x20;-exec&#x20;chmod&#x20;0600&#x20;{}&#x20;;','[{\"cis\": [\"5.2.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5144,'Ensure&#x20;permissions&#x20;on&#x20;SSH&#x20;public&#x20;host&#x20;key&#x20;files&#x20;are&#x20;configured','An&#x20;SSH&#x20;public&#x20;key&#x20;is&#x20;one&#x20;of&#x20;two&#x20;files&#x20;used&#x20;in&#x20;SSH&#x20;public&#x20;key&#x20;authentication.&#x20;In&#x20;this&#x20;authentication&#x20;method,&#x20;a&#x20;public&#x20;key&#x20;is&#x20;a&#x20;key&#x20;that&#x20;can&#x20;be&#x20;used&#x20;for&#x20;verifying&#x20;digital&#x20;signatures&#x20;generated&#x20;using&#x20;a&#x20;corresponding&#x20;private&#x20;key.&#x20;Only&#x20;a&#x20;public&#x20;key&#x20;that&#x20;corresponds&#x20;to&#x20;a&#x20;private&#x20;key&#x20;will&#x20;be&#x20;able&#x20;to&#x20;authenticate&#x20;successfully.','If&#x20;a&#x20;public&#x20;host&#x20;key&#x20;file&#x20;is&#x20;modified&#x20;by&#x20;an&#x20;unauthorized&#x20;user,&#x20;the&#x20;SSH&#x20;service&#x20;may&#x20;be&#x20;compromised.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;on&#x20;the&#x20;SSH&#x20;host&#x20;public&#x20;key&#x20;files:&#x20;#&#x20;find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key.pub&#039;&#x20;-exec&#x20;chmod&#x20;0644&#x20;{}&#x20;;&#x20;#find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key.pub&#039;&#x20;-exec&#x20;chown&#x20;root:root&#x20;{}&#x20;;','[{\"cis\": [\"5.2.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5145,'Ensure&#x20;SSH&#x20;LogLevel&#x20;is&#x20;appropriate','INFO&#x20;level&#x20;is&#x20;the&#x20;basic&#x20;level&#x20;that&#x20;only&#x20;records&#x20;login&#x20;activity&#x20;of&#x20;SSH&#x20;users.&#x20;In&#x20;many&#x20;situations,&#x20;such&#x20;as&#x20;Incident&#x20;Response,&#x20;it&#x20;is&#x20;important&#x20;to&#x20;determine&#x20;when&#x20;a&#x20;particular&#x20;user&#x20;was&#x20;active&#x20;on&#x20;a&#x20;system.&#x20;The&#x20;logout&#x20;record&#x20;can&#x20;eliminate&#x20;those&#x20;users&#x20;who&#x20;disconnected,&#x20;which&#x20;helps&#x20;narrow&#x20;the&#x20;field.&#x20;VERBOSE&#x20;level&#x20;specifies&#x20;that&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;as&#x20;well&#x20;as&#x20;the&#x20;key&#x20;fingerprint&#x20;for&#x20;any&#x20;SSH&#x20;key&#x20;used&#x20;for&#x20;login&#x20;will&#x20;be&#x20;logged.&#x20;This&#x20;information&#x20;is&#x20;important&#x20;for&#x20;SSH&#x20;key&#x20;management,&#x20;especially&#x20;in&#x20;legacy&#x20;environments.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;VERBOSE&#x20;or&#x20;LogLevel&#x20;INFO','[{\"cis\": [\"5.2.5\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(5146,'Ensure&#x20;SSH&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled','The&#x20;X11Forwarding&#x20;parameter&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;tunnel&#x20;X11&#x20;traffic&#x20;through&#x20;the&#x20;connection&#x20;to&#x20;enable&#x20;remote&#x20;graphic&#x20;connections.','Disable&#x20;X11&#x20;forwarding&#x20;unless&#x20;there&#x20;is&#x20;an&#x20;operational&#x20;requirement&#x20;to&#x20;use&#x20;X11&#x20;applications&#x20;directly.&#x20;There&#x20;is&#x20;a&#x20;small&#x20;risk&#x20;that&#x20;the&#x20;remote&#x20;X11&#x20;servers&#x20;of&#x20;users&#x20;who&#x20;are&#x20;logged&#x20;in&#x20;via&#x20;SSH&#x20;with&#x20;X11&#x20;forwarding&#x20;could&#x20;be&#x20;compromised&#x20;by&#x20;other&#x20;users&#x20;on&#x20;the&#x20;X11&#x20;server.&#x20;Note&#x20;that&#x20;even&#x20;if&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled,&#x20;users&#x20;can&#x20;always&#x20;install&#x20;their&#x20;own&#x20;forwarders.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;X11Forwarding&#x20;no','[{\"cis\": [\"5.2.6\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5147,'Ensure&#x20;SSH&#x20;MaxAuthTries&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc\": [\"16.13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5148,'Ensure&#x20;SSH&#x20;IgnoreRhosts&#x20;is&#x20;enabled','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthentication&#x20;or&#x20;HostbasedAuthentication.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;ssh.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Ignorerhosts&#x20;yes','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(5149,'Ensure&#x20;SSH&#x20;HostbasedAuthentication&#x20;is&#x20;disabled','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts&#x20;,&#x20;or&#x20;/etc/hosts.equiv,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.&#x20;This&#x20;option&#x20;only&#x20;applies&#x20;to&#x20;SSH&#x20;Protocol&#x20;Version&#x20;2.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no','[{\"cis\": [\"5.2.9\"]}, {\"cis_csc\": [\"16.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(5150,'Ensure&#x20;SSH&#x20;root&#x20;login&#x20;is&#x20;disabled','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;ssh.&#x20;The&#x20;default&#x20;is&#x20;no.','Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;system&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root&#x20;via&#x20;sudo&#x20;or&#x20;su&#x20;.&#x20;This&#x20;in&#x20;turn&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no','[{\"cis\": [\"5.2.10\"]}, {\"cis_csc\": [\"4.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(5151,'Ensure&#x20;SSH&#x20;PermitEmptyPasswords&#x20;is&#x20;disabled','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;SSH&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no','[{\"cis\": [\"5.2.11\"]}, {\"cis_csc\": [\"16.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(5152,'Ensure&#x20;SSH&#x20;PermitUserEnvironment&#x20;is&#x20;disabled','The&#x20;PermitUserEnvironment&#x20;option&#x20;allows&#x20;users&#x20;to&#x20;present&#x20;environment&#x20;options&#x20;to&#x20;the&#x20;ssh&#x20;daemon.','Permitting&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;environment&#x20;variables&#x20;through&#x20;the&#x20;SSH&#x20;daemon&#x20;could&#x20;potentially&#x20;allow&#x20;users&#x20;to&#x20;bypass&#x20;security&#x20;controls&#x20;&#40;e.g.&#x20;setting&#x20;an&#x20;execution&#x20;path&#x20;that&#x20;has&#x20;ssh&#x20;executing&#x20;trojan&#039;d&#x20;programs&#41;','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitUserEnvironment&#x20;no','[{\"cis\": [\"5.2.12\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(5153,'Ensure&#x20;SSH&#x20;Idle&#x20;Timeout&#x20;Interval&#x20;is&#x20;configured','The&#x20;two&#x20;options&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax&#x20;control&#x20;the&#x20;timeout&#x20;of&#x20;ssh&#x20;sessions.&#x20;When&#x20;the&#x20;ClientAliveInterval&#x20;variable&#x20;is&#x20;set,&#x20;ssh&#x20;sessions&#x20;that&#x20;have&#x20;no&#x20;activity&#x20;for&#x20;the&#x20;specified&#x20;length&#x20;of&#x20;time&#x20;are&#x20;terminated.&#x20;When&#x20;the&#x20;ClientAliveCountMax&#x20;variable&#x20;is&#x20;set,&#x20;sshd&#x20;will&#x20;send&#x20;client&#x20;alive&#x20;messages&#x20;at&#x20;every&#x20;ClientAliveInterval&#x20;interval.&#x20;When&#x20;the&#x20;number&#x20;of&#x20;consecutive&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;sent&#x20;with&#x20;no&#x20;response&#x20;from&#x20;the&#x20;client,&#x20;the&#x20;ssh&#x20;session&#x20;is&#x20;terminated.&#x20;For&#x20;example,&#x20;if&#x20;the&#x20;ClientAliveInterval&#x20;is&#x20;set&#x20;to&#x20;15&#x20;seconds&#x20;and&#x20;the&#x20;ClientAliveCountMax&#x20;is&#x20;set&#x20;to&#x20;3,&#x20;the&#x20;client&#x20;ssh&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;45&#x20;seconds&#x20;of&#x20;idle&#x20;time.','Having&#x20;no&#x20;timeout&#x20;value&#x20;associated&#x20;with&#x20;a&#x20;connection&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;ssh&#x20;session&#x20;&#40;e.g.&#x20;user&#x20;walks&#x20;away&#x20;from&#x20;their&#x20;computer&#x20;and&#x20;doesn&#039;t&#x20;lock&#x20;the&#x20;screen&#41;.&#x20;Setting&#x20;a&#x20;timeout&#x20;value&#x20;at&#x20;least&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;this&#x20;happening.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;300&#x20;seconds&#x20;&#40;5&#x20;minutes&#41;,&#x20;set&#x20;this&#x20;timeout&#x20;value&#x20;based&#x20;on&#x20;site&#x20;policy.&#x20;The&#x20;recommended&#x20;setting&#x20;for&#x20;ClientAliveCountMax&#x20;is&#x20;0.&#x20;In&#x20;this&#x20;case,&#x20;the&#x20;client&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;5&#x20;minutes&#x20;of&#x20;idle&#x20;time&#x20;and&#x20;no&#x20;keepalive&#x20;messages&#x20;will&#x20;be&#x20;sent.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameters&#x20;according&#x20;to&#x20;site&#x20;policy:&#x20;ClientAliveInterval&#x20;300&#x20;and&#x20;ClientAliveCountMax&#x20;0','[{\"cis\": [\"5.2.13\"]}, {\"cis_csc\": [\"16.11\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(5154,'Ensure&#x20;SSH&#x20;LoginGraceTime&#x20;is&#x20;set&#x20;to&#x20;one&#x20;minute&#x20;or&#x20;less','The&#x20;LoginGraceTime&#x20;parameter&#x20;specifies&#x20;the&#x20;time&#x20;allowed&#x20;for&#x20;successful&#x20;authentication&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;The&#x20;longer&#x20;the&#x20;Grace&#x20;period&#x20;is&#x20;the&#x20;more&#x20;open&#x20;unauthenticated&#x20;connections&#x20;can&#x20;exist.&#x20;Like&#x20;other&#x20;session&#x20;controls&#x20;in&#x20;this&#x20;session&#x20;the&#x20;Grace&#x20;Period&#x20;should&#x20;be&#x20;limited&#x20;to&#x20;appropriate&#x20;organizational&#x20;limits&#x20;to&#x20;ensure&#x20;the&#x20;service&#x20;is&#x20;available&#x20;for&#x20;needed&#x20;access.','Setting&#x20;the&#x20;LoginGraceTime&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;It&#x20;will&#x20;also&#x20;limit&#x20;the&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;60&#x20;seconds&#x20;&#40;1&#x20;Minute&#41;,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LoginGraceTime&#x20;60','[{\"cis\": [\"5.2.14\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"8.1\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5155,'Ensure&#x20;SSH&#x20;warning&#x20;banner&#x20;is&#x20;configured','The&#x20;Banner&#x20;parameter&#x20;specifies&#x20;a&#x20;file&#x20;whose&#x20;contents&#x20;must&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;remote&#x20;user&#x20;before&#x20;authentication&#x20;is&#x20;permitted.&#x20;By&#x20;default,&#x20;no&#x20;banner&#x20;is&#x20;displayed.','Banners&#x20;are&#x20;used&#x20;to&#x20;warn&#x20;connecting&#x20;users&#x20;of&#x20;the&#x20;particular&#x20;site&#039;s&#x20;policy&#x20;regarding&#x20;connection.&#x20;Presenting&#x20;a&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;login&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Banner&#x20;/etc/issue.net','[{\"cis\": [\"5.2.15\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5156,'Ensure&#x20;SSH&#x20;PAM&#x20;is&#x20;enabled','UsePAM&#x20;Enables&#x20;the&#x20;Pluggable&#x20;Authentication&#x20;Module&#x20;interface.&#x20;If&#x20;set&#x20;to&#x20;&ldquo;yes&rdquo;&#x20;this&#x20;will&#x20;enable&#x20;PAM&#x20;authentication&#x20;using&#x20;ChallengeResponseAuthentication&#x20;and&#x20;PasswordAuthentication&#x20;in&#x20;addition&#x20;to&#x20;PAM&#x20;account&#x20;and&#x20;session&#x20;module&#x20;processing&#x20;for&#x20;all&#x20;authentication&#x20;types.','When&#x20;usePAM&#x20;is&#x20;set&#x20;to&#x20;yes,&#x20;PAM&#x20;runs&#x20;through&#x20;account&#x20;and&#x20;session&#x20;types&#x20;properly.&#x20;This&#x20;is&#x20;important&#x20;if&#x20;you&#x20;want&#x20;to&#x20;restrict&#x20;access&#x20;to&#x20;services&#x20;based&#x20;off&#x20;of&#x20;IP,&#x20;time&#x20;or&#x20;other&#x20;factors&#x20;of&#x20;the&#x20;account.&#x20;Additionally,&#x20;you&#x20;can&#x20;make&#x20;sure&#x20;users&#x20;inherit&#x20;certain&#x20;environment&#x20;variables&#x20;on&#x20;login&#x20;or&#x20;disallow&#x20;access&#x20;to&#x20;the&#x20;server.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;UsePAM&#x20;yes','[{\"cis\": [\"5.2.16\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5157,'Ensure&#x20;SSH&#x20;AllowTcpForwarding&#x20;is&#x20;disabled','SSH&#x20;port&#x20;forwarding&#x20;is&#x20;a&#x20;mechanism&#x20;in&#x20;SSH&#x20;for&#x20;tunneling&#x20;application&#x20;ports&#x20;from&#x20;the&#x20;client&#x20;to&#x20;the&#x20;server,&#x20;or&#x20;servers&#x20;to&#x20;clients.&#x20;It&#x20;can&#x20;be&#x20;used&#x20;for&#x20;adding&#x20;encryption&#x20;to&#x20;legacy&#x20;applications,&#x20;going&#x20;through&#x20;firewalls,&#x20;and&#x20;some&#x20;system&#x20;administrators&#x20;and&#x20;IT&#x20;professionals&#x20;use&#x20;it&#x20;for&#x20;opening&#x20;backdoors&#x20;into&#x20;the&#x20;internal&#x20;network&#x20;from&#x20;their&#x20;home&#x20;machines.','Leaving&#x20;port&#x20;forwarding&#x20;enabled&#x20;can&#x20;expose&#x20;the&#x20;organization&#x20;to&#x20;security&#x20;risks&#x20;and&#x20;back-doors.&#x20;SSH&#x20;connections&#x20;are&#x20;protected&#x20;with&#x20;strong&#x20;encryption.&#x20;This&#x20;makes&#x20;their&#x20;contents&#x20;invisible&#x20;to&#x20;most&#x20;deployed&#x20;network&#x20;monitoring&#x20;and&#x20;traffic&#x20;filtering&#x20;solutions.&#x20;This&#x20;invisibility&#x20;carries&#x20;considerable&#x20;risk&#x20;potential&#x20;if&#x20;it&#x20;is&#x20;used&#x20;for&#x20;malicious&#x20;purposes&#x20;such&#x20;as&#x20;data&#x20;exfiltration.&#x20;Cybercriminals&#x20;or&#x20;malware&#x20;could&#x20;exploit&#x20;SSH&#x20;to&#x20;hide&#x20;their&#x20;unauthorized&#x20;communications,&#x20;or&#x20;to&#x20;exfiltrate&#x20;stolen&#x20;data&#x20;from&#x20;the&#x20;target&#x20;network.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowTcpForwarding&#x20;no','[{\"cis\": [\"5.2.17\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(5158,'Ensure&#x20;SSH&#x20;MaxSessions&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less','The&#x20;MaxSessions&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;open&#x20;sessions&#x20;permitted&#x20;from&#x20;a&#x20;given&#x20;connection.','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;concurrent&#x20;sessions,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxSessions&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxSessions&#x20;4','[{\"cis\": [\"5.2.19\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5159,'Ensure&#x20;system-wide&#x20;crypto&#x20;policy&#x20;is&#x20;not&#x20;over-ridden','System-wide&#x20;Crypto&#x20;policy&#x20;can&#x20;be&#x20;over-ridden&#x20;or&#x20;opted&#x20;out&#x20;of&#x20;for&#x20;openSSH','Over-riding&#x20;or&#x20;opting&#x20;out&#x20;of&#x20;the&#x20;system-wide&#x20;crypto&#x20;policy&#x20;could&#x20;allow&#x20;for&#x20;the&#x20;use&#x20;of&#x20;less&#x20;secure&#x20;Ciphers,&#x20;MACs,&#x20;KexAlgoritms&#x20;and&#x20;GSSAPIKexAlgorithsm','','Run&#x20;the&#x20;following&#x20;commands:&#x20;#&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;CRYPTO_POLICYs*=.*&#41;$/#&#x20;1/&quot;&#x20;/etc/sysconfig/sshd;&#x20;#&#x20;systemctl&#x20;reload&#x20;sshd','[{\"cis\": [\"5.2.20\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(5160,'Create&#x20;custom&#x20;authselect&#x20;profile','A&#x20;custom&#x20;profile&#x20;can&#x20;be&#x20;created&#x20;by&#x20;copying&#x20;and&#x20;customizing&#x20;one&#x20;of&#x20;the&#x20;default&#x20;profiles.&#x20;The&#x20;default&#x20;profiles&#x20;include:&#x20;sssd,&#x20;winbind,&#x20;or&#x20;the&#x20;nis.','A&#x20;custom&#x20;profile&#x20;is&#x20;required&#x20;to&#x20;customize&#x20;many&#x20;of&#x20;the&#x20;pam&#x20;options','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;a&#x20;custom&#x20;authselect&#x20;profile:&#x20;#&#x20;authselect&#x20;create-profile&#x20;&lt;custom-profile&#x20;name&gt;&#x20;-b&#x20;&lt;default&#x20;profile&#x20;to&#x20;copy&gt;&#x20;.Example:&#x20;#&#x20;authselect&#x20;create-profile&#x20;custom-profile&#x20;-b&#x20;sssd&#x20;--symlink-meta','[{\"cis\": [\"5.3.1\"]}, {\"pci_dss\": [\"8.1\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5161,'Ensure&#x20;authselect&#x20;includes&#x20;with-faillock','The&#x20;pam_faillock.so&#x20;module&#x20;maintains&#x20;a&#x20;list&#x20;of&#x20;failed&#x20;authentication&#x20;attempts&#x20;per&#x20;user&#x20;during&#x20;a&#x20;specified&#x20;interval&#x20;and&#x20;locks&#x20;the&#x20;account&#x20;in&#x20;case&#x20;there&#x20;were&#x20;more&#x20;than&#x20;deny&#x20;consecutive&#x20;failed&#x20;authentications.&#x20;It&#x20;stores&#x20;the&#x20;failure&#x20;records&#x20;into&#x20;per-user&#x20;files&#x20;in&#x20;the&#x20;tally&#x20;directory.','Locking&#x20;out&#x20;user&#x20;IDs&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts&#x20;mitigates&#x20;brute&#x20;force&#x20;password&#x20;attacks&#x20;against&#x20;your&#x20;systems.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;include&#x20;the&#x20;with-faillock&#x20;option:&#x20;#&#x20;authselect&#x20;select&#x20;&lt;PROFILE&#x20;NAME&gt;&#x20;with-faillock&#x20;&#x20;&#x20;&#x20;Example:&#x20;#&#x20;authselect&#x20;select&#x20;custom/custom-profile&#x20;with-sudo&#x20;with-faillock&#x20;without-nullok','[{\"cis\": [\"5.3.3\"]}, {\"pci_dss\": [\"8.1\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5162,'Ensure&#x20;password&#x20;creation&#x20;requirements&#x20;are&#x20;configured','The&#x20;pam_pwquality.so&#x20;module&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more.&#x20;The&#x20;following&#x20;are&#x20;definitions&#x20;of&#x20;the&#x20;pam_pwquality.so&#x20;options.&#x20;try_first_pass&#x20;-&#x20;retrieve&#x20;the&#x20;password&#x20;from&#x20;a&#x20;previous&#x20;stacked&#x20;PAM&#x20;module.&#x20;If&#x20;not&#x20;available,&#x20;then&#x20;prompt&#x20;the&#x20;user&#x20;for&#x20;a&#x20;password.&#x20;retry=3&#x20;-&#x20;Allow&#x20;3&#x20;tries&#x20;before&#x20;sending&#x20;back&#x20;a&#x20;failure.&#x20;minlen=14&#x20;-&#x20;password&#x20;must&#x20;be&#x20;14&#x20;characters&#x20;or&#x20;more&#x20;Either&#x20;of&#x20;the&#x20;following&#x20;can&#x20;be&#x20;used&#x20;to&#x20;enforce&#x20;complex&#x20;passwords:&#x20;minclass=4&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;four&#x20;classes&#x20;of&#x20;characters&#x20;for&#x20;the&#x20;new&#x20;password&#x20;OR&#x20;dcredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;digit&#x20;ucredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;uppercase&#x20;character&#x20;ocredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;special&#x20;character&#x20;lcredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;lowercase&#x20;character&#x20;The&#x20;settings&#x20;shown&#x20;above&#x20;are&#x20;one&#x20;possible&#x20;policy.&#x20;Alter&#x20;these&#x20;values&#x20;to&#x20;conform&#x20;to&#x20;your&#x20;own&#x20;organization&#039;s&#x20;password&#x20;policies','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;password&#x20;length&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minlen&#x20;=&#x20;14&#x20;Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;password&#x20;complexity&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minclass&#x20;=&#x20;4&#x20;OR&#x20;dcredit&#x20;=&#x20;-1&#x20;ucredit&#x20;=&#x20;-1&#x20;ocredit&#x20;=&#x20;-1&#x20;-1&#x20;=&#x20;-1&#x20;Run&#x20;the&#x20;following&#x20;to&#x20;update&#x20;the&#x20;system-auth&#x20;and&#x20;password-auth&#x20;files:&#x20;CP=$&#40;authselect&#x20;current&#x20;|&#x20;awk&#x20;&#039;NR&#x20;==&#x20;1&#x20;{print&#x20;$3}&#039;&#x20;|&#x20;grep&#x20;custom/&#41;&#x20;for&#x20;FN&#x20;in&#x20;system-auth&#x20;password-auth;&#x20;do&#x20;[[&#x20;-n&#x20;$CP&#x20;]]&#x20;&amp;&amp;&#x20;PTF=/etc/authselect/$CP/$FN&#x20;||&#x20;PTF=/etc/authselect/$FN&#x20;[[&#x20;-z&#x20;$&#40;grep&#x20;-E&#x20;&#039;^s*passwords+requisites+pam_pwquality.sos+.*enforce-for-roots*.*$&#039;&#x20;$PTF&#41;&#x20;]]&#x20;&amp;&amp;&#x20;sed&#x20;-ri&#x20;&#039;s/^s*&#40;passwords+requisites+pam_pwquality.sos+&#41;&#40;.*&#41;$/12&#x20;enforce-for-root/&#039;&#x20;$PTF&#x20;[[&#x20;-n&#x20;$&#40;grep&#x20;-E&#x20;&#039;^s*passwords+requisites+pam_pwquality.sos+.*s+retry=S+s*.*$&#039;&#x20;$PTF&#41;&#x20;]]&#x20;&amp;&amp;&#x20;sed&#x20;-ri&#x20;&#039;/pwquality/s/retry=S+/retry=3/&#039;&#x20;$PTF&#x20;||&#x20;sed&#x20;-ri&#x20;&#039;s/^s*&#40;passwords+requisites+pam_pwquality.sos+&#41;&#40;.*&#41;$/12&#x20;retry=3/&#039;&#x20;$PTF&#x20;done&#x20;authselect&#x20;apply-changes','[{\"cis\": [\"5.4.1\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2.3\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5163,'Ensure&#x20;lockout&#x20;for&#x20;failed&#x20;password&#x20;attempts&#x20;is&#x20;configured','Lock&#x20;out&#x20;users&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts.&#x20;deny=&#x20;-&#x20;Number&#x20;of&#x20;attempts&#x20;before&#x20;the&#x20;account&#x20;is&#x20;locked.&#x20;unlock_time=&#x20;-&#x20;Time&#x20;in&#x20;seconds&#x20;before&#x20;the&#x20;account&#x20;is&#x20;unlocked.&#x20;Set&#x20;the&#x20;lockout&#x20;number&#x20;and&#x20;unlock&#x20;time&#x20;to&#x20;follow&#x20;local&#x20;site&#x20;policy.','Locking&#x20;out&#x20;user&#x20;IDs&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts&#x20;mitigates&#x20;brute&#x20;force&#x20;password&#x20;attacks&#x20;against&#x20;your&#x20;systems.','','Set&#x20;password&#x20;lockouts&#x20;and&#x20;unlock&#x20;times&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy.&#x20;Run&#x20;the&#x20;following&#x20;to&#x20;update&#x20;the&#x20;system-auth&#x20;and&#x20;password-auth&#x20;files.&#x20;This&#x20;script&#x20;will&#x20;update/add&#x20;the&#x20;deny=5&#x20;and&#x20;unlock_time=900&#x20;options.&#x20;This&#x20;script&#x20;should&#x20;be&#x20;modified&#x20;as&#x20;needed&#x20;to&#x20;follow&#x20;local&#x20;site&#x20;policy.CP=$&#40;authselect&#x20;current&#x20;|&#x20;awk&#x20;&quot;NR&#x20;==&#x20;1&#x20;{print&#x20;$3}&quot;&#x20;|&#x20;grep&#x20;custom/&#41;&#x20;for&#x20;FN&#x20;in&#x20;system-auth&#x20;password-auth;&#x20;do&#x20;[[&#x20;-n&#x20;$CP&#x20;]]&#x20;&amp;&amp;&#x20;PTF=/etc/authselect/$CP/$FN&#x20;||&#x20;PTF=/etc/authselect/$FN&#x20;[[&#x20;-n&#x20;$&#40;grep&#x20;-E&#x20;&quot;^s*auths+requireds+pam_faillock.sos+.*deny=S+s*.*$&quot;&#x20;$PTF&#41;&#x20;]]&#x20;&amp;&amp;&#x20;sed&#x20;-ri&#x20;&quot;/pam_faillock.so/s/deny=S+/deny=5/g&quot;&#x20;$PTF&#x20;||&#x20;sed&#x20;-ri&#x20;&quot;s/^^s*&#40;auths+requireds+pam_faillock.sos+&#41;&#40;.*[^{}]&#41;&#40;{.*}|&#41;$/12&#x20;deny=5&#x20;3/&quot;&#x20;$PTF&#x20;[[&#x20;-n&#x20;$&#40;grep&#x20;-E&#x20;&quot;^s*auths+requireds+pam_faillock.sos+.*unlock_time=S+s*.*$&quot;&#x20;$PTF&#41;&#x20;]]&#x20;&amp;&amp;&#x20;sed&#x20;-ri&#x20;&quot;/pam_faillock.so/s/unlock_time=S+/unlock_time=900/g&quot;&#x20;$PTF&#x20;||&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;auths+requireds+pam_faillock.sos+&#41;&#40;.*[^{}]&#41;&#40;{.*}|&#41;$/12&#x20;unlock_time=900&#x20;3/&quot;&#x20;$PTF&#x20;done&#x20;authselect&#x20;apply-changes','[{\"cis\": [\"5.4.2\"]}, {\"cis_csc\": [\"16.7\"]}, {\"pci_dss\": [\"8.2.5\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5164,'Ensure&#x20;password&#x20;reuse&#x20;is&#x20;limited','The&#x20;/etc/security/opasswd&#x20;file&#x20;stores&#x20;the&#x20;users&quot;&#x20;old&#x20;passwords&#x20;and&#x20;can&#x20;be&#x20;checked&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;are&#x20;not&#x20;recycling&#x20;recent&#x20;passwords.&#x20;remember=&lt;5&gt;&#x20;-&#x20;Number&#x20;of&#x20;old&#x20;passwords&#x20;to&#x20;remember','Forcing&#x20;users&#x20;not&#x20;to&#x20;reuse&#x20;their&#x20;past&#x20;5&#x20;passwords&#x20;make&#x20;it&#x20;less&#x20;likely&#x20;that&#x20;an&#x20;attacker&#x20;will&#x20;be&#x20;able&#x20;to&#x20;guess&#x20;the&#x20;password.&#x20;Note&#x20;that&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Set&#x20;remembered&#x20;password&#x20;history&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy.&#x20;Run&#x20;the&#x20;following&#x20;script&#x20;to&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;pam_pwhistory.so&#x20;and&#x20;pam_unix.so&#x20;lines&#x20;to&#x20;include&#x20;the&#x20;remember&#x20;option:&#x20;CP=$&#40;authselect&#x20;current&#x20;|&#x20;awk&#x20;&quot;NR&#x20;==&#x20;1&#x20;{print&#x20;$3}&quot;&#x20;|&#x20;grep&#x20;custom/&#41;&#x20;[[&#x20;-n&#x20;$CP&#x20;]]&#x20;&amp;&amp;&#x20;PTF=/etc/authselect/$CP/system-auth&#x20;||&#x20;PTF=/etc/authselect/system-auth&#x20;[[&#x20;-n&#x20;$&#40;grep&#x20;-E&#x20;&quot;^s*passwords+&#40;sufficients+pam_unix|requi&#40;red|site&#41;s+pam_pwhistory&#41;.sos+&#x20;&#40;[^#]+s+&#41;*remember=S+s*.*$&quot;&#x20;$PTF&#41;&#x20;]]&#x20;&amp;&amp;&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;passwords+&#40;requisite|sufficient&#41;s+&#40;pam_pwquality.so|pam_unix.so&#41;s+&#41;&#40;.*&#41;&#40;remember=S+s*&#41;&#40;.*&#41;$/14&#x20;remember=5&#x20;6/&quot;&#x20;$PTF&#x20;||&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;passwords+&#40;requisite|sufficient&#41;s+&#40;pam_pwquality.so|pam_unix.so&#41;s+&#41;&#40;.*&#41;$/14&#x20;remember=5/&quot;&#x20;$PTF&#x20;authselect&#x20;apply-changes','[{\"cis\": [\"5.4.3\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2.5\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5165,'Ensure&#x20;password&#x20;hashing&#x20;algorithm&#x20;is&#x20;SHA-512','The&#x20;commands&#x20;below&#x20;change&#x20;password&#x20;encryption&#x20;from&#x20;md5&#x20;to&#x20;sha512&#x20;&#40;a&#x20;much&#x20;stronger&#x20;hashing&#x20;algorithm&#41;.&#x20;All&#x20;existing&#x20;accounts&#x20;will&#x20;need&#x20;to&#x20;perform&#x20;a&#x20;password&#x20;change&#x20;to&#x20;upgrade&#x20;the&#x20;stored&#x20;hashes&#x20;to&#x20;the&#x20;new&#x20;algorithm.','The&#x20;SHA-512&#x20;algorithm&#x20;provides&#x20;much&#x20;stronger&#x20;hashing&#x20;than&#x20;MD5,&#x20;thus&#x20;providing&#x20;additional&#x20;protection&#x20;to&#x20;the&#x20;system&#x20;by&#x20;increasing&#x20;the&#x20;level&#x20;of&#x20;effort&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;successfully&#x20;determine&#x20;passwords.&#x20;Note&#x20;that&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Set&#x20;password&#x20;hashing&#x20;algorithm&#x20;to&#x20;sha512.&#x20;Run&#x20;the&#x20;following&#x20;script&#x20;to&#x20;dd&#x20;or&#x20;modify&#x20;the&#x20;pam_unix.so&#x20;lines&#x20;in&#x20;the&#x20;password-auth&#x20;and&#x20;system-auth&#x20;files&#x20;to&#x20;include&#x20;the&#x20;sha512&#x20;option:&#x20;CP=$&#40;authselect&#x20;current&#x20;|&#x20;awk&#x20;&#039;NR&#x20;==&#x20;1&#x20;{print&#x20;$3}&#039;&#x20;|&#x20;grep&#x20;custom/&#41;&#x20;for&#x20;FN&#x20;in&#x20;system-auth&#x20;password-auth;&#x20;do&#x20;[[&#x20;-z&#x20;$&#40;grep&#x20;-E&#x20;&#039;^s*passwords+sufficients+pam_unix.sos+.*sha512s*.*$&#039;&#x20;$PTF&#41;&#x20;]]&#x20;&amp;&amp;&#x20;sed&#x20;-ri&#x20;&#039;s/^s*&#40;passwords+sufficients+pam_unix.sos+&#41;&#40;.*&#41;$/12&#x20;sha512/&#039;&#x20;$PTF&#x20;done&#x20;authselect&#x20;apply-changes','[{\"cis\": [\"5.4.4\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"3.6.1\", \"8.2.1\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\"]}]'),(5166,'Ensure&#x20;password&#x20;expiration&#x20;is&#x20;365&#x20;days&#x20;or&#x20;less','The&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;force&#x20;passwords&#x20;to&#x20;expire&#x20;once&#x20;they&#x20;reach&#x20;a&#x20;defined&#x20;age.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;less&#x20;than&#x20;or&#x20;equal&#x20;to&#x20;365&#x20;days.','The&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;leverage&#x20;compromised&#x20;credentials&#x20;or&#x20;successfully&#x20;compromise&#x20;credentials&#x20;via&#x20;an&#x20;online&#x20;brute&#x20;force&#x20;attack&#x20;is&#x20;limited&#x20;by&#x20;the&#x20;age&#x20;of&#x20;the&#x20;password.&#x20;Therefore,&#x20;reducing&#x20;the&#x20;maximum&#x20;age&#x20;of&#x20;a&#x20;password&#x20;also&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;window&#x20;of&#x20;opportunity.','','Set&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;in&#x20;/etc/login.defs&#x20;:&#x20;PASS_MAX_DAYS&#x20;90&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--maxdays&#x20;90&#x20;&lt;user&gt;','[{\"cis\": [\"5.5.1.1\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2.4\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5167,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;7&#x20;or&#x20;more','The&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;changing&#x20;their&#x20;password&#x20;until&#x20;a&#x20;minimum&#x20;number&#x20;of&#x20;days&#x20;have&#x20;passed&#x20;since&#x20;the&#x20;last&#x20;time&#x20;the&#x20;user&#x20;changed&#x20;their&#x20;password.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','By&#x20;restricting&#x20;the&#x20;frequency&#x20;of&#x20;password&#x20;changes,&#x20;an&#x20;administrator&#x20;can&#x20;prevent&#x20;users&#x20;from&#x20;repeatedly&#x20;changing&#x20;their&#x20;password&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;circumvent&#x20;password&#x20;reuse&#x20;controls.','','Set&#x20;the&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_MIN_DAYS&#x20;7&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--mindays&#x20;7&#x20;&lt;user&gt;','[{\"cis\": [\"5.5.1.2\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5168,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;7&#x20;or&#x20;more','The&#x20;PASS_WARN_AGE&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;notify&#x20;users&#x20;that&#x20;their&#x20;password&#x20;will&#x20;expire&#x20;in&#x20;a&#x20;defined&#x20;number&#x20;of&#x20;days.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','Providing&#x20;an&#x20;advance&#x20;warning&#x20;that&#x20;a&#x20;password&#x20;will&#x20;be&#x20;expiring&#x20;gives&#x20;users&#x20;time&#x20;to&#x20;think&#x20;of&#x20;a&#x20;secure&#x20;password.&#x20;Users&#x20;caught&#x20;unaware&#x20;may&#x20;choose&#x20;a&#x20;simple&#x20;password&#x20;or&#x20;write&#x20;it&#x20;down&#x20;where&#x20;it&#x20;may&#x20;be&#x20;discovered.','','Set&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_WARN_AGE&#x20;7&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--warndays&#x20;7&#x20;&lt;user&gt;','[{\"cis\": [\"5.5.1.3\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5169,'Ensure&#x20;inactive&#x20;password&#x20;lock&#x20;is&#x20;30&#x20;days&#x20;or&#x20;less','User&#x20;accounts&#x20;that&#x20;have&#x20;been&#x20;inactive&#x20;for&#x20;over&#x20;a&#x20;given&#x20;period&#x20;of&#x20;time&#x20;can&#x20;be&#x20;automatically&#x20;disabled.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;accounts&#x20;that&#x20;are&#x20;inactive&#x20;for&#x20;30&#x20;days&#x20;after&#x20;password&#x20;expiration&#x20;be&#x20;disabled.','Inactive&#x20;accounts&#x20;pose&#x20;a&#x20;threat&#x20;to&#x20;system&#x20;security&#x20;since&#x20;the&#x20;users&#x20;are&#x20;not&#x20;logging&#x20;in&#x20;to&#x20;notice&#x20;failed&#x20;login&#x20;attempts&#x20;or&#x20;other&#x20;anomalies.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;default&#x20;password&#x20;inactivity&#x20;period&#x20;to&#x20;30&#x20;days:&#x20;useradd&#x20;-D&#x20;-f&#x20;30&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--inactive&#x20;30&#x20;&lt;user&gt;','[{\"cis\": [\"5.4.1.4\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5170,'Ensure&#x20;default&#x20;user&#x20;shell&#x20;timeout&#x20;is&#x20;900&#x20;seconds&#x20;or&#x20;less','The&#x20;default&#x20;TMOUT&#x20;determines&#x20;the&#x20;shell&#x20;timeout&#x20;for&#x20;users.&#x20;The&#x20;TMOUT&#x20;value&#x20;is&#x20;measured&#x20;in&#x20;seconds.','Having&#x20;no&#x20;timeout&#x20;value&#x20;associated&#x20;with&#x20;a&#x20;shell&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;shell&#x20;session&#x20;&#40;e.g.&#x20;user&#x20;walks&#x20;away&#x20;from&#x20;their&#x20;computer&#x20;and&#x20;doesn&#039;t&#x20;lock&#x20;the&#x20;screen&#41;.&#x20;Setting&#x20;a&#x20;timeout&#x20;value&#x20;at&#x20;least&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;this&#x20;happening.','','Edit&#x20;the&#x20;/etc/bashrc&#x20;,&#x20;/etc/profile&#x20;and&#x20;/etc/profile.d&#47;&#42;.sh&#x20;files&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;any&#x20;umask&#x20;parameters&#x20;as&#x20;follows:&#x20;readonly&#x20;TMOUT=900&#x20;;&#x20;export&#x20;TMOUT&#x20;.&#x20;Note&#x20;that&#x20;setting&#x20;the&#x20;value&#x20;to&#x20;readonly&#x20;prevents&#x20;unwanted&#x20;modification&#x20;during&#x20;runtime.','[{\"cis\": [\"5.5.3\"]}, {\"cis_csc\": [\"16.11\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(5171,'Ensure&#x20;default&#x20;group&#x20;for&#x20;the&#x20;root&#x20;account&#x20;is&#x20;GID&#x20;0','The&#x20;usermod&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;specify&#x20;which&#x20;group&#x20;the&#x20;root&#x20;user&#x20;belongs&#x20;to.&#x20;This&#x20;affects&#x20;permissions&#x20;of&#x20;files&#x20;that&#x20;are&#x20;created&#x20;by&#x20;the&#x20;root&#x20;user.','Using&#x20;GID&#x20;0&#x20;for&#x20;the&#x20;root&#x20;account&#x20;helps&#x20;prevent&#x20;root&#x20;-owned&#x20;files&#x20;from&#x20;accidentally&#x20;becoming&#x20;accessible&#x20;to&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;root&#x20;user&#x20;default&#x20;group&#x20;to&#x20;GID&#x20;0:&#x20;usermod&#x20;-g&#x20;0&#x20;root','[{\"cis\": [\"5.5.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5172,'Ensure&#x20;default&#x20;user&#x20;umask&#x20;is&#x20;027&#x20;or&#x20;more&#x20;restrictive','The&#x20;default&#x20;umask&#x20;determines&#x20;the&#x20;permissions&#x20;of&#x20;files&#x20;created&#x20;by&#x20;users.&#x20;The&#x20;user&#x20;creating&#x20;the&#x20;file&#x20;has&#x20;the&#x20;discretion&#x20;of&#x20;making&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;others&#x20;via&#x20;the&#x20;chmod&#x20;command.&#x20;Users&#x20;who&#x20;wish&#x20;to&#x20;allow&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;to&#x20;be&#x20;readable&#x20;by&#x20;others&#x20;by&#x20;default&#x20;may&#x20;choose&#x20;a&#x20;different&#x20;default&#x20;umask&#x20;by&#x20;inserting&#x20;the&#x20;umask&#x20;command&#x20;into&#x20;the&#x20;standard&#x20;shell&#x20;configuration&#x20;files&#x20;&#40;&#x20;.profile&#x20;,&#x20;.bashrc&#x20;,&#x20;etc.&#41;&#x20;in&#x20;their&#x20;home&#x20;directories.','Setting&#x20;a&#x20;very&#x20;secure&#x20;default&#x20;value&#x20;for&#x20;umask&#x20;ensures&#x20;that&#x20;users&#x20;make&#x20;a&#x20;conscious&#x20;choice&#x20;about&#x20;their&#x20;file&#x20;permissions.&#x20;A&#x20;default&#x20;umask&#x20;setting&#x20;of&#x20;077&#x20;causes&#x20;files&#x20;and&#x20;directories&#x20;created&#x20;by&#x20;users&#x20;to&#x20;not&#x20;be&#x20;readable&#x20;by&#x20;any&#x20;other&#x20;user&#x20;on&#x20;the&#x20;system.&#x20;A&#x20;umask&#x20;of&#x20;027&#x20;would&#x20;make&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;users&#x20;in&#x20;the&#x20;same&#x20;Unix&#x20;group,&#x20;while&#x20;a&#x20;umask&#x20;of&#x20;022&#x20;would&#x20;make&#x20;files&#x20;readable&#x20;by&#x20;every&#x20;user&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/bashrc&#x20;,&#x20;/etc/profile&#x20;and&#x20;/etc/profile.d&#47;&#42;.sh&#x20;files&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;any&#x20;umask&#x20;parameters&#x20;as&#x20;follows:&#x20;umask&#x20;027','[{\"cis\": [\"5.5.5\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5173,'Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','The&#x20;su&#x20;command&#x20;allows&#x20;a&#x20;user&#x20;to&#x20;run&#x20;a&#x20;command&#x20;or&#x20;shell&#x20;as&#x20;another&#x20;user.&#x20;The&#x20;program&#x20;has&#x20;been&#x20;superseded&#x20;by&#x20;sudo&#x20;,&#x20;which&#x20;allows&#x20;for&#x20;more&#x20;granular&#x20;control&#x20;over&#x20;privileged&#x20;access.&#x20;Normally,&#x20;the&#x20;su&#x20;command&#x20;can&#x20;be&#x20;executed&#x20;by&#x20;any&#x20;user.&#x20;By&#x20;uncommenting&#x20;the&#x20;pam_wheel.so&#x20;statement&#x20;in&#x20;/etc/pam.d/su&#x20;,&#x20;the&#x20;su&#x20;command&#x20;will&#x20;only&#x20;allow&#x20;users&#x20;in&#x20;the&#x20;wheel&#x20;group&#x20;to&#x20;execute&#x20;su&#x20;.','Restricting&#x20;the&#x20;use&#x20;of&#x20;su&#x20;,&#x20;and&#x20;using&#x20;sudo&#x20;in&#x20;its&#x20;place,&#x20;provides&#x20;system&#x20;administrators&#x20;better&#x20;control&#x20;of&#x20;the&#x20;escalation&#x20;of&#x20;user&#x20;privileges&#x20;to&#x20;execute&#x20;privileged&#x20;commands.&#x20;The&#x20;sudo&#x20;utility&#x20;also&#x20;provides&#x20;a&#x20;better&#x20;logging&#x20;and&#x20;audit&#x20;mechanism,&#x20;as&#x20;it&#x20;can&#x20;log&#x20;each&#x20;command&#x20;executed&#x20;via&#x20;sudo&#x20;,&#x20;whereas&#x20;su&#x20;can&#x20;only&#x20;record&#x20;that&#x20;a&#x20;user&#x20;executed&#x20;the&#x20;su&#x20;program.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/pam.d/su&#x20;file:&#x20;auth&#x20;required&#x20;pam_wheel.so&#x20;use_uid','[{\"cis\": [\"5.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5174,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd&#x20;are&#x20;configured','The&#x20;/etc/passwd&#x20;file&#x20;contains&#x20;user&#x20;account&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;utilities&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;utilities&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd&#x20;#&#x20;chmod&#x20;644&#x20;/etc/passwd','[{\"cis\": [\"6.1.2\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5175,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow&#x20;are&#x20;configured','The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;user&#x20;accounts.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/&#x20;shadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow&#x20;&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/shadow&#x20;&#x20;&#x20;&#x20;#&#x20;chmod&#x20;o-rwx,g-wx&#x20;/etc/shadow','[{\"cis\": [\"6.1.4\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5176,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group&#x20;are&#x20;configured','The&#x20;/etc/group&#x20;file&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.&#x20;The&#x20;command&#x20;below&#x20;allows&#x20;read/write&#x20;access&#x20;for&#x20;root&#x20;and&#x20;read&#x20;access&#x20;for&#x20;everyone&#x20;else.','The&#x20;/etc/group&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users,&#x20;but&#x20;needs&#x20;to&#x20;be&#x20;readable&#x20;as&#x20;this&#x20;information&#x20;is&#x20;used&#x20;with&#x20;many&#x20;non-privileged&#x20;programs.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group&#x20;#&#x20;chmod&#x20;644&#x20;/etc/group','[{\"cis\": [\"6.1.8\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5177,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow&#x20;are&#x20;configured','The&#x20;/etc/gshadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/gshadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/gshadow&#x20;file&#x20;&#40;such&#x20;as&#x20;group&#x20;administrators&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;group','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/gshadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/gshadow&#x20;&#x20;#&#x20;chmod&#x20;o-rwx,g-rw&#x20;/etc/gshadow','[{\"cis\": [\"6.1.6\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5178,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd-&#x20;are&#x20;configured','The&#x20;/etc/passwd-&#x20;file&#x20;contains&#x20;backup&#x20;user&#x20;account&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd-&#x20;#&#x20;chmod&#x20;600&#x20;/etc/passwd-','[{\"cis\": [\"6.1.3\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5179,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow-&#x20;are&#x20;configured','The&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/shadow-:&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/shadow-&#x20;&#x20;#&#x20;chmod&#x20;u-x,go-rwx&#x20;/etc/shadow-','[{\"cis\": [\"6.1.5\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5180,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group-&#x20;are&#x20;configured','The&#x20;/etc/group-&#x20;file&#x20;contains&#x20;a&#x20;backup&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/group-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group-&#x20;#&#x20;chmod&#x20;644&#x20;/etc/group-','[{\"cis\": [\"6.1.9\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5181,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;are&#x20;configured','The&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;one&#x20;of&#x20;the&#x20;following&#x20;chown&#x20;commands&#x20;as&#x20;appropriate&#x20;and&#x20;the&#x20;chmod&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow-&#x20;&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/gshadow-&#x20;&#x20;#&#x20;chmod&#x20;o-rwx,g-rw&#x20;/etc/gshadow-','[{\"cis\": [\"6.1.7\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5182,'Ensure&#x20;password&#x20;fields&#x20;are&#x20;not&#x20;empty','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;password,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;account&#x20;until&#x20;it&#x20;can&#x20;be&#x20;determined&#x20;why&#x20;it&#x20;does&#x20;not&#x20;have&#x20;a&#x20;password:&#x20;passwd&#x20;-l&#x20;&lt;username&gt;&#x20;||&#x20;Also,&#x20;check&#x20;to&#x20;see&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;investigate&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.1\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5183,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/passwd','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;&#039;+&#039;&#x20;entries&#x20;from&#x20;/etc/passwd&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.2\"]}, {\"cis_csc\": [\"16.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5184,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/shadow','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;&#039;+&#039;&#x20;entries&#x20;from&#x20;/etc/shadow&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.4\"]}, {\"cis_csc\": [\"16.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5185,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/group','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;&#039;+&#039;&#x20;entries&#x20;from&#x20;/etc/group&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.5\"]}, {\"cis_csc\": [\"16.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5186,'Ensure&#x20;root&#x20;is&#x20;the&#x20;only&#x20;UID&#x20;0&#x20;account','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','','Remove&#x20;any&#x20;users&#x20;other&#x20;than&#x20;root&#x20;with&#x20;UID&#x20;0&#x20;or&#x20;assign&#x20;them&#x20;a&#x20;new&#x20;UID&#x20;if&#x20;appropriate.','[{\"cis\": [\"6.2.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5500,'Ensure&#x20;mounting&#x20;of&#x20;cramfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;cramfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;compressed&#x20;read-only&#x20;Linux&#x20;filesystem&#x20;embedded&#x20;in&#x20;small&#x20;footprint&#x20;systems.&#x20;A&#x20;cramfs&#x20;image&#x20;can&#x20;be&#x20;used&#x20;without&#x20;having&#x20;to&#x20;first&#x20;decompress&#x20;the&#x20;image.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;server.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;cramfs&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;cramfs&#x20;module:&#x20;rmmod&#x20;cramfs','[{\"cis\": [\"1.1.1.1\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(5501,'Ensure&#x20;mounting&#x20;of&#x20;freevxfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;freevxfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;free&#x20;version&#x20;of&#x20;the&#x20;Veritas&#x20;type&#x20;filesystem.&#x20;This&#x20;is&#x20;the&#x20;primary&#x20;filesystem&#x20;type&#x20;for&#x20;HP-UX&#x20;operating&#x20;systems.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;freevxfs&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;freevxfs&#x20;module:&#x20;rmmod&#x20;freevxfs','[{\"cis\": [\"1.1.1.2\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(5502,'Ensure&#x20;mounting&#x20;of&#x20;jffs2&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;jffs2&#x20;&#40;journaling&#x20;flash&#x20;filesystem&#x20;2&#41;&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;log-structured&#x20;filesystem&#x20;used&#x20;in&#x20;flash&#x20;memory&#x20;devices.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;jffs2&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;jffs2&#x20;module:&#x20;rmmod&#x20;jffs2','[{\"cis\": [\"1.1.1.3\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(5503,'Ensure&#x20;mounting&#x20;of&#x20;hfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;hfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;hierarchical&#x20;filesystem&#x20;that&#x20;allows&#x20;you&#x20;to&#x20;mount&#x20;Mac&#x20;OS&#x20;filesystems.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;hfs&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;hfs&#x20;module:&#x20;rmmod&#x20;hfs','[{\"cis\": [\"1.1.1.4\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(5504,'Ensure&#x20;mounting&#x20;of&#x20;hfsplus&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;hfsplus&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;hierarchical&#x20;filesystem&#x20;designed&#x20;to&#x20;replace&#x20;hfs&#x20;that&#x20;allows&#x20;you&#x20;to&#x20;mount&#x20;Mac&#x20;OS&#x20;filesystems.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;hfsplus&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;hfsplus&#x20;module:&#x20;rmmod&#x20;hfsplus','[{\"cis\": [\"1.1.1.5\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(5505,'Ensure&#x20;mounting&#x20;of&#x20;squashfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;squashfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;compressed&#x20;read-only&#x20;Linux&#x20;filesystem&#x20;embedded&#x20;in&#x20;small&#x20;footprint&#x20;systems&#x20;&#40;similar&#x20;to&#x20;cramfs&#x20;&#41;.&#x20;A&#x20;squashfs&#x20;image&#x20;can&#x20;be&#x20;used&#x20;without&#x20;having&#x20;to&#x20;first&#x20;decompress&#x20;the&#x20;image.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;squashfs&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;squashfs&#x20;module:&#x20;rmmod&#x20;squashfs','[{\"cis\": [\"1.1.1.6\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(5506,'Ensure&#x20;mounting&#x20;of&#x20;udf&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;udf&#x20;filesystem&#x20;type&#x20;is&#x20;the&#x20;universal&#x20;disk&#x20;format&#x20;used&#x20;to&#x20;implement&#x20;ISO/IEC&#x20;13346&#x20;and&#x20;ECMA-167&#x20;specifications.&#x20;This&#x20;is&#x20;an&#x20;open&#x20;vendor&#x20;filesystem&#x20;type&#x20;for&#x20;data&#x20;storage&#x20;on&#x20;a&#x20;broad&#x20;range&#x20;of&#x20;media.&#x20;This&#x20;filesystem&#x20;type&#x20;is&#x20;necessary&#x20;to&#x20;support&#x20;writing&#x20;DVDs&#x20;and&#x20;newer&#x20;optical&#x20;disc&#x20;formats.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;udf&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;udf&#x20;module:&#x20;rmmod&#x20;udf','[{\"cis\": [\"1.1.1.7\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(5507,'Ensure&#x20;mounting&#x20;of&#x20;FAT&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;FAT&#x20;filesystem&#x20;format&#x20;is&#x20;primarily&#x20;used&#x20;on&#x20;older&#x20;windows&#x20;systems&#x20;and&#x20;portable&#x20;USB&#x20;drives&#x20;or&#x20;flash&#x20;modules.&#x20;It&#x20;comes&#x20;in&#x20;three&#x20;types&#x20;FAT12&#x20;,&#x20;FAT16&#x20;,&#x20;and&#x20;FAT32&#x20;all&#x20;of&#x20;which&#x20;are&#x20;supported&#x20;by&#x20;the&#x20;vfat&#x20;kernel&#x20;module.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;vfat&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;vfat&#x20;module:&#x20;rmmod&#x20;vfat','[{\"cis\": [\"1.1.1.8\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(5508,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/tmp','The&#x20;/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Since&#x20;the&#x20;/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;In&#x20;addition,&#x20;making&#x20;/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hardlink&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hardlink&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/tmp.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5509,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstabfile&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/tmp','[{\"cis\": [\"1.1.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5510,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/tmp','[{\"cis\": [\"1.1.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5511,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/tmp','[{\"cis\": [\"1.1.5\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5512,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var','The&#x20;/var&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;daemons&#x20;and&#x20;other&#x20;system&#x20;services&#x20;to&#x20;temporarily&#x20;store&#x20;dynamic&#x20;data.&#x20;Some&#x20;directories&#x20;created&#x20;by&#x20;these&#x20;processes&#x20;may&#x20;be&#x20;world-writable.','Since&#x20;the&#x20;/var&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5513,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/tmp','The&#x20;/var/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Since&#x20;the&#x20;/var/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;In&#x20;addition,&#x20;making&#x20;/var/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/var/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/tmp.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.7\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5514,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/tmp&#x20;.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.','[{\"cis\": [\"1.1.8\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5515,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.','[{\"cis\": [\"1.1.9\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5516,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.','[{\"cis\": [\"1.1.10\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5517,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log','The&#x20;/var/log&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;system&#x20;services&#x20;to&#x20;store&#x20;log&#x20;data&#x20;.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;system&#x20;logs&#x20;are&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;logs&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.11\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"2.2.4\", \"10.7\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5518,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log/audit','The&#x20;auditing&#x20;daemon,&#x20;auditd&#x20;,&#x20;stores&#x20;log&#x20;data&#x20;in&#x20;the&#x20;/var/log/audit&#x20;directory.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;data&#x20;gathered&#x20;by&#x20;auditd&#x20;is&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;the&#x20;audit.log&#x20;file&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log/audit.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.12\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"2.2.4\", \"10.7\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5519,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/home','The&#x20;/home&#x20;directory&#x20;is&#x20;used&#x20;to&#x20;support&#x20;disk&#x20;storage&#x20;needs&#x20;of&#x20;local&#x20;users.','If&#x20;the&#x20;system&#x20;is&#x20;intended&#x20;to&#x20;support&#x20;local&#x20;users,&#x20;create&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;the&#x20;/home&#x20;directory&#x20;to&#x20;protect&#x20;against&#x20;resource&#x20;exhaustion&#x20;and&#x20;restrict&#x20;the&#x20;type&#x20;of&#x20;files&#x20;that&#x20;can&#x20;be&#x20;stored&#x20;under&#x20;/home.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/home.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5520,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;user&#x20;partitions&#x20;are&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/home&#x20;partition.&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/home','[{\"cis\": [\"1.1.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5521,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/dev/shm&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;special&#x20;devices&#x20;in&#x20;/dev/shm&#x20;partitions.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/dev/shm','[{\"cis\": [\"1.1.15\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5522,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;introducing&#x20;privileged&#x20;programs&#x20;onto&#x20;the&#x20;system&#x20;and&#x20;allowing&#x20;non-root&#x20;users&#x20;to&#x20;execute&#x20;them.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/dev/shm','[{\"cis\": [\"1.1.16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5523,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;executing&#x20;programs&#x20;from&#x20;shared&#x20;memory.&#x20;This&#x20;deters&#x20;users&#x20;from&#x20;introducing&#x20;potentially&#x20;malicious&#x20;software&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/dev/shm','[{\"cis\": [\"1.1.17\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5524,'Disable&#x20;Automounting','autofs&#x20;allows&#x20;automatic&#x20;mounting&#x20;of&#x20;devices,&#x20;typically&#x20;including&#x20;CD/DVDs&#x20;and&#x20;USB&#x20;drives.','With&#x20;automounting&#x20;enabled&#x20;anyone&#x20;with&#x20;physical&#x20;access&#x20;could&#x20;attach&#x20;a&#x20;USB&#x20;drive&#x20;or&#x20;disc&#x20;and&#x20;have&#x20;its&#x20;contents&#x20;available&#x20;in&#x20;system&#x20;even&#x20;if&#x20;they&#x20;lacked&#x20;permissions&#x20;to&#x20;mount&#x20;it&#x20;themselves.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;autofs:&#x20;#&#x20;chkconfig&#x20;autofs&#x20;off','[{\"cis\": [\"1.1.22\"]}, {\"cis_csc\": [\"8.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5525,'Ensure&#x20;gpgcheck&#x20;is&#x20;globally&#x20;activated','The&#x20;gpgcheck&#x20;option,&#x20;found&#x20;in&#x20;the&#x20;main&#x20;section&#x20;of&#x20;the&#x20;/etc/yum.conf&#x20;and&#x20;individual&#x20;/etc/yum/repos.d&#47;&#42;&#x20;files&#x20;determines&#x20;if&#x20;an&#x20;RPM&#x20;package&#039;s&#x20;signature&#x20;is&#x20;checked&#x20;prior&#x20;to&#x20;its&#x20;installation.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;an&#x20;RPM&#039;s&#x20;package&#x20;signature&#x20;is&#x20;always&#x20;checked&#x20;prior&#x20;to&#x20;installation&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;software&#x20;is&#x20;obtained&#x20;from&#x20;a&#x20;trusted&#x20;source.','','Edit&#x20;/etc/yum.conf&#x20;and&#x20;set&#x20;&#039;&#x20;gpgcheck=1&#x20;&#039;&#x20;in&#x20;the&#x20;[main]&#x20;section.&#x20;Edit&#x20;any&#x20;failing&#x20;files&#x20;in&#x20;/etc/yum.repos.d&#47;&#42;&#x20;and&#x20;set&#x20;all&#x20;instances&#x20;of&#x20;gpgcheck&#x20;to&#x20;&#039;&#x20;1&#x20;&#039;.','[{\"cis\": [\"1.2.3\"]}, {\"cis_csc\": [\"4.5\"]}, {\"pci_dss\": [\"6.2\"]}, {\"nist_800_53\": [\"SI.2\", \"SA.11\", \"SI.4\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"A1.2\", \"CC6.8\"]}]'),(5526,'Ensure&#x20;AIDE&#x20;is&#x20;installed','AIDE&#x20;takes&#x20;a&#x20;snapshot&#x20;of&#x20;filesystem&#x20;state&#x20;including&#x20;modification&#x20;times,&#x20;permissions,&#x20;and&#x20;file&#x20;hashes&#x20;which&#x20;can&#x20;then&#x20;be&#x20;used&#x20;to&#x20;compare&#x20;against&#x20;the&#x20;current&#x20;state&#x20;of&#x20;the&#x20;filesystem&#x20;to&#x20;detect&#x20;modifications&#x20;to&#x20;the&#x20;system.','By&#x20;monitoring&#x20;the&#x20;filesystem&#x20;state&#x20;compromised&#x20;files&#x20;can&#x20;be&#x20;detected&#x20;to&#x20;prevent&#x20;or&#x20;limit&#x20;the&#x20;exposure&#x20;of&#x20;accidental&#x20;or&#x20;malicious&#x20;misconfigurations&#x20;or&#x20;modified&#x20;binaries.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;aide:&#x20;yum&#x20;install&#x20;aide&#x20;//&#x20;Configure&#x20;AIDE&#x20;as&#x20;appropriate&#x20;for&#x20;your&#x20;environment.&#x20;Consult&#x20;the&#x20;AIDE&#x20;documentation&#x20;for&#x20;options.&#x20;Initialize&#x20;AIDE:&#x20;aide&#x20;--init&#x20;&amp;&amp;&#x20;mv&#x20;/var/lib/aide/aide.db.new.gz&#x20;/var/lib/aide/aide.db.gz','[{\"cis\": [\"1.3.1\"]}, {\"cis_csc\": [\"3.5\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5527,'Ensure&#x20;filesystem&#x20;integrity&#x20;is&#x20;regularly&#x20;checked','Periodic&#x20;checking&#x20;of&#x20;the&#x20;filesystem&#x20;integrity&#x20;is&#x20;needed&#x20;to&#x20;detect&#x20;changes&#x20;to&#x20;the&#x20;filesystem.','Periodic&#x20;file&#x20;checking&#x20;allows&#x20;the&#x20;system&#x20;administrator&#x20;to&#x20;determine&#x20;on&#x20;a&#x20;regular&#x20;basis&#x20;if&#x20;critical&#x20;files&#x20;have&#x20;been&#x20;changed&#x20;in&#x20;an&#x20;unauthorized&#x20;fashion.','','Run&#x20;the&#x20;following&#x20;command:&#x20;crontab&#x20;-u&#x20;root&#x20;-e&#x20;//&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;crontab:&#x20;0&#x20;5&#x20;*&#x20;*&#x20;*&#x20;/usr/sbin/aide&#x20;--check&#x20;&#x20;//&#x20;Notes:&#x20;The&#x20;checking&#x20;in&#x20;this&#x20;recommendation&#x20;occurs&#x20;every&#x20;day&#x20;at&#x20;5am.&#x20;Alter&#x20;the&#x20;frequency&#x20;and&#x20;time&#x20;of&#x20;the&#x20;checks&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy.&#x20;&#x20;','[{\"cis\": [\"1.3.2\"]}, {\"cis_csc\": [\"3.5\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5528,'Ensure&#x20;permissions&#x20;on&#x20;bootloader&#x20;config&#x20;are&#x20;configured','The&#x20;grub&#x20;configuration&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;boot&#x20;settings&#x20;and&#x20;passwords&#x20;for&#x20;unlocking&#x20;boot&#x20;options.&#x20;The&#x20;grub&#x20;configuration&#x20;is&#x20;usually&#x20;located&#x20;at&#x20;/boot/grub/grub.conf&#x20;and&#x20;linked&#x20;as&#x20;/boot/grub/menu.lst&#x20;and&#x20;/etc/grub.conf&#x20;.','Setting&#x20;the&#x20;permissions&#x20;to&#x20;read&#x20;and&#x20;write&#x20;for&#x20;root&#x20;only&#x20;prevents&#x20;non-root&#x20;users&#x20;from&#x20;seeing&#x20;the&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;them.&#x20;Non-root&#x20;users&#x20;who&#x20;read&#x20;the&#x20;boot&#x20;parameters&#x20;may&#x20;be&#x20;able&#x20;to&#x20;identify&#x20;weaknesses&#x20;in&#x20;security&#x20;upon&#x20;boot&#x20;and&#x20;be&#x20;able&#x20;to&#x20;exploit&#x20;them.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;your&#x20;grub&#x20;configuration:&#x20;#&#x20;chown&#x20;root:root&#x20;/boot/grub/grub.conf&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/boot/grub/grub.conf','[{\"cis\": [\"1.4.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5529,'Ensure&#x20;bootloader&#x20;password&#x20;is&#x20;set','Setting&#x20;the&#x20;boot&#x20;loader&#x20;password&#x20;will&#x20;require&#x20;that&#x20;anyone&#x20;rebooting&#x20;the&#x20;system&#x20;must&#x20;enter&#x20;a&#x20;password&#x20;before&#x20;being&#x20;able&#x20;to&#x20;set&#x20;command&#x20;line&#x20;boot&#x20;parameters.','Requiring&#x20;a&#x20;boot&#x20;password&#x20;upon&#x20;execution&#x20;of&#x20;the&#x20;boot&#x20;loader&#x20;will&#x20;prevent&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;entering&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;the&#x20;boot&#x20;partition.&#x20;This&#x20;prevents&#x20;users&#x20;from&#x20;weakening&#x20;security&#x20;&#40;e.g.&#x20;turning&#x20;off&#x20;SELinux&#x20;at&#x20;boot&#x20;time&#41;.','','Create&#x20;an&#x20;encrypted&#x20;password&#x20;with&#x20;grub-md5-crypt:&#x20;#&#x20;grub-md5-crypt&#x20;Password:&#x20;&lt;password&gt;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Retype&#x20;Password:&#x20;&lt;password&gt;&#x20;&lt;encrypted-password&gt;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Copy&#x20;and&#x20;paste&#x20;the&#x20;&lt;encrypted-password&gt;&#x20;into&#x20;the&#x20;global&#x20;section&#x20;of&#x20;/boot/grub/grub.conf&#x20;:&#x20;password&#x20;--md5&#x20;&lt;encrypted-password&gt;','[{\"cis\": [\"1.4.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5530,'Ensure&#x20;authentication&#x20;required&#x20;for&#x20;single&#x20;user&#x20;mode','Single&#x20;user&#x20;mode&#x20;is&#x20;used&#x20;for&#x20;recovery&#x20;when&#x20;the&#x20;system&#x20;detects&#x20;an&#x20;issue&#x20;during&#x20;boot&#x20;or&#x20;by&#x20;manual&#x20;selection&#x20;from&#x20;the&#x20;bootloader.','Requiring&#x20;authentication&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;prevents&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;rebooting&#x20;the&#x20;system&#x20;into&#x20;single&#x20;user&#x20;to&#x20;gain&#x20;root&#x20;privileges&#x20;without&#x20;credentials.','','Edit&#x20;/etc/sysconfig/init&#x20;and&#x20;set&#x20;SINGLE&#x20;to&#x20;&#039;&#x20;/sbin/sulogin&#039;:&#x20;&#x20;SINGLE=/sbin/sulogin','[{\"cis\": [\"1.4.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5531,'Ensure&#x20;interactive&#x20;boot&#x20;is&#x20;not&#x20;enabled','Interactive&#x20;boot&#x20;allows&#x20;console&#x20;users&#x20;to&#x20;interactively&#x20;select&#x20;which&#x20;services&#x20;start&#x20;on&#x20;boot.&#x20;The&#x20;PROMPT&#x20;option&#x20;provides&#x20;console&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;interactively&#x20;boot&#x20;the&#x20;system&#x20;and&#x20;select&#x20;which&#x20;services&#x20;to&#x20;start&#x20;on&#x20;boot&#x20;.&#x20;','Turn&#x20;off&#x20;the&#x20;PROMPT&#x20;option&#x20;on&#x20;the&#x20;console&#x20;to&#x20;prevent&#x20;console&#x20;users&#x20;from&#x20;potentially&#x20;overriding&#x20;established&#x20;security&#x20;settings.&#x20;','','Edit&#x20;the&#x20;/etc/sysconfig/init&#x20;file&#x20;and&#x20;set&#x20;PROMPT&#x20;to&#x20;&#039;&#x20;no&#x20;&#039;:&#x20;PROMPT=no','[{\"cis\": [\"1.4.4\"]}, {\"cis_csc\": [\"5.1\"]}]'),(5532,'Ensure&#x20;core&#x20;dumps&#x20;are&#x20;restricted','A&#x20;core&#x20;dump&#x20;is&#x20;the&#x20;memory&#x20;of&#x20;an&#x20;executable&#x20;program.&#x20;It&#x20;is&#x20;generally&#x20;used&#x20;to&#x20;determine&#x20;why&#x20;a&#x20;program&#x20;aborted.&#x20;It&#x20;can&#x20;also&#x20;be&#x20;used&#x20;to&#x20;glean&#x20;confidential&#x20;information&#x20;from&#x20;a&#x20;core&#x20;file.','Setting&#x20;a&#x20;hard&#x20;limit&#x20;on&#x20;core&#x20;dumps&#x20;prevents&#x20;users&#x20;from&#x20;overriding&#x20;the&#x20;soft&#x20;variable.&#x20;If&#x20;core&#x20;dumps&#x20;are&#x20;required,&#x20;consider&#x20;setting&#x20;limits&#x20;for&#x20;user&#x20;groups&#x20;&#40;see&#x20;limits.conf&#41;.&#x20;In&#x20;addition,&#x20;setting&#x20;the&#x20;fs.suid_dumpable&#x20;variable&#x20;to&#x20;0&#x20;will&#x20;prevent&#x20;setuid&#x20;programs&#x20;from&#x20;dumping&#x20;core.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;/etc/security/limits.conf&#x20;or&#x20;a&#x20;/etc/security/limits.d&#47;&#42;&#x20;file:&#x20;*&#x20;hard&#x20;core&#x20;0.&#x20;Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;fs.suid_dumpable&#x20;=&#x20;0&#x20;and&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;fs.suid_dumpable=0','[{\"cis\": [\"1.5.1\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5533,'Ensure&#x20;XD/NX&#x20;support&#x20;is&#x20;enabled','Recent&#x20;processors&#x20;in&#x20;the&#x20;x86&#x20;family&#x20;support&#x20;the&#x20;ability&#x20;to&#x20;prevent&#x20;code&#x20;execution&#x20;on&#x20;a&#x20;per&#x20;memory&#x20;page&#x20;basis.&#x20;Generically&#x20;and&#x20;on&#x20;AMD&#x20;processors,&#x20;this&#x20;ability&#x20;is&#x20;called&#x20;No&#x20;Execute&#x20;&#40;NX&#41;,&#x20;while&#x20;on&#x20;Intel&#x20;processors&#x20;it&#x20;is&#x20;called&#x20;Execute&#x20;Disable&#x20;&#40;XD&#41;.&#x20;This&#x20;ability&#x20;can&#x20;help&#x20;prevent&#x20;exploitation&#x20;of&#x20;buffer&#x20;overflow&#x20;vulnerabilities&#x20;and&#x20;should&#x20;be&#x20;activated&#x20;whenever&#x20;possible.&#x20;Extra&#x20;steps&#x20;must&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;that&#x20;this&#x20;protection&#x20;is&#x20;enabled,&#x20;particularly&#x20;on&#x20;32-bit&#x20;x86&#x20;systems.&#x20;Other&#x20;processors,&#x20;such&#x20;as&#x20;Itanium&#x20;and&#x20;POWER,&#x20;have&#x20;included&#x20;such&#x20;support&#x20;since&#x20;inception&#x20;and&#x20;the&#x20;standard&#x20;kernel&#x20;for&#x20;those&#x20;platforms&#x20;supports&#x20;the&#x20;feature.','Enabling&#x20;any&#x20;feature&#x20;that&#x20;can&#x20;protect&#x20;against&#x20;buffer&#x20;overflow&#x20;attacks&#x20;enhances&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.','','On&#x20;32&#x20;bit&#x20;systems&#x20;install&#x20;a&#x20;kernel&#x20;with&#x20;PAE&#x20;support,&#x20;no&#x20;installation&#x20;is&#x20;required&#x20;on&#x20;64&#x20;bit&#x20;systems:&#x20;If&#x20;necessary&#x20;configure&#x20;your&#x20;bootloader&#x20;to&#x20;load&#x20;the&#x20;new&#x20;kernel&#x20;and&#x20;reboot&#x20;the&#x20;system.&#x20;You&#x20;may&#x20;need&#x20;to&#x20;enable&#x20;NX&#x20;or&#x20;XD&#x20;support&#x20;in&#x20;your&#x20;bios.','[{\"cis\": [\"1.5.2\"]}, {\"cis_csc\": [\"8.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5534,'Ensure&#x20;address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;enabled','Address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;an&#x20;exploit&#x20;mitigation&#x20;technique&#x20;which&#x20;randomly&#x20;arranges&#x20;the&#x20;address&#x20;space&#x20;of&#x20;key&#x20;data&#x20;areas&#x20;of&#x20;a&#x20;process.','Randomly&#x20;placing&#x20;virtual&#x20;memory&#x20;regions&#x20;will&#x20;make&#x20;it&#x20;difficult&#x20;to&#x20;write&#x20;memory&#x20;page&#x20;exploits&#x20;as&#x20;the&#x20;memory&#x20;placement&#x20;will&#x20;be&#x20;consistently&#x20;shifting.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;kernel.randomize_va_space&#x20;=&#x20;2.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;kernel.randomize_va_space=2','[{\"cis\": [\"1.5.3\"]}, {\"cis_csc\": [\"8.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5535,'Ensure&#x20;prelink&#x20;is&#x20;disabled','prelink&#x20;is&#x20;a&#x20;program&#x20;that&#x20;modifies&#x20;ELF&#x20;shared&#x20;libraries&#x20;and&#x20;ELF&#x20;dynamically&#x20;linked&#x20;binaries&#x20;in&#x20;such&#x20;a&#x20;way&#x20;that&#x20;the&#x20;time&#x20;needed&#x20;for&#x20;the&#x20;dynamic&#x20;linker&#x20;to&#x20;perform&#x20;relocations&#x20;at&#x20;startup&#x20;significantly&#x20;decreases.','The&#x20;prelinking&#x20;feature&#x20;can&#x20;interfere&#x20;with&#x20;the&#x20;operation&#x20;of&#x20;AIDE,&#x20;because&#x20;it&#x20;changes&#x20;binaries.&#x20;Prelinking&#x20;can&#x20;also&#x20;increase&#x20;the&#x20;vulnerability&#x20;of&#x20;the&#x20;system&#x20;if&#x20;a&#x20;malicious&#x20;user&#x20;is&#x20;able&#x20;to&#x20;compromise&#x20;a&#x20;common&#x20;library&#x20;such&#x20;as&#x20;libc.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;restore&#x20;binaries&#x20;to&#x20;normal&#x20;and&#x20;uninstall&#x20;prelink:&#x20;prelink&#x20;-ua&#x20;&amp;&amp;&#x20;yum&#x20;remove&#x20;prelink','[{\"cis\": [\"1.5.4\"]}, {\"cis_csc\": [\"3.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5536,'Ensure&#x20;SELinux&#x20;is&#x20;not&#x20;disabled&#x20;in&#x20;bootloader&#x20;configuration','Configure&#x20;SELINUX&#x20;to&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;and&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;not&#x20;been&#x20;overwritten&#x20;by&#x20;the&#x20;grub&#x20;boot&#x20;parameters.','SELinux&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;your&#x20;grub&#x20;configuration&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;not&#x20;overridden.','','Edit&#x20;/boot/grub/grub.conf&#x20;and&#x20;remove&#x20;all&#x20;instances&#x20;of&#x20;selinux=0&#x20;and&#x20;enforcing=0&#x20;on&#x20;all&#x20;kernel&#x20;lines','[{\"cis\": [\"1.6.1.1\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5537,'Ensure&#x20;the&#x20;SELinux&#x20;state&#x20;is&#x20;enforcing','Set&#x20;SELinux&#x20;to&#x20;enable&#x20;when&#x20;the&#x20;system&#x20;is&#x20;booted.','SELinux&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;in&#x20;effect&#x20;at&#x20;all&#x20;times.','','Edit&#x20;the&#x20;/etc/selinux/config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;SELINUX&#x20;parameter:&#x20;SELINUX=enforcing','[{\"cis\": [\"1.6.1.2\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5538,'Ensure&#x20;SELinux&#x20;policy&#x20;is&#x20;configured','Configure&#x20;SELinux&#x20;to&#x20;meet&#x20;or&#x20;exceed&#x20;the&#x20;default&#x20;targeted&#x20;policy,&#x20;which&#x20;constrains&#x20;daemons&#x20;and&#x20;system&#x20;software&#x20;only.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;at&#x20;least&#x20;the&#x20;default&#x20;recommendations&#x20;are&#x20;met.','','Edit&#x20;the&#x20;/etc/selinux/config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;SELINUXTYPE&#x20;parameter:&#x20;SELINUXTYPE=targeted','[{\"cis\": [\"1.6.1.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5539,'Ensure&#x20;SETroubleshoot&#x20;is&#x20;not&#x20;installed','The&#x20;SETroubleshoot&#x20;service&#x20;notifies&#x20;desktop&#x20;users&#x20;of&#x20;SELinux&#x20;denials&#x20;through&#x20;a&#x20;user-friendly&#x20;interface.&#x20;The&#x20;service&#x20;provides&#x20;important&#x20;information&#x20;around&#x20;configuration&#x20;errors,&#x20;unauthorized&#x20;intrusions,&#x20;and&#x20;other&#x20;potential&#x20;errors.','The&#x20;SETroubleshoot&#x20;service&#x20;is&#x20;an&#x20;unnecessary&#x20;daemon&#x20;to&#x20;have&#x20;running&#x20;on&#x20;a&#x20;server,&#x20;especially&#x20;if&#x20;X&#x20;Windows&#x20;is&#x20;disabled.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;setroubleshoot:&#x20;#&#x20;yum&#x20;remove&#x20;setroubleshoot','[{\"cis\": [\"1.6.1.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5540,'Ensure&#x20;the&#x20;MCS&#x20;Translation&#x20;Service&#x20;&#40;mcstrans&#41;&#x20;is&#x20;not&#x20;installed','The&#x20;mcstransd&#x20;daemon&#x20;provides&#x20;category&#x20;label&#x20;information&#x20;to&#x20;client&#x20;processes&#x20;requesting&#x20;information.&#x20;The&#x20;label&#x20;translations&#x20;are&#x20;defined&#x20;in&#x20;/etc/selinux/targeted/setrans.conf','Since&#x20;this&#x20;service&#x20;is&#x20;not&#x20;used&#x20;very&#x20;often,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;amount&#x20;of&#x20;potentially&#x20;vulnerable&#x20;code&#x20;running&#x20;on&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;mcstrans:&#x20;#&#x20;yum&#x20;remove&#x20;mcstrans','[{\"cis\": [\"1.6.1.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5541,'Ensure&#x20;no&#x20;unconfined&#x20;daemons&#x20;exist','Daemons&#x20;that&#x20;are&#x20;not&#x20;defined&#x20;in&#x20;SELinux&#x20;policy&#x20;will&#x20;inherit&#x20;the&#x20;security&#x20;context&#x20;of&#x20;their&#x20;parent&#x20;process.','Since&#x20;daemons&#x20;are&#x20;launched&#x20;and&#x20;descend&#x20;from&#x20;the&#x20;init&#x20;process,&#x20;they&#x20;will&#x20;inherit&#x20;the&#x20;security&#x20;context&#x20;label&#x20;initrc_t&#x20;.&#x20;This&#x20;could&#x20;cause&#x20;the&#x20;unintended&#x20;consequence&#x20;of&#x20;giving&#x20;the&#x20;process&#x20;more&#x20;permission&#x20;than&#x20;it&#x20;requires.','','Investigate&#x20;any&#x20;unconfined&#x20;daemons&#x20;found&#x20;during&#x20;the&#x20;audit&#x20;action.&#x20;They&#x20;may&#x20;need&#x20;to&#x20;have&#x20;an&#x20;existing&#x20;security&#x20;context&#x20;assigned&#x20;to&#x20;them&#x20;or&#x20;a&#x20;policy&#x20;built&#x20;for&#x20;them.','[{\"cis\": [\"1.6.1.6\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5542,'Ensure&#x20;SELinux&#x20;is&#x20;installed','SELinux&#x20;provides&#x20;Mandatory&#x20;Access&#x20;Controls.','Without&#x20;a&#x20;Mandatory&#x20;Access&#x20;Control&#x20;system&#x20;installed&#x20;only&#x20;the&#x20;default&#x20;Discretionary&#x20;Access&#x20;Control&#x20;system&#x20;will&#x20;be&#x20;available.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;libselinux:&#x20;yum&#x20;install&#x20;libselinux','[{\"cis\": [\"1.6.2\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5543,'Ensure&#x20;message&#x20;of&#x20;the&#x20;day&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/motd&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;or&#x20;v.','[{\"cis\": [\"1.7.1.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(5544,'Ensure&#x20;local&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;or&#x20;v:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue','[{\"cis\": [\"1.7.1.2\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(5545,'Ensure&#x20;remote&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;or&#x20;v:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue.net','[{\"cis\": [\"1.7.1.3\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(5546,'Ensure&#x20;permissions&#x20;on&#x20;/etc/motd&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.','If&#x20;the&#x20;/etc/motd&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/motd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/motd&#x20;#&#x20;chmod&#x20;644&#x20;/etc/motd','[{\"cis\": [\"1.7.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5547,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.','If&#x20;the&#x20;/etc/issue&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue','[{\"cis\": [\"1.7.1.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5548,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue.net&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.','If&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue.net:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue.net&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue.net','[{\"cis\": [\"1.7.1.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5549,'Ensure&#x20;GDM&#x20;login&#x20;banner&#x20;is&#x20;configured','GDM&#x20;is&#x20;the&#x20;GNOME&#x20;Display&#x20;Manager&#x20;which&#x20;handles&#x20;graphical&#x20;login&#x20;for&#x20;GNOME&#x20;based&#x20;systems.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.','','Create&#x20;the&#x20;/etc/dconf/profile/gdm&#x20;file&#x20;with&#x20;the&#x20;following&#x20;contents:&#x20;&#x20;user-db:user&#x20;&#x20;&#x20;system-db:gdm&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;file-db:/usr/share/gdm/greeter-dconf-defaults&#x20;&#x20;&#x20;&#x20;&#x20;||&#x20;&#x20;Create&#x20;or&#x20;edit&#x20;the&#x20;banner-message-enable&#x20;and&#x20;banner-message-text&#x20;options&#x20;in&#x20;/etc/dconf/db/gdm.d/01-banner-message&#x20;:&#x20;&#x20;&#x20;[org/gnome/login-screen]&#x20;&#x20;&#x20;&#x20;&#x20;banner-message-enable=true&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;banner-message-text=&#039;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&#039;&#x20;&#x20;&#x20;||&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;system&#x20;databases:&#x20;dconf&#x20;update','[{\"cis\": [\"1.7.2\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(5550,'Ensure&#x20;updates,&#x20;patches,&#x20;and&#x20;additional&#x20;security&#x20;software&#x20;are&#x20;installed','Periodically&#x20;patches&#x20;are&#x20;released&#x20;for&#x20;included&#x20;software&#x20;either&#x20;due&#x20;to&#x20;security&#x20;flaws&#x20;or&#x20;to&#x20;include&#x20;additional&#x20;functionality.','Newer&#x20;patches&#x20;may&#x20;contain&#x20;security&#x20;enhancements&#x20;that&#x20;would&#x20;not&#x20;be&#x20;available&#x20;through&#x20;the&#x20;latest&#x20;full&#x20;update.&#x20;As&#x20;a&#x20;result,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;latest&#x20;software&#x20;patches&#x20;be&#x20;used&#x20;to&#x20;take&#x20;advantage&#x20;of&#x20;the&#x20;latest&#x20;functionality.&#x20;As&#x20;with&#x20;any&#x20;software&#x20;installation,&#x20;organizations&#x20;need&#x20;to&#x20;determine&#x20;if&#x20;a&#x20;given&#x20;update&#x20;meets&#x20;their&#x20;requirements&#x20;and&#x20;verify&#x20;the&#x20;compatibility&#x20;and&#x20;supportability&#x20;of&#x20;any&#x20;additional&#x20;software&#x20;against&#x20;the&#x20;update&#x20;revision&#x20;that&#x20;is&#x20;selected.','','Site&#x20;policy&#x20;may&#x20;mandate&#x20;a&#x20;testing&#x20;period&#x20;before&#x20;install&#x20;onto&#x20;production&#x20;systems&#x20;for&#x20;available&#x20;updates.&#x20;The&#x20;audit&#x20;and&#x20;remediation&#x20;here&#x20;only&#x20;cover&#x20;security&#x20;updates.&#x20;Non-security&#x20;updates&#x20;can&#x20;be&#x20;audited&#x20;with&#x20;and&#x20;comparing&#x20;against&#x20;site&#x20;policy:&#x20;#&#x20;yum&#x20;check-update','[{\"cis\": [\"1.8\"]}, {\"cis_csc\": [\"4.5\"]}, {\"pci_dss\": [\"5.2\"]}, {\"nist_800_53\": [\"AU.6\", \"SI.4\"]}, {\"gpg_13\": [\"4.2\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"A1.2\"]}]'),(5551,'Ensure&#x20;chargen&#x20;services&#x20;are&#x20;not&#x20;enabled','chargen&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;with&#x20;0&#x20;to&#x20;512&#x20;ASCII&#x20;characters&#x20;for&#x20;each&#x20;connection&#x20;it&#x20;receives.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;chargen-dgram&#x20;and&#x20;chargen-stream:&#x20;#&#x20;chkconfig&#x20;chargen-dgram&#x20;off;&#x20;#&#x20;chkconfig&#x20;chargen-stream&#x20;off','[{\"cis\": [\"2.1.1\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5552,'Ensure&#x20;daytime&#x20;services&#x20;are&#x20;not&#x20;enabled','daytime&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;with&#x20;the&#x20;server&#039;s&#x20;current&#x20;date&#x20;and&#x20;time.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;daytime-dgram&#x20;and&#x20;daytime-stream:&#x20;#&#x20;chkconfig&#x20;daytime-dgram&#x20;off;&#x20;#&#x20;chkconfig&#x20;daytime-stream&#x20;off','[{\"cis\": [\"2.1.2\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5553,'Ensure&#x20;discard&#x20;services&#x20;are&#x20;not&#x20;enabled','discardis&#x20;a&#x20;network&#x20;service&#x20;that&#x20;simply&#x20;discards&#x20;all&#x20;data&#x20;it&#x20;receives.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;discard-dgram&#x20;and&#x20;discard-stream:&#x20;#&#x20;chkconfig&#x20;discard-dgram&#x20;off;&#x20;#&#x20;chkconfig&#x20;discard-stream&#x20;off','[{\"cis\": [\"2.1.3\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5554,'Ensure&#x20;echo&#x20;services&#x20;are&#x20;not&#x20;enabled','echo&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;to&#x20;clients&#x20;with&#x20;the&#x20;data&#x20;sent&#x20;to&#x20;it&#x20;by&#x20;the&#x20;client.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;echo-dgram&#x20;and&#x20;echo-stream:&#x20;#&#x20;chkconfig&#x20;echo-dgram&#x20;off;&#x20;#&#x20;chkconfig&#x20;echo-stream&#x20;off','[{\"cis\": [\"2.1.4\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5555,'Ensure&#x20;time&#x20;services&#x20;are&#x20;not&#x20;enabled','time&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;with&#x20;the&#x20;server&#039;s&#x20;current&#x20;date&#x20;and&#x20;time&#x20;as&#x20;a&#x20;32&#x20;bit&#x20;integer.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;time-dgram&#x20;and&#x20;time-stream:&#x20;#&#x20;chkconfig&#x20;time-dgram&#x20;off;&#x20;#&#x20;chkconfig&#x20;time-stream&#x20;off','[{\"cis\": [\"2.1.5\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5556,'Ensure&#x20;rsh&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;Berkeley&#x20;rsh-server&#x20;&#40;&#x20;rsh&#x20;,&#x20;rlogin&#x20;,&#x20;rexec&#x20;&#41;&#x20;package&#x20;contains&#x20;legacy&#x20;services&#x20;that&#x20;exchange&#x20;credentials&#x20;in&#x20;clear-text.','These&#x20;legacy&#x20;services&#x20;contain&#x20;numerous&#x20;security&#x20;exposures&#x20;and&#x20;have&#x20;been&#x20;replaced&#x20;with&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;package.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;rsh,&#x20;rlogin,&#x20;and&#x20;rexec:&#x20;#&#x20;chkconfig&#x20;rsh&#x20;off&#x20;&#x20;&#x20;#&#x20;chkconfig&#x20;rlogin&#x20;off&#x20;&#x20;#&#x20;chkconfig&#x20;rexec&#x20;off','[{\"cis\": [\"2.1.6\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5557,'Ensure&#x20;talk&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;talk&#x20;software&#x20;makes&#x20;it&#x20;possible&#x20;for&#x20;users&#x20;to&#x20;send&#x20;and&#x20;receive&#x20;messages&#x20;across&#x20;systems&#x20;through&#x20;a&#x20;terminal&#x20;session.&#x20;The&#x20;talk&#x20;client&#x20;&#40;allows&#x20;initiate&#x20;of&#x20;talk&#x20;sessions&#41;&#x20;is&#x20;installed&#x20;by&#x20;default.','The&#x20;software&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;talk:&#x20;#&#x20;chkconfig&#x20;talk&#x20;off','[{\"cis\": [\"2.1.7\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5558,'Ensure&#x20;telnet&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;telnet-server&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;daemon,&#x20;which&#x20;accepts&#x20;connections&#x20;from&#x20;users&#x20;from&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;a&#x20;user&#x20;with&#x20;access&#x20;to&#x20;sniff&#x20;network&#x20;traffic&#x20;the&#x20;ability&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;telnet:&#x20;#&#x20;chkconfig&#x20;telnet&#x20;off','[{\"cis\": [\"2.1.8\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5559,'Ensure&#x20;tftp&#x20;server&#x20;is&#x20;not&#x20;enabled','Trivial&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;TFTP&#41;&#x20;is&#x20;a&#x20;simple&#x20;file&#x20;transfer&#x20;protocol,&#x20;typically&#x20;used&#x20;to&#x20;automatically&#x20;transfer&#x20;configuration&#x20;or&#x20;boot&#x20;machines&#x20;from&#x20;a&#x20;boot&#x20;server.&#x20;The&#x20;package&#x20;tftp-server&#x20;is&#x20;used&#x20;to&#x20;define&#x20;and&#x20;support&#x20;a&#x20;TFTP&#x20;server.','TFTP&#x20;does&#x20;not&#x20;support&#x20;authentication&#x20;nor&#x20;does&#x20;it&#x20;ensure&#x20;the&#x20;confidentiality&#x20;or&#x20;integrity&#x20;of&#x20;data.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;TFTP&#x20;be&#x20;removed,&#x20;unless&#x20;there&#x20;is&#x20;a&#x20;specific&#x20;need&#x20;for&#x20;TFTP.&#x20;In&#x20;that&#x20;case,&#x20;extreme&#x20;caution&#x20;must&#x20;be&#x20;used&#x20;when&#x20;configuring&#x20;the&#x20;services.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;tftp:&#x20;#&#x20;chkconfig&#x20;tftp&#x20;off','[{\"cis\": [\"2.1.9\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\", \"AC.4\", \"SC.7\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5560,'Ensure&#x20;rsync&#x20;service&#x20;is&#x20;not&#x20;enabled','The&#x20;rsyncd&#x20;service&#x20;can&#x20;be&#x20;used&#x20;to&#x20;synchronize&#x20;files&#x20;between&#x20;systems&#x20;over&#x20;network&#x20;links.','The&#x20;rsyncd&#x20;service&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;rsync:&#x20;#&#x20;chkconfig&#x20;rsyncd&#x20;off','[{\"cis\": [\"2.1.10\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5561,'Ensure&#x20;xinetd&#x20;is&#x20;not&#x20;enabled','The&#x20;eXtended&#x20;InterNET&#x20;Daemon&#x20;&#40;&#x20;xinetd&#x20;&#41;&#x20;is&#x20;an&#x20;open&#x20;source&#x20;super&#x20;daemon&#x20;that&#x20;replaced&#x20;the&#x20;original&#x20;inetd&#x20;daemon.&#x20;The&#x20;xinetd&#x20;daemon&#x20;listens&#x20;for&#x20;well&#x20;known&#x20;services&#x20;and&#x20;dispatches&#x20;the&#x20;appropriate&#x20;daemon&#x20;to&#x20;properly&#x20;respond&#x20;to&#x20;service&#x20;requests.','If&#x20;there&#x20;are&#x20;no&#x20;xinetd&#x20;services&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;daemon&#x20;be&#x20;disabled.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;xinetd:&#x20;#&#x20;chkconfig&#x20;xinetd&#x20;off','[{\"cis\": [\"2.1.11\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5562,'Ensure&#x20;time&#x20;synchronization&#x20;is&#x20;in&#x20;use','System&#x20;time&#x20;should&#x20;be&#x20;synchronized&#x20;between&#x20;all&#x20;systems&#x20;in&#x20;an&#x20;environment.&#x20;This&#x20;is&#x20;typically&#x20;done&#x20;by&#x20;establishing&#x20;an&#x20;authoritative&#x20;time&#x20;server&#x20;or&#x20;set&#x20;of&#x20;servers&#x20;and&#x20;having&#x20;all&#x20;systems&#x20;synchronize&#x20;their&#x20;clocks&#x20;to&#x20;them.','Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;like&#x20;Kerberos&#x20;and&#x20;also&#x20;ensures&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise,&#x20;which&#x20;aids&#x20;in&#x20;forensic&#x20;investigations.','','On&#x20;physical&#x20;systems&#x20;or&#x20;virtual&#x20;systems&#x20;where&#x20;host&#x20;based&#x20;time&#x20;synchronization&#x20;is&#x20;not&#x20;available&#x20;run&#x20;the&#x20;following&#x20;commands&#x20;and&#x20;verify&#x20;either&#x20;ntp&#x20;or&#x20;chrony&#x20;is&#x20;installed:&#x20;#&#x20;rpm&#x20;-q&#x20;ntp&#x20;#&#x20;rpm&#x20;-q&#x20;chrony&#x20;&#x20;On&#x20;virtual&#x20;systems&#x20;where&#x20;host&#x20;based&#x20;time&#x20;synchronization&#x20;is&#x20;available&#x20;consult&#x20;your&#x20;virtualization&#x20;software&#x20;documentation&#x20;and&#x20;verify&#x20;that&#x20;host&#x20;based&#x20;synchronization&#x20;is&#x20;in&#x20;use.','[{\"cis\": [\"2.2.2.1\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"10.4\"]}, {\"nist_800_53\": [\"AU.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5563,'Ensure&#x20;ntp&#x20;is&#x20;configured','ntp&#x20;is&#x20;a&#x20;daemon&#x20;which&#x20;implements&#x20;the&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;.&#x20;It&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;NTP&#x20;can&#x20;be&#x20;found&#x20;at&#x20;https://www.ntp.org.&#x20;ntp&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.','If&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.','','1&#41;&#x20;Add&#x20;or&#x20;edit&#x20;restrict&#x20;lines&#x20;in&#x20;/etc/ntp.conf&#x20;to&#x20;match&#x20;the&#x20;following:&#x20;-&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;and&#x20;-&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery.&#x20;2&#41;&#x20;Add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;to&#x20;/etc/ntp.conf&#x20;as&#x20;appropriate:&#x20;server&#x20;&lt;remote-server&gt;.&#x20;3&#41;&#x20;Add&#x20;or&#x20;edit&#x20;the&#x20;OPTIONS&#x20;in&#x20;/etc/sysconfig/ntpd&#x20;to&#x20;include&#x20;&#039;&#x20;-u&#x20;ntp:ntp&#x20;&#039;:&#x20;-&#x20;OPTIONS=&#039;-u&#x20;ntp:ntp&#039;','[{\"cis\": [\"2.2.1.2\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5564,'Ensure&#x20;chrony&#x20;is&#x20;configured','chrony&#x20;is&#x20;a&#x20;daemon&#x20;which&#x20;implements&#x20;the&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;.&#x20;It&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;NTP&#x20;can&#x20;be&#x20;found&#x20;at&#x20;https://www.ntp.org.&#x20;ntp&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.','If&#x20;chrony&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.','','1&#41;&#x20;Add&#x20;or&#x20;edit&#x20;restrict&#x20;lines&#x20;in&#x20;/etc/chrony.conf&#x20;to&#x20;match&#x20;the&#x20;following:&#x20;-&#x20;1&#41;&#x20;Add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;to&#x20;/etc/chrony.conf&#x20;as&#x20;appropriate:&#x20;server&#x20;&lt;remote-server&gt;.&#x20;3&#41;&#x20;Add&#x20;or&#x20;edit&#x20;the&#x20;OPTIONS&#x20;in&#x20;/etc/sysconfig/chronyd&#x20;to&#x20;include:&#x20;-&#x20;OPTIONS=&#039;-u&#x20;chronyd&#039;','[{\"cis\": [\"2.2.1.3\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5565,'Ensure&#x20;X&#x20;Window&#x20;System&#x20;is&#x20;not&#x20;installed','The&#x20;X&#x20;Window&#x20;System&#x20;provides&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;where&#x20;users&#x20;can&#x20;have&#x20;multiple&#x20;windows&#x20;in&#x20;which&#x20;to&#x20;run&#x20;programs&#x20;and&#x20;various&#x20;add&#x20;on.&#x20;The&#x20;X&#x20;Windows&#x20;system&#x20;is&#x20;typically&#x20;used&#x20;on&#x20;workstations&#x20;where&#x20;users&#x20;login,&#x20;but&#x20;not&#x20;on&#x20;servers&#x20;where&#x20;users&#x20;typically&#x20;do&#x20;not&#x20;login.','Unless&#x20;your&#x20;organization&#x20;specifically&#x20;requires&#x20;graphical&#x20;login&#x20;access&#x20;via&#x20;X&#x20;Windows,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;X&#x20;Windows&#x20;System&#x20;packages:&#x20;#&#x20;yum&#x20;remove&#x20;xorg-x11*','[{\"cis\": [\"2.2.2\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5566,'Ensure&#x20;Avahi&#x20;Server&#x20;is&#x20;not&#x20;enabled','Avahi&#x20;is&#x20;a&#x20;free&#x20;zeroconf&#x20;implementation,&#x20;including&#x20;a&#x20;system&#x20;for&#x20;multicast&#x20;DNS/DNS-SD&#x20;service&#x20;discovery.&#x20;Avahi&#x20;allows&#x20;programs&#x20;to&#x20;publish&#x20;and&#x20;discover&#x20;services&#x20;and&#x20;hosts&#x20;running&#x20;on&#x20;a&#x20;local&#x20;network&#x20;with&#x20;no&#x20;specific&#x20;configuration.&#x20;For&#x20;example,&#x20;a&#x20;user&#x20;can&#x20;plug&#x20;a&#x20;computer&#x20;into&#x20;a&#x20;network&#x20;and&#x20;Avahi&#x20;automatically&#x20;finds&#x20;printers&#x20;to&#x20;print&#x20;to,&#x20;files&#x20;to&#x20;look&#x20;at&#x20;and&#x20;people&#x20;to&#x20;talk&#x20;to,&#x20;as&#x20;well&#x20;as&#x20;network&#x20;services&#x20;running&#x20;on&#x20;the&#x20;machine.','Automatic&#x20;discovery&#x20;of&#x20;network&#x20;services&#x20;is&#x20;not&#x20;normally&#x20;required&#x20;for&#x20;system&#x20;functionality.&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;disable&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;avahi-daemon:&#x20;#&#x20;chkconfig&#x20;avahi-daemon&#x20;off','[{\"cis\": [\"2.2.3\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5567,'Ensure&#x20;CUPS&#x20;is&#x20;not&#x20;enabled','The&#x20;Common&#x20;Unix&#x20;Print&#x20;System&#x20;&#40;CUPS&#41;&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;print&#x20;to&#x20;both&#x20;local&#x20;and&#x20;network&#x20;printers.&#x20;A&#x20;system&#x20;running&#x20;CUPS&#x20;can&#x20;also&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;remote&#x20;systems&#x20;and&#x20;print&#x20;them&#x20;to&#x20;local&#x20;printers.&#x20;It&#x20;also&#x20;provides&#x20;a&#x20;web&#x20;based&#x20;remote&#x20;administration&#x20;capability.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;need&#x20;to&#x20;print&#x20;jobs&#x20;or&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;systems,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;CUPS&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;cups&#x20;:&#x20;#&#x20;chkconfig&#x20;cups&#x20;off','[{\"cis\": [\"2.2.4\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5568,'Ensure&#x20;DHCP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Dynamic&#x20;Host&#x20;Configuration&#x20;Protocol&#x20;&#40;DHCP&#41;&#x20;is&#x20;a&#x20;service&#x20;that&#x20;allows&#x20;machines&#x20;to&#x20;be&#x20;dynamically&#x20;assigned&#x20;IP&#x20;addresses.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;set&#x20;up&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DHCP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;dhcpd:&#x20;#&#x20;chkconfig&#x20;dhcpd&#x20;off','[{\"cis\": [\"2.2.5\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5569,'Ensure&#x20;LDAP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;slapd:&#x20;#&#x20;chkconfig&#x20;slapd&#x20;off','[{\"cis\": [\"2.2.6\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5570,'Ensure&#x20;NFS&#x20;and&#x20;RPC&#x20;are&#x20;not&#x20;enabled','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;export&#x20;NFS&#x20;shares&#x20;or&#x20;act&#x20;as&#x20;an&#x20;NFS&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;these&#x20;services&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;nfs,&#x20;nfs-server&#x20;and&#x20;rpcbind:&#x20;#&#x20;chkconfig&#x20;nfs&#x20;off;&#x20;#&#x20;chkconfig&#x20;rpcbind&#x20;off','[{\"cis\": [\"2.2.7\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5571,'Ensure&#x20;DNS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Domain&#x20;Name&#x20;System&#x20;&#40;DNS&#41;&#x20;is&#x20;a&#x20;hierarchical&#x20;naming&#x20;system&#x20;that&#x20;maps&#x20;names&#x20;to&#x20;IP&#x20;addresses&#x20;for&#x20;computers,&#x20;services&#x20;and&#x20;other&#x20;resources&#x20;connected&#x20;to&#x20;a&#x20;network.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;designated&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DNS&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;named&#x20;:&#x20;#&#x20;chkconfig&#x20;named&#x20;off','[{\"cis\": [\"2.2.8\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5572,'Ensure&#x20;FTP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;FTP&#41;&#x20;provides&#x20;networked&#x20;computers&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;transfer&#x20;files.','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;sftp&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;vsftpd:&#x20;#&#x20;chkconfig&#x20;vsftpd&#x20;off','[{\"cis\": [\"2.2.9\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5573,'Ensure&#x20;HTTP&#x20;server&#x20;is&#x20;not&#x20;enabled','HTTP&#x20;or&#x20;web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;httpd:&#x20;#&#x20;chkconfig&#x20;httpd&#x20;off','[{\"cis\": [\"2.2.10\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5574,'Ensure&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;is&#x20;not&#x20;enabled','dovecot&#x20;is&#x20;an&#x20;open&#x20;source&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;POP3&#x20;and/or&#x20;IMAP&#x20;servers&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;by&#x20;this&#x20;system,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;dovecot:&#x20;#&#x20;chkconfig&#x20;dovecot&#x20;off','[{\"cis\": [\"2.2.11\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5575,'Ensure&#x20;Samba&#x20;is&#x20;not&#x20;enabled','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Small&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.&#x20;Windows&#x20;desktop&#x20;users&#x20;will&#x20;be&#x20;able&#x20;to&#x20;mount&#x20;these&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;as&#x20;letter&#x20;drives&#x20;on&#x20;their&#x20;systems.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;service&#x20;can&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;smb:&#x20;#&#x20;chkconfig&#x20;smb&#x20;off','[{\"cis\": [\"2.2.12\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5576,'Ensure&#x20;HTTP&#x20;Proxy&#x20;Server&#x20;is&#x20;not&#x20;enabled','Squid&#x20;is&#x20;a&#x20;standard&#x20;proxy&#x20;server&#x20;used&#x20;in&#x20;many&#x20;distributions&#x20;and&#x20;environments.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;proxy&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;squid:&#x20;#&#x20;chkconfig&#x20;squid&#x20;off','[{\"cis\": [\"2.2.13\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5577,'Ensure&#x20;SNMP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;can&#x20;communicate&#x20;using&#x20;SNMP&#x20;v1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;Unless&#x20;absolutely&#x20;necessary,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;SNMP&#x20;service&#x20;not&#x20;be&#x20;used.&#x20;If&#x20;SNMP&#x20;is&#x20;required&#x20;the&#x20;server&#x20;should&#x20;be&#x20;configured&#x20;to&#x20;disallow&#x20;SNMP&#x20;v1.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;snmpd:&#x20;#&#x20;chkconfig&#x20;snmpd&#x20;off','[{\"cis\": [\"2.2.14\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5578,'Ensure&#x20;mail&#x20;transfer&#x20;agent&#x20;is&#x20;configured&#x20;for&#x20;local-only&#x20;mode','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','','Edit&#x20;/etc/postfix/main.cf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;RECEIVING&#x20;MAIL&#x20;section.&#x20;If&#x20;the&#x20;line&#x20;already&#x20;exists,&#x20;change&#x20;it&#x20;to&#x20;look&#x20;like&#x20;the&#x20;line&#x20;below:&#x20;inet_interfaces&#x20;=&#x20;loopback-only&#x20;Restart&#x20;postfix:&#x20;#&#x20;service&#x20;postfix&#x20;restart','[{\"cis\": [\"2.2.15\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AC.4\", \"SC.7\"]}, {\"tsc\": [\"CC5.2\", \"CC6.4\", \"CC6.6\", \"CC6.7\"]}]'),(5579,'Ensure&#x20;NIS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;&#x20;&#40;formally&#x20;known&#x20;as&#x20;Yellow&#x20;Pages&#41;&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;for&#x20;distributing&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;server&#x20;is&#x20;a&#x20;collection&#x20;of&#x20;programs&#x20;that&#x20;allow&#x20;for&#x20;the&#x20;distribution&#x20;of&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;and&#x20;other,&#x20;more&#x20;secure&#x20;services&#x20;be&#x20;used','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;ypserv:&#x20;#&#x20;chkconfig&#x20;ypserv&#x20;off','[{\"cis\": [\"2.2.16\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5580,'Ensure&#x20;NIS&#x20;Client&#x20;is&#x20;not&#x20;installed','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;,&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;used&#x20;to&#x20;distribute&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;client&#x20;&#40;&#x20;ypbind&#x20;&#41;&#x20;was&#x20;used&#x20;to&#x20;bind&#x20;a&#x20;machine&#x20;to&#x20;an&#x20;NIS&#x20;server&#x20;and&#x20;receive&#x20;the&#x20;distributed&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;ypbind:&#x20;#&#x20;yum&#x20;remove&#x20;ypbind','[{\"cis\": [\"2.3.1\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5581,'Ensure&#x20;rsh&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;rsh&#x20;package&#x20;contains&#x20;the&#x20;client&#x20;commands&#x20;for&#x20;the&#x20;rsh&#x20;services.','These&#x20;legacy&#x20;clients&#x20;contain&#x20;numerous&#x20;security&#x20;exposures&#x20;and&#x20;have&#x20;been&#x20;replaced&#x20;with&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;package.&#x20;Even&#x20;if&#x20;the&#x20;server&#x20;is&#x20;removed,&#x20;it&#x20;is&#x20;best&#x20;to&#x20;ensure&#x20;the&#x20;clients&#x20;are&#x20;also&#x20;removed&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;inadvertently&#x20;attempting&#x20;to&#x20;use&#x20;these&#x20;commands&#x20;and&#x20;therefore&#x20;exposing&#x20;their&#x20;credentials.&#x20;Note&#x20;that&#x20;removing&#x20;the&#x20;rsh&#x20;package&#x20;removes&#x20;the&#x20;clients&#x20;for&#x20;rsh&#x20;,&#x20;rcp&#x20;and&#x20;rlogin&#x20;.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;rsh&#x20;:&#x20;#&#x20;yum&#x20;remove&#x20;rsh','[{\"cis\": [\"2.3.2\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5582,'Ensure&#x20;talk&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;talk&#x20;software&#x20;makes&#x20;it&#x20;possible&#x20;for&#x20;users&#x20;to&#x20;send&#x20;and&#x20;receive&#x20;messages&#x20;across&#x20;systems&#x20;through&#x20;a&#x20;terminal&#x20;session.&#x20;The&#x20;talk&#x20;client,&#x20;which&#x20;allows&#x20;initialization&#x20;of&#x20;talk&#x20;sessions,&#x20;is&#x20;installed&#x20;by&#x20;default.','The&#x20;software&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;talk&#x20;:&#x20;#&#x20;yum&#x20;remove&#x20;talk','[{\"cis\": [\"2.3.3\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5583,'Ensure&#x20;telnet&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;telnet&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;client,&#x20;which&#x20;allows&#x20;users&#x20;to&#x20;start&#x20;connections&#x20;to&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security&#x20;and&#x20;is&#x20;included&#x20;in&#x20;most&#x20;Linux&#x20;distributions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;telnet&#x20;:&#x20;#&#x20;yum&#x20;remove&#x20;telnet','[{\"cis\": [\"2.3.4\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5584,'Ensure&#x20;LDAP&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;openldap-clients&#x20;:&#x20;#&#x20;yum&#x20;remove&#x20;openldap-clients','[{\"cis\": [\"2.3.5\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5585,'Ensure&#x20;IP&#x20;forwarding&#x20;is&#x20;disabled','The&#x20;net.ipv4.ip_forward&#x20;flag&#x20;is&#x20;used&#x20;to&#x20;tell&#x20;the&#x20;system&#x20;whether&#x20;it&#x20;can&#x20;forward&#x20;packets&#x20;or&#x20;not.','Setting&#x20;the&#x20;flag&#x20;to&#x20;0&#x20;ensures&#x20;that&#x20;a&#x20;system&#x20;with&#x20;multiple&#x20;interfaces&#x20;&#40;for&#x20;example,&#x20;a&#x20;hard&#x20;proxy&#41;,&#x20;will&#x20;never&#x20;be&#x20;able&#x20;to&#x20;forward&#x20;packets,&#x20;and&#x20;therefore,&#x20;never&#x20;serve&#x20;as&#x20;a&#x20;router.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.ip_forward&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.ip_forward=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.1.1\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5586,'Ensure&#x20;packet&#x20;redirect&#x20;sending&#x20;is&#x20;disabled','ICMP&#x20;Redirects&#x20;are&#x20;used&#x20;to&#x20;send&#x20;routing&#x20;information&#x20;to&#x20;other&#x20;hosts.&#x20;As&#x20;a&#x20;host&#x20;itself&#x20;does&#x20;not&#x20;act&#x20;as&#x20;a&#x20;router&#x20;&#40;in&#x20;a&#x20;host&#x20;only&#x20;configuration&#41;,&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;send&#x20;redirects.','An&#x20;attacker&#x20;could&#x20;use&#x20;a&#x20;compromised&#x20;host&#x20;to&#x20;send&#x20;invalid&#x20;ICMP&#x20;redirects&#x20;to&#x20;other&#x20;router&#x20;devices&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;corrupt&#x20;routing&#x20;and&#x20;have&#x20;users&#x20;access&#x20;a&#x20;system&#x20;set&#x20;up&#x20;by&#x20;the&#x20;attacker&#x20;as&#x20;opposed&#x20;to&#x20;a&#x20;valid&#x20;system.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.send_redirects&#x20;=&#x20;0;&#x20;net.ipv4.conf.default.send_redirects&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.send_redirects=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.send_redirects=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.1.2\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5587,'Ensure&#x20;source&#x20;routed&#x20;packets&#x20;are&#x20;not&#x20;accepted','In&#x20;networking,&#x20;source&#x20;routing&#x20;allows&#x20;a&#x20;sender&#x20;to&#x20;partially&#x20;or&#x20;fully&#x20;specify&#x20;the&#x20;route&#x20;packets&#x20;take&#x20;through&#x20;a&#x20;network.&#x20;In&#x20;contrast,&#x20;non-source&#x20;routed&#x20;packets&#x20;travel&#x20;a&#x20;path&#x20;determined&#x20;by&#x20;routers&#x20;in&#x20;the&#x20;network.&#x20;In&#x20;some&#x20;cases,&#x20;systems&#x20;may&#x20;not&#x20;be&#x20;routable&#x20;or&#x20;reachable&#x20;from&#x20;some&#x20;locations&#x20;&#40;e.g.&#x20;private&#x20;addresses&#x20;vs.&#x20;Internet&#x20;routable&#41;,&#x20;and&#x20;so&#x20;source&#x20;routed&#x20;packets&#x20;would&#x20;need&#x20;to&#x20;be&#x20;used.','Setting&#x20;net.ipv4.conf.all.accept_source_route&#x20;and&#x20;net.ipv4.conf.default.accept_source_route&#x20;to&#x20;0&#x20;disables&#x20;the&#x20;system&#x20;from&#x20;accepting&#x20;source&#x20;routed&#x20;packets.&#x20;Assume&#x20;this&#x20;system&#x20;was&#x20;capable&#x20;of&#x20;routing&#x20;packets&#x20;to&#x20;Internet&#x20;routable&#x20;addresses&#x20;on&#x20;one&#x20;interface&#x20;and&#x20;private&#x20;addresses&#x20;on&#x20;another&#x20;interface.&#x20;Assume&#x20;that&#x20;the&#x20;private&#x20;addresses&#x20;were&#x20;not&#x20;routable&#x20;to&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;and&#x20;vice&#x20;versa.&#x20;Under&#x20;normal&#x20;routing&#x20;circumstances,&#x20;an&#x20;attacker&#x20;from&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;could&#x20;not&#x20;use&#x20;the&#x20;system&#x20;as&#x20;a&#x20;way&#x20;to&#x20;reach&#x20;the&#x20;private&#x20;address&#x20;systems.&#x20;If,&#x20;however,&#x20;source&#x20;routed&#x20;packets&#x20;were&#x20;allowed,&#x20;they&#x20;could&#x20;be&#x20;used&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;private&#x20;address&#x20;systems&#x20;as&#x20;the&#x20;route&#x20;could&#x20;be&#x20;specified,&#x20;rather&#x20;than&#x20;rely&#x20;on&#x20;routing&#x20;protocols&#x20;that&#x20;did&#x20;not&#x20;allow&#x20;this&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_source_route&#x20;=&#x20;0;&#x20;net.ipv4.conf.default.accept_source_route&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.1\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5588,'Ensure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','ICMP&#x20;redirect&#x20;messages&#x20;are&#x20;packets&#x20;that&#x20;convey&#x20;routing&#x20;information&#x20;and&#x20;tell&#x20;your&#x20;host&#x20;&#40;acting&#x20;as&#x20;a&#x20;router&#41;&#x20;to&#x20;send&#x20;packets&#x20;via&#x20;an&#x20;alternate&#x20;path.&#x20;It&#x20;is&#x20;a&#x20;way&#x20;of&#x20;allowing&#x20;an&#x20;outside&#x20;routing&#x20;device&#x20;to&#x20;update&#x20;your&#x20;system&#x20;routing&#x20;tables.','Attackers&#x20;could&#x20;use&#x20;bogus&#x20;ICMP&#x20;redirect&#x20;messages&#x20;to&#x20;maliciously&#x20;alter&#x20;the&#x20;system&#x20;routing&#x20;tables&#x20;and&#x20;get&#x20;them&#x20;to&#x20;send&#x20;packets&#x20;to&#x20;incorrect&#x20;networks&#x20;and&#x20;allow&#x20;your&#x20;system&#x20;packets&#x20;to&#x20;be&#x20;captured.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_redirects&#x20;=&#x20;0;&#x20;net.ipv4.conf.default.accept_redirects&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.2\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5589,'Ensure&#x20;secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','Secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;the&#x20;same&#x20;as&#x20;ICMP&#x20;redirects,&#x20;except&#x20;they&#x20;come&#x20;from&#x20;gateways&#x20;listed&#x20;on&#x20;the&#x20;default&#x20;gateway&#x20;list.&#x20;It&#x20;is&#x20;assumed&#x20;that&#x20;these&#x20;gateways&#x20;are&#x20;known&#x20;to&#x20;your&#x20;system,&#x20;and&#x20;that&#x20;they&#x20;are&#x20;likely&#x20;to&#x20;be&#x20;secure.','It&#x20;is&#x20;still&#x20;possible&#x20;for&#x20;even&#x20;known&#x20;gateways&#x20;to&#x20;be&#x20;compromised.&#x20;Setting&#x20;net.ipv4.conf.all.secure_redirects&#x20;to&#x20;0&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;routing&#x20;table&#x20;updates&#x20;by&#x20;possibly&#x20;compromised&#x20;known&#x20;gateways.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.secure_redirects&#x20;=&#x20;0;&#x20;net.ipv4.conf.default.secure_redirects&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.secure_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.secure_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.3\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5590,'Ensure&#x20;suspicious&#x20;packets&#x20;are&#x20;logged','When&#x20;enabled,&#x20;this&#x20;feature&#x20;logs&#x20;packets&#x20;with&#x20;un-routable&#x20;source&#x20;addresses&#x20;to&#x20;the&#x20;kernel&#x20;log.','Enabling&#x20;this&#x20;feature&#x20;and&#x20;logging&#x20;these&#x20;packets&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;investigate&#x20;the&#x20;possibility&#x20;that&#x20;an&#x20;attacker&#x20;is&#x20;sending&#x20;spoofed&#x20;packets&#x20;to&#x20;their&#x20;system.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.log_martians&#x20;=&#x20;1;&#x20;net.ipv4.conf.default.log_martians&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.log_martians=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.log_martians=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.4\"]}, {\"cis_csc\": [\"6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5591,'Ensure&#x20;broadcast&#x20;ICMP&#x20;requests&#x20;are&#x20;ignored','Setting&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;to&#x20;1&#x20;will&#x20;cause&#x20;the&#x20;system&#x20;to&#x20;ignore&#x20;all&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;to&#x20;broadcast&#x20;and&#x20;multicast&#x20;addresses.','Accepting&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;with&#x20;broadcast&#x20;or&#x20;multicast&#x20;destinations&#x20;for&#x20;your&#x20;network&#x20;could&#x20;be&#x20;used&#x20;to&#x20;trick&#x20;your&#x20;host&#x20;into&#x20;starting&#x20;&#40;or&#x20;participating&#41;&#x20;in&#x20;a&#x20;Smurf&#x20;attack.&#x20;A&#x20;Smurf&#x20;attack&#x20;relies&#x20;on&#x20;an&#x20;attacker&#x20;sending&#x20;large&#x20;amounts&#x20;of&#x20;ICMP&#x20;broadcast&#x20;messages&#x20;with&#x20;a&#x20;spoofed&#x20;source&#x20;address.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_echo_ignore_broadcasts=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.5\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5592,'Ensure&#x20;bogus&#x20;ICMP&#x20;responses&#x20;are&#x20;ignored','Setting&#x20;icmp_ignore_bogus_error_responses&#x20;to&#x20;1&#x20;prevents&#x20;the&#x20;kernel&#x20;from&#x20;logging&#x20;bogus&#x20;responses&#x20;&#40;RFC-1122&#x20;non-compliant&#41;&#x20;from&#x20;broadcast&#x20;reframes,&#x20;keeping&#x20;file&#x20;systems&#x20;from&#x20;filling&#x20;up&#x20;with&#x20;useless&#x20;log&#x20;messages.','Some&#x20;routers&#x20;&#40;and&#x20;some&#x20;attackers&#41;&#x20;will&#x20;send&#x20;responses&#x20;that&#x20;violate&#x20;RFC-1122&#x20;and&#x20;attempt&#x20;to&#x20;fill&#x20;up&#x20;a&#x20;log&#x20;file&#x20;system&#x20;with&#x20;many&#x20;useless&#x20;error&#x20;messages.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.icmp_ignore_bogus_error_responses&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_ignore_bogus_error_responses=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.6\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5593,'Ensure&#x20;Reverse&#x20;Path&#x20;Filtering&#x20;is&#x20;enabled','Setting&#x20;net.ipv4.conf.all.rp_filter&#x20;and&#x20;net.ipv4.conf.default.rp_filter&#x20;to&#x20;1&#x20;forces&#x20;the&#x20;Linux&#x20;kernel&#x20;to&#x20;utilize&#x20;reverse&#x20;path&#x20;filtering&#x20;on&#x20;a&#x20;received&#x20;packet&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;packet&#x20;was&#x20;valid.&#x20;Essentially,&#x20;with&#x20;reverse&#x20;path&#x20;filtering,&#x20;if&#x20;the&#x20;return&#x20;packet&#x20;does&#x20;not&#x20;go&#x20;out&#x20;the&#x20;same&#x20;interface&#x20;that&#x20;the&#x20;corresponding&#x20;source&#x20;packet&#x20;came&#x20;from,&#x20;the&#x20;packet&#x20;is&#x20;dropped&#x20;&#40;and&#x20;logged&#x20;if&#x20;log_martians&#x20;is&#x20;set&#41;.','Setting&#x20;these&#x20;flags&#x20;is&#x20;a&#x20;good&#x20;way&#x20;to&#x20;deter&#x20;attackers&#x20;from&#x20;sending&#x20;your&#x20;server&#x20;bogus&#x20;packets&#x20;that&#x20;cannot&#x20;be&#x20;responded&#x20;to.&#x20;One&#x20;instance&#x20;where&#x20;this&#x20;feature&#x20;breaks&#x20;down&#x20;is&#x20;if&#x20;asymmetrical&#x20;routing&#x20;is&#x20;employed.&#x20;This&#x20;would&#x20;occur&#x20;when&#x20;using&#x20;dynamic&#x20;routing&#x20;protocols&#x20;&#40;bgp,&#x20;ospf,&#x20;etc&#41;&#x20;on&#x20;your&#x20;system.&#x20;If&#x20;you&#x20;are&#x20;using&#x20;asymmetrical&#x20;routing&#x20;on&#x20;your&#x20;system,&#x20;you&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;enable&#x20;this&#x20;feature&#x20;without&#x20;breaking&#x20;the&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.rp_filter&#x20;=&#x20;1;&#x20;net.ipv4.conf.default.rp_filter&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.rp_filter=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.rp_filter=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.7\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5594,'Ensure&#x20;TCP&#x20;SYN&#x20;Cookies&#x20;is&#x20;enabled','When&#x20;tcp_syncookies&#x20;is&#x20;set,&#x20;the&#x20;kernel&#x20;will&#x20;handle&#x20;TCP&#x20;SYN&#x20;packets&#x20;normally&#x20;until&#x20;the&#x20;half-open&#x20;connection&#x20;queue&#x20;is&#x20;full,&#x20;at&#x20;which&#x20;time,&#x20;the&#x20;SYN&#x20;cookie&#x20;functionality&#x20;kicks&#x20;in.&#x20;SYN&#x20;cookies&#x20;work&#x20;by&#x20;not&#x20;using&#x20;the&#x20;SYN&#x20;queue&#x20;at&#x20;all.&#x20;Instead,&#x20;the&#x20;kernel&#x20;simply&#x20;replies&#x20;to&#x20;the&#x20;SYN&#x20;with&#x20;a&#x20;SYN|ACK,&#x20;but&#x20;will&#x20;include&#x20;a&#x20;specially&#x20;crafted&#x20;TCP&#x20;sequence&#x20;number&#x20;that&#x20;encodes&#x20;the&#x20;source&#x20;and&#x20;destination&#x20;IP&#x20;address&#x20;and&#x20;port&#x20;number&#x20;and&#x20;the&#x20;time&#x20;the&#x20;packet&#x20;was&#x20;sent.','Attackers&#x20;use&#x20;SYN&#x20;flood&#x20;attacks&#x20;to&#x20;perform&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attacked&#x20;on&#x20;a&#x20;system&#x20;by&#x20;sending&#x20;many&#x20;SYN&#x20;packets&#x20;without&#x20;completing&#x20;the&#x20;three&#x20;way&#x20;handshake.&#x20;This&#x20;will&#x20;quickly&#x20;use&#x20;up&#x20;slots&#x20;in&#x20;the&#x20;kernel&#039;s&#x20;half-open&#x20;connection&#x20;queue&#x20;and&#x20;prevent&#x20;legitimate&#x20;connections&#x20;from&#x20;succeeding.&#x20;SYN&#x20;cookies&#x20;allow&#x20;the&#x20;system&#x20;to&#x20;keep&#x20;accepting&#x20;valid&#x20;connections,&#x20;even&#x20;if&#x20;under&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attack.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.tcp_syncookies&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.tcp_syncookies=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.8\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5595,'Ensure&#x20;IPv6&#x20;router&#x20;advertisements&#x20;are&#x20;not&#x20;accepted','This&#x20;setting&#x20;disables&#x20;the&#x20;system&#039;s&#x20;ability&#x20;to&#x20;accept&#x20;IPv6&#x20;router&#x20;advertisements.','It&#x20;is&#x20;recommended&#x20;that&#x20;systems&#x20;not&#x20;accept&#x20;router&#x20;advertisements&#x20;as&#x20;they&#x20;could&#x20;be&#x20;tricked&#x20;into&#x20;routing&#x20;traffic&#x20;to&#x20;compromised&#x20;machines.&#x20;Setting&#x20;hard&#x20;routes&#x20;within&#x20;the&#x20;system&#x20;&#40;usually&#x20;a&#x20;single&#x20;default&#x20;route&#x20;to&#x20;a&#x20;trusted&#x20;router&#41;&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;bad&#x20;routes.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv6.conf.all.accept_ra&#x20;=&#x20;0&#x20;and&#x20;net.ipv6.conf.default.accept_ra&#x20;=&#x20;0&#x20;Then,&#x20;run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_ra=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_ra=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.3.1\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5596,'Ensure&#x20;IPv6&#x20;redirects&#x20;are&#x20;not&#x20;accepted','This&#x20;setting&#x20;prevents&#x20;the&#x20;system&#x20;from&#x20;accepting&#x20;ICMP&#x20;redirects.&#x20;ICMP&#x20;redirects&#x20;tell&#x20;the&#x20;system&#x20;about&#x20;alternate&#x20;routes&#x20;for&#x20;sending&#x20;traffic.','It&#x20;is&#x20;recommended&#x20;that&#x20;systems&#x20;not&#x20;accept&#x20;ICMP&#x20;redirects&#x20;as&#x20;they&#x20;could&#x20;be&#x20;tricked&#x20;into&#x20;routing&#x20;traffic&#x20;to&#x20;compromised&#x20;machines.&#x20;Setting&#x20;hard&#x20;routes&#x20;within&#x20;the&#x20;system&#x20;&#40;usually&#x20;a&#x20;single&#x20;default&#x20;route&#x20;to&#x20;a&#x20;trusted&#x20;router&#41;&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;bad&#x20;routes.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv6.conf.all.accept_redirects&#x20;=&#x20;0&#x20;&#x20;||&#x20;net.ipv6.conf.default.accept_redirects&#x20;=&#x20;0&#x20;Then,&#x20;run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.3.2\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5597,'Ensure&#x20;IPv6&#x20;is&#x20;disabled','Although&#x20;IPv6&#x20;has&#x20;many&#x20;advantages&#x20;over&#x20;IPv4,&#x20;few&#x20;organizations&#x20;have&#x20;implemented&#x20;IPv6.','If&#x20;IPv6&#x20;is&#x20;not&#x20;to&#x20;be&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;it&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Edit&#x20;/boot/grub/grub.conf&#x20;to&#x20;include&#x20;ipv6.disable=1&#x20;on&#x20;all&#x20;kernel&#x20;lines.','[{\"cis\": [\"3.3.3\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5598,'Ensure&#x20;TCP&#x20;Wrappers&#x20;is&#x20;installed','TCP&#x20;Wrappers&#x20;provides&#x20;a&#x20;simple&#x20;access&#x20;list&#x20;and&#x20;standardized&#x20;logging&#x20;method&#x20;for&#x20;services&#x20;capable&#x20;of&#x20;supporting&#x20;it.&#x20;In&#x20;the&#x20;past,&#x20;services&#x20;that&#x20;were&#x20;called&#x20;from&#x20;inetd&#x20;and&#x20;xinetd&#x20;supported&#x20;the&#x20;use&#x20;of&#x20;tcp&#x20;wrappers.&#x20;As&#x20;inetd&#x20;and&#x20;xinetd&#x20;have&#x20;been&#x20;falling&#x20;in&#x20;disuse,&#x20;any&#x20;service&#x20;that&#x20;can&#x20;support&#x20;tcp&#x20;wrappers&#x20;will&#x20;have&#x20;the&#x20;libwrap.so&#x20;library&#x20;attached&#x20;to&#x20;it.','TCP&#x20;Wrappers&#x20;provide&#x20;a&#x20;good&#x20;simple&#x20;access&#x20;list&#x20;mechanism&#x20;to&#x20;services&#x20;that&#x20;may&#x20;not&#x20;have&#x20;that&#x20;support&#x20;built&#x20;in.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;all&#x20;services&#x20;that&#x20;can&#x20;support&#x20;TCP&#x20;Wrappers,&#x20;use&#x20;it.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;tcp_wrappers:&#x20;yum&#x20;install&#x20;tcp_wrappers','[{\"cis\": [\"3.4.1\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"1.3.5\"]}]'),(5599,'Ensure&#x20;/etc/hosts.deny&#x20;is&#x20;configured','The&#x20;/etc/hosts.deny&#x20;file&#x20;specifies&#x20;which&#x20;IP&#x20;addresses&#x20;are&#x20;not&#x20;permitted&#x20;to&#x20;connect&#x20;to&#x20;the&#x20;host.&#x20;It&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;used&#x20;in&#x20;conjunction&#x20;with&#x20;the&#x20;/etc/hosts.allow&#x20;file.','The&#x20;/etc/hosts.allow&#x20;file&#x20;supports&#x20;access&#x20;control&#x20;by&#x20;IP&#x20;and&#x20;helps&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;systems&#x20;can&#x20;connect&#x20;to&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;/etc/hosts.deny:&#x20;echo&#x20;&#039;ALL:&#x20;ALL&#039;&#x20;&gt;&gt;&#x20;/etc/hosts.deny','[{\"cis\": [\"3.4.3\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"1.3.5\"]}]'),(5600,'Ensure&#x20;permissions&#x20;on&#x20;/etc/hosts.allow&#x20;are&#x20;configured.','The&#x20;/etc/hosts.allow&#x20;file&#x20;contains&#x20;networking&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;applications&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;applications&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/hosts.allow&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/hosts.allow&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/hosts.allow&#x20;and&#x20;chmod&#x20;644&#x20;/etc/hosts.allow','[{\"cis\": [\"3.4.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"1.3.5\"]}]'),(5601,'Ensure&#x20;permissions&#x20;on&#x20;/etc/hosts.deny&#x20;are&#x20;configured.','The&#x20;/etc/hosts.deny&#x20;file&#x20;contains&#x20;network&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;applications&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;applications&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/hosts.deny&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/hosts.deny&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/hosts.deny&#x20;and&#x20;chmod&#x20;644&#x20;/etc/hosts.deny','[{\"cis\": [\"3.4.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5602,'Ensure&#x20;DCCP&#x20;is&#x20;disabled','The&#x20;Datagram&#x20;Congestion&#x20;Control&#x20;Protocol&#x20;&#40;DCCP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;that&#x20;supports&#x20;streaming&#x20;media&#x20;and&#x20;telephony.&#x20;DCCP&#x20;provides&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;congestion&#x20;control,&#x20;without&#x20;having&#x20;to&#x20;do&#x20;it&#x20;at&#x20;the&#x20;application&#x20;layer,&#x20;but&#x20;does&#x20;not&#x20;provide&#x20;in-sequence&#x20;delivery.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;drivers&#x20;not&#x20;be&#x20;installed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;dccp&#x20;/bin/true','[{\"cis\": [\"3.5.1\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5603,'Ensure&#x20;SCTP&#x20;is&#x20;disabled','The&#x20;Stream&#x20;Control&#x20;Transmission&#x20;Protocol&#x20;&#40;SCTP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;used&#x20;to&#x20;support&#x20;message&#x20;oriented&#x20;communication,&#x20;with&#x20;several&#x20;streams&#x20;of&#x20;messages&#x20;in&#x20;one&#x20;connection.&#x20;It&#x20;serves&#x20;a&#x20;similar&#x20;function&#x20;as&#x20;TCP&#x20;and&#x20;UDP,&#x20;incorporating&#x20;features&#x20;of&#x20;both.&#x20;It&#x20;is&#x20;message-oriented&#x20;like&#x20;UDP,&#x20;and&#x20;ensures&#x20;reliable&#x20;in-sequence&#x20;transport&#x20;of&#x20;messages&#x20;with&#x20;congestion&#x20;control&#x20;like&#x20;TCP.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;sctp&#x20;/bin/true','[{\"cis\": [\"3.5.2\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5604,'Ensure&#x20;RDS&#x20;is&#x20;disabled','The&#x20;Reliable&#x20;Datagram&#x20;Sockets&#x20;&#40;RDS&#41;&#x20;protocol&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;designed&#x20;to&#x20;provide&#x20;low-latency,&#x20;high-bandwidth&#x20;communications&#x20;between&#x20;cluster&#x20;nodes.&#x20;It&#x20;was&#x20;developed&#x20;by&#x20;the&#x20;Oracle&#x20;Corporation.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;rds&#x20;/bin/true','[{\"cis\": [\"3.5.3\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5605,'Ensure&#x20;TIPC&#x20;is&#x20;disabled','The&#x20;Transparent&#x20;Inter-Process&#x20;Communication&#x20;&#40;TIPC&#41;&#x20;protocol&#x20;is&#x20;designed&#x20;to&#x20;provide&#x20;communication&#x20;between&#x20;cluster&#x20;nodes.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;tipc&#x20;/bin/true','[{\"cis\": [\"3.5.4\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5606,'Ensure&#x20;iptables&#x20;is&#x20;installed','iptables&#x20;allows&#x20;configuration&#x20;of&#x20;the&#x20;IPv4&#x20;tables&#x20;in&#x20;the&#x20;linux&#x20;kernel&#x20;and&#x20;the&#x20;rules&#x20;stored&#x20;within&#x20;them.&#x20;Most&#x20;firewall&#x20;configuration&#x20;utilities&#x20;operate&#x20;as&#x20;a&#x20;front&#x20;end&#x20;to&#x20;iptables&#x20;.','iptables&#x20;is&#x20;required&#x20;for&#x20;firewall&#x20;management&#x20;and&#x20;configuration.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;iptables&#x20;:&#x20;yum&#x20;install&#x20;iptables','[{\"cis\": [\"3.6.1\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"1.1\"]}]'),(5607,'Ensure&#x20;default&#x20;deny&#x20;firewall&#x20;policy','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;iptables&#x20;-P&#x20;INPUT&#x20;DROP;&#x20;iptables&#x20;-P&#x20;OUTPUT&#x20;DROP&#x20;and&#x20;iptables&#x20;-P&#x20;FORWARD&#x20;DROP','[{\"cis\": [\"3.6.2\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(5608,'Ensure&#x20;loopback&#x20;traffic&#x20;is&#x20;configured','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-s&#x20;127.0.0.0/8&#x20;-j&#x20;DROP','[{\"cis\": [\"3.6.3\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}]'),(5609,'Ensure&#x20;audit&#x20;log&#x20;storage&#x20;size&#x20;is&#x20;configured','Configure&#x20;the&#x20;maximum&#x20;size&#x20;of&#x20;the&#x20;audit&#x20;log&#x20;file.&#x20;Once&#x20;the&#x20;log&#x20;reaches&#x20;the&#x20;maximum&#x20;size,&#x20;it&#x20;will&#x20;be&#x20;rotated&#x20;and&#x20;a&#x20;new&#x20;log&#x20;file&#x20;will&#x20;be&#x20;started.','It&#x20;is&#x20;important&#x20;that&#x20;an&#x20;appropriate&#x20;size&#x20;is&#x20;determined&#x20;for&#x20;log&#x20;files&#x20;so&#x20;that&#x20;they&#x20;do&#x20;not&#x20;impact&#x20;the&#x20;system&#x20;and&#x20;audit&#x20;data&#x20;is&#x20;not&#x20;lost.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy:&#x20;max_log_file&#x20;=&#x20;&lt;MB&gt;','[{\"cis\": [\"4.1.1.1\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"10.7\"]}]'),(5610,'Ensure&#x20;system&#x20;is&#x20;disabled&#x20;when&#x20;audit&#x20;logs&#x20;are&#x20;full','The&#x20;auditd&#x20;daemon&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;halt&#x20;the&#x20;system&#x20;when&#x20;the&#x20;audit&#x20;logs&#x20;are&#x20;full.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;risk&#x20;of&#x20;detecting&#x20;unauthorized&#x20;access&#x20;or&#x20;nonrepudiation&#x20;exceeds&#x20;the&#x20;benefit&#x20;of&#x20;the&#x20;system&#039;s&#x20;availability.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;space_left_action&#x20;=&#x20;email&#x20;&#x20;&#x20;action_mail_acct&#x20;=&#x20;root&#x20;&#x20;&#x20;admin_space_left_action&#x20;=&#x20;halt','[{\"cis\": [\"4.1.1.2\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"10.7\"]}]'),(5611,'Ensure&#x20;audit&#x20;logs&#x20;are&#x20;not&#x20;automatically&#x20;deleted','The&#x20;max_log_file_action&#x20;setting&#x20;determines&#x20;how&#x20;to&#x20;handle&#x20;the&#x20;audit&#x20;log&#x20;file&#x20;reaching&#x20;the&#x20;max&#x20;file&#x20;size.&#x20;A&#x20;value&#x20;of&#x20;keep_logs&#x20;will&#x20;rotate&#x20;the&#x20;logs&#x20;but&#x20;never&#x20;delete&#x20;old&#x20;logs.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;benefits&#x20;of&#x20;maintaining&#x20;a&#x20;long&#x20;audit&#x20;history&#x20;exceed&#x20;the&#x20;cost&#x20;of&#x20;storing&#x20;the&#x20;audit&#x20;history.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;max_log_file_action&#x20;=&#x20;keep_logs','[{\"cis\": [\"4.1.1.3\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"10.7\"]}]'),(5612,'Ensure&#x20;auditd&#x20;service&#x20;is&#x20;enabled','Turn&#x20;on&#x20;the&#x20;auditd&#x20;daemon&#x20;to&#x20;record&#x20;system&#x20;events.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;auditd&#x20;:&#x20;#&#x20;chkconfig&#x20;auditd&#x20;on','[{\"cis\": [\"4.1.2\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.1\", \"10.7\"]}, {\"tsc\": [\"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5613,'Ensure&#x20;auditing&#x20;for&#x20;processes&#x20;that&#x20;start&#x20;prior&#x20;to&#x20;auditd&#x20;is&#x20;enabled','Configure&#x20;grub&#x20;so&#x20;that&#x20;processes&#x20;that&#x20;are&#x20;capable&#x20;of&#x20;being&#x20;audited&#x20;can&#x20;be&#x20;audited&#x20;even&#x20;if&#x20;they&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;startup.','Audit&#x20;events&#x20;need&#x20;to&#x20;be&#x20;captured&#x20;on&#x20;processes&#x20;that&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd,&#x20;so&#x20;that&#x20;potential&#x20;malicious&#x20;activity&#x20;cannot&#x20;go&#x20;undetected.','','Edit&#x20;/boot/grub/grub.conf&#x20;to&#x20;include&#x20;audit=1&#x20;on&#x20;all&#x20;kernel&#x20;lines.&#x20;Notes:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.','[{\"cis\": [\"4.1.3\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.2.6\", \"10.7\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"35.7.d\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5614,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;date&#x20;and&#x20;time&#x20;information&#x20;are&#x20;collected','Capture&#x20;events&#x20;where&#x20;the&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;has&#x20;been&#x20;modified.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;are&#x20;set&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;adjtimex&#x20;&#40;tune&#x20;kernel&#x20;clock&#41;,&#x20;settimeofday&#x20;&#40;Set&#x20;time,&#x20;using&#x20;timeval&#x20;and&#x20;timezone&#x20;structures&#41;&#x20;stime&#x20;&#40;using&#x20;seconds&#x20;since&#x20;1/1/1970&#41;&#x20;or&#x20;clock_settime&#x20;&#40;allows&#x20;for&#x20;the&#x20;setting&#x20;of&#x20;several&#x20;internal&#x20;clocks&#x20;and&#x20;timers&#41;&#x20;system&#x20;calls&#x20;have&#x20;been&#x20;executed&#x20;and&#x20;always&#x20;write&#x20;an&#x20;audit&#x20;record&#x20;to&#x20;the&#x20;/var/log/audit.log&#x20;file&#x20;upon&#x20;exit,&#x20;tagging&#x20;the&#x20;records&#x20;with&#x20;the&#x20;identifier&#x20;&quot;time-change&quot;.','Unexpected&#x20;changes&#x20;in&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;could&#x20;be&#x20;a&#x20;sign&#x20;of&#x20;malicious&#x20;activity&#x20;on&#x20;the&#x20;system.','','For&#x20;32&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-Farch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change','[{\"cis\": [\"4.1.4\"]}, {\"cis_csc\": [\"3.6\"]}, {\"pci_dss\": [\"10.4.2\", \"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5615,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;user/group&#x20;information&#x20;are&#x20;collected','Record&#x20;events&#x20;affecting&#x20;the&#x20;group&#x20;,&#x20;passwd&#x20;&#40;user&#x20;IDs&#41;,&#x20;shadow&#x20;and&#x20;gshadow&#x20;&#40;passwords&#41;&#x20;or&#x20;/etc/security/opasswd&#x20;&#40;old&#x20;passwords,&#x20;based&#x20;on&#x20;remember&#x20;parameter&#x20;in&#x20;the&#x20;PAM&#x20;configuration&#41;&#x20;files.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;will&#x20;watch&#x20;the&#x20;files&#x20;to&#x20;see&#x20;if&#x20;they&#x20;have&#x20;been&#x20;opened&#x20;for&#x20;write&#x20;or&#x20;have&#x20;had&#x20;attribute&#x20;changes&#x20;&#40;e.g.&#x20;permissions&#41;&#x20;and&#x20;tag&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;identity&quot;&#x20;in&#x20;the&#x20;audit&#x20;log&#x20;file.','Unexpected&#x20;changes&#x20;to&#x20;these&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;the&#x20;system&#x20;has&#x20;been&#x20;compromised&#x20;and&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;hide&#x20;their&#x20;activities&#x20;or&#x20;compromise&#x20;additional&#x20;accounts.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/group&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/passwd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/gshadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/shadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/security/opasswd&#x20;-p&#x20;wa&#x20;-k&#x20;identity','[{\"cis\": [\"4.1.5\"]}, {\"cis_csc\": [\"5.4\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5616,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;network&#x20;environment&#x20;are&#x20;collected','Record&#x20;changes&#x20;to&#x20;network&#x20;environment&#x20;files&#x20;or&#x20;system&#x20;calls.&#x20;The&#x20;below&#x20;parameters&#x20;monitor&#x20;the&#x20;sethostname&#x20;&#40;set&#x20;the&#x20;systems&#x20;host&#x20;name&#41;&#x20;or&#x20;setdomainname&#x20;&#40;set&#x20;the&#x20;systems&#x20;domainname&#41;&#x20;system&#x20;calls,&#x20;and&#x20;write&#x20;an&#x20;audit&#x20;event&#x20;on&#x20;system&#x20;call&#x20;exit.&#x20;The&#x20;other&#x20;parameters&#x20;monitor&#x20;the&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;files&#x20;&#40;messages&#x20;displayed&#x20;pre-login&#41;,&#x20;/etc/hosts&#x20;&#40;file&#x20;containing&#x20;host&#x20;names&#x20;and&#x20;associated&#x20;IP&#x20;addresses&#41;,&#x20;/etc/sysconfig/network&#x20;file&#x20;and&#x20;/etc/sysconfig/network-scripts/&#x20;directory&#x20;&#40;containing&#x20;network&#x20;interface&#x20;scripts&#x20;and&#x20;configurations&#41;.','Monitoring&#x20;sethostname&#x20;and&#x20;setdomainname&#x20;will&#x20;identify&#x20;potential&#x20;unauthorized&#x20;changes&#x20;to&#x20;host&#x20;and&#x20;domainname&#x20;of&#x20;a&#x20;system.&#x20;The&#x20;changing&#x20;of&#x20;these&#x20;names&#x20;could&#x20;potentially&#x20;break&#x20;security&#x20;parameters&#x20;that&#x20;are&#x20;set&#x20;based&#x20;on&#x20;those&#x20;names.&#x20;The&#x20;/etc/hosts&#x20;file&#x20;is&#x20;monitored&#x20;for&#x20;changes&#x20;in&#x20;the&#x20;file&#x20;that&#x20;can&#x20;indicate&#x20;an&#x20;unauthorized&#x20;intruder&#x20;is&#x20;trying&#x20;to&#x20;change&#x20;machine&#x20;associations&#x20;with&#x20;IP&#x20;addresses&#x20;and&#x20;trick&#x20;users&#x20;and&#x20;processes&#x20;into&#x20;connecting&#x20;to&#x20;unintended&#x20;machines.&#x20;Monitoring&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;is&#x20;important,&#x20;as&#x20;intruders&#x20;could&#x20;put&#x20;disinformation&#x20;into&#x20;those&#x20;files&#x20;and&#x20;trick&#x20;users&#x20;into&#x20;providing&#x20;information&#x20;to&#x20;the&#x20;intruder.&#x20;Monitoring&#x20;/etc/sysconfig/network&#x20;and&#x20;/etc/sysconfig/network-scripts/&#x20;is&#x20;important&#x20;as&#x20;it&#x20;can&#x20;show&#x20;if&#x20;network&#x20;interfaces&#x20;or&#x20;scripts&#x20;are&#x20;being&#x20;modified&#x20;in&#x20;a&#x20;way&#x20;that&#x20;can&#x20;lead&#x20;to&#x20;the&#x20;machine&#x20;becoming&#x20;unavailable&#x20;or&#x20;compromised.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;system-locale.&quot;','','For&#x20;32&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/sysconfig/network&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/sysconfig/network-scripts/&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/sysconfig/network&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/sysconfig/network-scripts/&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale','[{\"cis\": [\"4.1.6\"]}, {\"cis_csc\": [\"3.6\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5617,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;Mandatory&#x20;Access&#x20;Controls&#x20;are&#x20;collected','Monitor&#x20;SELinux&#x20;mandatory&#x20;access&#x20;controls.&#x20;The&#x20;parameters&#x20;below&#x20;monitor&#x20;any&#x20;write&#x20;access&#x20;&#40;potential&#x20;additional,&#x20;deletion&#x20;or&#x20;modification&#x20;of&#x20;files&#x20;in&#x20;the&#x20;directory&#41;&#x20;or&#x20;attribute&#x20;changes&#x20;to&#x20;the&#x20;/etc/selinux&#x20;or&#x20;directory.','Changes&#x20;to&#x20;files&#x20;in&#x20;these&#x20;directories&#x20;could&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;modify&#x20;access&#x20;controls&#x20;and&#x20;change&#x20;security&#x20;contexts,&#x20;leading&#x20;to&#x20;a&#x20;compromise&#x20;of&#x20;the&#x20;system.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-w&#x20;/etc/selinux/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;-w&#x20;/usr/share/selinux/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy','[{\"cis\": [\"4.1.7\"]}, {\"cis_csc\": [\"3.6\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5618,'Ensure&#x20;login&#x20;and&#x20;logout&#x20;events&#x20;are&#x20;collected','Monitor&#x20;login&#x20;and&#x20;logout&#x20;events.&#x20;The&#x20;parameters&#x20;below&#x20;track&#x20;changes&#x20;to&#x20;files&#x20;associated&#x20;with&#x20;login/logout&#x20;events.&#x20;The&#x20;file&#x20;/var/log/lastlog&#x20;maintain&#x20;records&#x20;of&#x20;the&#x20;last&#x20;time&#x20;a&#x20;user&#x20;successfully&#x20;logged&#x20;in.&#x20;The&#x20;/var/run/failock&#x20;directory&#x20;maintains&#x20;records&#x20;of&#x20;login&#x20;failures&#x20;via&#x20;the&#x20;pam_faillock&#x20;module.','Monitoring&#x20;login/logout&#x20;events&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;information&#x20;associated&#x20;with&#x20;brute&#x20;force&#x20;attacks&#x20;against&#x20;user&#x20;logins.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;-w&#x20;/var/log/lastlog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&#x20;&#x20;-w&#x20;/var/run/faillock/&#x20;-p&#x20;wa&#x20;-k&#x20;logins','[{\"cis\": [\"4.1.8\"]}, {\"cis_csc\": [\"5.5\", \"16.10\", \"16.4\"]}, {\"pci_dss\": [\"10.2.1\", \"10.2.4\", \"10.3\"]}, {\"nist_800_53\": [\"AC.7\", \"AU.14\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5619,'Ensure&#x20;session&#x20;initiation&#x20;information&#x20;is&#x20;collected','Monitor&#x20;session&#x20;initiation&#x20;events.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;to&#x20;the&#x20;files&#x20;associated&#x20;with&#x20;session&#x20;events.&#x20;The&#x20;file&#x20;/var/run/utmp&#x20;file&#x20;tracks&#x20;all&#x20;currently&#x20;logged&#x20;in&#x20;users.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;session.&quot;&#x20;The&#x20;/var/log/wtmp&#x20;file&#x20;tracks&#x20;logins,&#x20;logouts,&#x20;shutdown,&#x20;and&#x20;reboot&#x20;events.&#x20;The&#x20;file&#x20;/var/log/btmp&#x20;keeps&#x20;track&#x20;of&#x20;failed&#x20;login&#x20;attempts&#x20;and&#x20;can&#x20;be&#x20;read&#x20;by&#x20;entering&#x20;the&#x20;command&#x20;/usr/bin/last&#x20;-f&#x20;/var/log/btmp&#x20;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;logins.&quot;.','Monitoring&#x20;these&#x20;files&#x20;for&#x20;changes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;logins&#x20;occurring&#x20;at&#x20;unusual&#x20;hours,&#x20;which&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;&#40;i.e.&#x20;a&#x20;user&#x20;logging&#x20;in&#x20;at&#x20;a&#x20;time&#x20;when&#x20;they&#x20;do&#x20;not&#x20;normally&#x20;log&#x20;in&#41;.','','Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-w&#x20;/var/run/utmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;&#x20;&#x20;-w&#x20;/var/log/wtmp&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&#x20;&#x20;-w&#x20;/var/log/btmp&#x20;-p&#x20;wa&#x20;-k&#x20;logins','[{\"cis\": [\"4.1.8\"]}, {\"cis_csc\": [\"5.5\", \"16.10\", \"16.4\"]}, {\"pci_dss\": [\"10.3\"]}]'),(5620,'Ensure&#x20;discretionary&#x20;access&#x20;control&#x20;permission&#x20;modification&#x20;events&#x20;are&#x20;collected','Monitor&#x20;changes&#x20;to&#x20;file&#x20;permissions,&#x20;attributes,&#x20;ownership&#x20;and&#x20;group.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;for&#x20;system&#x20;calls&#x20;that&#x20;affect&#x20;file&#x20;permissions&#x20;and&#x20;attributes.&#x20;The&#x20;chmod&#x20;,&#x20;fchmod&#x20;and&#x20;fchmodat&#x20;system&#x20;calls&#x20;affect&#x20;the&#x20;permissions&#x20;associated&#x20;with&#x20;a&#x20;file.&#x20;The&#x20;chown&#x20;,&#x20;fchown&#x20;,&#x20;fchownat&#x20;and&#x20;lchown&#x20;system&#x20;calls&#x20;affect&#x20;owner&#x20;and&#x20;group&#x20;attributes&#x20;on&#x20;a&#x20;file.&#x20;The&#x20;setxattr&#x20;,&#x20;lsetxattr&#x20;,&#x20;fsetxattr&#x20;&#40;set&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;and&#x20;removexattr&#x20;,&#x20;lremovexattr&#x20;,&#x20;fremovexattr&#x20;&#40;remove&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;control&#x20;extended&#x20;file&#x20;attributes.&#x20;In&#x20;all&#x20;cases,&#x20;an&#x20;audit&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;for&#x20;non-system&#x20;user&#x20;ids&#x20;&#40;auid&#x20;&gt;=&#x20;500&#41;&#x20;and&#x20;will&#x20;ignore&#x20;Daemon&#x20;events&#x20;&#40;auid&#x20;=&#x20;4294967295&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;perm_mod.&quot;','Monitoring&#x20;for&#x20;changes&#x20;in&#x20;file&#x20;attributes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;activity&#x20;that&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;or&#x20;policy&#x20;violation.','','For&#x20;32&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lrem','[{\"cis\": [\"4.1.10\"]}, {\"cis_csc\": [\"3.6\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5621,'Ensure&#x20;unsuccessful&#x20;unauthorized&#x20;file&#x20;access&#x20;attempts&#x20;are&#x20;collected','Monitor&#x20;for&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;access&#x20;files.&#x20;The&#x20;parameters&#x20;below&#x20;are&#x20;associated&#x20;&#x20;with&#x20;system&#x20;calls&#x20;that&#x20;control&#x20;creation&#x20;&#40;&#x20;creat&#x20;&#41;,&#x20;opening&#x20;&#40;&#x20;open&#x20;,&#x20;openat&#x20;&#41;&#x20;and&#x20;truncation&#x20;&#40;&#x20;&#x20;truncate&#x20;,&#x20;ftruncate&#x20;&#41;&#x20;of&#x20;files.&#x20;An&#x20;audit&#x20;log&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;if&#x20;the&#x20;user&#x20;is&#x20;a&#x20;non-&#x20;&#x20;privileged&#x20;user&#x20;&#40;auid&#x20;&gt;&#x20;=&#x20;500&#41;,&#x20;is&#x20;not&#x20;a&#x20;Daemon&#x20;event&#x20;&#40;auid=4294967295&#41;&#x20;and&#x20;if&#x20;the&#x20;&#x20;system&#x20;call&#x20;returned&#x20;EACCES&#x20;&#40;permission&#x20;denied&#x20;to&#x20;the&#x20;file&#41;&#x20;or&#x20;EPERM&#x20;&#40;some&#x20;other&#x20;&#x20;permanent&#x20;error&#x20;associated&#x20;with&#x20;the&#x20;specific&#x20;system&#x20;call&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;&#x20;with&#x20;the&#x20;identifier&#x20;&quot;access.&quot;','Failed&#x20;attempts&#x20;to&#x20;open,&#x20;create&#x20;or&#x20;truncate&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;an&#x20;individual&#x20;or&#x20;process&#x20;is&#x20;trying&#x20;to&#x20;gain&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','For&#x20;32&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access','[{\"cis\": [\"4.1.11\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"10.2.4\"]}, {\"nist_800_53\": [\"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5622,'Ensure&#x20;successful&#x20;file&#x20;system&#x20;mounts&#x20;are&#x20;collected','Monitor&#x20;the&#x20;use&#x20;of&#x20;the&#x20;mount&#x20;system&#x20;call.&#x20;The&#x20;mount&#x20;&#40;and&#x20;umount&#x20;&#41;&#x20;system&#x20;call&#x20;controls&#x20;the&#x20;mounting&#x20;and&#x20;unmounting&#x20;of&#x20;file&#x20;systems.&#x20;The&#x20;parameters&#x20;below&#x20;configure&#x20;the&#x20;system&#x20;to&#x20;create&#x20;an&#x20;audit&#x20;record&#x20;when&#x20;the&#x20;mount&#x20;system&#x20;call&#x20;is&#x20;used&#x20;by&#x20;a&#x20;non-privileged&#x20;user.','It&#x20;is&#x20;highly&#x20;unusual&#x20;for&#x20;a&#x20;non&#x20;privileged&#x20;user&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;to&#x20;the&#x20;system.&#x20;While&#x20;tracking&#x20;mount&#x20;commands&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;evidence&#x20;that&#x20;external&#x20;media&#x20;may&#x20;have&#x20;been&#x20;mounted&#x20;&#40;based&#x20;on&#x20;a&#x20;review&#x20;of&#x20;the&#x20;source&#x20;of&#x20;the&#x20;mount&#x20;and&#x20;confirming&#x20;it&#039;s&#x20;an&#x20;external&#x20;media&#x20;type&#41;,&#x20;it&#x20;does&#x20;not&#x20;conclusively&#x20;indicate&#x20;that&#x20;data&#x20;was&#x20;exported&#x20;to&#x20;the&#x20;media.&#x20;System&#x20;administrators&#x20;who&#x20;wish&#x20;to&#x20;determine&#x20;if&#x20;data&#x20;were&#x20;exported,&#x20;would&#x20;also&#x20;have&#x20;to&#x20;track&#x20;successful&#x20;open&#x20;,&#x20;creat&#x20;and&#x20;truncate&#x20;system&#x20;calls&#x20;requiring&#x20;write&#x20;access&#x20;to&#x20;a&#x20;file&#x20;under&#x20;the&#x20;mount&#x20;point&#x20;of&#x20;the&#x20;external&#x20;media&#x20;file&#x20;system.&#x20;This&#x20;could&#x20;give&#x20;a&#x20;fair&#x20;indication&#x20;that&#x20;a&#x20;write&#x20;occurred.&#x20;The&#x20;only&#x20;way&#x20;to&#x20;truly&#x20;prove&#x20;it,&#x20;would&#x20;be&#x20;to&#x20;track&#x20;successful&#x20;writes&#x20;to&#x20;the&#x20;external&#x20;media.&#x20;Tracking&#x20;write&#x20;system&#x20;calls&#x20;could&#x20;quickly&#x20;fill&#x20;up&#x20;the&#x20;audit&#x20;log&#x20;and&#x20;is&#x20;not&#x20;recommended.&#x20;Recommendations&#x20;on&#x20;configuration&#x20;options&#x20;to&#x20;track&#x20;data&#x20;export&#x20;to&#x20;media&#x20;is&#x20;beyond&#x20;the&#x20;scope&#x20;of&#x20;this&#x20;document.','','For&#x20;32&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts','[{\"cis\": [\"4.1.13\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5623,'Ensure&#x20;file&#x20;deletion&#x20;events&#x20;by&#x20;users&#x20;are&#x20;collected','Monitor&#x20;the&#x20;use&#x20;of&#x20;system&#x20;calls&#x20;associated&#x20;with&#x20;the&#x20;deletion&#x20;or&#x20;renaming&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes.&#x20;This&#x20;configuration&#x20;statement&#x20;sets&#x20;up&#x20;monitoring&#x20;for&#x20;the&#x20;unlink&#x20;&#40;remove&#x20;a&#x20;file&#41;,&#x20;unlinkat&#x20;&#40;remove&#x20;a&#x20;file&#x20;attribute&#41;,&#x20;rename&#x20;&#40;rename&#x20;a&#x20;file&#41;&#x20;and&#x20;renameat&#x20;&#40;rename&#x20;a&#x20;file&#x20;attribute&#41;&#x20;system&#x20;calls&#x20;and&#x20;tags&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;delete&quot;.','Monitoring&#x20;these&#x20;calls&#x20;from&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;evidence&#x20;that&#x20;inappropriate&#x20;removal&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes&#x20;associated&#x20;with&#x20;protected&#x20;files&#x20;is&#x20;occurring.&#x20;While&#x20;this&#x20;audit&#x20;option&#x20;will&#x20;look&#x20;at&#x20;all&#x20;events,&#x20;system&#x20;administrators&#x20;will&#x20;want&#x20;to&#x20;look&#x20;for&#x20;specific&#x20;privileged&#x20;files&#x20;that&#x20;are&#x20;being&#x20;deleted&#x20;or&#x20;altered.','','For&#x20;32&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=500&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete','[{\"cis\": [\"4.1.14\"]}, {\"pci_dss\": [\"10.5.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC7.1\", \"CC7.2\", \"CC7.3\", \"CC8.1\"]}]'),(5624,'Ensure&#x20;changes&#x20;to&#x20;system&#x20;administration&#x20;scope&#x20;&#40;sudoers&#41;&#x20;is&#x20;collected','Monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrations.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;force&#x20;system&#x20;administrators&#x20;to&#x20;log&#x20;in&#x20;as&#x20;themselves&#x20;first&#x20;and&#x20;then&#x20;use&#x20;the&#x20;sudo&#x20;command&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;it&#x20;is&#x20;possible&#x20;to&#x20;monitor&#x20;changes&#x20;in&#x20;scope.&#x20;The&#x20;file&#x20;/etc/sudoers&#x20;will&#x20;be&#x20;written&#x20;to&#x20;when&#x20;the&#x20;file&#x20;or&#x20;its&#x20;attributes&#x20;have&#x20;changed.&#x20;The&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;scope.&quot;','Changes&#x20;in&#x20;the&#x20;/etc/sudoers&#x20;file&#x20;can&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;change&#x20;has&#x20;been&#x20;made&#x20;to&#x20;scope&#x20;of&#x20;system&#x20;administrator&#x20;activity.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-w&#x20;/etc/sudoers&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;&#x20;&#x20;-w&#x20;/etc/sudoers.d/&#x20;-p&#x20;wa&#x20;-k&#x20;scope','[{\"cis\": [\"4.1.15\"]}, {\"cis_csc\": [\"5.4\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5625,'Ensure&#x20;system&#x20;administrator&#x20;actions&#x20;&#40;sudolog&#41;&#x20;are&#x20;collected','Monitor&#x20;the&#x20;sudo&#x20;log&#x20;file.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;disable&#x20;the&#x20;use&#x20;of&#x20;the&#x20;su&#x20;command&#x20;and&#x20;force&#x20;all&#x20;administrators&#x20;to&#x20;have&#x20;to&#x20;log&#x20;in&#x20;first&#x20;and&#x20;then&#x20;use&#x20;sudo&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;then&#x20;all&#x20;administrator&#x20;commands&#x20;will&#x20;be&#x20;logged&#x20;to&#x20;/var/log/sudo.log&#x20;.&#x20;Any&#x20;time&#x20;a&#x20;command&#x20;is&#x20;executed,&#x20;an&#x20;audit&#x20;event&#x20;will&#x20;be&#x20;triggered&#x20;as&#x20;the&#x20;/var/log/sudo.log&#x20;file&#x20;will&#x20;be&#x20;opened&#x20;for&#x20;write&#x20;and&#x20;the&#x20;executed&#x20;administration&#x20;command&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;log.','Changes&#x20;in&#x20;/var/log/sudo.log&#x20;indicate&#x20;that&#x20;an&#x20;administrator&#x20;has&#x20;executed&#x20;a&#x20;command&#x20;or&#x20;the&#x20;log&#x20;file&#x20;itself&#x20;has&#x20;been&#x20;tampered&#x20;with.&#x20;Administrators&#x20;will&#x20;want&#x20;to&#x20;correlate&#x20;the&#x20;events&#x20;written&#x20;to&#x20;the&#x20;audit&#x20;trail&#x20;with&#x20;the&#x20;records&#x20;written&#x20;to&#x20;/var/log/sudo.log&#x20;to&#x20;verify&#x20;if&#x20;unauthorized&#x20;commands&#x20;have&#x20;been&#x20;executed.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-w&#x20;/var/log/sudo.log&#x20;-p&#x20;wa&#x20;-k&#x20;actions','[{\"cis\": [\"4.1.16\"]}, {\"cis_csc\": [\"5.1\", \"5.5\"]}, {\"pci_dss\": [\"10.2.2\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.6\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5626,'Ensure&#x20;kernel&#x20;module&#x20;loading&#x20;and&#x20;unloading&#x20;is&#x20;collected','Monitor&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;kernel&#x20;modules.&#x20;The&#x20;programs&#x20;insmod&#x20;&#40;install&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;rmmod&#x20;&#40;remove&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;and&#x20;modprobe&#x20;&#40;a&#x20;more&#x20;sophisticated&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules,&#x20;as&#x20;well&#x20;as&#x20;some&#x20;other&#x20;features&#41;&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;The&#x20;init_module&#x20;&#40;load&#x20;a&#x20;module&#41;&#x20;and&#x20;delete_module&#x20;&#40;delete&#x20;a&#x20;module&#41;&#x20;system&#x20;calls&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;Any&#x20;execution&#x20;of&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;module&#x20;programs&#x20;and&#x20;system&#x20;calls&#x20;will&#x20;trigger&#x20;an&#x20;audit&#x20;record&#x20;with&#x20;an&#x20;identifier&#x20;of&#x20;&quot;modules&quot;.','Monitoring&#x20;the&#x20;use&#x20;of&#x20;insmod&#x20;,&#x20;rmmod&#x20;and&#x20;modprobe&#x20;could&#x20;provide&#x20;system&#x20;administrators&#x20;with&#x20;evidence&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;loaded&#x20;or&#x20;unloaded&#x20;a&#x20;kernel&#x20;module,&#x20;possibly&#x20;compromising&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.&#x20;Monitoring&#x20;of&#x20;the&#x20;init_module&#x20;and&#x20;delete_module&#x20;system&#x20;calls&#x20;would&#x20;reflect&#x20;an&#x20;unauthorized&#x20;user&#x20;attempting&#x20;to&#x20;use&#x20;a&#x20;different&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-w&#x20;/var/log/sudo.log&#x20;-p&#x20;wa&#x20;-k&#x20;actions','[{\"cis\": [\"4.1.17\"]}, {\"cis_csc\": [\"3\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5627,'Ensure&#x20;the&#x20;audit&#x20;configuration&#x20;is&#x20;immutable','Set&#x20;system&#x20;audit&#x20;so&#x20;that&#x20;audit&#x20;rules&#x20;cannot&#x20;be&#x20;modified&#x20;with&#x20;auditctl&#x20;.&#x20;Setting&#x20;the&#x20;flag&#x20;&quot;-e&#x20;2&quot;&#x20;forces&#x20;audit&#x20;to&#x20;be&#x20;put&#x20;in&#x20;immutable&#x20;mode.&#x20;Audit&#x20;changes&#x20;can&#x20;only&#x20;be&#x20;made&#x20;on&#x20;system&#x20;reboot.','In&#x20;immutable&#x20;mode,&#x20;unauthorized&#x20;users&#x20;cannot&#x20;execute&#x20;changes&#x20;to&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;potentially&#x20;hide&#x20;malicious&#x20;activity&#x20;and&#x20;then&#x20;put&#x20;the&#x20;audit&#x20;rules&#x20;back.&#x20;Users&#x20;would&#x20;most&#x20;likely&#x20;notice&#x20;a&#x20;system&#x20;reboot&#x20;and&#x20;that&#x20;could&#x20;alert&#x20;administrators&#x20;of&#x20;an&#x20;attempt&#x20;to&#x20;make&#x20;unauthorized&#x20;audit&#x20;changes.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;end&#x20;of&#x20;the&#x20;/etc/audit/audit.rules&#x20;file.&#x20;&#x20;&#x20;-e&#x20;2','[{\"cis\": [\"4.1.18\"]}, {\"cis_csc\": [\"3\", \"6\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5628,'Ensure&#x20;rsyslog&#x20;Service&#x20;is&#x20;enabled','Once&#x20;the&#x20;rsyslog&#x20;package&#x20;is&#x20;installed&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;activated.','If&#x20;the&#x20;rsyslog&#x20;service&#x20;is&#x20;not&#x20;activated&#x20;the&#x20;system&#x20;may&#x20;default&#x20;to&#x20;the&#x20;syslogd&#x20;service&#x20;or&#x20;lackblogging&#x20;instead.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;rsyslog&#x20;:&#x20;&#x20;&#x20;#&#x20;chkconfig&#x20;rsyslog&#x20;on','[{\"cis\": [\"4.2.1.1\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5629,'Ensure&#x20;rsyslog&#x20;default&#x20;file&#x20;permissions&#x20;configured','rsyslog&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;set&#x20;$FileCreateMode&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;&#x20;&#x20;$FileCreateMode&#x20;0640','[{\"cis\": [\"4.2.1.3\"]}, {\"cis_csc\": [\"5.1\"]}]'),(5630,'Ensure&#x20;rsyslog&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host','The&#x20;rsyslog&#x20;utility&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;logs&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;running&#x20;syslogd&#40;8&#41;&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;reducing&#x20;administrative&#x20;overhead.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;&#40;where&#x20;loghost.example.com&#x20;is&#x20;the&#x20;name&#x20;of&#x20;your&#x20;central&#x20;log&#x20;host&#41;.&#x20;&#x20;&#x20;*.*&#x20;@@loghost.example.com&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;rsyslogd&#x20;configuration:&#x20;#&#x20;pkill&#x20;-HUP&#x20;rsyslogd','[{\"cis\": [\"4.2.1.4\"]}, {\"cis_csc\": [\"6.6\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5631,'Ensure&#x20;syslog-ng&#x20;service&#x20;is&#x20;enabled','Once&#x20;the&#x20;syslog-ng&#x20;package&#x20;is&#x20;installed&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;activated.','If&#x20;the&#x20;syslog-ng&#x20;service&#x20;is&#x20;not&#x20;activated&#x20;the&#x20;system&#x20;may&#x20;default&#x20;to&#x20;the&#x20;syslogd&#x20;service&#x20;or&#x20;lack&#x20;logging&#x20;instead.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;syslog-ng&#x20;:&#x20;&#x20;&#x20;#&#x20;chkconfig&#x20;syslog-ng&#x20;on','[{\"cis\": [\"4.2.2.1\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5632,'Ensure&#x20;syslog-ng&#x20;default&#x20;file&#x20;permissions&#x20;configured','syslog-ng&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;syslog-ng&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Edit&#x20;the&#x20;/etc/syslog-ng/syslog-ng.conf&#x20;and&#x20;set&#x20;perm&#x20;option&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;&#x20;&#x20;&#x20;&#x20;options&#x20;{&#x20;chain_hostnames&#40;off&#41;;&#x20;flush_lines&#40;0&#41;;&#x20;perm&#40;0640&#41;;&#x20;stats_freq&#40;3600&#41;;&#x20;threaded&#40;yes&#41;;&#x20;};','[{\"cis\": [\"4.2.2.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5633,'Ensure&#x20;syslog-ng&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host','The&#x20;syslog-ng&#x20;utility&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;logs&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;reducing&#x20;administrative&#x20;overhead.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/syslog-ng/syslog-ng.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;&#40;where&#x20;logfile.example.com&#x20;is&#x20;the&#x20;name&#x20;of&#x20;your&#x20;central&#x20;log&#x20;host&#41;.&#x20;&#x20;&#x20;&#x20;destination&#x20;logserver&#x20;{&#x20;tcp&#40;&quot;logfile.example.com&quot;&#x20;port&#40;514&#41;&#41;;&#x20;};&#x20;&#x20;&#x20;&#x20;log&#x20;{&#x20;source&#40;src&#41;;&#x20;destination&#40;logserver&#41;;&#x20;};&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;rsyslogd&#x20;configuration:&#x20;#&#x20;pkill&#x20;-HUP&#x20;syslog-ng','[{\"cis\": [\"4.2.2.4\"]}, {\"cis_csc\": [\"6.6\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5634,'Ensure&#x20;rsyslog&#x20;or&#x20;syslog-ng&#x20;is&#x20;installed','The&#x20;rsyslog&#x20;and&#x20;syslog-ng&#x20;software&#x20;are&#x20;recommended&#x20;replacements&#x20;to&#x20;the&#x20;original&#x20;syslogd&#x20;daemon&#x20;which&#x20;provide&#x20;improvements&#x20;over&#x20;syslogd&#x20;,&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server.','The&#x20;security&#x20;enhancements&#x20;of&#x20;rsyslog&#x20;and&#x20;syslog-ng&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server&#41;&#x20;justify&#x20;installing&#x20;and&#x20;configuring&#x20;the&#x20;package.','','Install&#x20;rsyslog&#x20;or&#x20;syslog-ng&#x20;using&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands:&#x20;&#x20;&#x20;#&#x20;yum&#x20;install&#x20;rsyslog&#x20;&#x20;&#x20;#&#x20;yum&#x20;install&#x20;syslog-ng','[{\"cis\": [\"4.2.3\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5635,'Ensure&#x20;permissions&#x20;on&#x20;all&#x20;logfiles&#x20;are&#x20;configured','Log&#x20;files&#x20;stored&#x20;in&#x20;/var/log/&#x20;contain&#x20;logged&#x20;information&#x20;from&#x20;many&#x20;services&#x20;on&#x20;the&#x20;system,&#x20;or&#x20;on&#x20;log&#x20;hosts&#x20;others&#x20;as&#x20;well.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitivebdata&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;all&#x20;existing&#x20;log&#x20;files:&#x20;#&#x20;find&#x20;/var/log&#x20;-type&#x20;f&#x20;-exec&#x20;chmod&#x20;g-wx,o-rwx&#x20;{}&#x20;+','[{\"cis\": [\"4.2.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5636,'Ensure&#x20;cron&#x20;daemon&#x20;is&#x20;enabled','The&#x20;cron&#x20;daemon&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;batch&#x20;jobs&#x20;on&#x20;the&#x20;system.','While&#x20;there&#x20;may&#x20;not&#x20;be&#x20;user&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;be&#x20;run&#x20;on&#x20;the&#x20;system,&#x20;the&#x20;system&#x20;does&#x20;have&#x20;maintenance&#x20;jobs&#x20;that&#x20;may&#x20;include&#x20;security&#x20;monitoring&#x20;that&#x20;have&#x20;to&#x20;run,&#x20;and&#x20;cron&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;them.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;cron&#x20;:&#x20;#&#x20;chkconfig&#x20;crond&#x20;on','[{\"cis\": [\"5.1.1\"]}, {\"cis_csc\": [\"6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5637,'Ensure&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;are&#x20;configured','The&#x20;/etc/crontab&#x20;file&#x20;is&#x20;used&#x20;by&#x20;cron&#x20;to&#x20;control&#x20;its&#x20;own&#x20;jobs.&#x20;The&#x20;commands&#x20;in&#x20;this&#x20;item&#x20;make&#x20;sure&#x20;that&#x20;root&#x20;is&#x20;the&#x20;user&#x20;and&#x20;group&#x20;owner&#x20;of&#x20;the&#x20;file&#x20;and&#x20;that&#x20;only&#x20;the&#x20;owner&#x20;can&#x20;access&#x20;the&#x20;file.','This&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;what&#x20;system&#x20;jobs&#x20;are&#x20;run&#x20;by&#x20;cron.&#x20;Write&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;unprivileged&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;elevate&#x20;their&#x20;privileges.&#x20;Read&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;gain&#x20;insight&#x20;on&#x20;system&#x20;jobs&#x20;that&#x20;run&#x20;on&#x20;the&#x20;system&#x20;and&#x20;could&#x20;provide&#x20;them&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;unauthorized&#x20;privileged&#x20;access.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/crontab&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/crontab','[{\"cis\": [\"5.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5638,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;are&#x20;configured','This&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;an&#x20;hourly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.hourly&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.hourly','[{\"cis\": [\"5.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5639,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;are&#x20;configured','The&#x20;/etc/cron.daily&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;daily&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.daily&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.daily','[{\"cis\": [\"5.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5640,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;are&#x20;configured','The&#x20;/etc/cron.weekly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;weekly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.weekly&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.weekly','[{\"cis\": [\"5.1.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]');
 INSERT INTO `tsca` VALUES (5641,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;are&#x20;configured','The&#x20;/etc/cron.monthly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;monthly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.monthly&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.monthly','[{\"cis\": [\"5.1.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5642,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;are&#x20;configured','Configure&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/cron.allow&#x20;or&#x20;/etc/at.allow&#x20;do&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.deny&#x20;and&#x20;/etc/cron.deny&#x20;are&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;files,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;Note&#x20;that&#x20;even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow&#x20;,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cron&#x20;jobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny&#x20;and&#x20;/etc/at.deny&#x20;and&#x20;create&#x20;and&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow:&#x20;rm&#x20;/etc/cron.deny;rm&#x20;/etc/at.deny;touch&#x20;/etc/cron.allow;&#x20;touch&#x20;/etc/at.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/at.allow;&#x20;chown&#x20;root:root&#x20;/etc/cron.allow&#x20;and&#x20;chown&#x20;root:root&#x20;/etc/at.allow','[{\"cis\": [\"5.1.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5643,'Ensure&#x20;at/cron&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users','Configure&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/cron.allow&#x20;or&#x20;/etc/at.allow&#x20;do&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.deny&#x20;and&#x20;/etc/cron.deny&#x20;are&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;files,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;Note&#x20;that&#x20;even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow&#x20;,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cron&#x20;jobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny&#x20;and&#x20;/etc/at.deny&#x20;and&#x20;create&#x20;and&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow:&#x20;rm&#x20;/etc/cron.deny;rm&#x20;/etc/at.deny;touch&#x20;/etc/cron.allow;&#x20;touch&#x20;/etc/at.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/at.allow;&#x20;chown&#x20;root:root&#x20;/etc/cron.allow&#x20;and&#x20;chown&#x20;root:root&#x20;/etc/at.allow','[{\"cis\": [\"5.1.8\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5644,'Ensure&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config&#x20;are&#x20;configured','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;contains&#x20;configuration&#x20;specifications&#x20;for&#x20;sshd.&#x20;The&#x20;command&#x20;below&#x20;sets&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;file&#x20;to&#x20;root.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config:&#x20;chown&#x20;root:root&#x20;/etc/ssh/sshd_config&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/ssh/sshd_config','[{\"cis\": [\"5.2.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5645,'Ensure&#x20;SSH&#x20;Protocol&#x20;is&#x20;set&#x20;to&#x20;2','SSH&#x20;supports&#x20;two&#x20;different&#x20;and&#x20;incompatible&#x20;protocols:&#x20;SSH1&#x20;and&#x20;SSH2.&#x20;SSH1&#x20;was&#x20;the&#x20;original&#x20;protocol&#x20;and&#x20;was&#x20;subject&#x20;to&#x20;security&#x20;issues.&#x20;SSH2&#x20;is&#x20;more&#x20;advanced&#x20;and&#x20;secure.','SSH&#x20;v1&#x20;suffers&#x20;from&#x20;insecurities&#x20;that&#x20;do&#x20;not&#x20;affect&#x20;SSH&#x20;v2.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Protocol&#x20;2','[{\"cis\": [\"5.2.2\"]}, {\"cis_csc\": [\"3.4\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(5646,'Ensure&#x20;SSH&#x20;LogLevel&#x20;is&#x20;set&#x20;to&#x20;INFO','The&#x20;INFO&#x20;parameter&#x20;specifies&#x20;that&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;will&#x20;be&#x20;logged.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;INFO','[{\"cis\": [\"5.2.3\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(5647,'Ensure&#x20;SSH&#x20;MaxAuthTries&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4','[{\"cis\": [\"5.2.5\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5648,'Ensure&#x20;SSH&#x20;IgnoreRhosts&#x20;is&#x20;enabled','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthentication&#x20;or&#x20;HostbasedAuthentication.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;ssh.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;IgnoreRhosts&#x20;yes','[{\"cis\": [\"5.2.6\"]}, {\"cis_csc\": [\"9\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}]'),(5649,'Ensure&#x20;SSH&#x20;HostbasedAuthentication&#x20;is&#x20;disabled','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts&#x20;,&#x20;or&#x20;/etc/hosts.equiv,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.&#x20;This&#x20;option&#x20;only&#x20;applies&#x20;to&#x20;SSH&#x20;Protocol&#x20;Version&#x20;2.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc\": [\"9\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(5650,'Ensure&#x20;SSH&#x20;root&#x20;login&#x20;is&#x20;disabled','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;ssh&#40;1&#41;.&#x20;The&#x20;default&#x20;is&#x20;no.','Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;system&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root&#x20;via&#x20;sudo&#x20;or&#x20;su&#x20;.&#x20;This&#x20;in&#x20;turn&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc\": [\"5.8\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(5651,'Ensure&#x20;SSH&#x20;PermitEmptyPasswords&#x20;is&#x20;disabled','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;SSH&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no','[{\"cis\": [\"5.2.9\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(5652,'Ensure&#x20;SSH&#x20;PermitUserEnvironment&#x20;is&#x20;disabled','The&#x20;PermitUserEnvironment&#x20;option&#x20;allows&#x20;users&#x20;to&#x20;present&#x20;environment&#x20;options&#x20;to&#x20;the&#x20;ssh&#x20;daemon.','Permitting&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;environment&#x20;variables&#x20;through&#x20;the&#x20;SSH&#x20;daemon&#x20;could&#x20;potentially&#x20;allow&#x20;users&#x20;to&#x20;bypass&#x20;security&#x20;controls&#x20;&#40;e.g.&#x20;setting&#x20;an&#x20;execution&#x20;path&#x20;that&#x20;has&#x20;ssh&#x20;executing&#x20;trojan&#039;d&#x20;programs&#41;','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitUserEnvironment&#x20;no','[{\"cis\": [\"5.2.10\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(5653,'Ensure&#x20;SSH&#x20;Idle&#x20;Timeout&#x20;Interval&#x20;is&#x20;configured','The&#x20;two&#x20;options&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax&#x20;control&#x20;the&#x20;timeout&#x20;of&#x20;ssh&#x20;sessions.&#x20;When&#x20;the&#x20;ClientAliveInterval&#x20;variable&#x20;is&#x20;set,&#x20;ssh&#x20;sessions&#x20;that&#x20;have&#x20;no&#x20;activity&#x20;for&#x20;the&#x20;specified&#x20;length&#x20;of&#x20;time&#x20;are&#x20;terminated.&#x20;When&#x20;the&#x20;ClientAliveCountMax&#x20;variable&#x20;is&#x20;set,&#x20;sshd&#x20;will&#x20;send&#x20;client&#x20;alive&#x20;messages&#x20;at&#x20;every&#x20;ClientAliveInterval&#x20;interval.&#x20;When&#x20;the&#x20;number&#x20;of&#x20;consecutive&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;sent&#x20;with&#x20;no&#x20;response&#x20;from&#x20;the&#x20;client,&#x20;the&#x20;ssh&#x20;session&#x20;is&#x20;terminated.&#x20;For&#x20;example,&#x20;if&#x20;the&#x20;ClientAliveInterval&#x20;is&#x20;set&#x20;to&#x20;15&#x20;seconds&#x20;and&#x20;the&#x20;ClientAliveCountMax&#x20;is&#x20;set&#x20;to&#x20;3,&#x20;the&#x20;client&#x20;ssh&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;45&#x20;seconds&#x20;of&#x20;idle&#x20;time.','Having&#x20;no&#x20;timeout&#x20;value&#x20;associated&#x20;with&#x20;a&#x20;connection&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;ssh&#x20;session&#x20;&#40;e.g.&#x20;user&#x20;walks&#x20;away&#x20;from&#x20;their&#x20;computer&#x20;and&#x20;doesn&#039;t&#x20;lock&#x20;the&#x20;screen&#41;.&#x20;Setting&#x20;a&#x20;timeout&#x20;value&#x20;at&#x20;least&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;this&#x20;happening.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;300&#x20;seconds&#x20;&#40;5&#x20;minutes&#41;,&#x20;set&#x20;this&#x20;timeout&#x20;value&#x20;based&#x20;on&#x20;site&#x20;policy.&#x20;The&#x20;recommended&#x20;setting&#x20;for&#x20;ClientAliveCountMax&#x20;is&#x20;0.&#x20;In&#x20;this&#x20;case,&#x20;the&#x20;client&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;5&#x20;minutes&#x20;of&#x20;idle&#x20;time&#x20;and&#x20;no&#x20;keepalive&#x20;messages&#x20;will&#x20;be&#x20;sent.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameters&#x20;according&#x20;to&#x20;site&#x20;policy:&#x20;ClientAliveInterval&#x20;300&#x20;and&#x20;ClientAliveCountMax&#x20;0','[{\"cis\": [\"5.2.12\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(5654,'Ensure&#x20;SSH&#x20;LoginGraceTime&#x20;is&#x20;set&#x20;to&#x20;one&#x20;minute&#x20;or&#x20;less','The&#x20;LoginGraceTime&#x20;parameter&#x20;specifies&#x20;the&#x20;time&#x20;allowed&#x20;for&#x20;successful&#x20;authentication&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;The&#x20;longer&#x20;the&#x20;Grace&#x20;period&#x20;is&#x20;the&#x20;more&#x20;open&#x20;unauthenticated&#x20;connections&#x20;can&#x20;exist.&#x20;Like&#x20;other&#x20;session&#x20;controls&#x20;in&#x20;this&#x20;session&#x20;the&#x20;Grace&#x20;Period&#x20;should&#x20;be&#x20;limited&#x20;to&#x20;appropriate&#x20;organizational&#x20;limits&#x20;to&#x20;ensure&#x20;the&#x20;service&#x20;is&#x20;available&#x20;for&#x20;needed&#x20;access.','Setting&#x20;the&#x20;LoginGraceTime&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;It&#x20;will&#x20;also&#x20;limit&#x20;the&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;60&#x20;seconds&#x20;&#40;1&#x20;Minute&#41;,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LoginGraceTime&#x20;60','[{\"cis\": [\"5.2.13\"]}, {\"pci_dss\": [\"8.1\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5655,'Ensure&#x20;SSH&#x20;access&#x20;is&#x20;limited','There&#x20;are&#x20;several&#x20;options&#x20;available&#x20;to&#x20;limit&#x20;which&#x20;users&#x20;and&#x20;group&#x20;can&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;at&#x20;least&#x20;one&#x20;of&#x20;the&#x20;following&#x20;options&#x20;be&#x20;leveraged:&#x20;AllowUsers&#x20;The&#x20;AllowUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;only&#x20;allowing&#x20;the&#x20;allowed&#x20;users&#x20;to&#x20;log&#x20;in&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;AllowGroups&#x20;The&#x20;AllowGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;DenyUsers&#x20;The&#x20;DenyUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;specifically&#x20;denying&#x20;a&#x20;user&#039;s&#x20;access&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;DenyGroups&#x20;The&#x20;DenyGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.','Restricting&#x20;which&#x20;users&#x20;can&#x20;remotely&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH&#x20;will&#x20;help&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;users&#x20;access&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;one&#x20;or&#x20;more&#x20;of&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowUsers&#x20;&lt;userlist&gt;;&#x20;AllowGroups&#x20;&lt;grouplist&gt;;&#x20;DenyUsers&#x20;&lt;userlist&gt;&#x20;and&#x20;DenyGroups&#x20;&lt;grouplist&gt;','[{\"cis\": [\"5.2.14\"]}, {\"cis_csc\": [\"5.1\", \"5.8\"]}, {\"pci_dss\": [\"8.1\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5656,'Ensure&#x20;SSH&#x20;warning&#x20;banner&#x20;is&#x20;configured','The&#x20;Banner&#x20;parameter&#x20;specifies&#x20;a&#x20;file&#x20;whose&#x20;contents&#x20;must&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;remote&#x20;user&#x20;before&#x20;authentication&#x20;is&#x20;permitted.&#x20;By&#x20;default,&#x20;no&#x20;banner&#x20;is&#x20;displayed.','Banners&#x20;are&#x20;used&#x20;to&#x20;warn&#x20;connecting&#x20;users&#x20;of&#x20;the&#x20;particular&#x20;site&#039;s&#x20;policy&#x20;regarding&#x20;connection.&#x20;Presenting&#x20;a&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;login&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Banner&#x20;/etc/issue.net','[{\"cis\": [\"5.2.15\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5657,'Ensure&#x20;password&#x20;creation&#x20;requirements&#x20;are&#x20;configured','The&#x20;pam_cracklib.so&#x20;module&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','Edit&#x20;the&#x20;/etc/pam.d/password-auth&#x20;and&#x20;/etc/pam.d/system-auth&#x20;files&#x20;to&#x20;include&#x20;the&#x20;appropriate&#x20;options&#x20;for&#x20;pam_cracklib.so&#x20;and&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;password&#x20;requisite&#x20;pam_cracklib.so&#x20;try_first_pass&#x20;retry=3&#x20;minlen=14&#x20;dcredit=-1&#x20;ucredit=-1&#x20;ocredit=-1&#x20;lcredit=-1','[{\"cis\": [\"5.3.1\"]}, {\"cis_csc\": [\"5.7\", \"16.12\"]}, {\"pci_dss\": [\"8.2.3\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5658,'Ensure&#x20;password&#x20;reuse&#x20;is&#x20;limited','The&#x20;/etc/security/opasswd&#x20;file&#x20;stores&#x20;the&#x20;users&#039;&#x20;old&#x20;passwords&#x20;and&#x20;can&#x20;be&#x20;checked&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;are&#x20;not&#x20;recycling&#x20;recent&#x20;passwords.','Forcing&#x20;users&#x20;not&#x20;to&#x20;reuse&#x20;their&#x20;past&#x20;5&#x20;passwords&#x20;make&#x20;it&#x20;less&#x20;likely&#x20;that&#x20;an&#x20;attacker&#x20;will&#x20;be&#x20;able&#x20;to&#x20;guess&#x20;the&#x20;password.&#x20;Note&#x20;that&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/pam.d/password-auth&#x20;and&#x20;/etc/pam.d/system-auth&#x20;files&#x20;to&#x20;include&#x20;the&#x20;remember&#x20;option&#x20;and&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;as&#x20;shown:&#x20;password&#x20;sufficient&#x20;pam_unix.so&#x20;remember=5&#x20;&#x20;&#x20;or&#x20;&#x20;&#x20;&#x20;password&#x20;required&#x20;pam_pwhistory.so&#x20;remember=5','[{\"cis\": [\"5.3.3\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2.5\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5659,'Ensure&#x20;password&#x20;hashing&#x20;algorithm&#x20;is&#x20;SHA-512','The&#x20;commands&#x20;below&#x20;change&#x20;password&#x20;encryption&#x20;from&#x20;md5&#x20;to&#x20;sha512&#x20;&#40;a&#x20;much&#x20;stronger&#x20;hashing&#x20;algorithm&#41;.&#x20;All&#x20;existing&#x20;accounts&#x20;will&#x20;need&#x20;to&#x20;perform&#x20;a&#x20;password&#x20;change&#x20;to&#x20;upgrade&#x20;the&#x20;stored&#x20;hashes&#x20;to&#x20;the&#x20;new&#x20;algorithm.','The&#x20;SHA-512&#x20;algorithm&#x20;provides&#x20;much&#x20;stronger&#x20;hashing&#x20;than&#x20;MD5,&#x20;thus&#x20;providing&#x20;additional&#x20;protection&#x20;to&#x20;the&#x20;system&#x20;by&#x20;increasing&#x20;the&#x20;level&#x20;of&#x20;effort&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;successfully&#x20;determine&#x20;passwords.&#x20;Note&#x20;that&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/pam.d/password-auth&#x20;and&#x20;/etc/pam.d/system-auth&#x20;files&#x20;to&#x20;include&#x20;the&#x20;sha512&#x20;option&#x20;for&#x20;pam_unix.so&#x20;as&#x20;shown:&#x20;password&#x20;sufficient&#x20;pam_unix.so&#x20;sha512','[{\"cis\": [\"5.3.4\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"3.6.1\", \"8.2.1\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\"]}]'),(5660,'Ensure&#x20;password&#x20;expiration&#x20;is&#x20;365&#x20;days&#x20;or&#x20;less','The&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;force&#x20;passwords&#x20;to&#x20;expire&#x20;once&#x20;they&#x20;reach&#x20;a&#x20;defined&#x20;age.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;less&#x20;than&#x20;or&#x20;equal&#x20;to&#x20;365&#x20;days.','The&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;leverage&#x20;compromised&#x20;credentials&#x20;or&#x20;successfully&#x20;compromise&#x20;credentials&#x20;via&#x20;an&#x20;online&#x20;brute&#x20;force&#x20;attack&#x20;is&#x20;limited&#x20;by&#x20;the&#x20;age&#x20;of&#x20;the&#x20;password.&#x20;Therefore,&#x20;reducing&#x20;the&#x20;maximum&#x20;age&#x20;of&#x20;a&#x20;password&#x20;also&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;window&#x20;of&#x20;opportunity.','','Set&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;in&#x20;/etc/login.defs&#x20;:&#x20;PASS_MAX_DAYS&#x20;90&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--maxdays&#x20;90&#x20;&lt;user&gt;','[{\"cis\": [\"5.4.1.1\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2.4\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5661,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;7&#x20;or&#x20;more','The&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;changing&#x20;their&#x20;password&#x20;until&#x20;a&#x20;minimum&#x20;number&#x20;of&#x20;days&#x20;have&#x20;passed&#x20;since&#x20;the&#x20;last&#x20;time&#x20;the&#x20;user&#x20;changed&#x20;their&#x20;password.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','By&#x20;restricting&#x20;the&#x20;frequency&#x20;of&#x20;password&#x20;changes,&#x20;an&#x20;administrator&#x20;can&#x20;prevent&#x20;users&#x20;from&#x20;repeatedly&#x20;changing&#x20;their&#x20;password&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;circumvent&#x20;password&#x20;reuse&#x20;controls.','','Set&#x20;the&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_MIN_DAYS&#x20;7&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--mindays&#x20;7&#x20;&lt;user&gt;','[{\"cis\": [\"5.4.1.2\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5662,'Ensure&#x20;password&#x20;expiration&#x20;warning&#x20;days&#x20;is&#x20;7&#x20;or&#x20;more','The&#x20;PASS_WARN_AGE&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;notify&#x20;users&#x20;that&#x20;their&#x20;password&#x20;will&#x20;expire&#x20;in&#x20;a&#x20;defined&#x20;number&#x20;of&#x20;days.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','Providing&#x20;an&#x20;advance&#x20;warning&#x20;that&#x20;a&#x20;password&#x20;will&#x20;be&#x20;expiring&#x20;gives&#x20;users&#x20;time&#x20;to&#x20;think&#x20;of&#x20;a&#x20;secure&#x20;password.&#x20;Users&#x20;caught&#x20;unaware&#x20;may&#x20;choose&#x20;a&#x20;simple&#x20;password&#x20;or&#x20;write&#x20;it&#x20;down&#x20;where&#x20;it&#x20;may&#x20;be&#x20;discovered.','','Set&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_WARN_AGE&#x20;7&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--warndays&#x20;7&#x20;&lt;user&gt;','[{\"cis\": [\"5.4.1.3\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5663,'Ensure&#x20;inactive&#x20;password&#x20;lock&#x20;is&#x20;30&#x20;days&#x20;or&#x20;less','User&#x20;accounts&#x20;that&#x20;have&#x20;been&#x20;inactive&#x20;for&#x20;over&#x20;a&#x20;given&#x20;period&#x20;of&#x20;time&#x20;can&#x20;be&#x20;automatically&#x20;disabled.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;accounts&#x20;that&#x20;are&#x20;inactive&#x20;for&#x20;30&#x20;days&#x20;after&#x20;password&#x20;expiration&#x20;be&#x20;disabled.','Inactive&#x20;accounts&#x20;pose&#x20;a&#x20;threat&#x20;to&#x20;system&#x20;security&#x20;since&#x20;the&#x20;users&#x20;are&#x20;not&#x20;logging&#x20;in&#x20;to&#x20;notice&#x20;failed&#x20;login&#x20;attempts&#x20;or&#x20;other&#x20;anomalies.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;default&#x20;password&#x20;inactivity&#x20;period&#x20;to&#x20;30&#x20;days:&#x20;useradd&#x20;-D&#x20;-f&#x20;30&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--inactive&#x20;30&#x20;&lt;user&gt;','[{\"cis\": [\"5.4.1.4\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5664,'Ensure&#x20;default&#x20;group&#x20;for&#x20;the&#x20;root&#x20;account&#x20;is&#x20;GID&#x20;0','The&#x20;usermod&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;specify&#x20;which&#x20;group&#x20;the&#x20;root&#x20;user&#x20;belongs&#x20;to.&#x20;This&#x20;affects&#x20;permissions&#x20;of&#x20;files&#x20;that&#x20;are&#x20;created&#x20;by&#x20;the&#x20;root&#x20;user.','Using&#x20;GID&#x20;0&#x20;for&#x20;the&#x20;root&#x20;account&#x20;helps&#x20;prevent&#x20;root&#x20;-owned&#x20;files&#x20;from&#x20;accidentally&#x20;becoming&#x20;accessible&#x20;to&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;root&#x20;user&#x20;default&#x20;group&#x20;to&#x20;GID&#x20;0:&#x20;usermod&#x20;-g&#x20;0&#x20;root','[{\"cis\": [\"5.4.3\"]}, {\"cis_csc\": [\"5\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5665,'Ensure&#x20;default&#x20;user&#x20;umask&#x20;is&#x20;027&#x20;or&#x20;more&#x20;restrictive','The&#x20;default&#x20;umask&#x20;determines&#x20;the&#x20;permissions&#x20;of&#x20;files&#x20;created&#x20;by&#x20;users.&#x20;The&#x20;user&#x20;creating&#x20;the&#x20;file&#x20;has&#x20;the&#x20;discretion&#x20;of&#x20;making&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;others&#x20;via&#x20;the&#x20;chmod&#x20;command.&#x20;Users&#x20;who&#x20;wish&#x20;to&#x20;allow&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;to&#x20;be&#x20;readable&#x20;by&#x20;others&#x20;by&#x20;default&#x20;may&#x20;choose&#x20;a&#x20;different&#x20;default&#x20;umask&#x20;by&#x20;inserting&#x20;the&#x20;umask&#x20;command&#x20;into&#x20;the&#x20;standard&#x20;shell&#x20;configuration&#x20;files&#x20;&#40;&#x20;.profile&#x20;,&#x20;.bashrc&#x20;,&#x20;etc.&#41;&#x20;in&#x20;their&#x20;home&#x20;directories.','Setting&#x20;a&#x20;very&#x20;secure&#x20;default&#x20;value&#x20;for&#x20;umask&#x20;ensures&#x20;that&#x20;users&#x20;make&#x20;a&#x20;conscious&#x20;choice&#x20;about&#x20;their&#x20;file&#x20;permissions.&#x20;A&#x20;default&#x20;umask&#x20;setting&#x20;of&#x20;077&#x20;causes&#x20;files&#x20;and&#x20;directories&#x20;created&#x20;by&#x20;users&#x20;to&#x20;not&#x20;be&#x20;readable&#x20;by&#x20;any&#x20;other&#x20;user&#x20;on&#x20;the&#x20;system.&#x20;A&#x20;umask&#x20;of&#x20;027&#x20;would&#x20;make&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;users&#x20;in&#x20;the&#x20;same&#x20;Unix&#x20;group,&#x20;while&#x20;a&#x20;umask&#x20;of&#x20;022&#x20;would&#x20;make&#x20;files&#x20;readable&#x20;by&#x20;every&#x20;user&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/bashrc&#x20;,&#x20;/etc/profile&#x20;and&#x20;/etc/profile.d&#47;&#42;.sh&#x20;files&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;any&#x20;umask&#x20;parameters&#x20;as&#x20;follows:&#x20;umask&#x20;027','[{\"cis\": [\"5.4.4\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5666,'Ensure&#x20;default&#x20;user&#x20;shell&#x20;timeout&#x20;is&#x20;900&#x20;seconds&#x20;or&#x20;less','The&#x20;default&#x20;TMOUT&#x20;determines&#x20;the&#x20;shell&#x20;timeout&#x20;for&#x20;users.&#x20;The&#x20;TMOUT&#x20;value&#x20;is&#x20;measured&#x20;in&#x20;seconds.','Having&#x20;no&#x20;timeout&#x20;value&#x20;associated&#x20;with&#x20;a&#x20;shell&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;shell&#x20;session&#x20;&#40;e.g.&#x20;user&#x20;walks&#x20;away&#x20;from&#x20;their&#x20;computer&#x20;and&#x20;doesn&#039;t&#x20;lock&#x20;the&#x20;screen&#41;.&#x20;Setting&#x20;a&#x20;timeout&#x20;value&#x20;at&#x20;least&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;this&#x20;happening.','','Edit&#x20;the&#x20;/etc/bashrc&#x20;and&#x20;/etc/profile&#x20;files&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;any&#x20;umask&#x20;parameters&#x20;as&#x20;follows:&#x20;TMOUT=600','[{\"cis\": [\"5.4.5\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(5667,'Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','The&#x20;su&#x20;command&#x20;allows&#x20;a&#x20;user&#x20;to&#x20;run&#x20;a&#x20;command&#x20;or&#x20;shell&#x20;as&#x20;another&#x20;user.&#x20;The&#x20;program&#x20;has&#x20;been&#x20;superseded&#x20;by&#x20;sudo&#x20;,&#x20;which&#x20;allows&#x20;for&#x20;more&#x20;granular&#x20;control&#x20;over&#x20;privileged&#x20;access.&#x20;Normally,&#x20;the&#x20;su&#x20;command&#x20;can&#x20;be&#x20;executed&#x20;by&#x20;any&#x20;user.&#x20;By&#x20;uncommenting&#x20;the&#x20;pam_wheel.so&#x20;statement&#x20;in&#x20;/etc/pam.d/su&#x20;,&#x20;the&#x20;su&#x20;command&#x20;will&#x20;only&#x20;allow&#x20;users&#x20;in&#x20;the&#x20;wheel&#x20;group&#x20;to&#x20;execute&#x20;su&#x20;.','Restricting&#x20;the&#x20;use&#x20;of&#x20;su&#x20;,&#x20;and&#x20;using&#x20;sudo&#x20;in&#x20;its&#x20;place,&#x20;provides&#x20;system&#x20;administrators&#x20;better&#x20;control&#x20;of&#x20;the&#x20;escalation&#x20;of&#x20;user&#x20;privileges&#x20;to&#x20;execute&#x20;privileged&#x20;commands.&#x20;The&#x20;sudo&#x20;utility&#x20;also&#x20;provides&#x20;a&#x20;better&#x20;logging&#x20;and&#x20;audit&#x20;mechanism,&#x20;as&#x20;it&#x20;can&#x20;log&#x20;each&#x20;command&#x20;executed&#x20;via&#x20;sudo&#x20;,&#x20;whereas&#x20;su&#x20;can&#x20;only&#x20;record&#x20;that&#x20;a&#x20;user&#x20;executed&#x20;the&#x20;su&#x20;program.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/pam.d/su&#x20;file:&#x20;auth&#x20;required&#x20;pam_wheel.so&#x20;use_uid','[{\"cis\": [\"5.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(5668,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd&#x20;are&#x20;configured','The&#x20;/etc/passwd&#x20;file&#x20;contains&#x20;user&#x20;account&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;utilities&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;utilities&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd&#x20;#&#x20;chmod&#x20;644&#x20;/etc/passwd','[{\"cis\": [\"6.1.2\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5669,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow&#x20;are&#x20;configured','The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;user&#x20;accounts.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/shadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow&#x20;#&#x20;chmod&#x20;000&#x20;/etc/shadow','[{\"cis\": [\"6.1.3\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5670,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group&#x20;are&#x20;configured','The&#x20;/etc/group&#x20;file&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.&#x20;The&#x20;command&#x20;below&#x20;allows&#x20;read/write&#x20;access&#x20;for&#x20;root&#x20;and&#x20;read&#x20;access&#x20;for&#x20;everyone&#x20;else.','The&#x20;/etc/group&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users,&#x20;but&#x20;needs&#x20;to&#x20;be&#x20;readable&#x20;as&#x20;this&#x20;information&#x20;is&#x20;used&#x20;with&#x20;many&#x20;non-privileged&#x20;programs.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group&#x20;#&#x20;chmod&#x20;644&#x20;/etc/group','[{\"cis\": [\"6.1.4\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5671,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow&#x20;are&#x20;configured','The&#x20;/etc/gshadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/gshadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/gshadow&#x20;file&#x20;&#40;such&#x20;as&#x20;group&#x20;administrators&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;group','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/gshadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow&#x20;#&#x20;chmod&#x20;000&#x20;/etc/gshadow','[{\"cis\": [\"6.1.5\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5672,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd-&#x20;are&#x20;configured','The&#x20;/etc/passwd-&#x20;file&#x20;contains&#x20;backup&#x20;user&#x20;account&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd-&#x20;#&#x20;chmod&#x20;644&#x20;/etc/passwd-','[{\"cis\": [\"6.1.6\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5673,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow-&#x20;are&#x20;configured','The&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/shadow-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow-&#x20;#&#x20;chmod&#x20;000&#x20;/etc/shadow-','[{\"cis\": [\"6.1.7\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5674,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group-&#x20;are&#x20;configured','The&#x20;/etc/group-&#x20;file&#x20;contains&#x20;a&#x20;backup&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/group-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group-&#x20;#&#x20;chmod&#x20;644&#x20;/etc/group-','[{\"cis\": [\"6.1.8\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5675,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;are&#x20;configured','The&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/gshadow-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow-&#x20;#&#x20;chmod&#x20;000&#x20;/etc/gshadow-','[{\"cis\": [\"6.1.9\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5676,'Ensure&#x20;password&#x20;fields&#x20;are&#x20;not&#x20;empty','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;password,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;account&#x20;until&#x20;it&#x20;can&#x20;be&#x20;determined&#x20;why&#x20;it&#x20;does&#x20;not&#x20;have&#x20;a&#x20;password:&#x20;passwd&#x20;-l&#x20;&lt;username&gt;&#x20;||&#x20;Also,&#x20;check&#x20;to&#x20;see&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;investigate&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.1\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(5677,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/passwd','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;&#039;+&#039;&#x20;entries&#x20;from&#x20;/etc/passwd&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.2\"]}, {\"cis_csc\": [\"16.9\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5678,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/shadow','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;&#039;+&#039;&#x20;entries&#x20;from&#x20;/etc/shadow&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.3\"]}, {\"cis_csc\": [\"16.9\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5679,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/group','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;&#039;+&#039;&#x20;entries&#x20;from&#x20;/etc/group&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.4\"]}, {\"cis_csc\": [\"16.9\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(5680,'Ensure&#x20;root&#x20;is&#x20;the&#x20;only&#x20;UID&#x20;0&#x20;account','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','','Remove&#x20;any&#x20;users&#x20;other&#x20;than&#x20;root&#x20;with&#x20;UID&#x20;0&#x20;or&#x20;assign&#x20;them&#x20;a&#x20;new&#x20;UID&#x20;if&#x20;appropriate.','[{\"cis\": [\"6.2.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6000,'Ensure&#x20;mounting&#x20;of&#x20;cramfs&#x20;filesystems&#x20;is&#x20;disabled.','The&#x20;cramfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;compressed&#x20;read-only&#x20;Linux&#x20;filesystem&#x20;embedded&#x20;in&#x20;small&#x20;footprint&#x20;systems.&#x20;A&#x20;cramfs&#x20;image&#x20;can&#x20;be&#x20;used&#x20;without&#x20;having&#x20;to&#x20;first&#x20;decompress&#x20;the&#x20;image.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;server.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/directory&#x20;ending&#x20;in&#x20;.conf.&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/cramfs.confand&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;cramfs&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;cramfs&#x20;module:&#x20;rmmod&#x20;cramfs','[{\"cis\": [\"1.1.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}, {\"cis_level\": [\"1\"]}]'),(6001,'Ensure&#x20;mounting&#x20;of&#x20;squashfs&#x20;filesystems&#x20;is&#x20;disabled.','The&#x20;squashfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;compressed&#x20;read-only&#x20;Linux&#x20;filesystem&#x20;embedded&#x20;in&#x20;small&#x20;footprint&#x20;systems&#x20;&#40;similar&#x20;to&#x20;cramfs&#x20;&#41;.&#x20;A&#x20;squashfs&#x20;image&#x20;can&#x20;be&#x20;used&#x20;without&#x20;having&#x20;to&#x20;first&#x20;decompress&#x20;the&#x20;image.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;squashfs&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;squashfs&#x20;module:&#x20;rmmod&#x20;squashfs','[{\"cis\": [\"1.1.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}, {\"cis_level\": [\"2\"]}]'),(6002,'Ensure&#x20;mounting&#x20;of&#x20;udf&#x20;filesystems&#x20;is&#x20;disabled.','The&#x20;udf&#x20;filesystem&#x20;type&#x20;is&#x20;the&#x20;universal&#x20;disk&#x20;format&#x20;used&#x20;to&#x20;implement&#x20;ISO/IEC&#x20;13346&#x20;and&#x20;ECMA-167&#x20;specifications.&#x20;This&#x20;is&#x20;an&#x20;open&#x20;vendor&#x20;filesystem&#x20;type&#x20;for&#x20;data&#x20;storage&#x20;on&#x20;a&#x20;broad&#x20;range&#x20;of&#x20;media.&#x20;This&#x20;filesystem&#x20;type&#x20;is&#x20;necessary&#x20;to&#x20;support&#x20;writing&#x20;DVDs&#x20;and&#x20;newer&#x20;optical&#x20;disc&#x20;formats.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;udf&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;udf&#x20;module:&#x20;rmmod&#x20;udf','[{\"cis\": [\"1.1.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}, {\"cis_level\": [\"1\"]}]'),(6003,'Ensure&#x20;mounting&#x20;of&#x20;FAT&#x20;filesystems&#x20;is&#x20;disabled.','The&#x20;FAT&#x20;filesystem&#x20;format&#x20;is&#x20;primarily&#x20;used&#x20;on&#x20;older&#x20;windows&#x20;systems&#x20;and&#x20;portable&#x20;USB&#x20;drives&#x20;or&#x20;flash&#x20;modules.&#x20;It&#x20;comes&#x20;in&#x20;three&#x20;types&#x20;FAT12,&#x20;FAT16,&#x20;and&#x20;FAT32&#x20;all&#x20;of&#x20;which&#x20;are&#x20;supported&#x20;by&#x20;the&#x20;vfat&#x20;kernel&#x20;module.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','If&#x20;utilizing&#x20;UEFI&#x20;the&#x20;FAT&#x20;filesystem&#x20;format&#x20;is&#x20;required.&#x20;If&#x20;this&#x20;case,&#x20;ensure&#x20;that&#x20;the&#x20;FAT&#x20;filesystem&#x20;is&#x20;only&#x20;used&#x20;where&#x20;appropriate.&#x20;Run&#x20;the&#x20;following&#x20;command:&#x20;grep&#x20;-E&#x20;-i&#x20;&#039;svfats&#039;&#x20;/etc/fstab&#x20;And&#x20;review&#x20;that&#x20;any&#x20;output&#x20;is&#x20;appropriate&#x20;for&#x20;your&#x20;environment.&#x20;&#x20;If&#x20;not&#x20;utilizing&#x20;UEFI:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/fat.conf&#x20;&#x20;&#x20;&#x20;install&#x20;fat&#x20;/bin/true&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;install&#x20;vfat&#x20;/bin/true&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;install&#x20;msdos&#x20;/bin/true&#x20;&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;unload&#x20;the&#x20;msdos,&#x20;vfat,&#x20;and&#x20;fatmodules:&#x20;&#x20;#&#x20;rmmod&#x20;msdos&#x20;&#x20;&#x20;#&#x20;rmmod&#x20;vfat&#x20;&#x20;#&#x20;rmmod&#x20;fat&#x20;','[{\"cis\": [\"1.1.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}, {\"cis_level\": [\"2\"]}]'),(6004,'Ensure&#x20;/tmp&#x20;is&#x20;configured.','The&#x20;/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Since&#x20;the&#x20;/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;In&#x20;addition,&#x20;making&#x20;/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hardlink&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hardlink&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','','Create&#x20;or&#x20;update&#x20;an&#x20;entry&#x20;for&#x20;/tmp&#x20;in&#x20;either&#x20;/etc/fstab&#x20;&#x20;OR&#x20;&#x20;&#x20;in&#x20;a&#x20;systemd&#x20;tmp.mount&#x20;file:&#x20;&#x20;If&#x20;/etc/fstab&#x20;is&#x20;used:&#x20;&#x20;Configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.&#x20;Example:&#x20;tmpfs&#x20;/tmp&#x20;tmpfs&#x20;&#x20;&#x20;&#x20;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;&#x20;0&#x20;0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:&#x20;&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec,nodev,nosuid&#x20;/tmp&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;If&#x20;systemd&#x20;tmp.mount&#x20;file&#x20;is&#x20;used:&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;the&#x20;file&#x20;/etc/systemd/system/tmp.mount&#x20;if&#x20;it&#x20;doesn&#039;t&#x20;exist:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;[&#x20;!&#x20;-f&#x20;/etc/systemd/system/tmp.mount&#x20;]&#x20;&amp;&amp;&#x20;cp&#x20;-v&#x20;/usr/lib/systemd/system/tmp.mount&#x20;/etc/systemd/system/&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Edit&#x20;the&#x20;file&#x20;/etc/systemd/system/tmp.mount:&#x20;&#x20;[Mount]&#x20;&#x20;&#x20;What=tmpfs&#x20;&#x20;&#x20;&#x20;Where=/tmp&#x20;&#x20;&#x20;&#x20;Type=tmpfs&#x20;&#x20;&#x20;&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;systemd&#x20;daemon:#&#x20;systemctl&#x20;daemon-reload&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;tmp.mount:&#x20;&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;unmask&#x20;tmp.mpunt&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;tmp.mount:&#x20;&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;enable&#x20;--now&#x20;tmp.mount','[{\"cis\": [\"1.1.2\"]}, {\"cis_csc\": [\"9.4\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6005,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;OR&#x20;&#x20;the&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;file:&#x20;&#x20;&#x20;&#x20;IF&#x20;/etc/fstab&#x20;is&#x20;used&#x20;to&#x20;mount&#x20;/tmp&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Edit&#x20;the&#x20;/etc/fstabfile&#x20;and&#x20;add&#x20;noexecto&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/tmp&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;IF&#x20;systemd&#x20;is&#x20;used&#x20;to&#x20;mount&#x20;/tmp:&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;/tmp&#x20;mount&#x20;options:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;[Mount]&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;the&#x20;systemd&#x20;daemon:&#x20;#&#x20;&#x20;systemctl&#x20;daemon-reload&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;tmp.mount&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;restart&#x20;tmp.mount','[{\"cis\": [\"1.1.3\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6006,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;&#x20;&#x20;file&#x20;OR&#x20;the&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;file:&#x20;&#x20;&#x20;IF&#x20;/etc/fstab&#x20;is&#x20;used&#x20;to&#x20;mount&#x20;/tmp&#x20;&#x20;Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/tmp&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;IF&#x20;systemd&#x20;is&#x20;used&#x20;to&#x20;mount&#x20;/tmp:&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;/tmp&#x20;mount&#x20;options:&#x20;&#x20;&#x20;&#x20;[Mount]&#x20;&#x20;&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;the&#x20;systemd&#x20;daemon:&#x20;#&#x20;&#x20;systemctl&#x20;daemon-reload&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;tmp.mount&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;restart&#x20;tmp.mount','[{\"cis\": [\"1.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6007,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/tmp.','','IF&#x20;/etc/fstab&#x20;is&#x20;used&#x20;to&#x20;mount&#x20;/tmp&#x20;Edit&#x20;the&#x20;/etc/fstab&#x20;&#x20;&#x20;file&#x20;OR&#x20;the&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;file:&#x20;&#x20;&#x20;IF&#x20;/etc/fstab&#x20;is&#x20;used&#x20;to&#x20;mount&#x20;/tmp&#x20;&#x20;Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/tmp&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;IF&#x20;systemd&#x20;is&#x20;used&#x20;to&#x20;mount&#x20;/tmp:&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;/tmp&#x20;mount&#x20;options:&#x20;&#x20;&#x20;&#x20;[Mount]&#x20;&#x20;&#x20;Options=mode=1777,strictatime,noexec,nosuid,nosuid&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;the&#x20;systemd&#x20;daemon:&#x20;#&#x20;&#x20;systemctl&#x20;daemon-reload&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;tmp.mount&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;restart&#x20;tmp.mount','[{\"cis\": [\"1.1.5\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6008,'Ensure&#x20;/dev/shm&#x20;is&#x20;configured&#x20;.','/dev/shm&#x20;is&#x20;a&#x20;traditional&#x20;shared&#x20;memory&#x20;concept.&#x20;One&#x20;program&#x20;will&#x20;create&#x20;a&#x20;memory&#x20;portion,&#x20;which&#x20;other&#x20;processes&#x20;&#40;if&#x20;permitted&#41;&#x20;can&#x20;access.&#x20;Mounting&#x20;tmpfs&#x20;at&#x20;/dev/shm&#x20;is&#x20;handled&#x20;automatically&#x20;by&#x20;systemd.','Any&#x20;user&#x20;can&#x20;upload&#x20;and&#x20;execute&#x20;files&#x20;inside&#x20;the&#x20;/dev/shm&#x20;similar&#x20;to&#x20;the&#x20;/tmp&#x20;partition.&#x20;Configuring&#x20;/dev/shm&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/dev/shm&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hardlink&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hardlink&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','','Edit&#x20;/etc/fstab&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;the&#x20;following&#x20;line:&#x20;tmpfs&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;/dev/shm&#x20;&#x20;&#x20;&#x20;tmpfs&#x20;&#x20;&#x20;defaults,noexec,nodev,nosuid,seclabel&#x20;&#x20;&#x20;0&#x20;0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec,nodev,nosuid&#x20;/dev/shm','[{\"cis\": [\"1.1.6\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6009,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;executing&#x20;programs&#x20;from&#x20;shared&#x20;memory.&#x20;This&#x20;deters&#x20;users&#x20;from&#x20;introducing&#x20;potentially&#x20;malicious&#x20;software&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/dev/shm','[{\"cis\": [\"1.1.7\"]}, {\"cis_csc\": [\"2.6\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6010,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/dev/shm&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;special&#x20;devices&#x20;in&#x20;/dev/shm&#x20;partitions.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/dev/shm','[{\"cis\": [\"1.1.8\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6011,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;introducing&#x20;privileged&#x20;programs&#x20;onto&#x20;the&#x20;system&#x20;and&#x20;allowing&#x20;non-root&#x20;users&#x20;to&#x20;execute&#x20;them.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/dev/shm','[{\"cis\": [\"1.1.9\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6012,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var.','The&#x20;/var&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;daemons&#x20;and&#x20;other&#x20;system&#x20;services&#x20;to&#x20;temporarily&#x20;store&#x20;dynamic&#x20;data.&#x20;Some&#x20;directories&#x20;created&#x20;by&#x20;these&#x20;processes&#x20;may&#x20;be&#x20;world-writable.','Since&#x20;the&#x20;/var&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.10\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"2\"]}]'),(6013,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/tmp.','The&#x20;/var/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications&#x20;and&#x20;is&#x20;intended&#x20;for&#x20;temporary&#x20;files&#x20;that&#x20;are&#x20;preserved&#x20;across&#x20;reboots.','Since&#x20;the&#x20;/var/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;In&#x20;addition,&#x20;making&#x20;/var/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/var/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/tmp.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.11\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"2\"]}]'),(6014,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;un&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/var/tmp','[{\"cis\": [\"1.1.12\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"2\"]}]'),(6015,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/tmp&#x20;.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/var/tmp','[{\"cis\": [\"1.1.13\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"2\"]}]'),(6016,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/var/tmp','[{\"cis\": [\"1.1.14\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"2\"]}]'),(6017,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log.','The&#x20;/var/log&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;system&#x20;services&#x20;to&#x20;store&#x20;log&#x20;data&#x20;.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;system&#x20;logs&#x20;are&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;logs&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.15\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"2.2.4\", \"10.7\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"2\"]}]'),(6018,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log/audit.','The&#x20;auditing&#x20;daemon,&#x20;auditd,&#x20;stores&#x20;log&#x20;data&#x20;in&#x20;the&#x20;/var/log/audit&#x20;directory.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;data&#x20;gathered&#x20;by&#x20;auditd&#x20;is&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;the&#x20;audit.log&#x20;file&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log/audit.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.16\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"2.2.4\", \"10.7\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"2\"]}]'),(6019,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/home.','The&#x20;/home&#x20;directory&#x20;is&#x20;used&#x20;to&#x20;support&#x20;disk&#x20;storage&#x20;needs&#x20;of&#x20;local&#x20;users.','If&#x20;the&#x20;system&#x20;is&#x20;intended&#x20;to&#x20;support&#x20;local&#x20;users,&#x20;create&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;the&#x20;/home&#x20;directory&#x20;to&#x20;protect&#x20;against&#x20;resource&#x20;exhaustion&#x20;and&#x20;restrict&#x20;the&#x20;type&#x20;of&#x20;files&#x20;that&#x20;can&#x20;be&#x20;stored&#x20;under&#x20;/home.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/home.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.17\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"2\"]}]'),(6020,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;user&#x20;partitions&#x20;are&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/home&#x20;partition.&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/home','[{\"cis\": [\"1.1.18\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"2\"]}]'),(6021,'Disable&#x20;Automounting.','autofs&#x20;allows&#x20;automatic&#x20;mounting&#x20;of&#x20;devices,&#x20;typically&#x20;including&#x20;CD/DVDs&#x20;and&#x20;USB&#x20;drives.','With&#x20;automounting&#x20;enabled&#x20;anyone&#x20;with&#x20;physical&#x20;access&#x20;could&#x20;attach&#x20;a&#x20;USB&#x20;drive&#x20;or&#x20;disc&#x20;and&#x20;have&#x20;its&#x20;contents&#x20;available&#x20;in&#x20;system&#x20;even&#x20;if&#x20;they&#x20;lacked&#x20;permissions&#x20;to&#x20;mount&#x20;it&#x20;themselves.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;autofs:&#x20;systemctl&#x20;disable&#x20;autofs','[{\"cis\": [\"1.1.23\"]}, {\"cis_csc\": [\"8.4\", \"8.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6022,'Disable&#x20;USB&#x20;Storage.','USB&#x20;storage&#x20;provides&#x20;a&#x20;means&#x20;to&#x20;transfer&#x20;and&#x20;store&#x20;files&#x20;insuring&#x20;persistence&#x20;and&#x20;availability&#x20;of&#x20;the&#x20;files&#x20;independent&#x20;of&#x20;network&#x20;connection&#x20;status.&#x20;Its&#x20;popularity&#x20;and&#x20;utility&#x20;has&#x20;led&#x20;to&#x20;USB-based&#x20;malware&#x20;being&#x20;a&#x20;simple&#x20;and&#x20;common&#x20;means&#x20;for&#x20;network&#x20;infiltration&#x20;and&#x20;a&#x20;first&#x20;step&#x20;to&#x20;establishing&#x20;a&#x20;persistent&#x20;threat&#x20;within&#x20;a&#x20;networked&#x20;environment.','Restricting&#x20;USB&#x20;access&#x20;on&#x20;the&#x20;system&#x20;will&#x20;decrease&#x20;the&#x20;physical&#x20;attack&#x20;surface&#x20;for&#x20;a&#x20;device&#x20;and&#x20;diminish&#x20;the&#x20;possible&#x20;vectors&#x20;to&#x20;introduce&#x20;malware.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/usb_storage.conf&#x20;&#x20;Add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;usb-storage&#x20;/bin/true&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;usb-storage&#x20;module:&#x20;&#x20;rmmod&#x20;usb-storage','[{\"cis\": [\"1.1.24\"]}, {\"cis_csc\": [\"8.4\", \"8.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6023,'Ensure&#x20;gpgcheck&#x20;is&#x20;globally&#x20;activated.','The&#x20;gpgcheck&#x20;option,&#x20;found&#x20;in&#x20;the&#x20;main&#x20;section&#x20;of&#x20;the&#x20;/etc/yum.conf&#x20;and&#x20;individual&#x20;/etc/yum/repos.d&#47;&#42;&#x20;files&#x20;determines&#x20;if&#x20;an&#x20;RPM&#x20;package&#039;s&#x20;signature&#x20;is&#x20;checked&#x20;prior&#x20;to&#x20;its&#x20;installation.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;an&#x20;RPM&#039;s&#x20;package&#x20;signature&#x20;is&#x20;always&#x20;checked&#x20;prior&#x20;to&#x20;installation&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;software&#x20;is&#x20;obtained&#x20;from&#x20;a&#x20;trusted&#x20;source.','','Edit&#x20;/etc/yum.conf&#x20;and&#x20;set&#x20;&#039;&#x20;gpgcheck=1&#x20;&#039;&#x20;in&#x20;the&#x20;[main]&#x20;section.&#x20;Edit&#x20;any&#x20;failing&#x20;files&#x20;in&#x20;/etc/yum.repos.d&#47;&#42;&#x20;and&#x20;set&#x20;all&#x20;instances&#x20;of&#x20;gpgcheck&#x20;to&#x20;&#039;&#x20;1&#x20;&#039;.','[{\"cis\": [\"1.2.3\"]}, {\"cis_csc\": [\"3.4\"]}, {\"pci_dss\": [\"6.2\"]}, {\"nist_800_53\": [\"SI.2\", \"SA.11\", \"SI.4\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"A1.2\", \"CC6.8\"]}, {\"cis_level\": [\"1\"]}]'),(6024,'Ensure&#x20;sudo&#x20;is&#x20;installed.','sudo&#x20;allows&#x20;a&#x20;permitted&#x20;user&#x20;to&#x20;execute&#x20;a&#x20;command&#x20;as&#x20;the&#x20;superuser&#x20;or&#x20;another&#x20;user,&#x20;as&#x20;specified&#x20;by&#x20;the&#x20;security&#x20;policy.&#x20;The&#x20;invoking&#x20;user&#039;s&#x20;real&#x20;&#40;not&#x20;effective&#41;&#x20;user&#x20;ID&#x20;is&#x20;used&#x20;to&#x20;determine&#x20;the&#x20;user&#x20;name&#x20;with&#x20;which&#x20;to&#x20;query&#x20;the&#x20;security&#x20;policy.','sudo&#x20;supports&#x20;a&#x20;plugin&#x20;architecture&#x20;for&#x20;security&#x20;policies&#x20;and&#x20;input/output&#x20;logging.&#x20;Third&#x20;parties&#x20;can&#x20;develop&#x20;and&#x20;distribute&#x20;their&#x20;own&#x20;policy&#x20;and&#x20;I/O&#x20;logging&#x20;plugins&#x20;to&#x20;work&#x20;seamlessly&#x20;with&#x20;the&#x20;sudo&#x20;front&#x20;end.&#x20;The&#x20;default&#x20;security&#x20;policy&#x20;is&#x20;sudoers,&#x20;which&#x20;is&#x20;configured&#x20;via&#x20;the&#x20;file&#x20;/etc/sudoers.&#x20;The&#x20;security&#x20;policy&#x20;determines&#x20;what&#x20;privileges,&#x20;if&#x20;any,&#x20;a&#x20;user&#x20;has&#x20;to&#x20;run&#x20;sudo.&#x20;The&#x20;policy&#x20;may&#x20;require&#x20;that&#x20;users&#x20;authenticate&#x20;themselves&#x20;with&#x20;a&#x20;password&#x20;or&#x20;another&#x20;authentication&#x20;mechanism.&#x20;If&#x20;authentication&#x20;is&#x20;required,&#x20;sudo&#x20;will&#x20;exit&#x20;if&#x20;the&#x20;user&#039;s&#x20;password&#x20;is&#x20;not&#x20;entered&#x20;within&#x20;a&#x20;configurable&#x20;time&#x20;limit.&#x20;This&#x20;limit&#x20;is&#x20;policy-specific.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;sudo.&#x20;#&#x20;yum&#x20;install&#x20;sudo','[{\"cis\": [\"1.3.1\"]}, {\"cis_csc\": [\"4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6025,'Ensure&#x20;sudo&#x20;commands&#x20;use&#x20;pty.','sudo&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;run&#x20;only&#x20;from&#x20;a&#x20;pseudo-pty','Attackers&#x20;can&#x20;run&#x20;a&#x20;malicious&#x20;program&#x20;using&#x20;sudo,&#x20;which&#x20;would&#x20;again&#x20;fork&#x20;a&#x20;background&#x20;process&#x20;that&#x20;remains&#x20;even&#x20;when&#x20;the&#x20;main&#x20;program&#x20;has&#x20;finished&#x20;executing.&#x20;This&#x20;can&#x20;be&#x20;mitigated&#x20;by&#x20;configuring&#x20;sudo&#x20;to&#x20;run&#x20;other&#x20;commands&#x20;only&#x20;from&#x20;a&#x20;pseudo-pty,&#x20;whether&#x20;I/O&#x20;logging&#x20;is&#x20;turned&#x20;on&#x20;or&#x20;not.','','Edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;or&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Defaults&#x20;use_pty','[{\"cis\": [\"1.3.2\"]}, {\"cis_csc\": [\"4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6026,'Ensure&#x20;sudo&#x20;log&#x20;file&#x20;exists.','sudo&#x20;can&#x20;use&#x20;a&#x20;custom&#x20;log&#x20;file','A&#x20;sudo&#x20;log&#x20;file&#x20;simplifies&#x20;auditing&#x20;of&#x20;sudo&#x20;commands','','Edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;or&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Defaults&#x20;logfile=&#039;&lt;PATH&#x20;TO&#x20;CUSTOM&#x20;LOG&#x20;FILE&gt;&#039;&#x20;&#x20;&#x20;Example:Defaults&#x20;&#x20;logfile=&quot;/var/log/sudo.log&quot;','[{\"cis\": [\"1.3.3\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6027,'Ensure&#x20;AIDE&#x20;is&#x20;installed.','AIDE&#x20;takes&#x20;a&#x20;snapshot&#x20;of&#x20;filesystem&#x20;state&#x20;including&#x20;modification&#x20;times,&#x20;permissions,&#x20;and&#x20;file&#x20;hashes&#x20;which&#x20;can&#x20;then&#x20;be&#x20;used&#x20;to&#x20;compare&#x20;against&#x20;the&#x20;current&#x20;state&#x20;of&#x20;the&#x20;filesystem&#x20;to&#x20;detect&#x20;modifications&#x20;to&#x20;the&#x20;system.','By&#x20;monitoring&#x20;the&#x20;filesystem&#x20;state&#x20;compromised&#x20;files&#x20;can&#x20;be&#x20;detected&#x20;to&#x20;prevent&#x20;or&#x20;limit&#x20;the&#x20;exposure&#x20;of&#x20;accidental&#x20;or&#x20;malicious&#x20;misconfigurations&#x20;or&#x20;modified&#x20;binaries.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;AIDE:&#x20;yum&#x20;install&#x20;aide&#x20;//&#x20;Configure&#x20;AIDE&#x20;as&#x20;appropriate&#x20;for&#x20;your&#x20;environment.&#x20;Consult&#x20;the&#x20;AIDE&#x20;documentation&#x20;for&#x20;options.&#x20;Initialize&#x20;AIDE:&#x20;aide&#x20;--init&#x20;&amp;&amp;&#x20;mv&#x20;/var/lib/aide/aide.db.new.gz&#x20;/var/lib/aide/aide.db.gz','[{\"cis\": [\"1.4.1\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"1\"]}]'),(6028,'Ensure&#x20;filesystem&#x20;integrity&#x20;is&#x20;regularly&#x20;checked.','Periodic&#x20;checking&#x20;of&#x20;the&#x20;filesystem&#x20;integrity&#x20;is&#x20;needed&#x20;to&#x20;detect&#x20;changes&#x20;to&#x20;the&#x20;filesystem.','Periodic&#x20;file&#x20;checking&#x20;allows&#x20;the&#x20;system&#x20;administrator&#x20;to&#x20;determine&#x20;on&#x20;a&#x20;regular&#x20;basis&#x20;if&#x20;critical&#x20;files&#x20;have&#x20;been&#x20;changed&#x20;in&#x20;an&#x20;unauthorized&#x20;fashion.','','If&#x20;cron&#x20;will&#x20;be&#x20;used&#x20;to&#x20;schedule&#x20;and&#x20;run&#x20;aide&#x20;check&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;crontab&#x20;-u&#x20;root&#x20;-e&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;crontab:&#x20;0&#x20;5&#x20;*&#x20;*&#x20;*&#x20;/usr/sbin/aide&#x20;--check&#x20;&#x20;//&#x20;Notes:&#x20;The&#x20;checking&#x20;in&#x20;this&#x20;recommendation&#x20;occurs&#x20;every&#x20;day&#x20;at&#x20;5am.&#x20;Alter&#x20;the&#x20;frequency&#x20;and&#x20;time&#x20;of&#x20;the&#x20;checks&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy.&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;If&#x20;aidecheck.service&#x20;and&#x20;aidecheck.timer&#x20;will&#x20;be&#x20;used&#x20;to&#x20;schedule&#x20;and&#x20;run&#x20;aide&#x20;check:&#x20;Create&#x20;or&#x20;edit&#x20;the&#x20;file&#x20;/etc/systemd/system/aidecheck.service&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;&#x20;[Unit]&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Description=Aide&#x20;Check&#x20;&#x20;&#x20;&#x20;[Service]&#x20;&#x20;&#x20;&#x20;&#x20;Type=simpleExecStart=/usr/sbin/aide&#x20;--check&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;[Install]&#x20;&#x20;&#x20;&#x20;&#x20;WantedBy=multi-user.target&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Create&#x20;or&#x20;edit&#x20;the&#x20;file&#x20;&#x20;/etc/systemd/system/aidecheck.timer&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;[Unit]&#x20;&#x20;&#x20;Description=Aide&#x20;check&#x20;every&#x20;day&#x20;at&#x20;5AM&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;[Timer]&#x20;&#x20;&#x20;&#x20;&#x20;OnCalendar=*-*-*&#x20;05:00:00&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Unit=aidecheck.service&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;[Install]&#x20;&#x20;&#x20;&#x20;&#x20;WantedBy=multi-user.target&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;commands:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/systemd/system/aidecheck.*&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;chmod&#x20;0644&#x20;/etc/systemd/system/aidecheck.*&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;daemon-reload&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;enable&#x20;aidecheck.service&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;aidecheck.timer&#x20;','[{\"cis\": [\"1.4.2\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"1\"]}]'),(6029,'Ensure&#x20;bootloader&#x20;password&#x20;is&#x20;set.','Setting&#x20;the&#x20;boot&#x20;loader&#x20;password&#x20;will&#x20;require&#x20;that&#x20;anyone&#x20;rebooting&#x20;the&#x20;system&#x20;must&#x20;enter&#x20;a&#x20;password&#x20;before&#x20;being&#x20;able&#x20;to&#x20;set&#x20;command&#x20;line&#x20;boot&#x20;parameters.','Requiring&#x20;a&#x20;boot&#x20;password&#x20;upon&#x20;execution&#x20;of&#x20;the&#x20;boot&#x20;loader&#x20;will&#x20;prevent&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;entering&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;the&#x20;boot&#x20;partition.&#x20;This&#x20;prevents&#x20;users&#x20;from&#x20;weakening&#x20;security&#x20;&#40;e.g.&#x20;turning&#x20;off&#x20;SELinux&#x20;at&#x20;boot&#x20;time&#41;.','','For&#x20;newergrub2based&#x20;systems&#x20;&#40;centOS/RHEL&#x20;7.2&#x20;and&#x20;newer&#41;:&#x20;Create&#x20;an&#x20;encrypted&#x20;password&#x20;with&#x20;grub2-setpassword:&#x20;#&#x20;grub2-setpassword&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;For&#x20;older&#x20;&#x20;grub2based&#x20;systems:&#x20;create&#x20;an&#x20;encrypted&#x20;password&#x20;with&#x20;grub2-mkpasswd-pbkdf2:&#x20;&#x20;&#x20;#&#x20;grub2-mkpasswd-pbkdf2&#x20;&#x20;&#x20;Enter&#x20;password:&#x20;&lt;password&gt;&#x20;&#x20;&#x20;&#x20;Reenter&#x20;password:&#x20;&lt;password&gt;&#x20;&#x20;&#x20;&#x20;&#x20;Your&#x20;PBKDF2&#x20;is&#x20;&lt;encrypted-password&gt;&#x20;&#x20;&#x20;&#x20;&#x20;Add&#x20;the&#x20;following&#x20;into&#x20;/etc/grub.d/01_users&#x20;or&#x20;a&#x20;custom&#x20;/etc/grub.d&#x20;configuration&#x20;file:&#x20;&#x20;cat&#x20;&lt;&lt;EOFset&#x20;superusers=&quot;&lt;username&gt;&quot;password_pbkdf2&#x20;&lt;username&gt;&#x20;&lt;encrypted-password&gt;EOF&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;&#x20;#&#x20;grub2-mkconfig&#x20;-o&#x20;/boot/grub2/grub.cfg','[{\"cis\": [\"1.5.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6030,'Ensure&#x20;permissions&#x20;on&#x20;bootloader&#x20;config&#x20;are&#x20;configured.','The&#x20;grub&#x20;configuration&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;boot&#x20;settings&#x20;and&#x20;passwords&#x20;for&#x20;unlocking&#x20;boot&#x20;options.&#x20;The&#x20;grub&#x20;configuration&#x20;is&#x20;usually&#x20;located&#x20;at&#x20;/boot/grub2/grub.cfg&#x20;and&#x20;linked&#x20;as&#x20;/etc/grub2.cfg&#x20;.&#x20;&#x20;On&#x20;newer&#x20;grub2&#x20;systems&#x20;the&#x20;encrypted&#x20;bootloader&#x20;password&#x20;is&#x20;contained&#x20;in&#x20;/boot/grub2/user.cfg','Setting&#x20;the&#x20;permissions&#x20;to&#x20;read&#x20;and&#x20;write&#x20;for&#x20;root&#x20;only&#x20;prevents&#x20;non-root&#x20;users&#x20;from&#x20;seeing&#x20;the&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;them.&#x20;Non-root&#x20;users&#x20;who&#x20;read&#x20;the&#x20;boot&#x20;parameters&#x20;may&#x20;be&#x20;able&#x20;to&#x20;identify&#x20;weaknesses&#x20;in&#x20;security&#x20;upon&#x20;boot&#x20;and&#x20;be&#x20;able&#x20;to&#x20;exploit&#x20;them.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;your&#x20;grub&#x20;configuration:&#x20;#&#x20;chown&#x20;root:root&#x20;/boot/grub2/grub.cfg&#x20;&#x20;&#x20;&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/boot/grub2/grub.cfg&#x20;&#x20;#&#x20;chown&#x20;root:root&#x20;/boot/grub2/user.cfg&#x20;&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/boot/grub2/user.cfg','[{\"cis\": [\"1.5.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6031,'Ensure&#x20;authentication&#x20;required&#x20;for&#x20;single&#x20;user&#x20;mode.','Single&#x20;user&#x20;mode&#x20;&#40;rescue&#x20;mode&#41;&#x20;is&#x20;used&#x20;for&#x20;recovery&#x20;when&#x20;the&#x20;system&#x20;detects&#x20;an&#x20;issue&#x20;during&#x20;boot&#x20;or&#x20;by&#x20;manual&#x20;selection&#x20;from&#x20;the&#x20;bootloader.','Requiring&#x20;authentication&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;&#40;rescue&#x20;mode&#41;&#x20;prevents&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;rebooting&#x20;the&#x20;system&#x20;into&#x20;single&#x20;user&#x20;to&#x20;gain&#x20;root&#x20;privileges&#x20;without&#x20;credentials.','','Edit&#x20;/usr/lib/systemd/system/rescue.service&#x20;and&#x20;/usr/lib/systemd/system/emergency.service&#x20;and&#x20;set&#x20;ExecStart&#x20;to&#x20;use&#x20;/sbin/sulogin&#x20;or&#x20;/usr/sbin/sulogin:&#x20;ExecStart=-/bin/sh&#x20;-c&#x20;&quot;/sbin/sulogin;&#x20;/usr/bin/systemctl&#x20;--fail&#x20;--no-block&#x20;default&quot;&#x20;','[{\"cis\": [\"1.5.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6032,'Ensure&#x20;core&#x20;dumps&#x20;are&#x20;restricted.','A&#x20;core&#x20;dump&#x20;is&#x20;the&#x20;memory&#x20;of&#x20;an&#x20;executable&#x20;program.&#x20;It&#x20;is&#x20;generally&#x20;used&#x20;to&#x20;determine&#x20;why&#x20;a&#x20;program&#x20;aborted.&#x20;It&#x20;can&#x20;also&#x20;be&#x20;used&#x20;to&#x20;glean&#x20;confidential&#x20;information&#x20;from&#x20;a&#x20;core&#x20;file.','Setting&#x20;a&#x20;hard&#x20;limit&#x20;on&#x20;core&#x20;dumps&#x20;prevents&#x20;users&#x20;from&#x20;overriding&#x20;the&#x20;soft&#x20;variable.&#x20;If&#x20;core&#x20;dumps&#x20;are&#x20;required,&#x20;consider&#x20;setting&#x20;limits&#x20;for&#x20;user&#x20;groups&#x20;&#40;see&#x20;limits.conf&#41;.&#x20;In&#x20;addition,&#x20;setting&#x20;the&#x20;fs.suid_dumpable&#x20;variable&#x20;to&#x20;0&#x20;will&#x20;prevent&#x20;setuid&#x20;programs&#x20;from&#x20;dumping&#x20;core.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;/etc/security/limits.conf&#x20;or&#x20;a&#x20;/etc/security/limits.d&#47;&#42;&#x20;file:&#x20;*&#x20;hard&#x20;core&#x20;0.&#x20;Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;fs.suid_dumpable&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;fs.suid_dumpable=0','[{\"cis\": [\"1.6.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6033,'Ensure&#x20;XD/NX&#x20;support&#x20;is&#x20;enabled.','Recent&#x20;processors&#x20;in&#x20;the&#x20;x86&#x20;family&#x20;support&#x20;the&#x20;ability&#x20;to&#x20;prevent&#x20;code&#x20;execution&#x20;on&#x20;a&#x20;per&#x20;memory&#x20;page&#x20;basis.&#x20;Generically&#x20;and&#x20;on&#x20;AMD&#x20;processors,&#x20;this&#x20;ability&#x20;is&#x20;called&#x20;No&#x20;Execute&#x20;&#40;NX&#41;,&#x20;while&#x20;on&#x20;Intel&#x20;processors&#x20;it&#x20;is&#x20;called&#x20;Execute&#x20;Disable&#x20;&#40;XD&#41;.&#x20;This&#x20;ability&#x20;can&#x20;help&#x20;prevent&#x20;exploitation&#x20;of&#x20;buffer&#x20;overflow&#x20;vulnerabilities&#x20;and&#x20;should&#x20;be&#x20;activated&#x20;whenever&#x20;possible.&#x20;Extra&#x20;steps&#x20;must&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;that&#x20;this&#x20;protection&#x20;is&#x20;enabled,&#x20;particularly&#x20;on&#x20;32-bit&#x20;x86&#x20;systems.&#x20;Other&#x20;processors,&#x20;such&#x20;as&#x20;Itanium&#x20;and&#x20;POWER,&#x20;have&#x20;included&#x20;such&#x20;support&#x20;since&#x20;inception&#x20;and&#x20;the&#x20;standard&#x20;kernel&#x20;for&#x20;those&#x20;platforms&#x20;supports&#x20;the&#x20;feature.','Enabling&#x20;any&#x20;feature&#x20;that&#x20;can&#x20;protect&#x20;against&#x20;buffer&#x20;overflow&#x20;attacks&#x20;enhances&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.','','On&#x20;32&#x20;bit&#x20;systems&#x20;install&#x20;a&#x20;kernel&#x20;with&#x20;PAE&#x20;support,&#x20;no&#x20;installation&#x20;is&#x20;required&#x20;on&#x20;64&#x20;bit&#x20;systems:&#x20;If&#x20;necessary&#x20;configure&#x20;your&#x20;bootloader&#x20;to&#x20;load&#x20;the&#x20;new&#x20;kernel&#x20;and&#x20;reboot&#x20;the&#x20;system.&#x20;You&#x20;may&#x20;need&#x20;to&#x20;enable&#x20;NX&#x20;or&#x20;XD&#x20;support&#x20;in&#x20;your&#x20;bios.','[{\"cis\": [\"1.6.2\"]}, {\"cis_csc\": [\"8.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6034,'Ensure&#x20;address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;enabled.','Address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;an&#x20;exploit&#x20;mitigation&#x20;technique&#x20;which&#x20;randomly&#x20;arranges&#x20;the&#x20;address&#x20;space&#x20;of&#x20;key&#x20;data&#x20;areas&#x20;of&#x20;a&#x20;process.','Randomly&#x20;placing&#x20;virtual&#x20;memory&#x20;regions&#x20;will&#x20;make&#x20;it&#x20;difficult&#x20;to&#x20;write&#x20;memory&#x20;page&#x20;exploits&#x20;as&#x20;the&#x20;memory&#x20;placement&#x20;will&#x20;be&#x20;consistently&#x20;shifting.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;kernel.randomize_va_space&#x20;=&#x20;2.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;kernel.randomize_va_space=2','[{\"cis\": [\"1.6.3\"]}, {\"cis_csc\": [\"8.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6035,'Ensure&#x20;prelink&#x20;is&#x20;disabled.','prelink&#x20;is&#x20;a&#x20;program&#x20;that&#x20;modifies&#x20;ELF&#x20;shared&#x20;libraries&#x20;and&#x20;ELF&#x20;dynamically&#x20;linked&#x20;binaries&#x20;in&#x20;such&#x20;a&#x20;way&#x20;that&#x20;the&#x20;time&#x20;needed&#x20;for&#x20;the&#x20;dynamic&#x20;linker&#x20;to&#x20;perform&#x20;relocations&#x20;at&#x20;startup&#x20;significantly&#x20;decreases.','The&#x20;prelinking&#x20;feature&#x20;can&#x20;interfere&#x20;with&#x20;the&#x20;operation&#x20;of&#x20;AIDE,&#x20;because&#x20;it&#x20;changes&#x20;binaries.&#x20;Prelinking&#x20;can&#x20;also&#x20;increase&#x20;the&#x20;vulnerability&#x20;of&#x20;the&#x20;system&#x20;if&#x20;a&#x20;malicious&#x20;user&#x20;is&#x20;able&#x20;to&#x20;compromise&#x20;a&#x20;common&#x20;library&#x20;such&#x20;as&#x20;libc.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;restore&#x20;binaries&#x20;to&#x20;normal:&#x20;#&#x20;prelink&#x20;-ua&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;prelink:&#x20;#&#x20;yum&#x20;remove&#x20;prelink','[{\"cis\": [\"1.6.4\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6036,'Ensure&#x20;SELinux&#x20;is&#x20;installed.','SELinux&#x20;provides&#x20;Mandatory&#x20;Access&#x20;Controls.','Without&#x20;a&#x20;Mandatory&#x20;Access&#x20;Control&#x20;system&#x20;installed&#x20;only&#x20;the&#x20;default&#x20;Discretionary&#x20;Access&#x20;Control&#x20;system&#x20;will&#x20;be&#x20;available.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;libselinux:&#x20;#&#x20;yum&#x20;install&#x20;libselinux','[{\"cis\": [\"1.7.1.1\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6037,'Ensure&#x20;SELinux&#x20;is&#x20;not&#x20;disabled&#x20;in&#x20;bootloader&#x20;configuration.','Configure&#x20;SELINUX&#x20;to&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;and&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;not&#x20;been&#x20;overwritten&#x20;by&#x20;the&#x20;grub&#x20;boot&#x20;parameters.','SELinux&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;your&#x20;grub&#x20;configuration&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;not&#x20;overridden.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;remove&#x20;all&#x20;instances&#x20;of&#x20;selinux=0&#x20;and&#x20;enforcing=0&#x20;from&#x20;all&#x20;CMDLINE_LINUX&#x20;parameters:&#x20;GRUB_CMDLINE_LINUX_DEFAULT=&quot;quiet&quot;&#x20;GRUB_CMDLINE_LINUX=&quot;&quot;&#x20;&#x20;||&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;grub2-mkconfig&#x20;-o&#x20;/boot/grub2/grub.cfg','[{\"cis\": [\"1.7.1.2\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6038,'Ensure&#x20;SELinux&#x20;policy&#x20;is&#x20;configured.','Configure&#x20;SELinux&#x20;to&#x20;meet&#x20;or&#x20;exceed&#x20;the&#x20;default&#x20;targeted&#x20;policy,&#x20;which&#x20;constrains&#x20;daemons&#x20;and&#x20;system&#x20;software&#x20;only.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;at&#x20;least&#x20;the&#x20;default&#x20;recommendations&#x20;are&#x20;met.','','Edit&#x20;the&#x20;/etc/selinux/config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;SELINUXTYPE&#x20;parameter:&#x20;SELINUXTYPE=targeted','[{\"cis\": [\"1.7.1.3\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6039,'Ensure&#x20;the&#x20;SELinux&#x20;mode&#x20;is&#x20;enforcing&#x20;or&#x20;permissive.','SELinux&#x20;can&#x20;run&#x20;in&#x20;one&#x20;of&#x20;three&#x20;modes:&#x20;disabled,&#x20;permissive,&#x20;or&#x20;enforcing:&#x20;&#x20;Enforcing&#x20;-&#x20;Is&#x20;the&#x20;default,&#x20;and&#x20;recommended,&#x20;mode&#x20;of&#x20;operation;&#x20;in&#x20;enforcing&#x20;mode&#x20;SELinux&#x20;operates&#x20;normally,&#x20;enforcing&#x20;the&#x20;loaded&#x20;security&#x20;policy&#x20;on&#x20;the&#x20;entire&#x20;system.&#x20;&#x20;Permissive&#x20;-&#x20;The&#x20;system&#x20;acts&#x20;as&#x20;if&#x20;SELinux&#x20;is&#x20;enforcing&#x20;the&#x20;loaded&#x20;security&#x20;policy,&#x20;including&#x20;labeling&#x20;objects&#x20;and&#x20;emitting&#x20;access&#x20;denial&#x20;entries&#x20;in&#x20;the&#x20;logs,&#x20;but&#x20;it&#x20;does&#x20;not&#x20;actually&#x20;deny&#x20;any&#x20;operations.&#x20;While&#x20;not&#x20;recommended&#x20;for&#x20;production&#x20;systems,&#x20;permissive&#x20;mode&#x20;can&#x20;be&#x20;helpful&#x20;for&#x20;SELinux&#x20;policy&#x20;development.&#x20;&#x20;&#x20;Disabled&#x20;-Is&#x20;strongly&#x20;discouraged;&#x20;not&#x20;only&#x20;does&#x20;the&#x20;system&#x20;avoid&#x20;enforcing&#x20;the&#x20;SELinux&#x20;policy,&#x20;it&#x20;also&#x20;avoids&#x20;labeling&#x20;any&#x20;persistent&#x20;objects&#x20;such&#x20;as&#x20;files,&#x20;making&#x20;it&#x20;difficult&#x20;to&#x20;enable&#x20;SELinux&#x20;in&#x20;the&#x20;future','Running&#x20;SELinux&#x20;in&#x20;disabled&#x20;modeis&#x20;strongly&#x20;discouraged;&#x20;not&#x20;only&#x20;does&#x20;the&#x20;system&#x20;avoid&#x20;enforcing&#x20;the&#x20;SELinux&#x20;policy,&#x20;it&#x20;also&#x20;avoids&#x20;labeling&#x20;any&#x20;persistent&#x20;objects&#x20;such&#x20;as&#x20;files,&#x20;making&#x20;it&#x20;difficult&#x20;to&#x20;enable&#x20;SELinux&#x20;in&#x20;the&#x20;future.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;SELinux&#039;s&#x20;running&#x20;mode:&#x20;To&#x20;set&#x20;SELinux&#x20;mode&#x20;to&#x20;Enforcing:&#x20;#&#x20;setenforce&#x20;1&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;To&#x20;set&#x20;SELinux&#x20;mode&#x20;to&#x20;Permissive:&#x20;#&#x20;setenforce&#x20;0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Edit&#x20;the&#x20;/etc/selinux/config&#x20;&#x20;file&#x20;to&#x20;set&#x20;the&#x20;SELINUX&#x20;parameter:&#x20;For&#x20;Enforcing&#x20;mode:&#x20;SELINUX=enforcing&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;For&#x20;Permissive&#x20;mode:&#x20;&#x20;SELINUX=permissive','[{\"cis\": [\"1.7.1.4\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6040,'Ensure&#x20;no&#x20;unconfined&#x20;services&#x20;exist.','Unconfined&#x20;processes&#x20;run&#x20;in&#x20;unconfined&#x20;domains','For&#x20;unconfined&#x20;processes,&#x20;SELinux&#x20;policy&#x20;rules&#x20;are&#x20;applied,&#x20;but&#x20;policy&#x20;rules&#x20;exist&#x20;that&#x20;allow&#x20;processes&#x20;running&#x20;in&#x20;unconfined&#x20;domains&#x20;almost&#x20;all&#x20;access.&#x20;Processes&#x20;running&#x20;in&#x20;unconfined&#x20;domains&#x20;fall&#x20;back&#x20;to&#x20;using&#x20;DAC&#x20;rules&#x20;exclusively.&#x20;If&#x20;an&#x20;unconfined&#x20;process&#x20;is&#x20;compromised,&#x20;SELinux&#x20;does&#x20;not&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;gaining&#x20;access&#x20;to&#x20;system&#x20;resources&#x20;and&#x20;data,&#x20;but&#x20;of&#x20;course,&#x20;DAC&#x20;rules&#x20;are&#x20;still&#x20;used.&#x20;SELinux&#x20;is&#x20;a&#x20;security&#x20;enhancement&#x20;on&#x20;top&#x20;of&#x20;DAC&#x20;rules&#x20;&ndash;&#x20;it&#x20;does&#x20;not&#x20;replace&#x20;them','','Investigate&#x20;any&#x20;unconfined&#x20;processes&#x20;found&#x20;during&#x20;the&#x20;audit&#x20;action.&#x20;They&#x20;may&#x20;need&#x20;to&#x20;have&#x20;an&#x20;existing&#x20;security&#x20;context&#x20;assigned&#x20;to&#x20;them&#x20;or&#x20;a&#x20;policy&#x20;built&#x20;for&#x20;them.','[{\"cis\": [\"1.7.1.6\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6041,'Ensure&#x20;SETroubleshoot&#x20;is&#x20;not&#x20;installed.','The&#x20;SETroubleshoot&#x20;service&#x20;notifies&#x20;desktop&#x20;users&#x20;of&#x20;SELinux&#x20;denials&#x20;through&#x20;a&#x20;user-friendly&#x20;interface.&#x20;The&#x20;service&#x20;provides&#x20;important&#x20;information&#x20;around&#x20;configuration&#x20;errors,&#x20;unauthorized&#x20;intrusions,&#x20;and&#x20;other&#x20;potential&#x20;errors.','The&#x20;SETroubleshoot&#x20;service&#x20;is&#x20;an&#x20;unnecessary&#x20;daemon&#x20;to&#x20;have&#x20;running&#x20;on&#x20;a&#x20;server,&#x20;especially&#x20;if&#x20;X&#x20;Windows&#x20;is&#x20;disabled.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;setroubleshoot:&#x20;#&#x20;yum&#x20;remove&#x20;setroubleshoot','[{\"cis\": [\"1.7.1.7\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6042,'Ensure&#x20;the&#x20;MCS&#x20;Translation&#x20;Service&#x20;&#40;mcstrans&#41;&#x20;is&#x20;not&#x20;installed.','The&#x20;mcstransd&#x20;daemon&#x20;provides&#x20;category&#x20;label&#x20;information&#x20;to&#x20;client&#x20;processes&#x20;requesting&#x20;information.&#x20;The&#x20;label&#x20;translations&#x20;are&#x20;defined&#x20;in&#x20;/etc/selinux/targeted/setrans.conf','Since&#x20;this&#x20;service&#x20;is&#x20;not&#x20;used&#x20;very&#x20;often,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;amount&#x20;of&#x20;potentially&#x20;vulnerable&#x20;code&#x20;running&#x20;on&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;mcstrans:&#x20;#&#x20;yum&#x20;remove&#x20;mcstrans','[{\"cis\": [\"1.7.1.8\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6043,'Ensure&#x20;message&#x20;of&#x20;the&#x20;day&#x20;is&#x20;configured&#x20;properly.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/motd&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m,&#x20;&#x0d;,&#x20;s,&#x20;v&#x20;&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;If&#x20;the&#x20;motd&#x20;is&#x20;not&#x20;used,&#x20;this&#x20;file&#x20;can&#x20;be&#x20;removed.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;motd&#x20;file:&#x20;#&#x20;rm&#x20;/etc/motd','[{\"cis\": [\"1.8.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}, {\"cis_level\": [\"1\"]}]'),(6044,'Ensure&#x20;local&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version&#x20;-or&#x20;the&#x20;operating&#x20;system&#039;s&#x20;name.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m,&#x20;&#x0d;,&#x20;s,&#x20;or&#x20;v:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue','[{\"cis\": [\"1.8.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}, {\"cis_level\": [\"1\"]}]'),(6045,'Ensure&#x20;remote&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m,&#x20;&#x0d;,&#x20;s,&#x20;or&#x20;v:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue.net','[{\"cis\": [\"1.8.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}, {\"cis_level\": [\"1\"]}]'),(6046,'Ensure&#x20;permissions&#x20;on&#x20;/etc/motd&#x20;are&#x20;configured.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.','If&#x20;the&#x20;/etc/motd&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/motd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/motd&#x20;#&#x20;chmod&#x20;644&#x20;/etc/motd','[{\"cis\": [\"1.8.1.4\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"1\"]}]'),(6047,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue&#x20;are&#x20;configured.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.','If&#x20;the&#x20;/etc/issue&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue','[{\"cis\": [\"1.8.1.5\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"1\"]}]'),(6048,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue.net&#x20;are&#x20;configured.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.','If&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue.net:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue.net&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue.net','[{\"cis\": [\"1.8.1.6\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"1\"]}]'),(6049,'Ensure&#x20;updates,&#x20;patches,&#x20;and&#x20;additional&#x20;security&#x20;software&#x20;are&#x20;installed.','Periodically&#x20;patches&#x20;are&#x20;released&#x20;for&#x20;included&#x20;software&#x20;either&#x20;due&#x20;to&#x20;security&#x20;flaws&#x20;or&#x20;to&#x20;include&#x20;additional&#x20;functionality.','Newer&#x20;patches&#x20;may&#x20;contain&#x20;security&#x20;enhancements&#x20;that&#x20;would&#x20;not&#x20;be&#x20;available&#x20;through&#x20;the&#x20;latest&#x20;full&#x20;update.&#x20;As&#x20;a&#x20;result,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;latest&#x20;software&#x20;patches&#x20;be&#x20;used&#x20;to&#x20;take&#x20;advantage&#x20;of&#x20;the&#x20;latest&#x20;functionality.&#x20;As&#x20;with&#x20;any&#x20;software&#x20;installation,&#x20;organizations&#x20;need&#x20;to&#x20;determine&#x20;if&#x20;a&#x20;given&#x20;update&#x20;meets&#x20;their&#x20;requirements&#x20;and&#x20;verify&#x20;the&#x20;compatibility&#x20;and&#x20;supportability&#x20;of&#x20;any&#x20;additional&#x20;software&#x20;against&#x20;the&#x20;update&#x20;revision&#x20;that&#x20;is&#x20;selected.','','Use&#x20;your&#x20;package&#x20;manager&#x20;to&#x20;update&#x20;all&#x20;packages&#x20;on&#x20;the&#x20;system&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;The&#x20;following&#x20;command&#x20;will&#x20;install&#x20;all&#x20;available&#x20;packages&#x20;#&#x20;yum&#x20;update&#x20;&#x20;','[{\"cis\": [\"1.9\"]}, {\"cis_csc\": [\"3.4\", \"3.5\"]}, {\"pci_dss\": [\"5.2\"]}, {\"nist_800_53\": [\"AU.6\", \"SI.4\"]}, {\"gpg_13\": [\"4.2\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"A1.2\"]}, {\"cis_level\": [\"1\"]}]'),(6050,'Ensure&#x20;GDM&#x20;login&#x20;banner&#x20;is&#x20;configured.','GDM&#x20;is&#x20;the&#x20;GNOME&#x20;Display&#x20;Manager&#x20;which&#x20;handles&#x20;graphical&#x20;login&#x20;for&#x20;GNOME&#x20;based&#x20;systems.','If&#x20;a&#x20;graphical&#x20;login&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;a&#x20;graphical&#x20;login&#x20;is&#x20;required,&#x20;last&#x20;logged&#x20;in&#x20;user&#x20;display&#x20;should&#x20;be&#x20;disabled,&#x20;and&#x20;a&#x20;warning&#x20;banner&#x20;should&#x20;be&#x20;configured.&#x20;Displaying&#x20;the&#x20;last&#x20;logged&#x20;in&#x20;user&#x20;eliminates&#x20;half&#x20;of&#x20;the&#x20;Userid/Password&#x20;equation&#x20;that&#x20;an&#x20;unauthorized&#x20;person&#x20;would&#x20;need&#x20;to&#x20;log&#x20;on.&#x20;Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;gdm:&#x20;#&#x20;yum&#x20;remove&#x20;gdm&#x20;OR&#x20;If&#x20;GDM&#x20;is&#x20;required:&#x20;Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/dconf/profile/gdm&#x20;and&#x20;add&#x20;the&#x20;following:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;user-db:user&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;system-db:gdm&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;file-db:/usr/share/gdm/greeter-dconf-defaults&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/dconf/db/gdm.d/&#x20;&#x20;and&#x20;add&#x20;the&#x20;following:&#x20;&#40;This&#x20;is&#x20;typically&#x20;/etc/dconf/db/gdm.d/01-banner-message&#41;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;[org/gnome/login-screen]&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;banner-message-enable=true&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;banner-message-text=&#039;&lt;banner&#x20;message&gt;&#039;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Example&#x20;Banner&#x20;Text:&#x20;&#x20;&#039;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&#x20;&#039;Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/dconf/db/gdm.d/and&#x20;add&#x20;the&#x20;following:&#x20;&#40;This&#x20;is&#x20;typically&#x20;/etc/dconf/db/gdm.d/00-login-screen&#41;&#x20;&#x20;&#x20;&#x20;&#x20;[org/gnome/login-screen]&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;Do&#x20;not&#x20;show&#x20;the&#x20;user&#x20;list&#x20;&#x20;&#x20;&#x20;&#x20;disable-user-list=true&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;system&#x20;databases:&#x20;&#x20;#&#x20;dconf&#x20;update','[{\"cis\": [\"1.10\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}, {\"cis_level\": [\"1\"]}]'),(6051,'Ensure&#x20;daytime&#x20;services&#x20;are&#x20;not&#x20;enabled.','The&#x20;eXtended&#x20;InterNET&#x20;Daemon&#x20;&#40;&#x20;xinetd&#x20;&#41;&#x20;is&#x20;an&#x20;open&#x20;source&#x20;super&#x20;daemon&#x20;that&#x20;replaced&#x20;the&#x20;original&#x20;inetd&#x20;daemon.&#x20;The&#x20;xinetd&#x20;daemon&#x20;listens&#x20;for&#x20;well&#x20;known&#x20;services&#x20;and&#x20;dispatches&#x20;the&#x20;appropriate&#x20;daemon&#x20;to&#x20;properly&#x20;respond&#x20;to&#x20;service&#x20;requests.','If&#x20;there&#x20;are&#x20;no&#x20;xinetd&#x20;services&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;area&#x20;of&#x20;the&#x20;system.&#x20;Note:&#x20;If&#x20;an&#x20;xinetd&#x20;service&#x20;or&#x20;services&#x20;are&#x20;required,&#x20;ensure&#x20;that&#x20;any&#x20;xinetd&#x20;service&#x20;not&#x20;required&#x20;is&#x20;stopped&#x20;and&#x20;disabled','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;xinetd:&#x20;#&#x20;yum&#x20;remove&#x20;xinetd','[{\"cis\": [\"2.1.1\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6052,'Ensure&#x20;time&#x20;synchronization&#x20;is&#x20;in&#x20;use.','System&#x20;time&#x20;should&#x20;be&#x20;synchronized&#x20;between&#x20;all&#x20;systems&#x20;in&#x20;an&#x20;environment.&#x20;This&#x20;is&#x20;typically&#x20;done&#x20;by&#x20;establishing&#x20;an&#x20;authoritative&#x20;time&#x20;server&#x20;or&#x20;set&#x20;of&#x20;servers&#x20;and&#x20;having&#x20;all&#x20;systems&#x20;synchronize&#x20;their&#x20;clocks&#x20;to&#x20;them.','Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;like&#x20;Kerberos&#x20;and&#x20;also&#x20;ensures&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise,&#x20;which&#x20;aids&#x20;in&#x20;forensic&#x20;investigations.','','Run&#x20;One&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;install&#x20;chrony&#x20;or&#x20;NTP:&#x20;to&#x20;install&#x20;chrony&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;yum&#x20;install&#x20;chrony&#x20;OR&#x20;to&#x20;install&#x20;ntp:&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;yum&#x20;install&#x20;ntp','[{\"cis\": [\"2.2.1.1\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"10.4\"]}, {\"nist_800_53\": [\"AU.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"1\"]}]'),(6053,'Ensure&#x20;chrony&#x20;is&#x20;configured.','chrony&#x20;is&#x20;a&#x20;daemon&#x20;which&#x20;implements&#x20;the&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;&#x20;and&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;chrony&#x20;can&#x20;be&#x20;found&#x20;at&#x20;http://chrony.tuxfamily.org/.&#x20;chrony&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.','If&#x20;chrony&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.&#x20;Note:&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;chrony&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system.','','1&#41;&#x20;Add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;to&#x20;/etc/chrony.conf&#x20;as&#x20;appropriate:&#x20;server&#x20;&lt;remote-server&gt;.&#x20;2&#41;&#x20;Add&#x20;or&#x20;edit&#x20;the&#x20;OPTIONS&#x20;in&#x20;/etc/sysconfig/chronyd&#x20;to&#x20;include&#x20;&#039;-u&#x20;chrony&#039;:OPTIONS=&quot;-u&#x20;chrony&quot;','[{\"cis\": [\"2.2.1.2\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6054,'Ensure&#x20;ntp&#x20;is&#x20;configured.','ntp&#x20;is&#x20;a&#x20;daemon&#x20;which&#x20;implements&#x20;the&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;.&#x20;It&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;NTP&#x20;can&#x20;be&#x20;found&#x20;at&#x20;https://www.ntp.org.&#x20;ntp&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.','If&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.','','1&#41;&#x20;Add&#x20;or&#x20;edit&#x20;restrict&#x20;lines&#x20;in&#x20;/etc/ntp.conf&#x20;to&#x20;match&#x20;the&#x20;following:&#x20;-&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;and&#x20;-&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery.&#x20;2&#41;&#x20;Add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;to&#x20;/etc/ntp.conf&#x20;as&#x20;appropriate:&#x20;server&#x20;&lt;remote-server&gt;.&#x20;3&#41;&#x20;Add&#x20;or&#x20;edit&#x20;the&#x20;OPTIONS&#x20;in&#x20;/etc/sysconfig/ntpd&#x20;to&#x20;include&#x20;&#039;&#x20;-u&#x20;ntp:ntp&#x20;&#039;:&#x20;-&#x20;OPTIONS=&#039;-u&#x20;ntp:ntp&#039;','[{\"cis\": [\"2.2.1.3\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6055,'&#x20;Ensure&#x20;X11&#x20;Server&#x20;components&#x20;are&#x20;not&#x20;installed.','The&#x20;X&#x20;Window&#x20;System&#x20;provides&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;where&#x20;users&#x20;can&#x20;have&#x20;multiple&#x20;windows&#x20;in&#x20;which&#x20;to&#x20;run&#x20;programs&#x20;and&#x20;various&#x20;add&#x20;on.&#x20;The&#x20;X&#x20;Windows&#x20;system&#x20;is&#x20;typically&#x20;used&#x20;on&#x20;workstations&#x20;where&#x20;users&#x20;login,&#x20;but&#x20;not&#x20;on&#x20;servers&#x20;where&#x20;users&#x20;typically&#x20;do&#x20;not&#x20;login.','Unless&#x20;your&#x20;organization&#x20;specifically&#x20;requires&#x20;graphical&#x20;login&#x20;access&#x20;via&#x20;X&#x20;Windows,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;X&#x20;Windows&#x20;System&#x20;packages:&#x20;#&#x20;yum&#x20;remove&#x20;xorg-x11*','[{\"cis\": [\"2.2.2\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6056,'&#x20;Ensure&#x20;Avahi&#x20;Server&#x20;is&#x20;not&#x20;installed.','Avahi&#x20;is&#x20;a&#x20;free&#x20;zeroconf&#x20;implementation,&#x20;including&#x20;a&#x20;system&#x20;for&#x20;multicast&#x20;DNS/DNS-SD&#x20;service&#x20;discovery.&#x20;Avahi&#x20;allows&#x20;programs&#x20;to&#x20;publish&#x20;and&#x20;discover&#x20;services&#x20;and&#x20;hosts&#x20;running&#x20;on&#x20;a&#x20;local&#x20;network&#x20;with&#x20;no&#x20;specific&#x20;configuration.&#x20;For&#x20;example,&#x20;a&#x20;user&#x20;can&#x20;plug&#x20;a&#x20;computer&#x20;into&#x20;a&#x20;network&#x20;and&#x20;Avahi&#x20;automatically&#x20;finds&#x20;printers&#x20;to&#x20;print&#x20;to,&#x20;files&#x20;to&#x20;look&#x20;at&#x20;and&#x20;people&#x20;to&#x20;talk&#x20;to,&#x20;as&#x20;well&#x20;as&#x20;network&#x20;services&#x20;running&#x20;on&#x20;the&#x20;machine.','Automatic&#x20;discovery&#x20;of&#x20;network&#x20;services&#x20;is&#x20;not&#x20;normally&#x20;required&#x20;for&#x20;system&#x20;functionality.&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;remove&#x20;this&#x20;package&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;stop,&#x20;mask&#x20;and&#x20;remove&#x20;avahi-autoipd&#x20;and&#x20;avahi:&#x20;#&#x20;systemctl&#x20;stop&#x20;avahi-daemon.socket&#x20;avahi-daemon.service;&#x20;#&#x20;yum&#x20;remove&#x20;avahi-autoipd&#x20;avahi','[{\"cis\": [\"2.2.3\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6057,'Ensure&#x20;CUPS&#x20;is&#x20;not&#x20;installed.','The&#x20;Common&#x20;Unix&#x20;Print&#x20;System&#x20;&#40;CUPS&#41;&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;print&#x20;to&#x20;both&#x20;local&#x20;and&#x20;network&#x20;printers.&#x20;A&#x20;system&#x20;running&#x20;CUPS&#x20;can&#x20;also&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;remote&#x20;systems&#x20;and&#x20;print&#x20;them&#x20;to&#x20;local&#x20;printers.&#x20;It&#x20;also&#x20;provides&#x20;a&#x20;web&#x20;based&#x20;remote&#x20;administration&#x20;capability.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;need&#x20;to&#x20;print&#x20;jobs&#x20;or&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;systems,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;CUPS&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.&#x20;Disabling&#x20;CUPS&#x20;will&#x20;prevent&#x20;printing&#x20;from&#x20;the&#x20;system,&#x20;a&#x20;common&#x20;task&#x20;for&#x20;workstation&#x20;systems.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;cups:&#x20;#&#x20;yum&#x20;remove&#x20;cups','[{\"cis\": [\"2.2.4\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6058,'Ensure&#x20;DHCP&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;Dynamic&#x20;Host&#x20;Configuration&#x20;Protocol&#x20;&#40;DHCP&#41;&#x20;is&#x20;a&#x20;service&#x20;that&#x20;allows&#x20;machines&#x20;to&#x20;be&#x20;dynamically&#x20;assigned&#x20;IP&#x20;addresses.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;set&#x20;up&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DHCP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;the&#x20;dhcp&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;dhcpd:&#x20;#&#x20;yum&#x20;remove&#x20;dhcp','[{\"cis\": [\"2.2.5\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6059,'Ensure&#x20;LDAP&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;slapd:&#x20;#&#x20;yum&#x20;remove&#x20;openldap-servers','[{\"cis\": [\"2.2.6\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6060,'Ensure&#x20;nfs-utils&#x20;is&#x20;not&#x20;installed&#x20;or&#x20;the&#x20;nfs-server&#x20;service&#x20;is&#x20;masked.','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;require&#x20;network&#x20;shares,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;nfs-utils&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nfs-utils:&#x20;#&#x20;yum&#x20;remove&#x20;nfs-utils;&#x20;OR&#x20;if&#x20;the&#x20;nfs-package&#x20;is&#x20;required&#x20;as&#x20;a&#x20;dependency:&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;the&#x20;nfs-server&#x20;service:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;nfs-server','[{\"cis\": [\"2.2.7\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6061,'Ensure&#x20;rpcbind&#x20;is&#x20;not&#x20;installed&#x20;or&#x20;the&#x20;rpcbind&#x20;services&#x20;are&#x20;masked.','The&#x20;rpcbind&#x20;utility&#x20;maps&#x20;RPC&#x20;services&#x20;to&#x20;the&#x20;ports&#x20;on&#x20;which&#x20;they&#x20;listen.&#x20;RPC&#x20;processes&#x20;notify&#x20;rpcbind&#x20;when&#x20;they&#x20;start,&#x20;registering&#x20;the&#x20;ports&#x20;they&#x20;are&#x20;listening&#x20;on&#x20;and&#x20;the&#x20;RPC&#x20;program&#x20;numbers&#x20;they&#x20;expect&#x20;to&#x20;serve.&#x20;The&#x20;client&#x20;system&#x20;then&#x20;contacts&#x20;rpcbind&#x20;on&#x20;the&#x20;server&#x20;with&#x20;a&#x20;particular&#x20;RPC&#x20;program&#x20;number.&#x20;The&#x20;rpcbind&#x20;service&#x20;redirects&#x20;the&#x20;client&#x20;to&#x20;the&#x20;proper&#x20;port&#x20;number&#x20;so&#x20;it&#x20;can&#x20;communicate&#x20;with&#x20;the&#x20;requested&#x20;service&#x20;Portmapper&#x20;is&#x20;an&#x20;RPC&#x20;service,&#x20;which&#x20;always&#x20;listens&#x20;on&#x20;tcp&#x20;and&#x20;udp&#x20;111,&#x20;and&#x20;is&#x20;used&#x20;to&#x20;map&#x20;other&#x20;RPC&#x20;services&#x20;&#40;such&#x20;as&#x20;nfs,&#x20;nlockmgr,&#x20;quotad,&#x20;mountd,&#x20;etc.&#41;&#x20;to&#x20;their&#x20;corresponding&#x20;port&#x20;number&#x20;on&#x20;the&#x20;server.&#x20;When&#x20;a&#x20;remote&#x20;host&#x20;makes&#x20;an&#x20;RPC&#x20;call&#x20;to&#x20;that&#x20;server,&#x20;it&#x20;first&#x20;consults&#x20;with&#x20;portmap&#x20;to&#x20;determine&#x20;where&#x20;the&#x20;RPC&#x20;server&#x20;is&#x20;listening','A&#x20;small&#x20;request&#x20;&#40;~82&#x20;bytes&#x20;via&#x20;UDP&#41;&#x20;sent&#x20;to&#x20;the&#x20;Portmapper&#x20;generates&#x20;a&#x20;large&#x20;response&#x20;&#40;7x&#x20;to&#x20;28x&#x20;amplification&#41;,&#x20;which&#x20;makes&#x20;it&#x20;a&#x20;suitable&#x20;tool&#x20;for&#x20;DDoS&#x20;attacks.&#x20;If&#x20;rpcbind&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;rpcbind&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nfs-utils:&#x20;#&#x20;yum&#x20;remove&#x20;nfs-utils;&#x20;OR&#x20;if&#x20;the&#x20;nfs-package&#x20;is&#x20;required&#x20;as&#x20;a&#x20;dependency:&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;the&#x20;nfs-server&#x20;service:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;nfs-server','[{\"cis\": [\"2.2.8\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6062,'&#x20;Ensure&#x20;DNS&#x20;Server&#x20;is&#x20;not&#x20;installed&#x20;.','The&#x20;Domain&#x20;Name&#x20;System&#x20;&#40;DNS&#41;&#x20;is&#x20;a&#x20;hierarchical&#x20;naming&#x20;system&#x20;that&#x20;maps&#x20;names&#x20;to&#x20;IP&#x20;addresses&#x20;for&#x20;computers,&#x20;services&#x20;and&#x20;other&#x20;resources&#x20;connected&#x20;to&#x20;a&#x20;network.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;designated&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DNS&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;named:&#x20;#&#x20;yum&#x20;remove&#x20;bind','[{\"cis\": [\"2.2.9\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6063,'Ensure&#x20;FTP&#x20;Server&#x20;is&#x20;not&#x20;installed.','FTP&#x20;&#40;File&#x20;Transfer&#x20;Protocol&#41;&#x20;is&#x20;a&#x20;traditional&#x20;and&#x20;widely&#x20;used&#x20;standard&#x20;tool&#x20;for&#x20;transferring&#x20;files&#x20;between&#x20;a&#x20;server&#x20;and&#x20;clients&#x20;over&#x20;a&#x20;network,&#x20;especially&#x20;where&#x20;no&#x20;authentication&#x20;is&#x20;necessary&#x20;&#40;permits&#x20;anonymous&#x20;users&#x20;to&#x20;connect&#x20;to&#x20;a&#x20;server&#41;','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;sftp&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;vsftpd:&#x20;#&#x20;yum&#x20;remove&#x20;vsftpd','[{\"cis\": [\"2.2.10\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6064,'Ensure&#x20;HTTP&#x20;server&#x20;is&#x20;not&#x20;installed.','HTTP&#x20;or&#x20;web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;httpd:&#x20;#&#x20;yum&#x20;remove&#x20;httpd','[{\"cis\": [\"2.2.11\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6065,'Ensure&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;is&#x20;not&#x20;installed.','dovecot&#x20;is&#x20;an&#x20;open&#x20;source&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;POP3&#x20;and/or&#x20;IMAP&#x20;servers&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;by&#x20;this&#x20;system,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;dovecot:&#x20;#&#x20;yum&#x20;remove&#x20;dovecot','[{\"cis\": [\"2.2.12\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6066,'Ensure&#x20;Samba&#x20;is&#x20;not&#x20;installed.','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Small&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.&#x20;Windows&#x20;desktop&#x20;users&#x20;will&#x20;be&#x20;able&#x20;to&#x20;mount&#x20;these&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;as&#x20;letter&#x20;drives&#x20;on&#x20;their&#x20;systems.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;package&#x20;can&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;smb:&#x20;#&#x20;yum&#x20;remove&#x20;samba','[{\"cis\": [\"2.2.13\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6067,'Ensure&#x20;HTTP&#x20;Proxy&#x20;Server&#x20;is&#x20;not&#x20;installed.','Squid&#x20;is&#x20;a&#x20;standard&#x20;proxy&#x20;server&#x20;used&#x20;in&#x20;many&#x20;distributions&#x20;and&#x20;environments.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;squid:&#x20;#&#x20;yum&#x20;remove&#x20;squid','[{\"cis\": [\"2.2.14\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6068,'Ensure&#x20;SNMP&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;can&#x20;communicate&#x20;using&#x20;SNMPv1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;SNMPv3replaces&#x20;the&#x20;simple/clear&#x20;text&#x20;password&#x20;sharing&#x20;used&#x20;in&#x20;SNMPv2with&#x20;more&#x20;securely&#x20;encoded&#x20;parameters.&#x20;If&#x20;the&#x20;SNMP&#x20;service&#x20;is&#x20;not&#x20;required,&#x20;the&#x20;net-snmp&#x20;package&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;snmpd:&#x20;#&#x20;#&#x20;yum&#x20;remove&#x20;net-snmp','[{\"cis\": [\"2.2.15\"]}, {\"cis_csc\": [\"2.6\", \"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6069,'Ensure&#x20;mail&#x20;transfer&#x20;agent&#x20;is&#x20;configured&#x20;for&#x20;local-only&#x20;mode.','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','The&#x20;software&#x20;for&#x20;all&#x20;Mail&#x20;Transfer&#x20;Agents&#x20;is&#x20;complex&#x20;and&#x20;most&#x20;have&#x20;a&#x20;long&#x20;history&#x20;of&#x20;security&#x20;issues.&#x20;While&#x20;it&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;system&#x20;can&#x20;process&#x20;local&#x20;mail&#x20;messages,&#x20;it&#x20;is&#x20;not&#x20;necessary&#x20;to&#x20;have&#x20;the&#x20;MTA&#039;s&#x20;daemon&#x20;listening&#x20;on&#x20;a&#x20;port&#x20;unless&#x20;the&#x20;server&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server&#x20;that&#x20;receives&#x20;and&#x20;processes&#x20;mail&#x20;from&#x20;other&#x20;systems.','','Edit&#x20;/etc/postfix/main.cf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;RECEIVING&#x20;MAIL&#x20;section.&#x20;If&#x20;the&#x20;line&#x20;already&#x20;exists,&#x20;change&#x20;it&#x20;to&#x20;look&#x20;like&#x20;the&#x20;line&#x20;below:&#x20;inet_interfaces&#x20;=&#x20;loopback-only&#x20;.&#x20;Restart&#x20;postfix:&#x20;#&#x20;systemctl&#x20;restart&#x20;postfix','[{\"cis\": [\"2.2.16\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AC.4\", \"SC.7\"]}, {\"tsc\": [\"CC5.2\", \"CC6.4\", \"CC6.6\", \"CC6.7\"]}, {\"cis_level\": [\"1\"]}]'),(6070,'Ensure&#x20;rsync&#x20;is&#x20;not&#x20;installed&#x20;or&#x20;the&#x20;rsyncd&#x20;service&#x20;is&#x20;masked.','The&#x20;rsyncd&#x20;service&#x20;can&#x20;be&#x20;used&#x20;to&#x20;synchronize&#x20;files&#x20;between&#x20;systems&#x20;over&#x20;network&#x20;links.','Unless&#x20;required,&#x20;the&#x20;rsync&#x20;package&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;area&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;rsyncd&#x20;service&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;rsync&#x20;package:&#x20;#&#x20;yum&#x20;remove&#x20;rsync;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;mask&#x20;the&#x20;rsyncd&#x20;service:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;rsyncd','[{\"cis\": [\"2.2.17\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AC.4\", \"SC.7\"]}, {\"tsc\": [\"CC5.2\", \"CC6.4\", \"CC6.6\", \"CC6.7\"]}, {\"cis_level\": [\"1\"]}]'),(6071,'Ensure&#x20;NIS&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;ypserv&#x20;package&#x20;provides&#x20;the&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;.&#x20;This&#x20;service,&#x20;formally&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;for&#x20;distributing&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;server&#x20;is&#x20;a&#x20;collection&#x20;of&#x20;programs&#x20;that&#x20;allow&#x20;for&#x20;the&#x20;distribution&#x20;of&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;ypservpackage&#x20;be&#x20;removed,&#x20;and&#x20;if&#x20;required&#x20;a&#x20;more&#x20;secure&#x20;services&#x20;be&#x20;used.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;ypserv:&#x20;#&#x20;yum&#x20;remove&#x20;ypserv','[{\"cis\": [\"2.2.18\"]}, {\"cis_csc\": [\"2.6\", \"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6072,'Ensure&#x20;telnet&#x20;server&#x20;is&#x20;not&#x20;installed.','The&#x20;telnet-server&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;daemon,&#x20;which&#x20;accepts&#x20;connections&#x20;from&#x20;users&#x20;from&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;a&#x20;user&#x20;with&#x20;access&#x20;to&#x20;sniff&#x20;network&#x20;traffic&#x20;the&#x20;ability&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;telnet:&#x20;#&#x20;yum&#x20;remove&#x20;telnet-server','[{\"cis\": [\"2.2.19\"]}, {\"cis_csc\": [\"2.6\", \"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"cis_level\": [\"1\"]}]'),(6073,'Ensure&#x20;NIS&#x20;Client&#x20;is&#x20;not&#x20;installed.','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;,&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;used&#x20;to&#x20;distribute&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;client&#x20;&#40;&#x20;ypbind&#x20;&#41;&#x20;was&#x20;used&#x20;to&#x20;bind&#x20;a&#x20;machine&#x20;to&#x20;an&#x20;NIS&#x20;server&#x20;and&#x20;receive&#x20;the&#x20;distributed&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;ypbind:&#x20;#&#x20;yum&#x20;remove&#x20;ypbind','[{\"cis\": [\"2.3.1\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6074,'Ensure&#x20;rsh&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;rsh&#x20;package&#x20;contains&#x20;the&#x20;client&#x20;commands&#x20;for&#x20;the&#x20;rsh&#x20;services.','These&#x20;legacy&#x20;clients&#x20;contain&#x20;numerous&#x20;security&#x20;exposures&#x20;and&#x20;have&#x20;been&#x20;replaced&#x20;with&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;package.&#x20;Even&#x20;if&#x20;the&#x20;server&#x20;is&#x20;removed,&#x20;it&#x20;is&#x20;best&#x20;to&#x20;ensure&#x20;the&#x20;clients&#x20;are&#x20;also&#x20;removed&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;inadvertently&#x20;attempting&#x20;to&#x20;use&#x20;these&#x20;commands&#x20;and&#x20;therefore&#x20;exposing&#x20;their&#x20;credentials.&#x20;Note&#x20;that&#x20;removing&#x20;the&#x20;rsh&#x20;package&#x20;removes&#x20;the&#x20;clients&#x20;for&#x20;rsh,&#x20;rcp&#x20;and&#x20;rlogin&#x20;.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;rsh:&#x20;#&#x20;yum&#x20;remove&#x20;rsh','[{\"cis\": [\"2.3.2\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6075,'Ensure&#x20;talk&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;talk&#x20;software&#x20;makes&#x20;it&#x20;possible&#x20;for&#x20;users&#x20;to&#x20;send&#x20;and&#x20;receive&#x20;messages&#x20;across&#x20;systems&#x20;through&#x20;a&#x20;terminal&#x20;session.&#x20;The&#x20;talk&#x20;client,&#x20;which&#x20;allows&#x20;initialization&#x20;of&#x20;talk&#x20;sessions,&#x20;is&#x20;installed&#x20;by&#x20;default.','The&#x20;software&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;talk:&#x20;#&#x20;yum&#x20;remove&#x20;talk','[{\"cis\": [\"2.3.3\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6076,'Ensure&#x20;telnet&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;telnet&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;client,&#x20;which&#x20;allows&#x20;users&#x20;to&#x20;start&#x20;connections&#x20;to&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security&#x20;and&#x20;is&#x20;included&#x20;in&#x20;most&#x20;Linux&#x20;distributions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;telnet:&#x20;#&#x20;yum&#x20;remove&#x20;telnet','[{\"cis\": [\"2.3.4\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6077,'Ensure&#x20;LDAP&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;openldap-clients:&#x20;#&#x20;yum&#x20;remove&#x20;openldap-clients','[{\"cis\": [\"2.3.5\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6078,'Ensure&#x20;nonessential&#x20;services&#x20;are&#x20;removed&#x20;or&#x20;masked.','A&#x20;network&#x20;port&#x20;is&#x20;identified&#x20;by&#x20;its&#x20;number,&#x20;the&#x20;associated&#x20;IP&#x20;address,&#x20;and&#x20;the&#x20;type&#x20;of&#x20;the&#x20;communication&#x20;protocol&#x20;such&#x20;as&#x20;TCP&#x20;or&#x20;UDP.A&#x20;listening&#x20;port&#x20;is&#x20;a&#x20;network&#x20;port&#x20;on&#x20;which&#x20;an&#x20;application&#x20;or&#x20;process&#x20;listens&#x20;on,&#x20;acting&#x20;as&#x20;a&#x20;communication&#x20;endpoint.&#x20;Each&#x20;listening&#x20;port&#x20;can&#x20;be&#x20;open&#x20;or&#x20;closed&#x20;&#40;filtered&#41;&#x20;using&#x20;a&#x20;firewall.&#x20;In&#x20;general&#x20;terms,&#x20;an&#x20;open&#x20;port&#x20;is&#x20;a&#x20;network&#x20;port&#x20;that&#x20;accepts&#x20;incoming&#x20;packets&#x20;from&#x20;remote&#x20;locations','Services&#x20;listening&#x20;on&#x20;the&#x20;system&#x20;pose&#x20;a&#x20;potential&#x20;risk&#x20;as&#x20;an&#x20;attack&#x20;vector.&#x20;These&#x20;services&#x20;should&#x20;be&#x20;reviewed,&#x20;and&#x20;if&#x20;not&#x20;required,&#x20;the&#x20;service&#x20;should&#x20;be&#x20;stopped,&#x20;and&#x20;the&#x20;package&#x20;containing&#x20;the&#x20;service&#x20;should&#x20;be&#x20;removed.&#x20;If&#x20;required&#x20;packages&#x20;have&#x20;a&#x20;dependency,&#x20;the&#x20;service&#x20;should&#x20;be&#x20;stopped&#x20;and&#x20;masked&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Review&#x20;the&#x20;output&#x20;of:&#x20;#&#x20;lsof&#x20;-i&#x20;-P&#x20;-n&#x20;|&#x20;grep&#x20;-v&#x20;&#039;&#40;ESTABLISHED&#41;&#039;;&#x20;to&#x20;ensure&#x20;that&#x20;all&#x20;services&#x20;listed&#x20;are&#x20;required&#x20;on&#x20;the&#x20;system.&#x20;If&#x20;a&#x20;listed&#x20;service&#x20;is&#x20;not&#x20;required,&#x20;remove&#x20;the&#x20;package&#x20;containing&#x20;the&#x20;service.&#x20;If&#x20;the&#x20;package&#x20;containing&#x20;the&#x20;service&#x20;is&#x20;required,&#x20;stop&#x20;and&#x20;mask&#x20;the&#x20;service.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;package&#x20;containing&#x20;the&#x20;service:#&#x20;yum&#x20;remove&#x20;&lt;package_name&gt;&#x20;OR&#x20;if&#x20;required&#x20;packages&#x20;have&#x20;a&#x20;dependency:&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;the&#x20;service:#&#x20;systemctl&#x20;--now&#x20;mask&#x20;&lt;service_name&gt;','[{\"cis\": [\"2.4\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6079,'Disable&#x20;IPv6.','Although&#x20;IPv6&#x20;has&#x20;many&#x20;advantages&#x20;over&#x20;IPv4,&#x20;not&#x20;all&#x20;organizations&#x20;have&#x20;IPv6&#x20;or&#x20;dual&#x20;stack&#x20;configurations&#x20;implemented.','If&#x20;IPv6&#x20;or&#x20;dual&#x20;stack&#x20;is&#x20;not&#x20;to&#x20;be&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;IPv6be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','To&#x20;disable&#x20;IPv6&#x20;through&#x20;the&#x20;GRUB2&#x20;config:&#x20;edit&#x20;/etc/default/gruband&#x20;add&#x20;ipv6.disable=1&#x20;to&#x20;the&#x20;GRUB_CMDLINE_LINUX&#x20;parameters:&#x20;GRUB_CMDLINE_LINUX=&quot;ipv6.disable=1&quot;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:#&#x20;grub2-mkconfig&#x20;&ndash;o&#x20;/boot/grub2/grub.cfg;&#x20;OR&#x20;to&#x20;disable&#x20;IPv6&#x20;through&#x20;sysctl&#x20;settings:&#x20;set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;#&#x20;net.ipv6.conf.all.disable_ipv6&#x20;=&#x20;1;&#x20;#&#x20;net.ipv6.conf.default.disable_ipv6&#x20;=&#x20;1;&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.disable_ipv6=1;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.disable_ipv6=1;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.1.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"2\"]}]'),(6080,'Ensure&#x20;wireless&#x20;interfaces&#x20;are&#x20;disabled.','Wireless&#x20;networking&#x20;is&#x20;used&#x20;when&#x20;wired&#x20;networks&#x20;are&#x20;unavailable.','If&#x20;wireless&#x20;is&#x20;not&#x20;to&#x20;be&#x20;used,&#x20;wireless&#x20;devices&#x20;should&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;any&#x20;wireless&#x20;interfaces:&#x20;#&#x20;ip&#x20;link&#x20;set&#x20;&lt;interface&gt;&#x20;down','[{\"cis\": [\"3.1.2\"]}, {\"cis_csc\": [\"15.4\", \"15.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6081,'Ensure&#x20;IP&#x20;forwarding&#x20;is&#x20;disabled.','The&#x20;net.ipv4.ip_forward&#x20;flag&#x20;is&#x20;used&#x20;to&#x20;tell&#x20;the&#x20;system&#x20;whether&#x20;it&#x20;can&#x20;forward&#x20;packets&#x20;or&#x20;not.','Setting&#x20;the&#x20;flag&#x20;to&#x20;0&#x20;ensures&#x20;that&#x20;a&#x20;system&#x20;with&#x20;multiple&#x20;interfaces&#x20;&#40;for&#x20;example,&#x20;a&#x20;hard&#x20;proxy&#41;,&#x20;will&#x20;never&#x20;be&#x20;able&#x20;to&#x20;forward&#x20;packets,&#x20;and&#x20;therefore,&#x20;never&#x20;serve&#x20;as&#x20;a&#x20;router.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;restore&#x20;the&#x20;default&#x20;parameters&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;grep&#x20;-Els&#x20;&#039;^s*net.ipv4.ip_forwards*=s*1&#039;&#x20;/etc/sysctl.conf&#x20;/etc/sysctl.d&#47;&#42;.conf&#x20;/usr/lib/sysctl.d&#47;&#42;.conf&#x20;/run/sysctl.d&#47;&#42;.conf&#x20;|&#x20;while&#x20;read&#x20;filename;&#x20;do&#x20;sed&#x20;-ri&#x20;&#039;s/^s*&#40;net.ipv4.ip_forwards*&#41;&#40;=&#41;&#40;s*S+&#x08;&#41;.*$/#&#x20;*REMOVED*&#x20;1/&#039;&#x20;$filename;&#x20;done;&#x20;sysctl&#x20;-w&#x20;net.ipv4.ip_forward=0;&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6082,'Ensure&#x20;packet&#x20;redirect&#x20;sending&#x20;is&#x20;disabled.','ICMP&#x20;Redirects&#x20;are&#x20;used&#x20;to&#x20;send&#x20;routing&#x20;information&#x20;to&#x20;other&#x20;hosts.&#x20;As&#x20;a&#x20;host&#x20;itself&#x20;does&#x20;not&#x20;act&#x20;as&#x20;a&#x20;router&#x20;&#40;in&#x20;a&#x20;host&#x20;only&#x20;configuration&#41;,&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;send&#x20;redirects.','An&#x20;attacker&#x20;could&#x20;use&#x20;a&#x20;compromised&#x20;host&#x20;to&#x20;send&#x20;invalid&#x20;ICMP&#x20;redirects&#x20;to&#x20;other&#x20;router&#x20;devices&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;corrupt&#x20;routing&#x20;and&#x20;have&#x20;users&#x20;access&#x20;a&#x20;system&#x20;set&#x20;up&#x20;by&#x20;the&#x20;attacker&#x20;as&#x20;opposed&#x20;to&#x20;a&#x20;valid&#x20;system.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.send_redirects&#x20;=&#x20;0;&#x20;net.ipv4.conf.default.send_redirects&#x20;=&#x20;0&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.send_redirects=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.send_redirects=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6083,'Ensure&#x20;source&#x20;routed&#x20;packets&#x20;are&#x20;not&#x20;accepted.','In&#x20;networking,&#x20;source&#x20;routing&#x20;allows&#x20;a&#x20;sender&#x20;to&#x20;partially&#x20;or&#x20;fully&#x20;specify&#x20;the&#x20;route&#x20;packets&#x20;take&#x20;through&#x20;a&#x20;network.&#x20;In&#x20;contrast,&#x20;non-source&#x20;routed&#x20;packets&#x20;travel&#x20;a&#x20;path&#x20;determined&#x20;by&#x20;routers&#x20;in&#x20;the&#x20;network.&#x20;In&#x20;some&#x20;cases,&#x20;systems&#x20;may&#x20;not&#x20;be&#x20;routable&#x20;or&#x20;reachable&#x20;from&#x20;some&#x20;locations&#x20;&#40;e.g.&#x20;private&#x20;addresses&#x20;vs.&#x20;Internet&#x20;routable&#41;,&#x20;and&#x20;so&#x20;source&#x20;routed&#x20;packets&#x20;would&#x20;need&#x20;to&#x20;be&#x20;used.','Setting&#x20;net.ipv4.conf.all.accept_source_route&#x20;and&#x20;net.ipv4.conf.default.accept_source_route&#x20;to&#x20;0&#x20;disables&#x20;the&#x20;system&#x20;from&#x20;accepting&#x20;source&#x20;routed&#x20;packets.&#x20;Assume&#x20;this&#x20;system&#x20;was&#x20;capable&#x20;of&#x20;routing&#x20;packets&#x20;to&#x20;Internet&#x20;routable&#x20;addresses&#x20;on&#x20;one&#x20;interface&#x20;and&#x20;private&#x20;addresses&#x20;on&#x20;another&#x20;interface.&#x20;Assume&#x20;that&#x20;the&#x20;private&#x20;addresses&#x20;were&#x20;not&#x20;routable&#x20;to&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;and&#x20;vice&#x20;versa.&#x20;Under&#x20;normal&#x20;routing&#x20;circumstances,&#x20;an&#x20;attacker&#x20;from&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;could&#x20;not&#x20;use&#x20;the&#x20;system&#x20;as&#x20;a&#x20;way&#x20;to&#x20;reach&#x20;the&#x20;private&#x20;address&#x20;systems.&#x20;If,&#x20;however,&#x20;source&#x20;routed&#x20;packets&#x20;were&#x20;allowed,&#x20;they&#x20;could&#x20;be&#x20;used&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;private&#x20;address&#x20;systems&#x20;as&#x20;the&#x20;route&#x20;could&#x20;be&#x20;specified,&#x20;rather&#x20;than&#x20;rely&#x20;on&#x20;routing&#x20;protocols&#x20;that&#x20;did&#x20;not&#x20;allow&#x20;this&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_source_route&#x20;=&#x20;0;&#x20;net.ipv4.conf.default.accept_source_route&#x20;=&#x20;0&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_source_route=0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_source_route=0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6084,'Ensure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted.','ICMP&#x20;redirect&#x20;messages&#x20;are&#x20;packets&#x20;that&#x20;convey&#x20;routing&#x20;information&#x20;and&#x20;tell&#x20;your&#x20;host&#x20;&#40;acting&#x20;as&#x20;a&#x20;router&#41;&#x20;to&#x20;send&#x20;packets&#x20;via&#x20;an&#x20;alternate&#x20;path.&#x20;It&#x20;is&#x20;a&#x20;way&#x20;of&#x20;allowing&#x20;an&#x20;outside&#x20;routing&#x20;device&#x20;to&#x20;update&#x20;your&#x20;system&#x20;routing&#x20;tables.','Attackers&#x20;could&#x20;use&#x20;bogus&#x20;ICMP&#x20;redirect&#x20;messages&#x20;to&#x20;maliciously&#x20;alter&#x20;the&#x20;system&#x20;routing&#x20;tables&#x20;and&#x20;get&#x20;them&#x20;to&#x20;send&#x20;packets&#x20;to&#x20;incorrect&#x20;networks&#x20;and&#x20;allow&#x20;your&#x20;system&#x20;packets&#x20;to&#x20;be&#x20;captured.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_redirects&#x20;=&#x20;0;&#x20;net.ipv4.conf.default.accept_redirects&#x20;=&#x20;0&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_redirects=0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_redirects=0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6085,'Ensure&#x20;secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted.','Secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;the&#x20;same&#x20;as&#x20;ICMP&#x20;redirects,&#x20;except&#x20;they&#x20;come&#x20;from&#x20;gateways&#x20;listed&#x20;on&#x20;the&#x20;default&#x20;gateway&#x20;list.&#x20;It&#x20;is&#x20;assumed&#x20;that&#x20;these&#x20;gateways&#x20;are&#x20;known&#x20;to&#x20;your&#x20;system,&#x20;and&#x20;that&#x20;they&#x20;are&#x20;likely&#x20;to&#x20;be&#x20;secure.','It&#x20;is&#x20;still&#x20;possible&#x20;for&#x20;even&#x20;known&#x20;gateways&#x20;to&#x20;be&#x20;compromised.&#x20;Setting&#x20;net.ipv4.conf.all.secure_redirects&#x20;to&#x20;0&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;routing&#x20;table&#x20;updates&#x20;by&#x20;possibly&#x20;compromised&#x20;known&#x20;gateways.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.secure_redirects&#x20;=&#x20;0;&#x20;net.ipv4.conf.default.secure_redirects&#x20;=&#x20;0&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.secure_redirects=0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.secure_redirects=0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6086,'Ensure&#x20;suspicious&#x20;packets&#x20;are&#x20;logged.','When&#x20;enabled,&#x20;this&#x20;feature&#x20;logs&#x20;packets&#x20;with&#x20;un-routable&#x20;source&#x20;addresses&#x20;to&#x20;the&#x20;kernel&#x20;log.','Enabling&#x20;this&#x20;feature&#x20;and&#x20;logging&#x20;these&#x20;packets&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;investigate&#x20;the&#x20;possibility&#x20;that&#x20;an&#x20;attacker&#x20;is&#x20;sending&#x20;spoofed&#x20;packets&#x20;to&#x20;their&#x20;system.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.log_martians&#x20;=&#x20;1;&#x20;net.ipv4.conf.default.log_martians&#x20;=&#x20;1&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.log_martians=1&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.log_martians=1&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.4\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6087,'Ensure&#x20;broadcast&#x20;ICMP&#x20;requests&#x20;are&#x20;ignored.','Setting&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;to&#x20;1&#x20;will&#x20;cause&#x20;the&#x20;system&#x20;to&#x20;ignore&#x20;all&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;to&#x20;broadcast&#x20;and&#x20;multicast&#x20;addresses.','Accepting&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;with&#x20;broadcast&#x20;or&#x20;multicast&#x20;destinations&#x20;for&#x20;your&#x20;network&#x20;could&#x20;be&#x20;used&#x20;to&#x20;trick&#x20;your&#x20;host&#x20;into&#x20;starting&#x20;&#40;or&#x20;participating&#41;&#x20;in&#x20;a&#x20;Smurf&#x20;attack.&#x20;A&#x20;Smurf&#x20;attack&#x20;relies&#x20;on&#x20;an&#x20;attacker&#x20;sending&#x20;large&#x20;amounts&#x20;of&#x20;ICMP&#x20;broadcast&#x20;messages&#x20;with&#x20;a&#x20;spoofed&#x20;source&#x20;address.&#x20;All&#x20;hosts&#x20;receiving&#x20;this&#x20;message&#x20;and&#x20;responding&#x20;would&#x20;send&#x20;echo-reply&#x20;messages&#x20;back&#x20;to&#x20;the&#x20;spoofed&#x20;address,&#x20;which&#x20;is&#x20;probably&#x20;not&#x20;routable.&#x20;If&#x20;many&#x20;hosts&#x20;respond&#x20;to&#x20;the&#x20;packets,&#x20;the&#x20;amount&#x20;of&#x20;traffic&#x20;on&#x20;the&#x20;network&#x20;could&#x20;be&#x20;significantly&#x20;multiplied.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;=&#x20;1&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_echo_ignore_broadcasts=1&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6088,'Ensure&#x20;bogus&#x20;ICMP&#x20;responses&#x20;are&#x20;ignored.','Setting&#x20;icmp_ignore_bogus_error_responses&#x20;to&#x20;1&#x20;prevents&#x20;the&#x20;kernel&#x20;from&#x20;logging&#x20;bogus&#x20;responses&#x20;&#40;RFC-1122&#x20;non-compliant&#41;&#x20;from&#x20;broadcast&#x20;reframes,&#x20;keeping&#x20;file&#x20;systems&#x20;from&#x20;filling&#x20;up&#x20;with&#x20;useless&#x20;log&#x20;messages.','Some&#x20;routers&#x20;&#40;and&#x20;some&#x20;attackers&#41;&#x20;will&#x20;send&#x20;responses&#x20;that&#x20;violate&#x20;RFC-1122&#x20;and&#x20;attempt&#x20;to&#x20;fill&#x20;up&#x20;a&#x20;log&#x20;file&#x20;system&#x20;with&#x20;many&#x20;useless&#x20;error&#x20;messages.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.icmp_ignore_bogus_error_responses&#x20;=&#x20;1&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_ignore_bogus_error_responses=1&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6089,'Ensure&#x20;Reverse&#x20;Path&#x20;Filtering&#x20;is&#x20;enabled.','Setting&#x20;net.ipv4.conf.all.rp_filter&#x20;and&#x20;net.ipv4.conf.default.rp_filter&#x20;to&#x20;1&#x20;forces&#x20;the&#x20;Linux&#x20;kernel&#x20;to&#x20;utilize&#x20;reverse&#x20;path&#x20;filtering&#x20;on&#x20;a&#x20;received&#x20;packet&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;packet&#x20;was&#x20;valid.&#x20;Essentially,&#x20;with&#x20;reverse&#x20;path&#x20;filtering,&#x20;if&#x20;the&#x20;return&#x20;packet&#x20;does&#x20;not&#x20;go&#x20;out&#x20;the&#x20;same&#x20;interface&#x20;that&#x20;the&#x20;corresponding&#x20;source&#x20;packet&#x20;came&#x20;from,&#x20;the&#x20;packet&#x20;is&#x20;dropped&#x20;&#40;and&#x20;logged&#x20;if&#x20;log_martians&#x20;is&#x20;set&#41;.','Setting&#x20;these&#x20;flags&#x20;is&#x20;a&#x20;good&#x20;way&#x20;to&#x20;deter&#x20;attackers&#x20;from&#x20;sending&#x20;your&#x20;server&#x20;bogus&#x20;packets&#x20;that&#x20;cannot&#x20;be&#x20;responded&#x20;to.&#x20;One&#x20;instance&#x20;where&#x20;this&#x20;feature&#x20;breaks&#x20;down&#x20;is&#x20;if&#x20;asymmetrical&#x20;routing&#x20;is&#x20;employed.&#x20;This&#x20;would&#x20;occur&#x20;when&#x20;using&#x20;dynamic&#x20;routing&#x20;protocols&#x20;&#40;bgp,&#x20;ospf,&#x20;etc&#41;&#x20;on&#x20;your&#x20;system.&#x20;If&#x20;you&#x20;are&#x20;using&#x20;asymmetrical&#x20;routing&#x20;on&#x20;your&#x20;system,&#x20;you&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;enable&#x20;this&#x20;feature&#x20;without&#x20;breaking&#x20;the&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.rp_filter&#x20;=&#x20;1;&#x20;net.ipv4.conf.default.rp_filter&#x20;=&#x20;1&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.rp_filter=1&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.rp_filter=1&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6090,'Ensure&#x20;TCP&#x20;SYN&#x20;Cookies&#x20;is&#x20;enabled.','When&#x20;tcp_syncookies&#x20;is&#x20;set,&#x20;the&#x20;kernel&#x20;will&#x20;handle&#x20;TCP&#x20;SYN&#x20;packets&#x20;normally&#x20;until&#x20;the&#x20;half-open&#x20;connection&#x20;queue&#x20;is&#x20;full,&#x20;at&#x20;which&#x20;time,&#x20;the&#x20;SYN&#x20;cookie&#x20;functionality&#x20;kicks&#x20;in.&#x20;SYN&#x20;cookies&#x20;work&#x20;by&#x20;not&#x20;using&#x20;the&#x20;SYN&#x20;queue&#x20;at&#x20;all.&#x20;Instead,&#x20;the&#x20;kernel&#x20;simply&#x20;replies&#x20;to&#x20;the&#x20;SYN&#x20;with&#x20;a&#x20;SYN|ACK,&#x20;but&#x20;will&#x20;include&#x20;a&#x20;specially&#x20;crafted&#x20;TCP&#x20;sequence&#x20;number&#x20;that&#x20;encodes&#x20;the&#x20;source&#x20;and&#x20;destination&#x20;IP&#x20;address&#x20;and&#x20;port&#x20;number&#x20;and&#x20;the&#x20;time&#x20;the&#x20;packet&#x20;was&#x20;sent.','Attackers&#x20;use&#x20;SYN&#x20;flood&#x20;attacks&#x20;to&#x20;perform&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attacked&#x20;on&#x20;a&#x20;system&#x20;by&#x20;sending&#x20;many&#x20;SYN&#x20;packets&#x20;without&#x20;completing&#x20;the&#x20;three&#x20;way&#x20;handshake.&#x20;This&#x20;will&#x20;quickly&#x20;use&#x20;up&#x20;slots&#x20;in&#x20;the&#x20;kernel&#039;s&#x20;half-open&#x20;connection&#x20;queue&#x20;and&#x20;prevent&#x20;legitimate&#x20;connections&#x20;from&#x20;succeeding.&#x20;SYN&#x20;cookies&#x20;allow&#x20;the&#x20;system&#x20;to&#x20;keep&#x20;accepting&#x20;valid&#x20;connections,&#x20;even&#x20;if&#x20;under&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attack.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.tcp_syncookies&#x20;=&#x20;1&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.tcp_syncookies=1&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.3.8\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6091,'Ensure&#x20;IPv6&#x20;router&#x20;advertisements&#x20;are&#x20;not&#x20;accepted.','This&#x20;setting&#x20;disables&#x20;the&#x20;system&#039;s&#x20;ability&#x20;to&#x20;accept&#x20;IPv6&#x20;router&#x20;advertisements.','It&#x20;is&#x20;recommended&#x20;that&#x20;systems&#x20;not&#x20;accept&#x20;router&#x20;advertisements&#x20;as&#x20;they&#x20;could&#x20;be&#x20;tricked&#x20;into&#x20;routing&#x20;traffic&#x20;to&#x20;compromised&#x20;machines.&#x20;Setting&#x20;hard&#x20;routes&#x20;within&#x20;the&#x20;system&#x20;&#40;usually&#x20;a&#x20;single&#x20;default&#x20;route&#x20;to&#x20;a&#x20;trusted&#x20;router&#41;&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;bad&#x20;routes.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;net.ipv6.conf.all.accept_ra&#x20;=&#x20;0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;and&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;net.ipv6.conf.default.accept_ra&#x20;=&#x20;0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Then,&#x20;run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_ra=0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_ra=0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.3.9\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6092,'Ensure&#x20;DCCP&#x20;is&#x20;disabled.','The&#x20;Datagram&#x20;Congestion&#x20;Control&#x20;Protocol&#x20;&#40;DCCP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;that&#x20;supports&#x20;streaming&#x20;media&#x20;and&#x20;telephony.&#x20;DCCP&#x20;provides&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;congestion&#x20;control,&#x20;without&#x20;having&#x20;to&#x20;do&#x20;it&#x20;at&#x20;the&#x20;application&#x20;layer,&#x20;but&#x20;does&#x20;not&#x20;provide&#x20;in-sequence&#x20;delivery.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;drivers&#x20;not&#x20;be&#x20;installed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;dccp&#x20;/bin/true','[{\"cis\": [\"3.4.1\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"2\"]}]'),(6093,'Ensure&#x20;SCTP&#x20;is&#x20;disabled.','The&#x20;Stream&#x20;Control&#x20;Transmission&#x20;Protocol&#x20;&#40;SCTP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;used&#x20;to&#x20;support&#x20;message&#x20;oriented&#x20;communication,&#x20;with&#x20;several&#x20;streams&#x20;of&#x20;messages&#x20;in&#x20;one&#x20;connection.&#x20;It&#x20;serves&#x20;a&#x20;similar&#x20;function&#x20;as&#x20;TCP&#x20;and&#x20;UDP,&#x20;incorporating&#x20;features&#x20;of&#x20;both.&#x20;It&#x20;is&#x20;message-oriented&#x20;like&#x20;UDP,&#x20;and&#x20;ensures&#x20;reliable&#x20;in-sequence&#x20;transport&#x20;of&#x20;messages&#x20;with&#x20;congestion&#x20;control&#x20;like&#x20;TCP.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/modprobe.d/CIS.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;sctp&#x20;/bin/true','[{\"cis\": [\"3.4.2\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"2\"]}]'),(6094,'Ensure&#x20;FirewallD&#x20;or&#x20;nftables&#x20;or&#x20;iptables-services&#x20;is&#x20;installed.','firewalld&#x20;is&#x20;a&#x20;firewall&#x20;management&#x20;tool&#x20;for&#x20;Linux&#x20;operating&#x20;systems.&#x20;It&#x20;provides&#x20;firewall&#x20;features&#x20;by&#x20;acting&#x20;as&#x20;a&#x20;front-end&#x20;for&#x20;the&#x20;Linux&#x20;kernel&#039;s&#x20;net&#x20;filter&#x20;framework&#x20;via&#x20;the&#x20;iptables&#x20;backend&#x20;or&#x20;provides&#x20;firewall&#x20;features&#x20;by&#x20;acting&#x20;as&#x20;a&#x20;front-end&#x20;for&#x20;the&#x20;Linux&#x20;kernel&#039;s&#x20;netfilter&#x20;framework&#x20;via&#x20;the&#x20;nftables&#x20;utility.&#x20;FirewallD&#x20;replaces&#x20;iptables&#x20;as&#x20;the&#x20;default&#x20;firewall&#x20;management&#x20;tool.&#x20;Use&#x20;the&#x20;firewalld&#x20;utility&#x20;to&#x20;configure&#x20;a&#x20;firewall&#x20;for&#x20;less&#x20;complex&#x20;firewalls.&#x20;The&#x20;utility&#x20;is&#x20;easy&#x20;to&#x20;use&#x20;and&#x20;covers&#x20;the&#x20;typical&#x20;use&#x20;cases&#x20;scenario.&#x20;FirewallD&#x20;supports&#x20;both&#x20;IPv4&#x20;and&#x20;IPv6&#x20;networks&#x20;and&#x20;can&#x20;administer&#x20;separate&#x20;firewall&#x20;zones&#x20;with&#x20;varying&#x20;degrees&#x20;of&#x20;trust&#x20;as&#x20;defined&#x20;in&#x20;zone&#x20;profiles.','A&#x20;firewall&#x20;utility&#x20;is&#x20;required&#x20;to&#x20;configure&#x20;the&#x20;Linux&#x20;kernel&#039;s&#x20;netfilter&#x20;framework&#x20;via&#x20;the&#x20;iptables&#x20;or&#x20;nftables&#x20;back-end.&#x20;The&#x20;Linux&#x20;kernel&#039;s&#x20;netfilter&#x20;framework&#x20;host-based&#x20;firewall&#x20;can&#x20;protect&#x20;against&#x20;threats&#x20;originating&#x20;from&#x20;within&#x20;a&#x20;corporate&#x20;network&#x20;to&#x20;include&#x20;malicious&#x20;mobile&#x20;code&#x20;and&#x20;poorly&#x20;configured&#x20;software&#x20;on&#x20;a&#x20;host.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;firewalld:&#x20;#&#x20;yum&#x20;install&#x20;firewalld&#x20;iptables;&#x20;OR&#x20;to&#x20;&#x20;install&#x20;nftables:&#x20;#&#x20;yum&#x20;install&#x20;nftables;&#x20;OR&#x20;to&#x20;install&#x20;&#x20;iptables-services:&#x20;#&#x20;yum&#x20;install&#x20;iptables-services&#x20;iptables','[{\"cis\": [\"3.5.1.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6095,'Ensure&#x20;iptables-services&#x20;and&#x20;FirewallD&#x20;are&#x20;not&#x20;installed&#x20;at&#x20;the&#x20;same&#x20;time.','The&#x20;iptables-services&#x20;package&#x20;contains&#x20;the&#x20;iptables.service&#x20;and&#x20;ip6tables.service.&#x20;These&#x20;services&#x20;allow&#x20;for&#x20;management&#x20;of&#x20;the&#x20;Host&#x20;Based&#x20;Firewall&#x20;provided&#x20;by&#x20;the&#x20;iptables&#x20;package.','iptables.service&#x20;and&#x20;ip6tables.service&#x20;are&#x20;still&#x20;supported&#x20;and&#x20;can&#x20;be&#x20;installed&#x20;with&#x20;the&#x20;iptables-services&#x20;package.&#x20;Running&#x20;both&#x20;firewalld&#x20;and&#x20;the&#x20;services&#x20;included&#x20;in&#x20;the&#x20;iptables-services&#x20;package&#x20;may&#x20;lead&#x20;to&#x20;conflict.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;stop&#x20;the&#x20;services&#x20;included&#x20;in&#x20;the&#x20;iptables-services&#x20;package&#x20;and&#x20;remove&#x20;the&#x20;iptables-services&#x20;package:&#x20;#&#x20;systemctl&#x20;stop&#x20;iptables;&#x20;#&#x20;systemctl&#x20;stop&#x20;ip6tables;&#x20;#&#x20;yum&#x20;remove&#x20;iptables-services.&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;firewalld:&#x20;#&#x20;yum&#x20;remove&#x20;firewalld&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;firewalld:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;firewalld','[{\"cis\": [\"3.5.1.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6096,'Ensure&#x20;nftables&#x20;and&#x20;FirewallD&#x20;are&#x20;not&#x20;installed&#x20;at&#x20;the&#x20;same&#x20;time&#x20;or&#x20;ensure&#x20;one&#x20;of&#x20;them&#x20;is&#x20;stopped&#x20;and&#x20;masked.','nftables&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;Linux&#x20;kernel&#x20;providing&#x20;filtering&#x20;and&#x20;classification&#x20;of&#x20;network&#x20;packets/datagrams/frames&#x20;and&#x20;is&#x20;the&#x20;successor&#x20;to&#x20;iptables.Note:&#x20;Support&#x20;for&#x20;using&#x20;nftables&#x20;as&#x20;the&#x20;back-end&#x20;for&#x20;firewalld&#x20;was&#x20;added&#x20;in&#x20;release&#x20;v0.6.0.&#x20;In&#x20;Fedora&#x20;19&#x20;Linux&#x20;derivatives,&#x20;firewalld&#x20;utilizes&#x20;iptables&#x20;as&#x20;its&#x20;back-end&#x20;by&#x20;default.','Running&#x20;both&#x20;firewalld&#x20;and&#x20;nftables&#x20;may&#x20;lead&#x20;to&#x20;conflict.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nftables:#&#x20;yum&#x20;remove&#x20;nftables;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;nftables:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;nftables.&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;firewalld:&#x20;#&#x20;yum&#x20;remove&#x20;firewalld&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;firewalld:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;firewalld','[{\"cis\": [\"3.5.1.3\", \"3.5.2.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6097,'Ensure&#x20;nftables&#x20;and&#x20;iptables-services&#x20;are&#x20;not&#x20;installed&#x20;at&#x20;the&#x20;same&#x20;time&#x20;or&#x20;ensure&#x20;one&#x20;of&#x20;them&#x20;is&#x20;stopped&#x20;and&#x20;masked.','nftables&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;Linux&#x20;kernel&#x20;providing&#x20;filtering&#x20;and&#x20;classification&#x20;of&#x20;network&#x20;packets/datagrams/frames&#x20;and&#x20;is&#x20;the&#x20;successor&#x20;to&#x20;iptables.Note:&#x20;Support&#x20;for&#x20;using&#x20;nftables&#x20;as&#x20;the&#x20;back-end&#x20;for&#x20;firewalld&#x20;was&#x20;added&#x20;in&#x20;release&#x20;v0.6.0.&#x20;In&#x20;Fedora&#x20;19&#x20;Linux&#x20;derivatives,&#x20;firewalld&#x20;utilizes&#x20;iptables&#x20;as&#x20;its&#x20;back-end&#x20;by&#x20;default.','Running&#x20;both&#x20;nftables&#x20;and&#x20;nftables&#x20;may&#x20;lead&#x20;to&#x20;conflict.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nftables:#&#x20;yum&#x20;remove&#x20;nftables;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;nftables:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;nftables.&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;iptables#&#x20;#&#x20;systemctl&#x20;stop&#x20;iptables;&#x20;#&#x20;systemctl&#x20;stop&#x20;ip6tables;&#x20;#&#x20;yum&#x20;remove&#x20;iptables-services','[{\"cis\": [\"3.5.2.3\", \"3.5.3.1.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6098,'Ensure&#x20;firewalld&#x20;service&#x20;is&#x20;enabled&#x20;and&#x20;running.','firewalld.serviceenables&#x20;the&#x20;enforcement&#x20;of&#x20;firewall&#x20;rules&#x20;configured&#x20;through&#x20;firewalld','Ensure&#x20;that&#x20;the&#x20;firewalld.service&#x20;is&#x20;enabled&#x20;and&#x20;running&#x20;to&#x20;enforce&#x20;firewall&#x20;rules&#x20;configured&#x20;through&#x20;firewalld','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;firewalld:&#x20;#&#x20;systemctl&#x20;unmask&#x20;firewalld;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;firewalld:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;firewalld','[{\"cis\": [\"3.5.1.4\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6099,'Ensure&#x20;a&#x20;table&#x20;exists.','nTables&#x20;hold&#x20;chains.&#x20;Each&#x20;table&#x20;only&#x20;has&#x20;one&#x20;address&#x20;family&#x20;and&#x20;only&#x20;applies&#x20;to&#x20;packets&#x20;of&#x20;this&#x20;family.&#x20;Tables&#x20;can&#x20;have&#x20;one&#x20;of&#x20;five&#x20;families.','nftables&#x20;doesn&#039;t&#x20;have&#x20;any&#x20;default&#x20;tables.&#x20;Without&#x20;a&#x20;table&#x20;being&#x20;build,&#x20;nftables&#x20;will&#x20;not&#x20;filter&#x20;network&#x20;traffic.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;a&#x20;table&#x20;in&#x20;nftables:&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;&lt;table&#x20;name&gt;','[{\"cis\": [\"3.5.2.5\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6100,'Ensure&#x20;base&#x20;chains&#x20;exist.','Chains&#x20;are&#x20;containers&#x20;for&#x20;rules.&#x20;They&#x20;exist&#x20;in&#x20;two&#x20;kinds,&#x20;base&#x20;chains&#x20;and&#x20;regular&#x20;chains.&#x20;A&#x20;base&#x20;chain&#x20;is&#x20;an&#x20;entry&#x20;point&#x20;for&#x20;packets&#x20;from&#x20;the&#x20;networking&#x20;stack,&#x20;a&#x20;regular&#x20;chain&#x20;may&#x20;be&#x20;used&#x20;as&#x20;jump&#x20;target&#x20;and&#x20;is&#x20;used&#x20;for&#x20;better&#x20;rule&#x20;organization.','If&#x20;a&#x20;base&#x20;chain&#x20;doesn&#039;t&#x20;exist&#x20;with&#x20;a&#x20;hook&#x20;for&#x20;input,&#x20;forward,&#x20;and&#x20;delete,&#x20;packets&#x20;that&#x20;would&#x20;flow&#x20;through&#x20;those&#x20;chains&#x20;will&#x20;not&#x20;be&#x20;touched&#x20;by&#x20;nftables.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;the&#x20;base&#x20;chains:&#x20;#&#x20;nft&#x20;createchain&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;&lt;base&#x20;chain&#x20;name&gt;&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;&lt;&#40;input|forward|output&#41;&gt;&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;','[{\"cis\": [\"3.5.2.6\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6101,'Ensure&#x20;loopback&#x20;traffic&#x20;is&#x20;configured.','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;input&#x20;iif&#x20;lo&#x20;accept;&#x20;&#x20;&#x20;#&#x20;nft&#x20;create&#x20;rule&#x20;inet&#x20;filter&#x20;input&#x20;ip&#x20;saddr&#x20;127.0.0.0/8&#x20;counter&#x20;drop;&#x20;IF&#x20;IPv6&#x20;is&#x20;enabled:&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;implement&#x20;the&#x20;IPv6&#x20;loopback&#x20;rules:&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;input&#x20;ip6&#x20;saddr::1&#x20;counter&#x20;drop','[{\"cis\": [\"3.5.2.7\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6102,'Ensure&#x20;outbound&#x20;and&#x20;established&#x20;connections&#x20;are&#x20;configured.','Configure&#x20;the&#x20;firewall&#x20;rules&#x20;for&#x20;new&#x20;outbound&#x20;and&#x20;established&#x20;connections.','If&#x20;rules&#x20;are&#x20;not&#x20;in&#x20;place&#x20;for&#x20;new&#x20;outbound&#x20;and&#x20;established&#x20;connections,&#x20;all&#x20;packets&#x20;will&#x20;be&#x20;dropped&#x20;by&#x20;the&#x20;default&#x20;policy&#x20;preventing&#x20;network&#x20;usage.','','Configure&#x20;nftables&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy.&#x20;The&#x20;following&#x20;commands&#x20;will&#x20;implement&#x20;a&#x20;policy&#x20;to&#x20;allow&#x20;all&#x20;outbound&#x20;connections&#x20;and&#x20;all&#x20;established&#x20;connections:&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;input&#x20;ip&#x20;protocol&#x20;tcp&#x20;ct&#x20;state&#x20;established&#x20;accept;&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;input&#x20;ip&#x20;protocol&#x20;udp&#x20;ct&#x20;state&#x20;established&#x20;accept;&#x20;&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;input&#x20;ip&#x20;protocol&#x20;icmp&#x20;ct&#x20;state&#x20;established&#x20;accept;&#x20;&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;output&#x20;ip&#x20;protocol&#x20;tcp&#x20;ct&#x20;state&#x20;new,related,established&#x20;accept;&#x20;&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;output&#x20;ip&#x20;protocol&#x20;udp&#x20;ct&#x20;state&#x20;new,related,established&#x20;accept;&#x20;&#x20;&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;output&#x20;ip&#x20;protocol&#x20;icmp&#x20;ct&#x20;state&#x20;new,related,established&#x20;accept','[{\"cis\": [\"3.5.2.8\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6103,'Ensure&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','Base&#x20;chain&#x20;policy&#x20;is&#x20;the&#x20;default&#x20;verdict&#x20;that&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;packets&#x20;reaching&#x20;the&#x20;end&#x20;of&#x20;the&#x20;chain.','There&#x20;are&#x20;two&#x20;policies:&#x20;accept&#x20;&#40;Default&#41;&#x20;and&#x20;drop.&#x20;If&#x20;the&#x20;policy&#x20;is&#x20;set&#x20;to&#x20;accept,&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied&#x20;and&#x20;the&#x20;packet&#x20;will&#x20;continue&#x20;traversing&#x20;the&#x20;network&#x20;stack.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;command&#x20;for&#x20;the&#x20;base&#x20;chains&#x20;with&#x20;the&#x20;input,&#x20;forward,&#x20;and&#x20;output&#x20;hooks&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;nft&#x20;chain&#x20;&lt;table&#x20;family&gt;&#x20;&lt;table&#x20;name&gt;&#x20;&lt;chain&#x20;name&gt;&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}','[{\"cis\": [\"3.5.2.9\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6104,'Ensure&#x20;nftables&#x20;service&#x20;is&#x20;enabled.','The&#x20;nftables&#x20;service&#x20;allows&#x20;for&#x20;the&#x20;loading&#x20;of&#x20;nftables&#x20;rulesets&#x20;during&#x20;boot,&#x20;or&#x20;starting&#x20;on&#x20;the&#x20;nftables&#x20;service','The&#x20;nftables&#x20;service&#x20;restores&#x20;the&#x20;nftables&#x20;rules&#x20;from&#x20;the&#x20;rules&#x20;files&#x20;referenced&#x20;in&#x20;the&#x20;/etc/sysconfig/nftables.conffile&#x20;during&#x20;boot&#x20;or&#x20;the&#x20;starting&#x20;of&#x20;the&#x20;nftables&#x20;service','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;nftables&#x20;service:&#x20;#&#x20;systemctl&#x20;enable&#x20;nftables','[{\"cis\": [\"3.5.2.10\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6105,'Ensure&#x20;nftables&#x20;rules&#x20;are&#x20;permanent.','nftables&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;Linux&#x20;kernel&#x20;providing&#x20;filtering&#x20;and&#x20;classification&#x20;of&#x20;network&#x20;packets/datagrams/frames.&#x20;The&#x20;nftables&#x20;service&#x20;reads&#x20;the&#x20;/etc/sysconfig/nftables.conffile&#x20;for&#x20;a&#x20;nftables&#x20;file&#x20;or&#x20;files&#x20;to&#x20;include&#x20;in&#x20;the&#x20;nftables&#x20;ruleset.&#x20;A&#x20;nftables&#x20;ruleset&#x20;containing&#x20;the&#x20;input,&#x20;forward,&#x20;and&#x20;output&#x20;base&#x20;chains&#x20;allow&#x20;network&#x20;traffic&#x20;to&#x20;be&#x20;filtered.','Changes&#x20;made&#x20;to&#x20;nftables&#x20;ruleset&#x20;only&#x20;affect&#x20;the&#x20;live&#x20;system,&#x20;you&#x20;will&#x20;also&#x20;need&#x20;to&#x20;configure&#x20;the&#x20;nftables&#x20;ruleset&#x20;to&#x20;apply&#x20;on&#x20;boot','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;nftables&#x20;service:&#x20;#&#x20;systemctl&#x20;enable&#x20;nftables','[{\"cis\": [\"3.5.2.11\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6106,'Ensure&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;iptables&#x20;-P&#x20;INPUT&#x20;DROP&#x20;&#x20;&#x20;#&#x20;iptables&#x20;-P&#x20;OUTPUT&#x20;DROP&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;iptables&#x20;-P&#x20;FORWARD&#x20;DROP','[{\"cis\": [\"3.5.3.2.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6107,'Ensure&#x20;loopback&#x20;traffic&#x20;is&#x20;configured.','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;iptables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-s&#x20;127.0.0.0/8&#x20;-j&#x20;DROP','[{\"cis\": [\"3.5.3.2.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6108,'Ensure&#x20;iptables&#x20;is&#x20;enabled&#x20;and&#x20;running.','iptables.service&#x20;is&#x20;a&#x20;utility&#x20;for&#x20;configuring&#x20;and&#x20;maintaining&#x20;iptables.','iptables.service&#x20;willload&#x20;the&#x20;iptables&#x20;rules&#x20;saved&#x20;in&#x20;the&#x20;file&#x20;/etc/sysconfig/iptablesat&#x20;boot,&#x20;otherwise&#x20;the&#x20;iptables&#x20;rules&#x20;will&#x20;be&#x20;cleared&#x20;during&#x20;a&#x20;re-boot&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;ip6tables&#x20;-P&#x20;INPUT&#x20;DROP;&#x20;#&#x20;ip6tables&#x20;-P&#x20;OUTPUT&#x20;DROP;&#x20;#&#x20;ip6tables&#x20;-PFORWARD&#x20;DROP','[{\"cis\": [\"3.5.3.2.6\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6109,'Ensure&#x20;IPv6&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;ip6tables&#x20;-P&#x20;INPUT&#x20;DROP;&#x20;#&#x20;ip6tables&#x20;-P&#x20;OUTPUT&#x20;DROP;&#x20;#&#x20;ip6tables&#x20;-PFORWARD&#x20;DROP','[{\"cis\": [\"3.5.3.3.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6110,'Ensure&#x20;IPv6&#x20;loopback&#x20;traffic&#x20;is&#x20;configured.','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;tothe&#x20;loopback&#x20;network&#x20;&#40;::1&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;::1&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT#&#x20;ip6tables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-s::1&#x20;-j&#x20;DROP','[{\"cis\": [\"3.5.3.3.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6111,'Ensure&#x20;IPv6&#x20;outbound&#x20;and&#x20;established&#x20;connections&#x20;are&#x20;configured.','Configure&#x20;the&#x20;firewall&#x20;rules&#x20;for&#x20;new&#x20;outbound,&#x20;and&#x20;established&#x20;IPv6&#x20;connections.','If&#x20;rules&#x20;are&#x20;not&#x20;in&#x20;place&#x20;for&#x20;new&#x20;outbound,&#x20;and&#x20;established&#x20;connections&#x20;all&#x20;packets&#x20;will&#x20;be&#x20;dropped&#x20;by&#x20;the&#x20;default&#x20;policy&#x20;preventing&#x20;network&#x20;usage','','Configure&#x20;iptables&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy.&#x20;The&#x20;following&#x20;commands&#x20;will&#x20;implement&#x20;a&#x20;policy&#x20;to&#x20;allow&#x20;all&#x20;outbound&#x20;connections&#x20;and&#x20;all&#x20;established&#x20;connections:#&#x20;ip6tables&#x20;-AOUTPUT&#x20;-p&#x20;tcp&#x20;-m&#x20;state&#x20;--state&#x20;NEW,ESTABLISHED&#x20;-j&#x20;ACCEPT#&#x20;ip6tables&#x20;-A&#x20;OUTPUT&#x20;-p&#x20;udp&#x20;-m&#x20;state&#x20;--state&#x20;NEW,ESTABLISHED&#x20;-j&#x20;ACCEPT#&#x20;ip6tables&#x20;-A&#x20;OUTPUT&#x20;-p&#x20;icmp&#x20;-m&#x20;state&#x20;--state&#x20;NEW,ESTABLISHED&#x20;-j&#x20;ACCEPT#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-p&#x20;tcp&#x20;-m&#x20;state&#x20;--state&#x20;ESTABLISHED&#x20;-j&#x20;ACCEPT#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-p&#x20;udp&#x20;-m&#x20;state&#x20;--state&#x20;ESTABLISHED&#x20;-j&#x20;ACCEPT#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-p&#x20;icmp&#x20;-m&#x20;state&#x20;--state&#x20;ESTABLISHED&#x20;-j&#x20;ACCEPT','[{\"cis\": [\"3.5.3.3.3\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6112,'Ensure&#x20;ip6tables&#x20;is&#x20;enabled&#x20;and&#x20;running.','ip6tables.service&#x20;is&#x20;a&#x20;utility&#x20;for&#x20;configuring&#x20;and&#x20;maintaining&#x20;ip6tables.','ip6tables.service&#x20;will&#x20;load&#x20;the&#x20;iptables&#x20;rules&#x20;saved&#x20;in&#x20;the&#x20;file&#x20;/etc/sysconfig/ip6tables&#x20;at&#x20;boot,&#x20;otherwise&#x20;the&#x20;ip6tables&#x20;rules&#x20;will&#x20;be&#x20;cleared&#x20;during&#x20;a&#x20;re-boot&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;ip6tables:&#x20;#&#x20;systemctl&#x20;--now&#x20;start&#x20;ip6tables','[{\"cis\": [\"3.5.3.3.6\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC8.1\"]}, {\"cis_level\": [\"1\"]}]'),(6113,'Ensure&#x20;auditd&#x20;is&#x20;installed.','auditd&#x20;is&#x20;the&#x20;userspace&#x20;component&#x20;to&#x20;the&#x20;Linux&#x20;Auditing&#x20;System.&#x20;It&#039;s&#x20;responsible&#x20;for&#x20;writing&#x20;audit&#x20;records&#x20;to&#x20;the&#x20;disk.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;Install&#x20;auditd&#x20;&#x20;#&#x20;yum&#x20;install&#x20;audit&#x20;audit-libs','[{\"cis\": [\"4.1.1.1\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\", \"10.7\"]}, {\"tsc\": [\"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"2\"]}]'),(6114,'Ensure&#x20;auditd&#x20;service&#x20;is&#x20;enabled&#x20;and&#x20;running.','Turn&#x20;on&#x20;the&#x20;auditd&#x20;daemon&#x20;to&#x20;record&#x20;system&#x20;events.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;auditd:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;auditd','[{\"cis\": [\"4.1.1.2\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\", \"10.7\"]}, {\"tsc\": [\"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"2\"]}]'),(6115,'Ensure&#x20;auditing&#x20;for&#x20;processes&#x20;that&#x20;start&#x20;prior&#x20;to&#x20;auditd&#x20;is&#x20;enabled.','Configure&#x20;grub&#x20;so&#x20;that&#x20;processes&#x20;that&#x20;are&#x20;capable&#x20;of&#x20;being&#x20;audited&#x20;can&#x20;be&#x20;audited&#x20;even&#x20;if&#x20;they&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;startup.','Audit&#x20;events&#x20;need&#x20;to&#x20;be&#x20;captured&#x20;on&#x20;processes&#x20;that&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd,&#x20;so&#x20;that&#x20;potential&#x20;malicious&#x20;activity&#x20;cannot&#x20;go&#x20;undetected.&#x20;Note:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub2&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit=1&#x20;to&#x20;GRUB_CMDLINE_LINUX:&#x20;GRUB_CMDLINE_LINUX=&quot;audit=1&quot;&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;grub2-mkconfig&#x20;-o&#x20;/boot/grub2/grub.cfg','[{\"cis\": [\"4.1.1.3\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.2.6\", \"10.7\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"35.7.d\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"2\"]}]'),(6116,'Ensure&#x20;audit&#x20;log&#x20;storage&#x20;size&#x20;is&#x20;configured.','Configure&#x20;the&#x20;maximum&#x20;size&#x20;of&#x20;the&#x20;audit&#x20;log&#x20;file.&#x20;Once&#x20;the&#x20;log&#x20;reaches&#x20;the&#x20;maximum&#x20;size,&#x20;it&#x20;will&#x20;be&#x20;rotated&#x20;and&#x20;a&#x20;new&#x20;log&#x20;file&#x20;will&#x20;be&#x20;started.','It&#x20;is&#x20;important&#x20;that&#x20;an&#x20;appropriate&#x20;size&#x20;is&#x20;determined&#x20;for&#x20;log&#x20;files&#x20;so&#x20;that&#x20;they&#x20;do&#x20;not&#x20;impact&#x20;the&#x20;system&#x20;and&#x20;audit&#x20;data&#x20;is&#x20;not&#x20;lost.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy:&#x20;max_log_file&#x20;=&#x20;&lt;MB&gt;','[{\"cis\": [\"4.1.2.1\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"10.7\"]}, {\"cis_level\": [\"2\"]}]'),(6117,'Ensure&#x20;audit&#x20;logs&#x20;are&#x20;not&#x20;automatically&#x20;deleted.','The&#x20;max_log_file_action&#x20;setting&#x20;determines&#x20;how&#x20;to&#x20;handle&#x20;the&#x20;audit&#x20;log&#x20;file&#x20;reaching&#x20;the&#x20;max&#x20;file&#x20;size.&#x20;A&#x20;value&#x20;of&#x20;keep_logs&#x20;will&#x20;rotate&#x20;the&#x20;logs&#x20;but&#x20;never&#x20;delete&#x20;old&#x20;logs.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;benefits&#x20;of&#x20;maintaining&#x20;a&#x20;long&#x20;audit&#x20;history&#x20;exceed&#x20;the&#x20;cost&#x20;of&#x20;storing&#x20;the&#x20;audit&#x20;history.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;max_log_file_action&#x20;=&#x20;keep_logs','[{\"cis\": [\"4.1.2.2\"]}, {\"cis_csc\": [\"6.2\", \"6.4\"]}, {\"pci_dss\": [\"10.7\"]}, {\"cis_level\": [\"2\"]}]'),(6118,'Ensure&#x20;system&#x20;is&#x20;disabled&#x20;when&#x20;audit&#x20;logs&#x20;are&#x20;full.','The&#x20;auditd&#x20;daemon&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;halt&#x20;the&#x20;system&#x20;when&#x20;the&#x20;audit&#x20;logs&#x20;are&#x20;full.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;risk&#x20;of&#x20;detecting&#x20;unauthorized&#x20;access&#x20;or&#x20;nonrepudiation&#x20;exceeds&#x20;the&#x20;benefit&#x20;of&#x20;the&#x20;system&#039;s&#x20;availability.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;space_left_action&#x20;=&#x20;email&#x20;&#x20;&#x20;action_mail_acct&#x20;=&#x20;root&#x20;&#x20;&#x20;admin_space_left_action&#x20;=&#x20;halt','[{\"cis\": [\"4.1.2.3\"]}, {\"cis_csc\": [\"6.2\", \"6.4\"]}, {\"pci_dss\": [\"10.7\"]}, {\"cis_level\": [\"2\"]}]'),(6119,'Ensure&#x20;audit_backlog_limit&#x20;is&#x20;sufficient.','The&#x20;backlog&#x20;limit&#x20;has&#x20;a&#x20;default&#x20;setting&#x20;of&#x20;64','During&#x20;boot&#x20;if&#x20;audit=1,&#x20;then&#x20;the&#x20;backlog&#x20;will&#x20;hold&#x20;64&#x20;records.&#x20;If&#x20;more&#x20;than&#x20;64&#x20;records&#x20;are&#x20;created&#x20;during&#x20;boot,&#x20;auditd&#x20;records&#x20;will&#x20;be&#x20;lost&#x20;and&#x20;potential&#x20;malicious&#x20;activity&#x20;could&#x20;go&#x20;undetected','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit_backlog_limit=&lt;BACKLOG&#x20;SIZE&gt;&#x20;&#x20;to&#x20;GRUB_CMDLINE_LINUX:&#x20;&#x20;&#x20;Example:&#x20;&#x20;GRUB_CMDLINE_LINUX=&quot;audit_backlog_limit=8192&quot;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;grub2-mkconfig&#x20;-o&#x20;/boot/grub2/grub.cfg','[{\"cis\": [\"4.1.2.4\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.7\"]}, {\"cis_level\": [\"2\"]}]'),(6120,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;date&#x20;and&#x20;time&#x20;information&#x20;are&#x20;collected.','Capture&#x20;events&#x20;where&#x20;the&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;has&#x20;been&#x20;modified.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;are&#x20;set&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;adjtimex&#x20;&#40;tune&#x20;kernel&#x20;clock&#41;,&#x20;settimeofday&#x20;&#40;Set&#x20;time,&#x20;using&#x20;timeval&#x20;and&#x20;timezone&#x20;structures&#41;&#x20;stime&#x20;&#40;using&#x20;seconds&#x20;since&#x20;1/1/1970&#41;&#x20;or&#x20;clock_settime&#x20;&#40;allows&#x20;for&#x20;the&#x20;setting&#x20;of&#x20;several&#x20;internal&#x20;clocks&#x20;and&#x20;timers&#41;&#x20;system&#x20;calls&#x20;have&#x20;been&#x20;executed&#x20;and&#x20;always&#x20;write&#x20;an&#x20;audit&#x20;record&#x20;to&#x20;the&#x20;/var/log/audit.log&#x20;file&#x20;upon&#x20;exit,&#x20;tagging&#x20;the&#x20;records&#x20;with&#x20;the&#x20;identifier&#x20;&quot;time-change&quot;.','Unexpected&#x20;changes&#x20;in&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;could&#x20;be&#x20;a&#x20;sign&#x20;of&#x20;malicious&#x20;activity&#x20;on&#x20;the&#x20;system.','','For&#x20;32&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/time-change.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/time-change.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-Farch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.3\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.4.2\", \"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"2\"]}]'),(6121,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;user/group&#x20;information&#x20;are&#x20;collected.','Record&#x20;events&#x20;affecting&#x20;the&#x20;group,&#x20;passwd&#x20;&#40;user&#x20;IDs&#41;,&#x20;shadow&#x20;and&#x20;gshadow&#x20;&#40;passwords&#41;&#x20;or&#x20;/etc/security/opasswd&#x20;&#40;old&#x20;passwords,&#x20;based&#x20;on&#x20;remember&#x20;parameter&#x20;in&#x20;the&#x20;PAM&#x20;configuration&#41;&#x20;files.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;will&#x20;watch&#x20;the&#x20;files&#x20;to&#x20;see&#x20;if&#x20;they&#x20;have&#x20;been&#x20;opened&#x20;for&#x20;write&#x20;or&#x20;have&#x20;had&#x20;attribute&#x20;changes&#x20;&#40;e.g.&#x20;permissions&#41;&#x20;and&#x20;tag&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;identity&quot;&#x20;in&#x20;the&#x20;audit&#x20;log&#x20;file.','Unexpected&#x20;changes&#x20;to&#x20;these&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;the&#x20;system&#x20;has&#x20;been&#x20;compromised&#x20;and&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;hide&#x20;their&#x20;activities&#x20;or&#x20;compromise&#x20;additional&#x20;accounts.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/identity.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/group&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/passwd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/gshadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/shadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/security/opasswd&#x20;-p&#x20;wa&#x20;-k&#x20;identity.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.4\"]}, {\"cis_csc\": [\"4.8\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"2\"]}]'),(6122,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;network&#x20;environment&#x20;are&#x20;collected.','Record&#x20;changes&#x20;to&#x20;network&#x20;environment&#x20;files&#x20;or&#x20;system&#x20;calls.&#x20;The&#x20;below&#x20;parameters&#x20;monitor&#x20;the&#x20;sethostname&#x20;&#40;set&#x20;the&#x20;systems&#x20;host&#x20;name&#41;&#x20;or&#x20;setdomainname&#x20;&#40;set&#x20;the&#x20;systems&#x20;domainname&#41;&#x20;system&#x20;calls,&#x20;and&#x20;write&#x20;an&#x20;audit&#x20;event&#x20;on&#x20;system&#x20;call&#x20;exit.&#x20;The&#x20;other&#x20;parameters&#x20;monitor&#x20;the&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;files&#x20;&#40;messages&#x20;displayed&#x20;pre-login&#41;,&#x20;/etc/hosts&#x20;&#40;file&#x20;containing&#x20;host&#x20;names&#x20;and&#x20;associated&#x20;IP&#x20;addresses&#41;,&#x20;/etc/sysconfig/network&#x20;file&#x20;and&#x20;/etc/sysconfig/network-scripts/&#x20;directory&#x20;&#40;containing&#x20;network&#x20;interface&#x20;scripts&#x20;and&#x20;configurations&#41;.','Monitoring&#x20;sethostname&#x20;and&#x20;setdomainname&#x20;will&#x20;identify&#x20;potential&#x20;unauthorized&#x20;changes&#x20;to&#x20;host&#x20;and&#x20;domainname&#x20;of&#x20;a&#x20;system.&#x20;The&#x20;changing&#x20;of&#x20;these&#x20;names&#x20;could&#x20;potentially&#x20;break&#x20;security&#x20;parameters&#x20;that&#x20;are&#x20;set&#x20;based&#x20;on&#x20;those&#x20;names.&#x20;The&#x20;/etc/hosts&#x20;file&#x20;is&#x20;monitored&#x20;for&#x20;changes&#x20;in&#x20;the&#x20;file&#x20;that&#x20;can&#x20;indicate&#x20;an&#x20;unauthorized&#x20;intruder&#x20;is&#x20;trying&#x20;to&#x20;change&#x20;machine&#x20;associations&#x20;with&#x20;IP&#x20;addresses&#x20;and&#x20;trick&#x20;users&#x20;and&#x20;processes&#x20;into&#x20;connecting&#x20;to&#x20;unintended&#x20;machines.&#x20;Monitoring&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;is&#x20;important,&#x20;as&#x20;intruders&#x20;could&#x20;put&#x20;disinformation&#x20;into&#x20;those&#x20;files&#x20;and&#x20;trick&#x20;users&#x20;into&#x20;providing&#x20;information&#x20;to&#x20;the&#x20;intruder.&#x20;Monitoring&#x20;/etc/sysconfig/network&#x20;and&#x20;/etc/sysconfig/network-scripts/&#x20;is&#x20;important&#x20;as&#x20;it&#x20;can&#x20;show&#x20;if&#x20;network&#x20;interfaces&#x20;or&#x20;scripts&#x20;are&#x20;being&#x20;modified&#x20;in&#x20;a&#x20;way&#x20;that&#x20;can&#x20;lead&#x20;to&#x20;the&#x20;machine&#x20;becoming&#x20;unavailable&#x20;or&#x20;compromised.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;system-locale.&quot;','','For&#x20;32&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/system-locale.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/sysconfig/network&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/system-locale.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/sysconfig/network&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;','[{\"cis\": [\"4.1.5\"]}, {\"cis_csc\": [\"5.5\", \"6.2\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"2\"]}]'),(6123,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;Mandatory&#x20;Access&#x20;Controls&#x20;are&#x20;collected.','Monitor&#x20;SELinux&#x20;mandatory&#x20;access&#x20;controls.&#x20;The&#x20;parameters&#x20;below&#x20;monitor&#x20;any&#x20;write&#x20;access&#x20;&#40;potential&#x20;additional,&#x20;deletion&#x20;or&#x20;modification&#x20;of&#x20;files&#x20;in&#x20;the&#x20;directory&#41;&#x20;or&#x20;attribute&#x20;changes&#x20;to&#x20;&#x20;the&#x20;/etc/selinux/&#x20;and&#x20;/usr/share/selinux/&#x20;directories.','Changes&#x20;to&#x20;files&#x20;in&#x20;the&#x20;/etc/selinux/&#x20;and&#x20;/usr/share/selinux/&#x20;directories&#x20;could&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;modify&#x20;access&#x20;controls&#x20;and&#x20;change&#x20;security&#x20;contexts,&#x20;leading&#x20;to&#x20;a&#x20;compromise&#x20;of&#x20;the&#x20;system.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/MAC-policy.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-w&#x20;/etc/selinux/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;-w&#x20;/usr/share/selinux/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;.','[{\"cis\": [\"4.1.6\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"2\"]}]'),(6124,'Ensure&#x20;login&#x20;and&#x20;logout&#x20;events&#x20;are&#x20;collected.','Monitor&#x20;login&#x20;and&#x20;logout&#x20;events.&#x20;The&#x20;parameters&#x20;below&#x20;track&#x20;changes&#x20;to&#x20;files&#x20;associated&#x20;with&#x20;login/logout&#x20;events.&#x20;The&#x20;file&#x20;/var/log/faillog&#x20;tracks&#x20;failed&#x20;events&#x20;from&#x20;login.&#x20;The&#x20;file&#x20;/var/log/lastlog&#x20;maintain&#x20;records&#x20;of&#x20;the&#x20;last&#x20;time&#x20;a&#x20;user&#x20;successfully&#x20;logged&#x20;in.&#x20;The&#x20;/var/run/faillock/&#x20;directory&#x20;maintains&#x20;records&#x20;of&#x20;login&#x20;failures&#x20;via&#x20;the&#x20;pam_faillock&#x20;module.&#x20;The&#x20;file&#x20;/var/log/tallylog&#x20;maintains&#x20;records&#x20;of&#x20;failures&#x20;via&#x20;the&#x20;pam_tally2&#x20;module','Monitoring&#x20;login/logout&#x20;events&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;information&#x20;associated&#x20;with&#x20;brute&#x20;force&#x20;attacks&#x20;against&#x20;user&#x20;logins.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/logins.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;-w&#x20;/var/log/lastlog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&#x20;&#x20;-w&#x20;/var/run/faillog/&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&#x20;&#x20;IF&#x20;&#x20;&#x20;the&#x20;pam_faillock.so&#x20;module&#x20;is&#x20;used:&#x20;Also&#x20;include&#x20;the&#x20;line:&#x20;&#x20;-w&#x20;/var/run/faillock/&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&#x20;&#x20;OR&#x20;IF&#x20;the&#x20;pam_tally2.so&#x20;module&#x20;is&#x20;used:&#x20;Also&#x20;include&#x20;the&#x20;line:&#x20;&#x20;-w&#x20;/var/log/tallylog&#x20;-p&#x20;wa&#x20;-k&#x20;logins','[{\"cis\": [\"4.1.7\"]}, {\"cis_csc\": [\"4.9\", \"16.11\", \"16.13\"]}, {\"pci_dss\": [\"10.2.1\", \"10.2.4\", \"10.3\"]}, {\"nist_800_53\": [\"AC.7\", \"AU.14\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"2\"]}]'),(6125,'Ensure&#x20;session&#x20;initiation&#x20;information&#x20;is&#x20;collected.','Monitor&#x20;session&#x20;initiation&#x20;events.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;to&#x20;the&#x20;files&#x20;associated&#x20;with&#x20;session&#x20;events.&#x20;The&#x20;file&#x20;/var/run/utmp&#x20;file&#x20;tracks&#x20;all&#x20;currently&#x20;logged&#x20;in&#x20;users.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;session.&quot;&#x20;The&#x20;/var/log/wtmp&#x20;file&#x20;tracks&#x20;logins,&#x20;logouts,&#x20;shutdown,&#x20;and&#x20;reboot&#x20;events.&#x20;The&#x20;file&#x20;/var/log/btmp&#x20;keeps&#x20;track&#x20;of&#x20;failed&#x20;login&#x20;attempts&#x20;and&#x20;can&#x20;be&#x20;read&#x20;by&#x20;entering&#x20;the&#x20;command&#x20;/usr/bin/last&#x20;-f&#x20;/var/log/btmp&#x20;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;logins.&quot;.','Monitoring&#x20;these&#x20;files&#x20;for&#x20;changes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;logins&#x20;occurring&#x20;at&#x20;unusual&#x20;hours,&#x20;which&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;&#40;i.e.&#x20;a&#x20;user&#x20;logging&#x20;in&#x20;at&#x20;a&#x20;time&#x20;when&#x20;they&#x20;do&#x20;not&#x20;normally&#x20;log&#x20;in&#41;.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/logins.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-w&#x20;/var/run/utmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;&#x20;&#x20;-w&#x20;/var/log/wtmp&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&#x20;&#x20;-w&#x20;/var/log/btmp&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;.&#x20;Notes:&#x20;The&#x20;last&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;read&#x20;/var/log/wtmp&#x20;&#40;&#x20;last&#x20;with&#x20;no&#x20;parameters&#41;&#x20;and&#x20;/var/run/utmp&#x20;&#40;&#x20;last&#x20;-f&#x20;/var/run/utmp&#x20;&#41;&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.8\"]}, {\"cis_csc\": [\"4.9\", \"16.11\", \"16.13\"]}, {\"pci_dss\": [\"10.3\"]}, {\"cis_level\": [\"2\"]}]'),(6126,'Ensure&#x20;discretionary&#x20;access&#x20;control&#x20;permission&#x20;modification&#x20;events&#x20;are&#x20;collected.','Monitor&#x20;changes&#x20;to&#x20;file&#x20;permissions,&#x20;attributes,&#x20;ownership&#x20;and&#x20;group.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;for&#x20;system&#x20;calls&#x20;that&#x20;affect&#x20;file&#x20;permissions&#x20;and&#x20;attributes.&#x20;The&#x20;chmod,&#x20;fchmod&#x20;and&#x20;fchmodat&#x20;system&#x20;calls&#x20;affect&#x20;the&#x20;permissions&#x20;associated&#x20;with&#x20;a&#x20;file.&#x20;The&#x20;chown,&#x20;fchown,&#x20;fchownat&#x20;and&#x20;lchown&#x20;system&#x20;calls&#x20;affect&#x20;owner&#x20;and&#x20;group&#x20;attributes&#x20;on&#x20;a&#x20;file.&#x20;The&#x20;setxattr,&#x20;lsetxattr,&#x20;fsetxattr&#x20;&#40;set&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;and&#x20;removexattr,&#x20;lremovexattr,&#x20;fremovexattr&#x20;&#40;remove&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;control&#x20;extended&#x20;file&#x20;attributes.&#x20;In&#x20;all&#x20;cases,&#x20;an&#x20;audit&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;for&#x20;non-system&#x20;user&#x20;ids&#x20;&#40;auid&#x20;&gt;=&#x20;1000&#41;&#x20;and&#x20;will&#x20;ignore&#x20;Daemon&#x20;events&#x20;&#40;auid&#x20;=&#x20;4294967295&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;perm_mod.&quot;','Monitoring&#x20;for&#x20;changes&#x20;in&#x20;file&#x20;attributes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;activity&#x20;that&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;or&#x20;policy&#x20;violation.','','For&#x20;32&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/perm_mod.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/perm_mod.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lrem&#x20;.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.9\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"2\"]}]'),(6127,'Ensure&#x20;unsuccessful&#x20;unauthorized&#x20;file&#x20;access&#x20;attempts&#x20;are&#x20;collected.','Monitor&#x20;for&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;access&#x20;files.&#x20;The&#x20;parameters&#x20;below&#x20;are&#x20;associated&#x20;&#x20;with&#x20;system&#x20;calls&#x20;that&#x20;control&#x20;creation&#x20;&#40;&#x20;creat&#x20;&#41;,&#x20;opening&#x20;&#40;&#x20;open,&#x20;openat&#x20;&#41;&#x20;and&#x20;truncation&#x20;&#40;&#x20;&#x20;truncate,&#x20;ftruncate&#x20;&#41;&#x20;of&#x20;files.&#x20;An&#x20;audit&#x20;log&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;if&#x20;the&#x20;user&#x20;is&#x20;a&#x20;non-&#x20;&#x20;privileged&#x20;user&#x20;&#40;auid&#x20;&gt;&#x20;=&#x20;1000&#41;,&#x20;is&#x20;not&#x20;a&#x20;Daemon&#x20;event&#x20;&#40;auid=4294967295&#41;&#x20;and&#x20;if&#x20;the&#x20;&#x20;system&#x20;call&#x20;returned&#x20;EACCES&#x20;&#40;permission&#x20;denied&#x20;to&#x20;the&#x20;file&#41;&#x20;or&#x20;EPERM&#x20;&#40;some&#x20;other&#x20;&#x20;permanent&#x20;error&#x20;associated&#x20;with&#x20;the&#x20;specific&#x20;system&#x20;call&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;&#x20;with&#x20;the&#x20;identifier&#x20;&quot;access.&quot;','Failed&#x20;attempts&#x20;to&#x20;open,&#x20;create&#x20;or&#x20;truncate&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;an&#x20;individual&#x20;or&#x20;process&#x20;is&#x20;trying&#x20;to&#x20;gain&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','For&#x20;32&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/access.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/access.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.10\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"10.2.4\"]}, {\"nist_800_53\": [\"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"2\"]}]'),(6128,'Ensure&#x20;successful&#x20;file&#x20;system&#x20;mounts&#x20;are&#x20;collected.','Monitor&#x20;the&#x20;use&#x20;of&#x20;the&#x20;mount&#x20;system&#x20;call.&#x20;The&#x20;mount&#x20;&#40;and&#x20;umount&#x20;&#41;&#x20;system&#x20;call&#x20;controls&#x20;the&#x20;mounting&#x20;and&#x20;unmounting&#x20;of&#x20;file&#x20;systems.&#x20;The&#x20;parameters&#x20;below&#x20;configure&#x20;the&#x20;system&#x20;to&#x20;create&#x20;an&#x20;audit&#x20;record&#x20;when&#x20;the&#x20;mount&#x20;system&#x20;call&#x20;is&#x20;used&#x20;by&#x20;a&#x20;non-privileged&#x20;user.','It&#x20;is&#x20;highly&#x20;unusual&#x20;for&#x20;a&#x20;non&#x20;privileged&#x20;user&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;to&#x20;the&#x20;system.&#x20;While&#x20;tracking&#x20;mount&#x20;commands&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;evidence&#x20;that&#x20;external&#x20;media&#x20;may&#x20;have&#x20;been&#x20;mounted&#x20;&#40;based&#x20;on&#x20;a&#x20;review&#x20;of&#x20;the&#x20;source&#x20;of&#x20;the&#x20;mount&#x20;and&#x20;confirming&#x20;it&#039;s&#x20;an&#x20;external&#x20;media&#x20;type&#41;,&#x20;it&#x20;does&#x20;not&#x20;conclusively&#x20;indicate&#x20;that&#x20;data&#x20;was&#x20;exported&#x20;to&#x20;the&#x20;media.&#x20;System&#x20;administrators&#x20;who&#x20;wish&#x20;to&#x20;determine&#x20;if&#x20;data&#x20;were&#x20;exported,&#x20;would&#x20;also&#x20;have&#x20;to&#x20;track&#x20;successful&#x20;open,&#x20;creat&#x20;and&#x20;truncate&#x20;system&#x20;calls&#x20;requiring&#x20;write&#x20;access&#x20;to&#x20;a&#x20;file&#x20;under&#x20;the&#x20;mount&#x20;point&#x20;of&#x20;the&#x20;external&#x20;media&#x20;file&#x20;system.&#x20;This&#x20;could&#x20;give&#x20;a&#x20;fair&#x20;indication&#x20;that&#x20;a&#x20;write&#x20;occurred.&#x20;The&#x20;only&#x20;way&#x20;to&#x20;truly&#x20;prove&#x20;it,&#x20;would&#x20;be&#x20;to&#x20;track&#x20;successful&#x20;writes&#x20;to&#x20;the&#x20;external&#x20;media.&#x20;Tracking&#x20;write&#x20;system&#x20;calls&#x20;could&#x20;quickly&#x20;fill&#x20;up&#x20;the&#x20;audit&#x20;log&#x20;and&#x20;is&#x20;not&#x20;recommended.&#x20;Recommendations&#x20;on&#x20;configuration&#x20;options&#x20;to&#x20;track&#x20;data&#x20;export&#x20;to&#x20;media&#x20;is&#x20;beyond&#x20;the&#x20;scope&#x20;of&#x20;this&#x20;document.','','For&#x20;32&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/mount.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/mounts.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts&#x20;.&#x20;Notes:&#x20;This&#x20;tracks&#x20;successful&#x20;and&#x20;unsuccessful&#x20;mount&#x20;commands.&#x20;File&#x20;system&#x20;mounts&#x20;do&#x20;not&#x20;have&#x20;to&#x20;come&#x20;from&#x20;external&#x20;media&#x20;and&#x20;this&#x20;action&#x20;still&#x20;does&#x20;not&#x20;verify&#x20;write&#x20;&#40;e.g.&#x20;CD&#x20;ROMS&#41;.&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.12\"]}, {\"cis_csc\": [\"6.2\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"2\"]}]'),(6129,'Ensure&#x20;file&#x20;deletion&#x20;events&#x20;by&#x20;users&#x20;are&#x20;collected.','Monitor&#x20;the&#x20;use&#x20;of&#x20;system&#x20;calls&#x20;associated&#x20;with&#x20;the&#x20;deletion&#x20;or&#x20;renaming&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes.&#x20;This&#x20;configuration&#x20;statement&#x20;sets&#x20;up&#x20;monitoring&#x20;for&#x20;ollowing&#x20;system&#x20;calls&#x20;and&#x20;tags&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;delete&quot;:&#x20;unlink&#x20;-remove&#x20;a&#x20;file&#x20;&#x20;&#x20;&#x20;&#x20;unlinkat&#x20;-&#x20;remove&#x20;a&#x20;file&#x20;attribute&#41;,&#x20;rename&#x20;&#40;rename&#x20;a&#x20;file&#x20;and&#x20;renameat&#x20;-&#x20;rename&#x20;a&#x20;file&#x20;attribute.','Monitoring&#x20;these&#x20;calls&#x20;from&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;evidence&#x20;that&#x20;inappropriate&#x20;removal&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes&#x20;associated&#x20;with&#x20;protected&#x20;files&#x20;is&#x20;occurring.&#x20;While&#x20;this&#x20;audit&#x20;option&#x20;will&#x20;look&#x20;at&#x20;all&#x20;events,&#x20;system&#x20;administrators&#x20;will&#x20;want&#x20;to&#x20;look&#x20;for&#x20;specific&#x20;privileged&#x20;files&#x20;that&#x20;are&#x20;being&#x20;deleted&#x20;or&#x20;altered.','','For&#x20;32&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/delete.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/delete.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete&#x20;.&#x20;Notes:&#x20;At&#x20;a&#x20;minimum,&#x20;configure&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;collect&#x20;file&#x20;deletion&#x20;events&#x20;for&#x20;all&#x20;users&#x20;and&#x20;root.&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.13\"]}, {\"cis_csc\": [\"6.2\", \"13\"]}, {\"pci_dss\": [\"10.5.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC7.1\", \"CC7.2\", \"CC7.3\", \"CC8.1\"]}, {\"cis_level\": [\"2\"]}]'),(6130,'Ensure&#x20;changes&#x20;to&#x20;system&#x20;administration&#x20;scope&#x20;&#40;sudoers&#41;&#x20;is&#x20;collected.','Monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrators.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;force&#x20;system&#x20;administrators&#x20;to&#x20;log&#x20;in&#x20;as&#x20;themselves&#x20;first&#x20;and&#x20;then&#x20;use&#x20;the&#x20;sudo&#x20;command&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;it&#x20;is&#x20;possible&#x20;to&#x20;monitor&#x20;changes&#x20;in&#x20;scope.&#x20;The&#x20;file&#x20;/etc/sudoers&#x20;or&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/sudoers.d&#x20;directory&#x20;will&#x20;be&#x20;written&#x20;to&#x20;when&#x20;the&#x20;file&#x20;or&#x20;its&#x20;attributes&#x20;have&#x20;changed.','Changes&#x20;in&#x20;the&#x20;/etc/sudoers&#x20;file,&#x20;or&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/sudoers.d/&#x20;directory&#x20;can&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;change&#x20;has&#x20;been&#x20;made&#x20;to&#x20;scope&#x20;of&#x20;system&#x20;administrator&#x20;activity.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/scope.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines::&#x20;&#x20;&#x20;-w&#x20;/etc/sudoers&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;&#x20;&#x20;-w&#x20;/etc/sudoers.d/&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;.&#x20;Notes:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','[{\"cis\": [\"4.1.14\"]}, {\"cis_csc\": [\"4.8\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"2\"]}]'),(6131,'Ensure&#x20;system&#x20;administrator&#x20;actions&#x20;&#40;sudolog&#41;&#x20;are&#x20;collected.','Monitor&#x20;the&#x20;sudo&#x20;log&#x20;file.&#x20;The&#x20;sudo&#x20;log&#x20;file&#x20;is&#x20;configured&#x20;in&#x20;/etc/sudoersor&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;disable&#x20;the&#x20;use&#x20;of&#x20;the&#x20;su&#x20;command&#x20;and&#x20;force&#x20;all&#x20;administrators&#x20;to&#x20;have&#x20;to&#x20;log&#x20;in&#x20;first&#x20;and&#x20;then&#x20;use&#x20;sudo&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;then&#x20;all&#x20;administrator&#x20;commands&#x20;will&#x20;be&#x20;logged&#x20;to&#x20;the&#x20;sudo&#x20;log&#x20;file.&#x20;Any&#x20;time&#x20;a&#x20;command&#x20;is&#x20;executed,&#x20;an&#x20;audit&#x20;event&#x20;will&#x20;be&#x20;triggered&#x20;as&#x20;the&#x20;sudo&#x20;log&#x20;file&#x20;will&#x20;be&#x20;opened&#x20;for&#x20;write&#x20;and&#x20;the&#x20;executed&#x20;administration&#x20;command&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;log.','Changes&#x20;in&#x20;/var/log/sudo.log&#x20;indicate&#x20;that&#x20;an&#x20;administrator&#x20;has&#x20;executed&#x20;a&#x20;command&#x20;or&#x20;the&#x20;log&#x20;file&#x20;itself&#x20;has&#x20;been&#x20;tampered&#x20;with.&#x20;Administrators&#x20;will&#x20;want&#x20;to&#x20;correlate&#x20;the&#x20;events&#x20;written&#x20;to&#x20;the&#x20;audit&#x20;trail&#x20;with&#x20;the&#x20;records&#x20;written&#x20;to&#x20;/var/log/sudo.log&#x20;to&#x20;verify&#x20;if&#x20;unauthorized&#x20;commands&#x20;have&#x20;been&#x20;executed.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/action.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-w&#x20;/var/log/sudo.log&#x20;-p&#x20;wa&#x20;-k&#x20;actions&#x20;.','[{\"cis\": [\"4.1.15\"]}, {\"cis_csc\": [\"4.9\", \"5.5\"]}, {\"pci_dss\": [\"10.2.2\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.6\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"2\"]}]'),(6132,'Ensure&#x20;kernel&#x20;module&#x20;loading&#x20;and&#x20;unloading&#x20;is&#x20;collected.','Monitor&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;kernel&#x20;modules.&#x20;The&#x20;programs&#x20;insmod&#x20;&#40;install&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;rmmod&#x20;&#40;remove&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;and&#x20;modprobe&#x20;&#40;a&#x20;more&#x20;sophisticated&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules,&#x20;as&#x20;well&#x20;as&#x20;some&#x20;other&#x20;features&#41;&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;The&#x20;init_module&#x20;&#40;load&#x20;a&#x20;module&#41;&#x20;and&#x20;delete_module&#x20;&#40;delete&#x20;a&#x20;module&#41;&#x20;system&#x20;calls&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;Any&#x20;execution&#x20;of&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;module&#x20;programs&#x20;and&#x20;system&#x20;calls&#x20;will&#x20;trigger&#x20;an&#x20;audit&#x20;record&#x20;with&#x20;an&#x20;identifier&#x20;of&#x20;&quot;modules&quot;.','Monitoring&#x20;the&#x20;use&#x20;of&#x20;insmod,&#x20;rmmod&#x20;and&#x20;modprobe&#x20;could&#x20;provide&#x20;system&#x20;administrators&#x20;with&#x20;evidence&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;loaded&#x20;or&#x20;unloaded&#x20;a&#x20;kernel&#x20;module,&#x20;possibly&#x20;compromising&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.&#x20;Monitoring&#x20;of&#x20;the&#x20;init_module&#x20;and&#x20;delete_module&#x20;system&#x20;calls&#x20;would&#x20;reflect&#x20;an&#x20;unauthorized&#x20;user&#x20;attempting&#x20;to&#x20;use&#x20;a&#x20;different&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules.&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/modules.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;-w&#x20;/sbin/insmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-w&#x20;/sbin/rmmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-w&#x20;/sbin/modprobe&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;init_module&#x20;-S&#x20;delete_module&#x20;-k&#x20;modules&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/directory&#x20;ending&#x20;in&#x20;.rules&#x20;&#x20;Example:&#x20;vi&#x20;/etc/audit/rules.d/modules.rules&#x20;Add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-w&#x20;/sbin/insmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-w&#x20;/sbin/rmmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-w&#x20;/sbin/modprobe&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;init_module&#x20;-S&#x20;delete_module&#x20;-k&#x20;modules&#x20;','[{\"cis\": [\"4.1.16\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"2\"]}]'),(6133,'Ensure&#x20;the&#x20;audit&#x20;configuration&#x20;is&#x20;immutable.','Set&#x20;system&#x20;audit&#x20;so&#x20;that&#x20;audit&#x20;rules&#x20;cannot&#x20;be&#x20;modified&#x20;with&#x20;auditctl&#x20;.&#x20;Setting&#x20;the&#x20;flag&#x20;&quot;-e&#x20;2&quot;&#x20;forces&#x20;audit&#x20;to&#x20;be&#x20;put&#x20;in&#x20;immutable&#x20;mode.&#x20;Audit&#x20;changes&#x20;can&#x20;only&#x20;be&#x20;made&#x20;on&#x20;system&#x20;reboot.','In&#x20;immutable&#x20;mode,&#x20;unauthorized&#x20;users&#x20;cannot&#x20;execute&#x20;changes&#x20;to&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;potentially&#x20;hide&#x20;malicious&#x20;activity&#x20;and&#x20;then&#x20;put&#x20;the&#x20;audit&#x20;rules&#x20;back.&#x20;Users&#x20;would&#x20;most&#x20;likely&#x20;notice&#x20;a&#x20;system&#x20;reboot&#x20;and&#x20;that&#x20;could&#x20;alert&#x20;administrators&#x20;of&#x20;an&#x20;attempt&#x20;to&#x20;make&#x20;unauthorized&#x20;audit&#x20;changes.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/audit/rules.d/99-finalize.rulesand&#x20;add&#x20;the&#x20;following&#x20;line&#x20;at&#x20;the&#x20;end&#x20;of&#x20;the&#x20;file:&#x20;&#x20;-e&#x20;2','[{\"cis\": [\"4.1.17\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"2\"]}]'),(6134,'Ensure&#x20;rsyslog&#x20;is&#x20;installed.','The&#x20;rsyslog&#x20;software&#x20;is&#x20;a&#x20;recommended&#x20;replacement&#x20;to&#x20;the&#x20;original&#x20;syslogd&#x20;daemon.&#x20;rsyslog&#x20;provides&#x20;improvements&#x20;over&#x20;syslogd,&#x20;including:&#x20;&#x20;&#x20;-&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs&#x20;&#x20;&#x20;&#x20;&#x20;-&#x20;The&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats&#x20;&#x20;&#x20;&#x20;-&#x20;Encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server','The&#x20;security&#x20;enhancements&#x20;of&#x20;rsyslog&#x20;and&#x20;syslog-ng&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server&#41;&#x20;justify&#x20;installing&#x20;and&#x20;configuring&#x20;the&#x20;package.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;rsyslog:&#x20;#&#x20;yum&#x20;install&#x20;rsyslog','[{\"cis\": [\"4.2.1.1\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"1\"]}]'),(6135,'Ensure&#x20;rsyslog&#x20;Service&#x20;is&#x20;enabled&#x20;and&#x20;running.','rsyslogneeds&#x20;to&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;to&#x20;perform&#x20;logging','If&#x20;the&#x20;rsyslog&#x20;service&#x20;is&#x20;not&#x20;activated&#x20;the&#x20;system&#x20;may&#x20;default&#x20;to&#x20;the&#x20;syslogd&#x20;service&#x20;or&#x20;lackblogging&#x20;instead.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;rsyslog:&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;rsyslog','[{\"cis\": [\"4.2.1.2\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"1\"]}]'),(6136,'Ensure&#x20;rsyslog&#x20;default&#x20;file&#x20;permissions&#x20;configured.','rsyslog&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;set&#x20;$FileCreateMode&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;&#x20;&#x20;$FileCreateMode&#x20;0640','[{\"cis\": [\"4.2.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"1\"]}]'),(6137,'Ensure&#x20;rsyslog&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host.','The&#x20;rsyslog&#x20;utility&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;logs&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;running&#x20;syslogd&#40;8&#41;&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;reducing&#x20;administrative&#x20;overhead.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;&#40;where&#x20;loghost.example.com&#x20;is&#x20;the&#x20;name&#x20;of&#x20;your&#x20;central&#x20;log&#x20;host&#41;.&#x20;&#x20;&#x20;*.*&#x20;@@loghost.example.com&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;rsyslogd&#x20;configuration:&#x20;#&#x20;&#x20;systemctl&#x20;restart&#x20;rsyslog','[{\"cis\": [\"4.2.1.5\"]}, {\"cis_csc\": [\"6.6\", \"6.8\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"1\"]}]'),(6138,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;rsyslog&#x20;.','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Utilities&#x20;exist&#x20;to&#x20;accept&#x20;remote&#x20;export&#x20;of&#x20;journald&#x20;logs,&#x20;however,&#x20;use&#x20;of&#x20;the&#x20;rsyslog&#x20;service&#x20;provides&#x20;a&#x20;consistent&#x20;means&#x20;of&#x20;log&#x20;collection&#x20;and&#x20;export.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;ForwardToSyslog=yes','[{\"cis\": [\"4.2.2.1\"]}, {\"cis_csc\": [\"6.5\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"1\"]}]'),(6139,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;compress&#x20;large&#x20;log&#x20;files.','The&#x20;journald&#x20;system&#x20;includes&#x20;the&#x20;capability&#x20;of&#x20;compressing&#x20;overly&#x20;large&#x20;files&#x20;to&#x20;avoid&#x20;filling&#x20;up&#x20;the&#x20;system&#x20;with&#x20;logs&#x20;or&#x20;making&#x20;the&#x20;logs&#x20;unmanageably&#x20;large.','Uncompressed&#x20;large&#x20;files&#x20;may&#x20;unexpectedly&#x20;fill&#x20;a&#x20;filesystem&#x20;leading&#x20;to&#x20;resource&#x20;unavailability.&#x20;Compressing&#x20;logs&#x20;prior&#x20;to&#x20;write&#x20;can&#x20;prevent&#x20;sudden,&#x20;unexpected&#x20;filesystem&#x20;impacts.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Compress=yes','[{\"cis\": [\"4.2.2.2\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"1\"]}]'),(6140,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;write&#x20;logfiles&#x20;to&#x20;persistent&#x20;disk.','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Logs&#x20;in&#x20;memory&#x20;will&#x20;be&#x20;lost&#x20;upon&#x20;a&#x20;system&#x20;reboot.&#x20;By&#x20;persisting&#x20;logs&#x20;to&#x20;local&#x20;disk&#x20;on&#x20;the&#x20;server&#x20;they&#x20;are&#x20;protected&#x20;from&#x20;loss.','Writing&#x20;log&#x20;data&#x20;to&#x20;disk&#x20;will&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;forensically&#x20;reconstruct&#x20;events&#x20;which&#x20;may&#x20;have&#x20;impacted&#x20;the&#x20;operations&#x20;or&#x20;security&#x20;of&#x20;a&#x20;system&#x20;even&#x20;after&#x20;a&#x20;system&#x20;crash&#x20;or&#x20;reboot.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Storage=persistent','[{\"cis\": [\"4.2.2.3\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"1\"]}]'),(6141,'Ensure&#x20;permissions&#x20;on&#x20;all&#x20;logfiles&#x20;are&#x20;configured.','Log&#x20;files&#x20;stored&#x20;in&#x20;/var/log/&#x20;contain&#x20;logged&#x20;information&#x20;from&#x20;many&#x20;services&#x20;on&#x20;the&#x20;system,&#x20;or&#x20;on&#x20;log&#x20;hosts&#x20;others&#x20;as&#x20;well.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.&#x20;&#x20;Other/world&#x20;should&#x20;not&#x20;have&#x20;the&#x20;ability&#x20;to&#x20;view&#x20;this&#x20;information.&#x20;Group&#x20;should&#x20;not&#x20;have&#x20;the&#x20;ability&#x20;to&#x20;modify&#x20;this&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;all&#x20;existing&#x20;log&#x20;files:&#x20;#&#x20;find&#x20;/var/log&#x20;-type&#x20;f&#x20;-exec&#x20;chmod&#x20;g-wx,o-rwx&#x20;&quot;{}&quot;&#x20;+&#x20;-o&#x20;-type&#x20;d&#x20;-exec&#x20;chmod&#x20;g-wx,o-rwx&#x20;&quot;{}&quot;&#x20;+','[{\"cis\": [\"4.2.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.5\"]}, {\"tsc\": [\"CC6.1\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"1\"]}]'),(6142,'Ensure&#x20;cron&#x20;daemon&#x20;is&#x20;enabled.','The&#x20;cron&#x20;daemon&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;batch&#x20;jobs&#x20;on&#x20;the&#x20;system.','While&#x20;there&#x20;may&#x20;not&#x20;be&#x20;user&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;be&#x20;run&#x20;on&#x20;the&#x20;system,&#x20;the&#x20;system&#x20;does&#x20;have&#x20;maintenance&#x20;jobs&#x20;that&#x20;may&#x20;include&#x20;security&#x20;monitoring&#x20;that&#x20;have&#x20;to&#x20;run,&#x20;and&#x20;cron&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;them.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;cron&#x20;:&#x20;#&#x20;systemctl&#x20;enable&#x20;crond;&#x20;&#x20;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;cron:&#x20;#&#x20;yum&#x20;remove&#x20;cronie','[{\"cis\": [\"5.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6143,'Ensure&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;are&#x20;configured.','The&#x20;/etc/crontab&#x20;file&#x20;is&#x20;used&#x20;by&#x20;cron&#x20;to&#x20;control&#x20;its&#x20;own&#x20;jobs.&#x20;The&#x20;commands&#x20;in&#x20;this&#x20;item&#x20;make&#x20;sure&#x20;that&#x20;root&#x20;is&#x20;the&#x20;user&#x20;and&#x20;group&#x20;owner&#x20;of&#x20;the&#x20;file&#x20;and&#x20;that&#x20;only&#x20;the&#x20;owner&#x20;can&#x20;access&#x20;the&#x20;file.','This&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;what&#x20;system&#x20;jobs&#x20;are&#x20;run&#x20;by&#x20;cron.&#x20;Write&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;unprivileged&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;elevate&#x20;their&#x20;privileges.&#x20;Read&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;gain&#x20;insight&#x20;on&#x20;system&#x20;jobs&#x20;that&#x20;run&#x20;on&#x20;the&#x20;system&#x20;and&#x20;could&#x20;provide&#x20;them&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;unauthorized&#x20;privileged&#x20;access.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/crontab;&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/crontab;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;cron:&#x20;#&#x20;yum&#x20;remove&#x20;cronie','[{\"cis\": [\"5.1.2\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6144,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;are&#x20;configured.','This&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;an&#x20;hourly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.hourly;&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.hourly;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;cron:&#x20;#&#x20;yum&#x20;remove&#x20;cronie','[{\"cis\": [\"5.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6145,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;are&#x20;configured.','The&#x20;/etc/cron.daily&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;daily&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.daily;&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.daily;&#x20;&#x20;&#x20;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;cron:&#x20;#&#x20;yum&#x20;remove&#x20;cronie','[{\"cis\": [\"5.1.4\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6146,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;are&#x20;configured.','The&#x20;/etc/cron.weekly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;weekly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.weekly;&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.weekly;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;cron:&#x20;#&#x20;yum&#x20;remove&#x20;cronie','[{\"cis\": [\"5.1.5\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6147,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;are&#x20;configured.','The&#x20;/etc/cron.monthly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;monthly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;:&#x20;chown&#x20;root:root&#x20;/etc/cron.monthly;&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.monthly;&#x20;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;cron:&#x20;#&#x20;yum&#x20;remove&#x20;cronie','[{\"cis\": [\"5.1.6\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6148,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;are&#x20;configured.','The&#x20;/etc/cron.d/directory&#x20;contains&#x20;system&#x20;cronjobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;in&#x20;a&#x20;similar&#x20;manner&#x20;to&#x20;the&#x20;hourly,&#x20;daily&#x20;weekly&#x20;and&#x20;monthly&#x20;jobs&#x20;from&#x20;/etc/crontab,&#x20;but&#x20;require&#x20;more&#x20;granular&#x20;control&#x20;as&#x20;to&#x20;when&#x20;they&#x20;run.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;:&#x20;&#x20;&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.d;&#x20;&#x20;&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.d;&#x20;&#x20;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;cron:&#x20;#&#x20;yum&#x20;remove&#x20;cronie','[{\"cis\": [\"5.1.7\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6149,'Ensure&#x20;cron&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users.','If&#x20;cronis&#x20;installed&#x20;in&#x20;the&#x20;system,&#x20;configure&#x20;/etc/cron.allowto&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/cron.allowdoes&#x20;not&#x20;exist,&#x20;then&#x20;/etc/cron.denyis&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;file,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.alloware&#x20;allowed&#x20;to&#x20;use&#x20;cron.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cronjobs.&#x20;Using&#x20;the&#x20;cron.allowfile&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cronjobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny&#x20;and&#x20;/etc/at.deny&#x20;and&#x20;create&#x20;and&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow:&#x20;rm&#x20;/etc/cron.deny;rm&#x20;/etc/at.deny;touch&#x20;/etc/cron.allow;&#x20;touch&#x20;/etc/at.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/at.allow;&#x20;chown&#x20;root:root&#x20;/etc/cron.allow&#x20;and&#x20;chown&#x20;root:root&#x20;/etc/at.allow','[{\"cis\": [\"5.1.8\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6150,'Ensure&#x20;at&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users.','If&#x20;atis&#x20;installed&#x20;in&#x20;the&#x20;system,&#x20;configure&#x20;/etc/at.allowto&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/at.allowdoes&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.denyis&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at.&#x20;By&#x20;removing&#x20;the&#x20;file,&#x20;only&#x20;users&#x20;in&#x20;/etc/at.alloware&#x20;allowed&#x20;to&#x20;use&#x20;at.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;atjobs.&#x20;Using&#x20;the&#x20;at.allowfile&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;atjobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny&#x20;and&#x20;/etc/at.deny&#x20;and&#x20;create&#x20;and&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow:&#x20;rm&#x20;/etc/cron.deny;rm&#x20;/etc/at.deny;touch&#x20;/etc/cron.allow;&#x20;touch&#x20;/etc/at.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.allow;&#x20;chmod&#x20;og-rwx&#x20;/etc/at.allow;&#x20;chown&#x20;root:root&#x20;/etc/cron.allow&#x20;and&#x20;chown&#x20;root:root&#x20;/etc/at.allow','[{\"cis\": [\"5.1.9\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6151,'Ensure&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config&#x20;are&#x20;configured.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;contains&#x20;configuration&#x20;specifications&#x20;for&#x20;sshd.&#x20;The&#x20;command&#x20;below&#x20;sets&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;file&#x20;to&#x20;root.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config:&#x20;chown&#x20;root:root&#x20;/etc/ssh/sshd_config&#x20;and&#x20;chmod&#x20;og-rwx&#x20;/etc/ssh/sshd_config','[{\"cis\": [\"5.2.1\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6152,'Ensure&#x20;permissions&#x20;on&#x20;SSH&#x20;private&#x20;host&#x20;key&#x20;files&#x20;are&#x20;configured.','An&#x20;SSH&#x20;private&#x20;key&#x20;is&#x20;one&#x20;of&#x20;two&#x20;files&#x20;used&#x20;in&#x20;SSH&#x20;public&#x20;key&#x20;authentication.&#x20;In&#x20;this&#x20;authentication&#x20;method,&#x20;The&#x20;possession&#x20;of&#x20;the&#x20;private&#x20;key&#x20;is&#x20;proof&#x20;of&#x20;identity.&#x20;Only&#x20;a&#x20;private&#x20;key&#x20;that&#x20;corresponds&#x20;to&#x20;a&#x20;public&#x20;key&#x20;will&#x20;be&#x20;able&#x20;to&#x20;authenticate&#x20;successfully.&#x20;The&#x20;private&#x20;keys&#x20;need&#x20;to&#x20;be&#x20;stored&#x20;and&#x20;handled&#x20;carefully,&#x20;and&#x20;no&#x20;copies&#x20;of&#x20;the&#x20;private&#x20;key&#x20;should&#x20;be&#x20;distributed.','If&#x20;an&#x20;unauthorized&#x20;user&#x20;obtains&#x20;the&#x20;private&#x20;SSH&#x20;host&#x20;key&#x20;file,&#x20;the&#x20;host&#x20;could&#x20;be&#x20;impersonated','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions,&#x20;ownership,&#x20;and&#x20;group&#x20;on&#x20;the&#x20;private&#x20;SSH&#x20;host&#x20;key&#x20;files:&#x20;#&#x20;find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key&#039;&#x20;-exec&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;{}&#x20;;&#x20;&#x20;#&#x20;find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key&#039;&#x20;-exec&#x20;chown&#x20;root:ssh_keys&#x20;{}&#x20;;','[{\"cis\": [\"5.2.2\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6153,'Ensure&#x20;permissions&#x20;on&#x20;SSH&#x20;public&#x20;host&#x20;key&#x20;files&#x20;are&#x20;configured.','An&#x20;SSH&#x20;public&#x20;key&#x20;is&#x20;one&#x20;of&#x20;two&#x20;files&#x20;used&#x20;in&#x20;SSH&#x20;public&#x20;key&#x20;authentication.&#x20;In&#x20;this&#x20;authentication&#x20;method,&#x20;a&#x20;public&#x20;key&#x20;is&#x20;a&#x20;key&#x20;that&#x20;can&#x20;be&#x20;used&#x20;for&#x20;verifying&#x20;digital&#x20;signatures&#x20;generated&#x20;using&#x20;a&#x20;corresponding&#x20;private&#x20;key.&#x20;Only&#x20;a&#x20;public&#x20;key&#x20;that&#x20;corresponds&#x20;to&#x20;a&#x20;private&#x20;key&#x20;will&#x20;be&#x20;able&#x20;to&#x20;authenticate&#x20;successfully.','If&#x20;a&#x20;public&#x20;host&#x20;key&#x20;file&#x20;is&#x20;modified&#x20;by&#x20;an&#x20;unauthorized&#x20;user,&#x20;the&#x20;SSH&#x20;service&#x20;may&#x20;be&#x20;compromised.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;on&#x20;the&#x20;SSH&#x20;host&#x20;public&#x20;key:&#x20;#&#x20;find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key.pub&#039;&#x20;-exec&#x20;chmod&#x20;u-x,go-wx&#x20;{}&#x20;;&#x20;&#x20;&#x20;&#x20;#find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key.pub&#039;&#x20;-exec&#x20;chown&#x20;root:root&#x20;{}&#x20;;','[{\"cis\": [\"5.2.3\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6154,'Ensure&#x20;SSH&#x20;access&#x20;is&#x20;limited.','There&#x20;are&#x20;several&#x20;options&#x20;available&#x20;to&#x20;limit&#x20;which&#x20;users&#x20;and&#x20;group&#x20;can&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;at&#x20;least&#x20;one&#x20;of&#x20;the&#x20;following&#x20;options&#x20;be&#x20;leveraged:&#x20;AllowUsers&#x20;The&#x20;AllowUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;only&#x20;allowing&#x20;the&#x20;allowed&#x20;users&#x20;to&#x20;log&#x20;in&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;AllowGroups&#x20;The&#x20;AllowGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;DenyUsers&#x20;The&#x20;DenyUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;specifically&#x20;denying&#x20;a&#x20;user&#039;s&#x20;access&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;DenyGroups&#x20;The&#x20;DenyGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.','Restricting&#x20;which&#x20;users&#x20;can&#x20;remotely&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH&#x20;will&#x20;help&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;users&#x20;access&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;one&#x20;or&#x20;more&#x20;of&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;#&#x20;AllowUsers&#x20;&lt;userlist&gt;;&#x20;#&#x20;AllowGroups&#x20;&lt;grouplist&gt;;&#x20;#&#x20;DenyUsers&#x20;&lt;userlist&gt;;&#x20;#&#x20;DenyGroups&#x20;&lt;grouplist&gt;','[{\"cis\": [\"5.2.4\"]}, {\"cis_csc\": [\"4.3\"]}, {\"pci_dss\": [\"8.1\"]}, {\"tsc\": [\"CC6.1\"]}, {\"cis_level\": [\"1\"]}]'),(6155,'Ensure&#x20;SSH&#x20;LogLevel&#x20;is&#x20;appropriate.','INFO&#x20;level&#x20;is&#x20;the&#x20;basic&#x20;level&#x20;that&#x20;only&#x20;records&#x20;login&#x20;activity&#x20;of&#x20;SSH&#x20;users.&#x20;In&#x20;many&#x20;situations,&#x20;such&#x20;as&#x20;Incident&#x20;Response,&#x20;it&#x20;is&#x20;important&#x20;to&#x20;determine&#x20;when&#x20;a&#x20;particular&#x20;user&#x20;was&#x20;active&#x20;on&#x20;a&#x20;system.&#x20;The&#x20;logout&#x20;record&#x20;can&#x20;eliminate&#x20;those&#x20;users&#x20;who&#x20;disconnected,&#x20;which&#x20;helps&#x20;narrow&#x20;the&#x20;field.VERBOSE&#x20;level&#x20;specifies&#x20;that&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;as&#x20;well&#x20;as&#x20;the&#x20;key&#x20;fingerprint&#x20;for&#x20;any&#x20;SSH&#x20;key&#x20;used&#x20;for&#x20;login&#x20;will&#x20;be&#x20;logged.&#x20;This&#x20;information&#x20;is&#x20;important&#x20;for&#x20;SSH&#x20;key&#x20;management,&#x20;especially&#x20;in&#x20;legacy&#x20;environments.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;INFO','[{\"cis\": [\"5.2.5\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}, {\"cis_level\": [\"1\"]}]'),(6156,'Ensure&#x20;SSH&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled.','The&#x20;X11Forwarding&#x20;parameter&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;tunnel&#x20;X11&#x20;traffic&#x20;through&#x20;the&#x20;connection&#x20;to&#x20;enable&#x20;remote&#x20;graphic&#x20;connections.','Disable&#x20;X11&#x20;forwarding&#x20;unless&#x20;there&#x20;is&#x20;an&#x20;operational&#x20;requirement&#x20;to&#x20;use&#x20;X11&#x20;applications&#x20;directly.&#x20;There&#x20;is&#x20;a&#x20;small&#x20;risk&#x20;that&#x20;the&#x20;remote&#x20;X11&#x20;servers&#x20;of&#x20;users&#x20;who&#x20;are&#x20;logged&#x20;in&#x20;via&#x20;SSH&#x20;with&#x20;X11&#x20;forwarding&#x20;could&#x20;be&#x20;compromised&#x20;by&#x20;other&#x20;users&#x20;on&#x20;the&#x20;X11&#x20;server.&#x20;Note&#x20;that&#x20;even&#x20;if&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled,&#x20;users&#x20;can&#x20;always&#x20;install&#x20;their&#x20;own&#x20;forwarders.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;X11Forwarding&#x20;no','[{\"cis\": [\"5.2.6\"]}, {\"pci_dss\": [\"9.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6157,'Ensure&#x20;SSH&#x20;MaxAuthTries&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less.','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc\": [\"16.13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6158,'Ensure&#x20;SSH&#x20;IgnoreRhosts&#x20;is&#x20;enabled.','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthentication&#x20;or&#x20;HostbasedAuthentication.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;ssh.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;IgnoreRhosts&#x20;yes','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}, {\"cis_level\": [\"1\"]}]'),(6159,'Ensure&#x20;SSH&#x20;HostbasedAuthentication&#x20;is&#x20;disabled.','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts,&#x20;or&#x20;/etc/hosts.equiv,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.&#x20;This&#x20;option&#x20;only&#x20;applies&#x20;to&#x20;SSH&#x20;Protocol&#x20;Version&#x20;2.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no','[{\"cis\": [\"5.2.9\"]}, {\"cis_csc\": [\"16.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}, {\"cis_level\": [\"1\"]}]'),(6160,'Ensure&#x20;SSH&#x20;root&#x20;login&#x20;is&#x20;disabled.','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;ssh.&#x20;The&#x20;default&#x20;is&#x20;no.','Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;system&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root&#x20;via&#x20;sudo&#x20;or&#x20;su&#x20;.&#x20;This&#x20;in&#x20;turn&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no','[{\"cis\": [\"5.2.10\"]}, {\"cis_csc\": [\"4.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}, {\"cis_level\": [\"1\"]}]'),(6161,'Ensure&#x20;SSH&#x20;PermitEmptyPasswords&#x20;is&#x20;disabled.','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;SSH&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no','[{\"cis\": [\"5.2.11\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}, {\"cis_level\": [\"1\"]}]'),(6162,'Ensure&#x20;SSH&#x20;PermitUserEnvironment&#x20;is&#x20;disabled.','The&#x20;PermitUserEnvironment&#x20;option&#x20;allows&#x20;users&#x20;to&#x20;present&#x20;environment&#x20;options&#x20;to&#x20;the&#x20;ssh&#x20;daemon.','Permitting&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;environment&#x20;variables&#x20;through&#x20;the&#x20;SSH&#x20;daemon&#x20;could&#x20;potentially&#x20;allow&#x20;users&#x20;to&#x20;bypass&#x20;security&#x20;controls&#x20;&#40;e.g.&#x20;setting&#x20;an&#x20;execution&#x20;path&#x20;that&#x20;has&#x20;ssh&#x20;executing&#x20;trojan&#039;d&#x20;programs&#41;','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitUserEnvironment&#x20;no','[{\"cis\": [\"5.2.12\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}, {\"cis_level\": [\"1\"]}]'),(6163,'Ensure&#x20;SSH&#x20;Idle&#x20;Timeout&#x20;Interval&#x20;is&#x20;configured.','This&#x20;variable&#x20;limits&#x20;the&#x20;ciphers&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.','Weak&#x20;ciphers&#x20;that&#x20;are&#x20;used&#x20;for&#x20;authentication&#x20;to&#x20;the&#x20;cryptographic&#x20;module&#x20;cannot&#x20;be&#x20;relied&#x20;upon&#x20;to&#x20;provide&#x20;confidentiality&#x20;or&#x20;integrity,&#x20;and&#x20;system&#x20;data&#x20;may&#x20;be&#x20;compromised.:&#x20;The&#x20;DES,&#x20;Triple&#x20;DES,&#x20;and&#x20;Blowfish&#x20;ciphers,&#x20;as&#x20;used&#x20;in&#x20;SSH,&#x20;have&#x20;a&#x20;birthday&#x20;bound&#x20;of&#x20;approximately&#x20;four&#x20;billion&#x20;blocks,&#x20;which&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;obtain&#x20;cleartext&#x20;data&#x20;via&#x20;a&#x20;birthday&#x20;attack&#x20;against&#x20;a&#x20;long-duration&#x20;encrypted&#x20;session,&#x20;aka&#x20;a&#x20;&#039;Sweet32&#039;&#x20;attack;&#x20;The&#x20;RC4&#x20;algorithm,&#x20;as&#x20;used&#x20;in&#x20;the&#x20;TLS&#x20;protocol&#x20;and&#x20;SSL&#x20;protocol,&#x20;does&#x20;not&#x20;properly&#x20;combine&#x20;state&#x20;data&#x20;with&#x20;key&#x20;data&#x20;during&#x20;the&#x20;initialization&#x20;phase,&#x20;which&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;conduct&#x20;plaintext-recovery&#x20;attacks&#x20;against&#x20;the&#x20;initial&#x20;bytes&#x20;of&#x20;a&#x20;stream&#x20;by&#x20;sniffing&#x20;network&#x20;traffic&#x20;that&#x20;occasionally&#x20;relies&#x20;on&#x20;keys&#x20;affected&#x20;by&#x20;the&#x20;Invariance&#x20;Weakness,&#x20;and&#x20;then&#x20;using&#x20;a&#x20;brute-force&#x20;approach&#x20;involvingLSB&#x20;values,&#x20;aka&#x20;the&#x20;&#039;Bar&#x20;Mitzvah&#039;&#x20;issue;&#x20;The&#x20;passwords&#x20;used&#x20;during&#x20;an&#x20;SSH&#x20;session&#x20;encrypted&#x20;with&#x20;RC4&#x20;can&#x20;be&#x20;recovered&#x20;by&#x20;an&#x20;attacker&#x20;who&#x20;is&#x20;able&#x20;to&#x20;capture&#x20;and&#x20;replay&#x20;the&#x20;session;&#x20;Error&#x20;handling&#x20;in&#x20;the&#x20;SSH&#x20;protocol;&#x20;Client&#x20;and&#x20;Server,&#x20;when&#x20;using&#x20;a&#x20;block&#x20;cipher&#x20;algorithm&#x20;in&#x20;Cipher&#x20;Block&#x20;Chaining&#x20;&#40;CBC&#41;&#x20;mode,&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;recover&#x20;certain&#x20;plaintext&#x20;data&#x20;from&#x20;an&#x20;arbitrary&#x20;block&#x20;of&#x20;ciphertext&#x20;in&#x20;an&#x20;SSH&#x20;session&#x20;via&#x20;unknown&#x20;vectors;&#x20;The&#x20;mm_newkeys_from_blob&#x20;function&#x20;in&#x20;monitor_wrap.c,&#x20;when&#x20;an&#x20;AES-GCM&#x20;cipher&#x20;is&#x20;used,&#x20;does&#x20;not&#x20;properly&#x20;initialize&#x20;memory&#x20;for&#x20;a&#x20;MAC&#x20;context&#x20;data&#x20;structure,&#x20;which&#x20;allows&#x20;remote&#x20;authenticated&#x20;users&#x20;to&#x20;bypass&#x20;intended&#x20;ForceCommand&#x20;and&#x20;login-shell&#x20;restrictions&#x20;via&#x20;packet&#x20;data&#x20;that&#x20;provides&#x20;a&#x20;crafted&#x20;callback&#x20;address','','Edit&#x20;the&#x20;/etc/ssh/sshd_configfile&#x20;add/modify&#x20;the&#x20;Ciphersline&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;ciphersExample:Ciphers&#x20;chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr','[{\"cis\": [\"5.2.13\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"12.3.8\"]}, {\"cis_level\": [\"1\"]}]'),(6164,'Ensure&#x20;only&#x20;strong&#x20;MAC&#x20;algorithms&#x20;are&#x20;used.','This&#x20;variable&#x20;limits&#x20;the&#x20;types&#x20;of&#x20;MAC&#x20;algorithms&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.','MD5&#x20;and&#x20;96-bit&#x20;MAC&#x20;algorithms&#x20;are&#x20;considered&#x20;weak&#x20;and&#x20;have&#x20;been&#x20;shown&#x20;to&#x20;increase&#x20;exploitability&#x20;in&#x20;SSH&#x20;downgrade&#x20;attacks.&#x20;Weak&#x20;algorithms&#x20;continue&#x20;to&#x20;have&#x20;a&#x20;great&#x20;deal&#x20;of&#x20;attention&#x20;as&#x20;a&#x20;weak&#x20;spot&#x20;that&#x20;can&#x20;be&#x20;exploited&#x20;with&#x20;expanded&#x20;computing&#x20;power.&#x20;An&#x20;attacker&#x20;that&#x20;breaks&#x20;the&#x20;algorithm&#x20;could&#x20;take&#x20;advantage&#x20;of&#x20;a&#x20;MiTM&#x20;position&#x20;to&#x20;decrypt&#x20;the&#x20;SSH&#x20;tunnel&#x20;and&#x20;capture&#x20;credentials&#x20;and&#x20;information','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;and&#x20;add/modify&#x20;the&#x20;MACs&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;MACs&#x20;Example:MACs&#x20;hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256','[{\"cis\": [\"5.2.14\"]}, {\"cis_csc\": [\"14.4\", \"16.5\"]}, {\"pci_dss\": [\"12.3.8\"]}, {\"cis_level\": [\"1\"]}]'),(6165,'Ensure&#x20;only&#x20;strong&#x20;Key&#x20;Exchange&#x20;algorithms&#x20;are&#x20;used.','Key&#x20;exchange&#x20;is&#x20;any&#x20;method&#x20;in&#x20;cryptography&#x20;by&#x20;which&#x20;cryptographic&#x20;keys&#x20;are&#x20;exchanged&#x20;between&#x20;two&#x20;parties,&#x20;allowing&#x20;use&#x20;of&#x20;a&#x20;cryptographic&#x20;algorithm.&#x20;If&#x20;the&#x20;sender&#x20;and&#x20;receiver&#x20;wish&#x20;to&#x20;exchange&#x20;encrypted&#x20;messages,&#x20;each&#x20;must&#x20;be&#x20;equipped&#x20;to&#x20;encrypt&#x20;messages&#x20;to&#x20;be&#x20;sent&#x20;and&#x20;decrypt&#x20;messages&#x20;received','Key&#x20;exchange&#x20;methods&#x20;that&#x20;are&#x20;considered&#x20;weak&#x20;should&#x20;be&#x20;removed.&#x20;A&#x20;key&#x20;exchange&#x20;method&#x20;may&#x20;be&#x20;weak&#x20;because&#x20;too&#x20;few&#x20;bits&#x20;are&#x20;used,&#x20;or&#x20;the&#x20;hashing&#x20;algorithm&#x20;is&#x20;considered&#x20;too&#x20;weak.&#x20;Using&#x20;weak&#x20;algorithms&#x20;could&#x20;expose&#x20;connections&#x20;to&#x20;man-in-the-middle&#x20;attacks','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;add/modify&#x20;the&#x20;KexAlgorithms&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;key&#x20;exchange&#x20;algorithms.Example:&#039;KexAlgorithms&#x20;curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256&#039;','[{\"cis\": [\"5.2.15\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"12.3.8\"]}, {\"cis_level\": [\"1\"]}]'),(6166,'Ensure&#x20;SSH&#x20;Idle&#x20;Timeout&#x20;Interval&#x20;is&#x20;configured.','The&#x20;two&#x20;options&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax&#x20;control&#x20;the&#x20;timeout&#x20;of&#x20;ssh&#x20;sessions.&#x20;When&#x20;the&#x20;ClientAliveInterval&#x20;variable&#x20;is&#x20;set,&#x20;ssh&#x20;sessions&#x20;that&#x20;have&#x20;no&#x20;activity&#x20;for&#x20;the&#x20;specified&#x20;length&#x20;of&#x20;time&#x20;are&#x20;terminated.&#x20;When&#x20;the&#x20;ClientAliveCountMax&#x20;variable&#x20;is&#x20;set,&#x20;sshd&#x20;will&#x20;send&#x20;client&#x20;alive&#x20;messages&#x20;at&#x20;every&#x20;ClientAliveInterval&#x20;interval.&#x20;When&#x20;the&#x20;number&#x20;of&#x20;consecutive&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;sent&#x20;with&#x20;no&#x20;response&#x20;from&#x20;the&#x20;client,&#x20;the&#x20;ssh&#x20;session&#x20;is&#x20;terminated.&#x20;For&#x20;example,&#x20;if&#x20;the&#x20;ClientAliveInterval&#x20;is&#x20;set&#x20;to&#x20;15&#x20;seconds&#x20;and&#x20;the&#x20;ClientAliveCountMax&#x20;is&#x20;set&#x20;to&#x20;3,&#x20;the&#x20;client&#x20;ssh&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;45&#x20;seconds&#x20;of&#x20;idle&#x20;time.','Having&#x20;no&#x20;timeout&#x20;value&#x20;associated&#x20;with&#x20;a&#x20;connection&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;ssh&#x20;session&#x20;&#40;e.g.&#x20;user&#x20;walks&#x20;away&#x20;from&#x20;their&#x20;computer&#x20;and&#x20;doesn&#039;t&#x20;lock&#x20;the&#x20;screen&#41;.&#x20;Setting&#x20;a&#x20;timeout&#x20;value&#x20;at&#x20;least&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;this&#x20;happening.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;300&#x20;seconds&#x20;&#40;5&#x20;minutes&#41;,&#x20;set&#x20;this&#x20;timeout&#x20;value&#x20;based&#x20;on&#x20;site&#x20;policy.&#x20;The&#x20;recommended&#x20;setting&#x20;for&#x20;ClientAliveCountMax&#x20;is&#x20;0.&#x20;In&#x20;this&#x20;case,&#x20;the&#x20;client&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;5&#x20;minutes&#x20;of&#x20;idle&#x20;time&#x20;and&#x20;no&#x20;keepalive&#x20;messages&#x20;will&#x20;be&#x20;sent.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameters&#x20;according&#x20;to&#x20;site&#x20;policy:&#x20;ClientAliveInterval&#x20;300&#x20;and&#x20;ClientAliveCountMax&#x20;0','[{\"cis\": [\"5.2.16\"]}, {\"cis_csc\": [\"16.11\"]}, {\"pci_dss\": [\"12.3.8\"]}, {\"cis_level\": [\"1\"]}]'),(6167,'Ensure&#x20;SSH&#x20;LoginGraceTime&#x20;is&#x20;set&#x20;to&#x20;one&#x20;minute&#x20;or&#x20;less.','The&#x20;LoginGraceTime&#x20;parameter&#x20;specifies&#x20;the&#x20;time&#x20;allowed&#x20;for&#x20;successful&#x20;authentication&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;The&#x20;longer&#x20;the&#x20;Grace&#x20;period&#x20;is&#x20;the&#x20;more&#x20;open&#x20;unauthenticated&#x20;connections&#x20;can&#x20;exist.&#x20;Like&#x20;other&#x20;session&#x20;controls&#x20;in&#x20;this&#x20;session&#x20;the&#x20;Grace&#x20;Period&#x20;should&#x20;be&#x20;limited&#x20;to&#x20;appropriate&#x20;organizational&#x20;limits&#x20;to&#x20;ensure&#x20;the&#x20;service&#x20;is&#x20;available&#x20;for&#x20;needed&#x20;access.','Setting&#x20;the&#x20;LoginGraceTime&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;It&#x20;will&#x20;also&#x20;limit&#x20;the&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;60&#x20;seconds&#x20;&#40;1&#x20;Minute&#41;,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LoginGraceTime&#x20;60','[{\"cis\": [\"5.2.17\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"4.1\"]}, {\"tsc\": [\"CC6.1\"]}, {\"cis_level\": [\"1\"]}]'),(6168,'Ensure&#x20;SSH&#x20;warning&#x20;banner&#x20;is&#x20;configured.','The&#x20;Banner&#x20;parameter&#x20;specifies&#x20;a&#x20;file&#x20;whose&#x20;contents&#x20;must&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;remote&#x20;user&#x20;before&#x20;authentication&#x20;is&#x20;permitted.&#x20;By&#x20;default,&#x20;no&#x20;banner&#x20;is&#x20;displayed.','Banners&#x20;are&#x20;used&#x20;to&#x20;warn&#x20;connecting&#x20;users&#x20;of&#x20;the&#x20;particular&#x20;site&#039;s&#x20;policy&#x20;regarding&#x20;connection.&#x20;Presenting&#x20;a&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;login&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Banner&#x20;/etc/issue.net','[{\"cis\": [\"5.2.18\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6169,'Ensure&#x20;SSH&#x20;PAM&#x20;is&#x20;enabled.','UsePAM&#x20;Enables&#x20;the&#x20;Pluggable&#x20;Authentication&#x20;Module&#x20;interface.&#x20;If&#x20;set&#x20;to&#x20;&ldquo;yes&rdquo;&#x20;this&#x20;will&#x20;enable&#x20;PAM&#x20;authentication&#x20;using&#x20;ChallengeResponseAuthenticationand&#x20;PasswordAuthentication&#x20;in&#x20;addition&#x20;to&#x20;PAM&#x20;account&#x20;and&#x20;session&#x20;module&#x20;processing&#x20;for&#x20;all&#x20;authentication&#x20;types','When&#x20;usePAM&#x20;is&#x20;set&#x20;to&#x20;yes,&#x20;PAM&#x20;runs&#x20;through&#x20;account&#x20;and&#x20;session&#x20;types&#x20;properly.&#x20;This&#x20;is&#x20;important&#x20;if&#x20;you&#x20;want&#x20;to&#x20;restrict&#x20;access&#x20;to&#x20;services&#x20;based&#x20;off&#x20;of&#x20;IP,&#x20;time&#x20;or&#x20;other&#x20;factors&#x20;of&#x20;the&#x20;account.&#x20;Additionally,&#x20;you&#x20;can&#x20;make&#x20;sure&#x20;users&#x20;inherit&#x20;certain&#x20;environment&#x20;variables&#x20;on&#x20;login&#x20;or&#x20;disallow&#x20;access&#x20;to&#x20;the&#x20;server','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;UsePAM&#x20;yes','[{\"cis\": [\"5.2.19\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6170,'Ensure&#x20;SSH&#x20;AllowTcpForwarding&#x20;is&#x20;disabled.','SSH&#x20;port&#x20;forwarding&#x20;is&#x20;a&#x20;mechanism&#x20;in&#x20;SSH&#x20;for&#x20;tunneling&#x20;application&#x20;ports&#x20;from&#x20;the&#x20;client&#x20;to&#x20;the&#x20;server,&#x20;or&#x20;servers&#x20;to&#x20;clients.&#x20;It&#x20;can&#x20;be&#x20;used&#x20;for&#x20;adding&#x20;encryption&#x20;to&#x20;legacy&#x20;applications,&#x20;going&#x20;through&#x20;firewalls,&#x20;and&#x20;some&#x20;system&#x20;administrators&#x20;and&#x20;IT&#x20;professionals&#x20;use&#x20;it&#x20;for&#x20;opening&#x20;backdoors&#x20;into&#x20;the&#x20;internal&#x20;network&#x20;from&#x20;their&#x20;home&#x20;machines','Leaving&#x20;port&#x20;forwarding&#x20;enabled&#x20;can&#x20;expose&#x20;the&#x20;organization&#x20;to&#x20;security&#x20;risks&#x20;and&#x20;back-doors.SSH&#x20;connections&#x20;are&#x20;protected&#x20;with&#x20;strong&#x20;encryption.&#x20;This&#x20;makes&#x20;their&#x20;contents&#x20;invisible&#x20;to&#x20;most&#x20;deployed&#x20;network&#x20;monitoring&#x20;and&#x20;traffic&#x20;filtering&#x20;solutions.&#x20;This&#x20;invisibility&#x20;carries&#x20;considerable&#x20;risk&#x20;potential&#x20;if&#x20;it&#x20;is&#x20;used&#x20;for&#x20;malicious&#x20;purposes&#x20;such&#x20;as&#x20;data&#x20;exfiltration.&#x20;Cybercriminals&#x20;or&#x20;malware&#x20;could&#x20;exploit&#x20;SSH&#x20;to&#x20;hide&#x20;their&#x20;unauthorized&#x20;communications,&#x20;or&#x20;to&#x20;exfiltrate&#x20;stolen&#x20;data&#x20;from&#x20;the&#x20;target&#x20;network','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowTcpForwarding&#x20;no','[{\"cis\": [\"5.2.20\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"2\"]}]'),(6171,'Ensure&#x20;SSH&#x20;MaxStartups&#x20;is&#x20;configured.','The&#x20;MaxStartupsparameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;to&#x20;the&#x20;SSH&#x20;daemon','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;pending&#x20;authentication&#x20;connection&#x20;attempts,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxStartups&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;maxstartups&#x20;10:30:60','[{\"cis\": [\"5.2.21\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6172,'Ensure&#x20;SSH&#x20;MaxSessions&#x20;is&#x20;limited.','The&#x20;MaxSessionsparameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;open&#x20;sessions&#x20;permitted&#x20;from&#x20;a&#x20;given&#x20;connection.','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;pending&#x20;authentication&#x20;connection&#x20;attempts,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxStartups&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxSessions&#x20;10','[{\"cis\": [\"5.2.22\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6173,'Ensure&#x20;password&#x20;creation&#x20;requirements&#x20;are&#x20;configured.','The&#x20;pam_pwquality.so&#x20;module&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;password&#x20;length&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minlen&#x20;=&#x20;14&#x20;&#x20;&#x20;&#x20;&#x20;Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;password&#x20;complexity&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minclass&#x20;=&#x20;4&#x20;&#x20;&#x20;&#x20;OR&#x20;dcredit&#x20;=&#x20;-1&#x20;ucredit&#x20;=&#x20;-1&#x20;ocredit&#x20;=&#x20;-1&#x20;lcredit&#x20;=&#x20;-1&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Edit&#x20;the&#x20;/etc/pam.d/password-auth&#x20;and&#x20;/etc/pam.d/system-auth&#x20;files&#x20;to&#x20;include&#x20;the&#x20;appropriate&#x20;options&#x20;for&#x20;pam_pwquality.so&#x20;and&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:password&#x20;requisite&#x20;pam_pwquality.so&#x20;try_first_pass&#x20;retry=3','[{\"cis\": [\"5.3.1\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2.3\"]}, {\"tsc\": [\"CC6.1\"]}, {\"cis_level\": [\"1\"]}]'),(6174,'Ensure&#x20;password&#x20;hashing&#x20;algorithm&#x20;is&#x20;SHA-512.','The&#x20;commands&#x20;below&#x20;change&#x20;password&#x20;encryption&#x20;from&#x20;md5&#x20;to&#x20;sha512&#x20;&#40;a&#x20;much&#x20;stronger&#x20;hashing&#x20;algorithm&#41;.&#x20;All&#x20;existing&#x20;accounts&#x20;will&#x20;need&#x20;to&#x20;perform&#x20;a&#x20;password&#x20;change&#x20;to&#x20;upgrade&#x20;the&#x20;stored&#x20;hashes&#x20;to&#x20;the&#x20;new&#x20;algorithm.','The&#x20;SHA-512&#x20;algorithm&#x20;provides&#x20;much&#x20;stronger&#x20;hashing&#x20;than&#x20;MD5,&#x20;thus&#x20;providing&#x20;additional&#x20;protection&#x20;to&#x20;the&#x20;system&#x20;by&#x20;increasing&#x20;the&#x20;level&#x20;of&#x20;effort&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;successfully&#x20;determine&#x20;passwords.&#x20;Note&#x20;that&#x20;these&#x20;changes&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/pam.d/password-auth&#x20;and&#x20;/etc/pam.d/system-auth&#x20;files&#x20;to&#x20;include&#x20;the&#x20;sha512&#x20;option&#x20;for&#x20;pam_unix.so&#x20;as&#x20;shown:&#x20;password&#x20;sufficient&#x20;pam_unix.so&#x20;sha512','[{\"cis\": [\"5.3.3\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"3.6.1\", \"8.2.1\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\"]}, {\"cis_level\": [\"1\"]}]'),(6175,'Ensure&#x20;password&#x20;reuse&#x20;is&#x20;limited.','The&#x20;/etc/security/opasswd&#x20;file&#x20;stores&#x20;the&#x20;users&#039;&#x20;old&#x20;passwords&#x20;and&#x20;can&#x20;be&#x20;checked&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;are&#x20;not&#x20;recycling&#x20;recent&#x20;passwords.','Forcing&#x20;users&#x20;not&#x20;to&#x20;reuse&#x20;their&#x20;past&#x20;5&#x20;passwords&#x20;make&#x20;it&#x20;less&#x20;likely&#x20;that&#x20;an&#x20;attacker&#x20;will&#x20;be&#x20;able&#x20;to&#x20;guess&#x20;the&#x20;password.&#x20;Note&#x20;that&#x20;these&#x20;changes&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/pam.d/password-auth&#x20;and&#x20;/etc/pam.d/system-auth&#x20;files&#x20;to&#x20;include&#x20;the&#x20;remember&#x20;option&#x20;and&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;as&#x20;shown:&#x20;password&#x20;sufficient&#x20;pam_unix.so&#x20;remember=5&#x20;&#x20;&#x20;or&#x20;&#x20;&#x20;&#x20;password&#x20;required&#x20;pam_pwhistory.so&#x20;remember=5','[{\"cis\": [\"5.3.4\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2.5\"]}, {\"tsc\": [\"CC6.1\"]}, {\"cis_level\": [\"1\"]}]'),(6176,'Ensure&#x20;password&#x20;expiration&#x20;is&#x20;365&#x20;days&#x20;or&#x20;less.','The&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;force&#x20;passwords&#x20;to&#x20;expire&#x20;once&#x20;they&#x20;reach&#x20;a&#x20;defined&#x20;age.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;less&#x20;than&#x20;or&#x20;equal&#x20;to&#x20;365&#x20;days.','The&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;leverage&#x20;compromised&#x20;credentials&#x20;or&#x20;successfully&#x20;compromise&#x20;credentials&#x20;via&#x20;an&#x20;online&#x20;brute&#x20;force&#x20;attack&#x20;is&#x20;limited&#x20;by&#x20;the&#x20;age&#x20;of&#x20;the&#x20;password.&#x20;Therefore,&#x20;reducing&#x20;the&#x20;maximum&#x20;age&#x20;of&#x20;a&#x20;password&#x20;also&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;window&#x20;of&#x20;opportunity.','','Set&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;in&#x20;/etc/login.defs&#x20;:&#x20;PASS_MAX_DAYS&#x20;90&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--maxdays&#x20;90&#x20;&lt;user&gt;','[{\"cis\": [\"5.4.1.1\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2.4\"]}, {\"tsc\": [\"CC6.1\"]}, {\"cis_level\": [\"1\"]}]'),(6177,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;configured.','The&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;changing&#x20;their&#x20;password&#x20;until&#x20;a&#x20;minimum&#x20;number&#x20;of&#x20;days&#x20;have&#x20;passed&#x20;since&#x20;the&#x20;last&#x20;time&#x20;the&#x20;user&#x20;changed&#x20;their&#x20;password.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;1&#x20;or&#x20;more&#x20;days.','By&#x20;restricting&#x20;the&#x20;frequency&#x20;of&#x20;password&#x20;changes,&#x20;an&#x20;administrator&#x20;can&#x20;prevent&#x20;users&#x20;from&#x20;repeatedly&#x20;changing&#x20;their&#x20;password&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;circumvent&#x20;password&#x20;reuse&#x20;controls.','','Set&#x20;the&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;to&#x20;1&#x20;in&#x20;/etc/login.defs:&#x20;PASS_MIN_DAYS&#x20;1&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--mindays&#x20;1&#x20;&lt;user&gt;','[{\"cis\": [\"5.4.1.2\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}, {\"cis_level\": [\"1\"]}]'),(6178,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;7&#x20;or&#x20;more.','The&#x20;PASS_WARN_AGE&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;notify&#x20;users&#x20;that&#x20;their&#x20;password&#x20;will&#x20;expire&#x20;in&#x20;a&#x20;defined&#x20;number&#x20;of&#x20;days.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','Providing&#x20;an&#x20;advance&#x20;warning&#x20;that&#x20;a&#x20;password&#x20;will&#x20;be&#x20;expiring&#x20;gives&#x20;users&#x20;time&#x20;to&#x20;think&#x20;of&#x20;a&#x20;secure&#x20;password.&#x20;Users&#x20;caught&#x20;unaware&#x20;may&#x20;choose&#x20;a&#x20;simple&#x20;password&#x20;or&#x20;write&#x20;it&#x20;down&#x20;where&#x20;it&#x20;may&#x20;be&#x20;discovered.','','Set&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_WARN_AGE&#x20;7&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--warndays&#x20;7&#x20;&lt;user&gt;','[{\"cis\": [\"5.4.1.3\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}, {\"cis_level\": [\"1\"]}]'),(6179,'Ensure&#x20;inactive&#x20;password&#x20;lock&#x20;is&#x20;30&#x20;days&#x20;or&#x20;less.','User&#x20;accounts&#x20;that&#x20;have&#x20;been&#x20;inactive&#x20;for&#x20;over&#x20;a&#x20;given&#x20;period&#x20;of&#x20;time&#x20;can&#x20;be&#x20;automatically&#x20;disabled.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;accounts&#x20;that&#x20;are&#x20;inactive&#x20;for&#x20;30&#x20;days&#x20;after&#x20;password&#x20;expiration&#x20;be&#x20;disabled.','Inactive&#x20;accounts&#x20;pose&#x20;a&#x20;threat&#x20;to&#x20;system&#x20;security&#x20;since&#x20;the&#x20;users&#x20;are&#x20;not&#x20;logging&#x20;in&#x20;to&#x20;notice&#x20;failed&#x20;login&#x20;attempts&#x20;or&#x20;other&#x20;anomalies.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;default&#x20;password&#x20;inactivity&#x20;period&#x20;to&#x20;30&#x20;days:&#x20;useradd&#x20;-D&#x20;-f&#x20;30&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--inactive&#x20;30&#x20;&lt;user&gt;','[{\"cis\": [\"5.4.1.4\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}, {\"cis_level\": [\"1\"]}]'),(6180,'Ensure&#x20;default&#x20;group&#x20;for&#x20;the&#x20;root&#x20;account&#x20;is&#x20;GID&#x20;0.','The&#x20;usermod&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;specify&#x20;which&#x20;group&#x20;the&#x20;root&#x20;user&#x20;belongs&#x20;to.&#x20;This&#x20;affects&#x20;permissions&#x20;of&#x20;files&#x20;that&#x20;are&#x20;created&#x20;by&#x20;the&#x20;root&#x20;user.','Using&#x20;GID&#x20;0&#x20;for&#x20;the&#x20;root&#x20;account&#x20;helps&#x20;prevent&#x20;root&#x20;-owned&#x20;files&#x20;from&#x20;accidentally&#x20;becoming&#x20;accessible&#x20;to&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;root&#x20;user&#x20;default&#x20;group&#x20;to&#x20;GID&#x20;0:&#x20;usermod&#x20;-g&#x20;0&#x20;root','[{\"cis\": [\"5.4.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}, {\"cis_level\": [\"1\"]}]'),(6181,'&#x20;Ensure&#x20;default&#x20;user&#x20;shell&#x20;timeout&#x20;is&#x20;configured.','TMOUT&#x20;is&#x20;an&#x20;environmental&#x20;setting&#x20;that&#x20;determines&#x20;the&#x20;timeout&#x20;of&#x20;a&#x20;shell&#x20;in&#x20;seconds.','Setting&#x20;a&#x20;timeout&#x20;value&#x20;reduces&#x20;the&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;shell&#x20;session&#x20;that&#x20;has&#x20;been&#x20;left&#x20;unattended.&#x20;It&#x20;also&#x20;ends&#x20;the&#x20;inactive&#x20;session&#x20;and&#x20;releases&#x20;the&#x20;resources&#x20;associated&#x20;with&#x20;that&#x20;session.','','Edit&#x20;the&#x20;/etc/bashrc&#x20;and&#x20;/etc/profile&#x20;files&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;any&#x20;umask&#x20;parameters&#x20;as&#x20;follows:&#x20;TMOUT=600','[{\"cis\": [\"5.4.4\"]}, {\"cis_csc\": [\"16.11\"]}, {\"pci_dss\": [\"12.3.8\"]}, {\"cis_level\": [\"1\"]}]'),(6182,'Ensure&#x20;default&#x20;user&#x20;umask&#x20;is&#x20;configured.','The&#x20;user&#x20;file-creation&#x20;mode&#x20;mask&#x20;&#40;umask&#41;&#x20;is&#x20;use&#x20;to&#x20;determine&#x20;the&#x20;file&#x20;permission&#x20;for&#x20;newly&#x20;created&#x20;directories&#x20;and&#x20;files.&#x20;In&#x20;Linux,&#x20;the&#x20;default&#x20;permissions&#x20;for&#x20;any&#x20;newly&#x20;created&#x20;directory&#x20;is&#x20;0777&#x20;&#40;rwxrwxrwx&#41;,&#x20;and&#x20;for&#x20;any&#x20;newly&#x20;created&#x20;file&#x20;it&#x20;is&#x20;0666&#x20;&#40;rw-rw-rw-&#41;.&#x20;The&#x20;umask&#x20;modifies&#x20;the&#x20;default&#x20;Linux&#x20;permissions&#x20;by&#x20;restricting&#x20;&#40;masking&#41;&#x20;these&#x20;permissions.&#x20;The&#x20;umask&#x20;is&#x20;not&#x20;simply&#x20;subtracted,&#x20;but&#x20;is&#x20;processed&#x20;bitwise.&#x20;Bits&#x20;set&#x20;in&#x20;the&#x20;umaskare&#x20;cleared&#x20;in&#x20;the&#x20;resulting&#x20;file&#x20;mode.','Setting&#x20;a&#x20;very&#x20;secure&#x20;default&#x20;value&#x20;for&#x20;umask&#x20;ensures&#x20;that&#x20;users&#x20;make&#x20;a&#x20;conscious&#x20;choice&#x20;about&#x20;their&#x20;file&#x20;permissions.&#x20;A&#x20;default&#x20;umask&#x20;setting&#x20;of&#x20;077&#x20;causes&#x20;files&#x20;and&#x20;directories&#x20;created&#x20;by&#x20;users&#x20;to&#x20;not&#x20;be&#x20;readable&#x20;by&#x20;any&#x20;other&#x20;user&#x20;on&#x20;the&#x20;system.&#x20;A&#x20;umask&#x20;of&#x20;027&#x20;would&#x20;make&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;users&#x20;in&#x20;the&#x20;same&#x20;Unix&#x20;group,&#x20;while&#x20;a&#x20;umask&#x20;of&#x20;022&#x20;would&#x20;make&#x20;files&#x20;readable&#x20;by&#x20;every&#x20;user&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/bashrc,&#x20;/etc/profile&#x20;and&#x20;/etc/profile.d&#47;&#42;.sh&#x20;files&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;any&#x20;umask&#x20;parameters&#x20;as&#x20;follows:&#x20;umask&#x20;027','[{\"cis\": [\"5.4.4\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}, {\"cis_level\": [\"1\"]}]'),(6183,'Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted..','The&#x20;su&#x20;command&#x20;allows&#x20;a&#x20;user&#x20;to&#x20;run&#x20;a&#x20;command&#x20;or&#x20;shell&#x20;as&#x20;another&#x20;user.&#x20;The&#x20;program&#x20;has&#x20;been&#x20;superseded&#x20;by&#x20;sudo,&#x20;which&#x20;allows&#x20;for&#x20;more&#x20;granular&#x20;control&#x20;over&#x20;privileged&#x20;access.&#x20;Normally,&#x20;the&#x20;su&#x20;command&#x20;can&#x20;be&#x20;executed&#x20;by&#x20;any&#x20;user.&#x20;By&#x20;uncommenting&#x20;the&#x20;pam_wheel.so&#x20;statement&#x20;in&#x20;/etc/pam.d/su,&#x20;the&#x20;su&#x20;command&#x20;will&#x20;only&#x20;allow&#x20;users&#x20;in&#x20;the&#x20;wheel&#x20;group&#x20;to&#x20;execute&#x20;su&#x20;.','Restricting&#x20;the&#x20;use&#x20;of&#x20;su,&#x20;and&#x20;using&#x20;sudo&#x20;in&#x20;its&#x20;place,&#x20;provides&#x20;system&#x20;administrators&#x20;better&#x20;control&#x20;of&#x20;the&#x20;escalation&#x20;of&#x20;user&#x20;privileges&#x20;to&#x20;execute&#x20;privileged&#x20;commands.&#x20;The&#x20;sudo&#x20;utility&#x20;also&#x20;provides&#x20;a&#x20;better&#x20;logging&#x20;and&#x20;audit&#x20;mechanism,&#x20;as&#x20;it&#x20;can&#x20;log&#x20;each&#x20;command&#x20;executed&#x20;via&#x20;sudo,&#x20;whereas&#x20;su&#x20;can&#x20;only&#x20;record&#x20;that&#x20;a&#x20;user&#x20;executed&#x20;the&#x20;su&#x20;program.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/pam.d/su&#x20;file:&#x20;auth&#x20;required&#x20;pam_wheel.so&#x20;use_uid','[{\"cis\": [\"5.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"1\"]}]'),(6184,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd&#x20;are&#x20;configured.','The&#x20;/etc/passwd&#x20;file&#x20;contains&#x20;user&#x20;account&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;utilities&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;utilities&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd&#x20;&#x20;&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-wx&#x20;/etc/passwd','[{\"cis\": [\"6.1.2\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6185,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow&#x20;are&#x20;configured.','The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;user&#x20;accounts.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/shadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow&#x20;#&#x20;chmod&#x20;000&#x20;/etc/shadow','[{\"cis\": [\"6.1.3\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"cis_level\": [\"1\"]}]'),(6186,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group&#x20;are&#x20;configured.','The&#x20;/etc/group&#x20;file&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.&#x20;The&#x20;command&#x20;below&#x20;allows&#x20;read/write&#x20;access&#x20;for&#x20;root&#x20;and&#x20;read&#x20;access&#x20;for&#x20;everyone&#x20;else.','The&#x20;/etc/group&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users,&#x20;but&#x20;needs&#x20;to&#x20;be&#x20;readable&#x20;as&#x20;this&#x20;information&#x20;is&#x20;used&#x20;with&#x20;many&#x20;non-privileged&#x20;programs.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-wx&#x20;/etc/group','[{\"cis\": [\"6.1.4\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6187,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow&#x20;are&#x20;configured.','The&#x20;/etc/gshadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/gshadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/gshadow&#x20;file&#x20;&#40;such&#x20;as&#x20;group&#x20;administrators&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;group','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/gshadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow&#x20;#&#x20;chmod&#x20;000&#x20;/etc/gshadow','[{\"cis\": [\"6.1.5\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6188,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd-&#x20;are&#x20;configured.','The&#x20;/etc/passwd-&#x20;file&#x20;contains&#x20;backup&#x20;user&#x20;account&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd-&#x20;#&#x20;chmod&#x20;644&#x20;/etc/passwd-','[{\"cis\": [\"6.1.6\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6189,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow-&#x20;are&#x20;configured.','The&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/shadow-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow-&#x20;#&#x20;chmod&#x20;000&#x20;/etc/shadow-','[{\"cis\": [\"6.1.7\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6190,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group-&#x20;are&#x20;configured.','The&#x20;/etc/group-&#x20;file&#x20;contains&#x20;a&#x20;backup&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/group-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group-&#x20;#&#x20;chmod&#x20;644&#x20;/etc/group-','[{\"cis\": [\"6.1.8\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6191,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;are&#x20;configured.','The&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/gshadow-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow-&#x20;#&#x20;chmod&#x20;000&#x20;/etc/gshadow-','[{\"cis\": [\"6.1.9\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6192,'Ensure&#x20;accounts&#x20;in&#x20;/etc/passwd&#x20;use&#x20;shadowed&#x20;passwords.','Local&#x20;accounts&#x20;can&#x20;uses&#x20;shadowed&#x20;passwords.&#x20;With&#x20;shadowed&#x20;passwords,&#x20;The&#x20;passwords&#x20;are&#x20;saved&#x20;in&#x20;shadow&#x20;password&#x20;file,&#x20;/etc/shadow,&#x20;encrypted&#x20;by&#x20;a&#x20;salted&#x20;one-way&#x20;hash.&#x20;Accounts&#x20;with&#x20;a&#x20;shadowed&#x20;password&#x20;have&#x20;an&#x20;xin&#x20;the&#x20;second&#x20;field&#x20;in&#x20;/etc/passwd.','The&#x20;/etc/passwd&#x20;file&#x20;also&#x20;contains&#x20;information&#x20;like&#x20;user&#x20;ID&#039;s&#x20;and&#x20;group&#x20;ID&#039;s&#x20;that&#x20;are&#x20;used&#x20;by&#x20;many&#x20;system&#x20;programs.&#x20;Therefore,&#x20;the&#x20;/etc/passwd&#x20;file&#x20;must&#x20;remain&#x20;world&#x20;readable.&#x20;In&#x20;spite&#x20;of&#x20;encoding&#x20;the&#x20;password&#x20;with&#x20;a&#x20;randomly-generated&#x20;one-way&#x20;hash&#x20;function,&#x20;an&#x20;attacker&#x20;could&#x20;still&#x20;break&#x20;the&#x20;system&#x20;if&#x20;they&#x20;got&#x20;access&#x20;to&#x20;the&#x20;/etc/passwd&#x20;file.&#x20;This&#x20;can&#x20;be&#x20;mitigated&#x20;by&#x20;using&#x20;shadowed&#x20;passwords,&#x20;thus&#x20;moving&#x20;the&#x20;passwords&#x20;in&#x20;the&#x20;/etc/passwd&#x20;file&#x20;to&#x20;/etc/shadow.&#x20;The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;set&#x20;so&#x20;only&#x20;root&#x20;will&#x20;be&#x20;able&#x20;to&#x20;read&#x20;and&#x20;write.&#x20;This&#x20;helps&#x20;mitigate&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;encoded&#x20;passwords&#x20;with&#x20;which&#x20;to&#x20;perform&#x20;a&#x20;dictionary&#x20;attack.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/passwd&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;single&#x20;x&#x20;in&#x20;the&#x20;password&#x20;field,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;these&#x20;accounts&#x20;to&#x20;use&#x20;shadowed&#x20;passwords:#&#x20;sed&#x20;-e&#x20;&#039;s/^&#40;[a-zA-Z0-9_]*&#41;:[^:]*:/1:x:/&#039;&#x20;-i&#x20;/etc/passwdInvestigate&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for,&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.1\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}, {\"cis_level\": [\"1\"]}]'),(6193,'Ensure&#x20;password&#x20;fields&#x20;are&#x20;not&#x20;empty.','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;password,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;account&#x20;until&#x20;it&#x20;can&#x20;be&#x20;determined&#x20;why&#x20;it&#x20;does&#x20;not&#x20;have&#x20;a&#x20;password:&#x20;passwd&#x20;-l&#x20;&lt;username&gt;&#x20;||&#x20;Also,&#x20;check&#x20;to&#x20;see&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;investigate&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.2\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}, {\"cis_level\": [\"1\"]}]'),(6194,'Ensure&#x20;root&#x20;is&#x20;the&#x20;only&#x20;UID&#x20;0&#x20;account.','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','','Remove&#x20;any&#x20;users&#x20;other&#x20;than&#x20;root&#x20;with&#x20;UID&#x20;0&#x20;or&#x20;assign&#x20;them&#x20;a&#x20;new&#x20;UID&#x20;if&#x20;appropriate.','[{\"cis\": [\"6.2.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}, {\"cis_level\": [\"1\"]}]'),(6195,'Ensure&#x20;shadow&#x20;group&#x20;is&#x20;empty.','The&#x20;shadow&#x20;group&#x20;allows&#x20;system&#x20;programs&#x20;which&#x20;require&#x20;access&#x20;the&#x20;ability&#x20;to&#x20;read&#x20;the&#x20;/etc/shadow&#x20;file.&#x20;No&#x20;users&#x20;should&#x20;be&#x20;assigned&#x20;to&#x20;the&#x20;shadow&#x20;group','Any&#x20;users&#x20;assigned&#x20;to&#x20;the&#x20;shadow&#x20;group&#x20;would&#x20;be&#x20;granted&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file.&#x20;If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;runa&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;passwords&#x20;to&#x20;break&#x20;them.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;additional&#x20;user&#x20;accounts.','','Remove&#x20;any&#x20;legacy&#x20;&#039;+&#039;&#x20;entries&#x20;from&#x20;/etc/shadow&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.18\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}, {\"cis_level\": [\"1\"]}]'),(6500,'Ensure&#x20;mounting&#x20;of&#x20;cramfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;cramfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;compressed&#x20;read-only&#x20;Linux&#x20;filesystem&#x20;embedded&#x20;in&#x20;small&#x20;footprint&#x20;systems.&#x20;A&#x20;cramfs&#x20;image&#x20;can&#x20;be&#x20;used&#x20;without&#x20;having&#x20;to&#x20;first&#x20;decompress&#x20;the&#x20;image.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;server.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;.Example:&#x20;vim&#x20;/etc/modprobe.d/cramfs.conf:&#x20;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;cramfs&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;cramfs&#x20;module:&#x20;#&#x20;rmmod&#x20;cramfs','[{\"cis\": [\"1.1.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(6501,'Ensure&#x20;mounting&#x20;of&#x20;FAT&#x20;filesystems&#x20;is&#x20;limited','The&#x20;VFAT&#x20;filesystem&#x20;format&#x20;is&#x20;primarily&#x20;used&#x20;on&#x20;older&#x20;windows&#x20;systems&#x20;and&#x20;portable&#x20;USB&#x20;drives&#x20;or&#x20;flash&#x20;modules.&#x20;It&#x20;comes&#x20;in&#x20;three&#x20;types&#x20;FAT12&#x20;,&#x20;FAT16&#x20;,&#x20;and&#x20;FAT32&#x20;all&#x20;of&#x20;which&#x20;are&#x20;supported&#x20;by&#x20;the&#x20;vfat&#x20;kernel&#x20;module.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;.&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/vfat.conf:&#x20;install&#x20;vfat&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;vfat&#x20;module:&#x20;#&#x20;rmmod&#x20;vfat','[{\"cis\": [\"1.1.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(6502,'Ensure&#x20;mounting&#x20;of&#x20;squashfs&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;squashfs&#x20;filesystem&#x20;type&#x20;is&#x20;a&#x20;compressed&#x20;read-only&#x20;Linux&#x20;filesystem&#x20;embedded&#x20;in&#x20;small&#x20;footprint&#x20;systems&#x20;&#40;similar&#x20;to&#x20;cramfs&#x20;&#41;.&#x20;A&#x20;squashfs&#x20;image&#x20;can&#x20;be&#x20;used&#x20;without&#x20;having&#x20;to&#x20;first&#x20;decompress&#x20;the&#x20;image.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;.&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/squashfs.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;squashfs&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;squashfs&#x20;module:&#x20;rmmod&#x20;squashfs','[{\"cis\": [\"1.1.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(6503,'Ensure&#x20;mounting&#x20;of&#x20;udf&#x20;filesystems&#x20;is&#x20;disabled','The&#x20;udf&#x20;filesystem&#x20;type&#x20;is&#x20;the&#x20;universal&#x20;disk&#x20;format&#x20;used&#x20;to&#x20;implement&#x20;ISO/IEC&#x20;13346&#x20;and&#x20;ECMA-167&#x20;specifications.&#x20;This&#x20;is&#x20;an&#x20;open&#x20;vendor&#x20;filesystem&#x20;type&#x20;for&#x20;data&#x20;storage&#x20;on&#x20;a&#x20;broad&#x20;range&#x20;of&#x20;media.&#x20;This&#x20;filesystem&#x20;type&#x20;is&#x20;necessary&#x20;to&#x20;support&#x20;writing&#x20;DVDs&#x20;and&#x20;newer&#x20;optical&#x20;disc&#x20;formats.','Removing&#x20;support&#x20;for&#x20;unneeded&#x20;filesystem&#x20;types&#x20;reduces&#x20;the&#x20;local&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;If&#x20;this&#x20;filesystem&#x20;type&#x20;is&#x20;not&#x20;needed,&#x20;disable&#x20;it.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf.&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/udf.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;udf&#x20;/bin/true.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;udf&#x20;module:&#x20;#&#x20;rmmod&#x20;udf','[{\"cis\": [\"1.1.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.5\"]}, {\"tsc\": [\"CC6.3\"]}]'),(6504,'Ensure&#x20;/tmp&#x20;is&#x20;configured','The&#x20;/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Making&#x20;/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hardlink&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hardlink&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.&#x20;This&#x20;can&#x20;be&#x20;accomplished&#x20;by&#x20;either&#x20;mounting&#x20;tmpfs&#x20;to&#x20;/tmp,&#x20;or&#x20;creating&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/tmp.','','Configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.&#x20;example:&#x20;&quot;tmpfs&#x20;&#x20;/tmp&#x20;&#x20;tmpfs&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;&#x20;0&#x20;0&quot;&#x20;&#x20;OR&#x20;&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;enable&#x20;systemd&#x20;/tmp&#x20;mounting:&#x20;#&#x20;systemctl&#x20;unmask&#x20;tmp.mount&#x20;#&#x20;systemctl&#x20;enable&#x20;tmp.mount&#x20;&#x20;&#x20;&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;configure&#x20;the&#x20;/tmp&#x20;mount:&#x20;&#x20;&#x20;[Mount]&#x20;What=tmpfs&#x20;Where=/tmp&#x20;Type=tmpfs&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid','[{\"cis\": [\"1.1.2\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6505,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/tmp&#x20;&#x20;OR&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;/tmp&#x20;mount&#x20;options:&#x20;[Mount]&#x20;&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/tmp','[{\"cis\": [\"1.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6506,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/tmp&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;/tmp&#x20;mount&#x20;options:&#x20;&#x20;&#x20;&#x20;[Mount]&#x20;&#x20;&#x20;&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/tmp','[{\"cis\": [\"1.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6507,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/tmp&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Edit&#x20;/etc/systemd/system/local-fs.target.wants/tmp.mount&#x20;to&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;/tmp&#x20;mount&#x20;options:&#x20;[Mount]&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Options=mode=1777,strictatime,noexec,nodev,nosuid&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/tmp','[{\"cis\": [\"1.1.5\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6508,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var','The&#x20;/var&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;daemons&#x20;and&#x20;other&#x20;system&#x20;services&#x20;to&#x20;temporarily&#x20;store&#x20;dynamic&#x20;data.&#x20;Some&#x20;directories&#x20;created&#x20;by&#x20;these&#x20;processes&#x20;may&#x20;be&#x20;world-writable.','Since&#x20;the&#x20;/var&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6509,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/tmp','The&#x20;/var/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Since&#x20;the&#x20;/var/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;In&#x20;addition,&#x20;making&#x20;/var/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/var/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/tmp.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6510,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/tmp&#x20;.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.','[{\"cis\": [\"1.1.8\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6511,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.','[{\"cis\": [\"1.1.9\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6512,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.','[{\"cis\": [\"1.1.10\"]}, {\"cis_csc\": [\"5.1\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6513,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log','The&#x20;/var/log&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;system&#x20;services&#x20;to&#x20;store&#x20;log&#x20;data&#x20;.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;system&#x20;logs&#x20;are&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;logs&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.11\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"2.2.4\", \"10.7\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6514,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log/audit','The&#x20;auditing&#x20;daemon,&#x20;auditd&#x20;,&#x20;stores&#x20;log&#x20;data&#x20;in&#x20;the&#x20;/var/log/audit&#x20;directory.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;data&#x20;gathered&#x20;by&#x20;auditd&#x20;is&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;the&#x20;audit.log&#x20;file&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log/audit.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.12\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"2.2.4\", \"10.7\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6515,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/home','The&#x20;/home&#x20;directory&#x20;is&#x20;used&#x20;to&#x20;support&#x20;disk&#x20;storage&#x20;needs&#x20;of&#x20;local&#x20;users.','If&#x20;the&#x20;system&#x20;is&#x20;intended&#x20;to&#x20;support&#x20;local&#x20;users,&#x20;create&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;the&#x20;/home&#x20;directory&#x20;to&#x20;protect&#x20;against&#x20;resource&#x20;exhaustion&#x20;and&#x20;restrict&#x20;the&#x20;type&#x20;of&#x20;files&#x20;that&#x20;can&#x20;be&#x20;stored&#x20;under&#x20;/home.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/home.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.13\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6516,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;user&#x20;partitions&#x20;are&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/home&#x20;partition.&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/home','[{\"cis\": [\"1.1.14\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6517,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/dev/shm&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;special&#x20;devices&#x20;in&#x20;/dev/shm&#x20;partitions.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/dev/shm','[{\"cis\": [\"1.1.15\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6518,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;introducing&#x20;privileged&#x20;programs&#x20;onto&#x20;the&#x20;system&#x20;and&#x20;allowing&#x20;non-root&#x20;users&#x20;to&#x20;execute&#x20;them.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/dev/shm','[{\"cis\": [\"1.1.16\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6519,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;executing&#x20;programs&#x20;from&#x20;shared&#x20;memory.&#x20;This&#x20;deters&#x20;users&#x20;from&#x20;introducing&#x20;potentially&#x20;malicious&#x20;software&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/dev/shm','[{\"cis\": [\"1.1.17\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6520,'Disable&#x20;Automounting','autofs&#x20;allows&#x20;automatic&#x20;mounting&#x20;of&#x20;devices,&#x20;typically&#x20;including&#x20;CD/DVDs&#x20;and&#x20;USB&#x20;drives.','With&#x20;automounting&#x20;enabled&#x20;anyone&#x20;with&#x20;physical&#x20;access&#x20;could&#x20;attach&#x20;a&#x20;USB&#x20;drive&#x20;or&#x20;disc&#x20;and&#x20;have&#x20;its&#x20;contents&#x20;available&#x20;in&#x20;system&#x20;even&#x20;if&#x20;they&#x20;lacked&#x20;permissions&#x20;to&#x20;mount&#x20;it&#x20;themselves.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;autofs&#x20;:&#x20;systemctl&#x20;disable&#x20;autofs','[{\"cis\": [\"1.1.22\"]}, {\"cis_csc\": [\"8.4\", \"8.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6521,'Disable&#x20;USB&#x20;Storage','USB&#x20;storage&#x20;provides&#x20;a&#x20;means&#x20;to&#x20;transfer&#x20;and&#x20;store&#x20;files&#x20;insuring&#x20;persistence&#x20;and&#x20;availability&#x20;of&#x20;the&#x20;files&#x20;independent&#x20;of&#x20;network&#x20;connection&#x20;status.&#x20;Its&#x20;popularity&#x20;and&#x20;utility&#x20;has&#x20;led&#x20;to&#x20;USB-based&#x20;malware&#x20;being&#x20;a&#x20;simple&#x20;and&#x20;common&#x20;means&#x20;for&#x20;network&#x20;infiltration&#x20;and&#x20;a&#x20;first&#x20;step&#x20;to&#x20;establishing&#x20;a&#x20;persistent&#x20;threat&#x20;within&#x20;a&#x20;networked&#x20;environment.','Restricting&#x20;USB&#x20;access&#x20;on&#x20;the&#x20;system&#x20;will&#x20;decrease&#x20;the&#x20;physical&#x20;attack&#x20;surface&#x20;for&#x20;a&#x20;device&#x20;and&#x20;diminish&#x20;the&#x20;possible&#x20;vectors&#x20;to&#x20;introduce&#x20;malware.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/usb-storage.conf&#x20;&#x20;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;usb-storage&#x20;/bin/true&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unload&#x20;the&#x20;usb-storage&#x20;module:&#x20;&#x20;#&#x20;rmmod&#x20;usb-storage','[{\"cis\": [\"1.1.23\"]}, {\"cis_csc\": [\"8.4\", \"8.5\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6522,'Ensure&#x20;gpgcheck&#x20;is&#x20;globally&#x20;activated','The&#x20;gpgcheck&#x20;option,&#x20;found&#x20;in&#x20;the&#x20;main&#x20;section&#x20;of&#x20;the&#x20;/etc/yum.conf&#x20;and&#x20;individual&#x20;/etc/yum/repos.d&#47;&#42;&#x20;files&#x20;determines&#x20;if&#x20;an&#x20;RPM&#x20;package&#039;s&#x20;signature&#x20;is&#x20;checked&#x20;prior&#x20;to&#x20;its&#x20;installation.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;an&#x20;RPM&#039;s&#x20;package&#x20;signature&#x20;is&#x20;always&#x20;checked&#x20;prior&#x20;to&#x20;installation&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;software&#x20;is&#x20;obtained&#x20;from&#x20;a&#x20;trusted&#x20;source.','','Edit&#x20;/etc/yum.conf&#x20;and&#x20;set&#x20;&#039;&#x20;gpgcheck=1&#x20;&#039;&#x20;in&#x20;the&#x20;[main]&#x20;section.&#x20;Edit&#x20;any&#x20;failing&#x20;files&#x20;in&#x20;/etc/yum.repos.d&#47;&#42;&#x20;and&#x20;set&#x20;all&#x20;instances&#x20;of&#x20;gpgcheck&#x20;to&#x20;&#039;&#x20;1&#x20;&#039;.','[{\"cis\": [\"1.2.2\"]}, {\"cis_csc\": [\"3.4\"]}, {\"pci_dss\": [\"6.2\"]}, {\"nist_800_53\": [\"SI.2\", \"SA.11\", \"SI.4\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"A1.2\", \"CC6.8\"]}]'),(6523,'Ensure&#x20;sudo&#x20;is&#x20;installed','sudo&#x20;allows&#x20;a&#x20;permitted&#x20;user&#x20;to&#x20;execute&#x20;a&#x20;command&#x20;as&#x20;the&#x20;superuser&#x20;or&#x20;another&#x20;user,&#x20;as&#x20;specified&#x20;by&#x20;the&#x20;security&#x20;policy.&#x20;The&#x20;invoking&#x20;user&#039;s&#x20;real&#x20;&#40;not&#x20;effective&#41;&#x20;user&#x20;ID&#x20;is&#x20;used&#x20;to&#x20;determine&#x20;the&#x20;user&#x20;name&#x20;with&#x20;which&#x20;to&#x20;query&#x20;the&#x20;security&#x20;policy.','sudo&#x20;supports&#x20;a&#x20;plugin&#x20;architecture&#x20;for&#x20;security&#x20;policies&#x20;and&#x20;input/output&#x20;logging.&#x20;Third&#x20;parties&#x20;can&#x20;develop&#x20;and&#x20;distribute&#x20;their&#x20;own&#x20;policy&#x20;and&#x20;I/O&#x20;logging&#x20;plugins&#x20;to&#x20;work&#x20;seamlessly&#x20;with&#x20;the&#x20;sudo&#x20;front&#x20;end.&#x20;The&#x20;default&#x20;security&#x20;policy&#x20;is&#x20;sudoers,&#x20;which&#x20;is&#x20;configured&#x20;via&#x20;the&#x20;file&#x20;/etc/sudoers.&#x20;The&#x20;security&#x20;policy&#x20;determines&#x20;what&#x20;privileges,&#x20;if&#x20;any,&#x20;a&#x20;user&#x20;has&#x20;to&#x20;run&#x20;sudo.&#x20;The&#x20;policy&#x20;may&#x20;require&#x20;that&#x20;users&#x20;authenticate&#x20;themselves&#x20;with&#x20;a&#x20;password&#x20;or&#x20;another&#x20;authentication&#x20;mechanism.&#x20;If&#x20;authentication&#x20;is&#x20;required,&#x20;sudo&#x20;will&#x20;exit&#x20;if&#x20;the&#x20;user&#039;s&#x20;password&#x20;is&#x20;not&#x20;entered&#x20;within&#x20;a&#x20;configurable&#x20;time&#x20;limit.&#x20;This&#x20;limit&#x20;is&#x20;policy-specific.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;sudo:&#x20;#&#x20;dnf&#x20;install&#x20;sudo','[{\"cis\": [\"1.3.1\"]}, {\"cis_csc\": [\"4.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6524,'Ensure&#x20;sudo&#x20;commands&#x20;use&#x20;pty','sudo&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;run&#x20;only&#x20;from&#x20;a&#x20;pseudo-pty','Attackers&#x20;can&#x20;run&#x20;a&#x20;malicious&#x20;program&#x20;using&#x20;sudo&#x20;which&#x20;would&#x20;fork&#x20;a&#x20;background&#x20;process&#x20;that&#x20;remains&#x20;even&#x20;when&#x20;the&#x20;main&#x20;program&#x20;has&#x20;finished&#x20;executing.','','edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;-f&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Defaults&#x20;use_pty','[{\"cis\": [\"1.3.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6525,'Ensure&#x20;sudo&#x20;log&#x20;file&#x20;exists','sudo&#x20;can&#x20;use&#x20;a&#x20;custom&#x20;log&#x20;file','A&#x20;sudo&#x20;log&#x20;file&#x20;simplifies&#x20;auditing&#x20;of&#x20;sudo&#x20;commands','','edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;-f&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Defaults&#x20;logfile=&quot;&lt;PATH&#x20;TO&#x20;CUSTOM&#x20;LOG&#x20;FILE&gt;&quot;','[{\"cis\": [\"1.3.3\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6526,'Ensure&#x20;AIDE&#x20;is&#x20;installed','AIDE&#x20;takes&#x20;a&#x20;snapshot&#x20;of&#x20;filesystem&#x20;state&#x20;including&#x20;modification&#x20;times,&#x20;permissions,&#x20;and&#x20;file&#x20;hashes&#x20;which&#x20;can&#x20;then&#x20;be&#x20;used&#x20;to&#x20;compare&#x20;against&#x20;the&#x20;current&#x20;state&#x20;of&#x20;the&#x20;filesystem&#x20;to&#x20;detect&#x20;modifications&#x20;to&#x20;the&#x20;system.','By&#x20;monitoring&#x20;the&#x20;filesystem&#x20;state&#x20;compromised&#x20;files&#x20;can&#x20;be&#x20;detected&#x20;to&#x20;prevent&#x20;or&#x20;limit&#x20;the&#x20;exposure&#x20;of&#x20;accidental&#x20;or&#x20;malicious&#x20;misconfigurations&#x20;or&#x20;modified&#x20;binaries.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;aide:&#x20;#&#x20;dnf&#x20;install&#x20;aide&#x20;&#x20;||&#x20;&#x20;Configure&#x20;AIDE&#x20;as&#x20;appropriate&#x20;for&#x20;your&#x20;environment.&#x20;Consult&#x20;the&#x20;AIDE&#x20;documentation&#x20;for&#x20;options.&#x20;Initialize&#x20;AIDE:&#x20;#aide&#x20;--init&#x20;&amp;&amp;&#x20;mv&#x20;/var/lib/aide/aide.db.new.gz&#x20;/var/lib/aide/aide.db.gz','[{\"cis\": [\"1.3.1\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6527,'Ensure&#x20;filesystem&#x20;integrity&#x20;is&#x20;regularly&#x20;checked','Periodic&#x20;checking&#x20;of&#x20;the&#x20;filesystem&#x20;integrity&#x20;is&#x20;needed&#x20;to&#x20;detect&#x20;changes&#x20;to&#x20;the&#x20;filesystem.','Periodic&#x20;file&#x20;checking&#x20;allows&#x20;the&#x20;system&#x20;administrator&#x20;to&#x20;determine&#x20;on&#x20;a&#x20;regular&#x20;basis&#x20;if&#x20;critical&#x20;files&#x20;have&#x20;been&#x20;changed&#x20;in&#x20;an&#x20;unauthorized&#x20;fashion.','','&#x20;Run&#x20;the&#x20;following&#x20;commands:&#x20;#&#x20;cp&#x20;./config/aidecheck.service&#x20;/etc/systemd/system/aidecheck.service&#x20;&#x20;#&#x20;cp&#x20;./config/aidecheck.timer&#x20;/etc/systemd/system/aidecheck.timer&#x20;&#x20;&#x20;#&#x20;chmod&#x20;0644&#x20;/etc/systemd/system/aidecheck.*&#x20;&#x20;#&#x20;systemctl&#x20;reenable&#x20;aidecheck.timer&#x20;#&#x20;systemctl&#x20;restart&#x20;aidecheck.timer&#x20;#&#x20;systemctl&#x20;daemon-reload.&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;command:&#x20;crontab&#x20;-u&#x20;root&#x20;-e&#x20;//&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;crontab:&#x20;0&#x20;5&#x20;*&#x20;*&#x20;*&#x20;/usr/sbin/aide&#x20;--check&#x20;&#x20;//&#x20;Notes:&#x20;The&#x20;checking&#x20;in&#x20;this&#x20;recommendation&#x20;occurs&#x20;every&#x20;day&#x20;at&#x20;5am.&#x20;Alter&#x20;the&#x20;frequency&#x20;and&#x20;time&#x20;of&#x20;the&#x20;checks&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy.&#x20;&#x20;','[{\"cis\": [\"1.3.2\"]}, {\"cis_csc\": [\"3.5\"]}, {\"pci_dss\": [\"11.5\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6528,'Ensure&#x20;permissions&#x20;on&#x20;bootloader&#x20;config&#x20;are&#x20;configured','The&#x20;grub&#x20;configuration&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;boot&#x20;settings&#x20;and&#x20;passwords&#x20;for&#x20;unlocking&#x20;boot&#x20;options.&#x20;The&#x20;grub&#x20;configuration&#x20;is&#x20;usually&#x20;grub.cfg&#x20;and&#x20;grubenv&#x20;stored&#x20;in&#x20;/boot/grub2/','Setting&#x20;the&#x20;permissions&#x20;to&#x20;read&#x20;and&#x20;write&#x20;for&#x20;root&#x20;only&#x20;prevents&#x20;non-root&#x20;users&#x20;from&#x20;seeing&#x20;the&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;them.&#x20;Non-root&#x20;users&#x20;who&#x20;read&#x20;the&#x20;boot&#x20;parameters&#x20;may&#x20;be&#x20;able&#x20;to&#x20;identify&#x20;weaknesses&#x20;in&#x20;security&#x20;upon&#x20;boot&#x20;and&#x20;be&#x20;able&#x20;to&#x20;exploit&#x20;them.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;your&#x20;grub&#x20;configuration:&#x20;#&#x20;chown&#x20;root:root&#x20;/boot/grub2/grub.cfg&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/boot/grub2/grub.cfg&#x20;#&#x20;chown&#x20;root:root&#x20;/boot/grub2/grubenv&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/boot/grub2/grubenv','[{\"cis\": [\"1.5.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6529,'Ensure&#x20;bootloader&#x20;password&#x20;is&#x20;set','Setting&#x20;the&#x20;boot&#x20;loader&#x20;password&#x20;will&#x20;require&#x20;that&#x20;anyone&#x20;rebooting&#x20;the&#x20;system&#x20;must&#x20;enter&#x20;a&#x20;password&#x20;before&#x20;being&#x20;able&#x20;to&#x20;set&#x20;command&#x20;line&#x20;boot&#x20;parameters.','Requiring&#x20;a&#x20;boot&#x20;password&#x20;upon&#x20;execution&#x20;of&#x20;the&#x20;boot&#x20;loader&#x20;will&#x20;prevent&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;entering&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;the&#x20;boot&#x20;partition.&#x20;This&#x20;prevents&#x20;users&#x20;from&#x20;weakening&#x20;security&#x20;&#40;e.g.&#x20;turning&#x20;off&#x20;SELinux&#x20;at&#x20;boot&#x20;time&#41;.','','Create&#x20;an&#x20;encrypted&#x20;password&#x20;with&#x20;grub2-setpassword:&#x20;#&#x20;grub2-setpassword&#x20;&#x20;&#x20;&#x20;||&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;grub2-mkconfig&#x20;-o&#x20;/boot/grub2/grub.cfg','[{\"cis\": [\"1.5.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6530,'Ensure&#x20;authentication&#x20;required&#x20;for&#x20;single&#x20;user&#x20;mode','Single&#x20;user&#x20;mode&#x20;&#40;rescue&#x20;mode&#41;&#x20;is&#x20;used&#x20;for&#x20;recovery&#x20;when&#x20;the&#x20;system&#x20;detects&#x20;an&#x20;issue&#x20;during&#x20;boot&#x20;or&#x20;by&#x20;manual&#x20;selection&#x20;from&#x20;the&#x20;bootloader.','Requiring&#x20;authentication&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;&#40;rescue&#x20;mode&#41;&#x20;prevents&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;rebooting&#x20;the&#x20;system&#x20;into&#x20;single&#x20;user&#x20;to&#x20;gain&#x20;root&#x20;privileges&#x20;without&#x20;credentials.','','Edit&#x20;/usr/lib/systemd/system/rescue.service&#x20;and&#x20;add/modify&#x20;the&#x20;following&#x20;line:&#x20;ExecStart=-/usr/lib/systemd/systemd-sulogin-shell&#x20;rescue&#x20;Edit&#x20;/usr/lib/systemd/system/emergency.service&#x20;and&#x20;add/modify&#x20;the&#x20;following&#x20;line:&#x20;ExecStart=-/usr/lib/systemd/systemd-sulogin-shell&#x20;emergency','[{\"cis\": [\"1.5.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6531,'Ensure&#x20;core&#x20;dumps&#x20;are&#x20;restricted','A&#x20;core&#x20;dump&#x20;is&#x20;the&#x20;memory&#x20;of&#x20;an&#x20;executable&#x20;program.&#x20;It&#x20;is&#x20;generally&#x20;used&#x20;to&#x20;determine&#x20;why&#x20;a&#x20;program&#x20;aborted.&#x20;It&#x20;can&#x20;also&#x20;be&#x20;used&#x20;to&#x20;glean&#x20;confidential&#x20;information&#x20;from&#x20;a&#x20;core&#x20;file.The&#x20;system&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;a&#x20;soft&#x20;limit&#x20;for&#x20;core&#x20;dumps,&#x20;but&#x20;this&#x20;can&#x20;be&#x20;overridden&#x20;by&#x20;the&#x20;user.','Setting&#x20;a&#x20;hard&#x20;limit&#x20;on&#x20;core&#x20;dumps&#x20;prevents&#x20;users&#x20;from&#x20;overriding&#x20;the&#x20;soft&#x20;variable.&#x20;If&#x20;core&#x20;dumps&#x20;are&#x20;required,&#x20;consider&#x20;setting&#x20;limits&#x20;for&#x20;user&#x20;groups&#x20;&#40;see&#x20;limits.conf&#40;5&#41;&#41;.&#x20;In&#x20;addition,&#x20;setting&#x20;the&#x20;fs.suid_dumpable&#x20;variable&#x20;to&#x20;0&#x20;will&#x20;prevent&#x20;setuid&#x20;programs&#x20;from&#x20;dumping&#x20;core.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;/etc/security/limits.conf&#x20;or&#x20;a&#x20;/etc/security/limits.d&#47;&#42;&#x20;file:&#x20;*&#x20;hard&#x20;core&#x20;0.&#x20;Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;fs.suid_dumpable&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;fs.suid_dumpable=0.&#x20;If&#x20;systemd-coredump&#x20;is&#x20;installed:&#x20;&#x20;edit&#x20;/etc/systemd/coredump.conf&#x20;and&#x20;add/modify&#x20;the&#x20;following&#x20;lines:&#x20;Storage=none&#x20;ProcessSizeMax=0&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;command:&#x20;#&#x20;systemctl&#x20;daemon-reload','[{\"cis\": [\"1.6.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6532,'Ensure&#x20;address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;enabled','Address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;an&#x20;exploit&#x20;mitigation&#x20;technique&#x20;which&#x20;randomly&#x20;arranges&#x20;the&#x20;address&#x20;space&#x20;of&#x20;key&#x20;data&#x20;areas&#x20;of&#x20;a&#x20;process.','Randomly&#x20;placing&#x20;virtual&#x20;memory&#x20;regions&#x20;will&#x20;make&#x20;it&#x20;difficult&#x20;to&#x20;write&#x20;memory&#x20;page&#x20;exploits&#x20;as&#x20;the&#x20;memory&#x20;placement&#x20;will&#x20;be&#x20;consistently&#x20;shifting.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;kernel.randomize_va_space&#x20;=&#x20;2&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;kernel.randomize_va_space=2','[{\"cis\": [\"1.6.2\"]}, {\"cis_csc\": [\"8.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6533,'Ensure&#x20;SELinux&#x20;is&#x20;installed','SELinux&#x20;provides&#x20;Mandatory&#x20;Access&#x20;Control.','Without&#x20;a&#x20;Mandatory&#x20;Access&#x20;Control&#x20;system&#x20;installed&#x20;only&#x20;the&#x20;default&#x20;Discretionary&#x20;Access&#x20;Control&#x20;system&#x20;will&#x20;be&#x20;available.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;SELinux&#x20;:&#x20;#&#x20;dnf&#x20;install&#x20;libselinux','[{\"cis\": [\"1.7.1.1\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6534,'Ensure&#x20;SELinux&#x20;is&#x20;not&#x20;disabled&#x20;in&#x20;bootloader&#x20;configuration','Configure&#x20;SELINUX&#x20;to&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;and&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;not&#x20;been&#x20;overwritten&#x20;by&#x20;the&#x20;grub&#x20;boot&#x20;parameters.','SELinux&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;your&#x20;grub&#x20;configuration&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;not&#x20;overridden.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;remove&#x20;all&#x20;instances&#x20;of&#x20;selinux=0&#x20;and&#x20;enforcing=0&#x20;from&#x20;all&#x20;CMDLINE_LINUX&#x20;parameters:&#x20;GRUB_CMDLINE_LINUX_DEFAULT=&quot;quiet&quot;&#x20;GRUB_CMDLINE_LINUX=&quot;&quot;&#x20;&#x20;||&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;grub2-mkconfig&#x20;-o&#x20;/boot/grub2/grub.cfg','[{\"cis\": [\"1.7.1.2\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6535,'Ensure&#x20;SELinux&#x20;policy&#x20;is&#x20;configured','Configure&#x20;SELinux&#x20;to&#x20;meet&#x20;or&#x20;exceed&#x20;the&#x20;default&#x20;targeted&#x20;policy,&#x20;which&#x20;constrains&#x20;daemons&#x20;and&#x20;system&#x20;software&#x20;only.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;at&#x20;least&#x20;the&#x20;default&#x20;recommendations&#x20;are&#x20;met.','','Edit&#x20;the&#x20;/etc/selinux/config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;SELINUXTYPE&#x20;parameter:&#x20;SELINUXTYPE=targeted','[{\"cis\": [\"1.7.1.3\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6536,'Ensure&#x20;the&#x20;SELinux&#x20;state&#x20;is&#x20;enforcing','Set&#x20;SELinux&#x20;to&#x20;enable&#x20;when&#x20;the&#x20;system&#x20;is&#x20;booted.','SELinux&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;in&#x20;effect&#x20;at&#x20;all&#x20;times.','','Edit&#x20;the&#x20;/etc/selinux/config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;SELINUX&#x20;parameter:&#x20;SELINUX=enforcing','[{\"cis\": [\"1.7.1.4\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6537,'Ensure&#x20;no&#x20;unconfined&#x20;services&#x20;exist','Unconfined&#x20;processes&#x20;run&#x20;in&#x20;unconfined&#x20;domains','For&#x20;unconfined&#x20;processes,&#x20;SELinux&#x20;policy&#x20;rules&#x20;are&#x20;applied,&#x20;but&#x20;policy&#x20;rules&#x20;exist&#x20;that&#x20;allow&#x20;processes&#x20;running&#x20;in&#x20;unconfined&#x20;domains&#x20;almost&#x20;all&#x20;access.&#x20;Processes&#x20;running&#x20;in&#x20;unconfined&#x20;domains&#x20;fall&#x20;back&#x20;to&#x20;using&#x20;DAC&#x20;rules&#x20;exclusively.&#x20;If&#x20;an&#x20;unconfined&#x20;process&#x20;is&#x20;compromised,&#x20;SELinux&#x20;does&#x20;not&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;gaining&#x20;access&#x20;to&#x20;system&#x20;resources&#x20;and&#x20;data,&#x20;but&#x20;of&#x20;course,&#x20;DAC&#x20;rules&#x20;are&#x20;still&#x20;used.&#x20;SELinux&#x20;is&#x20;a&#x20;security&#x20;enhancement&#x20;on&#x20;top&#x20;of&#x20;DAC&#x20;rules&#x20;&ndash;&#x20;it&#x20;does&#x20;not&#x20;replace&#x20;them','','Investigate&#x20;any&#x20;unconfined&#x20;processes&#x20;found&#x20;during&#x20;the&#x20;audit&#x20;action.&#x20;They&#x20;may&#x20;need&#x20;to&#x20;have&#x20;an&#x20;existing&#x20;security&#x20;context&#x20;assigned&#x20;to&#x20;them&#x20;or&#x20;a&#x20;policy&#x20;built&#x20;for&#x20;them.&#x20;Notes:&#x20;Occasionally&#x20;certain&#x20;daemons&#x20;such&#x20;as&#x20;backup&#x20;or&#x20;centralized&#x20;management&#x20;software&#x20;may&#x20;require&#x20;running&#x20;unconfined.&#x20;Any&#x20;such&#x20;software&#x20;should&#x20;be&#x20;carefully&#x20;analyzed&#x20;and&#x20;documented&#x20;before&#x20;such&#x20;an&#x20;exception&#x20;is&#x20;made.','[{\"cis\": [\"1.7.1.5\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6538,'Ensure&#x20;SETroubleshoot&#x20;is&#x20;not&#x20;installed','The&#x20;SETroubleshoot&#x20;service&#x20;notifies&#x20;desktop&#x20;users&#x20;of&#x20;SELinux&#x20;denials&#x20;through&#x20;a&#x20;user-friendly&#x20;interface.&#x20;The&#x20;service&#x20;provides&#x20;important&#x20;information&#x20;around&#x20;configuration&#x20;errors,&#x20;unauthorized&#x20;intrusions,&#x20;and&#x20;other&#x20;potential&#x20;errors.','The&#x20;SETroubleshoot&#x20;service&#x20;is&#x20;an&#x20;unnecessary&#x20;daemon&#x20;to&#x20;have&#x20;running&#x20;on&#x20;a&#x20;server,&#x20;especially&#x20;if&#x20;X&#x20;Windows&#x20;is&#x20;disabled.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;setroubleshoot:&#x20;#&#x20;dnf&#x20;remove&#x20;setroubleshoot','[{\"cis\": [\"1.7.1.6\"]}, {\"cis_csc\": [\"14.6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6539,'Ensure&#x20;the&#x20;MCS&#x20;Translation&#x20;Service&#x20;&#40;mcstrans&#41;&#x20;is&#x20;not&#x20;installed','The&#x20;mcstransd&#x20;daemon&#x20;provides&#x20;category&#x20;label&#x20;information&#x20;to&#x20;client&#x20;processes&#x20;requesting&#x20;information.&#x20;The&#x20;label&#x20;translations&#x20;are&#x20;defined&#x20;in&#x20;/etc/selinux/targeted/setrans.conf','Since&#x20;this&#x20;service&#x20;is&#x20;not&#x20;used&#x20;very&#x20;often,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;amount&#x20;of&#x20;potentially&#x20;vulnerable&#x20;code&#x20;running&#x20;on&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;mcstrans:&#x20;#&#x20;dnf&#x20;remove&#x20;mcstrans','[{\"cis\": [\"1.7.1.5\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6540,'Ensure&#x20;system-wide&#x20;crypto&#x20;policy&#x20;is&#x20;FUTURE&#x20;or&#x20;FIPS','The&#x20;system-wide&#x20;crypto-policies&#x20;followed&#x20;by&#x20;the&#x20;crypto&#x20;core&#x20;components&#x20;allow&#x20;consistently&#x20;deprecating&#x20;and&#x20;disabling&#x20;algorithms&#x20;system-wide.&#x20;The&#x20;individual&#x20;policy&#x20;levels&#x20;&#40;DEFAULT,&#x20;LEGACY,&#x20;FUTURE,&#x20;and&#x20;FIPS&#41;&#x20;are&#x20;included&#x20;in&#x20;the&#x20;crypto-policies&#40;7&#41;&#x20;package.','If&#x20;the&#x20;Legacy&#x20;system-wide&#x20;crypto&#x20;policy&#x20;is&#x20;selected,&#x20;it&#x20;includes&#x20;support&#x20;for&#x20;TLS&#x20;1.0,&#x20;TLS&#x20;1.1,&#x20;and&#x20;SSH2&#x20;protocols&#x20;or&#x20;later.&#x20;The&#x20;algorithms&#x20;DSA,&#x20;3DES,&#x20;and&#x20;RC4&#x20;are&#x20;allowed,&#x20;while&#x20;RSA&#x20;and&#x20;Diffie-Hellman&#x20;parameters&#x20;are&#x20;accepted&#x20;if&#x20;larger&#x20;than&#x20;1023-bits.&#x20;These&#x20;legacy&#x20;protocols&#x20;and&#x20;algorithms&#x20;can&#x20;make&#x20;the&#x20;system&#x20;vulnerable&#x20;to&#x20;attacks,&#x20;including&#x20;those&#x20;listed&#x20;in&#x20;RFC&#x20;7457&#x20;FUTURE:&#x20;Is&#x20;a&#x20;conservative&#x20;security&#x20;level&#x20;that&#x20;is&#x20;believed&#x20;to&#x20;withstand&#x20;any&#x20;near-term&#x20;future&#x20;attacks.&#x20;This&#x20;level&#x20;does&#x20;not&#x20;allow&#x20;the&#x20;use&#x20;of&#x20;SHA-1&#x20;in&#x20;signature&#x20;algorithms.&#x20;The&#x20;RSA&#x20;and&#x20;Diffie-Hellman&#x20;parameters&#x20;are&#x20;accepted&#x20;if&#x20;larger&#x20;than&#x20;3071&#x20;bits.&#x20;The&#x20;level&#x20;provides&#x20;at&#x20;least&#x20;128-bit&#x20;security&#x20;FIPS:&#x20;Conforms&#x20;to&#x20;the&#x20;FIPS&#x20;140-2&#x20;requirements.&#x20;This&#x20;policy&#x20;is&#x20;used&#x20;internally&#x20;by&#x20;the&#x20;fips-mode-setup&#40;8&#41;&#x20;tool&#x20;which&#x20;can&#x20;switch&#x20;the&#x20;system&#x20;into&#x20;the&#x20;FIPS&#x20;140-2&#x20;compliance&#x20;mode.&#x20;The&#x20;level&#x20;provides&#x20;at&#x20;least&#x20;112-bit&#x20;security','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;the&#x20;system-wide&#x20;crypto&#x20;policy&#x20;#&#x20;update-crypto-policies&#x20;--set&#x20;FUTURE&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;To&#x20;switch&#x20;the&#x20;system&#x20;to&#x20;FIPS&#x20;mode,&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;fips-mode-setup&#x20;--enable','[{\"cis\": [\"1.11\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6541,'Ensure&#x20;message&#x20;of&#x20;the&#x20;day&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/motd&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;v&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform&#x20;&#x20;&#x20;&#x20;OR&#x20;&#x20;&#x20;&#x20;If&#x20;the&#x20;motd&#x20;is&#x20;not&#x20;used,&#x20;this&#x20;file&#x20;can&#x20;be&#x20;removed.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;motd&#x20;file:&#x20;#&#x20;rm&#x20;/etc/motd','[{\"cis\": [\"1.8.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(6542,'Ensure&#x20;local&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;v&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue','[{\"cis\": [\"1.8.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(6543,'Ensure&#x20;remote&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;v&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue.net','[{\"cis\": [\"1.8.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(6544,'Ensure&#x20;permissions&#x20;on&#x20;/etc/motd&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.','If&#x20;the&#x20;/etc/motd&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/motd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/motd&#x20;#&#x20;chmod&#x20;644&#x20;/etc/motd','[{\"cis\": [\"1.8.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6545,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.','If&#x20;the&#x20;/etc/issue&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue','[{\"cis\": [\"1.8.1.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6546,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue.net&#x20;are&#x20;configured','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.','If&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue.net:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue.net&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue.net','[{\"cis\": [\"1.8.1.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6547,'Ensure&#x20;GDM&#x20;login&#x20;banner&#x20;is&#x20;configured','GDM&#x20;is&#x20;the&#x20;GNOME&#x20;Display&#x20;Manager&#x20;which&#x20;handles&#x20;graphical&#x20;login&#x20;for&#x20;GNOME&#x20;based&#x20;systems.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/gdm3/greeter.dconf-defaults&#x20;and&#x20;add&#x20;the&#x20;following&#x20;in&#x20;3&#x20;lines:&#x20;&#40;1&#41;&#x20;[org/gnome/login-screen]&#x20;&#x20;&#x20;&#x20;&#40;2&#41;&#x20;banner-message-enable=true&#x20;&#x20;&#x20;&#40;3&#41;&#x20;banner-message-text=&#039;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&#039;','[{\"cis\": [\"1.8.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"7.1\"]}, {\"tsc\": [\"CC6.4\"]}]'),(6548,'Ensure&#x20;updates,&#x20;patches,&#x20;and&#x20;additional&#x20;security&#x20;software&#x20;are&#x20;installed','Periodically&#x20;patches&#x20;are&#x20;released&#x20;for&#x20;included&#x20;software&#x20;either&#x20;due&#x20;to&#x20;security&#x20;flaws&#x20;or&#x20;to&#x20;include&#x20;additional&#x20;functionality.','Newer&#x20;patches&#x20;may&#x20;contain&#x20;security&#x20;enhancements&#x20;that&#x20;would&#x20;not&#x20;be&#x20;available&#x20;through&#x20;the&#x20;latest&#x20;full&#x20;update.&#x20;As&#x20;a&#x20;result,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;latest&#x20;software&#x20;patches&#x20;be&#x20;used&#x20;to&#x20;take&#x20;advantage&#x20;of&#x20;the&#x20;latest&#x20;functionality.&#x20;As&#x20;with&#x20;any&#x20;software&#x20;installation,&#x20;organizations&#x20;need&#x20;to&#x20;determine&#x20;if&#x20;a&#x20;given&#x20;update&#x20;meets&#x20;their&#x20;requirements&#x20;and&#x20;verify&#x20;the&#x20;compatibility&#x20;and&#x20;supportability&#x20;of&#x20;any&#x20;additional&#x20;software&#x20;against&#x20;the&#x20;update&#x20;revision&#x20;that&#x20;is&#x20;selected.','','Use&#x20;your&#x20;package&#x20;manager&#x20;to&#x20;update&#x20;all&#x20;packages&#x20;on&#x20;the&#x20;system&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;The&#x20;following&#x20;command&#x20;will&#x20;install&#x20;all&#x20;available&#x20;security&#x20;updates:&#x20;#&#x20;dnf&#x20;update&#x20;--security&#x20;.&#x20;Site&#x20;policy&#x20;may&#x20;mandate&#x20;a&#x20;testing&#x20;period&#x20;before&#x20;install&#x20;onto&#x20;production&#x20;systems&#x20;for&#x20;available&#x20;updates.&#x20;The&#x20;audit&#x20;and&#x20;remediation&#x20;here&#x20;only&#x20;cover&#x20;security&#x20;updates.&#x20;Non-security&#x20;updates&#x20;can&#x20;be&#x20;audited&#x20;with&#x20;and&#x20;comparing&#x20;against&#x20;site&#x20;policy:&#x20;#&#x20;dnf&#x20;check-update','[{\"cis\": [\"1.9\"]}, {\"cis_csc\": [\"3.4\"]}, {\"pci_dss\": [\"5.2\"]}, {\"nist_800_53\": [\"AU.6\", \"SI.4\"]}, {\"gpg_13\": [\"4.2\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"A1.2\"]}]'),(6549,'Ensure&#x20;system-wide&#x20;crypto&#x20;policy&#x20;is&#x20;not&#x20;legacy','The&#x20;system-wide&#x20;crypto-policies&#x20;followed&#x20;by&#x20;the&#x20;crypto&#x20;core&#x20;components&#x20;allow&#x20;consistently&#x20;deprecating&#x20;and&#x20;disabling&#x20;algorithms&#x20;system-wide.&#x20;The&#x20;individual&#x20;policy&#x20;levels&#x20;&#40;DEFAULT,&#x20;LEGACY,&#x20;FUTURE,&#x20;and&#x20;FIPS&#41;&#x20;are&#x20;included&#x20;in&#x20;the&#x20;crypto-policies&#40;7&#41;&#x20;package.','If&#x20;the&#x20;Legacy&#x20;system-wide&#x20;crypto&#x20;policy&#x20;is&#x20;selected,&#x20;it&#x20;includes&#x20;support&#x20;for&#x20;TLS&#x20;1.0,&#x20;TLS&#x20;1.1,&#x20;and&#x20;SSH2&#x20;protocols&#x20;or&#x20;later.&#x20;The&#x20;algorithms&#x20;DSA,&#x20;3DES,&#x20;and&#x20;RC4&#x20;are&#x20;allowed,&#x20;while&#x20;RSA&#x20;and&#x20;Diffie-Hellman&#x20;parameters&#x20;are&#x20;accepted&#x20;if&#x20;larger&#x20;than&#x20;1023-bits.&#x20;These&#x20;legacy&#x20;protocols&#x20;and&#x20;algorithms&#x20;can&#x20;make&#x20;the&#x20;system&#x20;vulnerable&#x20;to&#x20;attacks,&#x20;including&#x20;those&#x20;listed&#x20;in&#x20;RFC&#x20;7457','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;the&#x20;system-wide&#x20;crypto&#x20;policy&#x20;#&#x20;update-crypto-policies&#x20;--set&#x20;&lt;CRYPTO&#x20;POLICY&gt;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Example:&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;update-crypto-policies&#x20;--set&#x20;DEFAULT&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;to&#x20;make&#x20;the&#x20;updated&#x20;system-wide&#x20;crypto&#x20;policy&#x20;active&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;update-crypto-policies','[{\"cis\": [\"1.10\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6550,'Ensure&#x20;xinetd&#x20;is&#x20;not&#x20;installed','The&#x20;eXtended&#x20;InterNET&#x20;Daemon&#x20;&#40;&#x20;xinetd&#x20;&#41;&#x20;is&#x20;an&#x20;open&#x20;source&#x20;super&#x20;daemon&#x20;that&#x20;replaced&#x20;the&#x20;original&#x20;inetd&#x20;daemon.&#x20;The&#x20;xinetd&#x20;daemon&#x20;listens&#x20;for&#x20;well&#x20;known&#x20;services&#x20;and&#x20;dispatches&#x20;the&#x20;appropriate&#x20;daemon&#x20;to&#x20;properly&#x20;respond&#x20;to&#x20;service&#x20;requests.','If&#x20;there&#x20;are&#x20;no&#x20;xinetd&#x20;services&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;daemon&#x20;be&#x20;disabled.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;xinetd:&#x20;#&#x20;dnf&#x20;remove&#x20;xinetd','[{\"cis\": [\"2.1.1\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6551,'Ensure&#x20;time&#x20;synchronization&#x20;is&#x20;in&#x20;use','System&#x20;time&#x20;should&#x20;be&#x20;synchronized&#x20;between&#x20;all&#x20;systems&#x20;in&#x20;an&#x20;environment.&#x20;This&#x20;is&#x20;typically&#x20;done&#x20;by&#x20;establishing&#x20;an&#x20;authoritative&#x20;time&#x20;server&#x20;or&#x20;set&#x20;of&#x20;servers&#x20;and&#x20;having&#x20;all&#x20;systems&#x20;synchronize&#x20;their&#x20;clocks&#x20;to&#x20;them.','Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;like&#x20;Kerberos&#x20;and&#x20;also&#x20;ensures&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise,&#x20;which&#x20;aids&#x20;in&#x20;forensic&#x20;investigations.','','On&#x20;physical&#x20;systems&#x20;or&#x20;virtual&#x20;systems&#x20;where&#x20;host&#x20;based&#x20;time&#x20;synchronization&#x20;is&#x20;not&#x20;available&#x20;install&#x20;chrony:&#x20;#&#x20;dnf&#x20;install&#x20;chrony&#x20;&#x20;On&#x20;virtual&#x20;systems&#x20;where&#x20;host&#x20;based&#x20;time&#x20;synchronization&#x20;is&#x20;available&#x20;consult&#x20;your&#x20;virtualization&#x20;software&#x20;documentation&#x20;and&#x20;verify&#x20;that&#x20;host&#x20;based&#x20;synchronization&#x20;is&#x20;in&#x20;use.','[{\"cis\": [\"2.2.2.1\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"10.4\"]}, {\"nist_800_53\": [\"AU.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6552,'Ensure&#x20;chrony&#x20;is&#x20;configured','chrony&#x20;is&#x20;a&#x20;daemon&#x20;which&#x20;implements&#x20;the&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;.&#x20;It&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;NTP&#x20;can&#x20;be&#x20;found&#x20;at&#x20;https://www.ntp.org.&#x20;ntp&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.','If&#x20;chrony&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.','','Add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;to&#x20;/etc/chrony.conf&#x20;as&#x20;appropriate:&#x20;server&#x20;&lt;remote-server&gt;&#x20;&#x20;&#x20;Configure&#x20;chrony&#x20;to&#x20;run&#x20;as&#x20;the&#x20;chrony&#x20;user','[{\"cis\": [\"2.2.1.2\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6553,'Ensure&#x20;X&#x20;Window&#x20;System&#x20;is&#x20;not&#x20;installed','The&#x20;X&#x20;Window&#x20;System&#x20;provides&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;where&#x20;users&#x20;can&#x20;have&#x20;multiple&#x20;windows&#x20;in&#x20;which&#x20;to&#x20;run&#x20;programs&#x20;and&#x20;various&#x20;add&#x20;on.&#x20;The&#x20;X&#x20;Windows&#x20;system&#x20;is&#x20;typically&#x20;used&#x20;on&#x20;workstations&#x20;where&#x20;users&#x20;login,&#x20;but&#x20;not&#x20;on&#x20;servers&#x20;where&#x20;users&#x20;typically&#x20;do&#x20;not&#x20;login.','Unless&#x20;your&#x20;organization&#x20;specifically&#x20;requires&#x20;graphical&#x20;login&#x20;access&#x20;via&#x20;X&#x20;Windows,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;X&#x20;Windows&#x20;System&#x20;packages:&#x20;#&#x20;dnf&#x20;remove&#x20;xorg-x11*','[{\"cis\": [\"2.2.2\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6554,'Ensure&#x20;rsync&#x20;service&#x20;is&#x20;not&#x20;enabled','The&#x20;rsyncd&#x20;service&#x20;can&#x20;be&#x20;used&#x20;to&#x20;synchronize&#x20;files&#x20;between&#x20;systems&#x20;over&#x20;network&#x20;links.','The&#x20;rsyncd&#x20;service&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;rsync:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;rsyncd','[{\"cis\": [\"2.2.3\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6555,'Ensure&#x20;Avahi&#x20;Server&#x20;is&#x20;not&#x20;enabled','Avahi&#x20;is&#x20;a&#x20;free&#x20;zeroconf&#x20;implementation,&#x20;including&#x20;a&#x20;system&#x20;for&#x20;multicast&#x20;DNS/DNS-SD&#x20;service&#x20;discovery.&#x20;Avahi&#x20;allows&#x20;programs&#x20;to&#x20;publish&#x20;and&#x20;discover&#x20;services&#x20;and&#x20;hosts&#x20;running&#x20;on&#x20;a&#x20;local&#x20;network&#x20;with&#x20;no&#x20;specific&#x20;configuration.&#x20;For&#x20;example,&#x20;a&#x20;user&#x20;can&#x20;plug&#x20;a&#x20;computer&#x20;into&#x20;a&#x20;network&#x20;and&#x20;Avahi&#x20;automatically&#x20;finds&#x20;printers&#x20;to&#x20;print&#x20;to,&#x20;files&#x20;to&#x20;look&#x20;at&#x20;and&#x20;people&#x20;to&#x20;talk&#x20;to,&#x20;as&#x20;well&#x20;as&#x20;network&#x20;services&#x20;running&#x20;on&#x20;the&#x20;machine.','Automatic&#x20;discovery&#x20;of&#x20;network&#x20;services&#x20;is&#x20;not&#x20;normally&#x20;required&#x20;for&#x20;system&#x20;functionality.&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;disable&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;avahi-daemon:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;avahi-daemon','[{\"cis\": [\"2.2.4\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6556,'Ensure&#x20;SNMP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;can&#x20;communicate&#x20;using&#x20;SNMP&#x20;v1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;Unless&#x20;absolutely&#x20;necessary,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;SNMP&#x20;service&#x20;not&#x20;be&#x20;used.&#x20;If&#x20;SNMP&#x20;is&#x20;required&#x20;the&#x20;server&#x20;should&#x20;be&#x20;configured&#x20;to&#x20;disallow&#x20;SNMP&#x20;v1.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;snmpd:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;snmpd','[{\"cis\": [\"2.2.5\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6557,'Ensure&#x20;HTTP&#x20;Proxy&#x20;Server&#x20;is&#x20;not&#x20;enabled','Squid&#x20;is&#x20;a&#x20;standard&#x20;proxy&#x20;server&#x20;used&#x20;in&#x20;many&#x20;distributions&#x20;and&#x20;environments.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;proxy&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;squid:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;squid','[{\"cis\": [\"2.2.6\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6558,'Ensure&#x20;Samba&#x20;is&#x20;not&#x20;enabled','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Small&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.&#x20;Windows&#x20;desktop&#x20;users&#x20;will&#x20;be&#x20;able&#x20;to&#x20;mount&#x20;these&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;as&#x20;letter&#x20;drives&#x20;on&#x20;their&#x20;systems.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;service&#x20;can&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;smb:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;smb','[{\"cis\": [\"2.2.7\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6559,'Ensure&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;is&#x20;not&#x20;enabled','dovecot&#x20;is&#x20;an&#x20;open&#x20;source&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;POP3&#x20;and/or&#x20;IMAP&#x20;servers&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;by&#x20;this&#x20;system,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;dovecot:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;dovecot','[{\"cis\": [\"2.2.8\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6560,'Ensure&#x20;HTTP&#x20;server&#x20;is&#x20;not&#x20;enabled','HTTP&#x20;or&#x20;web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;httpd:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;httpd','[{\"cis\": [\"2.2.9\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6561,'Ensure&#x20;FTP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;FTP&#41;&#x20;provides&#x20;networked&#x20;computers&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;transfer&#x20;files.','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;sftp&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;vsftpd:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;vsftpd','[{\"cis\": [\"2.2.10\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6562,'Ensure&#x20;DNS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Domain&#x20;Name&#x20;System&#x20;&#40;DNS&#41;&#x20;is&#x20;a&#x20;hierarchical&#x20;naming&#x20;system&#x20;that&#x20;maps&#x20;names&#x20;to&#x20;IP&#x20;addresses&#x20;for&#x20;computers,&#x20;services&#x20;and&#x20;other&#x20;resources&#x20;connected&#x20;to&#x20;a&#x20;network.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;designated&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DNS&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;named&#x20;:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;named','[{\"cis\": [\"2.2.11\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6563,'Ensure&#x20;NFS&#x20;is&#x20;not&#x20;enabled','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;export&#x20;NFS&#x20;shares,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;NFS&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;nfs:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;nfs','[{\"cis\": [\"2.2.12\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6564,'Ensure&#x20;RPC&#x20;is&#x20;not&#x20;enabled','The&#x20;rpcbind&#x20;service&#x20;maps&#x20;Remote&#x20;Procedure&#x20;Call&#x20;&#40;RPC&#41;&#x20;services&#x20;to&#x20;the&#x20;ports&#x20;on&#x20;which&#x20;they&#x20;listen.&#x20;RPC&#x20;processes&#x20;notify&#x20;rpcbind&#x20;when&#x20;they&#x20;start,&#x20;registering&#x20;the&#x20;ports&#x20;they&#x20;are&#x20;listening&#x20;on&#x20;and&#x20;the&#x20;RPC&#x20;program&#x20;numbers&#x20;they&#x20;expect&#x20;to&#x20;serve.&#x20;The&#x20;client&#x20;system&#x20;then&#x20;contacts&#x20;rpcbind&#x20;on&#x20;the&#x20;server&#x20;with&#x20;a&#x20;particular&#x20;RPC&#x20;program&#x20;number.&#x20;The&#x20;rpcbind&#x20;service&#x20;redirects&#x20;the&#x20;client&#x20;to&#x20;the&#x20;proper&#x20;port&#x20;number&#x20;so&#x20;it&#x20;can&#x20;communicate&#x20;with&#x20;the&#x20;requested&#x20;service.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;require&#x20;rpc&#x20;based&#x20;services,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;rpcbind&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;nfs:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;rpcbind','[{\"cis\": [\"2.2.13\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6565,'Ensure&#x20;LDAP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;slapd:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;slapd','[{\"cis\": [\"2.2.14\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6566,'Ensure&#x20;DHCP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Dynamic&#x20;Host&#x20;Configuration&#x20;Protocol&#x20;&#40;DHCP&#41;&#x20;is&#x20;a&#x20;service&#x20;that&#x20;allows&#x20;machines&#x20;to&#x20;be&#x20;dynamically&#x20;assigned&#x20;IP&#x20;addresses.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;set&#x20;up&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DHCP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;dhcpd:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;dhcpd','[{\"cis\": [\"2.2.15\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6567,'Ensure&#x20;CUPS&#x20;is&#x20;not&#x20;enabled','The&#x20;Common&#x20;Unix&#x20;Print&#x20;System&#x20;&#40;CUPS&#41;&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;print&#x20;to&#x20;both&#x20;local&#x20;and&#x20;network&#x20;printers.&#x20;A&#x20;system&#x20;running&#x20;CUPS&#x20;can&#x20;also&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;remote&#x20;systems&#x20;and&#x20;print&#x20;them&#x20;to&#x20;local&#x20;printers.&#x20;It&#x20;also&#x20;provides&#x20;a&#x20;web&#x20;based&#x20;remote&#x20;administration&#x20;capability.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;need&#x20;to&#x20;print&#x20;jobs&#x20;or&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;systems,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;CUPS&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;cups&#x20;:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;cups','[{\"cis\": [\"2.2.16\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6568,'Ensure&#x20;NIS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;&#x20;&#40;formally&#x20;known&#x20;as&#x20;Yellow&#x20;Pages&#41;&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;for&#x20;distributing&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;server&#x20;is&#x20;a&#x20;collection&#x20;of&#x20;programs&#x20;that&#x20;allow&#x20;for&#x20;the&#x20;distribution&#x20;of&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;and&#x20;other,&#x20;more&#x20;secure&#x20;services&#x20;be&#x20;used','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;ypserv:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;ypserv','[{\"cis\": [\"2.2.17\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6569,'Ensure&#x20;mail&#x20;transfer&#x20;agent&#x20;is&#x20;configured&#x20;for&#x20;local-only&#x20;mode','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','','Edit&#x20;/etc/postfix/main.cf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;RECEIVING&#x20;MAIL&#x20;section.&#x20;If&#x20;the&#x20;line&#x20;already&#x20;exists,&#x20;change&#x20;it&#x20;to&#x20;look&#x20;like&#x20;the&#x20;line&#x20;below:&#x20;inet_interfaces&#x20;=&#x20;loopback-only&#x20;.&#x20;Restart&#x20;postfix:&#x20;#&#x20;systemctl&#x20;restart&#x20;postfix','[{\"cis\": [\"2.2.18\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AC.4\", \"SC.7\"]}, {\"tsc\": [\"CC5.2\", \"CC6.4\", \"CC6.6\", \"CC6.7\"]}]'),(6570,'Ensure&#x20;NIS&#x20;Client&#x20;is&#x20;not&#x20;installed','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;,&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;used&#x20;to&#x20;distribute&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;client&#x20;&#40;&#x20;ypbind&#x20;&#41;&#x20;was&#x20;used&#x20;to&#x20;bind&#x20;a&#x20;machine&#x20;to&#x20;an&#x20;NIS&#x20;server&#x20;and&#x20;receive&#x20;the&#x20;distributed&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;ypbind:&#x20;#&#x20;dnf&#x20;remove&#x20;ypbind','[{\"cis\": [\"2.3.1\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6571,'Ensure&#x20;telnet&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;telnet&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;client,&#x20;which&#x20;allows&#x20;users&#x20;to&#x20;start&#x20;connections&#x20;to&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security&#x20;and&#x20;is&#x20;included&#x20;in&#x20;most&#x20;Linux&#x20;distributions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;telnet&#x20;:&#x20;#&#x20;dnf&#x20;remove&#x20;telnet','[{\"cis\": [\"2.3.2\"]}, {\"cis_csc\": [\"4.5\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6572,'Ensure&#x20;LDAP&#x20;client&#x20;is&#x20;not&#x20;installed','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;openldap-clients&#x20;:&#x20;#&#x20;dnf&#x20;remove&#x20;openldap-clients','[{\"cis\": [\"2.3.3\"]}, {\"cis_csc\": [\"2.6\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6573,'Ensure&#x20;IP&#x20;forwarding&#x20;is&#x20;disabled','The&#x20;net.ipv4.ip_forward&#x20;and&#x20;net.ipv6.conf.all.forwarding&#x20;flags&#x20;are&#x20;used&#x20;to&#x20;tell&#x20;the&#x20;system&#x20;whether&#x20;it&#x20;can&#x20;forward&#x20;packets&#x20;or&#x20;not.','Setting&#x20;the&#x20;flags&#x20;to&#x20;0&#x20;ensures&#x20;that&#x20;a&#x20;system&#x20;with&#x20;multiple&#x20;interfaces&#x20;&#40;for&#x20;example,&#x20;a&#x20;hard&#x20;proxy&#41;,&#x20;will&#x20;never&#x20;be&#x20;able&#x20;to&#x20;forward&#x20;packets,&#x20;and&#x20;therefore,&#x20;never&#x20;serve&#x20;as&#x20;a&#x20;router.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;restore&#x20;the&#x20;default&#x20;parameters&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;grep&#x20;-Els&#x20;&quot;^s*net.ipv4.ip_forwards*=s*1&quot;&#x20;/etc/sysctl.conf&#x20;/etc/sysctl.d&#47;&#42;.conf&#x20;/usr/lib/sysctl.d&#47;&#42;.conf&#x20;/run/sysctl.d&#47;&#42;.conf&#x20;|&#x20;while&#x20;read&#x20;filename;&#x20;do&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;net.ipv4.ip_forwards*&#41;&#40;=&#41;&#40;s*S+&#x08;&#41;.*$/#&#x20;*REMOVED*&#x20;1/&quot;&#x20;&#x20;&quot;s/^s*&#40;net.ipv4.ip_forwards*&#41;&#40;=&#41;&#40;s*S+&#x08;&#41;.*$/#&#x20;*REMOVED*&#x20;1/&quot;&#x20;$filename;&#x20;done;&#x20;sysctl&#x20;-w&#x20;net.ipv4.ip_forward=0;&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1&#x20;&#x20;&#x20;&#x20;&amp;&amp;&#x20;&#x20;&#x20;#&#x20;grep&#x20;-Els&#x20;&quot;^s*net.ipv6.conf.all.forwardings*=s*1&quot;&#x20;/etc/sysctl.conf&#x20;/etc/sysctl.d&#47;&#42;.conf&#x20;/usr/lib/sysctl.d&#47;&#42;.conf&#x20;/run/sysctl.d&#47;&#42;.conf&#x20;|&#x20;while&#x20;read&#x20;filename;&#x20;do&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;net.ipv6.conf.all.forwardings*&#41;&#40;=&#41;&#40;s*S+&#x08;&#41;.*$/#&#x20;*REMOVED*&#x20;1/&quot;&#x20;$filename;&#x20;done;&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.forwarding=0;&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6574,'Ensure&#x20;packet&#x20;redirect&#x20;sending&#x20;is&#x20;disabled','ICMP&#x20;Redirects&#x20;are&#x20;used&#x20;to&#x20;send&#x20;routing&#x20;information&#x20;to&#x20;other&#x20;hosts.&#x20;As&#x20;a&#x20;host&#x20;itself&#x20;does&#x20;not&#x20;act&#x20;as&#x20;a&#x20;router&#x20;&#40;in&#x20;a&#x20;host&#x20;only&#x20;configuration&#41;,&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;send&#x20;redirects.','An&#x20;attacker&#x20;could&#x20;use&#x20;a&#x20;compromised&#x20;host&#x20;to&#x20;send&#x20;invalid&#x20;ICMP&#x20;redirects&#x20;to&#x20;other&#x20;router&#x20;devices&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;corrupt&#x20;routing&#x20;and&#x20;have&#x20;users&#x20;access&#x20;a&#x20;system&#x20;set&#x20;up&#x20;by&#x20;the&#x20;attacker&#x20;as&#x20;opposed&#x20;to&#x20;a&#x20;valid&#x20;system.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.send_redirects&#x20;=&#x20;0&#x20;net.ipv4.conf.default.send_redirects&#x20;=&#x20;0&#x20;.Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.send_redirects=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.send_redirects=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6575,'Ensure&#x20;source&#x20;routed&#x20;packets&#x20;are&#x20;not&#x20;accepted','In&#x20;networking,&#x20;source&#x20;routing&#x20;allows&#x20;a&#x20;sender&#x20;to&#x20;partially&#x20;or&#x20;fully&#x20;specify&#x20;the&#x20;route&#x20;packets&#x20;&#x20;take&#x20;through&#x20;a&#x20;network.&#x20;In&#x20;contrast,&#x20;non-source&#x20;routed&#x20;packets&#x20;travel&#x20;a&#x20;path&#x20;determined&#x20;by&#x20;routers&#x20;in&#x20;the&#x20;network.&#x20;In&#x20;some&#x20;cases,&#x20;systems&#x20;may&#x20;not&#x20;be&#x20;routable&#x20;or&#x20;reachable&#x20;from&#x20;some&#x20;locations&#x20;&#40;e.g.&#x20;private&#x20;addresses&#x20;vs.&#x20;Internet&#x20;routable&#41;,&#x20;and&#x20;so&#x20;source&#x20;routed&#x20;packets&#x20;would&#x20;need&#x20;to&#x20;be&#x20;used.','Setting&#x20;net.ipv4.conf.all.accept_source_route,&#x20;net.ipv4.conf.default.accept_source_route,&#x20;net.ipv6.conf.all.accept_source_route&#x20;and&#x20;net.ipv6.conf.default.accept_source_route&#x20;to&#x20;0&#x20;disables&#x20;the&#x20;system&#x20;from&#x20;accepting&#x20;source&#x20;routed&#x20;packets.&#x20;Assume&#x20;this&#x20;system&#x20;was&#x20;capable&#x20;of&#x20;routing&#x20;packets&#x20;to&#x20;Internet&#x20;routable&#x20;addresses&#x20;on&#x20;one&#x20;interface&#x20;and&#x20;private&#x20;addresses&#x20;on&#x20;another&#x20;interface.&#x20;Assume&#x20;that&#x20;the&#x20;private&#x20;addresses&#x20;were&#x20;not&#x20;routable&#x20;to&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;and&#x20;vice&#x20;versa.&#x20;Under&#x20;normal&#x20;routing&#x20;circumstances,&#x20;an&#x20;attacker&#x20;from&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;could&#x20;not&#x20;use&#x20;the&#x20;system&#x20;as&#x20;a&#x20;way&#x20;to&#x20;reach&#x20;the&#x20;private&#x20;address&#x20;systems.&#x20;If,&#x20;however,&#x20;source&#x20;routed&#x20;packets&#x20;were&#x20;allowed,&#x20;they&#x20;could&#x20;be&#x20;used&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;private&#x20;address&#x20;systems&#x20;as&#x20;the&#x20;route&#x20;could&#x20;be&#x20;specified,&#x20;rather&#x20;than&#x20;rely&#x20;on&#x20;routing&#x20;protocols&#x20;that&#x20;did&#x20;not&#x20;allow&#x20;this&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_source_route&#x20;=&#x20;0&#x20;&#x20;net.ipv4.conf.default.accept_source_route&#x20;=&#x20;0&#x20;&#x20;net.ipv6.conf.all.accept_source_route&#x20;=&#x20;0&#x20;&#x20;net.ipv6.conf.default.accept_source_route&#x20;=&#x20;0&#x20;and&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_source_route=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_source_route=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_source_route=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_source_route=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.2.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6576,'Ensure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','ICMP&#x20;redirect&#x20;messages&#x20;are&#x20;packets&#x20;that&#x20;convey&#x20;routing&#x20;information&#x20;and&#x20;tell&#x20;your&#x20;host&#x20;&#40;acting&#x20;as&#x20;a&#x20;router&#41;&#x20;to&#x20;send&#x20;packets&#x20;via&#x20;an&#x20;alternate&#x20;path.&#x20;It&#x20;is&#x20;a&#x20;way&#x20;of&#x20;allowing&#x20;an&#x20;outside&#x20;routing&#x20;device&#x20;to&#x20;update&#x20;your&#x20;system&#x20;routing&#x20;tables.&#x20;By&#x20;setting&#x20;net.ipv4.conf.all.accept_redirects&#x20;and&#x20;net.ipv6.conf.all.accept_redirects&#x20;to&#x20;0,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;accept&#x20;any&#x20;ICMP&#x20;redirect&#x20;messages,&#x20;and&#x20;therefore,&#x20;won&#039;t&#x20;allow&#x20;outsiders&#x20;to&#x20;update&#x20;the&#x20;system&#039;s&#x20;routing&#x20;tables.','Attackers&#x20;could&#x20;use&#x20;bogus&#x20;ICMP&#x20;redirect&#x20;messages&#x20;to&#x20;maliciously&#x20;alter&#x20;the&#x20;system&#x20;routing&#x20;tables&#x20;and&#x20;get&#x20;them&#x20;to&#x20;send&#x20;packets&#x20;to&#x20;incorrect&#x20;networks&#x20;and&#x20;allow&#x20;your&#x20;system&#x20;packets&#x20;to&#x20;be&#x20;captured.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_redirects&#x20;=&#x20;0&#x20;&#x20;net.ipv4.conf.default.accept_redirects&#x20;=&#x20;0&#x20;&#x20;net.ipv6.conf.all.accept_redirects&#x20;=&#x20;0&#x20;net.ipv6.conf.default.accept_redirects&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_redirects=0;&#x20;#&#x20;&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_redirects=0;&#x20;#&#x20;&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_redirects=0;&#x20;#&#x20;&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_redirects=0;&#x20;#&#x20;&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1&#x20;and&#x20;#&#x20;&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1','[{\"cis\": [\"3.2.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6577,'Ensure&#x20;secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','Secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;the&#x20;same&#x20;as&#x20;ICMP&#x20;redirects,&#x20;except&#x20;they&#x20;come&#x20;from&#x20;gateways&#x20;listed&#x20;on&#x20;the&#x20;default&#x20;gateway&#x20;list.&#x20;It&#x20;is&#x20;assumed&#x20;that&#x20;these&#x20;gateways&#x20;are&#x20;known&#x20;to&#x20;your&#x20;system,&#x20;and&#x20;that&#x20;they&#x20;are&#x20;likely&#x20;to&#x20;be&#x20;secure.','It&#x20;is&#x20;still&#x20;possible&#x20;for&#x20;even&#x20;known&#x20;gateways&#x20;to&#x20;be&#x20;compromised.&#x20;Setting&#x20;net.ipv4.conf.all.secure_redirects&#x20;to&#x20;0&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;routing&#x20;table&#x20;updates&#x20;by&#x20;possibly&#x20;compromised&#x20;known&#x20;gateways.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.secure_redirects&#x20;=&#x20;0&#x20;and&#x20;net.ipv4.conf.default.secure_redirects&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.secure_redirects=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.secure_redirects=0&#x20;and&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6578,'Ensure&#x20;suspicious&#x20;packets&#x20;are&#x20;logged','When&#x20;enabled,&#x20;this&#x20;feature&#x20;logs&#x20;packets&#x20;with&#x20;un-routable&#x20;source&#x20;addresses&#x20;to&#x20;the&#x20;kernel&#x20;log.','Enabling&#x20;this&#x20;feature&#x20;and&#x20;logging&#x20;these&#x20;packets&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;investigate&#x20;the&#x20;possibility&#x20;that&#x20;an&#x20;attacker&#x20;is&#x20;sending&#x20;spoofed&#x20;packets&#x20;to&#x20;their&#x20;system.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.log_martians&#x20;=&#x20;1&#x20;and&#x20;net.ipv4.conf.default.log_martians&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.log_martians=1;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.log_martians=1&#x20;and&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.4\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6579,'Ensure&#x20;broadcast&#x20;ICMP&#x20;requests&#x20;are&#x20;ignored','Setting&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;to&#x20;1&#x20;will&#x20;cause&#x20;the&#x20;system&#x20;to&#x20;ignore&#x20;all&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;to&#x20;broadcast&#x20;and&#x20;multicast&#x20;addresses.','Accepting&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;with&#x20;broadcast&#x20;or&#x20;multicast&#x20;destinations&#x20;for&#x20;your&#x20;network&#x20;could&#x20;be&#x20;used&#x20;to&#x20;trick&#x20;your&#x20;host&#x20;into&#x20;starting&#x20;&#40;or&#x20;participating&#41;&#x20;in&#x20;a&#x20;Smurf&#x20;attack.&#x20;A&#x20;Smurf&#x20;attack&#x20;relies&#x20;on&#x20;an&#x20;attacker&#x20;sending&#x20;large&#x20;amounts&#x20;of&#x20;ICMP&#x20;broadcast&#x20;messages&#x20;with&#x20;a&#x20;spoofed&#x20;source&#x20;address.&#x20;All&#x20;hosts&#x20;receiving&#x20;this&#x20;message&#x20;and&#x20;responding&#x20;would&#x20;send&#x20;echo-reply&#x20;messages&#x20;back&#x20;to&#x20;the&#x20;spoofed&#x20;address,&#x20;which&#x20;is&#x20;probably&#x20;not&#x20;routable.&#x20;If&#x20;many&#x20;hosts&#x20;respond&#x20;to&#x20;the&#x20;packets,&#x20;the&#x20;amount&#x20;of&#x20;traffic&#x20;on&#x20;the&#x20;network&#x20;could&#x20;be&#x20;significantly&#x20;multiplied.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restore&#x20;the&#x20;default&#x20;parameters&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;grep&#x20;-Els&#x20;&quot;^s*net.ipv4.icmp_echo_ignore_broadcastss*=s*0&quot;&#x20;/etc/sysctl.conf&#x20;/etc/sysctl.d&#47;&#42;.conf&#x20;/usr/lib/sysctl.d&#47;&#42;.conf&#x20;/etc/sysctl.conf&#x20;/etc/sysctl.d&#47;&#42;.conf&#x20;/usr/lib/sysctl.d&#47;&#42;.conf&#x20;&quot;s/^s*&#40;net.ipv4.icmp_echo_ignore_broadcastss*&#41;&#40;=&#41;&#40;s*S+&#x08;&#41;.*$/#&#x20;*REMOVED*&#x20;1/&quot;&#x20;$filename;&#x20;done;&#x20;sysctl&#x20;-w&#x20;net.icmp_echo_ignore_broadcasts=1;&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6580,'Ensure&#x20;bogus&#x20;ICMP&#x20;responses&#x20;are&#x20;ignored','Setting&#x20;icmp_ignore_bogus_error_responses&#x20;to&#x20;1&#x20;prevents&#x20;the&#x20;kernel&#x20;from&#x20;logging&#x20;bogus&#x20;responses&#x20;&#40;RFC-1122&#x20;non-compliant&#41;&#x20;from&#x20;broadcast&#x20;reframes,&#x20;keeping&#x20;file&#x20;systems&#x20;from&#x20;filling&#x20;up&#x20;with&#x20;useless&#x20;log&#x20;messages.','Some&#x20;routers&#x20;&#40;and&#x20;some&#x20;attackers&#41;&#x20;will&#x20;send&#x20;responses&#x20;that&#x20;violate&#x20;RFC-1122&#x20;and&#x20;attempt&#x20;to&#x20;fill&#x20;up&#x20;a&#x20;log&#x20;file&#x20;system&#x20;with&#x20;many&#x20;useless&#x20;error&#x20;messages.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;restore&#x20;the&#x20;default&#x20;parameters&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;grep&#x20;-Els&#x20;&quot;^s*net.ipv4.icmp_ignore_bogus_error_responsess*=s*0&#x20;/etc/sysctl.conf&#x20;/etc/sysctl.d&#47;&#42;.conf&#x20;/usr/lib/sysctl.d&#47;&#42;.conf&#x20;/run/sysctl.d&#47;&#42;.conf&#x20;|&#x20;while&#x20;read&#x20;filename;&#x20;do&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;net.ipv4.icmp_ignore_bogus_error_responsess*&#41;&#40;=&#41;&#40;s*S+&#x08;&#41;.*$/#&#x20;*REMOVED*&#x20;1/&quot;&#x20;$filename;&#x20;done;&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_ignore_bogus_error_responses=1;&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1&quot;','[{\"cis\": [\"3.2.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6581,'Ensure&#x20;Reverse&#x20;Path&#x20;Filtering&#x20;is&#x20;enabled','Setting&#x20;net.ipv4.conf.all.rp_filter&#x20;and&#x20;net.ipv4.conf.default.rp_filter&#x20;to&#x20;1&#x20;forces&#x20;the&#x20;Linux&#x20;kernel&#x20;to&#x20;utilize&#x20;reverse&#x20;path&#x20;filtering&#x20;on&#x20;a&#x20;received&#x20;packet&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;packet&#x20;was&#x20;valid.&#x20;Essentially,&#x20;with&#x20;reverse&#x20;path&#x20;filtering,&#x20;if&#x20;the&#x20;return&#x20;packet&#x20;does&#x20;not&#x20;go&#x20;out&#x20;the&#x20;same&#x20;interface&#x20;that&#x20;the&#x20;corresponding&#x20;source&#x20;packet&#x20;came&#x20;from,&#x20;the&#x20;packet&#x20;is&#x20;dropped&#x20;&#40;and&#x20;logged&#x20;if&#x20;log_martians&#x20;is&#x20;set&#41;.','Setting&#x20;these&#x20;flags&#x20;is&#x20;a&#x20;good&#x20;way&#x20;to&#x20;deter&#x20;attackers&#x20;from&#x20;sending&#x20;your&#x20;system&#x20;bogus&#x20;packets&#x20;that&#x20;cannot&#x20;be&#x20;responded&#x20;to.&#x20;One&#x20;instance&#x20;where&#x20;this&#x20;feature&#x20;breaks&#x20;down&#x20;is&#x20;if&#x20;asymmetrical&#x20;routing&#x20;is&#x20;employed.&#x20;This&#x20;would&#x20;occur&#x20;when&#x20;using&#x20;dynamic&#x20;routing&#x20;protocols&#x20;&#40;bgp,&#x20;ospf,&#x20;etc&#41;&#x20;on&#x20;your&#x20;system.&#x20;If&#x20;you&#x20;are&#x20;using&#x20;asymmetrical&#x20;routing&#x20;on&#x20;your&#x20;system,&#x20;you&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;enable&#x20;this&#x20;feature&#x20;without&#x20;breaking&#x20;the&#x20;routing.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restore&#x20;the&#x20;default&#x20;net.ipv4.conf.all.rp_filter&#x20;=&#x20;1&#x20;parameter&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;grep&#x20;-Els&#x20;&quot;^s*net.ipv4.conf.all.rp_filters*=s*0&quot;&#x20;/etc/sysctl.conf&#x20;/etc/sysctl.d&#47;&#42;.conf&#x20;/usr/lib/sysctl.d&#47;&#42;.conf&#x20;/run/sysctl.d&#47;&#42;.conf&#x20;|&#x20;while&#x20;read&#x20;filename;&#x20;do&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;net.ipv4.net.ipv4.conf.all.rp_filters*&#41;&#40;=&#41;&#40;s*S+&#x08;&#41;.*$/#&#x20;*REMOVED*&#x20;1/&quot;&#x20;$filename;&#x20;done;&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.rp_filter=1;&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1&#x20;.Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.default.rp_filter=1&#x20;and&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.rp_filter=1&#x20;and&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6582,'Ensure&#x20;TCP&#x20;SYN&#x20;Cookies&#x20;is&#x20;enabled','When&#x20;tcp_syncookies&#x20;is&#x20;set,&#x20;the&#x20;kernel&#x20;will&#x20;handle&#x20;TCP&#x20;SYN&#x20;packets&#x20;normally&#x20;until&#x20;the&#x20;half-open&#x20;connection&#x20;queue&#x20;is&#x20;full,&#x20;at&#x20;which&#x20;time,&#x20;the&#x20;SYN&#x20;cookie&#x20;functionality&#x20;kicks&#x20;in.&#x20;SYN&#x20;cookies&#x20;work&#x20;by&#x20;not&#x20;using&#x20;the&#x20;SYN&#x20;queue&#x20;at&#x20;all.&#x20;Instead,&#x20;the&#x20;kernel&#x20;simply&#x20;replies&#x20;to&#x20;the&#x20;SYN&#x20;with&#x20;a&#x20;SYN|ACK,&#x20;but&#x20;will&#x20;include&#x20;a&#x20;specially&#x20;crafted&#x20;TCP&#x20;sequence&#x20;number&#x20;that&#x20;encodes&#x20;the&#x20;source&#x20;and&#x20;destination&#x20;IP&#x20;address&#x20;and&#x20;port&#x20;number&#x20;and&#x20;the&#x20;time&#x20;the&#x20;packet&#x20;was&#x20;sent.&#x20;A&#x20;legitimate&#x20;connection&#x20;would&#x20;send&#x20;the&#x20;ACK&#x20;packet&#x20;of&#x20;the&#x20;three&#x20;way&#x20;handshake&#x20;with&#x20;the&#x20;specially&#x20;crafted&#x20;sequence&#x20;number.&#x20;This&#x20;allows&#x20;the&#x20;system&#x20;to&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;received&#x20;a&#x20;valid&#x20;response&#x20;to&#x20;a&#x20;SYN&#x20;cookie&#x20;and&#x20;allow&#x20;the&#x20;connection,&#x20;even&#x20;though&#x20;there&#x20;is&#x20;no&#x20;corresponding&#x20;SYN&#x20;in&#x20;the&#x20;queue.','Attackers&#x20;use&#x20;SYN&#x20;flood&#x20;attacks&#x20;to&#x20;perform&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attacked&#x20;on&#x20;a&#x20;system&#x20;by&#x20;sending&#x20;many&#x20;SYN&#x20;packets&#x20;without&#x20;completing&#x20;the&#x20;three&#x20;way&#x20;handshake.&#x20;This&#x20;will&#x20;quickly&#x20;use&#x20;up&#x20;slots&#x20;in&#x20;the&#x20;kernel&#039;s&#x20;half-open&#x20;connection&#x20;queue&#x20;and&#x20;prevent&#x20;legitimate&#x20;connections&#x20;from&#x20;succeeding.&#x20;SYN&#x20;cookies&#x20;allow&#x20;the&#x20;system&#x20;to&#x20;keep&#x20;accepting&#x20;valid&#x20;connections,&#x20;even&#x20;if&#x20;under&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attack.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restore&#x20;the&#x20;default&#x20;parameter&#x20;and&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;grep&#x20;-Els&#x20;&quot;^s*net.ipv4.tcp_syncookiess*=s*[02]*&quot;&#x20;/etc/sysctl.conf&#x20;/etc/sysctl.d&#47;&#42;.conf&#x20;/usr/lib/sysctl.d&#47;&#42;.conf&#x20;/run/sysctl.d&#47;&#42;.conf&#x20;|&#x20;while&#x20;read&#x20;filename;&#x20;do&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;net.ipv4.tcp_syncookiess*&#41;&#40;=&#41;&#40;s*S+&#x08;&#41;.*$/#&#x20;*REMOVED*&#x20;1/&quot;&#x20;$filename;&#x20;done;&#x20;sysctl&#x20;-w&#x20;net.ipv4.tcp_syncookies=1;&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.8\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6583,'Ensure&#x20;IPv6&#x20;router&#x20;advertisements&#x20;are&#x20;not&#x20;accepted','This&#x20;setting&#x20;disables&#x20;the&#x20;system&#039;s&#x20;ability&#x20;to&#x20;accept&#x20;IPv6&#x20;router&#x20;advertisements.','It&#x20;is&#x20;recommended&#x20;that&#x20;systems&#x20;do&#x20;not&#x20;accept&#x20;router&#x20;advertisements&#x20;as&#x20;they&#x20;could&#x20;be&#x20;tricked&#x20;into&#x20;routing&#x20;traffic&#x20;to&#x20;compromised&#x20;machines.&#x20;Setting&#x20;hard&#x20;routes&#x20;within&#x20;the&#x20;system&#x20;&#40;usually&#x20;a&#x20;single&#x20;default&#x20;route&#x20;to&#x20;a&#x20;trusted&#x20;router&#41;&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;bad&#x20;routes.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv6.conf.all.accept_ra&#x20;=&#x20;0&#x20;and&#x20;net.ipv6.conf.default.accept_ra&#x20;=&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.all.accept_ra=0;&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.conf.default.accept_ra=0&#x20;and&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv6.route.flush=1;','[{\"cis\": [\"3.2.9\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6584,'Ensure&#x20;DCCP&#x20;is&#x20;disabled','The&#x20;Datagram&#x20;Congestion&#x20;Control&#x20;Protocol&#x20;&#40;DCCP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;that&#x20;supports&#x20;streaming&#x20;media&#x20;and&#x20;telephony.&#x20;DCCP&#x20;provides&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;congestion&#x20;control,&#x20;without&#x20;having&#x20;to&#x20;do&#x20;it&#x20;at&#x20;the&#x20;application&#x20;layer,&#x20;but&#x20;does&#x20;not&#x20;provide&#x20;in-sequence&#x20;delivery','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;drivers&#x20;not&#x20;be&#x20;installed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf.&#x20;Example:&#x20;vim&#x20;/etc/modprobe.d/dccp.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;dccp&#x20;/bin/true','[{\"cis\": [\"3.3.1\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6585,'Ensure&#x20;SCTP&#x20;is&#x20;disabled','The&#x20;Stream&#x20;Control&#x20;Transmission&#x20;Protocol&#x20;&#40;SCTP&#41;&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;used&#x20;to&#x20;support&#x20;message&#x20;oriented&#x20;communication,&#x20;with&#x20;several&#x20;streams&#x20;of&#x20;messages&#x20;in&#x20;one&#x20;connection.&#x20;It&#x20;serves&#x20;a&#x20;similar&#x20;function&#x20;as&#x20;TCP&#x20;and&#x20;UDP,&#x20;incorporating&#x20;features&#x20;of&#x20;both.&#x20;It&#x20;is&#x20;message-oriented&#x20;like&#x20;UDP,&#x20;and&#x20;ensures&#x20;reliable&#x20;in-sequence&#x20;transport&#x20;of&#x20;messages&#x20;with&#x20;congestion&#x20;control&#x20;like&#x20;TCP.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;.Example:&#x20;vim&#x20;/etc/modprobe.d/sctp.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;sctp&#x20;/bin/true','[{\"cis\": [\"3.3.2\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6586,'Ensure&#x20;RDS&#x20;is&#x20;disabled','The&#x20;Reliable&#x20;Datagram&#x20;Sockets&#x20;&#40;RDS&#41;&#x20;protocol&#x20;is&#x20;a&#x20;transport&#x20;layer&#x20;protocol&#x20;designed&#x20;to&#x20;provide&#x20;low-latency,&#x20;high-bandwidth&#x20;communications&#x20;between&#x20;cluster&#x20;nodes.&#x20;It&#x20;was&#x20;developed&#x20;by&#x20;the&#x20;Oracle&#x20;Corporation.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;.Example:&#x20;vim&#x20;/etc/modprobe.d/rds.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;rds&#x20;/bin/true','[{\"cis\": [\"3.3.3\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6587,'Ensure&#x20;TIPC&#x20;is&#x20;disabled','The&#x20;Transparent&#x20;Inter-Process&#x20;Communication&#x20;&#40;TIPC&#41;&#x20;protocol&#x20;is&#x20;designed&#x20;to&#x20;provide&#x20;communication&#x20;between&#x20;cluster&#x20;nodes.','If&#x20;the&#x20;protocol&#x20;is&#x20;not&#x20;being&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;kernel&#x20;module&#x20;not&#x20;be&#x20;loaded,&#x20;disabling&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/modprobe.d/&#x20;directory&#x20;ending&#x20;in&#x20;.conf&#x20;.Example:&#x20;vim&#x20;/etc/modprobe.d/tipc.conf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;install&#x20;tipc&#x20;/bin/true','[{\"cis\": [\"3.3.4\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6588,'Disable&#x20;IPv6','Although&#x20;IPv6&#x20;has&#x20;many&#x20;advantages&#x20;over&#x20;IPv4,&#x20;not&#x20;all&#x20;organizations&#x20;have&#x20;IPv6&#x20;or&#x20;dual&#x20;stack&#x20;configurations&#x20;implemented.','If&#x20;IPv6&#x20;or&#x20;dual&#x20;stack&#x20;is&#x20;not&#x20;to&#x20;be&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;IPv6&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;ipv6.disable=1&#x20;to&#x20;the&#x20;GRUB_CMDLINE_LINUX&#x20;parameters:&#x20;GRUB_CMDLINE_LINUX=&quot;ipv6.disable=1&quot;&#x20;.Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;grub2-mkconfig&#x20;-o&#x20;/boot/grub2/grub.cfg','[{\"cis\": [\"3.6\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.6\", \"CC5.2\"]}]'),(6589,'Ensure&#x20;a&#x20;Firewall&#x20;package&#x20;is&#x20;installed','A&#x20;Firewall&#x20;package&#x20;should&#x20;be&#x20;selected.&#x20;Most&#x20;firewall&#x20;configuration&#x20;utilities&#x20;operate&#x20;as&#x20;a&#x20;front&#x20;end&#x20;to&#x20;nftables&#x20;or&#x20;iptables.','A&#x20;Firewall&#x20;package&#x20;is&#x20;required&#x20;for&#x20;firewall&#x20;management&#x20;and&#x20;configuration.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;install&#x20;a&#x20;Firewall&#x20;package.&#x20;For&#x20;firewalld:&#x20;dnf&#x20;install&#x20;firewalld&#x20;.For&#x20;nftables:&#x20;#&#x20;dnf&#x20;install&#x20;nftables.&#x20;For&#x20;iptables:&#x20;#&#x20;dnf&#x20;install&#x20;iptables','[{\"cis\": [\"3.4.1.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.1\"]}, {\"tsc\": [\"CC6.6\"]}]'),(6590,'Ensure&#x20;firewalld&#x20;service&#x20;is&#x20;enabled&#x20;and&#x20;running','Ensure&#x20;that&#x20;the&#x20;firewalld&#x20;service&#x20;is&#x20;enabled&#x20;to&#x20;protect&#x20;your&#x20;system','firewalld&#x20;&#40;Dynamic&#x20;Firewall&#x20;Manager&#41;&#x20;tool&#x20;provides&#x20;a&#x20;dynamically&#x20;managed&#x20;firewall.&#x20;The&#x20;tool&#x20;enables&#x20;network/firewall&#x20;zones&#x20;to&#x20;define&#x20;the&#x20;trust&#x20;level&#x20;of&#x20;network&#x20;connections&#x20;and/or&#x20;interfaces.&#x20;It&#x20;has&#x20;support&#x20;both&#x20;for&#x20;IPv4&#x20;and&#x20;IPv6&#x20;firewall&#x20;settings.&#x20;Also,&#x20;it&#x20;supports&#x20;Ethernet&#x20;bridges&#x20;and&#x20;allow&#x20;you&#x20;to&#x20;separate&#x20;between&#x20;runtime&#x20;and&#x20;permanent&#x20;configuration&#x20;options.&#x20;Finally,&#x20;it&#x20;supports&#x20;an&#x20;interface&#x20;for&#x20;services&#x20;or&#x20;applications&#x20;to&#x20;add&#x20;firewall&#x20;rules&#x20;directly','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;firewalld:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;firewalld','[{\"cis\": [\"3.4.2.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2\"]}, {\"tsc\": [\"CC6.6\"]}]'),(6591,'Ensure&#x20;nftables&#x20;is&#x20;not&#x20;enabled','nftables&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;Linux&#x20;kernel&#x20;providing&#x20;filtering&#x20;and&#x20;classification&#x20;of&#x20;network&#x20;packets/datagrams/frames&#x20;and&#x20;is&#x20;the&#x20;successor&#x20;to&#x20;iptables.&#x20;nftables&#x20;are&#x20;installed&#x20;as&#x20;a&#x20;dependency&#x20;with&#x20;firewalld.','Running&#x20;firewalld&#x20;and&#x20;nftables&#x20;concurrently&#x20;may&#x20;lead&#x20;to&#x20;conflict,&#x20;therefore&#x20;nftables&#x20;should&#x20;be&#x20;stopped&#x20;and&#x20;masked&#x20;when&#x20;using&#x20;firewalld.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;mask&#x20;and&#x20;stop&#x20;nftables:&#x20;systemctl&#x20;--now&#x20;mask&#x20;nftables','[{\"cis\": [\"3.4.2.3\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2\"]}, {\"tsc\": [\"CC6.6\"]}]'),(6592,'Ensure&#x20;iptables&#x20;is&#x20;not&#x20;enabled','IPtables&#x20;is&#x20;an&#x20;application&#x20;that&#x20;allows&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;configure&#x20;the&#x20;IPv4&#x20;and&#x20;IPv6&#x20;tables,&#x20;chains&#x20;and&#x20;rules&#x20;provided&#x20;by&#x20;the&#x20;Linux&#x20;kernel&#x20;firewall.&#x20;IPtables&#x20;is&#x20;installed&#x20;as&#x20;a&#x20;dependency&#x20;with&#x20;firewalld.','Running&#x20;firewalld&#x20;and&#x20;IPtables&#x20;concurrently&#x20;may&#x20;lead&#x20;to&#x20;conflict,&#x20;therefore&#x20;IPtables&#x20;should&#x20;be&#x20;stopped&#x20;and&#x20;masked&#x20;when&#x20;using&#x20;firewalld.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;iptables:&#x20;systemctl&#x20;--now&#x20;mask&#x20;iptables','[{\"cis\": [\"3.4.2.6\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2\"]}, {\"tsc\": [\"CC6.6\"]}]'),(6593,'Ensure&#x20;iptables&#x20;are&#x20;flushed','nftables&#x20;is&#x20;a&#x20;replacement&#x20;for&#x20;iptables,&#x20;ip6tables,&#x20;ebtables&#x20;and&#x20;arptables','It&#x20;is&#x20;possible&#x20;to&#x20;mix&#x20;iptables&#x20;and&#x20;nftables.&#x20;However,&#x20;this&#x20;increases&#x20;complexity&#x20;and&#x20;also&#x20;the&#x20;chance&#x20;to&#x20;introduce&#x20;errors.&#x20;For&#x20;simplicity&#x20;flush&#x20;out&#x20;all&#x20;iptables&#x20;rules,&#x20;and&#x20;ensure&#x20;it&#x20;is&#x20;not&#x20;loaded.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;flush&#x20;iptables:&#x20;For&#x20;iptables:&#x20;#&#x20;iptables&#x20;-F&#x20;and&#x20;For&#x20;ip6tables:&#x20;#&#x20;ip6tables&#x20;-F','[{\"cis\": [\"3.4.3.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2\"]}, {\"tsc\": [\"CC6.6\"]}]'),(6594,'Ensure&#x20;a&#x20;table&#x20;exists','Tables&#x20;hold&#x20;chains.&#x20;Each&#x20;table&#x20;only&#x20;has&#x20;one&#x20;address&#x20;family&#x20;and&#x20;only&#x20;applies&#x20;to&#x20;packets&#x20;of&#x20;this&#x20;family.&#x20;Tables&#x20;can&#x20;have&#x20;one&#x20;of&#x20;five&#x20;families.','nftables&#x20;doesn&#039;t&#x20;have&#x20;any&#x20;default&#x20;tables.&#x20;Without&#x20;a&#x20;table&#x20;being&#x20;build,&#x20;nftables&#x20;will&#x20;not&#x20;filter&#x20;network&#x20;traffic.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;a&#x20;table&#x20;in&#x20;nftables:&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;.Example:&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;filter','[{\"cis\": [\"3.4.3.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2\"]}, {\"tsc\": [\"CC6.6\"]}]'),(6595,'Ensure&#x20;base&#x20;chains&#x20;exist','Chains&#x20;are&#x20;containers&#x20;for&#x20;rules.&#x20;They&#x20;exist&#x20;in&#x20;two&#x20;kinds,&#x20;base&#x20;chains&#x20;and&#x20;regular&#x20;chains.&#x20;A&#x20;base&#x20;chain&#x20;is&#x20;an&#x20;entry&#x20;point&#x20;for&#x20;packets&#x20;from&#x20;the&#x20;networking&#x20;stack,&#x20;a&#x20;regular&#x20;chain&#x20;may&#x20;be&#x20;used&#x20;as&#x20;jump&#x20;target&#x20;and&#x20;is&#x20;used&#x20;for&#x20;better&#x20;rule&#x20;organization.','If&#x20;a&#x20;base&#x20;chain&#x20;doesn&#039;t&#x20;exist&#x20;with&#x20;a&#x20;hook&#x20;for&#x20;input,&#x20;forward,&#x20;and&#x20;delete,&#x20;packets&#x20;that&#x20;would&#x20;flow&#x20;through&#x20;those&#x20;chains&#x20;will&#x20;not&#x20;be&#x20;touched&#x20;by&#x20;nftables.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;the&#x20;base&#x20;chains:&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;&lt;base&#x20;chain&#x20;name&gt;&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;&lt;&#40;input|forward|output&#41;&gt;&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;.&#x20;Example:&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;input&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;input&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;forward&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;forward&#x20;priority&#x20;0;&#x20;}&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;output&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;output&#x20;priority&#x20;0&#x20;;&#x20;}','[{\"cis\": [\"3.4.3.3\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2\"]}, {\"tsc\": [\"CC6.6\"]}]'),(6596,'Ensure&#x20;default&#x20;deny&#x20;firewall&#x20;policy','Base&#x20;chain&#x20;policy&#x20;is&#x20;the&#x20;default&#x20;verdict&#x20;that&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;packets&#x20;reaching&#x20;the&#x20;end&#x20;of&#x20;the&#x20;chain.','There&#x20;are&#x20;two&#x20;policies:&#x20;accept&#x20;&#40;Default&#41;&#x20;and&#x20;drop.&#x20;If&#x20;the&#x20;policy&#x20;is&#x20;set&#x20;to&#x20;accept&#x20;,&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied&#x20;and&#x20;the&#x20;packet&#x20;will&#x20;continue&#x20;transversing&#x20;the&#x20;network&#x20;stack.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;command&#x20;for&#x20;the&#x20;base&#x20;chains&#x20;with&#x20;the&#x20;input,&#x20;forward,&#x20;and&#x20;output&#x20;hooks&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;nft&#x20;chain&#x20;&lt;table&#x20;family&gt;&#x20;&lt;table&#x20;name&gt;&#x20;&lt;chain&#x20;name&gt;&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;.&#x20;Example:&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;input&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;;&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;forward&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;and&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;output&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}','[{\"cis\": [\"3.4.3.6\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC6.6\"]}]'),(6597,'Ensure&#x20;nftables&#x20;service&#x20;is&#x20;enabled','The&#x20;nftables&#x20;service&#x20;allows&#x20;for&#x20;the&#x20;loading&#x20;of&#x20;nftables&#x20;rulesets&#x20;during&#x20;boot,&#x20;or&#x20;starting&#x20;of&#x20;the&#x20;nftables&#x20;service.','The&#x20;nftables&#x20;service&#x20;restores&#x20;the&#x20;nftables&#x20;rules&#x20;from&#x20;the&#x20;rules&#x20;files&#x20;referenced&#x20;in&#x20;the&#x20;/etc/sysconfig/nftables.conf&#x20;file&#x20;during&#x20;boot&#x20;or&#x20;the&#x20;starting&#x20;of&#x20;the&#x20;nftables&#x20;service.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;nftables&#x20;service:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;nftables','[{\"cis\": [\"3.4.3.7\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2\"]}, {\"tsc\": [\"CC6.6\"]}]'),(6598,'Configure&#x20;IPv4&#x20;iptables','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;iptables&#x20;-P&#x20;INPUT&#x20;DROP;&#x20;#&#x20;iptables&#x20;-P&#x20;OUTPUT&#x20;DROP;&#x20;#&#x20;iptables&#x20;-P&#x20;FORWARD&#x20;DROP','[{\"cis\": [\"3.4.4.1.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC6.6\"]}]'),(6599,'Ensure&#x20;loopback&#x20;traffic&#x20;is&#x20;configured','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-s&#x20;127.0.0.0/8&#x20;-j&#x20;DROP','[{\"cis\": [\"3.4.4.1.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC6.6\"]}]'),(6600,'Ensure&#x20;IPv6&#x20;default&#x20;deny&#x20;firewall&#x20;policy','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;ip6tables&#x20;-P&#x20;INPUT&#x20;DROP;&#x20;#&#x20;ip6tables&#x20;-P&#x20;OUTPUT&#x20;DROP;&#x20;#&#x20;ip6tables&#x20;-P&#x20;FORWARD&#x20;DROP','[{\"cis\": [\"3.4.4.2.1\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC6.6\"]}]'),(6601,'Ensure&#x20;loopback&#x20;traffic&#x20;is&#x20;configured','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;::1&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;::1&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;ip6tables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-s&#x20;::1&#x20;-j&#x20;DROP','[{\"cis\": [\"3.4.4.2.2\"]}, {\"cis_csc\": [\"9.4\"]}, {\"pci_dss\": [\"1.2.1\"]}, {\"tsc\": [\"CC6.6\"]}]'),(6602,'Ensure&#x20;wireless&#x20;interfaces&#x20;are&#x20;disabled','Wireless&#x20;networking&#x20;is&#x20;used&#x20;when&#x20;wired&#x20;networks&#x20;are&#x20;unavailable.&#x20;CentOS&#x20;Linux&#x20;contains&#x20;a&#x20;wireless&#x20;tool&#x20;kit&#x20;to&#x20;allow&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;and&#x20;use&#x20;wireless&#x20;networks.','If&#x20;wireless&#x20;is&#x20;not&#x20;to&#x20;be&#x20;used,&#x20;wireless&#x20;devices&#x20;can&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;any&#x20;wireless&#x20;interfaces:&#x20;#&#x20;nmcli&#x20;radio&#x20;all&#x20;off&#x20;.&#x20;Disable&#x20;any&#x20;wireless&#x20;interfaces&#x20;in&#x20;your&#x20;network&#x20;configuration.','[{\"cis\": [\"3.5\"]}, {\"cis_csc\": [\"15.4\", \"15.5\"]}, {\"pci_dss\": [\"1.2.3\"]}, {\"tsc\": [\"CC6.6\"]}]'),(6603,'Ensure&#x20;auditd&#x20;is&#x20;installed','auditd&#x20;is&#x20;the&#x20;userspace&#x20;component&#x20;to&#x20;the&#x20;Linux&#x20;Auditing&#x20;System.&#x20;It&#039;s&#x20;responsible&#x20;for&#x20;writing&#x20;audit&#x20;records&#x20;to&#x20;the&#x20;disk.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;Install&#x20;auditd&#x20;#&#x20;dnf&#x20;install&#x20;audit&#x20;audit-libs','[{\"cis\": [\"4.1.1.1\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\"]}, {\"nist_800_53\": [\"AU.2\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6604,'Ensure&#x20;auditd&#x20;service&#x20;is&#x20;enabled','Turn&#x20;on&#x20;the&#x20;auditd&#x20;daemon&#x20;to&#x20;record&#x20;system&#x20;events.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;auditd&#x20;:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;auditd','[{\"cis\": [\"4.1.2\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\", \"10.7\"]}, {\"nist_800_53\": [\"AU.2\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6605,'Ensure&#x20;auditing&#x20;for&#x20;processes&#x20;that&#x20;start&#x20;prior&#x20;to&#x20;auditd&#x20;is&#x20;enabled','Configure&#x20;grub2&#x20;so&#x20;that&#x20;processes&#x20;that&#x20;are&#x20;capable&#x20;of&#x20;being&#x20;audited&#x20;can&#x20;be&#x20;audited&#x20;even&#x20;if&#x20;they&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;startup.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit=1&#x20;to&#x20;GRUB_CMDLINE_LINUX&#x20;:&#x20;GRUB_CMDLINE_LINUX=&quot;audit=1&quot;&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;grub2-mkconfig&#x20;-o&#x20;/boot/grub2/grub.cfg','[{\"cis\": [\"4.1.1.3\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.2.6\", \"10.7\"]}, {\"nist_800_53\": [\"AU.2\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"35.7.d\", \"32.2\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6606,'Ensure&#x20;audit_backlog_limit&#x20;is&#x20;sufficient','The&#x20;backlog&#x20;limit&#x20;has&#x20;a&#x20;default&#x20;setting&#x20;of&#x20;64.','During&#x20;boot&#x20;if&#x20;audit=1,&#x20;then&#x20;the&#x20;backlog&#x20;will&#x20;hold&#x20;64&#x20;records.&#x20;If&#x20;more&#x20;than&#x20;64&#x20;records&#x20;are&#x20;created&#x20;during&#x20;boot,&#x20;auditd&#x20;records&#x20;will&#x20;be&#x20;lost&#x20;and&#x20;potential&#x20;malicious&#x20;activity&#x20;could&#x20;go&#x20;undetected.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit_backlog_limit=&lt;BACKLOG&#x20;SIZE&gt;&#x20;to&#x20;GRUB_CMDLINE_LINUX:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;grub2-mkconfig&#x20;-o&#x20;/boot/grub2/grub.cfg','[{\"cis\": [\"4.1.1.4\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.7\"]}, {\"nist_800_53\": [\"AU.4\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(6607,'Ensure&#x20;audit&#x20;log&#x20;storage&#x20;size&#x20;is&#x20;configured','Configure&#x20;the&#x20;maximum&#x20;size&#x20;of&#x20;the&#x20;audit&#x20;log&#x20;file.&#x20;Once&#x20;the&#x20;log&#x20;reaches&#x20;the&#x20;maximum&#x20;size,&#x20;it&#x20;will&#x20;be&#x20;rotated&#x20;and&#x20;a&#x20;new&#x20;log&#x20;file&#x20;will&#x20;be&#x20;started.','It&#x20;is&#x20;important&#x20;that&#x20;an&#x20;appropriate&#x20;size&#x20;is&#x20;determined&#x20;for&#x20;log&#x20;files&#x20;so&#x20;that&#x20;they&#x20;do&#x20;not&#x20;impact&#x20;the&#x20;system&#x20;and&#x20;audit&#x20;data&#x20;is&#x20;not&#x20;lost.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy:&#x20;max_log_file&#x20;=&#x20;&lt;MB&gt;','[{\"cis\": [\"4.1.2.1\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"10.7\"]}, {\"nist_800_53\": [\"AU.4\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(6608,'Ensure&#x20;audit&#x20;logs&#x20;are&#x20;not&#x20;automatically&#x20;deleted','The&#x20;max_log_file_action&#x20;setting&#x20;determines&#x20;how&#x20;to&#x20;handle&#x20;the&#x20;audit&#x20;log&#x20;file&#x20;reaching&#x20;the&#x20;max&#x20;file&#x20;size.&#x20;A&#x20;value&#x20;of&#x20;keep_logs&#x20;will&#x20;rotate&#x20;the&#x20;logs&#x20;but&#x20;never&#x20;delete&#x20;old&#x20;logs.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;benefits&#x20;of&#x20;maintaining&#x20;a&#x20;long&#x20;audit&#x20;history&#x20;exceed&#x20;the&#x20;cost&#x20;of&#x20;storing&#x20;the&#x20;audit&#x20;history.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;max_log_file_action&#x20;=&#x20;keep_logs','[{\"cis\": [\"4.1.2.2\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"10.7\"]}, {\"nist_800_53\": [\"AU.9\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(6609,'Ensure&#x20;system&#x20;is&#x20;disabled&#x20;when&#x20;audit&#x20;logs&#x20;are&#x20;full','The&#x20;auditd&#x20;daemon&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;halt&#x20;the&#x20;system&#x20;when&#x20;the&#x20;audit&#x20;logs&#x20;are&#x20;full.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;risk&#x20;of&#x20;detecting&#x20;unauthorized&#x20;access&#x20;or&#x20;nonrepudiation&#x20;exceeds&#x20;the&#x20;benefit&#x20;of&#x20;the&#x20;system&#039;s&#x20;availability.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;space_left_action&#x20;=&#x20;email&#x20;&#x20;&#x20;action_mail_acct&#x20;=&#x20;root&#x20;&#x20;&#x20;admin_space_left_action&#x20;=&#x20;halt','[{\"cis\": [\"4.1.1.2\"]}, {\"cis_csc\": [\"6.3\"]}, {\"pci_dss\": [\"10.7\"]}]'),(6610,'Ensure&#x20;changes&#x20;to&#x20;system&#x20;administration&#x20;scope&#x20;&#40;sudoers&#41;&#x20;is&#x20;collected','Monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrations.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;force&#x20;system&#x20;administrators&#x20;to&#x20;log&#x20;in&#x20;as&#x20;themselves&#x20;first&#x20;and&#x20;then&#x20;use&#x20;the&#x20;sudo&#x20;command&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;it&#x20;is&#x20;possible&#x20;to&#x20;monitor&#x20;changes&#x20;in&#x20;scope.&#x20;The&#x20;file&#x20;/etc/sudoers&#x20;will&#x20;be&#x20;written&#x20;to&#x20;when&#x20;the&#x20;file&#x20;or&#x20;its&#x20;attributes&#x20;have&#x20;changed.&#x20;The&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;scope.&quot;','Changes&#x20;in&#x20;the&#x20;/etc/sudoers&#x20;file&#x20;can&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;change&#x20;has&#x20;been&#x20;made&#x20;to&#x20;scope&#x20;of&#x20;system&#x20;administrator&#x20;activity.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-w&#x20;/etc/sudoers&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;&#x20;&#x20;-w&#x20;/etc/sudoers.d/&#x20;-p&#x20;wa&#x20;-k&#x20;scope','[{\"cis\": [\"4.1.15\"]}, {\"cis_csc\": [\"4.8\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6611,'Ensure&#x20;login&#x20;and&#x20;logout&#x20;events&#x20;are&#x20;collected','Monitor&#x20;login&#x20;and&#x20;logout&#x20;events.&#x20;The&#x20;parameters&#x20;below&#x20;track&#x20;changes&#x20;to&#x20;files&#x20;associated&#x20;with&#x20;login/logout&#x20;events.&#x20;The&#x20;file&#x20;/var/log/faillog&#x20;tracks&#x20;failed&#x20;events&#x20;from&#x20;login.&#x20;The&#x20;file&#x20;/var/log/lastlog&#x20;maintain&#x20;records&#x20;of&#x20;the&#x20;last&#x20;time&#x20;a&#x20;user&#x20;successfully&#x20;logged&#x20;in.','Monitoring&#x20;login/logout&#x20;events&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;information&#x20;associated&#x20;with&#x20;brute&#x20;force&#x20;attacks&#x20;against&#x20;user&#x20;logins.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;-w&#x20;/var/log/lastlog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&#x20;&#x20;-w&#x20;/var/run/faillock/&#x20;-p&#x20;wa&#x20;-k&#x20;logins','[{\"cis\": [\"4.1.4\"]}, {\"cis_csc\": [\"4.9\", \"16.13\"]}, {\"pci_dss\": [\"10.2.1\", \"10.2.4\", \"10.3\"]}, {\"nist_800_53\": [\"AC.7\", \"AU.14\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6612,'Ensure&#x20;session&#x20;initiation&#x20;information&#x20;is&#x20;collected','Monitor&#x20;session&#x20;initiation&#x20;events.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;to&#x20;the&#x20;files&#x20;associated&#x20;with&#x20;session&#x20;events.&#x20;The&#x20;file&#x20;/var/run/utmp&#x20;file&#x20;tracks&#x20;all&#x20;currently&#x20;logged&#x20;in&#x20;users.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;session.&quot;&#x20;The&#x20;/var/log/wtmp&#x20;file&#x20;tracks&#x20;logins,&#x20;logouts,&#x20;shutdown,&#x20;and&#x20;reboot&#x20;events.&#x20;The&#x20;file&#x20;/var/log/btmp&#x20;keeps&#x20;track&#x20;of&#x20;failed&#x20;login&#x20;attempts&#x20;and&#x20;can&#x20;be&#x20;read&#x20;by&#x20;entering&#x20;the&#x20;command&#x20;/usr/bin/last&#x20;-f&#x20;/var/log/btmp&#x20;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;logins.&quot;.','Monitoring&#x20;these&#x20;files&#x20;for&#x20;changes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;logins&#x20;occurring&#x20;at&#x20;unusual&#x20;hours,&#x20;which&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;&#40;i.e.&#x20;a&#x20;user&#x20;logging&#x20;in&#x20;at&#x20;a&#x20;time&#x20;when&#x20;they&#x20;do&#x20;not&#x20;normally&#x20;log&#x20;in&#41;.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-w&#x20;/var/run/utmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;&#x20;&#x20;-w&#x20;/var/log/wtmp&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&#x20;&#x20;-w&#x20;/var/log/btmp&#x20;-p&#x20;wa&#x20;-k&#x20;logins','[{\"cis\": [\"4.1.5\"]}, {\"cis_csc\": [\"4.9\", \"16.13\"]}, {\"pci_dss\": [\"10.3\"]}, {\"nist_800_53\": [\"AC.7\", \"AU.14\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(6613,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;date&#x20;and&#x20;time&#x20;information&#x20;are&#x20;collected','Capture&#x20;events&#x20;where&#x20;the&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;has&#x20;been&#x20;modified.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;are&#x20;set&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;adjtimex&#x20;&#40;tune&#x20;kernel&#x20;clock&#41;,&#x20;settimeofday&#x20;&#40;Set&#x20;time,&#x20;using&#x20;timeval&#x20;and&#x20;timezone&#x20;structures&#41;&#x20;stime&#x20;&#40;using&#x20;seconds&#x20;since&#x20;1/1/1970&#41;&#x20;or&#x20;clock_settime&#x20;&#40;allows&#x20;for&#x20;the&#x20;setting&#x20;of&#x20;several&#x20;internal&#x20;clocks&#x20;and&#x20;timers&#41;&#x20;system&#x20;calls&#x20;have&#x20;been&#x20;executed&#x20;and&#x20;always&#x20;write&#x20;an&#x20;audit&#x20;record&#x20;to&#x20;the&#x20;/var/log/audit.log&#x20;file&#x20;upon&#x20;exit,&#x20;tagging&#x20;the&#x20;records&#x20;with&#x20;the&#x20;identifier&#x20;&quot;time-change&quot;.','Unexpected&#x20;changes&#x20;in&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;could&#x20;be&#x20;a&#x20;sign&#x20;of&#x20;malicious&#x20;activity&#x20;on&#x20;the&#x20;system.','','For&#x20;32&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex&#x20;-S&#x20;settimeofday&#x20;-S&#x20;stime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-Farch=b32&#x20;-S&#x20;clock_settime&#x20;-k&#x20;time-change&#x20;&#x20;&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change','[{\"cis\": [\"4.1.6\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.4.2\", \"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6614,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;Mandatory&#x20;Access&#x20;Controls&#x20;are&#x20;collected','Monitor&#x20;SELinux&#x20;mandatory&#x20;access&#x20;controls.&#x20;The&#x20;parameters&#x20;below&#x20;monitor&#x20;any&#x20;write&#x20;access&#x20;&#40;potential&#x20;additional,&#x20;deletion&#x20;or&#x20;modification&#x20;of&#x20;files&#x20;in&#x20;the&#x20;directory&#41;&#x20;or&#x20;attribute&#x20;changes&#x20;to&#x20;the&#x20;/etc/selinux&#x20;or&#x20;/etc/apparmor&#x20;and&#x20;/etc/apparmor.d&#x20;directories.','Changes&#x20;to&#x20;files&#x20;in&#x20;these&#x20;directories&#x20;could&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;modify&#x20;access&#x20;controls&#x20;and&#x20;change&#x20;security&#x20;contexts,&#x20;leading&#x20;to&#x20;a&#x20;compromise&#x20;of&#x20;the&#x20;system.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;-w&#x20;/etc/selinux/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;-w&#x20;/usr/share/selinux/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy','[{\"cis\": [\"4.1.7\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6615,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;network&#x20;environment&#x20;are&#x20;collected','Record&#x20;changes&#x20;to&#x20;network&#x20;environment&#x20;files&#x20;or&#x20;system&#x20;calls.&#x20;The&#x20;below&#x20;parameters&#x20;monitor&#x20;the&#x20;sethostname&#x20;&#40;set&#x20;the&#x20;systems&#x20;host&#x20;name&#41;&#x20;or&#x20;setdomainname&#x20;&#40;set&#x20;the&#x20;systems&#x20;domainname&#41;&#x20;system&#x20;calls,&#x20;and&#x20;write&#x20;an&#x20;audit&#x20;event&#x20;on&#x20;system&#x20;call&#x20;exit.&#x20;The&#x20;other&#x20;parameters&#x20;monitor&#x20;the&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;files&#x20;&#40;messages&#x20;displayed&#x20;pre-login&#41;,&#x20;/etc/hosts&#x20;&#40;file&#x20;containing&#x20;host&#x20;names&#x20;and&#x20;associated&#x20;IP&#x20;addresses&#41;,&#x20;/etc/sysconfig/network&#x20;file&#x20;and&#x20;/etc/sysconfig/network-scripts/&#x20;directory&#x20;&#40;containing&#x20;network&#x20;interface&#x20;scripts&#x20;and&#x20;configurations&#41;.','Monitoring&#x20;sethostname&#x20;and&#x20;setdomainname&#x20;will&#x20;identify&#x20;potential&#x20;unauthorized&#x20;changes&#x20;to&#x20;host&#x20;and&#x20;domainname&#x20;of&#x20;a&#x20;system.&#x20;The&#x20;changing&#x20;of&#x20;these&#x20;names&#x20;could&#x20;potentially&#x20;break&#x20;security&#x20;parameters&#x20;that&#x20;are&#x20;set&#x20;based&#x20;on&#x20;those&#x20;names.&#x20;The&#x20;/etc/hosts&#x20;file&#x20;is&#x20;monitored&#x20;for&#x20;changes&#x20;in&#x20;the&#x20;file&#x20;that&#x20;can&#x20;indicate&#x20;an&#x20;unauthorized&#x20;intruder&#x20;is&#x20;trying&#x20;to&#x20;change&#x20;machine&#x20;associations&#x20;with&#x20;IP&#x20;addresses&#x20;and&#x20;trick&#x20;users&#x20;and&#x20;processes&#x20;into&#x20;connecting&#x20;to&#x20;unintended&#x20;machines.&#x20;Monitoring&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;is&#x20;important,&#x20;as&#x20;intruders&#x20;could&#x20;put&#x20;disinformation&#x20;into&#x20;those&#x20;files&#x20;and&#x20;trick&#x20;users&#x20;into&#x20;providing&#x20;information&#x20;to&#x20;the&#x20;intruder.&#x20;Monitoring&#x20;/etc/sysconfig/network&#x20;and&#x20;/etc/sysconfig/network-scripts/&#x20;is&#x20;important&#x20;as&#x20;it&#x20;can&#x20;show&#x20;if&#x20;network&#x20;interfaces&#x20;or&#x20;scripts&#x20;are&#x20;being&#x20;modified&#x20;in&#x20;a&#x20;way&#x20;that&#x20;can&#x20;lead&#x20;to&#x20;the&#x20;machine&#x20;becoming&#x20;unavailable&#x20;or&#x20;compromised.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;system-locale.&quot;','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname&#x20;-S&#x20;setdomainname&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/sysconfig/network&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/sysconfig/network-scripts/&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale','[{\"cis\": [\"4.1.8\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6616,'Ensure&#x20;discretionary&#x20;access&#x20;control&#x20;permission&#x20;modification&#x20;events&#x20;are&#x20;collected','Monitor&#x20;changes&#x20;to&#x20;file&#x20;permissions,&#x20;attributes,&#x20;ownership&#x20;and&#x20;group.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;for&#x20;system&#x20;calls&#x20;that&#x20;affect&#x20;file&#x20;permissions&#x20;and&#x20;attributes.&#x20;The&#x20;chmod&#x20;,&#x20;fchmod&#x20;and&#x20;fchmodat&#x20;system&#x20;calls&#x20;affect&#x20;the&#x20;permissions&#x20;associated&#x20;with&#x20;a&#x20;file.&#x20;The&#x20;chown&#x20;,&#x20;fchown&#x20;,&#x20;fchownat&#x20;and&#x20;lchown&#x20;system&#x20;calls&#x20;affect&#x20;owner&#x20;and&#x20;group&#x20;attributes&#x20;on&#x20;a&#x20;file.&#x20;The&#x20;setxattr&#x20;,&#x20;lsetxattr&#x20;,&#x20;fsetxattr&#x20;&#40;set&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;and&#x20;removexattr&#x20;,&#x20;lremovexattr&#x20;,&#x20;fremovexattr&#x20;&#40;remove&#x20;extended&#x20;file&#x20;attributes&#41;&#x20;control&#x20;extended&#x20;file&#x20;attributes.&#x20;In&#x20;all&#x20;cases,&#x20;an&#x20;audit&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;for&#x20;non-system&#x20;user&#x20;ids&#x20;&#40;auid&#x20;&gt;=&#x20;1000&#41;&#x20;and&#x20;will&#x20;ignore&#x20;Daemon&#x20;events&#x20;&#40;auid&#x20;=&#x20;4294967295&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;perm_mod.&quot;','Monitoring&#x20;for&#x20;changes&#x20;in&#x20;file&#x20;attributes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;activity&#x20;that&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;or&#x20;policy&#x20;violation.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chmod&#x20;-S&#x20;fchmod&#x20;-S&#x20;fchmodat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chown&#x20;-S&#x20;fchown&#x20;-S&#x20;fchownat&#x20;-S&#x20;lchown&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lremovexattr&#x20;-S&#x20;fremovexattr&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;perm_mod&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;setxattr&#x20;-S&#x20;lsetxattr&#x20;-S&#x20;fsetxattr&#x20;-S&#x20;removexattr&#x20;-S&#x20;lrem','[{\"cis\": [\"4.1.9\"]}, {\"cis_csc\": [\"5.5\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6617,'Ensure&#x20;unsuccessful&#x20;unauthorized&#x20;file&#x20;access&#x20;attempts&#x20;are&#x20;collected','Monitor&#x20;for&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;access&#x20;files.&#x20;The&#x20;parameters&#x20;below&#x20;are&#x20;associated&#x20;&#x20;with&#x20;system&#x20;calls&#x20;that&#x20;control&#x20;creation&#x20;&#40;&#x20;creat&#x20;&#41;,&#x20;opening&#x20;&#40;&#x20;open&#x20;,&#x20;openat&#x20;&#41;&#x20;and&#x20;truncation&#x20;&#40;&#x20;&#x20;truncate&#x20;,&#x20;ftruncate&#x20;&#41;&#x20;of&#x20;files.&#x20;An&#x20;audit&#x20;log&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;if&#x20;the&#x20;user&#x20;is&#x20;a&#x20;non-&#x20;&#x20;privileged&#x20;user&#x20;&#40;auid&#x20;&gt;&#x20;=&#x20;1000&#41;,&#x20;is&#x20;not&#x20;a&#x20;Daemon&#x20;event&#x20;&#40;auid=4294967295&#41;&#x20;and&#x20;if&#x20;the&#x20;&#x20;system&#x20;call&#x20;returned&#x20;EACCES&#x20;&#40;permission&#x20;denied&#x20;to&#x20;the&#x20;file&#41;&#x20;or&#x20;EPERM&#x20;&#40;some&#x20;other&#x20;&#x20;permanent&#x20;error&#x20;associated&#x20;with&#x20;the&#x20;specific&#x20;system&#x20;call&#41;.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;&#x20;with&#x20;the&#x20;identifier&#x20;&quot;access.&quot;','Failed&#x20;attempts&#x20;to&#x20;open,&#x20;create&#x20;or&#x20;truncate&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;an&#x20;individual&#x20;or&#x20;process&#x20;is&#x20;trying&#x20;to&#x20;gain&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','For&#x20;32&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;For&#x20;64&#x20;bit&#x20;systems&#x20;add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;/etc/audit/audit.rules&#x20;file:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat&#x20;-S&#x20;open&#x20;-S&#x20;openat&#x20;-S&#x20;truncate&#x20;-S&#x20;ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;access','[{\"cis\": [\"4.1.10\"]}, {\"cis_csc\": [\"14.9\"]}, {\"pci_dss\": [\"10.2.4\"]}, {\"nist_800_53\": [\"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6618,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;user/group&#x20;information&#x20;are&#x20;collected','Record&#x20;events&#x20;affecting&#x20;the&#x20;group&#x20;,&#x20;passwd&#x20;&#40;user&#x20;IDs&#41;,&#x20;shadow&#x20;and&#x20;gshadow&#x20;&#40;passwords&#41;&#x20;or&#x20;/etc/security/opasswd&#x20;&#40;old&#x20;passwords,&#x20;based&#x20;on&#x20;remember&#x20;parameter&#x20;in&#x20;the&#x20;PAM&#x20;configuration&#41;&#x20;files.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;will&#x20;watch&#x20;the&#x20;files&#x20;to&#x20;see&#x20;if&#x20;they&#x20;have&#x20;been&#x20;opened&#x20;for&#x20;write&#x20;or&#x20;have&#x20;had&#x20;attribute&#x20;changes&#x20;&#40;e.g.&#x20;permissions&#41;&#x20;and&#x20;tag&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;identity&quot;&#x20;in&#x20;the&#x20;audit&#x20;log&#x20;file.','Unexpected&#x20;changes&#x20;to&#x20;these&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;the&#x20;system&#x20;has&#x20;been&#x20;compromised&#x20;and&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;hide&#x20;their&#x20;activities&#x20;or&#x20;compromise&#x20;additional&#x20;accounts.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/group&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/passwd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/gshadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/shadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&#x20;&#x20;&#x20;-w&#x20;/etc/security/opasswd&#x20;-p&#x20;wa&#x20;-k&#x20;identity','[{\"cis\": [\"4.1.11\"]}, {\"cis_csc\": [\"4.8\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6619,'Ensure&#x20;successful&#x20;file&#x20;system&#x20;mounts&#x20;are&#x20;collected','Monitor&#x20;the&#x20;use&#x20;of&#x20;the&#x20;mount&#x20;system&#x20;call.&#x20;The&#x20;mount&#x20;&#40;and&#x20;umount&#x20;&#41;&#x20;system&#x20;call&#x20;controls&#x20;the&#x20;mounting&#x20;and&#x20;unmounting&#x20;of&#x20;file&#x20;systems.&#x20;The&#x20;parameters&#x20;below&#x20;configure&#x20;the&#x20;system&#x20;to&#x20;create&#x20;an&#x20;audit&#x20;record&#x20;when&#x20;the&#x20;mount&#x20;system&#x20;call&#x20;is&#x20;used&#x20;by&#x20;a&#x20;non-privileged&#x20;user.','It&#x20;is&#x20;highly&#x20;unusual&#x20;for&#x20;a&#x20;non&#x20;privileged&#x20;user&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;to&#x20;the&#x20;system.&#x20;While&#x20;tracking&#x20;mount&#x20;commands&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;evidence&#x20;that&#x20;external&#x20;media&#x20;may&#x20;have&#x20;been&#x20;mounted&#x20;&#40;based&#x20;on&#x20;a&#x20;review&#x20;of&#x20;the&#x20;source&#x20;of&#x20;the&#x20;mount&#x20;and&#x20;confirming&#x20;it&#039;s&#x20;an&#x20;external&#x20;media&#x20;type&#41;,&#x20;it&#x20;does&#x20;not&#x20;conclusively&#x20;indicate&#x20;that&#x20;data&#x20;was&#x20;exported&#x20;to&#x20;the&#x20;media.&#x20;System&#x20;administrators&#x20;who&#x20;wish&#x20;to&#x20;determine&#x20;if&#x20;data&#x20;were&#x20;exported,&#x20;would&#x20;also&#x20;have&#x20;to&#x20;track&#x20;successful&#x20;open&#x20;,&#x20;creat&#x20;and&#x20;truncate&#x20;system&#x20;calls&#x20;requiring&#x20;write&#x20;access&#x20;to&#x20;a&#x20;file&#x20;under&#x20;the&#x20;mount&#x20;point&#x20;of&#x20;the&#x20;external&#x20;media&#x20;file&#x20;system.&#x20;This&#x20;could&#x20;give&#x20;a&#x20;fair&#x20;indication&#x20;that&#x20;a&#x20;write&#x20;occurred.&#x20;The&#x20;only&#x20;way&#x20;to&#x20;truly&#x20;prove&#x20;it,&#x20;would&#x20;be&#x20;to&#x20;track&#x20;successful&#x20;writes&#x20;to&#x20;the&#x20;external&#x20;media.&#x20;Tracking&#x20;write&#x20;system&#x20;calls&#x20;could&#x20;quickly&#x20;fill&#x20;up&#x20;the&#x20;audit&#x20;log&#x20;and&#x20;is&#x20;not&#x20;recommended.&#x20;Recommendations&#x20;on&#x20;configuration&#x20;options&#x20;to&#x20;track&#x20;data&#x20;export&#x20;to&#x20;media&#x20;is&#x20;beyond&#x20;the&#x20;scope&#x20;of&#x20;this&#x20;document.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;mounts','[{\"cis\": [\"4.1.12\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6620,'Ensure&#x20;file&#x20;deletion&#x20;events&#x20;by&#x20;users&#x20;are&#x20;collected','Monitor&#x20;the&#x20;use&#x20;of&#x20;system&#x20;calls&#x20;associated&#x20;with&#x20;the&#x20;deletion&#x20;or&#x20;renaming&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes.&#x20;This&#x20;configuration&#x20;statement&#x20;sets&#x20;up&#x20;monitoring&#x20;for&#x20;the&#x20;unlink&#x20;&#40;remove&#x20;a&#x20;file&#41;,&#x20;unlinkat&#x20;&#40;remove&#x20;a&#x20;file&#x20;attribute&#41;,&#x20;rename&#x20;&#40;rename&#x20;a&#x20;file&#41;&#x20;and&#x20;renameat&#x20;&#40;rename&#x20;a&#x20;file&#x20;attribute&#41;&#x20;system&#x20;calls&#x20;and&#x20;tags&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;delete&quot;.','Monitoring&#x20;these&#x20;calls&#x20;from&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;evidence&#x20;that&#x20;inappropriate&#x20;removal&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes&#x20;associated&#x20;with&#x20;protected&#x20;files&#x20;is&#x20;occurring.&#x20;While&#x20;this&#x20;audit&#x20;option&#x20;will&#x20;look&#x20;at&#x20;all&#x20;events,&#x20;system&#x20;administrators&#x20;will&#x20;want&#x20;to&#x20;look&#x20;for&#x20;specific&#x20;privileged&#x20;files&#x20;that&#x20;are&#x20;being&#x20;deleted&#x20;or&#x20;altered.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;unlink&#x20;-S&#x20;unlinkat&#x20;-S&#x20;rename&#x20;-S&#x20;renameat&#x20;-F&#x20;auid&gt;=1000&#x20;-F&#x20;auid!=4294967295&#x20;-k&#x20;delete','[{\"cis\": [\"4.1.14\"]}, {\"cis_csc\": [\"13\"]}, {\"pci_dss\": [\"10.5.5\"]}, {\"nist_800_53\": [\"AU.14\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"PI1.4\", \"PI1.5\", \"CC7.1\", \"CC7.2\", \"CC7.3\", \"CC8.1\"]}]'),(6621,'Ensure&#x20;kernel&#x20;module&#x20;loading&#x20;and&#x20;unloading&#x20;is&#x20;collected','Monitor&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;kernel&#x20;modules.&#x20;The&#x20;programs&#x20;insmod&#x20;&#40;install&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;rmmod&#x20;&#40;remove&#x20;a&#x20;kernel&#x20;module&#41;,&#x20;and&#x20;modprobe&#x20;&#40;a&#x20;more&#x20;sophisticated&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules,&#x20;as&#x20;well&#x20;as&#x20;some&#x20;other&#x20;features&#41;&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;The&#x20;init_module&#x20;&#40;load&#x20;a&#x20;module&#41;&#x20;and&#x20;delete_module&#x20;&#40;delete&#x20;a&#x20;module&#41;&#x20;system&#x20;calls&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules.&#x20;Any&#x20;execution&#x20;of&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;module&#x20;programs&#x20;and&#x20;system&#x20;calls&#x20;will&#x20;trigger&#x20;an&#x20;audit&#x20;record&#x20;with&#x20;an&#x20;identifier&#x20;of&#x20;&quot;modules&quot;.','Monitoring&#x20;the&#x20;use&#x20;of&#x20;insmod&#x20;,&#x20;rmmod&#x20;and&#x20;modprobe&#x20;could&#x20;provide&#x20;system&#x20;administrators&#x20;with&#x20;evidence&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;loaded&#x20;or&#x20;unloaded&#x20;a&#x20;kernel&#x20;module,&#x20;possibly&#x20;compromising&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.&#x20;Monitoring&#x20;of&#x20;the&#x20;init_module&#x20;and&#x20;delete_module&#x20;system&#x20;calls&#x20;would&#x20;reflect&#x20;an&#x20;unauthorized&#x20;user&#x20;attempting&#x20;to&#x20;use&#x20;a&#x20;different&#x20;program&#x20;to&#x20;load&#x20;and&#x20;unload&#x20;modules.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-w&#x20;/sbin/insmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;&#x20;&#x20;-w&#x20;/sbin/rmmod&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;&#x20;&#x20;-w&#x20;/sbin/modprobe&#x20;-p&#x20;x&#x20;-k&#x20;modules&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;init_module&#x20;-S&#x20;delete_module&#x20;-k&#x20;modules&#x20;&#x20;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;init_module&#x20;-S&#x20;delete_module&#x20;-k&#x20;modules','[{\"cis\": [\"4.1.15\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.7\"]}, {\"nist_800_53\": [\"AU.14\", \"AU.6\"]}, {\"gpg_13\": [\"7.9\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6622,'Ensure&#x20;system&#x20;administrator&#x20;actions&#x20;&#40;sudolog&#41;&#x20;are&#x20;collected','Monitor&#x20;the&#x20;sudo&#x20;log&#x20;file.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;disable&#x20;the&#x20;use&#x20;of&#x20;the&#x20;su&#x20;command&#x20;and&#x20;force&#x20;all&#x20;administrators&#x20;to&#x20;have&#x20;to&#x20;log&#x20;in&#x20;first&#x20;and&#x20;then&#x20;use&#x20;sudo&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;then&#x20;all&#x20;administrator&#x20;commands&#x20;will&#x20;be&#x20;logged&#x20;to&#x20;/var/log/sudo.log&#x20;.&#x20;Any&#x20;time&#x20;a&#x20;command&#x20;is&#x20;executed,&#x20;an&#x20;audit&#x20;event&#x20;will&#x20;be&#x20;triggered&#x20;as&#x20;the&#x20;/var/log/sudo.log&#x20;file&#x20;will&#x20;be&#x20;opened&#x20;for&#x20;write&#x20;and&#x20;the&#x20;executed&#x20;administration&#x20;command&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;log.','Changes&#x20;in&#x20;/var/log/sudo.log&#x20;indicate&#x20;that&#x20;an&#x20;administrator&#x20;has&#x20;executed&#x20;a&#x20;command&#x20;or&#x20;the&#x20;log&#x20;file&#x20;itself&#x20;has&#x20;been&#x20;tampered&#x20;with.&#x20;Administrators&#x20;will&#x20;want&#x20;to&#x20;correlate&#x20;the&#x20;events&#x20;written&#x20;to&#x20;the&#x20;audit&#x20;trail&#x20;with&#x20;the&#x20;records&#x20;written&#x20;to&#x20;/var/log/sudo.log&#x20;to&#x20;verify&#x20;if&#x20;unauthorized&#x20;commands&#x20;have&#x20;been&#x20;executed.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory&#x20;ending&#x20;in&#x20;.rules&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;&#x20;&#x20;-w&#x20;/var/log/sudo.log&#x20;-p&#x20;wa&#x20;-k&#x20;actions','[{\"cis\": [\"4.1.16\"]}, {\"cis_csc\": [\"4.9\"]}, {\"pci_dss\": [\"10.2.2\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.6\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"32.2\", \"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6623,'Ensure&#x20;the&#x20;audit&#x20;configuration&#x20;is&#x20;immutable','Set&#x20;system&#x20;audit&#x20;so&#x20;that&#x20;audit&#x20;rules&#x20;cannot&#x20;be&#x20;modified&#x20;with&#x20;auditctl&#x20;.&#x20;Setting&#x20;the&#x20;flag&#x20;&quot;-e&#x20;2&quot;&#x20;forces&#x20;audit&#x20;to&#x20;be&#x20;put&#x20;in&#x20;immutable&#x20;mode.&#x20;Audit&#x20;changes&#x20;can&#x20;only&#x20;be&#x20;made&#x20;on&#x20;system&#x20;reboot.','In&#x20;immutable&#x20;mode,&#x20;unauthorized&#x20;users&#x20;cannot&#x20;execute&#x20;changes&#x20;to&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;potentially&#x20;hide&#x20;malicious&#x20;activity&#x20;and&#x20;then&#x20;put&#x20;the&#x20;audit&#x20;rules&#x20;back.&#x20;Users&#x20;would&#x20;most&#x20;likely&#x20;notice&#x20;a&#x20;system&#x20;reboot&#x20;and&#x20;that&#x20;could&#x20;alert&#x20;administrators&#x20;of&#x20;an&#x20;attempt&#x20;to&#x20;make&#x20;unauthorized&#x20;audit&#x20;changes.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/audit/rules.d/99-finalize.rules&#x20;and&#x20;add&#x20;the&#x20;line:&#x20;&#x20;&#x20;-e&#x20;2&#x20;&#x20;&#x20;&#x20;at&#x20;the&#x20;end&#x20;of&#x20;the&#x20;file','[{\"cis\": [\"4.1.17\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.5\"]}, {\"nist_800_53\": [\"AU.9\"]}, {\"hipaa\": [\"164.312.b\"]}]'),(6624,'Ensure&#x20;rsyslog&#x20;is&#x20;installed','The&#x20;rsyslog&#x20;software&#x20;is&#x20;a&#x20;recommended&#x20;replacement&#x20;to&#x20;the&#x20;original&#x20;syslogd&#x20;daemon&#x20;which&#x20;provide&#x20;improvements&#x20;over&#x20;syslogd&#x20;,&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server.','The&#x20;security&#x20;enhancements&#x20;of&#x20;rsyslog&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server&#41;&#x20;justify&#x20;installing&#x20;and&#x20;configuring&#x20;the&#x20;package.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;rsyslog:&#x20;&#x20;&#x20;#&#x20;dnf&#x20;install&#x20;rsyslog','[{\"cis\": [\"4.2.1.1\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6625,'Ensure&#x20;rsyslog&#x20;Service&#x20;is&#x20;enabled','Once&#x20;the&#x20;rsyslog&#x20;package&#x20;is&#x20;installed&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;activated.','If&#x20;the&#x20;rsyslog&#x20;service&#x20;is&#x20;not&#x20;activated&#x20;the&#x20;system&#x20;may&#x20;default&#x20;to&#x20;the&#x20;syslogd&#x20;service&#x20;or&#x20;lack&#x20;logging&#x20;instead.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;rsyslog&#x20;:&#x20;&#x20;&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;rsyslog','[{\"cis\": [\"4.2.1.2\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.1\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC6.1\", \"CC6.2\", \"CC6.3\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6626,'Ensure&#x20;rsyslog&#x20;default&#x20;file&#x20;permissions&#x20;configured','rsyslog&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;set&#x20;$FileCreateMode&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;&#x20;&#x20;$FileCreateMode&#x20;0640','[{\"cis\": [\"4.2.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.5.1\", \"10.5.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.9\"]}, {\"tsc\": [\"CC5.2\", \"CC7.2\"]}]'),(6627,'Ensure&#x20;rsyslog&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host','The&#x20;rsyslog&#x20;utility&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;logs&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;running&#x20;syslogd&#40;8&#41;&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;reducing&#x20;administrative&#x20;overhead.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;&#40;where&#x20;loghost.example.com&#x20;is&#x20;the&#x20;name&#x20;of&#x20;your&#x20;central&#x20;log&#x20;host&#41;.&#x20;&#x20;&#x20;*.*&#x20;@@loghost.example.com&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;rsyslogd&#x20;configuration:&#x20;#&#x20;pkill&#x20;-HUP&#x20;rsyslogd','[{\"cis\": [\"4.2.1.5\"]}, {\"cis_csc\": [\"6.6\", \"6.8\"]}, {\"pci_dss\": [\"10.5.3\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.4\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6628,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;rsyslog','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Utilities&#x20;exist&#x20;to&#x20;accept&#x20;remote&#x20;export&#x20;of&#x20;journald&#x20;logs,&#x20;however,&#x20;use&#x20;of&#x20;the&#x20;rsyslog&#x20;service&#x20;provides&#x20;a&#x20;consistent&#x20;means&#x20;of&#x20;log&#x20;collection&#x20;and&#x20;export.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;ForwardToSyslog=yes','[{\"cis\": [\"4.2.2.1\"]}, {\"cis_csc\": [\"6.5\"]}, {\"pci_dss\": [\"10.5.3\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.9\", \"AU.4\"]}, {\"tsc\": [\"CC5.2\", \"CC7.2\"]}]'),(6629,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;compress&#x20;large&#x20;log&#x20;files','The&#x20;journald&#x20;system&#x20;includes&#x20;the&#x20;capability&#x20;of&#x20;compressing&#x20;overly&#x20;large&#x20;files&#x20;to&#x20;avoid&#x20;filling&#x20;up&#x20;the&#x20;system&#x20;with&#x20;logs&#x20;or&#x20;making&#x20;the&#x20;logs&#x20;unmanageably&#x20;large.','Uncompressed&#x20;large&#x20;files&#x20;may&#x20;unexpectedly&#x20;fill&#x20;a&#x20;filesystem&#x20;leading&#x20;to&#x20;resource&#x20;unavailability.&#x20;Compressing&#x20;logs&#x20;prior&#x20;to&#x20;write&#x20;can&#x20;prevent&#x20;sudden,&#x20;unexpected&#x20;filesystem&#x20;impacts.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;&#x20;&#x20;Compress=yes','[{\"cis\": [\"4.2.2.2\"]}, {\"cis_csc\": [\"6.4\"]}, {\"pci_dss\": [\"10.7\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.4\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6630,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;write&#x20;logfiles&#x20;to&#x20;persistent&#x20;disk','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Logs&#x20;in&#x20;memory&#x20;will&#x20;be&#x20;lost&#x20;upon&#x20;a&#x20;system&#x20;reboot.&#x20;By&#x20;persisting&#x20;logs&#x20;to&#x20;local&#x20;disk&#x20;on&#x20;the&#x20;server&#x20;they&#x20;are&#x20;protected&#x20;from&#x20;loss.','Writing&#x20;log&#x20;data&#x20;to&#x20;disk&#x20;will&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;forensically&#x20;reconstruct&#x20;events&#x20;which&#x20;may&#x20;have&#x20;impacted&#x20;the&#x20;operations&#x20;or&#x20;security&#x20;of&#x20;a&#x20;system&#x20;even&#x20;after&#x20;a&#x20;system&#x20;crash&#x20;or&#x20;reboot.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;&#x20;&#x20;Compress=yes','[{\"cis\": [\"4.2.2.3\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"10.7\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.4\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6631,'Ensure&#x20;permissions&#x20;on&#x20;all&#x20;logfiles&#x20;are&#x20;configured','Log&#x20;files&#x20;stored&#x20;in&#x20;/var/log/&#x20;contain&#x20;logged&#x20;information&#x20;from&#x20;many&#x20;services&#x20;on&#x20;the&#x20;system,&#x20;or&#x20;on&#x20;log&#x20;hosts&#x20;others&#x20;as&#x20;well.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitivebdata&#x20;is&#x20;archived&#x20;and&#x20;protected.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;all&#x20;existing&#x20;log&#x20;files:&#x20;#&#x20;find&#x20;/var/log&#x20;-type&#x20;f&#x20;-exec&#x20;chmod&#x20;g-wx,o-rwx&#x20;{}&#x20;+','[{\"cis\": [\"4.2.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.5.1\", \"10.5.2\"]}, {\"nist_800_53\": [\"CM.1\", \"AU.9\"]}, {\"tsc\": [\"CC5.2\", \"CC7.2\"]}]'),(6632,'Ensure&#x20;cron&#x20;daemon&#x20;is&#x20;enabled','The&#x20;cron&#x20;daemon&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;batch&#x20;jobs&#x20;on&#x20;the&#x20;system.','While&#x20;there&#x20;may&#x20;not&#x20;be&#x20;user&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;be&#x20;run&#x20;on&#x20;the&#x20;system,&#x20;the&#x20;system&#x20;does&#x20;have&#x20;maintenance&#x20;jobs&#x20;that&#x20;may&#x20;include&#x20;security&#x20;monitoring&#x20;that&#x20;have&#x20;to&#x20;run,&#x20;and&#x20;cron&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;them.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;cron&#x20;:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;crond','[{\"cis\": [\"5.1.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6633,'Ensure&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;are&#x20;configured','The&#x20;/etc/crontab&#x20;file&#x20;is&#x20;used&#x20;by&#x20;cron&#x20;to&#x20;control&#x20;its&#x20;own&#x20;jobs.&#x20;The&#x20;commands&#x20;in&#x20;this&#x20;item&#x20;make&#x20;sure&#x20;that&#x20;root&#x20;is&#x20;the&#x20;user&#x20;and&#x20;group&#x20;owner&#x20;of&#x20;the&#x20;file&#x20;and&#x20;that&#x20;only&#x20;the&#x20;owner&#x20;can&#x20;access&#x20;the&#x20;file.','This&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;what&#x20;system&#x20;jobs&#x20;are&#x20;run&#x20;by&#x20;cron.&#x20;Write&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;unprivileged&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;elevate&#x20;their&#x20;privileges.&#x20;Read&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;gain&#x20;insight&#x20;on&#x20;system&#x20;jobs&#x20;that&#x20;run&#x20;on&#x20;the&#x20;system&#x20;and&#x20;could&#x20;provide&#x20;them&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;unauthorized&#x20;privileged&#x20;access.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/crontab&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/crontab','[{\"cis\": [\"5.1.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6634,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;are&#x20;configured','This&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;an&#x20;hourly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.hourly&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.hourly','[{\"cis\": [\"5.1.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6635,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;are&#x20;configured','The&#x20;/etc/cron.daily&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;daily&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.daily&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.daily','[{\"cis\": [\"5.1.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6636,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;are&#x20;configured','The&#x20;/etc/cron.weekly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;weekly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.weekly&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.weekly','[{\"cis\": [\"5.1.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6637,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;are&#x20;configured','The&#x20;/etc/cron.monthly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;monthly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.monthly&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.monthly','[{\"cis\": [\"5.1.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6638,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;are&#x20;configured','Configure&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/cron.allow&#x20;or&#x20;/etc/at.allow&#x20;do&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.deny&#x20;and&#x20;/etc/cron.deny&#x20;are&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;files,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;Note&#x20;that&#x20;even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow&#x20;,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cron&#x20;jobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.d&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.d','[{\"cis\": [\"5.1.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6639,'Ensure&#x20;at/cron&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users','Configure&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;these&#x20;services.&#x20;If&#x20;/etc/cron.allow&#x20;or&#x20;/etc/at.allow&#x20;do&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.deny&#x20;and&#x20;/etc/cron.deny&#x20;are&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;those&#x20;files&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;files,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;at&#x20;and&#x20;cron.&#x20;Note&#x20;that&#x20;even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow&#x20;,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cron&#x20;jobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny&#x20;and&#x20;/etc/at.deny&#x20;and&#x20;create&#x20;and&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow&#x20;and&#x20;/etc/at.allow&#x20;:&#x20;#&#x20;rm&#x20;/etc/cron.deny&#x20;#&#x20;rm&#x20;/etc/at.deny&#x20;#&#x20;touch&#x20;/etc/cron.allow&#x20;#&#x20;touch&#x20;/etc/at.allow&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.allow&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/at.allow&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.allow','[{\"cis\": [\"5.1.8\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6640,'Ensure&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config&#x20;are&#x20;configured','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;contains&#x20;configuration&#x20;specifications&#x20;for&#x20;sshd.&#x20;The&#x20;command&#x20;below&#x20;sets&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;file&#x20;to&#x20;root.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/ssh/sshd_config&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/ssh/sshd_config','[{\"cis\": [\"5.2.1\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6641,'Ensure&#x20;SSH&#x20;access&#x20;is&#x20;limited','There&#x20;are&#x20;several&#x20;options&#x20;available&#x20;to&#x20;limit&#x20;which&#x20;users&#x20;and&#x20;group&#x20;can&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;at&#x20;least&#x20;one&#x20;of&#x20;the&#x20;following&#x20;options&#x20;be&#x20;leveraged:&#x20;AllowUsers&#x20;The&#x20;AllowUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;only&#x20;allowing&#x20;the&#x20;allowed&#x20;users&#x20;to&#x20;log&#x20;in&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;AllowGroups&#x20;The&#x20;AllowGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;DenyUsers&#x20;The&#x20;DenyUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;specifically&#x20;denying&#x20;a&#x20;user&#039;s&#x20;access&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;DenyGroups&#x20;The&#x20;DenyGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.','Restricting&#x20;which&#x20;users&#x20;can&#x20;remotely&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH&#x20;will&#x20;help&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;users&#x20;access&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;one&#x20;or&#x20;more&#x20;of&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowUsers&#x20;&lt;userlist&gt;;&#x20;AllowGroups&#x20;&lt;grouplist&gt;;&#x20;DenyUsers&#x20;&lt;userlist&gt;&#x20;and&#x20;DenyGroups&#x20;&lt;grouplist&gt;','[{\"cis\": [\"5.2.2\"]}, {\"cis_csc\": [\"4.3\"]}, {\"pci_dss\": [\"8.1\"]}, {\"tsc\": [\"CC6.1\"]}]'),(6642,'Ensure&#x20;permissions&#x20;on&#x20;SSH&#x20;private&#x20;host&#x20;key&#x20;files&#x20;are&#x20;configured','An&#x20;SSH&#x20;private&#x20;key&#x20;is&#x20;one&#x20;of&#x20;two&#x20;files&#x20;used&#x20;in&#x20;SSH&#x20;public&#x20;key&#x20;authentication.&#x20;In&#x20;this&#x20;authentication&#x20;method,&#x20;The&#x20;possession&#x20;of&#x20;the&#x20;private&#x20;key&#x20;is&#x20;proof&#x20;of&#x20;identity.&#x20;Only&#x20;a&#x20;private&#x20;key&#x20;that&#x20;corresponds&#x20;to&#x20;a&#x20;public&#x20;key&#x20;will&#x20;be&#x20;able&#x20;to&#x20;authenticate&#x20;successfully.&#x20;The&#x20;private&#x20;keys&#x20;need&#x20;to&#x20;be&#x20;stored&#x20;and&#x20;handled&#x20;carefully,&#x20;and&#x20;no&#x20;copies&#x20;of&#x20;the&#x20;private&#x20;key&#x20;should&#x20;be&#x20;distributed.','If&#x20;an&#x20;unauthorized&#x20;user&#x20;obtains&#x20;the&#x20;private&#x20;SSH&#x20;host&#x20;key&#x20;file,&#x20;the&#x20;host&#x20;could&#x20;be&#x20;impersonated','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;private&#x20;SSH&#x20;host&#x20;key&#x20;files:&#x20;#&#x20;find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key&#039;&#x20;-exec&#x20;chown&#x20;root:root&#x20;{}&#x20;;&#x20;#&#x20;find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key&#039;&#x20;-exec&#x20;chmod&#x20;0600&#x20;{}&#x20;;','[{\"cis\": [\"5.2.3\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6643,'Ensure&#x20;permissions&#x20;on&#x20;SSH&#x20;public&#x20;host&#x20;key&#x20;files&#x20;are&#x20;configured','An&#x20;SSH&#x20;public&#x20;key&#x20;is&#x20;one&#x20;of&#x20;two&#x20;files&#x20;used&#x20;in&#x20;SSH&#x20;public&#x20;key&#x20;authentication.&#x20;In&#x20;this&#x20;authentication&#x20;method,&#x20;a&#x20;public&#x20;key&#x20;is&#x20;a&#x20;key&#x20;that&#x20;can&#x20;be&#x20;used&#x20;for&#x20;verifying&#x20;digital&#x20;signatures&#x20;generated&#x20;using&#x20;a&#x20;corresponding&#x20;private&#x20;key.&#x20;Only&#x20;a&#x20;public&#x20;key&#x20;that&#x20;corresponds&#x20;to&#x20;a&#x20;private&#x20;key&#x20;will&#x20;be&#x20;able&#x20;to&#x20;authenticate&#x20;successfully.','If&#x20;a&#x20;public&#x20;host&#x20;key&#x20;file&#x20;is&#x20;modified&#x20;by&#x20;an&#x20;unauthorized&#x20;user,&#x20;the&#x20;SSH&#x20;service&#x20;may&#x20;be&#x20;compromised.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;on&#x20;the&#x20;SSH&#x20;host&#x20;public&#x20;key&#x20;files:&#x20;#&#x20;find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key.pub&#039;&#x20;-exec&#x20;chmod&#x20;0644&#x20;{}&#x20;;&#x20;#find&#x20;/etc/ssh&#x20;-xdev&#x20;-type&#x20;f&#x20;-name&#x20;&#039;ssh_host_*_key.pub&#039;&#x20;-exec&#x20;chown&#x20;root:root&#x20;{}&#x20;;','[{\"cis\": [\"5.2.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6644,'Ensure&#x20;SSH&#x20;LogLevel&#x20;is&#x20;appropriate','INFO&#x20;level&#x20;is&#x20;the&#x20;basic&#x20;level&#x20;that&#x20;only&#x20;records&#x20;login&#x20;activity&#x20;of&#x20;SSH&#x20;users.&#x20;In&#x20;many&#x20;situations,&#x20;such&#x20;as&#x20;Incident&#x20;Response,&#x20;it&#x20;is&#x20;important&#x20;to&#x20;determine&#x20;when&#x20;a&#x20;particular&#x20;user&#x20;was&#x20;active&#x20;on&#x20;a&#x20;system.&#x20;The&#x20;logout&#x20;record&#x20;can&#x20;eliminate&#x20;those&#x20;users&#x20;who&#x20;disconnected,&#x20;which&#x20;helps&#x20;narrow&#x20;the&#x20;field.&#x20;VERBOSE&#x20;level&#x20;specifies&#x20;that&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;as&#x20;well&#x20;as&#x20;the&#x20;key&#x20;fingerprint&#x20;for&#x20;any&#x20;SSH&#x20;key&#x20;used&#x20;for&#x20;login&#x20;will&#x20;be&#x20;logged.&#x20;This&#x20;information&#x20;is&#x20;important&#x20;for&#x20;SSH&#x20;key&#x20;management,&#x20;especially&#x20;in&#x20;legacy&#x20;environments.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;VERBOSE&#x20;or&#x20;LogLevel&#x20;INFO','[{\"cis\": [\"5.2.5\"]}, {\"cis_csc\": [\"6.2\", \"6.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(6645,'Ensure&#x20;SSH&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled','The&#x20;X11Forwarding&#x20;parameter&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;tunnel&#x20;X11&#x20;traffic&#x20;through&#x20;the&#x20;connection&#x20;to&#x20;enable&#x20;remote&#x20;graphic&#x20;connections.','Disable&#x20;X11&#x20;forwarding&#x20;unless&#x20;there&#x20;is&#x20;an&#x20;operational&#x20;requirement&#x20;to&#x20;use&#x20;X11&#x20;applications&#x20;directly.&#x20;There&#x20;is&#x20;a&#x20;small&#x20;risk&#x20;that&#x20;the&#x20;remote&#x20;X11&#x20;servers&#x20;of&#x20;users&#x20;who&#x20;are&#x20;logged&#x20;in&#x20;via&#x20;SSH&#x20;with&#x20;X11&#x20;forwarding&#x20;could&#x20;be&#x20;compromised&#x20;by&#x20;other&#x20;users&#x20;on&#x20;the&#x20;X11&#x20;server.&#x20;Note&#x20;that&#x20;even&#x20;if&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled,&#x20;users&#x20;can&#x20;always&#x20;install&#x20;their&#x20;own&#x20;forwarders.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;X11Forwarding&#x20;no','[{\"cis\": [\"5.2.6\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6646,'Ensure&#x20;SSH&#x20;MaxAuthTries&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc\": [\"16.13\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6647,'Ensure&#x20;SSH&#x20;IgnoreRhosts&#x20;is&#x20;enabled','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthentication&#x20;or&#x20;HostbasedAuthentication.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;ssh.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Ignorerhosts&#x20;yes','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(6648,'Ensure&#x20;SSH&#x20;HostbasedAuthentication&#x20;is&#x20;disabled','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts&#x20;,&#x20;or&#x20;/etc/hosts.equiv,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.&#x20;This&#x20;option&#x20;only&#x20;applies&#x20;to&#x20;SSH&#x20;Protocol&#x20;Version&#x20;2.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no','[{\"cis\": [\"5.2.9\"]}, {\"cis_csc\": [\"16.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(6649,'Ensure&#x20;SSH&#x20;root&#x20;login&#x20;is&#x20;disabled','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;ssh.&#x20;The&#x20;default&#x20;is&#x20;no.','Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;system&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root&#x20;via&#x20;sudo&#x20;or&#x20;su&#x20;.&#x20;This&#x20;in&#x20;turn&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no','[{\"cis\": [\"5.2.10\"]}, {\"cis_csc\": [\"4.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(6650,'Ensure&#x20;SSH&#x20;PermitEmptyPasswords&#x20;is&#x20;disabled','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;SSH&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no','[{\"cis\": [\"5.2.11\"]}, {\"cis_csc\": [\"16.3\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(6651,'Ensure&#x20;SSH&#x20;PermitUserEnvironment&#x20;is&#x20;disabled','The&#x20;PermitUserEnvironment&#x20;option&#x20;allows&#x20;users&#x20;to&#x20;present&#x20;environment&#x20;options&#x20;to&#x20;the&#x20;ssh&#x20;daemon.','Permitting&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;environment&#x20;variables&#x20;through&#x20;the&#x20;SSH&#x20;daemon&#x20;could&#x20;potentially&#x20;allow&#x20;users&#x20;to&#x20;bypass&#x20;security&#x20;controls&#x20;&#40;e.g.&#x20;setting&#x20;an&#x20;execution&#x20;path&#x20;that&#x20;has&#x20;ssh&#x20;executing&#x20;trojan&#039;d&#x20;programs&#41;','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitUserEnvironment&#x20;no','[{\"cis\": [\"5.2.12\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(6652,'Ensure&#x20;SSH&#x20;Idle&#x20;Timeout&#x20;Interval&#x20;is&#x20;configured','The&#x20;two&#x20;options&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax&#x20;control&#x20;the&#x20;timeout&#x20;of&#x20;ssh&#x20;sessions.&#x20;When&#x20;the&#x20;ClientAliveInterval&#x20;variable&#x20;is&#x20;set,&#x20;ssh&#x20;sessions&#x20;that&#x20;have&#x20;no&#x20;activity&#x20;for&#x20;the&#x20;specified&#x20;length&#x20;of&#x20;time&#x20;are&#x20;terminated.&#x20;When&#x20;the&#x20;ClientAliveCountMax&#x20;variable&#x20;is&#x20;set,&#x20;sshd&#x20;will&#x20;send&#x20;client&#x20;alive&#x20;messages&#x20;at&#x20;every&#x20;ClientAliveInterval&#x20;interval.&#x20;When&#x20;the&#x20;number&#x20;of&#x20;consecutive&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;sent&#x20;with&#x20;no&#x20;response&#x20;from&#x20;the&#x20;client,&#x20;the&#x20;ssh&#x20;session&#x20;is&#x20;terminated.&#x20;For&#x20;example,&#x20;if&#x20;the&#x20;ClientAliveInterval&#x20;is&#x20;set&#x20;to&#x20;15&#x20;seconds&#x20;and&#x20;the&#x20;ClientAliveCountMax&#x20;is&#x20;set&#x20;to&#x20;3,&#x20;the&#x20;client&#x20;ssh&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;45&#x20;seconds&#x20;of&#x20;idle&#x20;time.','Having&#x20;no&#x20;timeout&#x20;value&#x20;associated&#x20;with&#x20;a&#x20;connection&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;ssh&#x20;session&#x20;&#40;e.g.&#x20;user&#x20;walks&#x20;away&#x20;from&#x20;their&#x20;computer&#x20;and&#x20;doesn&#039;t&#x20;lock&#x20;the&#x20;screen&#41;.&#x20;Setting&#x20;a&#x20;timeout&#x20;value&#x20;at&#x20;least&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;this&#x20;happening.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;300&#x20;seconds&#x20;&#40;5&#x20;minutes&#41;,&#x20;set&#x20;this&#x20;timeout&#x20;value&#x20;based&#x20;on&#x20;site&#x20;policy.&#x20;The&#x20;recommended&#x20;setting&#x20;for&#x20;ClientAliveCountMax&#x20;is&#x20;0.&#x20;In&#x20;this&#x20;case,&#x20;the&#x20;client&#x20;session&#x20;will&#x20;be&#x20;terminated&#x20;after&#x20;5&#x20;minutes&#x20;of&#x20;idle&#x20;time&#x20;and&#x20;no&#x20;keepalive&#x20;messages&#x20;will&#x20;be&#x20;sent.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameters&#x20;according&#x20;to&#x20;site&#x20;policy:&#x20;ClientAliveInterval&#x20;300&#x20;and&#x20;ClientAliveCountMax&#x20;0','[{\"cis\": [\"5.2.13\"]}, {\"cis_csc\": [\"16.11\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(6653,'Ensure&#x20;SSH&#x20;LoginGraceTime&#x20;is&#x20;set&#x20;to&#x20;one&#x20;minute&#x20;or&#x20;less','The&#x20;LoginGraceTime&#x20;parameter&#x20;specifies&#x20;the&#x20;time&#x20;allowed&#x20;for&#x20;successful&#x20;authentication&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;The&#x20;longer&#x20;the&#x20;Grace&#x20;period&#x20;is&#x20;the&#x20;more&#x20;open&#x20;unauthenticated&#x20;connections&#x20;can&#x20;exist.&#x20;Like&#x20;other&#x20;session&#x20;controls&#x20;in&#x20;this&#x20;session&#x20;the&#x20;Grace&#x20;Period&#x20;should&#x20;be&#x20;limited&#x20;to&#x20;appropriate&#x20;organizational&#x20;limits&#x20;to&#x20;ensure&#x20;the&#x20;service&#x20;is&#x20;available&#x20;for&#x20;needed&#x20;access.','Setting&#x20;the&#x20;LoginGraceTime&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;It&#x20;will&#x20;also&#x20;limit&#x20;the&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;60&#x20;seconds&#x20;&#40;1&#x20;Minute&#41;,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LoginGraceTime&#x20;60','[{\"cis\": [\"5.2.14\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"8.1\"]}, {\"tsc\": [\"CC6.1\"]}]'),(6654,'Ensure&#x20;SSH&#x20;warning&#x20;banner&#x20;is&#x20;configured','The&#x20;Banner&#x20;parameter&#x20;specifies&#x20;a&#x20;file&#x20;whose&#x20;contents&#x20;must&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;remote&#x20;user&#x20;before&#x20;authentication&#x20;is&#x20;permitted.&#x20;By&#x20;default,&#x20;no&#x20;banner&#x20;is&#x20;displayed.','Banners&#x20;are&#x20;used&#x20;to&#x20;warn&#x20;connecting&#x20;users&#x20;of&#x20;the&#x20;particular&#x20;site&#039;s&#x20;policy&#x20;regarding&#x20;connection.&#x20;Presenting&#x20;a&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;login&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Banner&#x20;/etc/issue.net','[{\"cis\": [\"5.2.15\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6655,'Ensure&#x20;SSH&#x20;PAM&#x20;is&#x20;enabled','UsePAM&#x20;Enables&#x20;the&#x20;Pluggable&#x20;Authentication&#x20;Module&#x20;interface.&#x20;If&#x20;set&#x20;to&#x20;&ldquo;yes&rdquo;&#x20;this&#x20;will&#x20;enable&#x20;PAM&#x20;authentication&#x20;using&#x20;ChallengeResponseAuthentication&#x20;and&#x20;PasswordAuthentication&#x20;in&#x20;addition&#x20;to&#x20;PAM&#x20;account&#x20;and&#x20;session&#x20;module&#x20;processing&#x20;for&#x20;all&#x20;authentication&#x20;types.','When&#x20;usePAM&#x20;is&#x20;set&#x20;to&#x20;yes,&#x20;PAM&#x20;runs&#x20;through&#x20;account&#x20;and&#x20;session&#x20;types&#x20;properly.&#x20;This&#x20;is&#x20;important&#x20;if&#x20;you&#x20;want&#x20;to&#x20;restrict&#x20;access&#x20;to&#x20;services&#x20;based&#x20;off&#x20;of&#x20;IP,&#x20;time&#x20;or&#x20;other&#x20;factors&#x20;of&#x20;the&#x20;account.&#x20;Additionally,&#x20;you&#x20;can&#x20;make&#x20;sure&#x20;users&#x20;inherit&#x20;certain&#x20;environment&#x20;variables&#x20;on&#x20;login&#x20;or&#x20;disallow&#x20;access&#x20;to&#x20;the&#x20;server.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;UsePAM&#x20;yes','[{\"cis\": [\"5.2.16\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6656,'Ensure&#x20;SSH&#x20;AllowTcpForwarding&#x20;is&#x20;disabled','SSH&#x20;port&#x20;forwarding&#x20;is&#x20;a&#x20;mechanism&#x20;in&#x20;SSH&#x20;for&#x20;tunneling&#x20;application&#x20;ports&#x20;from&#x20;the&#x20;client&#x20;to&#x20;the&#x20;server,&#x20;or&#x20;servers&#x20;to&#x20;clients.&#x20;It&#x20;can&#x20;be&#x20;used&#x20;for&#x20;adding&#x20;encryption&#x20;to&#x20;legacy&#x20;applications,&#x20;going&#x20;through&#x20;firewalls,&#x20;and&#x20;some&#x20;system&#x20;administrators&#x20;and&#x20;IT&#x20;professionals&#x20;use&#x20;it&#x20;for&#x20;opening&#x20;backdoors&#x20;into&#x20;the&#x20;internal&#x20;network&#x20;from&#x20;their&#x20;home&#x20;machines.','Leaving&#x20;port&#x20;forwarding&#x20;enabled&#x20;can&#x20;expose&#x20;the&#x20;organization&#x20;to&#x20;security&#x20;risks&#x20;and&#x20;back-doors.&#x20;SSH&#x20;connections&#x20;are&#x20;protected&#x20;with&#x20;strong&#x20;encryption.&#x20;This&#x20;makes&#x20;their&#x20;contents&#x20;invisible&#x20;to&#x20;most&#x20;deployed&#x20;network&#x20;monitoring&#x20;and&#x20;traffic&#x20;filtering&#x20;solutions.&#x20;This&#x20;invisibility&#x20;carries&#x20;considerable&#x20;risk&#x20;potential&#x20;if&#x20;it&#x20;is&#x20;used&#x20;for&#x20;malicious&#x20;purposes&#x20;such&#x20;as&#x20;data&#x20;exfiltration.&#x20;Cybercriminals&#x20;or&#x20;malware&#x20;could&#x20;exploit&#x20;SSH&#x20;to&#x20;hide&#x20;their&#x20;unauthorized&#x20;communications,&#x20;or&#x20;to&#x20;exfiltrate&#x20;stolen&#x20;data&#x20;from&#x20;the&#x20;target&#x20;network.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowTcpForwarding&#x20;no','[{\"cis\": [\"5.2.17\"]}, {\"cis_csc\": [\"9.2\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(6657,'Ensure&#x20;SSH&#x20;MaxSessions&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less','The&#x20;MaxSessions&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;open&#x20;sessions&#x20;permitted&#x20;from&#x20;a&#x20;given&#x20;connection.','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;concurrent&#x20;sessions,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxSessions&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxSessions&#x20;4','[{\"cis\": [\"5.2.19\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6658,'Ensure&#x20;system-wide&#x20;crypto&#x20;policy&#x20;is&#x20;not&#x20;over-ridden','System-wide&#x20;Crypto&#x20;policy&#x20;can&#x20;be&#x20;over-ridden&#x20;or&#x20;opted&#x20;out&#x20;of&#x20;for&#x20;openSSH','Over-riding&#x20;or&#x20;opting&#x20;out&#x20;of&#x20;the&#x20;system-wide&#x20;crypto&#x20;policy&#x20;could&#x20;allow&#x20;for&#x20;the&#x20;use&#x20;of&#x20;less&#x20;secure&#x20;Ciphers,&#x20;MACs,&#x20;KexAlgoritms&#x20;and&#x20;GSSAPIKexAlgorithsm','','Run&#x20;the&#x20;following&#x20;commands:&#x20;#&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;CRYPTO_POLICYs*=.*&#41;$/#&#x20;1/&quot;&#x20;/etc/sysconfig/sshd;&#x20;#&#x20;systemctl&#x20;reload&#x20;sshd','[{\"cis\": [\"5.2.20\"]}, {\"cis_csc\": [\"14.4\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(6659,'Create&#x20;custom&#x20;authselect&#x20;profile','A&#x20;custom&#x20;profile&#x20;can&#x20;be&#x20;created&#x20;by&#x20;copying&#x20;and&#x20;customizing&#x20;one&#x20;of&#x20;the&#x20;default&#x20;profiles.&#x20;The&#x20;default&#x20;profiles&#x20;include:&#x20;sssd,&#x20;winbind,&#x20;or&#x20;the&#x20;nis.','A&#x20;custom&#x20;profile&#x20;is&#x20;required&#x20;to&#x20;customize&#x20;many&#x20;of&#x20;the&#x20;pam&#x20;options','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;a&#x20;custom&#x20;authselect&#x20;profile:&#x20;#&#x20;authselect&#x20;create-profile&#x20;&lt;custom-profile&#x20;name&gt;&#x20;-b&#x20;&lt;default&#x20;profile&#x20;to&#x20;copy&gt;&#x20;.Example:&#x20;#&#x20;authselect&#x20;create-profile&#x20;custom-profile&#x20;-b&#x20;sssd&#x20;--symlink-meta','[{\"cis\": [\"5.3.1\"]}, {\"pci_dss\": [\"8.1\"]}, {\"tsc\": [\"CC6.1\"]}]'),(6660,'Ensure&#x20;authselect&#x20;includes&#x20;with-faillock','The&#x20;pam_faillock.so&#x20;module&#x20;maintains&#x20;a&#x20;list&#x20;of&#x20;failed&#x20;authentication&#x20;attempts&#x20;per&#x20;user&#x20;during&#x20;a&#x20;specified&#x20;interval&#x20;and&#x20;locks&#x20;the&#x20;account&#x20;in&#x20;case&#x20;there&#x20;were&#x20;more&#x20;than&#x20;deny&#x20;consecutive&#x20;failed&#x20;authentications.&#x20;It&#x20;stores&#x20;the&#x20;failure&#x20;records&#x20;into&#x20;per-user&#x20;files&#x20;in&#x20;the&#x20;tally&#x20;directory.','Locking&#x20;out&#x20;user&#x20;IDs&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts&#x20;mitigates&#x20;brute&#x20;force&#x20;password&#x20;attacks&#x20;against&#x20;your&#x20;systems.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;include&#x20;the&#x20;with-faillock&#x20;option:&#x20;#&#x20;authselect&#x20;select&#x20;&lt;PROFILE&#x20;NAME&gt;&#x20;with-faillock&#x20;&#x20;&#x20;&#x20;Example:&#x20;#&#x20;authselect&#x20;select&#x20;custom/custom-profile&#x20;with-sudo&#x20;with-faillock&#x20;without-nullok','[{\"cis\": [\"5.3.3\"]}, {\"pci_dss\": [\"8.1\"]}, {\"tsc\": [\"CC6.1\"]}]'),(6661,'Ensure&#x20;password&#x20;creation&#x20;requirements&#x20;are&#x20;configured','The&#x20;pam_pwquality.so&#x20;module&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more.&#x20;The&#x20;following&#x20;are&#x20;definitions&#x20;of&#x20;the&#x20;pam_pwquality.so&#x20;options.&#x20;try_first_pass&#x20;-&#x20;retrieve&#x20;the&#x20;password&#x20;from&#x20;a&#x20;previous&#x20;stacked&#x20;PAM&#x20;module.&#x20;If&#x20;not&#x20;available,&#x20;then&#x20;prompt&#x20;the&#x20;user&#x20;for&#x20;a&#x20;password.&#x20;retry=3&#x20;-&#x20;Allow&#x20;3&#x20;tries&#x20;before&#x20;sending&#x20;back&#x20;a&#x20;failure.&#x20;minlen=14&#x20;-&#x20;password&#x20;must&#x20;be&#x20;14&#x20;characters&#x20;or&#x20;more&#x20;Either&#x20;of&#x20;the&#x20;following&#x20;can&#x20;be&#x20;used&#x20;to&#x20;enforce&#x20;complex&#x20;passwords:&#x20;minclass=4&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;four&#x20;classes&#x20;of&#x20;characters&#x20;for&#x20;the&#x20;new&#x20;password&#x20;OR&#x20;dcredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;digit&#x20;ucredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;uppercase&#x20;character&#x20;ocredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;special&#x20;character&#x20;lcredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;lowercase&#x20;character&#x20;The&#x20;settings&#x20;shown&#x20;above&#x20;are&#x20;one&#x20;possible&#x20;policy.&#x20;Alter&#x20;these&#x20;values&#x20;to&#x20;conform&#x20;to&#x20;your&#x20;own&#x20;organization&#039;s&#x20;password&#x20;policies','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;password&#x20;length&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minlen&#x20;=&#x20;14&#x20;Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;password&#x20;complexity&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minclass&#x20;=&#x20;4&#x20;OR&#x20;dcredit&#x20;=&#x20;-1&#x20;ucredit&#x20;=&#x20;-1&#x20;ocredit&#x20;=&#x20;-1&#x20;-1&#x20;=&#x20;-1&#x20;Run&#x20;the&#x20;following&#x20;to&#x20;update&#x20;the&#x20;system-auth&#x20;and&#x20;password-auth&#x20;files:&#x20;CP=$&#40;authselect&#x20;current&#x20;|&#x20;awk&#x20;&#039;NR&#x20;==&#x20;1&#x20;{print&#x20;$3}&#039;&#x20;|&#x20;grep&#x20;custom/&#41;&#x20;for&#x20;FN&#x20;in&#x20;system-auth&#x20;password-auth;&#x20;do&#x20;[[&#x20;-n&#x20;$CP&#x20;]]&#x20;&amp;&amp;&#x20;PTF=/etc/authselect/$CP/$FN&#x20;||&#x20;PTF=/etc/authselect/$FN&#x20;[[&#x20;-z&#x20;$&#40;grep&#x20;-E&#x20;&#039;^s*passwords+requisites+pam_pwquality.sos+.*enforce-for-roots*.*$&#039;&#x20;$PTF&#41;&#x20;]]&#x20;&amp;&amp;&#x20;sed&#x20;-ri&#x20;&#039;s/^s*&#40;passwords+requisites+pam_pwquality.sos+&#41;&#40;.*&#41;$/12&#x20;enforce-for-root/&#039;&#x20;$PTF&#x20;[[&#x20;-n&#x20;$&#40;grep&#x20;-E&#x20;&#039;^s*passwords+requisites+pam_pwquality.sos+.*s+retry=S+s*.*$&#039;&#x20;$PTF&#41;&#x20;]]&#x20;&amp;&amp;&#x20;sed&#x20;-ri&#x20;&#039;/pwquality/s/retry=S+/retry=3/&#039;&#x20;$PTF&#x20;||&#x20;sed&#x20;-ri&#x20;&#039;s/^s*&#40;passwords+requisites+pam_pwquality.sos+&#41;&#40;.*&#41;$/12&#x20;retry=3/&#039;&#x20;$PTF&#x20;done&#x20;authselect&#x20;apply-changes','[{\"cis\": [\"5.4.1\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2.3\"]}, {\"tsc\": [\"CC6.1\"]}]'),(6662,'Ensure&#x20;lockout&#x20;for&#x20;failed&#x20;password&#x20;attempts&#x20;is&#x20;configured','Lock&#x20;out&#x20;users&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts.&#x20;deny=&#x20;-&#x20;Number&#x20;of&#x20;attempts&#x20;before&#x20;the&#x20;account&#x20;is&#x20;locked.&#x20;unlock_time=&#x20;-&#x20;Time&#x20;in&#x20;seconds&#x20;before&#x20;the&#x20;account&#x20;is&#x20;unlocked.&#x20;Set&#x20;the&#x20;lockout&#x20;number&#x20;and&#x20;unlock&#x20;time&#x20;to&#x20;follow&#x20;local&#x20;site&#x20;policy.','Locking&#x20;out&#x20;user&#x20;IDs&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts&#x20;mitigates&#x20;brute&#x20;force&#x20;password&#x20;attacks&#x20;against&#x20;your&#x20;systems.','','Set&#x20;password&#x20;lockouts&#x20;and&#x20;unlock&#x20;times&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy.&#x20;Run&#x20;the&#x20;following&#x20;to&#x20;update&#x20;the&#x20;system-auth&#x20;and&#x20;password-auth&#x20;files.&#x20;This&#x20;script&#x20;will&#x20;update/add&#x20;the&#x20;deny=5&#x20;and&#x20;unlock_time=900&#x20;options.&#x20;This&#x20;script&#x20;should&#x20;be&#x20;modified&#x20;as&#x20;needed&#x20;to&#x20;follow&#x20;local&#x20;site&#x20;policy.CP=$&#40;authselect&#x20;current&#x20;|&#x20;awk&#x20;&quot;NR&#x20;==&#x20;1&#x20;{print&#x20;$3}&quot;&#x20;|&#x20;grep&#x20;custom/&#41;&#x20;for&#x20;FN&#x20;in&#x20;system-auth&#x20;password-auth;&#x20;do&#x20;[[&#x20;-n&#x20;$CP&#x20;]]&#x20;&amp;&amp;&#x20;PTF=/etc/authselect/$CP/$FN&#x20;||&#x20;PTF=/etc/authselect/$FN&#x20;[[&#x20;-n&#x20;$&#40;grep&#x20;-E&#x20;&quot;^s*auths+requireds+pam_faillock.sos+.*deny=S+s*.*$&quot;&#x20;$PTF&#41;&#x20;]]&#x20;&amp;&amp;&#x20;sed&#x20;-ri&#x20;&quot;/pam_faillock.so/s/deny=S+/deny=5/g&quot;&#x20;$PTF&#x20;||&#x20;sed&#x20;-ri&#x20;&quot;s/^^s*&#40;auths+requireds+pam_faillock.sos+&#41;&#40;.*[^{}]&#41;&#40;{.*}|&#41;$/12&#x20;deny=5&#x20;3/&quot;&#x20;$PTF&#x20;[[&#x20;-n&#x20;$&#40;grep&#x20;-E&#x20;&quot;^s*auths+requireds+pam_faillock.sos+.*unlock_time=S+s*.*$&quot;&#x20;$PTF&#41;&#x20;]]&#x20;&amp;&amp;&#x20;sed&#x20;-ri&#x20;&quot;/pam_faillock.so/s/unlock_time=S+/unlock_time=900/g&quot;&#x20;$PTF&#x20;||&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;auths+requireds+pam_faillock.sos+&#41;&#40;.*[^{}]&#41;&#40;{.*}|&#41;$/12&#x20;unlock_time=900&#x20;3/&quot;&#x20;$PTF&#x20;done&#x20;authselect&#x20;apply-changes','[{\"cis\": [\"5.4.2\"]}, {\"cis_csc\": [\"16.7\"]}, {\"pci_dss\": [\"8.2.5\"]}, {\"tsc\": [\"CC6.1\"]}]'),(6663,'Ensure&#x20;password&#x20;reuse&#x20;is&#x20;limited','The&#x20;/etc/security/opasswd&#x20;file&#x20;stores&#x20;the&#x20;users&quot;&#x20;old&#x20;passwords&#x20;and&#x20;can&#x20;be&#x20;checked&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;are&#x20;not&#x20;recycling&#x20;recent&#x20;passwords.&#x20;remember=&lt;5&gt;&#x20;-&#x20;Number&#x20;of&#x20;old&#x20;passwords&#x20;to&#x20;remember','Forcing&#x20;users&#x20;not&#x20;to&#x20;reuse&#x20;their&#x20;past&#x20;5&#x20;passwords&#x20;make&#x20;it&#x20;less&#x20;likely&#x20;that&#x20;an&#x20;attacker&#x20;will&#x20;be&#x20;able&#x20;to&#x20;guess&#x20;the&#x20;password.&#x20;Note&#x20;that&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Set&#x20;remembered&#x20;password&#x20;history&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy.&#x20;Run&#x20;the&#x20;following&#x20;script&#x20;to&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;pam_pwhistory.so&#x20;and&#x20;pam_unix.so&#x20;lines&#x20;to&#x20;include&#x20;the&#x20;remember&#x20;option:&#x20;CP=$&#40;authselect&#x20;current&#x20;|&#x20;awk&#x20;&quot;NR&#x20;==&#x20;1&#x20;{print&#x20;$3}&quot;&#x20;|&#x20;grep&#x20;custom/&#41;&#x20;[[&#x20;-n&#x20;$CP&#x20;]]&#x20;&amp;&amp;&#x20;PTF=/etc/authselect/$CP/system-auth&#x20;||&#x20;PTF=/etc/authselect/system-auth&#x20;[[&#x20;-n&#x20;$&#40;grep&#x20;-E&#x20;&quot;^s*passwords+&#40;sufficients+pam_unix|requi&#40;red|site&#41;s+pam_pwhistory&#41;.sos+&#x20;&#40;[^#]+s+&#41;*remember=S+s*.*$&quot;&#x20;$PTF&#41;&#x20;]]&#x20;&amp;&amp;&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;passwords+&#40;requisite|sufficient&#41;s+&#40;pam_pwquality.so|pam_unix.so&#41;s+&#41;&#40;.*&#41;&#40;remember=S+s*&#41;&#40;.*&#41;$/14&#x20;remember=5&#x20;6/&quot;&#x20;$PTF&#x20;||&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;passwords+&#40;requisite|sufficient&#41;s+&#40;pam_pwquality.so|pam_unix.so&#41;s+&#41;&#40;.*&#41;$/14&#x20;remember=5/&quot;&#x20;$PTF&#x20;authselect&#x20;apply-changes','[{\"cis\": [\"5.4.3\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"8.2.5\"]}, {\"tsc\": [\"CC6.1\"]}]'),(6664,'Ensure&#x20;password&#x20;hashing&#x20;algorithm&#x20;is&#x20;SHA-512','The&#x20;commands&#x20;below&#x20;change&#x20;password&#x20;encryption&#x20;from&#x20;md5&#x20;to&#x20;sha512&#x20;&#40;a&#x20;much&#x20;stronger&#x20;hashing&#x20;algorithm&#41;.&#x20;All&#x20;existing&#x20;accounts&#x20;will&#x20;need&#x20;to&#x20;perform&#x20;a&#x20;password&#x20;change&#x20;to&#x20;upgrade&#x20;the&#x20;stored&#x20;hashes&#x20;to&#x20;the&#x20;new&#x20;algorithm.','The&#x20;SHA-512&#x20;algorithm&#x20;provides&#x20;much&#x20;stronger&#x20;hashing&#x20;than&#x20;MD5,&#x20;thus&#x20;providing&#x20;additional&#x20;protection&#x20;to&#x20;the&#x20;system&#x20;by&#x20;increasing&#x20;the&#x20;level&#x20;of&#x20;effort&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;successfully&#x20;determine&#x20;passwords.&#x20;Note&#x20;that&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Set&#x20;password&#x20;hashing&#x20;algorithm&#x20;to&#x20;sha512.&#x20;Run&#x20;the&#x20;following&#x20;script&#x20;to&#x20;dd&#x20;or&#x20;modify&#x20;the&#x20;pam_unix.so&#x20;lines&#x20;in&#x20;the&#x20;password-auth&#x20;and&#x20;system-auth&#x20;files&#x20;to&#x20;include&#x20;the&#x20;sha512&#x20;option:&#x20;CP=$&#40;authselect&#x20;current&#x20;|&#x20;awk&#x20;&#039;NR&#x20;==&#x20;1&#x20;{print&#x20;$3}&#039;&#x20;|&#x20;grep&#x20;custom/&#41;&#x20;for&#x20;FN&#x20;in&#x20;system-auth&#x20;password-auth;&#x20;do&#x20;[[&#x20;-z&#x20;$&#40;grep&#x20;-E&#x20;&#039;^s*passwords+sufficients+pam_unix.sos+.*sha512s*.*$&#039;&#x20;$PTF&#41;&#x20;]]&#x20;&amp;&amp;&#x20;sed&#x20;-ri&#x20;&#039;s/^s*&#40;passwords+sufficients+pam_unix.sos+&#41;&#40;.*&#41;$/12&#x20;sha512/&#039;&#x20;$PTF&#x20;done&#x20;authselect&#x20;apply-changes','[{\"cis\": [\"5.4.4\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"3.6.1\", \"8.2.1\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\"]}]'),(6665,'Ensure&#x20;password&#x20;expiration&#x20;is&#x20;365&#x20;days&#x20;or&#x20;less','The&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;force&#x20;passwords&#x20;to&#x20;expire&#x20;once&#x20;they&#x20;reach&#x20;a&#x20;defined&#x20;age.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;less&#x20;than&#x20;or&#x20;equal&#x20;to&#x20;365&#x20;days.','The&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;leverage&#x20;compromised&#x20;credentials&#x20;or&#x20;successfully&#x20;compromise&#x20;credentials&#x20;via&#x20;an&#x20;online&#x20;brute&#x20;force&#x20;attack&#x20;is&#x20;limited&#x20;by&#x20;the&#x20;age&#x20;of&#x20;the&#x20;password.&#x20;Therefore,&#x20;reducing&#x20;the&#x20;maximum&#x20;age&#x20;of&#x20;a&#x20;password&#x20;also&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;window&#x20;of&#x20;opportunity.','','Set&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;in&#x20;/etc/login.defs&#x20;:&#x20;PASS_MAX_DAYS&#x20;90&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--maxdays&#x20;90&#x20;&lt;user&gt;','[{\"cis\": [\"5.5.1.1\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2.4\"]}, {\"tsc\": [\"CC6.1\"]}]'),(6666,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;7&#x20;or&#x20;more','The&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;changing&#x20;their&#x20;password&#x20;until&#x20;a&#x20;minimum&#x20;number&#x20;of&#x20;days&#x20;have&#x20;passed&#x20;since&#x20;the&#x20;last&#x20;time&#x20;the&#x20;user&#x20;changed&#x20;their&#x20;password.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','By&#x20;restricting&#x20;the&#x20;frequency&#x20;of&#x20;password&#x20;changes,&#x20;an&#x20;administrator&#x20;can&#x20;prevent&#x20;users&#x20;from&#x20;repeatedly&#x20;changing&#x20;their&#x20;password&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;circumvent&#x20;password&#x20;reuse&#x20;controls.','','Set&#x20;the&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_MIN_DAYS&#x20;7&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--mindays&#x20;7&#x20;&lt;user&gt;','[{\"cis\": [\"5.5.1.2\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(6667,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;7&#x20;or&#x20;more','The&#x20;PASS_WARN_AGE&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;notify&#x20;users&#x20;that&#x20;their&#x20;password&#x20;will&#x20;expire&#x20;in&#x20;a&#x20;defined&#x20;number&#x20;of&#x20;days.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','Providing&#x20;an&#x20;advance&#x20;warning&#x20;that&#x20;a&#x20;password&#x20;will&#x20;be&#x20;expiring&#x20;gives&#x20;users&#x20;time&#x20;to&#x20;think&#x20;of&#x20;a&#x20;secure&#x20;password.&#x20;Users&#x20;caught&#x20;unaware&#x20;may&#x20;choose&#x20;a&#x20;simple&#x20;password&#x20;or&#x20;write&#x20;it&#x20;down&#x20;where&#x20;it&#x20;may&#x20;be&#x20;discovered.','','Set&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_WARN_AGE&#x20;7&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--warndays&#x20;7&#x20;&lt;user&gt;','[{\"cis\": [\"5.5.1.3\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(6668,'Ensure&#x20;inactive&#x20;password&#x20;lock&#x20;is&#x20;30&#x20;days&#x20;or&#x20;less','User&#x20;accounts&#x20;that&#x20;have&#x20;been&#x20;inactive&#x20;for&#x20;over&#x20;a&#x20;given&#x20;period&#x20;of&#x20;time&#x20;can&#x20;be&#x20;automatically&#x20;disabled.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;accounts&#x20;that&#x20;are&#x20;inactive&#x20;for&#x20;30&#x20;days&#x20;after&#x20;password&#x20;expiration&#x20;be&#x20;disabled.','Inactive&#x20;accounts&#x20;pose&#x20;a&#x20;threat&#x20;to&#x20;system&#x20;security&#x20;since&#x20;the&#x20;users&#x20;are&#x20;not&#x20;logging&#x20;in&#x20;to&#x20;notice&#x20;failed&#x20;login&#x20;attempts&#x20;or&#x20;other&#x20;anomalies.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;default&#x20;password&#x20;inactivity&#x20;period&#x20;to&#x20;30&#x20;days:&#x20;useradd&#x20;-D&#x20;-f&#x20;30&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--inactive&#x20;30&#x20;&lt;user&gt;','[{\"cis\": [\"5.4.1.4\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(6669,'Ensure&#x20;default&#x20;user&#x20;shell&#x20;timeout&#x20;is&#x20;900&#x20;seconds&#x20;or&#x20;less','The&#x20;default&#x20;TMOUT&#x20;determines&#x20;the&#x20;shell&#x20;timeout&#x20;for&#x20;users.&#x20;The&#x20;TMOUT&#x20;value&#x20;is&#x20;measured&#x20;in&#x20;seconds.','Having&#x20;no&#x20;timeout&#x20;value&#x20;associated&#x20;with&#x20;a&#x20;shell&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;access&#x20;to&#x20;another&#x20;user&#039;s&#x20;shell&#x20;session&#x20;&#40;e.g.&#x20;user&#x20;walks&#x20;away&#x20;from&#x20;their&#x20;computer&#x20;and&#x20;doesn&#039;t&#x20;lock&#x20;the&#x20;screen&#41;.&#x20;Setting&#x20;a&#x20;timeout&#x20;value&#x20;at&#x20;least&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;this&#x20;happening.','','Edit&#x20;the&#x20;/etc/bashrc&#x20;,&#x20;/etc/profile&#x20;and&#x20;/etc/profile.d&#47;&#42;.sh&#x20;files&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;any&#x20;umask&#x20;parameters&#x20;as&#x20;follows:&#x20;readonly&#x20;TMOUT=900&#x20;;&#x20;export&#x20;TMOUT&#x20;.&#x20;Note&#x20;that&#x20;setting&#x20;the&#x20;value&#x20;to&#x20;readonly&#x20;prevents&#x20;unwanted&#x20;modification&#x20;during&#x20;runtime.','[{\"cis\": [\"5.5.3\"]}, {\"cis_csc\": [\"16.11\"]}, {\"pci_dss\": [\"12.3.8\"]}]'),(6670,'Ensure&#x20;default&#x20;group&#x20;for&#x20;the&#x20;root&#x20;account&#x20;is&#x20;GID&#x20;0','The&#x20;usermod&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;specify&#x20;which&#x20;group&#x20;the&#x20;root&#x20;user&#x20;belongs&#x20;to.&#x20;This&#x20;affects&#x20;permissions&#x20;of&#x20;files&#x20;that&#x20;are&#x20;created&#x20;by&#x20;the&#x20;root&#x20;user.','Using&#x20;GID&#x20;0&#x20;for&#x20;the&#x20;root&#x20;account&#x20;helps&#x20;prevent&#x20;root&#x20;-owned&#x20;files&#x20;from&#x20;accidentally&#x20;becoming&#x20;accessible&#x20;to&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;root&#x20;user&#x20;default&#x20;group&#x20;to&#x20;GID&#x20;0:&#x20;usermod&#x20;-g&#x20;0&#x20;root','[{\"cis\": [\"5.5.4\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(6671,'Ensure&#x20;default&#x20;user&#x20;umask&#x20;is&#x20;027&#x20;or&#x20;more&#x20;restrictive','The&#x20;default&#x20;umask&#x20;determines&#x20;the&#x20;permissions&#x20;of&#x20;files&#x20;created&#x20;by&#x20;users.&#x20;The&#x20;user&#x20;creating&#x20;the&#x20;file&#x20;has&#x20;the&#x20;discretion&#x20;of&#x20;making&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;others&#x20;via&#x20;the&#x20;chmod&#x20;command.&#x20;Users&#x20;who&#x20;wish&#x20;to&#x20;allow&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;to&#x20;be&#x20;readable&#x20;by&#x20;others&#x20;by&#x20;default&#x20;may&#x20;choose&#x20;a&#x20;different&#x20;default&#x20;umask&#x20;by&#x20;inserting&#x20;the&#x20;umask&#x20;command&#x20;into&#x20;the&#x20;standard&#x20;shell&#x20;configuration&#x20;files&#x20;&#40;&#x20;.profile&#x20;,&#x20;.bashrc&#x20;,&#x20;etc.&#41;&#x20;in&#x20;their&#x20;home&#x20;directories.','Setting&#x20;a&#x20;very&#x20;secure&#x20;default&#x20;value&#x20;for&#x20;umask&#x20;ensures&#x20;that&#x20;users&#x20;make&#x20;a&#x20;conscious&#x20;choice&#x20;about&#x20;their&#x20;file&#x20;permissions.&#x20;A&#x20;default&#x20;umask&#x20;setting&#x20;of&#x20;077&#x20;causes&#x20;files&#x20;and&#x20;directories&#x20;created&#x20;by&#x20;users&#x20;to&#x20;not&#x20;be&#x20;readable&#x20;by&#x20;any&#x20;other&#x20;user&#x20;on&#x20;the&#x20;system.&#x20;A&#x20;umask&#x20;of&#x20;027&#x20;would&#x20;make&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;users&#x20;in&#x20;the&#x20;same&#x20;Unix&#x20;group,&#x20;while&#x20;a&#x20;umask&#x20;of&#x20;022&#x20;would&#x20;make&#x20;files&#x20;readable&#x20;by&#x20;every&#x20;user&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/bashrc&#x20;,&#x20;/etc/profile&#x20;and&#x20;/etc/profile.d&#47;&#42;.sh&#x20;files&#x20;&#40;and&#x20;the&#x20;appropriate&#x20;files&#x20;for&#x20;any&#x20;other&#x20;shell&#x20;supported&#x20;on&#x20;your&#x20;system&#41;&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;any&#x20;umask&#x20;parameters&#x20;as&#x20;follows:&#x20;umask&#x20;027','[{\"cis\": [\"5.5.5\"]}, {\"cis_csc\": [\"5.1\", \"13\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(6672,'Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','The&#x20;su&#x20;command&#x20;allows&#x20;a&#x20;user&#x20;to&#x20;run&#x20;a&#x20;command&#x20;or&#x20;shell&#x20;as&#x20;another&#x20;user.&#x20;The&#x20;program&#x20;has&#x20;been&#x20;superseded&#x20;by&#x20;sudo&#x20;,&#x20;which&#x20;allows&#x20;for&#x20;more&#x20;granular&#x20;control&#x20;over&#x20;privileged&#x20;access.&#x20;Normally,&#x20;the&#x20;su&#x20;command&#x20;can&#x20;be&#x20;executed&#x20;by&#x20;any&#x20;user.&#x20;By&#x20;uncommenting&#x20;the&#x20;pam_wheel.so&#x20;statement&#x20;in&#x20;/etc/pam.d/su&#x20;,&#x20;the&#x20;su&#x20;command&#x20;will&#x20;only&#x20;allow&#x20;users&#x20;in&#x20;the&#x20;wheel&#x20;group&#x20;to&#x20;execute&#x20;su&#x20;.','Restricting&#x20;the&#x20;use&#x20;of&#x20;su&#x20;,&#x20;and&#x20;using&#x20;sudo&#x20;in&#x20;its&#x20;place,&#x20;provides&#x20;system&#x20;administrators&#x20;better&#x20;control&#x20;of&#x20;the&#x20;escalation&#x20;of&#x20;user&#x20;privileges&#x20;to&#x20;execute&#x20;privileged&#x20;commands.&#x20;The&#x20;sudo&#x20;utility&#x20;also&#x20;provides&#x20;a&#x20;better&#x20;logging&#x20;and&#x20;audit&#x20;mechanism,&#x20;as&#x20;it&#x20;can&#x20;log&#x20;each&#x20;command&#x20;executed&#x20;via&#x20;sudo&#x20;,&#x20;whereas&#x20;su&#x20;can&#x20;only&#x20;record&#x20;that&#x20;a&#x20;user&#x20;executed&#x20;the&#x20;su&#x20;program.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/pam.d/su&#x20;file:&#x20;auth&#x20;required&#x20;pam_wheel.so&#x20;use_uid','[{\"cis\": [\"5.7\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(6673,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd&#x20;are&#x20;configured','The&#x20;/etc/passwd&#x20;file&#x20;contains&#x20;user&#x20;account&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;utilities&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;utilities&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd&#x20;#&#x20;chmod&#x20;644&#x20;/etc/passwd','[{\"cis\": [\"6.1.2\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6674,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow&#x20;are&#x20;configured','The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;user&#x20;accounts.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/&#x20;shadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow&#x20;&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/shadow&#x20;&#x20;&#x20;&#x20;#&#x20;chmod&#x20;o-rwx,g-wx&#x20;/etc/shadow','[{\"cis\": [\"6.1.3\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6675,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group&#x20;are&#x20;configured','The&#x20;/etc/group&#x20;file&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.&#x20;The&#x20;command&#x20;below&#x20;allows&#x20;read/write&#x20;access&#x20;for&#x20;root&#x20;and&#x20;read&#x20;access&#x20;for&#x20;everyone&#x20;else.','The&#x20;/etc/group&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users,&#x20;but&#x20;needs&#x20;to&#x20;be&#x20;readable&#x20;as&#x20;this&#x20;information&#x20;is&#x20;used&#x20;with&#x20;many&#x20;non-privileged&#x20;programs.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group&#x20;#&#x20;chmod&#x20;644&#x20;/etc/group','[{\"cis\": [\"6.1.4\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6676,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow&#x20;are&#x20;configured','The&#x20;/etc/gshadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/gshadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/gshadow&#x20;file&#x20;&#40;such&#x20;as&#x20;group&#x20;administrators&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;group','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/gshadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/gshadow&#x20;&#x20;#&#x20;chmod&#x20;o-rwx,g-rw&#x20;/etc/gshadow','[{\"cis\": [\"6.1.5\"]}, {\"cis_csc\": [\"16.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6677,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd-&#x20;are&#x20;configured','The&#x20;/etc/passwd-&#x20;file&#x20;contains&#x20;backup&#x20;user&#x20;account&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd-&#x20;#&#x20;chmod&#x20;600&#x20;/etc/passwd-','[{\"cis\": [\"6.1.6\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6678,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow-&#x20;are&#x20;configured','The&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/shadow-:&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/shadow-&#x20;&#x20;#&#x20;chmod&#x20;u-x,go-rwx&#x20;/etc/shadow-','[{\"cis\": [\"6.1.7\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6679,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group-&#x20;are&#x20;configured','The&#x20;/etc/group-&#x20;file&#x20;contains&#x20;a&#x20;backup&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/group-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group-&#x20;#&#x20;chmod&#x20;644&#x20;/etc/group-','[{\"cis\": [\"6.1.8\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6680,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;are&#x20;configured','The&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;one&#x20;of&#x20;the&#x20;following&#x20;chown&#x20;commands&#x20;as&#x20;appropriate&#x20;and&#x20;the&#x20;chmod&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow-&#x20;&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/gshadow-&#x20;&#x20;#&#x20;chmod&#x20;o-rwx,g-rw&#x20;/etc/gshadow-','[{\"cis\": [\"6.1.9\"]}, {\"cis_csc\": [\"16.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6681,'Ensure&#x20;password&#x20;fields&#x20;are&#x20;not&#x20;empty','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;password,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;account&#x20;until&#x20;it&#x20;can&#x20;be&#x20;determined&#x20;why&#x20;it&#x20;does&#x20;not&#x20;have&#x20;a&#x20;password:&#x20;passwd&#x20;-l&#x20;&lt;username&gt;&#x20;||&#x20;Also,&#x20;check&#x20;to&#x20;see&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;investigate&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.1\"]}, {\"cis_csc\": [\"4.4\"]}, {\"pci_dss\": [\"8.2\"]}, {\"tsc\": [\"CC6.1\"]}]'),(6682,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/passwd','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;&#039;+&#039;&#x20;entries&#x20;from&#x20;/etc/passwd&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.2\"]}, {\"cis_csc\": [\"16.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6683,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/shadow','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;&#039;+&#039;&#x20;entries&#x20;from&#x20;/etc/shadow&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.4\"]}, {\"cis_csc\": [\"16.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6684,'Ensure&#x20;no&#x20;legacy&#x20;&quot;+&quot;&#x20;entries&#x20;exist&#x20;in&#x20;/etc/group','The&#x20;character&#x20;+&#x20;in&#x20;various&#x20;files&#x20;used&#x20;to&#x20;be&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;These&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;most&#x20;systems,&#x20;but&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.','These&#x20;entries&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Remove&#x20;any&#x20;legacy&#x20;&#039;+&#039;&#x20;entries&#x20;from&#x20;/etc/group&#x20;if&#x20;they&#x20;exist.','[{\"cis\": [\"6.2.5\"]}, {\"cis_csc\": [\"16.2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}, {\"gpg_13\": [\"4.3\"]}, {\"gdpr_IV\": [\"35.7.d\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"tsc\": [\"CC5.2\"]}]'),(6685,'Ensure&#x20;root&#x20;is&#x20;the&#x20;only&#x20;UID&#x20;0&#x20;account','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','','Remove&#x20;any&#x20;users&#x20;other&#x20;than&#x20;root&#x20;with&#x20;UID&#x20;0&#x20;or&#x20;assign&#x20;them&#x20;a&#x20;new&#x20;UID&#x20;if&#x20;appropriate.','[{\"cis\": [\"6.2.6\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"gpg_13\": [\"7.8\"]}, {\"gdpr_IV\": [\"35.7\", \"32.2\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(7000,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/tmp','The&#x20;/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Since&#x20;the&#x20;/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;In&#x20;addition,&#x20;making&#x20;/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hardlink&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hardlink&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/tmp.&#x20;&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.2\"]}]'),(7001,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/tmp','[{\"cis\": [\"1.1.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7002,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/tmp','[{\"cis\": [\"1.1.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7003,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/tmp','[{\"cis\": [\"1.1.5\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7004,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var','The&#x20;/var&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;daemons&#x20;and&#x20;other&#x20;system&#x20;services&#x20;to&#x20;temporarily&#x20;store&#x20;dynamic&#x20;data.&#x20;Some&#x20;directories&#x20;created&#x20;by&#x20;these&#x20;processes&#x20;may&#x20;be&#x20;world-writable.','Since&#x20;the&#x20;/var&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var.&#x20;&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.6\"]}]'),(7005,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log','The&#x20;/var/log&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;system&#x20;services&#x20;to&#x20;store&#x20;log&#x20;data.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;system&#x20;logs&#x20;are&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;logs&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log.&#x20;&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.11\"]}, {\"cis_csc\": [\"6.3\"]}]'),(7006,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log/audit','The&#x20;auditing&#x20;daemon,&#x20;auditd&#x20;,&#x20;stores&#x20;log&#x20;data&#x20;in&#x20;the&#x20;/var/log/audit&#x20;directory.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;data&#x20;gathered&#x20;by&#x20;auditd&#x20;is&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;the&#x20;audit.log&#x20;file&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.&#x20;The&#x20;audit&#x20;daemon&#x20;calculates&#x20;how&#x20;much&#x20;free&#x20;space&#x20;is&#x20;left&#x20;and&#x20;performs&#x20;actions&#x20;based&#x20;on&#x20;the&#x20;results.&#x20;If&#x20;other&#x20;processes&#x20;&#40;such&#x20;as&#x20;syslog&#x20;&#41;&#x20;consume&#x20;space&#x20;in&#x20;the&#x20;same&#x20;partition&#x20;as&#x20;auditd,&#x20;it&#x20;may&#x20;not&#x20;perform&#x20;as&#x20;desired.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log/audit.&#x20;&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.12\"]}, {\"cis_csc\": [\"6.3\"]}]'),(7007,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/home','The&#x20;/home&#x20;directory&#x20;is&#x20;used&#x20;to&#x20;support&#x20;disk&#x20;storage&#x20;needs&#x20;of&#x20;local&#x20;users.','If&#x20;the&#x20;system&#x20;is&#x20;intended&#x20;to&#x20;support&#x20;local&#x20;users,&#x20;create&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;the&#x20;/home&#x20;directory&#x20;to&#x20;protect&#x20;against&#x20;resource&#x20;exhaustion&#x20;and&#x20;restrict&#x20;the&#x20;type&#x20;of&#x20;files&#x20;that&#x20;can&#x20;be&#x20;stored&#x20;under&#x20;/home.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/home.&#x20;&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.13\"]}]'),(7008,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;user&#x20;partitions&#x20;are&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/home&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/home.&#x20;Notes:&#x20;The&#x20;actions&#x20;in&#x20;this&#x20;recommendation&#x20;refer&#x20;to&#x20;the&#x20;/home&#x20;partition,&#x20;which&#x20;is&#x20;the&#x20;default&#x20;user&#x20;partition&#x20;that&#x20;is&#x20;defined.&#x20;If&#x20;you&#x20;have&#x20;created&#x20;other&#x20;user&#x20;partitions,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;Remediation&#x20;and&#x20;Audit&#x20;steps&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;partitions&#x20;as&#x20;well.','[{\"cis\": [\"1.1.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7009,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/dev/shm&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;special&#x20;devices&#x20;in&#x20;/dev/shm&#x20;partitions.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/dev/shm','[{\"cis\": [\"1.1.15\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7010,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;introducing&#x20;privileged&#x20;programs&#x20;onto&#x20;the&#x20;system&#x20;and&#x20;allowing&#x20;non-root&#x20;users&#x20;to&#x20;execute&#x20;them.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/dev/shm','[{\"cis\": [\"1.1.16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7011,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;executing&#x20;programs&#x20;from&#x20;shared&#x20;memory.&#x20;This&#x20;deters&#x20;users&#x20;from&#x20;introducing&#x20;potentially&#x20;malicious&#x20;software&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/dev/shm','[{\"cis\": [\"1.1.17\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7012,'Ensure&#x20;bootloader&#x20;password&#x20;is&#x20;set','Setting&#x20;the&#x20;boot&#x20;loader&#x20;password&#x20;will&#x20;require&#x20;that&#x20;anyone&#x20;rebooting&#x20;the&#x20;system&#x20;must&#x20;enter&#x20;a&#x20;password&#x20;before&#x20;being&#x20;able&#x20;to&#x20;set&#x20;command&#x20;line&#x20;boot&#x20;parameters.','Requiring&#x20;a&#x20;boot&#x20;password&#x20;upon&#x20;execution&#x20;of&#x20;the&#x20;boot&#x20;loader&#x20;will&#x20;prevent&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;entering&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;the&#x20;boot&#x20;partition.&#x20;This&#x20;prevents&#x20;users&#x20;from&#x20;weakening&#x20;security&#x20;&#40;e.g.&#x20;turning&#x20;off&#x20;SELinux&#x20;at&#x20;boot&#x20;time&#41;.','','Create&#x20;an&#x20;encrypted&#x20;password&#x20;with&#x20;grub-md5-crypt&#x20;:&#x20;#&#x20;grub-md5-crypt.&#x20;The&#x20;result&#x20;is&#x20;an&#x20;&lt;encrypted-password&gt;.&#x20;Copy&#x20;and&#x20;paste&#x20;the&#x20;&lt;encrypted-password&gt;&#x20;into&#x20;the&#x20;global&#x20;section&#x20;of&#x20;/boot/grub/menu.lst:&#x20;password&#x20;--md5&#x20;&lt;encrypted-password&gt;&#x20;&#x20;&#x20;&#x20;Notes:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.','[{\"cis\": [\"1.4.2\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7013,'Ensure&#x20;core&#x20;dumps&#x20;are&#x20;restricted','A&#x20;core&#x20;dump&#x20;is&#x20;the&#x20;memory&#x20;of&#x20;an&#x20;executable&#x20;program.&#x20;It&#x20;is&#x20;generally&#x20;used&#x20;to&#x20;determine&#x20;why&#x20;a&#x20;program&#x20;aborted.&#x20;It&#x20;can&#x20;also&#x20;be&#x20;used&#x20;to&#x20;glean&#x20;confidential&#x20;information&#x20;from&#x20;a&#x20;core&#x20;file.&#x20;The&#x20;system&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;a&#x20;soft&#x20;limit&#x20;for&#x20;core&#x20;dumps,&#x20;but&#x20;this&#x20;can&#x20;be&#x20;overridden&#x20;by&#x20;the&#x20;user.','Setting&#x20;a&#x20;hard&#x20;limit&#x20;on&#x20;core&#x20;dumps&#x20;prevents&#x20;users&#x20;from&#x20;overriding&#x20;the&#x20;soft&#x20;variable.&#x20;If&#x20;core&#x20;dumps&#x20;are&#x20;required,&#x20;consider&#x20;setting&#x20;limits&#x20;for&#x20;user&#x20;groups&#x20;&#40;see&#x20;limits.conf&#40;5&#41;&#x20;&#41;.&#x20;In&#x20;addition,&#x20;setting&#x20;the&#x20;fs.suid_dumpable&#x20;variable&#x20;to&#x20;0&#x20;will&#x20;prevent&#x20;setuid&#x20;programs&#x20;from&#x20;dumping&#x20;core.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/security/limits.conf&#x20;file:&#x20;*&#x20;hard&#x20;core&#x20;0.&#x20;Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;fs.suid_dumpable&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;fs.suid_dumpable=0.','[{\"cis\": [\"1.5.1\"]}, {\"cis_csc\": [\"13\"]}]'),(7014,'Ensure&#x20;address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;enabled','Address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;an&#x20;exploit&#x20;mitigation&#x20;technique&#x20;which&#x20;randomly&#x20;arranges&#x20;the&#x20;address&#x20;space&#x20;of&#x20;key&#x20;data&#x20;areas&#x20;of&#x20;a&#x20;process.','Randomly&#x20;placing&#x20;virtual&#x20;memory&#x20;regions&#x20;will&#x20;make&#x20;it&#x20;difficult&#x20;to&#x20;write&#x20;memory&#x20;page&#x20;exploits&#x20;as&#x20;the&#x20;memory&#x20;placement&#x20;will&#x20;be&#x20;consistently&#x20;shifting.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;kernel.randomize_va_space&#x20;=&#x20;2.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;kernel.randomize_va_space=2','[{\"cis\": [\"1.5.3\"]}, {\"cis_csc\": [\"8.4\"]}]'),(7015,'Ensure&#x20;chargen&#x20;services&#x20;are&#x20;not&#x20;enabled','chargen&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;with&#x20;0&#x20;to&#x20;512&#x20;ASCII&#x20;characters&#x20;for&#x20;each&#x20;connection&#x20;it&#x20;receives.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;chargen&#x20;and&#x20;chargen-udp&#x20;:&#x20;#&#x20;chkconfig&#x20;chargen&#x20;off&#x20;#&#x20;chkconfig&#x20;chargen-udp&#x20;off','[{\"cis\": [\"2.1.1\"]}, {\"cis_csc\": [\"9.1\"]}]'),(7016,'Ensure&#x20;daytime&#x20;services&#x20;are&#x20;not&#x20;enabled','daytime&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;with&#x20;the&#x20;server&#039;s&#x20;current&#x20;date&#x20;and&#x20;time.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;daytime&#x20;-&#x20;and&#x20;daytime-udp:&#x20;#&#x20;chkconfig&#x20;daytime-off&#x20;#&#x20;chkconfig&#x20;daytime-udp&#x20;off','[{\"cis\": [\"2.1.2\"]}, {\"cis_csc\": [\"9.1\"]}]'),(7017,'Ensure&#x20;discard&#x20;services&#x20;are&#x20;not&#x20;enabled','discard&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;simply&#x20;discards&#x20;all&#x20;data&#x20;it&#x20;receives.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;discard&#x20;and&#x20;discard-udp:&#x20;#&#x20;chkconfig&#x20;discard&#x20;off&#x20;#&#x20;chkconfig&#x20;discard-udp&#x20;off','[{\"cis\": [\"2.1.3\"]}, {\"cis_csc\": [\"9.1\"]}]'),(7018,'Ensure&#x20;echo&#x20;services&#x20;are&#x20;not&#x20;enabled','echo&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;to&#x20;clients&#x20;with&#x20;the&#x20;data&#x20;sent&#x20;to&#x20;it&#x20;by&#x20;the&#x20;client.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;echo&#x20;and&#x20;echo-udp:&#x20;#&#x20;chkconfig&#x20;echo&#x20;off&#x20;#&#x20;chkconfig&#x20;echo-udp&#x20;off','[{\"cis\": [\"2.1.4\"]}, {\"cis_csc\": [\"9.1\"]}]'),(7019,'Ensure&#x20;time&#x20;services&#x20;are&#x20;not&#x20;enabled','timeis&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;with&#x20;the&#x20;server&#039;s&#x20;current&#x20;date&#x20;and&#x20;time&#x20;as&#x20;a&#x20;32&#x20;bit&#x20;integer.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;time&#x20;and&#x20;time-udp:&#x20;#&#x20;chkconfig&#x20;time&#x20;off&#x20;#&#x20;chkconfig&#x20;time-udp&#x20;off','[{\"cis\": [\"2.1.5\"]}, {\"cis_csc\": [\"9.1\"]}]'),(7020,'Ensure&#x20;rsh&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;Berkeley&#x20;rsh-server&#x20;&#40;&#x20;rsh&#x20;,&#x20;rlogin&#x20;,&#x20;rexec&#x20;&#41;&#x20;package&#x20;contains&#x20;legacy&#x20;services&#x20;that&#x20;exchange&#x20;credentials&#x20;in&#x20;clear-text.','These&#x20;legacy&#x20;services&#x20;contain&#x20;numerous&#x20;security&#x20;exposures&#x20;and&#x20;have&#x20;been&#x20;replaced&#x20;with&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;package.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;rsh&#x20;,&#x20;rlogin&#x20;,&#x20;and&#x20;rexec&#x20;:&#x20;#&#x20;chkconfig&#x20;rexec&#x20;off&#x20;#&#x20;chkconfig&#x20;rlogin&#x20;off&#x20;#&#x20;chkconfig&#x20;rsh&#x20;off','[{\"cis\": [\"2.1.6\"]}, {\"cis_csc\": [\"3.4\", \"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7021,'Ensure&#x20;talk&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;talk&#x20;software&#x20;makes&#x20;it&#x20;possible&#x20;for&#x20;users&#x20;to&#x20;send&#x20;and&#x20;receive&#x20;messages&#x20;across&#x20;systems&#x20;through&#x20;a&#x20;terminal&#x20;session.&#x20;The&#x20;talk&#x20;client&#x20;&#40;allows&#x20;initiate&#x20;of&#x20;talk&#x20;sessions&#41;&#x20;is&#x20;installed&#x20;by&#x20;default.','The&#x20;software&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;talk:&#x20;#&#x20;chkconfig&#x20;talk&#x20;off','[{\"cis\": [\"2.1.7\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7022,'Ensure&#x20;telnet&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;telnet-server&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;daemon,&#x20;which&#x20;accepts&#x20;connections&#x20;from&#x20;users&#x20;from&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;a&#x20;user&#x20;with&#x20;access&#x20;to&#x20;sniff&#x20;network&#x20;traffic&#x20;the&#x20;ability&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;telnet:&#x20;#&#x20;chkconfig&#x20;telnet&#x20;off','[{\"cis\": [\"2.1.8\"]}, {\"cis_csc\": [\"3.4\", \"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7023,'Ensure&#x20;tftp&#x20;server&#x20;is&#x20;not&#x20;enabled','Trivial&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;TFTP&#41;&#x20;is&#x20;a&#x20;simple&#x20;file&#x20;transfer&#x20;protocol,&#x20;typically&#x20;used&#x20;to&#x20;automatically&#x20;transfer&#x20;configuration&#x20;or&#x20;boot&#x20;machines&#x20;from&#x20;a&#x20;boot&#x20;server.&#x20;The&#x20;package&#x20;atftp&#x20;is&#x20;used&#x20;to&#x20;define&#x20;and&#x20;support&#x20;a&#x20;TFTP&#x20;server.','TFTP&#x20;does&#x20;not&#x20;support&#x20;authentication&#x20;nor&#x20;does&#x20;it&#x20;ensure&#x20;the&#x20;confidentiality&#x20;or&#x20;integrity&#x20;of&#x20;data.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;TFTP&#x20;be&#x20;removed,&#x20;unless&#x20;there&#x20;is&#x20;a&#x20;specific&#x20;need&#x20;for&#x20;TFTP.&#x20;In&#x20;that&#x20;case,&#x20;extreme&#x20;caution&#x20;must&#x20;be&#x20;used&#x20;when&#x20;configuring&#x20;the&#x20;services.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;tftp:&#x20;#&#x20;chkconfig&#x20;tftp&#x20;off','[{\"cis\": [\"2.1.9\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7024,'Ensure&#x20;rsync&#x20;service&#x20;is&#x20;not&#x20;enabled','The&#x20;rsyncd&#x20;service&#x20;can&#x20;be&#x20;used&#x20;to&#x20;synchronize&#x20;files&#x20;between&#x20;systems&#x20;over&#x20;network&#x20;links.','The&#x20;rsyncd&#x20;service&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;rsyncd&#x20;:&#x20;#&#x20;chkconfig&#x20;rsyncd&#x20;off','[{\"cis\": [\"2.1.10\", \"2.2.17\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7025,'Ensure&#x20;ntp&#x20;is&#x20;configured','ntp&#x20;is&#x20;a&#x20;daemon&#x20;which&#x20;implements&#x20;the&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;.&#x20;It&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;NTP&#x20;can&#x20;be&#x20;found&#x20;at&#x20;https://tools.ietf.org/html/rfc958.&#x20;ntp&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.&#x20;&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system.','If&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.','','Add&#x20;or&#x20;edit&#x20;restrict&#x20;lines&#x20;in&#x20;/etc/ntp.conf&#x20;to&#x20;match&#x20;the&#x20;following:&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;limited&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;restrict&#x20;-6&#x20;default&#x20;kod&#x20;limited&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;&#x20;&#x20;&#x20;Add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;to&#x20;/etc/ntp.conf&#x20;as&#x20;appropriate:&#x20;server&#x20;&lt;remote-server&gt;&#x20;&#x20;&#x20;&#x20;Add&#x20;or&#x20;edit&#x20;the&#x20;NTPD_OPTIONS&#x20;in&#x20;/etc/sysconfig/ntp&#x20;to&#x20;include&#x20;&#039;-u&#x20;ntp:ntp&#039;:&#x20;NTPD_OPTIONS=&#039;-u&#x20;ntp:ntp&#039;','[{\"cis\": [\"2.2.1.2\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7026,'Ensure&#x20;X&#x20;Window&#x20;System&#x20;is&#x20;not&#x20;installed','The&#x20;X&#x20;Window&#x20;System&#x20;provides&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;where&#x20;users&#x20;can&#x20;have&#x20;multiple&#x20;windows&#x20;in&#x20;which&#x20;to&#x20;run&#x20;programs&#x20;and&#x20;various&#x20;add&#x20;on.&#x20;The&#x20;X&#x20;Windows&#x20;system&#x20;is&#x20;typically&#x20;used&#x20;on&#x20;workstations&#x20;where&#x20;users&#x20;login,&#x20;but&#x20;not&#x20;on&#x20;servers&#x20;where&#x20;users&#x20;typically&#x20;do&#x20;not&#x20;login.','Unless&#x20;your&#x20;organization&#x20;specifically&#x20;requires&#x20;graphical&#x20;login&#x20;access&#x20;via&#x20;X&#x20;Windows,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;X&#x20;Windows&#x20;System&#x20;packages:&#x20;#&#x20;zypper&#x20;remove&#x20;xorg-x11*','[{\"cis\": [\"2.2.2\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7027,'Ensure&#x20;Avahi&#x20;Server&#x20;is&#x20;not&#x20;enabled','Avahi&#x20;is&#x20;a&#x20;free&#x20;zeroconf&#x20;implementation,&#x20;including&#x20;a&#x20;system&#x20;for&#x20;multicast&#x20;DNS/DNS-SD&#x20;service&#x20;discovery.&#x20;Avahi&#x20;allows&#x20;programs&#x20;to&#x20;publish&#x20;and&#x20;discover&#x20;services&#x20;and&#x20;hosts&#x20;running&#x20;on&#x20;a&#x20;local&#x20;network&#x20;with&#x20;no&#x20;specific&#x20;configuration.&#x20;For&#x20;example,&#x20;a&#x20;user&#x20;can&#x20;plug&#x20;a&#x20;computer&#x20;into&#x20;a&#x20;network&#x20;and&#x20;Avahi&#x20;automatically&#x20;finds&#x20;printers&#x20;to&#x20;print&#x20;to,&#x20;files&#x20;to&#x20;look&#x20;at&#x20;and&#x20;people&#x20;to&#x20;talk&#x20;to,&#x20;as&#x20;well&#x20;as&#x20;network&#x20;services&#x20;running&#x20;on&#x20;the&#x20;machine.','Automatic&#x20;discovery&#x20;of&#x20;network&#x20;services&#x20;is&#x20;not&#x20;normally&#x20;required&#x20;for&#x20;system&#x20;functionality.&#x20;&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;disable&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;avahi-daemon&#x20;:&#x20;#&#x20;chkconfig&#x20;avahi-daemon&#x20;off','[{\"cis\": [\"2.2.3\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7028,'Ensure&#x20;DHCP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Dynamic&#x20;Host&#x20;Configuration&#x20;Protocol&#x20;&#40;DHCP&#41;&#x20;is&#x20;a&#x20;service&#x20;that&#x20;allows&#x20;machines&#x20;to&#x20;be&#x20;dynamically&#x20;assigned&#x20;IP&#x20;addresses.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;set&#x20;up&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DHCP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;dhcpd&#x20;:&#x20;#&#x20;chkconfig&#x20;dhcpd&#x20;off','[{\"cis\": [\"2.2.5\"]}, {\"cis_csc\": [\"9.1\"]}]'),(7029,'Ensure&#x20;NFS&#x20;and&#x20;RPC&#x20;are&#x20;not&#x20;enabled','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;export&#x20;NFS&#x20;shares&#x20;or&#x20;act&#x20;as&#x20;an&#x20;NFS&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;these&#x20;services&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;nfs&#x20;and&#x20;rpcbind&#x20;:&#x20;#&#x20;chkconfig&#x20;nfs&#x20;off&#x20;#&#x20;chkconfig&#x20;rpcbind&#x20;off','[{\"cis\": [\"2.2.7\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7030,'Ensure&#x20;DNS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Domain&#x20;Name&#x20;System&#x20;&#40;DNS&#41;&#x20;is&#x20;a&#x20;hierarchical&#x20;naming&#x20;system&#x20;that&#x20;maps&#x20;names&#x20;to&#x20;IP&#x20;addresses&#x20;for&#x20;computers,&#x20;services&#x20;and&#x20;other&#x20;resources&#x20;connected&#x20;to&#x20;a&#x20;network.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;designated&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DNS&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;named&#x20;:&#x20;#&#x20;chkconfig&#x20;named&#x20;off','[{\"cis\": [\"2.2.8\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7031,'Ensure&#x20;FTP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;FTP&#41;&#x20;provides&#x20;networked&#x20;computers&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;transfer&#x20;files.','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;sftp&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;vsftpd&#x20;:&#x20;#&#x20;chkconfig&#x20;vsftpd&#x20;off&#x20;&#x20;Notes:&#x20;Additional&#x20;FTP&#x20;servers&#x20;also&#x20;exist&#x20;and&#x20;should&#x20;be&#x20;audited.','[{\"cis\": [\"2.2.9\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7032,'Ensure&#x20;HTTP&#x20;server&#x20;is&#x20;not&#x20;enabled','HTTP&#x20;or&#x20;web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.&#x20;&#x20;Notes:&#x20;Several&#x20;httpd&#x20;servers&#x20;exist&#x20;and&#x20;can&#x20;use&#x20;other&#x20;service&#x20;names.&#x20;apache,&#x20;apache2,&#x20;lighttpd,&#x20;and&#x20;nginx&#x20;are&#x20;example&#x20;services&#x20;that&#x20;provide&#x20;an&#x20;HTTP&#x20;server.&#x20;These&#x20;and&#x20;other&#x20;services&#x20;should&#x20;also&#x20;be&#x20;audited.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;apache2&#x20;:&#x20;#&#x20;chkconfig&#x20;apache2&#x20;off','[{\"cis\": [\"2.2.10\"]}, {\"cis_csc\": [\"9.1\"]}]'),(7033,'Ensure&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;is&#x20;not&#x20;enabled','cyrus&#x20;is&#x20;an&#x20;open&#x20;source&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;POP3&#x20;and/or&#x20;IMAP&#x20;servers&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;by&#x20;this&#x20;system,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;cyrus&#x20;:&#x20;#&#x20;chkconfig&#x20;cyrus&#x20;off&#x20;&#x20;&#x20;Notes:&#x20;Several&#x20;IMAP/POP3&#x20;servers&#x20;exist&#x20;and&#x20;can&#x20;use&#x20;other&#x20;service&#x20;names.&#x20;dovecot&#x20;is&#x20;an&#x20;example&#x20;service&#x20;that&#x20;provides&#x20;an&#x20;IMAP/POP3&#x20;server.&#x20;These&#x20;and&#x20;other&#x20;services&#x20;should&#x20;also&#x20;be&#x20;audited.','[{\"cis\": [\"2.2.11\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7034,'Ensure&#x20;Samba&#x20;is&#x20;not&#x20;enabled','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Small&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.&#x20;Windows&#x20;desktop&#x20;users&#x20;will&#x20;be&#x20;able&#x20;to&#x20;mount&#x20;these&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;as&#x20;letter&#x20;drives&#x20;on&#x20;their&#x20;systems.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;service&#x20;can&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;smb&#x20;:&#x20;#&#x20;chkconfig&#x20;smb&#x20;off','[{\"cis\": [\"2.2.12\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7035,'Ensure&#x20;HTTP&#x20;Proxy&#x20;Server&#x20;is&#x20;not&#x20;enabled','Squid&#x20;is&#x20;a&#x20;standard&#x20;proxy&#x20;server&#x20;used&#x20;in&#x20;many&#x20;environments.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;proxy&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;squid&#x20;:&#x20;#&#x20;chkconfig&#x20;squid&#x20;off','[{\"cis\": [\"2.2.13\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7036,'Ensure&#x20;SNMP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;can&#x20;communicate&#x20;using&#x20;SNMP&#x20;v1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;Unless&#x20;absolutely&#x20;necessary,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;SNMP&#x20;service&#x20;not&#x20;be&#x20;used.&#x20;If&#x20;SNMP&#x20;is&#x20;required&#x20;the&#x20;server&#x20;should&#x20;be&#x20;configured&#x20;to&#x20;disallow&#x20;SNMP&#x20;v1.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;snmpd:&#x20;#&#x20;chkconfig&#x20;snmpd&#x20;off&#x20;&#x20;&#x20;&#x20;Notes:&#x20;Additional&#x20;methods&#x20;of&#x20;disabling&#x20;a&#x20;service&#x20;exist.&#x20;Consult&#x20;your&#x20;distribution&#x20;documentation&#x20;for&#x20;appropriate&#x20;methods.','[{\"cis\": [\"2.2.14\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7037,'Ensure&#x20;NIS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;&#x20;&#40;formally&#x20;known&#x20;as&#x20;Yellow&#x20;Pages&#41;&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;for&#x20;distributing&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;server&#x20;is&#x20;a&#x20;collection&#x20;of&#x20;programs&#x20;that&#x20;allow&#x20;for&#x20;the&#x20;distribution&#x20;of&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;and&#x20;other,&#x20;more&#x20;secure&#x20;services&#x20;be&#x20;used.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;ypserv&#x20;:&#x20;#&#x20;chkconfig&#x20;ypserv&#x20;off','[{\"cis\": [\"2.2.16\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7038,'Ensure&#x20;NIS&#x20;Client&#x20;is&#x20;not&#x20;installed','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;,&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;used&#x20;to&#x20;distribute&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;client&#x20;&#40;&#x20;ypbind&#x20;&#41;&#x20;was&#x20;used&#x20;to&#x20;bind&#x20;a&#x20;machine&#x20;to&#x20;an&#x20;NIS&#x20;server&#x20;and&#x20;receive&#x20;the&#x20;distributed&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;ypbind&#x20;:&#x20;#&#x20;zypper&#x20;remove&#x20;ypbind','[{\"cis\": [\"2.3.1\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7039,'Ensure&#x20;IPv4&#x20;forwarding&#x20;is&#x20;disabled','The&#x20;net.ipv4.ip_forward&#x20;flag&#x20;is&#x20;used&#x20;to&#x20;tell&#x20;the&#x20;system&#x20;whether&#x20;it&#x20;can&#x20;forward&#x20;packets&#x20;or&#x20;not.','Setting&#x20;the&#x20;flag&#x20;to&#x20;0&#x20;ensures&#x20;that&#x20;a&#x20;system&#x20;with&#x20;multiple&#x20;interfaces&#x20;&#40;for&#x20;example,&#x20;a&#x20;hard&#x20;proxy&#41;,&#x20;will&#x20;never&#x20;be&#x20;able&#x20;to&#x20;forward&#x20;packets,&#x20;and&#x20;therefore,&#x20;never&#x20;serve&#x20;as&#x20;a&#x20;router.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.ip_forward&#x20;=&#x20;0.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.ip_forward=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.1.1\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7040,'Ensure&#x20;packet&#x20;redirect&#x20;sending&#x20;is&#x20;disabled','ICMP&#x20;Redirects&#x20;are&#x20;used&#x20;to&#x20;send&#x20;routing&#x20;information&#x20;to&#x20;other&#x20;hosts.&#x20;As&#x20;a&#x20;host&#x20;itself&#x20;does&#x20;not&#x20;act&#x20;as&#x20;a&#x20;router&#x20;&#40;in&#x20;a&#x20;host&#x20;only&#x20;configuration&#41;,&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;send&#x20;redirects.','An&#x20;attacker&#x20;could&#x20;use&#x20;a&#x20;compromised&#x20;host&#x20;to&#x20;send&#x20;invalid&#x20;ICMP&#x20;redirects&#x20;to&#x20;other&#x20;router&#x20;devices&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;corrupt&#x20;routing&#x20;and&#x20;have&#x20;users&#x20;access&#x20;a&#x20;system&#x20;set&#x20;up&#x20;by&#x20;the&#x20;attacker&#x20;as&#x20;opposed&#x20;to&#x20;a&#x20;valid&#x20;system.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.send_redirects&#x20;=&#x20;0&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.send_redirects&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.send_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.send_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.1.2\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7041,'Ensure&#x20;source&#x20;routed&#x20;packets&#x20;are&#x20;not&#x20;accepted','In&#x20;networking,&#x20;source&#x20;routing&#x20;allows&#x20;a&#x20;sender&#x20;to&#x20;partially&#x20;or&#x20;fully&#x20;specify&#x20;the&#x20;route&#x20;packets&#x20;take&#x20;through&#x20;a&#x20;network.&#x20;In&#x20;contrast,&#x20;non-source&#x20;routed&#x20;packets&#x20;travel&#x20;a&#x20;path&#x20;determined&#x20;by&#x20;routers&#x20;in&#x20;the&#x20;network.&#x20;In&#x20;some&#x20;cases,&#x20;systems&#x20;may&#x20;not&#x20;be&#x20;routable&#x20;or&#x20;reachable&#x20;from&#x20;some&#x20;locations&#x20;&#40;e.g.&#x20;private&#x20;addresses&#x20;vs.&#x20;Internet&#x20;routable&#41;,&#x20;and&#x20;so&#x20;source&#x20;routed&#x20;packets&#x20;would&#x20;need&#x20;to&#x20;be&#x20;used.','Setting&#x20;net.ipv4.conf.all.accept_source_route&#x20;and&#x20;net.ipv4.conf.default.accept_source_route&#x20;to&#x20;0&#x20;disables&#x20;the&#x20;system&#x20;from&#x20;accepting&#x20;source&#x20;routed&#x20;packets.&#x20;Assume&#x20;this&#x20;system&#x20;was&#x20;capable&#x20;of&#x20;routing&#x20;packets&#x20;to&#x20;Internet&#x20;routable&#x20;addresses&#x20;on&#x20;one&#x20;interface&#x20;and&#x20;private&#x20;addresses&#x20;on&#x20;another&#x20;interface.&#x20;Assume&#x20;that&#x20;the&#x20;private&#x20;addresses&#x20;were&#x20;not&#x20;routable&#x20;to&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;and&#x20;vice&#x20;versa.&#x20;Under&#x20;normal&#x20;routing&#x20;circumstances,&#x20;an&#x20;attacker&#x20;from&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;could&#x20;not&#x20;use&#x20;the&#x20;system&#x20;as&#x20;a&#x20;way&#x20;to&#x20;reach&#x20;the&#x20;private&#x20;address&#x20;systems.&#x20;If,&#x20;however,&#x20;source&#x20;routed&#x20;packets&#x20;were&#x20;allowed,&#x20;they&#x20;could&#x20;be&#x20;used&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;private&#x20;address&#x20;systems&#x20;as&#x20;the&#x20;route&#x20;could&#x20;be&#x20;specified,&#x20;rather&#x20;than&#x20;rely&#x20;on&#x20;routing&#x20;protocols&#x20;that&#x20;did&#x20;not&#x20;allow&#x20;this&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_source_route&#x20;=&#x20;0&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.accept_source_route&#x20;=&#x20;0.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.1\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7042,'Ensure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','ICMP&#x20;redirect&#x20;messages&#x20;are&#x20;packets&#x20;that&#x20;convey&#x20;routing&#x20;information&#x20;and&#x20;tell&#x20;your&#x20;host&#x20;&#40;acting&#x20;as&#x20;a&#x20;router&#41;&#x20;to&#x20;send&#x20;packets&#x20;via&#x20;an&#x20;alternate&#x20;path.&#x20;It&#x20;is&#x20;a&#x20;way&#x20;of&#x20;allowing&#x20;an&#x20;outside&#x20;routing&#x20;device&#x20;to&#x20;update&#x20;your&#x20;system&#x20;routing&#x20;tables.&#x20;By&#x20;setting&#x20;net.ipv4.conf.all.accept_redirects&#x20;to&#x20;0,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;accept&#x20;any&#x20;ICMP&#x20;redirect&#x20;messages,&#x20;and&#x20;therefore,&#x20;won&#039;t&#x20;allow&#x20;outsiders&#x20;to&#x20;update&#x20;the&#x20;system&#039;s&#x20;routing&#x20;tables.','Attackers&#x20;could&#x20;use&#x20;bogus&#x20;ICMP&#x20;redirect&#x20;messages&#x20;to&#x20;maliciously&#x20;alter&#x20;the&#x20;system&#x20;routing&#x20;tables&#x20;and&#x20;get&#x20;them&#x20;to&#x20;send&#x20;packets&#x20;to&#x20;incorrect&#x20;networks&#x20;and&#x20;allow&#x20;your&#x20;system&#x20;packets&#x20;to&#x20;be&#x20;captured.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_redirects&#x20;=&#x20;0&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.accept_redirects&#x20;=&#x20;0.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1.','[{\"cis\": [\"3.2.2\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7043,'Ensure&#x20;secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','Secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;the&#x20;same&#x20;as&#x20;ICMP&#x20;redirects,&#x20;except&#x20;they&#x20;come&#x20;from&#x20;gateways&#x20;listed&#x20;on&#x20;the&#x20;default&#x20;gateway&#x20;list.&#x20;It&#x20;is&#x20;assumed&#x20;that&#x20;these&#x20;gateways&#x20;are&#x20;known&#x20;to&#x20;your&#x20;system,&#x20;and&#x20;that&#x20;they&#x20;are&#x20;likely&#x20;to&#x20;be&#x20;secure.','It&#x20;is&#x20;still&#x20;possible&#x20;for&#x20;even&#x20;known&#x20;gateways&#x20;to&#x20;be&#x20;compromised.&#x20;Setting&#x20;net.ipv4.conf.all.secure_redirects&#x20;to&#x20;0&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;routing&#x20;table&#x20;updates&#x20;by&#x20;possibly&#x20;compromised&#x20;known&#x20;gateways.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.secure_redirects&#x20;=&#x20;0&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.secure_redirects&#x20;=&#x20;0.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.secure_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.secure_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1.','[{\"cis\": [\"3.2.3\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7044,'Ensure&#x20;suspicious&#x20;packets&#x20;are&#x20;logged','When&#x20;enabled,&#x20;this&#x20;feature&#x20;logs&#x20;packets&#x20;with&#x20;un-routable&#x20;source&#x20;addresses&#x20;to&#x20;the&#x20;kernel&#x20;log.','Enabling&#x20;this&#x20;feature&#x20;and&#x20;logging&#x20;these&#x20;packets&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;investigate&#x20;the&#x20;possibility&#x20;that&#x20;an&#x20;attacker&#x20;is&#x20;sending&#x20;spoofed&#x20;packets&#x20;to&#x20;their&#x20;system.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.log_martians&#x20;=&#x20;1&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.log_martians&#x20;=&#x20;1.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.log_martians=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.log_martians=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1.','[{\"cis\": [\"3.2.4\"]}, {\"cis_csc\": [\"6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7045,'Ensure&#x20;broadcast&#x20;ICMP&#x20;requests&#x20;are&#x20;ignored','Setting&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;to&#x20;1&#x20;will&#x20;cause&#x20;the&#x20;system&#x20;to&#x20;ignore&#x20;all&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;to&#x20;broadcast&#x20;and&#x20;multicast&#x20;addresses.','Accepting&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;with&#x20;broadcast&#x20;or&#x20;multicast&#x20;destinations&#x20;for&#x20;your&#x20;network&#x20;could&#x20;be&#x20;used&#x20;to&#x20;trick&#x20;your&#x20;host&#x20;into&#x20;starting&#x20;&#40;or&#x20;participating&#41;&#x20;in&#x20;a&#x20;Smurf&#x20;attack.&#x20;A&#x20;Smurf&#x20;attack&#x20;relies&#x20;on&#x20;an&#x20;attacker&#x20;sending&#x20;large&#x20;amounts&#x20;of&#x20;ICMP&#x20;broadcast&#x20;messages&#x20;with&#x20;a&#x20;spoofed&#x20;source&#x20;address.&#x20;All&#x20;hosts&#x20;receiving&#x20;this&#x20;message&#x20;and&#x20;responding&#x20;would&#x20;send&#x20;echo-reply&#x20;messages&#x20;back&#x20;to&#x20;the&#x20;spoofed&#x20;address,&#x20;which&#x20;is&#x20;probably&#x20;not&#x20;routable.&#x20;If&#x20;many&#x20;hosts&#x20;respond&#x20;to&#x20;the&#x20;packets,&#x20;the&#x20;amount&#x20;of&#x20;traffic&#x20;on&#x20;the&#x20;network&#x20;could&#x20;be&#x20;significantly&#x20;multiplied.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;=&#x20;1&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_echo_ignore_broadcasts=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1.','[{\"cis\": [\"3.2.5\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7046,'Ensure&#x20;bogus&#x20;ICMP&#x20;responses&#x20;are&#x20;ignored','Setting&#x20;icmp_ignore_bogus_error_responses&#x20;to&#x20;1&#x20;prevents&#x20;the&#x20;kernel&#x20;from&#x20;logging&#x20;bogus&#x20;responses&#x20;&#40;RFC-1122&#x20;non-compliant&#41;&#x20;from&#x20;broadcast&#x20;reframes,&#x20;keeping&#x20;file&#x20;systems&#x20;from&#x20;filling&#x20;up&#x20;with&#x20;useless&#x20;log&#x20;messages.','Some&#x20;routers&#x20;&#40;and&#x20;some&#x20;attackers&#41;&#x20;will&#x20;send&#x20;responses&#x20;that&#x20;violate&#x20;RFC-1122&#x20;and&#x20;attempt&#x20;to&#x20;fill&#x20;up&#x20;a&#x20;log&#x20;file&#x20;system&#x20;with&#x20;many&#x20;useless&#x20;error&#x20;messages.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.icmp_ignore_bogus_error_responses&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_ignore_bogus_error_responses=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1.','[{\"cis\": [\"3.2.6\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7047,'Ensure&#x20;Reverse&#x20;Path&#x20;Filtering&#x20;is&#x20;enabled','Setting&#x20;net.ipv4.conf.all.rp_filter&#x20;and&#x20;net.ipv4.conf.default.rp_filter&#x20;to&#x20;1&#x20;forces&#x20;the&#x20;Linux&#x20;kernel&#x20;to&#x20;utilize&#x20;reverse&#x20;path&#x20;filtering&#x20;on&#x20;a&#x20;received&#x20;packet&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;packet&#x20;was&#x20;valid.&#x20;Essentially,&#x20;with&#x20;reverse&#x20;path&#x20;filtering,&#x20;if&#x20;the&#x20;return&#x20;packet&#x20;does&#x20;not&#x20;go&#x20;out&#x20;the&#x20;same&#x20;interface&#x20;that&#x20;the&#x20;corresponding&#x20;source&#x20;packet&#x20;came&#x20;from,&#x20;the&#x20;packet&#x20;is&#x20;dropped&#x20;&#40;and&#x20;logged&#x20;if&#x20;log_martians&#x20;is&#x20;set&#41;.','Setting&#x20;these&#x20;flags&#x20;is&#x20;a&#x20;good&#x20;way&#x20;to&#x20;deter&#x20;attackers&#x20;from&#x20;sending&#x20;your&#x20;system&#x20;bogus&#x20;packets&#x20;that&#x20;cannot&#x20;be&#x20;responded&#x20;to.&#x20;One&#x20;instance&#x20;where&#x20;this&#x20;feature&#x20;breaks&#x20;down&#x20;is&#x20;if&#x20;asymmetrical&#x20;routing&#x20;is&#x20;employed.&#x20;This&#x20;would&#x20;occur&#x20;when&#x20;using&#x20;dynamic&#x20;routing&#x20;protocols&#x20;&#40;bgp,&#x20;ospf,&#x20;etc&#41;&#x20;on&#x20;your&#x20;system.&#x20;If&#x20;you&#x20;are&#x20;using&#x20;asymmetrical&#x20;routing&#x20;on&#x20;your&#x20;system,&#x20;you&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;enable&#x20;this&#x20;feature&#x20;without&#x20;breaking&#x20;the&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.rp_filter&#x20;=&#x20;1&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.rp_filter&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.rp_filter=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.rp_filter=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.7\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7048,'Ensure&#x20;TCP&#x20;SYN&#x20;Cookies&#x20;is&#x20;enabled','When&#x20;tcp_syncookies&#x20;is&#x20;set,&#x20;the&#x20;kernel&#x20;will&#x20;handle&#x20;TCP&#x20;SYN&#x20;packets&#x20;normally&#x20;until&#x20;the&#x20;half-open&#x20;connection&#x20;queue&#x20;is&#x20;full,&#x20;at&#x20;which&#x20;time,&#x20;the&#x20;SYN&#x20;cookie&#x20;functionality&#x20;kicks&#x20;in.&#x20;SYN&#x20;cookies&#x20;work&#x20;by&#x20;not&#x20;using&#x20;the&#x20;SYN&#x20;queue&#x20;at&#x20;all.&#x20;Instead,&#x20;the&#x20;kernel&#x20;simply&#x20;replies&#x20;to&#x20;the&#x20;SYN&#x20;with&#x20;a&#x20;SYN|ACK,&#x20;but&#x20;will&#x20;include&#x20;a&#x20;specially&#x20;crafted&#x20;TCP&#x20;sequence&#x20;number&#x20;that&#x20;encodes&#x20;the&#x20;source&#x20;and&#x20;destination&#x20;IP&#x20;address&#x20;and&#x20;port&#x20;number&#x20;and&#x20;the&#x20;time&#x20;the&#x20;packet&#x20;was&#x20;sent.&#x20;A&#x20;legitimate&#x20;connection&#x20;would&#x20;send&#x20;the&#x20;ACK&#x20;packet&#x20;of&#x20;the&#x20;three&#x20;way&#x20;handshake&#x20;with&#x20;the&#x20;specially&#x20;crafted&#x20;sequence&#x20;number.&#x20;This&#x20;allows&#x20;the&#x20;system&#x20;to&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;received&#x20;a&#x20;valid&#x20;response&#x20;to&#x20;a&#x20;SYN&#x20;cookie&#x20;and&#x20;allow&#x20;the&#x20;connection,&#x20;even&#x20;though&#x20;there&#x20;is&#x20;no&#x20;corresponding&#x20;SYN&#x20;in&#x20;the&#x20;queue.','Attackers&#x20;use&#x20;SYN&#x20;flood&#x20;attacks&#x20;to&#x20;perform&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attacked&#x20;on&#x20;a&#x20;system&#x20;by&#x20;sending&#x20;many&#x20;SYN&#x20;packets&#x20;without&#x20;completing&#x20;the&#x20;three&#x20;way&#x20;handshake.&#x20;This&#x20;will&#x20;quickly&#x20;use&#x20;up&#x20;slots&#x20;in&#x20;the&#x20;kernel&#039;s&#x20;half-open&#x20;connection&#x20;queue&#x20;and&#x20;prevent&#x20;legitimate&#x20;connections&#x20;from&#x20;succeeding.&#x20;SYN&#x20;cookies&#x20;allow&#x20;the&#x20;system&#x20;to&#x20;keep&#x20;accepting&#x20;valid&#x20;connections,&#x20;even&#x20;if&#x20;under&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attack.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.tcp_syncookies&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.tcp_syncookies=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.8\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7049,'Ensure&#x20;SSH&#x20;Protocol&#x20;is&#x20;set&#x20;to&#x20;2','SSH&#x20;supports&#x20;two&#x20;different&#x20;and&#x20;incompatible&#x20;protocols:&#x20;SSH1&#x20;and&#x20;SSH2.&#x20;SSH1&#x20;was&#x20;the&#x20;original&#x20;protocol&#x20;and&#x20;was&#x20;subject&#x20;to&#x20;security&#x20;issues.&#x20;SSH2&#x20;is&#x20;more&#x20;advanced&#x20;and&#x20;secure.','SSH&#x20;v1&#x20;suffers&#x20;from&#x20;insecurities&#x20;that&#x20;do&#x20;not&#x20;affect&#x20;SSH&#x20;v2.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Protocol&#x20;2','[{\"cis\": [\"5.2.2\"]}, {\"cis_csc\": [\"3.4\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(7050,'Ensure&#x20;SSH&#x20;LogLevel&#x20;is&#x20;set&#x20;to&#x20;INFO','The&#x20;INFO&#x20;parameter&#x20;specifies&#x20;that&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;will&#x20;be&#x20;logged.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.&#x20;INFO&#x20;level&#x20;is&#x20;the&#x20;basic&#x20;level&#x20;that&#x20;only&#x20;records&#x20;login&#x20;activity&#x20;of&#x20;SSH&#x20;users.&#x20;In&#x20;many&#x20;situations,&#x20;such&#x20;as&#x20;Incident&#x20;Response,&#x20;it&#x20;is&#x20;important&#x20;to&#x20;determine&#x20;when&#x20;a&#x20;particular&#x20;user&#x20;was&#x20;active&#x20;on&#x20;a&#x20;system.&#x20;The&#x20;logout&#x20;record&#x20;can&#x20;eliminate&#x20;those&#x20;users&#x20;who&#x20;disconnected,&#x20;which&#x20;helps&#x20;narrow&#x20;the&#x20;field.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;INFO','[{\"cis\": [\"5.2.3\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(7051,'Ensure&#x20;SSH&#x20;MaxAuthTries&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4','[{\"cis\": [\"5.2.5\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7052,'Ensure&#x20;SSH&#x20;IgnoreRhosts&#x20;is&#x20;enabled','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthentication&#x20;or&#x20;HostbasedAuthentication.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;ssh.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;IgnoreRhosts&#x20;yes','[{\"cis\": [\"5.2.6\"]}, {\"cis_csc\": [\"9\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(7053,'Ensure&#x20;SSH&#x20;HostbasedAuthentication&#x20;is&#x20;disabled','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts&#x20;,&#x20;or&#x20;/etc/hosts.equiv&#x20;,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.&#x20;This&#x20;option&#x20;only&#x20;applies&#x20;to&#x20;SSH&#x20;Protocol&#x20;Version&#x20;2.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc\": [\"9\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(7054,'Ensure&#x20;SSH&#x20;root&#x20;login&#x20;is&#x20;disabled','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;ssh&#40;1&#41;.&#x20;The&#x20;default&#x20;is&#x20;no.','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;ssh&#40;1&#41;.&#x20;The&#x20;default&#x20;is&#x20;no.&#x20;&#x20;Rationale:&#x20;Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;system&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root&#x20;via&#x20;sudo&#x20;or&#x20;su.&#x20;This&#x20;in&#x20;turn&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc\": [\"5.8\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(7055,'Ensure&#x20;SSH&#x20;PermitEmptyPasswords&#x20;is&#x20;disabled','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;SSH&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no','[{\"cis\": [\"5.2.9\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(7056,'Ensure&#x20;root&#x20;is&#x20;the&#x20;only&#x20;UID&#x20;0&#x20;account','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','','Remove&#x20;any&#x20;users&#x20;other&#x20;than&#x20;root&#x20;with&#x20;UID&#x20;0&#x20;or&#x20;assign&#x20;them&#x20;a&#x20;new&#x20;UID&#x20;if&#x20;appropriate.','[{\"cis\": [\"6.2.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(7057,'Ensure&#x20;password&#x20;fields&#x20;are&#x20;not&#x20;empty','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;password,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;account&#x20;until&#x20;it&#x20;can&#x20;be&#x20;determined&#x20;why&#x20;it&#x20;does&#x20;not&#x20;have&#x20;a&#x20;password:&#x20;#&#x20;passwd&#x20;-l&#x20;&lt;username&gt;.&#x20;&#x20;Also,&#x20;check&#x20;to&#x20;see&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;investigate&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.1\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(7500,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/tmp','The&#x20;/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Since&#x20;the&#x20;/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;In&#x20;addition,&#x20;making&#x20;/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hardlink&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hardlink&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/tmp.&#x20;&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;or&#x20;the&#x20;systemd&#x20;tmp.mount&#x20;service&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.2\"]}]'),(7501,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/tmp','[{\"cis\": [\"1.1.3\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7502,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/tmp','[{\"cis\": [\"1.1.4\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7503,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/tmp','[{\"cis\": [\"1.1.5\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7504,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var','The&#x20;/var&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;daemons&#x20;and&#x20;other&#x20;system&#x20;services&#x20;to&#x20;temporarily&#x20;store&#x20;dynamic&#x20;data.&#x20;Some&#x20;directories&#x20;created&#x20;by&#x20;these&#x20;processes&#x20;may&#x20;be&#x20;world-writable.','Since&#x20;the&#x20;/var&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var.&#x20;&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.6\"]}]'),(7505,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log','The&#x20;/var/log&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;system&#x20;services&#x20;to&#x20;store&#x20;log&#x20;data.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;system&#x20;logs&#x20;are&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;logs&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log.&#x20;&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.11\"]}, {\"cis_csc\": [\"6.3\"]}]'),(7506,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log/audit','The&#x20;auditing&#x20;daemon,&#x20;auditd&#x20;,&#x20;stores&#x20;log&#x20;data&#x20;in&#x20;the&#x20;/var/log/audit&#x20;directory.','There&#x20;are&#x20;two&#x20;important&#x20;reasons&#x20;to&#x20;ensure&#x20;that&#x20;data&#x20;gathered&#x20;by&#x20;auditd&#x20;is&#x20;stored&#x20;on&#x20;a&#x20;separate&#x20;partition:&#x20;protection&#x20;against&#x20;resource&#x20;exhaustion&#x20;&#40;since&#x20;the&#x20;audit.log&#x20;file&#x20;can&#x20;grow&#x20;quite&#x20;large&#41;&#x20;and&#x20;protection&#x20;of&#x20;audit&#x20;data.&#x20;The&#x20;audit&#x20;daemon&#x20;calculates&#x20;how&#x20;much&#x20;free&#x20;space&#x20;is&#x20;left&#x20;and&#x20;performs&#x20;actions&#x20;based&#x20;on&#x20;the&#x20;results.&#x20;If&#x20;other&#x20;processes&#x20;&#40;such&#x20;as&#x20;syslog&#x20;&#41;&#x20;consume&#x20;space&#x20;in&#x20;the&#x20;same&#x20;partition&#x20;as&#x20;auditd,&#x20;it&#x20;may&#x20;not&#x20;perform&#x20;as&#x20;desired.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log/audit.&#x20;&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.12\"]}, {\"cis_csc\": [\"6.3\"]}]'),(7507,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/home','The&#x20;/home&#x20;directory&#x20;is&#x20;used&#x20;to&#x20;support&#x20;disk&#x20;storage&#x20;needs&#x20;of&#x20;local&#x20;users.','If&#x20;the&#x20;system&#x20;is&#x20;intended&#x20;to&#x20;support&#x20;local&#x20;users,&#x20;create&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;the&#x20;/home&#x20;directory&#x20;to&#x20;protect&#x20;against&#x20;resource&#x20;exhaustion&#x20;and&#x20;restrict&#x20;the&#x20;type&#x20;of&#x20;files&#x20;that&#x20;can&#x20;be&#x20;stored&#x20;under&#x20;/home.','','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/home.&#x20;&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.13\"]}]'),(7508,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;user&#x20;partitions&#x20;are&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/home&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/home.&#x20;Notes:&#x20;The&#x20;actions&#x20;in&#x20;this&#x20;recommendation&#x20;refer&#x20;to&#x20;the&#x20;/home&#x20;partition,&#x20;which&#x20;is&#x20;the&#x20;default&#x20;user&#x20;partition&#x20;that&#x20;is&#x20;defined.&#x20;If&#x20;you&#x20;have&#x20;created&#x20;other&#x20;user&#x20;partitions,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;Remediation&#x20;and&#x20;Audit&#x20;steps&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;partitions&#x20;as&#x20;well.','[{\"cis\": [\"1.1.14\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7509,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/dev/shm&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;special&#x20;devices&#x20;in&#x20;/dev/shm&#x20;partitions.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nodev&#x20;/dev/shm&#x20;&#x20;&#x20;&#x20;Notes:&#x20;/dev/shm&#x20;is&#x20;not&#x20;specified&#x20;in&#x20;/etc/fstab&#x20;despite&#x20;being&#x20;mounted&#x20;by&#x20;default.&#x20;The&#x20;following&#x20;line&#x20;will&#x20;implement&#x20;the&#x20;recommended&#x20;/dev/shm&#x20;mount&#x20;options&#x20;in&#x20;/etc/fstab:&#x20;tmpfs&#x20;&#x20;/dev/shm&#x20;&#x20;tmpfs&#x20;&#x20;defaults,nodev,nosuid,noexec&#x20;&#x20;0&#x20;0.&#x20;Notes:&#x20;/dev/shm&#x20;is&#x20;not&#x20;specified&#x20;in&#x20;/etc/fstab&#x20;despite&#x20;being&#x20;mounted&#x20;by&#x20;default.&#x20;The&#x20;following&#x20;line&#x20;will&#x20;implement&#x20;the&#x20;recommended&#x20;/dev/shm&#x20;mount&#x20;options&#x20;in&#x20;/etc/fstab:&#x20;tmpfs&#x20;&#x20;/dev/shm&#x20;&#x20;tmpfs&#x20;&#x20;defaults,nodev,nosuid,noexec&#x20;&#x20;0&#x20;0','[{\"cis\": [\"1.1.15\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7510,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;introducing&#x20;privileged&#x20;programs&#x20;onto&#x20;the&#x20;system&#x20;and&#x20;allowing&#x20;non-root&#x20;users&#x20;to&#x20;execute&#x20;them.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,nosuid&#x20;/dev/shm&#x20;&#x20;&#x20;&#x20;Notes:&#x20;/dev/shm&#x20;is&#x20;not&#x20;specified&#x20;in&#x20;/etc/fstab&#x20;despite&#x20;being&#x20;mounted&#x20;by&#x20;default.&#x20;The&#x20;following&#x20;line&#x20;will&#x20;implement&#x20;the&#x20;recommended&#x20;/dev/shm&#x20;mount&#x20;options&#x20;in&#x20;/etc/fstab:&#x20;tmpfs&#x20;&#x20;/dev/shm&#x20;&#x20;tmpfs&#x20;&#x20;defaults,nodev,nosuid,noexec&#x20;&#x20;0&#x20;0.&#x20;Notes:&#x20;/dev/shm&#x20;is&#x20;not&#x20;specified&#x20;in&#x20;/etc/fstab&#x20;despite&#x20;being&#x20;mounted&#x20;by&#x20;default.&#x20;The&#x20;following&#x20;line&#x20;will&#x20;implement&#x20;the&#x20;recommended&#x20;/dev/shm&#x20;mount&#x20;options&#x20;in&#x20;/etc/fstab:&#x20;tmpfs&#x20;&#x20;/dev/shm&#x20;&#x20;tmpfs&#x20;&#x20;defaults,nodev,nosuid,noexec&#x20;&#x20;0&#x20;0','[{\"cis\": [\"1.1.16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7511,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;executing&#x20;programs&#x20;from&#x20;shared&#x20;memory.&#x20;This&#x20;deters&#x20;users&#x20;from&#x20;introducing&#x20;potentially&#x20;malicious&#x20;software&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm&#x20;:&#x20;#&#x20;mount&#x20;-o&#x20;remount,noexec&#x20;/dev/shm&#x20;&#x20;&#x20;&#x20;Notes:&#x20;/dev/shm&#x20;is&#x20;not&#x20;specified&#x20;in&#x20;/etc/fstab&#x20;despite&#x20;being&#x20;mounted&#x20;by&#x20;default.&#x20;The&#x20;following&#x20;line&#x20;will&#x20;implement&#x20;the&#x20;recommended&#x20;/dev/shm&#x20;mount&#x20;options&#x20;in&#x20;/etc/fstab:&#x20;tmpfs&#x20;&#x20;/dev/shm&#x20;&#x20;tmpfs&#x20;&#x20;defaults,nodev,nosuid,noexec&#x20;&#x20;0&#x20;0.&#x20;Notes:&#x20;/dev/shm&#x20;is&#x20;not&#x20;specified&#x20;in&#x20;/etc/fstab&#x20;despite&#x20;being&#x20;mounted&#x20;by&#x20;default.&#x20;The&#x20;following&#x20;line&#x20;will&#x20;implement&#x20;the&#x20;recommended&#x20;/dev/shm&#x20;mount&#x20;options&#x20;in&#x20;/etc/fstab:&#x20;tmpfs&#x20;&#x20;/dev/shm&#x20;&#x20;tmpfs&#x20;&#x20;defaults,nodev,nosuid,noexec&#x20;&#x20;0&#x20;0','[{\"cis\": [\"1.1.17\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7512,'Ensure&#x20;core&#x20;dumps&#x20;are&#x20;restricted','A&#x20;core&#x20;dump&#x20;is&#x20;the&#x20;memory&#x20;of&#x20;an&#x20;executable&#x20;program.&#x20;It&#x20;is&#x20;generally&#x20;used&#x20;to&#x20;determine&#x20;why&#x20;a&#x20;program&#x20;aborted.&#x20;It&#x20;can&#x20;also&#x20;be&#x20;used&#x20;to&#x20;glean&#x20;confidential&#x20;information&#x20;from&#x20;a&#x20;core&#x20;file.&#x20;The&#x20;system&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;a&#x20;soft&#x20;limit&#x20;for&#x20;core&#x20;dumps,&#x20;but&#x20;this&#x20;can&#x20;be&#x20;overridden&#x20;by&#x20;the&#x20;user.','Setting&#x20;a&#x20;hard&#x20;limit&#x20;on&#x20;core&#x20;dumps&#x20;prevents&#x20;users&#x20;from&#x20;overriding&#x20;the&#x20;soft&#x20;variable.&#x20;If&#x20;core&#x20;dumps&#x20;are&#x20;required,&#x20;consider&#x20;setting&#x20;limits&#x20;for&#x20;user&#x20;groups&#x20;&#40;see&#x20;limits.conf&#40;5&#41;&#x20;&#41;.&#x20;In&#x20;addition,&#x20;setting&#x20;the&#x20;fs.suid_dumpable&#x20;variable&#x20;to&#x20;0&#x20;will&#x20;prevent&#x20;setuid&#x20;programs&#x20;from&#x20;dumping&#x20;core.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;/etc/security/limits.conf&#x20;or&#x20;a&#x20;/etc/security/limits.d&#47;&#42;&#x20;file:&#x20;*&#x20;hard&#x20;core&#x20;0.&#x20;&#x20;Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:fs.suid_dumpable&#x20;=&#x20;0.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;fs.suid_dumpable=0','[{\"cis\": [\"1.5.1\"]}, {\"cis_csc\": [\"13\"]}]'),(7513,'Ensure&#x20;address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;enabled','Address&#x20;space&#x20;layout&#x20;randomization&#x20;&#40;ASLR&#41;&#x20;is&#x20;an&#x20;exploit&#x20;mitigation&#x20;technique&#x20;which&#x20;randomly&#x20;arranges&#x20;the&#x20;address&#x20;space&#x20;of&#x20;key&#x20;data&#x20;areas&#x20;of&#x20;a&#x20;process.','Randomly&#x20;placing&#x20;virtual&#x20;memory&#x20;regions&#x20;will&#x20;make&#x20;it&#x20;difficult&#x20;to&#x20;write&#x20;memory&#x20;page&#x20;exploits&#x20;as&#x20;the&#x20;memory&#x20;placement&#x20;will&#x20;be&#x20;consistently&#x20;shifting.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;kernel.randomize_va_space&#x20;=&#x20;2.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;kernel.randomize_va_space=2','[{\"cis\": [\"1.5.3\"]}, {\"cis_csc\": [\"8.4\"]}]'),(7514,'Ensure&#x20;chargen&#x20;services&#x20;are&#x20;not&#x20;enabled','chargen&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;with&#x20;0&#x20;to&#x20;512&#x20;ASCII&#x20;characters&#x20;for&#x20;each&#x20;connection&#x20;it&#x20;receives.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;chargen&#x20;and&#x20;chargen-udp&#x20;:&#x20;#&#x20;chkconfig&#x20;chargen&#x20;off&#x20;#&#x20;chkconfig&#x20;chargen-udp&#x20;off','[{\"cis\": [\"2.1.1\"]}, {\"cis_csc\": [\"9.1\"]}]'),(7515,'Ensure&#x20;daytime&#x20;services&#x20;are&#x20;not&#x20;enabled','daytime&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;with&#x20;the&#x20;server&#039;s&#x20;current&#x20;date&#x20;and&#x20;time.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;daytime&#x20;and&#x20;daytime-udp:&#x20;#&#x20;chkconfig&#x20;daytime&#x20;off&#x20;#&#x20;chkconfig&#x20;daytime-udp&#x20;off','[{\"cis\": [\"2.1.2\"]}, {\"cis_csc\": [\"9.1\"]}]'),(7516,'Ensure&#x20;discard&#x20;services&#x20;are&#x20;not&#x20;enabled','discard&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;simply&#x20;discards&#x20;all&#x20;data&#x20;it&#x20;receives.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;discard&#x20;and&#x20;discard-udp:&#x20;#&#x20;chkconfig&#x20;discard&#x20;off&#x20;#&#x20;chkconfig&#x20;discard-udp&#x20;off','[{\"cis\": [\"2.1.3\"]}, {\"cis_csc\": [\"9.1\"]}]'),(7517,'Ensure&#x20;echo&#x20;services&#x20;are&#x20;not&#x20;enabled','echo&#x20;is&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;to&#x20;clients&#x20;with&#x20;the&#x20;data&#x20;sent&#x20;to&#x20;it&#x20;by&#x20;the&#x20;client.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;echo&#x20;and&#x20;echo-udp:&#x20;#&#x20;chkconfig&#x20;echo&#x20;off&#x20;#&#x20;chkconfig&#x20;echo-udp&#x20;off','[{\"cis\": [\"2.1.4\"]}, {\"cis_csc\": [\"9.1\"]}]'),(7518,'Ensure&#x20;time&#x20;services&#x20;are&#x20;not&#x20;enabled','timeis&#x20;a&#x20;network&#x20;service&#x20;that&#x20;responds&#x20;with&#x20;the&#x20;server&#039;s&#x20;current&#x20;date&#x20;and&#x20;time&#x20;as&#x20;a&#x20;32&#x20;bit&#x20;integer.&#x20;This&#x20;service&#x20;is&#x20;intended&#x20;for&#x20;debugging&#x20;and&#x20;testing&#x20;purposes.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled.','Disabling&#x20;this&#x20;service&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;time&#x20;and&#x20;time-udp:&#x20;#&#x20;chkconfig&#x20;time&#x20;off&#x20;#&#x20;chkconfig&#x20;time-udp&#x20;off','[{\"cis\": [\"2.1.5\"]}, {\"cis_csc\": [\"9.1\"]}]'),(7519,'Ensure&#x20;rsh&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;Berkeley&#x20;rsh-server&#x20;&#40;rsh,&#x20;rlogin,&#x20;rexec&#41;&#x20;package&#x20;contains&#x20;legacy&#x20;services&#x20;that&#x20;exchange&#x20;credentials&#x20;in&#x20;clear-text.','These&#x20;legacy&#x20;services&#x20;contain&#x20;numerous&#x20;security&#x20;exposures&#x20;and&#x20;have&#x20;been&#x20;replaced&#x20;with&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;package.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;rsh&#x20;,&#x20;rlogin&#x20;,&#x20;and&#x20;rexec&#x20;:&#x20;#&#x20;chkconfig&#x20;rexec&#x20;off&#x20;#&#x20;chkconfig&#x20;rlogin&#x20;off&#x20;#&#x20;chkconfig&#x20;rsh&#x20;off','[{\"cis\": [\"2.1.6\"]}, {\"cis_csc\": [\"3.4\", \"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7520,'Ensure&#x20;talk&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;talk&#x20;software&#x20;makes&#x20;it&#x20;possible&#x20;for&#x20;users&#x20;to&#x20;send&#x20;and&#x20;receive&#x20;messages&#x20;across&#x20;systems&#x20;through&#x20;a&#x20;terminal&#x20;session.&#x20;The&#x20;talk&#x20;client&#x20;&#40;allows&#x20;initiate&#x20;of&#x20;talk&#x20;sessions&#41;&#x20;is&#x20;installed&#x20;by&#x20;default.','The&#x20;software&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;talk:&#x20;#&#x20;chkconfig&#x20;talk&#x20;off','[{\"cis\": [\"2.1.7\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7521,'Ensure&#x20;telnet&#x20;server&#x20;is&#x20;not&#x20;enabled','The&#x20;telnet-server&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;daemon,&#x20;which&#x20;accepts&#x20;connections&#x20;from&#x20;users&#x20;from&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;a&#x20;user&#x20;with&#x20;access&#x20;to&#x20;sniff&#x20;network&#x20;traffic&#x20;the&#x20;ability&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;telnet:&#x20;#&#x20;chkconfig&#x20;telnet&#x20;off','[{\"cis\": [\"2.1.8\"]}, {\"cis_csc\": [\"3.4\", \"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7522,'Ensure&#x20;tftp&#x20;server&#x20;is&#x20;not&#x20;enabled','Trivial&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;TFTP&#41;&#x20;is&#x20;a&#x20;simple&#x20;file&#x20;transfer&#x20;protocol,&#x20;typically&#x20;used&#x20;to&#x20;automatically&#x20;transfer&#x20;configuration&#x20;or&#x20;boot&#x20;machines&#x20;from&#x20;a&#x20;boot&#x20;server.&#x20;The&#x20;package&#x20;atftp&#x20;is&#x20;used&#x20;to&#x20;define&#x20;and&#x20;support&#x20;a&#x20;TFTP&#x20;server.','TFTP&#x20;does&#x20;not&#x20;support&#x20;authentication&#x20;nor&#x20;does&#x20;it&#x20;ensure&#x20;the&#x20;confidentiality&#x20;or&#x20;integrity&#x20;of&#x20;data.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;TFTP&#x20;be&#x20;removed,&#x20;unless&#x20;there&#x20;is&#x20;a&#x20;specific&#x20;need&#x20;for&#x20;TFTP.&#x20;In&#x20;that&#x20;case,&#x20;extreme&#x20;caution&#x20;must&#x20;be&#x20;used&#x20;when&#x20;configuring&#x20;the&#x20;services.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;tftp:&#x20;#&#x20;systemctl&#x20;disable&#x20;atftpd','[{\"cis\": [\"2.1.9\", \"2.2.17\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7523,'Ensure&#x20;rsync&#x20;service&#x20;is&#x20;not&#x20;enabled','The&#x20;rsyncd&#x20;service&#x20;can&#x20;be&#x20;used&#x20;to&#x20;synchronize&#x20;files&#x20;between&#x20;systems&#x20;over&#x20;network&#x20;links.','The&#x20;rsyncd&#x20;service&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;rsyncd:&#x20;#&#x20;systemctl&#x20;disable&#x20;rsyncd','[{\"cis\": [\"2.1.10\", \"2.2.18\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7524,'Ensure&#x20;xinetd&#x20;is&#x20;not&#x20;enabled','The&#x20;eXtended&#x20;InterNET&#x20;Daemon&#x20;&#40;&#x20;xinetd&#x20;&#41;&#x20;is&#x20;an&#x20;open&#x20;source&#x20;super&#x20;daemon&#x20;that&#x20;replaced&#x20;the&#x20;original&#x20;inetd&#x20;daemon.&#x20;The&#x20;xinetd&#x20;daemon&#x20;listens&#x20;for&#x20;well&#x20;known&#x20;services&#x20;and&#x20;dispatches&#x20;the&#x20;appropriate&#x20;daemon&#x20;to&#x20;properly&#x20;respond&#x20;to&#x20;service&#x20;requests.','If&#x20;there&#x20;are&#x20;no&#x20;xinetd&#x20;services&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;daemon&#x20;be&#x20;disabled.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;xinetd&#x20;:&#x20;#&#x20;systemctl&#x20;disable&#x20;xinetd','[{\"cis\": [\"2.1.11\"]}, {\"cis_csc\": [\"9.1\"]}]'),(7525,'Ensure&#x20;ntp&#x20;is&#x20;configured','ntp&#x20;is&#x20;a&#x20;daemon&#x20;which&#x20;implements&#x20;the&#x20;Network&#x20;Time&#x20;Protocol&#x20;&#40;NTP&#41;.&#x20;It&#x20;is&#x20;designed&#x20;to&#x20;synchronize&#x20;system&#x20;clocks&#x20;across&#x20;a&#x20;variety&#x20;of&#x20;systems&#x20;and&#x20;use&#x20;a&#x20;source&#x20;that&#x20;is&#x20;highly&#x20;accurate.&#x20;More&#x20;information&#x20;on&#x20;NTP&#x20;can&#x20;be&#x20;found&#x20;at&#x20;https://tools.ietf.org/html/rfc958.&#x20;ntp&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;client&#x20;and/or&#x20;a&#x20;server.&#x20;&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system.','If&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;working&#x20;properly.','','Add&#x20;or&#x20;edit&#x20;restrict&#x20;lines&#x20;in&#x20;/etc/ntp.conf&#x20;to&#x20;match&#x20;the&#x20;following:&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;limited&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;&#x20;&#x20;&#x20;restrict&#x20;-6&#x20;default&#x20;kod&#x20;limited&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;&#x20;&#x20;&#x20;Add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;to&#x20;/etc/ntp.conf&#x20;as&#x20;appropriate:&#x20;server&#x20;&lt;remote-server&gt;&#x20;&#x20;&#x20;&#x20;Add&#x20;or&#x20;edit&#x20;the&#x20;NTPD_OPTIONS&#x20;in&#x20;/etc/sysconfig/ntp&#x20;to&#x20;include&#x20;&#039;-u&#x20;ntp:ntp&#039;:&#x20;NTPD_OPTIONS=&#039;-u&#x20;ntp:ntp&#039;','[{\"cis\": [\"2.2.1.2\"]}, {\"cis_csc\": [\"6.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7526,'Ensure&#x20;X&#x20;Window&#x20;System&#x20;is&#x20;not&#x20;installed','The&#x20;X&#x20;Window&#x20;System&#x20;provides&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;where&#x20;users&#x20;can&#x20;have&#x20;multiple&#x20;windows&#x20;in&#x20;which&#x20;to&#x20;run&#x20;programs&#x20;and&#x20;various&#x20;add&#x20;on.&#x20;The&#x20;X&#x20;Windows&#x20;system&#x20;is&#x20;typically&#x20;used&#x20;on&#x20;workstations&#x20;where&#x20;users&#x20;login,&#x20;but&#x20;not&#x20;on&#x20;servers&#x20;where&#x20;users&#x20;typically&#x20;do&#x20;not&#x20;login.','Unless&#x20;your&#x20;organization&#x20;specifically&#x20;requires&#x20;graphical&#x20;login&#x20;access&#x20;via&#x20;X&#x20;Windows,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;X&#x20;Windows&#x20;System&#x20;packages:&#x20;#&#x20;zypper&#x20;remove&#x20;xorg-x11*','[{\"cis\": [\"2.2.2\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7527,'Ensure&#x20;Avahi&#x20;Server&#x20;is&#x20;not&#x20;enabled','Avahi&#x20;is&#x20;a&#x20;free&#x20;zeroconf&#x20;implementation,&#x20;including&#x20;a&#x20;system&#x20;for&#x20;multicast&#x20;DNS/DNS-SD&#x20;service&#x20;discovery.&#x20;Avahi&#x20;allows&#x20;programs&#x20;to&#x20;publish&#x20;and&#x20;discover&#x20;services&#x20;and&#x20;hosts&#x20;running&#x20;on&#x20;a&#x20;local&#x20;network&#x20;with&#x20;no&#x20;specific&#x20;configuration.&#x20;For&#x20;example,&#x20;a&#x20;user&#x20;can&#x20;plug&#x20;a&#x20;computer&#x20;into&#x20;a&#x20;network&#x20;and&#x20;Avahi&#x20;automatically&#x20;finds&#x20;printers&#x20;to&#x20;print&#x20;to,&#x20;files&#x20;to&#x20;look&#x20;at&#x20;and&#x20;people&#x20;to&#x20;talk&#x20;to,&#x20;as&#x20;well&#x20;as&#x20;network&#x20;services&#x20;running&#x20;on&#x20;the&#x20;machine.','Automatic&#x20;discovery&#x20;of&#x20;network&#x20;services&#x20;is&#x20;not&#x20;normally&#x20;required&#x20;for&#x20;system&#x20;functionality.&#x20;&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;disable&#x20;the&#x20;service&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;avahi-daemon&#x20;:&#x20;#&#x20;systemctl&#x20;disable&#x20;avahi-daemon','[{\"cis\": [\"2.2.3\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7528,'Ensure&#x20;DHCP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Dynamic&#x20;Host&#x20;Configuration&#x20;Protocol&#x20;&#40;DHCP&#41;&#x20;is&#x20;a&#x20;service&#x20;that&#x20;allows&#x20;machines&#x20;to&#x20;be&#x20;dynamically&#x20;assigned&#x20;IP&#x20;addresses.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;set&#x20;up&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DHCP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;dhcpd&#x20;:&#x20;#&#x20;systemctl&#x20;disable&#x20;dhcpd','[{\"cis\": [\"2.2.5\"]}, {\"cis_csc\": [\"9.1\"]}]'),(7529,'Ensure&#x20;NFS&#x20;and&#x20;RPC&#x20;are&#x20;not&#x20;enabled','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;export&#x20;NFS&#x20;shares&#x20;or&#x20;act&#x20;as&#x20;an&#x20;NFS&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;these&#x20;services&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;nfs&#x20;and&#x20;rpcbind&#x20;:&#x20;#&#x20;systemctl&#x20;disable&#x20;nfs&#x20;#&#x20;systemctl&#x20;disable&#x20;rpcbind','[{\"cis\": [\"2.2.7\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7530,'Ensure&#x20;DNS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Domain&#x20;Name&#x20;System&#x20;&#40;DNS&#41;&#x20;is&#x20;a&#x20;hierarchical&#x20;naming&#x20;system&#x20;that&#x20;maps&#x20;names&#x20;to&#x20;IP&#x20;addresses&#x20;for&#x20;computers,&#x20;services&#x20;and&#x20;other&#x20;resources&#x20;connected&#x20;to&#x20;a&#x20;network.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;designated&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DNS&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;named&#x20;:&#x20;#&#x20;systemctl&#x20;disable&#x20;named','[{\"cis\": [\"2.2.8\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7531,'Ensure&#x20;FTP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;FTP&#41;&#x20;provides&#x20;networked&#x20;computers&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;transfer&#x20;files.','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;sftp&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;vsftpd&#x20;:&#x20;#&#x20;systemctl&#x20;disable&#x20;vsftpd&#x20;&#x20;&#x20;&#x20;Notes:&#x20;Additional&#x20;FTP&#x20;servers&#x20;also&#x20;exist&#x20;and&#x20;should&#x20;be&#x20;audited.','[{\"cis\": [\"2.2.9\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7532,'Ensure&#x20;HTTP&#x20;server&#x20;is&#x20;not&#x20;enabled','HTTP&#x20;or&#x20;web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;apache2&#x20;:&#x20;#&#x20;systemctl&#x20;disable&#x20;apache2&#x20;&#x20;&#x20;&#x20;Notes:&#x20;Several&#x20;httpd&#x20;servers&#x20;exist&#x20;and&#x20;can&#x20;use&#x20;other&#x20;service&#x20;names.&#x20;apache,&#x20;apache2,&#x20;lighttpd,&#x20;and&#x20;nginx&#x20;are&#x20;example&#x20;services&#x20;that&#x20;provide&#x20;an&#x20;HTTP&#x20;server.&#x20;These&#x20;and&#x20;other&#x20;services&#x20;should&#x20;also&#x20;be&#x20;audited.','[{\"cis\": [\"2.2.10\"]}, {\"cis_csc\": [\"9.1\"]}]'),(7533,'Ensure&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;is&#x20;not&#x20;enabled','dovecot&#x20;is&#x20;an&#x20;open&#x20;source&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;POP3&#x20;and/or&#x20;IMAP&#x20;servers&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;by&#x20;this&#x20;system,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;dovecot&#x20;:&#x20;#&#x20;systemctl&#x20;disable&#x20;dovecot&#x20;&#x20;&#x20;&#x20;Notes:&#x20;Several&#x20;IMAP/POP3&#x20;servers&#x20;exist&#x20;and&#x20;can&#x20;use&#x20;other&#x20;service&#x20;names.&#x20;cyrus-imap&#x20;is&#x20;an&#x20;example&#x20;service&#x20;that&#x20;provides&#x20;an&#x20;IMAP/POP3&#x20;server.&#x20;These&#x20;and&#x20;other&#x20;services&#x20;should&#x20;also&#x20;be&#x20;audited.','[{\"cis\": [\"2.2.11\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7534,'Ensure&#x20;Samba&#x20;is&#x20;not&#x20;enabled','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Small&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.&#x20;Windows&#x20;desktop&#x20;users&#x20;will&#x20;be&#x20;able&#x20;to&#x20;mount&#x20;these&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;as&#x20;letter&#x20;drives&#x20;on&#x20;their&#x20;systems.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;service&#x20;can&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;smb&#x20;:&#x20;#&#x20;systemctl&#x20;disable&#x20;smb','[{\"cis\": [\"2.2.12\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7535,'Ensure&#x20;HTTP&#x20;Proxy&#x20;Server&#x20;is&#x20;not&#x20;enabled','Squid&#x20;is&#x20;a&#x20;standard&#x20;proxy&#x20;server&#x20;used&#x20;in&#x20;many&#x20;distributions&#x20;and&#x20;environments.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;proxy&#x20;be&#x20;disabled&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;squid&#x20;:&#x20;#&#x20;systemctl&#x20;disable&#x20;squid&#x20;&#x20;&#x20;&#x20;Notes:&#x20;Several&#x20;HTTP&#x20;proxy&#x20;servers&#x20;exist.&#x20;These&#x20;and&#x20;other&#x20;services&#x20;should&#x20;be&#x20;checked.','[{\"cis\": [\"2.2.13\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7536,'Ensure&#x20;SNMP&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;can&#x20;communicate&#x20;using&#x20;SNMP&#x20;v1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;Unless&#x20;absolutely&#x20;necessary,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;SNMP&#x20;service&#x20;not&#x20;be&#x20;used.&#x20;If&#x20;SNMP&#x20;is&#x20;required&#x20;the&#x20;server&#x20;should&#x20;be&#x20;configured&#x20;to&#x20;disallow&#x20;SNMP&#x20;v1.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;snmpd:&#x20;#&#x20;systemctl&#x20;disable&#x20;snmpd&#x20;&#x20;&#x20;&#x20;Notes:&#x20;Additional&#x20;methods&#x20;of&#x20;disabling&#x20;a&#x20;service&#x20;exist.&#x20;Consult&#x20;your&#x20;distribution&#x20;documentation&#x20;for&#x20;appropriate&#x20;methods.','[{\"cis\": [\"2.2.14\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.2\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7537,'Ensure&#x20;NIS&#x20;Server&#x20;is&#x20;not&#x20;enabled','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;&#x20;&#40;formally&#x20;known&#x20;as&#x20;Yellow&#x20;Pages&#41;&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;for&#x20;distributing&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;server&#x20;is&#x20;a&#x20;collection&#x20;of&#x20;programs&#x20;that&#x20;allow&#x20;for&#x20;the&#x20;distribution&#x20;of&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;disabled&#x20;and&#x20;other,&#x20;more&#x20;secure&#x20;services&#x20;be&#x20;used','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;ypserv&#x20;:&#x20;#&#x20;systemctl&#x20;disable&#x20;ypserv','[{\"cis\": [\"2.2.16\"]}, {\"cis_csc\": [\"9.1\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7538,'Ensure&#x20;NIS&#x20;Client&#x20;is&#x20;not&#x20;installed','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;,&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;used&#x20;to&#x20;distribute&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;client&#x20;&#40;&#x20;ypbind&#x20;&#41;&#x20;was&#x20;used&#x20;to&#x20;bind&#x20;a&#x20;machine&#x20;to&#x20;an&#x20;NIS&#x20;server&#x20;and&#x20;receive&#x20;the&#x20;distributed&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;ypbind&#x20;:&#x20;#&#x20;zypper&#x20;remove&#x20;ypbind','[{\"cis\": [\"2.3.1\"]}, {\"cis_csc\": [\"2\"]}, {\"pci_dss\": [\"2.2.3\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7539,'Ensure&#x20;IP&#x20;forwarding&#x20;is&#x20;disabled','The&#x20;net.ipv4.ip_forward&#x20;flag&#x20;is&#x20;used&#x20;to&#x20;tell&#x20;the&#x20;system&#x20;whether&#x20;it&#x20;can&#x20;forward&#x20;packets&#x20;or&#x20;not.','Setting&#x20;the&#x20;flag&#x20;to&#x20;0&#x20;ensures&#x20;that&#x20;a&#x20;system&#x20;with&#x20;multiple&#x20;interfaces&#x20;&#40;for&#x20;example,&#x20;a&#x20;hard&#x20;proxy&#41;,&#x20;will&#x20;never&#x20;be&#x20;able&#x20;to&#x20;forward&#x20;packets,&#x20;and&#x20;therefore,&#x20;never&#x20;serve&#x20;as&#x20;a&#x20;router.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.ip_forward&#x20;=&#x20;0.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.ip_forward=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.1.1\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7540,'Ensure&#x20;packet&#x20;redirect&#x20;sending&#x20;is&#x20;disabled','ICMP&#x20;Redirects&#x20;are&#x20;used&#x20;to&#x20;send&#x20;routing&#x20;information&#x20;to&#x20;other&#x20;hosts.&#x20;As&#x20;a&#x20;host&#x20;itself&#x20;does&#x20;not&#x20;act&#x20;as&#x20;a&#x20;router&#x20;&#40;in&#x20;a&#x20;host&#x20;only&#x20;configuration&#41;,&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;send&#x20;redirects.','An&#x20;attacker&#x20;could&#x20;use&#x20;a&#x20;compromised&#x20;host&#x20;to&#x20;send&#x20;invalid&#x20;ICMP&#x20;redirects&#x20;to&#x20;other&#x20;router&#x20;devices&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;corrupt&#x20;routing&#x20;and&#x20;have&#x20;users&#x20;access&#x20;a&#x20;system&#x20;set&#x20;up&#x20;by&#x20;the&#x20;attacker&#x20;as&#x20;opposed&#x20;to&#x20;a&#x20;valid&#x20;system.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.send_redirects&#x20;=&#x20;0&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.send_redirects&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.send_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.send_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.1.2\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7541,'Ensure&#x20;source&#x20;routed&#x20;packets&#x20;are&#x20;not&#x20;accepted','In&#x20;networking,&#x20;source&#x20;routing&#x20;allows&#x20;a&#x20;sender&#x20;to&#x20;partially&#x20;or&#x20;fully&#x20;specify&#x20;the&#x20;route&#x20;packets&#x20;take&#x20;through&#x20;a&#x20;network.&#x20;In&#x20;contrast,&#x20;non-source&#x20;routed&#x20;packets&#x20;travel&#x20;a&#x20;path&#x20;determined&#x20;by&#x20;routers&#x20;in&#x20;the&#x20;network.&#x20;In&#x20;some&#x20;cases,&#x20;systems&#x20;may&#x20;not&#x20;be&#x20;routable&#x20;or&#x20;reachable&#x20;from&#x20;some&#x20;locations&#x20;&#40;e.g.&#x20;private&#x20;addresses&#x20;vs.&#x20;Internet&#x20;routable&#41;,&#x20;and&#x20;so&#x20;source&#x20;routed&#x20;packets&#x20;would&#x20;need&#x20;to&#x20;be&#x20;used.','Setting&#x20;net.ipv4.conf.all.accept_source_route&#x20;and&#x20;net.ipv4.conf.default.accept_source_route&#x20;to&#x20;0&#x20;disables&#x20;the&#x20;system&#x20;from&#x20;accepting&#x20;source&#x20;routed&#x20;packets.&#x20;Assume&#x20;this&#x20;system&#x20;was&#x20;capable&#x20;of&#x20;routing&#x20;packets&#x20;to&#x20;Internet&#x20;routable&#x20;addresses&#x20;on&#x20;one&#x20;interface&#x20;and&#x20;private&#x20;addresses&#x20;on&#x20;another&#x20;interface.&#x20;Assume&#x20;that&#x20;the&#x20;private&#x20;addresses&#x20;were&#x20;not&#x20;routable&#x20;to&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;and&#x20;vice&#x20;versa.&#x20;Under&#x20;normal&#x20;routing&#x20;circumstances,&#x20;an&#x20;attacker&#x20;from&#x20;the&#x20;Internet&#x20;routable&#x20;addresses&#x20;could&#x20;not&#x20;use&#x20;the&#x20;system&#x20;as&#x20;a&#x20;way&#x20;to&#x20;reach&#x20;the&#x20;private&#x20;address&#x20;systems.&#x20;If,&#x20;however,&#x20;source&#x20;routed&#x20;packets&#x20;were&#x20;allowed,&#x20;they&#x20;could&#x20;be&#x20;used&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;private&#x20;address&#x20;systems&#x20;as&#x20;the&#x20;route&#x20;could&#x20;be&#x20;specified,&#x20;rather&#x20;than&#x20;rely&#x20;on&#x20;routing&#x20;protocols&#x20;that&#x20;did&#x20;not&#x20;allow&#x20;this&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_source_route&#x20;=&#x20;0&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.accept_source_route&#x20;=&#x20;0.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_source_route=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.1\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7542,'Ensure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','ICMP&#x20;redirect&#x20;messages&#x20;are&#x20;packets&#x20;that&#x20;convey&#x20;routing&#x20;information&#x20;and&#x20;tell&#x20;your&#x20;host&#x20;&#40;acting&#x20;as&#x20;a&#x20;router&#41;&#x20;to&#x20;send&#x20;packets&#x20;via&#x20;an&#x20;alternate&#x20;path.&#x20;It&#x20;is&#x20;a&#x20;way&#x20;of&#x20;allowing&#x20;an&#x20;outside&#x20;routing&#x20;device&#x20;to&#x20;update&#x20;your&#x20;system&#x20;routing&#x20;tables.&#x20;By&#x20;setting&#x20;net.ipv4.conf.all.accept_redirects&#x20;to&#x20;0,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;accept&#x20;any&#x20;ICMP&#x20;redirect&#x20;messages,&#x20;and&#x20;therefore,&#x20;won&#039;t&#x20;allow&#x20;outsiders&#x20;to&#x20;update&#x20;the&#x20;system&#039;s&#x20;routing&#x20;tables.','Attackers&#x20;could&#x20;use&#x20;bogus&#x20;ICMP&#x20;redirect&#x20;messages&#x20;to&#x20;maliciously&#x20;alter&#x20;the&#x20;system&#x20;routing&#x20;tables&#x20;and&#x20;get&#x20;them&#x20;to&#x20;send&#x20;packets&#x20;to&#x20;incorrect&#x20;networks&#x20;and&#x20;allow&#x20;your&#x20;system&#x20;packets&#x20;to&#x20;be&#x20;captured.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.accept_redirects&#x20;=&#x20;0&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.accept_redirects&#x20;=&#x20;0.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.accept_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1.','[{\"cis\": [\"3.2.2\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7543,'Ensure&#x20;secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;not&#x20;accepted','Secure&#x20;ICMP&#x20;redirects&#x20;are&#x20;the&#x20;same&#x20;as&#x20;ICMP&#x20;redirects,&#x20;except&#x20;they&#x20;come&#x20;from&#x20;gateways&#x20;listed&#x20;on&#x20;the&#x20;default&#x20;gateway&#x20;list.&#x20;It&#x20;is&#x20;assumed&#x20;that&#x20;these&#x20;gateways&#x20;are&#x20;known&#x20;to&#x20;your&#x20;system,&#x20;and&#x20;that&#x20;they&#x20;are&#x20;likely&#x20;to&#x20;be&#x20;secure.','It&#x20;is&#x20;still&#x20;possible&#x20;for&#x20;even&#x20;known&#x20;gateways&#x20;to&#x20;be&#x20;compromised.&#x20;Setting&#x20;net.ipv4.conf.all.secure_redirects&#x20;to&#x20;0&#x20;protects&#x20;the&#x20;system&#x20;from&#x20;routing&#x20;table&#x20;updates&#x20;by&#x20;possibly&#x20;compromised&#x20;known&#x20;gateways.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.secure_redirects&#x20;=&#x20;0&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.secure_redirects&#x20;=&#x20;0.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.secure_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.secure_redirects=0&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1.','[{\"cis\": [\"3.2.3\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7544,'Ensure&#x20;suspicious&#x20;packets&#x20;are&#x20;logged','When&#x20;enabled,&#x20;this&#x20;feature&#x20;logs&#x20;packets&#x20;with&#x20;un-routable&#x20;source&#x20;addresses&#x20;to&#x20;the&#x20;kernel&#x20;log.','Enabling&#x20;this&#x20;feature&#x20;and&#x20;logging&#x20;these&#x20;packets&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;investigate&#x20;the&#x20;possibility&#x20;that&#x20;an&#x20;attacker&#x20;is&#x20;sending&#x20;spoofed&#x20;packets&#x20;to&#x20;their&#x20;system.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.log_martians&#x20;=&#x20;1&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.log_martians&#x20;=&#x20;1.&#x20;&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.log_martians=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.log_martians=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1.','[{\"cis\": [\"3.2.4\"]}, {\"cis_csc\": [\"6\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7545,'Ensure&#x20;broadcast&#x20;ICMP&#x20;requests&#x20;are&#x20;ignored','Setting&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;to&#x20;1&#x20;will&#x20;cause&#x20;the&#x20;system&#x20;to&#x20;ignore&#x20;all&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;to&#x20;broadcast&#x20;and&#x20;multicast&#x20;addresses.','Accepting&#x20;ICMP&#x20;echo&#x20;and&#x20;timestamp&#x20;requests&#x20;with&#x20;broadcast&#x20;or&#x20;multicast&#x20;destinations&#x20;for&#x20;your&#x20;network&#x20;could&#x20;be&#x20;used&#x20;to&#x20;trick&#x20;your&#x20;host&#x20;into&#x20;starting&#x20;&#40;or&#x20;participating&#41;&#x20;in&#x20;a&#x20;Smurf&#x20;attack.&#x20;A&#x20;Smurf&#x20;attack&#x20;relies&#x20;on&#x20;an&#x20;attacker&#x20;sending&#x20;large&#x20;amounts&#x20;of&#x20;ICMP&#x20;broadcast&#x20;messages&#x20;with&#x20;a&#x20;spoofed&#x20;source&#x20;address.&#x20;All&#x20;hosts&#x20;receiving&#x20;this&#x20;message&#x20;and&#x20;responding&#x20;would&#x20;send&#x20;echo-reply&#x20;messages&#x20;back&#x20;to&#x20;the&#x20;spoofed&#x20;address,&#x20;which&#x20;is&#x20;probably&#x20;not&#x20;routable.&#x20;If&#x20;many&#x20;hosts&#x20;respond&#x20;to&#x20;the&#x20;packets,&#x20;the&#x20;amount&#x20;of&#x20;traffic&#x20;on&#x20;the&#x20;network&#x20;could&#x20;be&#x20;significantly&#x20;multiplied.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.icmp_echo_ignore_broadcasts&#x20;=&#x20;1&#x20;&#x20;&#x20;&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_echo_ignore_broadcasts=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1.','[{\"cis\": [\"3.2.5\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7546,'Ensure&#x20;bogus&#x20;ICMP&#x20;responses&#x20;are&#x20;ignored','Setting&#x20;icmp_ignore_bogus_error_responses&#x20;to&#x20;1&#x20;prevents&#x20;the&#x20;kernel&#x20;from&#x20;logging&#x20;bogus&#x20;responses&#x20;&#40;RFC-1122&#x20;non-compliant&#41;&#x20;from&#x20;broadcast&#x20;reframes,&#x20;keeping&#x20;file&#x20;systems&#x20;from&#x20;filling&#x20;up&#x20;with&#x20;useless&#x20;log&#x20;messages.','Some&#x20;routers&#x20;&#40;and&#x20;some&#x20;attackers&#41;&#x20;will&#x20;send&#x20;responses&#x20;that&#x20;violate&#x20;RFC-1122&#x20;and&#x20;attempt&#x20;to&#x20;fill&#x20;up&#x20;a&#x20;log&#x20;file&#x20;system&#x20;with&#x20;many&#x20;useless&#x20;error&#x20;messages.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.icmp_ignore_bogus_error_responses&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.icmp_ignore_bogus_error_responses=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1.','[{\"cis\": [\"3.2.6\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7547,'Ensure&#x20;Reverse&#x20;Path&#x20;Filtering&#x20;is&#x20;enabled','Setting&#x20;net.ipv4.conf.all.rp_filter&#x20;and&#x20;net.ipv4.conf.default.rp_filter&#x20;to&#x20;1&#x20;forces&#x20;the&#x20;Linux&#x20;kernel&#x20;to&#x20;utilize&#x20;reverse&#x20;path&#x20;filtering&#x20;on&#x20;a&#x20;received&#x20;packet&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;packet&#x20;was&#x20;valid.&#x20;Essentially,&#x20;with&#x20;reverse&#x20;path&#x20;filtering,&#x20;if&#x20;the&#x20;return&#x20;packet&#x20;does&#x20;not&#x20;go&#x20;out&#x20;the&#x20;same&#x20;interface&#x20;that&#x20;the&#x20;corresponding&#x20;source&#x20;packet&#x20;came&#x20;from,&#x20;the&#x20;packet&#x20;is&#x20;dropped&#x20;&#40;and&#x20;logged&#x20;if&#x20;log_martians&#x20;is&#x20;set&#41;.','Setting&#x20;these&#x20;flags&#x20;is&#x20;a&#x20;good&#x20;way&#x20;to&#x20;deter&#x20;attackers&#x20;from&#x20;sending&#x20;your&#x20;system&#x20;bogus&#x20;packets&#x20;that&#x20;cannot&#x20;be&#x20;responded&#x20;to.&#x20;One&#x20;instance&#x20;where&#x20;this&#x20;feature&#x20;breaks&#x20;down&#x20;is&#x20;if&#x20;asymmetrical&#x20;routing&#x20;is&#x20;employed.&#x20;This&#x20;would&#x20;occur&#x20;when&#x20;using&#x20;dynamic&#x20;routing&#x20;protocols&#x20;&#40;bgp,&#x20;ospf,&#x20;etc&#41;&#x20;on&#x20;your&#x20;system.&#x20;If&#x20;you&#x20;are&#x20;using&#x20;asymmetrical&#x20;routing&#x20;on&#x20;your&#x20;system,&#x20;you&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;enable&#x20;this&#x20;feature&#x20;without&#x20;breaking&#x20;the&#x20;routing.','','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.conf.all.rp_filter&#x20;=&#x20;1&#x20;&#x20;&#x20;&#x20;net.ipv4.conf.default.rp_filter&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.all.rp_filter=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.conf.default.rp_filter=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.7\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7548,'Ensure&#x20;TCP&#x20;SYN&#x20;Cookies&#x20;is&#x20;enabled','When&#x20;tcp_syncookies&#x20;is&#x20;set,&#x20;the&#x20;kernel&#x20;will&#x20;handle&#x20;TCP&#x20;SYN&#x20;packets&#x20;normally&#x20;until&#x20;the&#x20;half-open&#x20;connection&#x20;queue&#x20;is&#x20;full,&#x20;at&#x20;which&#x20;time,&#x20;the&#x20;SYN&#x20;cookie&#x20;functionality&#x20;kicks&#x20;in.&#x20;SYN&#x20;cookies&#x20;work&#x20;by&#x20;not&#x20;using&#x20;the&#x20;SYN&#x20;queue&#x20;at&#x20;all.&#x20;Instead,&#x20;the&#x20;kernel&#x20;simply&#x20;replies&#x20;to&#x20;the&#x20;SYN&#x20;with&#x20;a&#x20;SYN|ACK,&#x20;but&#x20;will&#x20;include&#x20;a&#x20;specially&#x20;crafted&#x20;TCP&#x20;sequence&#x20;number&#x20;that&#x20;encodes&#x20;the&#x20;source&#x20;and&#x20;destination&#x20;IP&#x20;address&#x20;and&#x20;port&#x20;number&#x20;and&#x20;the&#x20;time&#x20;the&#x20;packet&#x20;was&#x20;sent.&#x20;A&#x20;legitimate&#x20;connection&#x20;would&#x20;send&#x20;the&#x20;ACK&#x20;packet&#x20;of&#x20;the&#x20;three&#x20;way&#x20;handshake&#x20;with&#x20;the&#x20;specially&#x20;crafted&#x20;sequence&#x20;number.&#x20;This&#x20;allows&#x20;the&#x20;system&#x20;to&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;received&#x20;a&#x20;valid&#x20;response&#x20;to&#x20;a&#x20;SYN&#x20;cookie&#x20;and&#x20;allow&#x20;the&#x20;connection,&#x20;even&#x20;though&#x20;there&#x20;is&#x20;no&#x20;corresponding&#x20;SYN&#x20;in&#x20;the&#x20;queue.','Attackers&#x20;use&#x20;SYN&#x20;flood&#x20;attacks&#x20;to&#x20;perform&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attacked&#x20;on&#x20;a&#x20;system&#x20;by&#x20;sending&#x20;many&#x20;SYN&#x20;packets&#x20;without&#x20;completing&#x20;the&#x20;three&#x20;way&#x20;handshake.&#x20;This&#x20;will&#x20;quickly&#x20;use&#x20;up&#x20;slots&#x20;in&#x20;the&#x20;kernel&#039;s&#x20;half-open&#x20;connection&#x20;queue&#x20;and&#x20;prevent&#x20;legitimate&#x20;connections&#x20;from&#x20;succeeding.&#x20;SYN&#x20;cookies&#x20;allow&#x20;the&#x20;system&#x20;to&#x20;keep&#x20;accepting&#x20;valid&#x20;connections,&#x20;even&#x20;if&#x20;under&#x20;a&#x20;denial&#x20;of&#x20;service&#x20;attack.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;net.ipv4.tcp_syncookies&#x20;=&#x20;1.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameters:&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.tcp_syncookies=1&#x20;#&#x20;sysctl&#x20;-w&#x20;net.ipv4.route.flush=1','[{\"cis\": [\"3.2.8\"]}, {\"cis_csc\": [\"3\", \"11\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7549,'Ensure&#x20;SSH&#x20;Protocol&#x20;is&#x20;set&#x20;to&#x20;2','SSH&#x20;supports&#x20;two&#x20;different&#x20;and&#x20;incompatible&#x20;protocols:&#x20;SSH1&#x20;and&#x20;SSH2.&#x20;SSH1&#x20;was&#x20;the&#x20;original&#x20;protocol&#x20;and&#x20;was&#x20;subject&#x20;to&#x20;security&#x20;issues.&#x20;SSH2&#x20;is&#x20;more&#x20;advanced&#x20;and&#x20;secure.','SSH&#x20;v1&#x20;suffers&#x20;from&#x20;insecurities&#x20;that&#x20;do&#x20;not&#x20;affect&#x20;SSH&#x20;v2.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Protocol&#x20;2','[{\"cis\": [\"5.2.2\"]}, {\"cis_csc\": [\"3.4\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(7550,'Ensure&#x20;SSH&#x20;LogLevel&#x20;is&#x20;set&#x20;to&#x20;INFO','The&#x20;INFO&#x20;parameter&#x20;specifies&#x20;that&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;will&#x20;be&#x20;logged.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.&#x20;INFO&#x20;level&#x20;is&#x20;the&#x20;basic&#x20;level&#x20;that&#x20;only&#x20;records&#x20;login&#x20;activity&#x20;of&#x20;SSH&#x20;users.&#x20;In&#x20;many&#x20;situations,&#x20;such&#x20;as&#x20;Incident&#x20;Response,&#x20;it&#x20;is&#x20;important&#x20;to&#x20;determine&#x20;when&#x20;a&#x20;particular&#x20;user&#x20;was&#x20;active&#x20;on&#x20;a&#x20;system.&#x20;The&#x20;logout&#x20;record&#x20;can&#x20;eliminate&#x20;those&#x20;users&#x20;who&#x20;disconnected,&#x20;which&#x20;helps&#x20;narrow&#x20;the&#x20;field.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;INFO','[{\"cis\": [\"5.2.3\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(7551,'Ensure&#x20;SSH&#x20;MaxAuthTries&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4','[{\"cis\": [\"5.2.5\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"2.2.4\"]}, {\"nist_800_53\": [\"CM.1\"]}]'),(7552,'Ensure&#x20;SSH&#x20;IgnoreRhosts&#x20;is&#x20;enabled','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthentication&#x20;or&#x20;HostbasedAuthentication.','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;IgnoreRhosts&#x20;yes','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;IgnoreRhosts&#x20;yes','[{\"cis\": [\"5.2.6\"]}, {\"cis_csc\": [\"9\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(7553,'Ensure&#x20;SSH&#x20;HostbasedAuthentication&#x20;is&#x20;disabled','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts&#x20;,&#x20;or&#x20;/etc/hosts.equiv&#x20;,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.&#x20;This&#x20;option&#x20;only&#x20;applies&#x20;to&#x20;SSH&#x20;Protocol&#x20;Version&#x20;2.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc\": [\"9\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(7554,'Ensure&#x20;SSH&#x20;root&#x20;login&#x20;is&#x20;disabled','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;ssh&#40;1&#41;.&#x20;The&#x20;default&#x20;is&#x20;no.','Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;system&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root&#x20;via&#x20;sudo&#x20;or&#x20;su.&#x20;This&#x20;in&#x20;turn&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc\": [\"5.8\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(7555,'Ensure&#x20;SSH&#x20;PermitEmptyPasswords&#x20;is&#x20;disabled','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;SSH&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no','[{\"cis\": [\"5.2.9\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"4.1\"]}, {\"hipaa\": [\"164.312.a.2.IV\", \"164.312.e.1\", \"164.312.e.2.I\", \"164.312.e.2.II\"]}, {\"nist_800_53\": [\"SC.8\"]}, {\"tsc\": [\"CC6.1\", \"CC6.7\", \"CC7.2\"]}]'),(7556,'Ensure&#x20;root&#x20;is&#x20;the&#x20;only&#x20;UID&#x20;0&#x20;account','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','','Remove&#x20;any&#x20;users&#x20;other&#x20;than&#x20;root&#x20;with&#x20;UID&#x20;0&#x20;or&#x20;assign&#x20;them&#x20;a&#x20;new&#x20;UID&#x20;if&#x20;appropriate.','[{\"cis\": [\"6.2.5\"]}, {\"cis_csc\": [\"5.1\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(7557,'Ensure&#x20;password&#x20;fields&#x20;are&#x20;not&#x20;empty','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;password,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;account&#x20;until&#x20;it&#x20;can&#x20;be&#x20;determined&#x20;why&#x20;it&#x20;does&#x20;not&#x20;have&#x20;a&#x20;password:&#x20;#&#x20;passwd&#x20;-l&#x20;&lt;username&gt;.&#x20;&#x20;Also,&#x20;check&#x20;to&#x20;see&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;investigate&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.1\"]}, {\"cis_csc\": [\"16\"]}, {\"pci_dss\": [\"10.2.5\"]}, {\"hipaa\": [\"164.312.b\"]}, {\"nist_800_53\": [\"AU.14\", \"AC.7\"]}, {\"tsc\": [\"CC6.1\", \"CC6.8\", \"CC7.2\", \"CC7.3\", \"CC7.4\"]}]'),(8000,'Disable&#x20;Local-only&#x20;Graphical&#x20;Login&#x20;Environment','The&#x20;graphical&#x20;login&#x20;service&#x20;provides&#x20;the&#x20;capability&#x20;of&#x20;logging&#x20;into&#x20;the&#x20;system&#x20;using&#x20;an&#x20;X-&#x20;windows&#x20;type&#x20;interface&#x20;from&#x20;the&#x20;console.&#x20;If&#x20;graphical&#x20;login&#x20;access&#x20;for&#x20;the&#x20;console&#x20;is&#x20;required,&#x20;leave&#x20;the&#x20;service&#x20;in&#x20;local-only&#x20;mode.','This&#x20;service&#x20;should&#x20;be&#x20;disabled&#x20;if&#x20;it&#x20;is&#x20;not&#x20;required.','','To&#x20;disable&#x20;this&#x20;service,&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;svcadm&#x20;disable&#x20;svc:/application/graphical-login/gdm:default','[{\"cis\": [\"2.1\"]}]'),(8001,'Configure&#x20;sendmail&#x20;Service&#x20;for&#x20;Local-Only&#x20;Mode','In&#x20;Solaris&#x20;11,&#x20;the&#x20;sendmail&#x20;service&#x20;is&#x20;set&#x20;to&#x20;local&#x20;only&#x20;mode&#x20;by&#x20;default.&#x20;This&#x20;means&#x20;that&#x20;users&#x20;on&#x20;remote&#x20;systems&#x20;cannot&#x20;connect&#x20;to&#x20;the&#x20;sendmail&#x20;service,&#x20;eliminating&#x20;the&#x20;possibility&#x20;of&#x20;a&#x20;remote&#x20;exploit&#x20;attack&#x20;against&#x20;some&#x20;future&#x20;sendmail&#x20;vulnerability.&#x20;Leaving&#x20;sendmail&#x20;in&#x20;local-only&#x20;mode&#x20;permits&#x20;mail&#x20;to&#x20;be&#x20;sent&#x20;out&#x20;from&#x20;the&#x20;local&#x20;system.&#x20;If&#x20;the&#x20;local&#x20;system&#x20;will&#x20;not&#x20;be&#x20;processing&#x20;or&#x20;sending&#x20;any&#x20;mail,&#x20;this&#x20;service&#x20;can&#x20;be&#x20;disabled.&#x20;However,&#x20;if&#x20;sendmail&#x20;is&#x20;disabled&#x20;completely,&#x20;email&#x20;messages&#x20;sent&#x20;to&#x20;the&#x20;root&#x20;account&#x20;&#40;such&#x20;as&#x20;cron&#x20;job&#x20;output&#x20;or&#x20;audit&#x20;service&#x20;warnings&#41;&#x20;will&#x20;fail&#x20;to&#x20;be&#x20;delivered.&#x20;An&#x20;alternative&#x20;approach&#x20;is&#x20;to&#x20;disable&#x20;the&#x20;sendmail&#x20;service&#x20;and&#x20;create&#x20;a&#x20;cron&#x20;job&#x20;to&#x20;process&#x20;all&#x20;mail&#x20;that&#x20;is&#x20;queued&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;sending&#x20;it&#x20;to&#x20;a&#x20;relay&#x20;host&#x20;defined&#x20;in&#x20;the&#x20;sendmail.cf&#x20;file.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;sendmail&#x20;be&#x20;left&#x20;in&#x20;local-only&#x20;mode&#x20;unless&#x20;there&#x20;is&#x20;a&#x20;specific&#x20;requirement&#x20;to&#x20;completely&#x20;disable&#x20;it.','The&#x20;software&#x20;for&#x20;all&#x20;Mail&#x20;Transfer&#x20;Agents&#x20;is&#x20;complex&#x20;and&#x20;most&#x20;have&#x20;a&#x20;long&#x20;history&#x20;of&#x20;security&#x20;issues.&#x20;While&#x20;it&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;system&#x20;can&#x20;process&#x20;local&#x20;mail&#x20;messages,&#x20;it&#x20;is&#x20;not&#x20;necessary&#x20;to&#x20;have&#x20;the&#x20;MTA&#039;s&#x20;daemon&#x20;listening&#x20;on&#x20;a&#x20;port&#x20;unless&#x20;the&#x20;server&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server&#x20;that&#x20;receives&#x20;and&#x20;processes&#x20;mail&#x20;from&#x20;other&#x20;systems.','','Run&#x20;the&#x20;following&#x20;to&#x20;set&#x20;sendmail&#x20;to&#x20;listen&#x20;only&#x20;local&#x20;interfaces:&#x20;#&#x20;svccfg&#x20;-v&#x20;-s&#x20;svc:/network/smtp:sendmail&#x20;setprop&#x20;config/local_only=false&#x20;&#x20;&#x20;&#x20;#&#x20;svcadm&#x20;refresh&#x20;sendmail&#x20;&#x20;&#x20;&#x20;#&#x20;svcadm&#x20;restart&#x20;sendmail','[{\"cis\": [\"2.2\"]}]'),(8002,'Disable&#x20;RPC&#x20;Encryption&#x20;Key','The&#x20;keyserv&#x20;service&#x20;is&#x20;only&#x20;required&#x20;for&#x20;sites&#x20;that&#x20;are&#x20;using&#x20;the&#x20;Secure&#x20;RPC&#x20;mechanism.&#x20;The&#x20;most&#x20;common&#x20;use&#x20;for&#x20;Secure&#x20;RPC&#x20;on&#x20;Solaris&#x20;machines&#x20;is&#x20;&quot;secure&#x20;NFS&quot;,&#x20;which&#x20;uses&#x20;the&#x20;Secure&#x20;RPC&#x20;mechanism&#x20;to&#x20;provide&#x20;higher&#x20;levels&#x20;of&#x20;security&#x20;than&#x20;the&#x20;standard&#x20;NFS&#x20;protocols.&#x20;&#40;&quot;Secure&#x20;NFS&quot;&#x20;is&#x20;unrelated&#x20;to&#x20;Kerberos&#x20;authentication&#x20;as&#x20;a&#x20;mechanism&#x20;for&#x20;providing&#x20;higher&#x20;levels&#x20;of&#x20;NFS&#x20;security.&#x20;&quot;Kerberized&quot;&#x20;NFS&#x20;does&#x20;not&#x20;require&#x20;the&#x20;keyserv&#x20;service&#x20;to&#x20;be&#x20;running.&#41;','This&#x20;service&#x20;should&#x20;be&#x20;disabled&#x20;if&#x20;it&#x20;is&#x20;not&#x20;required.','','To&#x20;disable&#x20;this&#x20;service,&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;svcadm&#x20;disable&#x20;svc:/network/rpc/keyserv','[{\"cis\": [\"2.3\"]}]'),(8003,'Disable&#x20;NIS&#x20;Server&#x20;Services','The&#x20;NIS&#x20;server&#x20;software&#x20;is&#x20;not&#x20;installed&#x20;by&#x20;default&#x20;and&#x20;is&#x20;only&#x20;required&#x20;on&#x20;systems&#x20;that&#x20;are&#x20;acting&#x20;as&#x20;an&#x20;NIS&#x20;server&#x20;for&#x20;the&#x20;local&#x20;site.&#x20;Typically&#x20;there&#x20;are&#x20;only&#x20;a&#x20;small&#x20;number&#x20;of&#x20;NIS&#x20;servers&#x20;on&#x20;any&#x20;given&#x20;network.&#x20;These&#x20;services&#x20;are&#x20;disabled&#x20;by&#x20;default&#x20;unless&#x20;the&#x20;system&#x20;has&#x20;been&#x20;previously&#x20;configured&#x20;to&#x20;act&#x20;as&#x20;a&#x20;NIS&#x20;server.','As&#x20;RPC-based&#x20;services&#x20;such&#x20;as&#x20;NIS&#x20;may&#x20;use&#x20;non-secure&#x20;authentication&#x20;and&#x20;share&#x20;sensitive&#x20;network&#x20;object&#x20;information&#x20;with&#x20;systems&#x20;and&#x20;applications&#x20;using&#x20;RPC-based&#x20;services,&#x20;this&#x20;service&#x20;should&#x20;be&#x20;disabled.&#x20;Users&#x20;are&#x20;encouraged&#x20;to&#x20;use&#x20;LDAP&#x20;as&#x20;a&#x20;name&#x20;service&#x20;in&#x20;place&#x20;of&#x20;NIS.','','To&#x20;disable&#x20;this&#x20;service,&#x20;run&#x20;the&#x20;following&#x20;commands:&#x20;#&#x20;svcadm&#x20;disable&#x20;svc:/network/nis/server&#x20;#&#x20;svcadm&#x20;disable&#x20;svc:/network/nis/domain','[{\"cis\": [\"2.4\"]}]'),(8004,'Disable&#x20;NIS&#x20;Client&#x20;Services','If&#x20;the&#x20;local&#x20;site&#x20;is&#x20;not&#x20;using&#x20;the&#x20;NIS&#x20;naming&#x20;service&#x20;to&#x20;distribute&#x20;system&#x20;and&#x20;user&#x20;configuration&#x20;information,&#x20;this&#x20;service&#x20;may&#x20;be&#x20;disabled.&#x20;This&#x20;service&#x20;is&#x20;disabled&#x20;by&#x20;default&#x20;unless&#x20;the&#x20;NIS&#x20;service&#x20;has&#x20;been&#x20;installed&#x20;and&#x20;configured&#x20;on&#x20;the&#x20;system.','As&#x20;RPC-based&#x20;services&#x20;such&#x20;as&#x20;NIS&#x20;may&#x20;use&#x20;non-secure&#x20;authentication&#x20;and&#x20;share&#x20;sensitive&#x20;network&#x20;object&#x20;information&#x20;with&#x20;systems&#x20;and&#x20;applications&#x20;using&#x20;RPC-based&#x20;service,&#x20;NIS&#x20;client&#x20;daemons&#x20;should&#x20;be&#x20;disabled.&#x20;Users&#x20;are&#x20;encouraged&#x20;to&#x20;use&#x20;LDAP&#x20;as&#x20;a&#x20;name&#x20;service&#x20;in&#x20;place&#x20;of&#x20;NIS.','','To&#x20;disable&#x20;this&#x20;service,&#x20;run&#x20;the&#x20;following&#x20;commands:&#x20;#&#x20;svcadm&#x20;disable&#x20;svc:/network/nis/client&#x20;&#x20;&#x20;&#x20;#&#x20;svcadm&#x20;disable&#x20;svc:/network/nis/domain','[{\"cis\": [\"2.5\"]}]'),(8005,'Disable&#x20;Kerberos&#x20;TGT&#x20;Expiration&#x20;Warning','The&#x20;Kerberos&#x20;TGT&#x20;warning&#x20;service&#x20;is&#x20;used&#x20;to&#x20;warn&#x20;users&#x20;when&#x20;their&#x20;Kerberos&#x20;tickets&#x20;are&#x20;about&#x20;expire&#x20;or&#x20;to&#x20;renew&#x20;those&#x20;tickets&#x20;before&#x20;they&#x20;expire.&#x20;This&#x20;service&#x20;is&#x20;not&#x20;used&#x20;if&#x20;Kerberos&#x20;has&#x20;not&#x20;been&#x20;configured.&#x20;This&#x20;service&#x20;is&#x20;configured&#x20;to&#x20;be&#x20;&quot;local&#x20;only&quot;&#x20;by&#x20;default.','This&#x20;service&#x20;should&#x20;be&#x20;disabled&#x20;if&#x20;it&#x20;is&#x20;not&#x20;required.','','To&#x20;disable&#x20;this&#x20;service,&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;svcadm&#x20;disable&#x20;svc:/network/security/ktkt_warn','[{\"cis\": [\"2.6\"]}]'),(8006,'Disable&#x20;Generic&#x20;Security&#x20;Services&#x20;&#40;GSS&#41;','The&#x20;GSS&#x20;API&#x20;is&#x20;a&#x20;security&#x20;abstraction&#x20;layer&#x20;that&#x20;is&#x20;designed&#x20;to&#x20;make&#x20;it&#x20;easier&#x20;for&#x20;developers&#x20;to&#x20;integrate&#x20;with&#x20;different&#x20;authentication&#x20;schemes.&#x20;It&#x20;is&#x20;most&#x20;commonly&#x20;used&#x20;in&#x20;applications&#x20;for&#x20;sites&#x20;that&#x20;use&#x20;Kerberos&#x20;for&#x20;network&#x20;authentication,&#x20;though&#x20;it&#x20;can&#x20;also&#x20;allow&#x20;applications&#x20;to&#x20;interoperate&#x20;with&#x20;other&#x20;authentication&#x20;schemes.','GSS&#x20;does&#x20;not&#x20;expose&#x20;anything&#x20;external&#x20;to&#x20;the&#x20;system&#x20;as&#x20;it&#x20;is&#x20;configured&#x20;to&#x20;use&#x20;TLI&#x20;&#40;protocol&#x20;=&#x20;ticotsord&#41;&#x20;by&#x20;default.&#x20;This&#x20;service&#x20;should&#x20;be&#x20;disabled&#x20;if&#x20;it&#x20;is&#x20;not&#x20;required.','','To&#x20;disable&#x20;this&#x20;service,&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;svcadm&#x20;disable&#x20;svc:/network/rpc/gss','[{\"cis\": [\"2.7\"]}]'),(8007,'Disable&#x20;Removable&#x20;Volume&#x20;Manager','The&#x20;HAL-aware&#x20;removable&#x20;volume&#x20;manager&#x20;in&#x20;the&#x20;Solaris&#x20;11&#x20;OS&#x20;automatically&#x20;mounts&#x20;external&#x20;devices&#x20;for&#x20;users&#x20;whenever&#x20;the&#x20;device&#x20;is&#x20;attached&#x20;to&#x20;the&#x20;system.&#x20;These&#x20;devices&#x20;include&#x20;CD-R,&#x20;CD-RW,&#x20;floppies,&#x20;DVD,&#x20;USB&#x20;and&#x20;1394&#x20;mass&#x20;storage&#x20;devices.&#x20;See&#x20;the&#x20;rmvolmgr&#40;1M&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;details.','Allowing&#x20;users&#x20;to&#x20;mount&#x20;and&#x20;access&#x20;data&#x20;from&#x20;removable&#x20;media&#x20;devices&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;malicious&#x20;programs&#x20;and&#x20;data&#x20;to&#x20;be&#x20;imported&#x20;onto&#x20;the&#x20;network.&#x20;It&#x20;also&#x20;introduces&#x20;the&#x20;risk&#x20;that&#x20;sensitive&#x20;data&#x20;may&#x20;be&#x20;transferred&#x20;off&#x20;the&#x20;system&#x20;without&#x20;a&#x20;log&#x20;record.&#x20;By&#x20;adding&#x20;rmvolmgr&#x20;to&#x20;the&#x20;.xinitrc&#x20;file,&#x20;user-isolated&#x20;instances&#x20;of&#x20;rmvolmgr&#x20;can&#x20;be&#x20;run&#x20;via&#x20;a&#x20;session&#x20;startup&#x20;script.&#x20;In&#x20;such&#x20;cases,&#x20;the&#x20;rmvolmgr&#x20;instance&#x20;will&#x20;not&#x20;allow&#x20;management&#x20;of&#x20;volumes&#x20;that&#x20;belong&#x20;to&#x20;other&#x20;than&#x20;the&#x20;owner&#x20;of&#x20;the&#x20;startup&#x20;script.&#x20;When&#x20;a&#x20;user&#x20;logs&#x20;onto&#x20;the&#x20;workstation&#x20;console&#x20;&#40;/dev/console&#41;,&#x20;any&#x20;instance&#x20;of&#x20;user-initiated&#x20;rmvolmgr&#x20;will&#x20;only&#x20;own&#x20;locally&#x20;connected&#x20;devices,&#x20;such&#x20;as&#x20;CD-ROMs&#x20;or&#x20;flash&#x20;memory&#x20;hardware,&#x20;locally&#x20;connected&#x20;to&#x20;USB&#x20;or&#x20;FireWire&#x20;ports.','','To&#x20;disable&#x20;this&#x20;service,&#x20;run&#x20;the&#x20;following&#x20;commands:&#x20;#&#x20;svcadm&#x20;disable&#x20;svc:/system/filesystem/rmvolmgr&#x20;&#x20;&#x20;&#x20;#&#x20;svcadm&#x20;disable&#x20;svc:/network/rpc/smserver','[{\"cis\": [\"2.8\"]}]'),(8008,'Disable&#x20;automount&#x20;Service','The&#x20;automount&#x20;daemon&#x20;is&#x20;normally&#x20;used&#x20;to&#x20;automatically&#x20;mount&#x20;NFS&#x20;file&#x20;systems&#x20;from&#x20;remote&#x20;file&#x20;servers&#x20;when&#x20;needed.&#x20;However,&#x20;the&#x20;automount&#x20;daemon&#x20;can&#x20;also&#x20;be&#x20;configured&#x20;to&#x20;mount&#x20;local&#x20;&#40;loopback&#41;&#x20;file&#x20;systems&#x20;as&#x20;well,&#x20;which&#x20;may&#x20;include&#x20;local&#x20;user&#x20;home&#x20;directories,&#x20;depending&#x20;on&#x20;the&#x20;system&#x20;configuration.','This&#x20;service&#x20;should&#x20;be&#x20;disabled&#x20;if&#x20;it&#x20;is&#x20;not&#x20;required.','','To&#x20;disable&#x20;this&#x20;service,&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;svcadm&#x20;disable&#x20;svc:/system/filesystem/autofs','[{\"cis\": [\"2.9\"]}]'),(8009,'Disable&#x20;Apache&#x20;Service','The&#x20;Apache&#x20;service&#x20;provides&#x20;an&#x20;instance&#x20;of&#x20;the&#x20;Apache&#x20;web&#x20;server.','This&#x20;service&#x20;should&#x20;be&#x20;disabled&#x20;if&#x20;it&#x20;is&#x20;not&#x20;required.','','To&#x20;disable&#x20;this&#x20;service,&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;svcadm&#x20;disable&#x20;svc:/network/http:apache22','[{\"cis\": [\"2.10\"]}]'),(8010,'Disable&#x20;Local-only&#x20;RPC&#x20;Port&#x20;Mapping&#x20;Service','Remote&#x20;Procedure&#x20;Call&#x20;&#40;RPC&#41;&#x20;is&#x20;used&#x20;by&#x20;many&#x20;services&#x20;within&#x20;the&#x20;Solaris&#x20;11&#x20;operating&#x20;system.&#x20;Some&#x20;of&#x20;these&#x20;services&#x20;allow&#x20;external&#x20;connections&#x20;to&#x20;use&#x20;the&#x20;service&#x20;&#40;e.g.&#x20;NFS,&#x20;NIS&#41;.&#x20;By&#x20;default,&#x20;the&#x20;Solaris&#x20;11&#x20;OS&#x20;configures&#x20;this&#x20;service&#x20;to&#x20;be&#x20;local&#x20;only.','RPC-based&#x20;services&#x20;typically&#x20;have&#x20;weak&#x20;or&#x20;non-existent&#x20;authentication&#x20;and&#x20;yet&#x20;may&#x20;share&#x20;very&#x20;sensitive&#x20;information,&#x20;which&#x20;is&#x20;vulnerable&#x20;to&#x20;network&#x20;traffic&#x20;sniffers.&#x20;Unless&#x20;one&#x20;of&#x20;these&#x20;services&#x20;is&#x20;required&#x20;on&#x20;this&#x20;host,&#x20;RPC-based&#x20;tools&#x20;should&#x20;be&#x20;fully&#x20;disabled.','','To&#x20;disable&#x20;this&#x20;service,&#x20;run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;svcadm&#x20;disable&#x20;svc:/network/rpc/bind.&#x20;If&#x20;the&#x20;goal&#x20;is&#x20;to&#x20;restrict&#x20;access&#x20;to&#x20;this&#x20;service,&#x20;but&#x20;not&#x20;disable&#x20;it&#x20;completely,&#x20;consider&#x20;using&#x20;a&#x20;host-based&#x20;firewall&#x20;such&#x20;as&#x20;ipfilter&#40;5&#41;&#x20;to&#x20;control&#x20;what&#x20;hosts&#x20;are&#x20;allowed&#x20;to&#x20;access&#x20;this&#x20;service.&#x20;Alternatively,&#x20;TCP&#x20;Wrappers&#x20;support,&#x20;which&#x20;controls&#x20;host&#x20;access&#x20;and&#x20;connection&#x20;auditing,&#x20;can&#x20;be&#x20;enabled.&#x20;TCP&#x20;Wrappers&#x20;is&#x20;discussed&#x20;in&#x20;the&#x20;next&#x20;section.','[{\"cis\": [\"2.11\"]}]'),(8011,'Configure&#x20;TCP&#x20;Wrappers','TCP&#x20;Wrappers&#x20;is&#x20;a&#x20;host-based&#x20;access&#x20;control&#x20;system&#x20;that&#x20;allows&#x20;administrators&#x20;to&#x20;control&#x20;who&#x20;has&#x20;access&#x20;to&#x20;various&#x20;network&#x20;services&#x20;based&#x20;on&#x20;the&#x20;IP&#x20;address&#x20;of&#x20;the&#x20;remote&#x20;end&#x20;of&#x20;the&#x20;connection.&#x20;TCP&#x20;Wrappers&#x20;also&#x20;provide&#x20;logging&#x20;information&#x20;via&#x20;syslog&#x20;about&#x20;both&#x20;successful&#x20;and&#x20;unsuccessful&#x20;connections.','TCP&#x20;Wrappers&#x20;provides&#x20;granular&#x20;control&#x20;over&#x20;what&#x20;services&#x20;can&#x20;be&#x20;accessed&#x20;over&#x20;the&#x20;network.&#x20;Its&#x20;logs&#x20;show&#x20;attempted&#x20;access&#x20;to&#x20;services&#x20;from&#x20;non-authorized&#x20;systems,&#x20;which&#x20;can&#x20;help&#x20;identify&#x20;unauthorized&#x20;access&#x20;attempts.','','To&#x20;enable&#x20;TCP&#x20;Wrappers,&#x20;run&#x20;the&#x20;following&#x20;commands:&#x20;1.&#x20;Create&#x20;and&#x20;customize&#x20;your&#x20;policy&#x20;in&#x20;/etc/hosts.allow:&#x20;#&#x20;echo&#x20;&quot;ALL:&#x20;&lt;net&gt;/&lt;mask&gt;,&#x20;&lt;net/&lt;mask&gt;,&#x20;...&quot;&#x20;&gt;&#x20;/etc/hosts.allow.&#x20;Where&#x20;each&#x20;&lt;net&gt;/&lt;mask&gt;&#x20;combination&#x20;&#40;for&#x20;example,&#x20;the&#x20;Class&#x20;C&#x20;address&#x20;block&#x20;&quot;192.168.1.0/255.255.255.0&quot;&#41;&#x20;can&#x20;represent&#x20;one&#x20;network&#x20;block&#x20;in&#x20;use&#x20;by&#x20;your&#x20;organization&#x20;that&#x20;requires&#x20;access&#x20;to&#x20;this&#x20;system.&#x20;2&#41;&#x20;Create&#x20;a&#x20;default&#x20;deny&#x20;policy&#x20;in&#x20;/etc/hosts.deny:&#x20;#&#x20;echo&#x20;&quot;ALL:&#x20;ALL&quot;&#x20;&gt;/etc/hosts.deny.&#x20;3&#41;&#x20;Enable&#x20;TCP&#x20;Wrappers&#x20;for&#x20;all&#x20;services&#x20;started&#x20;by&#x20;inetd:&#x20;#&#x20;inetadm&#x20;-M&#x20;tcp_wrappers=TRUE&#x20;-&#x20;To&#x20;protect&#x20;only&#x20;specific&#x20;inetd&#x20;services,&#x20;use&#x20;the&#x20;command:&#x20;#&#x20;inetadm&#x20;-m&#x20;[FMRI]&#x20;tcp_wrappers=TRUE.&#x20;To&#x20;enable&#x20;TCP&#x20;Wrappers&#x20;for&#x20;the&#x20;RPC&#x20;port&#x20;mapping&#x20;service,&#x20;use&#x20;the&#x20;commands:&#x20;#&#x20;svccfg&#x20;-s&#x20;rpc/bind&#x20;setprop&#x20;config/enable_tcpwrappers=true&#x20;&#x20;&#x20;&#x20;#&#x20;svcadm&#x20;refresh&#x20;rpc/bind.&#x20;The&#x20;versions&#x20;of&#x20;SSH&#x20;and&#x20;sendmail&#x20;that&#x20;ship&#x20;with&#x20;Solaris&#x20;11&#x20;will&#x20;automatically&#x20;use&#x20;TCP&#x20;Wrappers&#x20;to&#x20;filter&#x20;access&#x20;if&#x20;a&#x20;hosts.allow&#x20;or&#x20;hosts.deny&#x20;file&#x20;exists.&#x20;To&#x20;protect&#x20;UDP&#x20;and&#x20;RPC-based&#x20;services&#x20;that&#x20;are&#x20;spawned&#x20;from&#x20;inetd,&#x20;consider&#x20;implementing&#x20;a&#x20;host-based&#x20;firewall&#x20;such&#x20;as&#x20;Solaris&#x20;IP&#x20;Filter.&#x20;See&#x20;ipfilter&#40;5&#41;&#x20;for&#x20;more&#x20;information.','[{\"cis\": [\"2.12\"]}]'),(8012,'Disable&#x20;Telnet&#x20;Service','The&#x20;telnet&#x20;daemon,&#x20;which&#x20;accepts&#x20;connections&#x20;from&#x20;users&#x20;from&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol&#x20;and&#x20;can&#x20;be&#x20;used&#x20;for&#x20;remote&#x20;shell&#x20;access.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;a&#x20;user&#x20;with&#x20;access&#x20;to&#x20;sniff&#x20;network&#x20;traffic&#x20;the&#x20;ability&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;protocol&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security.','','Disable&#x20;telnet&#x20;server&#x20;if&#x20;enabled:&#x20;#&#x20;svcadm&#x20;disable&#x20;svc:/network/telnet','[{\"cis\": [\"2.13\"]}]'),(8013,'Restrict&#x20;Core&#x20;Dumps&#x20;to&#x20;Protected&#x20;Directory','The&#x20;action&#x20;described&#x20;in&#x20;this&#x20;section&#x20;creates&#x20;a&#x20;protected&#x20;directory&#x20;to&#x20;store&#x20;core&#x20;dumps&#x20;and&#x20;also&#x20;causes&#x20;the&#x20;system&#x20;to&#x20;create&#x20;a&#x20;log&#x20;entry&#x20;whenever&#x20;a&#x20;regular&#x20;process&#x20;dumps&#x20;core.','Core&#x20;dumps,&#x20;particularly&#x20;those&#x20;from&#x20;set-UID&#x20;and&#x20;set-GID&#x20;processes,&#x20;may&#x20;contain&#x20;sensitive&#x20;data.','','To&#x20;implement&#x20;the&#x20;recommendation,&#x20;run&#x20;the&#x20;commands:&#x20;#&#x20;chmod&#x20;700&#x20;/var/cores&#x20;&#x20;&#x20;&#x20;#&#x20;coreadm&#x20;-g&#x20;/var/cores/core_%n_%f_%u_%g_%t_%p&#x20;-e&#x20;log&#x20;-e&#x20;global&#x20;-e&#x20;global-setid&#x20;-d&#x20;process&#x20;-d&#x20;proc-setid&#x20;&#x20;&#x20;&#x20;If&#x20;the&#x20;local&#x20;site&#x20;chooses,&#x20;dumping&#x20;of&#x20;core&#x20;files&#x20;can&#x20;be&#x20;completely&#x20;disabled&#x20;with&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;coreadm&#x20;-d&#x20;global&#x20;-d&#x20;global-setid&#x20;-d&#x20;process&#x20;-d&#x20;proc-setid','[{\"cis\": [\"3.1\"]}]'),(8014,'Enable&#x20;Stack&#x20;Protection','Buffer&#x20;overflow&#x20;exploits&#x20;have&#x20;been&#x20;the&#x20;basis&#x20;for&#x20;many&#x20;highly&#x20;publicized&#x20;compromises&#x20;and&#x20;defacements&#x20;of&#x20;large&#x20;numbers&#x20;of&#x20;Internet&#x20;connected&#x20;systems.&#x20;Many&#x20;of&#x20;the&#x20;automated&#x20;tools&#x20;in&#x20;use&#x20;by&#x20;system&#x20;attackers&#x20;exploit&#x20;well-known&#x20;buffer&#x20;overflow&#x20;problems&#x20;in&#x20;vendor-&#x20;supplied&#x20;and&#x20;third&#x20;party&#x20;software.','Enabling&#x20;stack&#x20;protection&#x20;prevents&#x20;certain&#x20;classes&#x20;of&#x20;buffer&#x20;overflow&#x20;attacks&#x20;and&#x20;is&#x20;a&#x20;significant&#x20;security&#x20;enhancement.&#x20;However,&#x20;this&#x20;does&#x20;not&#x20;protect&#x20;against&#x20;buffer&#x20;overflow&#x20;attacks&#x20;that&#x20;do&#x20;not&#x20;execute&#x20;code&#x20;on&#x20;the&#x20;stack&#x20;&#40;such&#x20;as&#x20;return-to-libc&#x20;exploits&#41;.&#x20;While&#x20;most&#x20;of&#x20;the&#x20;Solaris&#x20;OS&#x20;is&#x20;already&#x20;configured&#x20;to&#x20;employ&#x20;a&#x20;non-executable&#x20;stack,&#x20;this&#x20;setting&#x20;is&#x20;still&#x20;recommended&#x20;to&#x20;provide&#x20;a&#x20;more&#x20;comprehensive&#x20;solution&#x20;for&#x20;both&#x20;Solaris&#x20;and&#x20;other&#x20;software&#x20;that&#x20;may&#x20;be&#x20;installed.','','To&#x20;enable&#x20;stack&#x20;protection&#x20;and&#x20;block&#x20;stack-smashing&#x20;attacks,&#x20;run&#x20;the&#x20;following&#x20;to&#x20;edit&#x20;the&#x20;/etc/system&#x20;file:&#x20;#&#x20;if&#x20;[&#x20;!&#x20;&quot;`grep&#x20;noexec_user_stack=&#x20;/etc/system`&quot;&#x20;];&#x20;then&#x20;cat&#x20;&lt;&lt;END_CFG&#x20;&gt;&gt;/etc/system&#x20;set&#x20;noexec_user_stack=1&#x20;set&#x20;noexec_user_stack_log=1&#x20;END_CFG&#x20;fi','[{\"cis\": [\"3.2\"]}]'),(8015,'Enable&#x20;Strong&#x20;TCP&#x20;Sequence&#x20;Number&#x20;Generation','The&#x20;variable&#x20;TCP_STRONG_ISS&#x20;defines&#x20;the&#x20;mechanism&#x20;used&#x20;for&#x20;TCP&#x20;initial&#x20;sequence&#x20;number&#x20;generation.&#x20;If&#x20;an&#x20;attacker&#x20;can&#x20;predict&#x20;the&#x20;next&#x20;sequence&#x20;number,&#x20;it&#x20;is&#x20;possible&#x20;to&#x20;inject&#x20;fraudulent&#x20;packets&#x20;into&#x20;the&#x20;data&#x20;stream&#x20;to&#x20;hijack&#x20;the&#x20;session.','The&#x20;RFC&#x20;1948&#x20;method&#x20;is&#x20;widely&#x20;accepted&#x20;as&#x20;the&#x20;strongest&#x20;mechanism&#x20;for&#x20;TCP&#x20;packet&#x20;generation.&#x20;This&#x20;makes&#x20;remote&#x20;session&#x20;hijacking&#x20;attacks&#x20;more&#x20;difficult,&#x20;as&#x20;well&#x20;as&#x20;any&#x20;other&#x20;network-based&#x20;attack&#x20;that&#x20;relies&#x20;on&#x20;predicting&#x20;TCP&#x20;sequence&#x20;number&#x20;information.&#x20;It&#x20;is&#x20;theoretically&#x20;possible&#x20;that&#x20;there&#x20;may&#x20;be&#x20;a&#x20;small&#x20;performance&#x20;hit&#x20;in&#x20;connection&#x20;setup&#x20;time&#x20;when&#x20;this&#x20;setting&#x20;is&#x20;used,&#x20;but&#x20;there&#x20;are&#x20;no&#x20;publicly&#x20;available&#x20;benchmarks&#x20;that&#x20;establish&#x20;this.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;TCP_STRONG_ISS&#x20;parameter&#x20;to&#x20;use&#x20;RFC&#x20;1948&#x20;sequence&#x20;number&#x20;generation&#x20;in&#x20;the&#x20;/etc/default/inetinit&#x20;file:&#x20;#&#x20;cd&#x20;/etc/default&#x20;&#x20;&#x20;&#x20;#&#x20;awk&#x20;&#039;/TCP_STRONG_ISS=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;TCP_STRONG_ISS=2&quot;&#x20;};&#x20;{&#x20;print&#x20;}&#039;&#x20;inetinit&#x20;&gt;&#x20;inetinit.CIS&#x20;&#x20;&#x20;&#x20;#&#x20;mv&#x20;inetinit.CIS&#x20;inetinit&#x20;&#x20;&#x20;&#x20;&#x20;To&#x20;set&#x20;the&#x20;TCP_STRONG_ISS&#x20;parameter&#x20;on&#x20;a&#x20;running&#x20;system,&#x20;use&#x20;the&#x20;command:&#x20;#&#x20;ipadm&#x20;set-prop&#x20;-p&#x20;_strong_iss=2&#x20;tcp','[{\"cis\": [\"3.3\"]}]'),(8016,'Create&#x20;CIS&#x20;Audit&#x20;Class','To&#x20;group&#x20;a&#x20;set&#x20;of&#x20;related&#x20;audit&#x20;events,&#x20;the&#x20;Solaris&#x20;Audit&#x20;service&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;sites&#x20;to&#x20;define&#x20;their&#x20;own&#x20;audit&#x20;classes&#x20;that&#x20;contain&#x20;just&#x20;those&#x20;events&#x20;that&#x20;the&#x20;site&#x20;wants&#x20;to&#x20;audit.','To&#x20;simplify&#x20;administration,&#x20;a&#x20;CIS&#x20;specific&#x20;audit&#x20;class&#x20;should&#x20;be&#x20;created.','','To&#x20;create&#x20;the&#x20;CIS&#x20;audit&#x20;class,&#x20;edit&#x20;the&#x20;/etc/security/audit_class&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;entry&#x20;before&#x20;the&#x20;last&#x20;line&#x20;of&#x20;the&#x20;file:&#x20;0x0100000000000000:cis:CIS&#x20;Solaris&#x20;Benchmark','[{\"cis\": [\"4.1\"]}]'),(8017,'Enable&#x20;Auditing&#x20;of&#x20;Incoming&#x20;Network&#x20;Connections','The&#x20;Solaris&#x20;Audit&#x20;service&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;record&#x20;incoming&#x20;network&#x20;connections&#x20;to&#x20;any&#x20;listening&#x20;service&#x20;running&#x20;on&#x20;the&#x20;system.','This&#x20;recommendation&#x20;will&#x20;provide&#x20;an&#x20;audit&#x20;trail&#x20;that&#x20;contains&#x20;information&#x20;related&#x20;to&#x20;incoming&#x20;network&#x20;connections.&#x20;While&#x20;this&#x20;functionality&#x20;can&#x20;be&#x20;enabled&#x20;using&#x20;service-&#x20;specific&#x20;mechanisms,&#x20;using&#x20;the&#x20;Solaris&#x20;Audit&#x20;service&#x20;provides&#x20;a&#x20;more&#x20;centralized&#x20;and&#x20;complete&#x20;window&#x20;into&#x20;incoming&#x20;network&#x20;activity.','','To&#x20;enforce&#x20;this&#x20;setting,&#x20;edit&#x20;the&#x20;/etc/security/audit_event&#x20;file&#x20;and&#x20;add&#x20;the&#x20;cis&#x20;audit&#x20;class&#x20;to&#x20;the&#x20;following&#x20;audit&#x20;events:&#x20;AUE_ACCEPT&#x20;&#x20;&#x20;&#x20;AUE_CONNECT&#x20;&#x20;&#x20;&#x20;AUE_SOCKACCEPT&#x20;&#x20;&#x20;&#x20;AUE_SOCKCONNECT&#x20;&#x20;&#x20;&#x20;AUE_inetd_connect','[{\"cis\": [\"4.2\"]}]'),(8018,'Enable&#x20;Auditing&#x20;of&#x20;File&#x20;Metadata&#x20;Modification&#x20;Events','The&#x20;Solaris&#x20;Audit&#x20;service&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;record&#x20;file&#x20;metadata&#x20;modification&#x20;events&#x20;for&#x20;every&#x20;process&#x20;running&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;will&#x20;allow&#x20;the&#x20;auditing&#x20;service&#x20;to&#x20;determine&#x20;when&#x20;file&#x20;ownership,&#x20;permissions&#x20;and&#x20;related&#x20;information&#x20;is&#x20;changed.','This&#x20;recommendation&#x20;will&#x20;provide&#x20;an&#x20;audit&#x20;trail&#x20;that&#x20;contains&#x20;information&#x20;related&#x20;to&#x20;changes&#x20;of&#x20;file&#x20;metadata.&#x20;The&#x20;Solaris&#x20;Audit&#x20;service&#x20;is&#x20;used&#x20;to&#x20;provide&#x20;a&#x20;more&#x20;centralized&#x20;and&#x20;complete&#x20;window&#x20;into&#x20;activities&#x20;such&#x20;as&#x20;these.','','To&#x20;enforce&#x20;this&#x20;setting,&#x20;edit&#x20;the&#x20;/etc/security/audit_event&#x20;file&#x20;and&#x20;add&#x20;the&#x20;cis&#x20;audit&#x20;class&#x20;to&#x20;the&#x20;following&#x20;audit&#x20;events:&#x20;AUE_CHMOD&#x20;&#x20;&#x20;&#x20;AUE_CHOWN&#x20;&#x20;&#x20;&#x20;AUE_FCHOWN&#x20;&#x20;&#x20;&#x20;AUE_FCHMOD&#x20;&#x20;&#x20;&#x20;AUE_LCHOWN&#x20;&#x20;&#x20;&#x20;AUE_ACLSET&#x20;&#x20;&#x20;&#x20;AUE_FACLSET','[{\"cis\": [\"4.3\"]}]'),(8019,'Enable&#x20;Auditing&#x20;of&#x20;Process&#x20;and&#x20;Privilege&#x20;Events','The&#x20;Solaris&#x20;Audit&#x20;service&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;record&#x20;the&#x20;use&#x20;of&#x20;privileges&#x20;by&#x20;processes&#x20;running&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;will&#x20;capture&#x20;events&#x20;such&#x20;as&#x20;the&#x20;setting&#x20;of&#x20;UID&#x20;and&#x20;GID&#x20;values,&#x20;setting&#x20;of&#x20;privileges,&#x20;as&#x20;well&#x20;as&#x20;the&#x20;use&#x20;of&#x20;functionality&#x20;such&#x20;as&#x20;chroot&#40;2&#41;.','This&#x20;recommendation&#x20;will&#x20;provide&#x20;an&#x20;audit&#x20;trail&#x20;that&#x20;contains&#x20;information&#x20;related&#x20;to&#x20;the&#x20;use&#x20;of&#x20;privileges&#x20;by&#x20;processes&#x20;running&#x20;on&#x20;the&#x20;system.&#x20;The&#x20;Solaris&#x20;Audit&#x20;service&#x20;is&#x20;used&#x20;to&#x20;provide&#x20;a&#x20;more&#x20;centralized&#x20;and&#x20;complete&#x20;window&#x20;into&#x20;activities&#x20;such&#x20;as&#x20;these.','','To&#x20;enforce&#x20;this&#x20;setting,&#x20;edit&#x20;the&#x20;/etc/security/audit_event&#x20;file&#x20;and&#x20;add&#x20;the&#x20;cis&#x20;audit&#x20;class&#x20;to&#x20;the&#x20;following&#x20;audit&#x20;events:&#x20;AUE_CHROOT&#x20;&#x20;&#x20;&#x20;AUE_SETREUID&#x20;&#x20;&#x20;&#x20;AUE_SETREGID&#x20;&#x20;&#x20;&#x20;AUE_FCHROOT&#x20;&#x20;&#x20;&#x20;AUE_PFEXEC&#x20;&#x20;&#x20;&#x20;AUE_SETUID&#x20;&#x20;&#x20;&#x20;AUE_NICE&#x20;&#x20;&#x20;&#x20;AUE_SETGID&#x20;&#x20;&#x20;&#x20;AUE_PRIOCNTLSYS&#x20;&#x20;&#x20;&#x20;AUE_SETEGID&#x20;&#x20;&#x20;&#x20;AUE_SETEUID&#x20;&#x20;&#x20;&#x20;AUE_SETPPRIV&#x20;&#x20;&#x20;&#x20;AUE_SETSID&#x20;&#x20;&#x20;&#x20;AUE_SETPGID','[{\"cis\": [\"4.4\"]}]'),(8020,'Configure&#x20;Solaris&#x20;Auditing','Solaris&#x20;auditing&#x20;service&#x20;keeps&#x20;a&#x20;record&#x20;of&#x20;how&#x20;a&#x20;system&#x20;is&#x20;being&#x20;used.&#x20;Solaris&#x20;auditing&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;record&#x20;different&#x20;classes&#x20;of&#x20;events&#x20;based&#x20;upon&#x20;site&#x20;policy.&#x20;This&#x20;recommendation&#x20;will&#x20;set&#x20;and&#x20;verify&#x20;a&#x20;consensus-developed&#x20;auditing&#x20;policy.&#x20;That&#x20;said,&#x20;all&#x20;organizations&#x20;are&#x20;encouraged&#x20;to&#x20;tailor&#x20;this&#x20;policy&#x20;based&#x20;upon&#x20;their&#x20;specific&#x20;needs.&#x20;For&#x20;more&#x20;information&#x20;on&#x20;the&#x20;Solaris&#x20;auditing&#x20;service&#x20;including&#x20;how&#x20;to&#x20;filter&#x20;and&#x20;view&#x20;events,&#x20;see&#x20;the&#x20;Oracle&#x20;Solaris&#x20;product&#x20;documentation.&#x20;The&#x20;&quot;cis&quot;&#x20;class&#x20;is&#x20;a&#x20;&quot;custom&#x20;class&quot;&#x20;that&#x20;CIS&#x20;recommends&#x20;creating&#x20;that&#x20;includes&#x20;specifically&#x20;those&#x20;events&#x20;that&#x20;are&#x20;of&#x20;interest&#x20;&#40;defined&#x20;in&#x20;the&#x20;sections&#x20;above&#41;.&#x20;In&#x20;addition&#x20;to&#x20;those&#x20;events,&#x20;this&#x20;recommendation&#x20;also&#x20;includes&#x20;auditing&#x20;of&#x20;login&#x20;and&#x20;logout&#x20;&#40;lo&#41;&#x20;events,&#x20;administrative&#x20;&#40;ad&#41;&#x20;events,&#x20;file&#x20;transfer&#x20;&#40;ft&#41;&#x20;events,&#x20;and&#x20;command&#x20;execution&#x20;&#40;ex&#41;&#x20;events.&#x20;This&#x20;recommendation&#x20;also&#x20;configures&#x20;the&#x20;Solaris&#x20;auditing&#x20;service&#x20;to&#x20;capture&#x20;and&#x20;report&#x20;command&#x20;line&#x20;arguments&#x20;&#40;for&#x20;command&#x20;execution&#x20;events&#41;&#x20;and&#x20;the&#x20;zone&#x20;name&#x20;in&#x20;which&#x20;a&#x20;command&#x20;was&#x20;executed&#x20;&#40;for&#x20;global&#x20;and&#x20;non-global&#x20;zones&#41;.&#x20;Further,&#x20;this&#x20;recommendation&#x20;sets&#x20;a&#x20;disk&#x20;utilization&#x20;threshold&#x20;of&#x20;1%.&#x20;If&#x20;this&#x20;threshold&#x20;is&#x20;crossed&#x20;&#40;for&#x20;the&#x20;volume&#x20;that&#x20;includes&#x20;/var/audit&#41;,&#x20;then&#x20;a&#x20;warning&#x20;e-mail&#x20;will&#x20;be&#x20;sent&#x20;to&#x20;advise&#x20;the&#x20;system&#x20;administrators&#x20;that&#x20;audit&#x20;events&#x20;may&#x20;be&#x20;lost&#x20;if&#x20;the&#x20;disk&#x20;becomes&#x20;full.&#x20;Finally,&#x20;this&#x20;recommendation&#x20;will&#x20;also&#x20;ensure&#x20;that&#x20;new&#x20;audit&#x20;trails&#x20;are&#x20;created&#x20;at&#x20;the&#x20;start&#x20;of&#x20;each&#x20;new&#x20;day&#x20;&#40;to&#x20;help&#x20;keep&#x20;the&#x20;size&#x20;of&#x20;the&#x20;files&#x20;small&#x20;to&#x20;facilitate&#x20;analysis&#41;.','The&#x20;consensus&#x20;settings&#x20;described&#x20;in&#x20;this&#x20;section&#x20;are&#x20;an&#x20;effort&#x20;to&#x20;log&#x20;interesting&#x20;system&#x20;events&#x20;without&#x20;consuming&#x20;excessive&#x20;amounts&#x20;of&#x20;resources&#x20;logging&#x20;significant&#x20;but&#x20;usually&#x20;uninteresting&#x20;system&#x20;calls.','','To&#x20;enforce&#x20;this&#x20;setting,&#x20;use&#x20;the&#x20;command:&#x20;#&#x20;auditconfig&#x20;-conf&#x20;&#x20;&#x20;&#x20;#&#x20;auditconfig&#x20;-setflags&#x20;lo,ad,ft,ex,cis&#x20;&#x20;&#x20;&#x20;#&#x20;auditconfig&#x20;-setnaflags&#x20;lo&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;auditconfig&#x20;-setpolicy&#x20;cnt,argv,zonename&#x20;&#x20;&#x20;&#x20;#&#x20;auditconfig&#x20;-setplugin&#x20;audit_binfile&#x20;active&#x20;p_minfree=1&#x20;&#x20;&#x20;&#x20;&#x20;#&#x20;audit&#x20;-s&#x20;&#x20;&#x20;&#x20;#&#x20;rolemod&#x20;-K&#x20;audit_flags=lo,ad,ft,ex,cis:no&#x20;root&#x20;&#x20;&#x20;&#x20;#&#x20;EDITOR=ed&#x20;crontab&#x20;-e&#x20;root&#x20;&lt;&lt;&#x20;END_CRON&#x20;$&#x20;a&#x20;0&#x20;*&#x20;*&#x20;*&#x20;*&#x20;/usr/sbin/audit&#x20;-n&#x20;.&#x20;&#x20;w&#x20;q&#x20;END_CRON&#x20;&#x20;&#x20;&#x20;#&#x20;chown&#x20;root:root&#x20;/var/audit&#x20;&#x20;&#x20;&#x20;#&#x20;chmod&#x20;750&#x20;/var/audit','[{\"cis\": [\"4.5\"]}]'),(8021,'Default&#x20;Service&#x20;File&#x20;Creation&#x20;Mask','The&#x20;default&#x20;system&#x20;file&#x20;creation&#x20;mask&#x20;applies&#x20;to&#x20;processes&#x20;that&#x20;are&#x20;started&#x20;by&#x20;init&#x20;-&#x20;including&#x20;most&#x20;system&#x20;services.&#x20;To&#x20;ensure&#x20;that&#x20;files&#x20;are&#x20;not&#x20;created&#x20;with&#x20;write&#x20;access&#x20;to&#x20;anyone&#x20;other&#x20;than&#x20;their&#x20;owner,&#x20;the&#x20;default&#x20;file&#x20;creation&#x20;mask&#x20;should&#x20;be&#x20;set&#x20;to&#x20;022.&#x20;Some&#x20;sites&#x20;with&#x20;more&#x20;stringent&#x20;security&#x20;requirements&#x20;may&#x20;prefer&#x20;to&#x20;set&#x20;this&#x20;value&#x20;to&#x20;077&#x20;to&#x20;eliminate&#x20;all&#x20;permissions&#x20;for&#x20;group&#x20;and&#x20;world.&#x20;Note&#x20;that&#x20;changing&#x20;this&#x20;value&#x20;from&#x20;the&#x20;Solaris&#x20;default&#x20;of&#x20;022&#x20;may&#x20;negatively&#x20;impact&#x20;services&#x20;that&#x20;may&#x20;not&#x20;be&#x20;able&#x20;to&#x20;operate&#x20;with&#x20;a&#x20;stricter&#x20;setting.','The&#x20;default&#x20;file&#x20;creation&#x20;mask&#x20;should&#x20;be&#x20;set&#x20;to&#x20;022&#x20;to&#x20;avoid&#x20;unnecessarily&#x20;giving&#x20;files&#x20;write&#x20;access&#x20;to&#x20;group&#x20;or&#x20;world.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;&#x20;#&#x20;svccfg&#x20;-s&#x20;svc:/system/environment:init&#x20;setprop&#x20;umask/umask&#x20;=&#x20;astring:&#x20;&quot;022&quot;','[{\"cis\": [\"5.1\"]}]'),(8022,'Disable&#x20;&quot;nobody&quot;&#x20;Access&#x20;for&#x20;RPC&#x20;Encryption&#x20;Key&#x20;Storage&#x20;Service','This&#x20;action&#x20;listed&#x20;prevents&#x20;keyserv&#x20;from&#x20;using&#x20;default&#x20;keys&#x20;for&#x20;the&#x20;nobody&#x20;user,&#x20;effectively&#x20;stopping&#x20;the&#x20;nobody&#x20;user&#x20;from&#x20;accessing&#x20;information&#x20;via&#x20;Secure&#x20;RPC.','If&#x20;login&#x20;by&#x20;the&#x20;user&#x20;nobody&#x20;is&#x20;allowed&#x20;for&#x20;secure&#x20;RPC,&#x20;there&#x20;is&#x20;an&#x20;increased&#x20;risk&#x20;of&#x20;system&#x20;compromise.&#x20;If&#x20;keyserv&#x20;holds&#x20;a&#x20;private&#x20;key&#x20;for&#x20;the&#x20;nobody&#x20;user,&#x20;it&#x20;will&#x20;be&#x20;used&#x20;by&#x20;key_encryptsession&#x20;to&#x20;compute&#x20;a&#x20;magic&#x20;phrase&#x20;which&#x20;can&#x20;be&#x20;easily&#x20;recovered&#x20;by&#x20;a&#x20;malicious&#x20;user.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;cd&#x20;/etc/default&#x20;#&#x20;awk&#x20;&#039;/ENABLE_NOBODY_KEYS=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;ENABLE_NOBODY_KEYS=NO&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;keyserv&#x20;&gt;&#x20;keyserv.CIS&#x20;&#x20;&#x20;&#x20;#&#x20;mv&#x20;keyserv.CIS&#x20;keyserv','[{\"cis\": [\"6.2\"]}]'),(8023,'Disable&#x20;X11&#x20;Forwarding&#x20;for&#x20;SSH','The&#x20;&#039;X11&#x20;Forwarding&#039;&#x20;parameter&#x20;defined&#x20;within&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;specifies&#x20;whether&#x20;or&#x20;not&#x20;X11&#x20;Forwarding&#x20;via&#x20;SSH&#x20;is&#x20;enabled&#x20;on&#x20;the&#x20;server:&#x20;The&#x20;Secure&#x20;Shell&#x20;service&#x20;provides&#x20;an&#x20;encrypted&#x20;&#039;tunnel&#039;&#x20;for&#x20;the&#x20;data&#x20;traffic&#x20;passing&#x20;through&#x20;it.&#x20;While&#x20;commonly&#x20;used&#x20;to&#x20;substitute&#x20;for&#x20;clear-text,&#x20;CLI-based&#x20;remote&#x20;connections&#x20;such&#x20;as&#x20;telnet,&#x20;Secure&#x20;Shell&#x20;can&#x20;be&#x20;used&#x20;to&#x20;forward&#x20;an&#x20;&#039;X&#x20;Window&#039;&#x20;session&#x20;through&#x20;the&#x20;encrypted&#x20;tunnel,&#x20;allowing&#x20;the&#x20;remote&#x20;user&#x20;to&#x20;have&#x20;a&#x20;GUI&#x20;interface.','As&#x20;enabling&#x20;X11Forwarding&#x20;on&#x20;the&#x20;host&#x20;can&#x20;permit&#x20;a&#x20;malicious&#x20;user&#x20;to&#x20;secretly&#x20;open&#x20;another&#x20;X11&#x20;connection&#x20;to&#x20;another&#x20;remote&#x20;client&#x20;during&#x20;the&#x20;session&#x20;and&#x20;perform&#x20;unobtrusive&#x20;activities&#x20;such&#x20;as&#x20;keystroke&#x20;monitoring,&#x20;if&#x20;the&#x20;X11&#x20;services&#x20;are&#x20;not&#x20;required&#x20;for&#x20;the&#x20;system&#039;s&#x20;intended&#x20;function,&#x20;it&#x20;should&#x20;be&#x20;disabled&#x20;or&#x20;restricted&#x20;as&#x20;appropriate&#x20;to&#x20;the&#x20;user&#039;s&#x20;needs.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;awk&#x20;&#039;/^X11Forwarding&#x20;/&#x20;{&#x20;$2&#x20;=&#x20;&quot;no&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;/etc/ssh/sshd_config&#x20;&gt;&#x20;/etc/ssh/sshd_config.CIS&#x20;#&#x20;mv&#x20;/etc/ssh/sshd_config.CIS&#x20;/etc/ssh/sshd_config&#x20;&#x20;&#x20;&#x20;#&#x20;svcadm&#x20;restart&#x20;svc:/network/ssh','[{\"cis\": [\"6.3\"]}]'),(8024,'Limit&#x20;Consecutive&#x20;Login&#x20;Attempts&#x20;for&#x20;SSH','The&#x20;&#039;MaxAuthTries&#039;&#x20;parameter&#x20;in&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;By&#x20;restricting&#x20;the&#x20;number&#x20;of&#x20;failed&#x20;authentication&#x20;attempts&#x20;before&#x20;the&#x20;server&#x20;terminates&#x20;the&#x20;connection,&#x20;malicious&#x20;users&#x20;are&#x20;blocked&#x20;from&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;host&#x20;by&#x20;using&#x20;repetitive&#x20;brute-force&#x20;login&#x20;exploits.','By&#x20;setting&#x20;the&#x20;authentication&#x20;login&#x20;limit&#x20;to&#x20;a&#x20;low&#x20;value&#x20;this&#x20;will&#x20;disconnect&#x20;the&#x20;attacker&#x20;and&#x20;force&#x20;a&#x20;reconnect,&#x20;which&#x20;severely&#x20;limits&#x20;the&#x20;speed&#x20;of&#x20;such&#x20;brute&#x20;force&#x20;attacks.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;awk&#x20;&#039;/^MaxAuthTries/&#x20;{&#x20;$2&#x20;=&#x20;&quot;3&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;/etc/ssh/sshd_config&#x20;&gt;&#x20;/etc/ssh/sshd_config.CIS&#x20;#&#x20;mv&#x20;/etc/ssh/sshd_config.CIS&#x20;/etc/ssh/sshd_config&#x20;&#x20;&#x20;&#x20;#&#x20;svcadm&#x20;restart&#x20;svc:/network/ssh','[{\"cis\": [\"6.4\"]}]'),(8025,'Disable&#x20;Rhost-based&#x20;Authentication&#x20;for&#x20;SSH','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;existing&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files,&#x20;which&#x20;may&#x20;apply&#x20;to&#x20;application&#x20;rather&#x20;than&#x20;user&#x20;logins,&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthentication&#x20;or&#x20;HostbasedAuthentication.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;SSH.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;awk&#x20;&#039;/^IgnoreRhosts/&#x20;{&#x20;$2&#x20;=&#x20;&quot;yes&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;/etc/ssh/sshd_config&#x20;&gt;&#x20;/etc/ssh/sshd_config.CIS&#x20;&#x20;&#x20;&#x20;#&#x20;mv&#x20;/etc/ssh/sshd_config.CIS&#x20;/etc/ssh/sshd_config&#x20;&#x20;&#x20;&#x20;#&#x20;svcadm&#x20;restart&#x20;svc:/network/ssh&#x20;&#x20;&#x20;&#x20;This&#x20;action&#x20;will&#x20;only&#x20;set&#x20;the&#x20;IgnoreRhosts&#x20;line&#x20;if&#x20;it&#x20;already&#x20;exists&#x20;in&#x20;the&#x20;file&#x20;to&#x20;ensure&#x20;that&#x20;it&#x20;is&#x20;set&#x20;to&#x20;the&#x20;proper&#x20;value.&#x20;If&#x20;the&#x20;IgnoreRhosts&#x20;line&#x20;does&#x20;not&#x20;exist&#x20;in&#x20;the&#x20;file,&#x20;the&#x20;default&#x20;setting&#x20;of&#x20;Yes&#x20;is&#x20;automatically&#x20;used,&#x20;so&#x20;no&#x20;additional&#x20;changes&#x20;are&#x20;needed.','[{\"cis\": [\"6.5\"]}]'),(8026,'Disable&#x20;root&#x20;login&#x20;for&#x20;SSH','The&#x20;PermitRootLogin&#x20;value&#x20;&#40;in&#x20;/etc/ssh/sshd_config&#41;&#x20;allows&#x20;for&#x20;direct&#x20;root&#x20;login&#x20;by&#x20;a&#x20;remote&#x20;user/application&#x20;to&#x20;resources&#x20;on&#x20;the&#x20;local&#x20;host.','By&#x20;default,&#x20;it&#x20;is&#x20;not&#x20;possible&#x20;for&#x20;the&#x20;root&#x20;account&#x20;to&#x20;log&#x20;directly&#x20;into&#x20;the&#x20;system&#x20;console&#x20;because&#x20;the&#x20;account&#x20;is&#x20;configured&#x20;as&#x20;a&#x20;role.&#x20;This&#x20;setting&#x20;therefore&#x20;does&#x20;not&#x20;significantly&#x20;alter&#x20;the&#x20;security&#x20;posture&#x20;of&#x20;the&#x20;system&#x20;unless&#x20;the&#x20;root&#x20;account&#x20;is&#x20;changed&#x20;from&#x20;this&#x20;default&#x20;and&#x20;configured&#x20;to&#x20;be&#x20;a&#x20;normal&#x20;user.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;awk&#x20;&#039;/^PermitRootLogin/&#x20;{&#x20;$2&#x20;=&#x20;&quot;no&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;/etc/ssh/sshd_config&#x20;&gt;&#x20;/etc/ssh/sshd_config.CIS&#x20;&#x20;&#x20;&#x20;#&#x20;mv&#x20;/etc/ssh/sshd_config.CIS&#x20;/etc/ssh/sshd_config&#x20;&#x20;&#x20;&#x20;#&#x20;svcadm&#x20;restart&#x20;svc:/network/ssh','[{\"cis\": [\"6.6\"]}]'),(8027,'Blocking&#x20;Authentication&#x20;Using&#x20;Empty/Null&#x20;Passwords&#x20;for&#x20;SSH','The&#x20;PermitEmptyPasswords&#x20;value&#x20;allows&#x20;for&#x20;direct&#x20;login&#x20;through&#x20;SSH&#x20;without&#x20;a&#x20;password&#x20;by&#x20;a&#x20;remote&#x20;user/application&#x20;to&#x20;resources&#x20;on&#x20;the&#x20;local&#x20;host&#x20;in&#x20;the&#x20;same&#x20;way&#x20;a&#x20;standard&#x20;remote&#x20;login&#x20;would.','Permitting&#x20;login&#x20;without&#x20;a&#x20;password&#x20;is&#x20;inherently&#x20;risky.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;awk&#x20;&#039;/^PermitEmptyPasswords/&#x20;{&#x20;$2&#x20;=&#x20;&quot;no&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;/etc/ssh/sshd_config&#x20;&gt;&#x20;/etc/ssh/sshd_config.CIS&#x20;&#x20;&#x20;&#x20;#&#x20;mv&#x20;/etc/ssh/sshd_config.CIS&#x20;/etc/ssh/sshd_config&#x20;&#x20;&#x20;&#x20;#&#x20;svcadm&#x20;restart&#x20;svc:/network/ssh','[{\"cis\": [\"6.7\"]}]'),(8028,'Disable&#x20;Host-based&#x20;Authentication&#x20;for&#x20;Login-based&#x20;Services','The&#x20;.rhosts&#x20;files&#x20;are&#x20;used&#x20;for&#x20;automatic&#x20;login&#x20;to&#x20;remote&#x20;hosts&#x20;and&#x20;contain&#x20;username&#x20;and&#x20;hostname&#x20;combinations.&#x20;The&#x20;.rhosts&#x20;files&#x20;are&#x20;unencrypted&#x20;&#40;usually&#x20;group-&#x20;or&#x20;world-&#x20;readable&#41;&#x20;and&#x20;present&#x20;a&#x20;serious&#x20;risk&#x20;in&#x20;that&#x20;a&#x20;malicious&#x20;user&#x20;could&#x20;use&#x20;the&#x20;information&#x20;within&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;a&#x20;remote&#x20;host&#x20;with&#x20;the&#x20;privileges&#x20;of&#x20;the&#x20;original&#x20;application&#x20;or&#x20;user.','The&#x20;use&#x20;of&#x20;.rhosts&#x20;authentication&#x20;is&#x20;an&#x20;old&#x20;and&#x20;insecure&#x20;protocol&#x20;and&#x20;can&#x20;be&#x20;replaced&#x20;with&#x20;public-key&#x20;authentication&#x20;using&#x20;Secure&#x20;Shell.&#x20;As&#x20;automatic&#x20;authentication&#x20;settings&#x20;in&#x20;the&#x20;.rhosts&#x20;files&#x20;can&#x20;provide&#x20;a&#x20;malicious&#x20;user&#x20;with&#x20;sensitive&#x20;system&#x20;credentials,&#x20;the&#x20;use&#x20;of&#x20;.rhosts&#x20;files&#x20;should&#x20;be&#x20;disabled.&#x20;It&#x20;should&#x20;be&#x20;noted&#x20;that&#x20;by&#x20;default&#x20;the&#x20;Solaris&#x20;services&#x20;that&#x20;use&#x20;this&#x20;file,&#x20;including&#x20;rsh&#x20;and&#x20;rlogin,&#x20;are&#x20;disabled&#x20;by&#x20;default.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;cd&#x20;/etc&#x20;&#x20;&#x20;&#x20;#&#x20;cp&#x20;pam.conf&#x20;pam.conf.pre-CIS&#x20;&#x20;&#x20;&#x20;#&#x20;sed&#x20;-e&#x20;&#039;s/^.*pam_rhosts_auth/#&amp;/&#039;&#x20;&lt;&#x20;/etc/pam.conf&#x20;&gt;&#x20;pam.conf.CIS&#x20;&#x20;&#x20;&#x20;#&#x20;mv&#x20;pam.conf.CIS&#x20;pam.conf','[{\"cis\": [\"6.8\"]}]'),(8029,'Set&#x20;Delay&#x20;between&#x20;Failed&#x20;Login&#x20;Attempts&#x20;to&#x20;4','The&#x20;SLEEPTIME&#x20;variable&#x20;in&#x20;the&#x20;/etc/default/login&#x20;file&#x20;controls&#x20;the&#x20;number&#x20;of&#x20;seconds&#x20;to&#x20;wait&#x20;before&#x20;printing&#x20;the&#x20;&quot;login&#x20;incorrect&quot;&#x20;message&#x20;when&#x20;a&#x20;bad&#x20;password&#x20;is&#x20;provided.','As&#x20;an&#x20;immediate&#x20;return&#x20;of&#x20;an&#x20;error&#x20;message,&#x20;coupled&#x20;with&#x20;the&#x20;capability&#x20;to&#x20;try&#x20;again&#x20;may&#x20;facilitate&#x20;automatic&#x20;and&#x20;rapid-fire&#x20;brute-force&#x20;password&#x20;attacks&#x20;by&#x20;a&#x20;malicious&#x20;user,&#x20;this&#x20;delay&#x20;time&#x20;should&#x20;be&#x20;set&#x20;as&#x20;appropriate&#x20;to&#x20;the&#x20;needs&#x20;of&#x20;the&#x20;user.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;cd&#x20;/etc/default&#x20;#&#x20;awk&#x20;&#039;/SLEEPTIME=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;SLEEPTIME=4&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;login&#x20;&gt;&#x20;login.CIS&#x20;#&#x20;mv&#x20;login.CIS&#x20;login','[{\"cis\": [\"6.10\"]}]'),(8030,'Remove&#x20;Autologin&#x20;Capabilities&#x20;from&#x20;the&#x20;GNOME&#x20;desktop','The&#x20;GNOME&#x20;Display&#x20;Manager&#x20;is&#x20;used&#x20;for&#x20;login&#x20;session&#x20;management.&#x20;See&#x20;the&#x20;manual&#x20;page&#x20;gdm&#40;1&#41;&#x20;for&#x20;more&#x20;information.&#x20;By&#x20;default,&#x20;GNOME&#x20;automatic&#x20;login&#x20;is&#x20;defined&#x20;in&#x20;pam.conf&#40;4&#41;&#x20;to&#x20;allow&#x20;users&#x20;to&#x20;access&#x20;the&#x20;system&#x20;without&#x20;a&#x20;password.','As&#x20;automatic&#x20;logins&#x20;are&#x20;a&#x20;known&#x20;security&#x20;risk&#x20;for&#x20;other&#x20;than&#x20;&quot;kiosk&quot;&#x20;types&#x20;of&#x20;systems,&#x20;GNOME&#x20;automatic&#x20;login&#x20;should&#x20;be&#x20;disabled&#x20;in&#x20;pam.conf&#40;4&#41;.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;cd&#x20;/etc&#x20;&#x20;&#x20;&#x20;#&#x20;awk&#x20;&#039;/^gdm-autologin/&#x20;{&#x20;$1=&quot;&#x20;&#x20;&#x20;#gdm-autologin&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;/etc/pam.conf&#x20;&gt;&#x20;/etc/pam.conf.CIS&#x20;&#x20;&#x20;&#x20;#&#x20;mv&#x20;pam.conf.CIS&#x20;pam.conf','[{\"cis\": [\"6.11\"]}]'),(8031,'Set&#x20;Default&#x20;Screen&#x20;Lock&#x20;for&#x20;GNOME&#x20;Users','The&#x20;timeout&#x20;parameter&#x20;dictates&#x20;the&#x20;invocation&#x20;of&#x20;a&#x20;password-protected&#x20;screen&#x20;saver&#x20;after&#x20;a&#x20;specified&#x20;time&#x20;of&#x20;keyboard&#x20;and&#x20;mouse&#x20;inactivity,&#x20;specific&#x20;to&#x20;the&#x20;xscreensaver&#x20;application&#x20;used&#x20;in&#x20;the&#x20;GNOME&#x20;windowing&#x20;environment.','As&#x20;a&#x20;screensaver&#x20;timeout&#x20;provides&#x20;protection&#x20;for&#x20;a&#x20;desktop&#x20;that&#x20;has&#x20;not&#x20;been&#x20;locked&#x20;by&#x20;the&#x20;user&#x20;upon&#x20;his/her&#x20;departure,&#x20;to&#x20;help&#x20;prevent&#x20;session&#x20;hijacking,&#x20;this&#x20;value&#x20;should&#x20;be&#x20;set&#x20;as&#x20;appropriate&#x20;to&#x20;the&#x20;needs&#x20;of&#x20;the&#x20;user.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;cd&#x20;/usr/share/X11/app-defaults&#x20;&#x20;&#x20;&#x20;#&#x20;cp&#x20;XScreenSaver&#x20;XScreenSaver.orig&#x20;&#x20;&#x20;&#x20;#&#x20;awk&#x20;&#039;/^*timeout:/&#x20;{&#x20;$2&#x20;=&#x20;&quot;0:10:00&quot;&#x20;}&#x20;/^*lockTimeout:/&#x20;{&#x20;$2&#x20;=&#x20;&quot;0:00:00&quot;&#x20;}&#x20;/^*lock:/&#x20;{&#x20;$2&#x20;=&#x20;&quot;True&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;xScreenSaver&#x20;&gt;&#x20;xScreenSaver.CIS&#x20;&#x20;&#x20;&#x20;#&#x20;mv&#x20;xScreenSaver.CIS&#x20;xScreenSaver','[{\"cis\": [\"6.12\"]}]'),(8032,'Restrict&#x20;at/cron&#x20;to&#x20;Authorized&#x20;Users','The&#x20;cron.allow&#x20;and&#x20;at.allow&#x20;files&#x20;contain&#x20;a&#x20;list&#x20;of&#x20;users&#x20;who&#x20;are&#x20;allowed&#x20;to&#x20;run&#x20;the&#x20;crontab&#x20;and&#x20;at&#x20;commands&#x20;to&#x20;submit&#x20;jobs&#x20;to&#x20;be&#x20;run&#x20;at&#x20;scheduled&#x20;intervals.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;needs&#x20;the&#x20;ability&#x20;to&#x20;schedule&#x20;jobs.&#x20;Even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.&#x20;Much&#x20;more&#x20;effective&#x20;access&#x20;controls&#x20;for&#x20;the&#x20;cron&#x20;system&#x20;can&#x20;be&#x20;obtained&#x20;by&#x20;using&#x20;Role-Based&#x20;Access&#x20;Controls&#x20;&#40;RBAC&#41;.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;cd&#x20;/etc/cron.d&#x20;&#x20;&#x20;&#x20;#&#x20;mv&#x20;cron.deny&#x20;cron.deny.cis&#x20;&#x20;&#x20;&#x20;#&#x20;mv&#x20;at.deny&#x20;at.deny.cis&#x20;&#x20;&#x20;&#x20;#&#x20;echo&#x20;root&#x20;&gt;&#x20;cron.allow&#x20;&#x20;&#x20;&#x20;#&#x20;cp&#x20;/dev/null&#x20;at.allow&#x20;&#x20;&#x20;&#x20;#&#x20;chown&#x20;root:root&#x20;cron.allow&#x20;at.allow&#x20;&#x20;&#x20;&#x20;#&#x20;chmod&#x20;400&#x20;cron.allow&#x20;at.allow','[{\"cis\": [\"6.13\"]}]'),(8033,'Restrict&#x20;root&#x20;Login&#x20;to&#x20;System&#x20;Console','Privileged&#x20;access&#x20;to&#x20;the&#x20;system&#x20;via&#x20;root&#x20;must&#x20;be&#x20;accountable&#x20;to&#x20;a&#x20;particular&#x20;user.','Use&#x20;an&#x20;authorized&#x20;mechanism&#x20;such&#x20;as&#x20;RBAC&#x20;and&#x20;the&#x20;su&#x20;command&#x20;to&#x20;provide&#x20;administrative&#x20;access&#x20;to&#x20;unprivileged&#x20;accounts.&#x20;These&#x20;mechanisms&#x20;provide&#x20;an&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;problems.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;cd&#x20;/etc/default&#x20;#&#x20;awk&#x20;&#039;/CONSOLE=/&#x20;{&#x20;print&#x20;&quot;CONSOLE=/dev/console&quot;;&#x20;next&#x20;};&#x20;{&#x20;print&#x20;}&#039;&#x20;login&#x20;&gt;&#x20;login.CIS&#x20;#&#x20;mv&#x20;login.CIS&#x20;login','[{\"cis\": [\"6.14\"]}]'),(8034,'Set&#x20;Retry&#x20;Limit&#x20;for&#x20;Account&#x20;Lockout','The&#x20;RETRIES&#x20;parameter&#x20;is&#x20;the&#x20;number&#x20;of&#x20;failed&#x20;login&#x20;attempts&#x20;a&#x20;user&#x20;is&#x20;allowed&#x20;before&#x20;being&#x20;disconnected&#x20;from&#x20;the&#x20;system&#x20;and&#x20;forced&#x20;to&#x20;reconnect.&#x20;When&#x20;LOCK_AFTER_RETRIES&#x20;is&#x20;set&#x20;in&#x20;/etc/security/policy.conf,&#x20;then&#x20;the&#x20;user&#039;s&#x20;account&#x20;is&#x20;locked&#x20;after&#x20;this&#x20;many&#x20;failed&#x20;retries&#x20;&#40;the&#x20;account&#x20;can&#x20;only&#x20;be&#x20;unlocked&#x20;by&#x20;the&#x20;administrator&#x20;using&#x20;the&#x20;command:&#x20;passwd&#x20;-u&#x20;&lt;username&gt;&#41;.&#x20;The&#x20;account&#x20;lockout&#x20;threshold&#x20;&#40;RETRIES&#x20;parameter&#41;&#x20;restricts&#x20;the&#x20;number&#x20;of&#x20;failed&#x20;login&#x20;attempts&#x20;allowed&#x20;before&#x20;requiring&#x20;the&#x20;offending&#x20;account&#x20;be&#x20;locked.&#x20;The&#x20;lockout&#x20;requirement&#x20;will&#x20;help&#x20;block&#x20;malicious&#x20;users&#x20;from&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;host&#x20;via&#x20;automated,&#x20;repetitive&#x20;brute-force&#x20;login&#x20;exploits--trying&#x20;different&#x20;passwords&#x20;until&#x20;one&#x20;fits&#x20;a&#x20;user&#x20;name.','Setting&#x20;the&#x20;failed&#x20;login&#x20;limit&#x20;to&#x20;an&#x20;appropriate&#x20;value&#x20;locks&#x20;the&#x20;user&#x20;account,&#x20;which&#x20;will&#x20;severely&#x20;limit&#x20;the&#x20;speed&#x20;of&#x20;such&#x20;attacks,&#x20;making&#x20;it&#x20;much&#x20;more&#x20;likely&#x20;that&#x20;the&#x20;attacker&#039;s&#x20;pattern&#x20;will&#x20;be&#x20;noticed&#x20;and&#x20;the&#x20;offending&#x20;source&#x20;address&#x20;and/or&#x20;port&#x20;blocked,&#x20;so&#x20;this&#x20;should&#x20;be&#x20;set&#x20;according&#x20;to&#x20;the&#x20;needs&#x20;of&#x20;the&#x20;user.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;cd&#x20;/etc/default&#x20;&#x20;&#x20;&#x20;#&#x20;awk&#x20;&#039;/RETRIES=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;RETRIES=3&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;login&#x20;&gt;login.CIS&#x20;&#x20;&#x20;&#x20;#&#x20;mv&#x20;login.CIS&#x20;login&#x20;&#x20;&#x20;&#x20;#&#x20;cd&#x20;/etc/security&#x20;&#x20;&#x20;&#x20;#&#x20;awk&#x20;&#039;/LOCK_AFTER_RETRIES=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;LOCK_AFTER_RETRIES=YES&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;policy.conf&#x20;&gt;&#x20;policy.conf.CIS&#x20;&#x20;&#x20;&#x20;#&#x20;mv&#x20;policy.conf.CIS&#x20;policy.conf&#x20;&#x20;&#x20;&#x20;#&#x20;svcadm&#x20;restart&#x20;svc:/system/name-service/cache&#x20;&#x20;&#x20;&#x20;&#x20;Be&#x20;careful&#x20;when&#x20;enabling&#x20;these&#x20;settings&#x20;as&#x20;they&#x20;can&#x20;create&#x20;a&#x20;denial-of-service&#x20;situation&#x20;for&#x20;legitimate&#x20;users&#x20;and&#x20;applications.&#x20;Account&#x20;lockout&#x20;can&#x20;be&#x20;disabled&#x20;for&#x20;specific&#x20;users&#x20;via&#x20;the&#x20;usermod&#x20;command.&#x20;For&#x20;example,&#x20;the&#x20;following&#x20;command&#x20;disables&#x20;account&#x20;lock&#x20;specifically&#x20;for&#x20;the&#x20;oracle&#x20;account:&#x20;#&#x20;usermod&#x20;-K&#x20;lock_after_retries=no&#x20;oracle','[{\"cis\": [\"6.15\"]}]'),(8035,'Secure&#x20;the&#x20;GRUB&#x20;Menu&#x20;&#40;Intel&#41;','GRUB&#x20;is&#x20;a&#x20;boot&#x20;loader&#x20;for&#x20;x64&#x20;based&#x20;systems&#x20;that&#x20;permits&#x20;loading&#x20;an&#x20;OS&#x20;image&#x20;from&#x20;any&#x20;location.&#x20;Oracle&#x20;x64&#x20;systems&#x20;support&#x20;the&#x20;use&#x20;of&#x20;a&#x20;GRUB&#x20;Menu&#x20;password&#x20;for&#x20;the&#x20;console.','The&#x20;flexibility&#x20;that&#x20;GRUB&#x20;provides&#x20;creates&#x20;a&#x20;security&#x20;risk&#x20;if&#x20;its&#x20;configuration&#x20;is&#x20;modified&#x20;by&#x20;an&#x20;unauthorized&#x20;user.&#x20;The&#x20;failsafe&#x20;menu&#x20;entry&#x20;needs&#x20;to&#x20;be&#x20;secured&#x20;in&#x20;the&#x20;same&#x20;environments&#x20;that&#x20;require&#x20;securing&#x20;the&#x20;systems&#x20;firmware&#x20;to&#x20;avoid&#x20;unauthorized&#x20;removable&#x20;media&#x20;boots.&#x20;Setting&#x20;the&#x20;GRUB&#x20;Menu&#x20;password&#x20;helps&#x20;prevent&#x20;attackers&#x20;with&#x20;physical&#x20;access&#x20;to&#x20;the&#x20;system&#x20;console&#x20;from&#x20;booting&#x20;off&#x20;some&#x20;external&#x20;device&#x20;&#40;such&#x20;as&#x20;a&#x20;CD-&#x20;ROM&#x20;or&#x20;floppy&#41;&#x20;and&#x20;subverting&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;actions&#x20;described&#x20;in&#x20;this&#x20;section&#x20;will&#x20;ensure&#x20;you&#x20;cannot&#x20;get&#x20;to&#x20;failsafe&#x20;or&#x20;any&#x20;of&#x20;the&#x20;GRUB&#x20;command&#x20;line&#x20;options&#x20;without&#x20;first&#x20;entering&#x20;the&#x20;password.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;/boot/grub/bin/grub&#x20;&#x20;&#x20;&#x20;grub&gt;&#x20;md5crypt&#x20;&#x20;&#x20;&#x20;Password:&#x20;[enter&#x20;desired&#x20;boot&#x20;loader&#x20;password]&#x20;&#x20;&#x20;&#x20;Encrypted:&#x20;[enter&#x20;md5&#x20;password&#x20;string]&#x20;&#x20;&#x20;&#x20;grub&gt;&#x20;[enter&#x20;control-C&#x20;&#40;^C&#41;]&#x20;&#x20;&#x20;&#x20;The&#x20;actual&#x20;menu.lst&#x20;file&#x20;for&#x20;Solaris&#x20;11&#x20;x64&#x20;is&#x20;the&#x20;/rpool/boot/grub/menu.lst.&#x20;First,&#x20;ensure&#x20;the&#x20;menu.lst&#x20;file&#x20;can&#x20;only&#x20;be&#x20;read&#x20;by&#x20;the&#x20;root&#x20;user:&#x20;#&#x20;chmod&#x20;600&#x20;/rpool/boot/grub/menu.lst&#x20;&#x20;&#x20;&#x20;Next,&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;menu.lst&#x20;file&#x20;above&#x20;the&#x20;entries&#x20;added&#x20;by&#x20;bootadm:&#x20;password&#x20;--md5&#x20;[enter&#x20;md5&#x20;password&#x20;string&#x20;generated&#x20;above]&#x20;&#x20;&#x20;&#x20;Finally,&#x20;add&#x20;the&#x20;keyword&#x20;lock&#x20;to&#x20;the&#x20;Solaris&#x20;failsafe&#x20;boot&#x20;entry&#x20;as&#x20;in&#x20;the&#x20;following&#x20;example&#x20;&#40;as&#x20;well&#x20;as&#x20;to&#x20;any&#x20;other&#x20;entries&#x20;that&#x20;you&#x20;want&#x20;to&#x20;protect&#41;:&#x20;title&#x20;Solaris&#x20;failsafe&#x20;&#x20;&#x20;&#x20;lock','[{\"cis\": [\"6.17\"]}]'),(8036,'Set&#x20;Password&#x20;Expiration&#x20;Parameters&#x20;on&#x20;Active&#x20;Accounts','The&#x20;characteristics&#x20;of&#x20;an&#x20;operating&#x20;system&#x20;that&#x20;make&#x20;&#039;user&#x20;identification&#039;&#x20;via&#x20;password&#x20;a&#x20;secure&#x20;and&#x20;workable&#x20;solution&#x20;is&#x20;the&#x20;combination&#x20;of&#x20;settings&#x20;chosen.&#x20;By&#x20;requiring&#x20;that&#x20;a&#x20;series&#x20;of&#x20;password-choices&#x20;be&#x20;security-centric,&#x20;it&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;a&#x20;malicious&#x20;user&#x20;breaking&#x20;the&#x20;password&#x20;through&#x20;dictionary/brute&#x20;force&#x20;attacks&#x20;or&#x20;fortuitous&#x20;guessing&#x20;based&#x20;upon&#x20;&#039;social&#x20;engineering.&#039;&#x20;A&#x20;basic&#x20;password&#x20;security&#x20;strategy&#x20;is&#x20;requiring&#x20;a&#x20;new&#x20;password&#x20;to&#x20;be&#x20;chosen&#x20;every&#x20;45-90&#x20;days,&#x20;so&#x20;that&#x20;repeated&#x20;attempts&#x20;to&#x20;gain&#x20;entry&#x20;by&#x20;brute-force&#x20;tactics&#x20;will&#x20;fail&#x20;when&#x20;a&#x20;new&#x20;password&#x20;is&#x20;chosen,&#x20;which&#x20;requires&#x20;starting&#x20;over&#x20;again&#x20;to&#x20;break&#x20;the&#x20;new&#x20;password.','The&#x20;commands&#x20;for&#x20;this&#x20;item&#x20;set&#x20;all&#x20;active&#x20;accounts&#x20;&#40;except&#x20;the&#x20;root&#x20;account&#41;&#x20;to&#x20;force&#x20;password&#x20;changes&#x20;every&#x20;91&#x20;days&#x20;&#40;13&#x20;weeks&#41;,&#x20;and&#x20;then&#x20;prevent&#x20;password&#x20;changes&#x20;for&#x20;seven&#x20;days&#x20;&#40;one&#x20;week&#41;,&#x20;thereafter.&#x20;Users&#x20;will&#x20;begin&#x20;receiving&#x20;warnings&#x20;28&#x20;days&#x20;&#40;4&#x20;weeks&#41;&#x20;before&#x20;their&#x20;password&#x20;expires.&#x20;Sites&#x20;also&#x20;have&#x20;the&#x20;option&#x20;of&#x20;expiring&#x20;idle&#x20;accounts&#x20;after&#x20;a&#x20;certain&#x20;number&#x20;of&#x20;days&#x20;&#40;see&#x20;the&#x20;on-line&#x20;manual&#x20;page&#x20;for&#x20;the&#x20;usermod&#x20;command,&#x20;particularly&#x20;the&#x20;-f&#x20;option&#41;.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;logins&#x20;-ox&#x20;|&#x20;awk&#x20;-F:&#x20;&#039;&#40;$1&#x20;==&#x20;&quot;root&quot;&#x20;||&#x20;$8&#x20;==&#x20;&quot;LK&quot;&#x20;||&#x20;$8&#x20;==&#x20;&quot;NL&quot;&#41;&#x20;&#x20;{&#x20;next&#x20;}&#x20;;&#x20;&#x20;{&#x20;$cmd&#x20;=&#x20;&quot;passwd&quot;&#x20;}&#x20;;&#x20;&#40;$11&#x20;91&#41;&#x20;{&#x20;$cmd&#x20;=&#x20;$cmd&#x20;&quot;&#x20;-x&#x20;91&quot;&#x20;}&#x20;&#x20;&#40;$10&#x20;&lt;&#x20;7&#41;&#x20;{&#x20;$cmd&#x20;=&#x20;$cmd&#x20;&quot;&#x20;-n&#x20;7&quot;&#x20;}&#x20;&#x20;&#40;$12&#x20;&lt;&#x20;28&#41;&#x20;{&#x20;$cmd&#x20;=&#x20;$cmd&#x20;&quot;&#x20;-w&#x20;28&quot;&#x20;}&#x20;&#x20;&#40;$cmd&#x20;!=&#x20;&quot;passwd&quot;&#41;&#x20;{&#x20;print&#x20;$cmd&#x20;&quot;&#x20;&quot;&#x20;$1&#x20;}&#039;&#x20;&#x20;&gt;&#x20;/etc/CISupd_accounts&#x20;&#x20;&#x20;&#x20;#&#x20;/sbin/sh&#x20;/etc/CISupd_accounts&#x20;&#x20;&#x20;&#x20;#&#x20;rm&#x20;-f&#x20;/etc/CISupd_accounts&#x20;&#x20;&#x20;&#x20;#&#x20;cd&#x20;/etc/default&#x20;&#x20;&#x20;&#x20;#&#x20;grep&#x20;-v&#x20;WEEKS&#x20;passwd&#x20;&gt;&#x20;passwd.CIS&#x20;&#x20;&#x20;&#x20;#&#x20;cat&#x20;&lt;&lt;EODefaults&#x20;&gt;&gt;&#x20;passwd.CIS&#x20;MAXWEEKS=13&#x20;MINWEEKS=1&#x20;WARNWEEKS=4&#x20;EODefaults&#x20;&#x20;&#x20;&#x20;#&#x20;mv&#x20;passwd.CIS&#x20;passwd','[{\"cis\": [\"7.1\"]}]'),(8037,'Set&#x20;Strong&#x20;Password&#x20;Creation&#x20;Policies','The&#x20;variables&#x20;in&#x20;the&#x20;/etc/default/passwd&#x20;file&#x20;indicate&#x20;various&#x20;strategies&#x20;for&#x20;creating&#x20;differences&#x20;required&#x20;between&#x20;an&#x20;old&#x20;and&#x20;a&#x20;new&#x20;password.&#x20;As&#x20;requiring&#x20;users&#x20;to&#x20;select&#x20;a&#x20;specific&#x20;numbers&#x20;of&#x20;differences&#x20;between&#x20;the&#x20;characters&#x20;in&#x20;the&#x20;existing&#x20;password&#x20;and&#x20;the&#x20;new&#x20;one&#x20;can&#x20;strengthen&#x20;the&#x20;password&#x20;by&#x20;increasing&#x20;the&#x20;symbol-set&#x20;space,&#x20;to&#x20;further&#x20;increase&#x20;the&#x20;difficulty&#x20;of&#x20;breaking&#x20;any&#x20;password&#x20;by&#x20;brute-force&#x20;attacks,&#x20;these&#x20;values&#x20;should&#x20;be&#x20;set&#x20;as&#x20;appropriate&#x20;to&#x20;the&#x20;needs&#x20;of&#x20;the&#x20;user.','Administrators&#x20;may&#x20;wish&#x20;to&#x20;add&#x20;site-specific&#x20;dictionaries&#x20;to&#x20;the&#x20;DICTIONLIST&#x20;parameter.&#x20;Warning:&#x20;Sites&#x20;often&#x20;have&#x20;differing&#x20;opinions&#x20;on&#x20;the&#x20;optimal&#x20;value&#x20;of&#x20;the&#x20;HISTORY&#x20;parameter&#x20;&#40;how&#x20;many&#x20;previous&#x20;passwords&#x20;to&#x20;remember&#x20;per&#x20;user&#x20;in&#x20;order&#x20;to&#x20;prevent&#x20;re-&#x20;use&#41;.&#x20;The&#x20;values&#x20;specified&#x20;here&#x20;are&#x20;in&#x20;compliance&#x20;with&#x20;NSA/DISA&#x20;requirements.&#x20;If&#x20;this&#x20;is&#x20;too&#x20;restrictive&#x20;for&#x20;your&#x20;site,&#x20;you&#x20;may&#x20;wish&#x20;to&#x20;set&#x20;a&#x20;HISTORY&#x20;value&#x20;of&#x20;4&#x20;and&#x20;a&#x20;MAXREPEATS&#x20;of&#x20;2.&#x20;Consult&#x20;your&#x20;local&#x20;security&#x20;rules&#x20;for&#x20;guidance.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;cd&#x20;/etc/default&#x20;&#x20;&#x20;&#x20;#&#x20;awk&#x20;&#039;/PASSLENGTH=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;PASSLENGTH=8&quot;&#x20;};&#x20;/NAMECHECK=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;NAMECHECK=YES&quot;&#x20;};&#x20;/HISTORY=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;HISTORY=10&quot;&#x20;};&#x20;/MINDIFF=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;MINDIFF=3&quot;&#x20;};&#x20;/MINALPHA=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;MINALPHA=2&quot;&#x20;};&#x20;/MINUPPER=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;MINUPPER=1&quot;&#x20;};&#x20;/MINLOWER=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;MINLOWER=1&quot;&#x20;};&#x20;/MINNONALPHA=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;MINNONALPHA=1&quot;&#x20;};&#x20;/MAXREPEATS=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;MAXREPEATS=0&quot;&#x20;};&#x20;/WHITESPACE=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;WHITESPACE=YES&quot;&#x20;};&#x20;/DICTIONDBDIR=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;DICTIONDBDIR=/var/passwd&quot;&#x20;};&#x20;/DICTIONLIST=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;DICTIONLIST=/usr/share/lib/dict/words&quot;&#x20;};&#x20;{&#x20;print&#x20;}&#039;&#x20;passwd&#x20;&gt;&#x20;passwd.CIS&#x20;&#x20;&#x20;&#x20;#&#x20;mv&#x20;passwd.CIS&#x20;passwd','[{\"cis\": [\"7.2\"]}]'),(8038,'Set&#x20;Default&#x20;umask&#x20;for&#x20;users','The&#x20;default&#x20;umask&#40;1&#41;&#x20;determines&#x20;the&#x20;permissions&#x20;of&#x20;files&#x20;created&#x20;by&#x20;users.&#x20;The&#x20;user&#x20;creating&#x20;the&#x20;file&#x20;has&#x20;the&#x20;discretion&#x20;of&#x20;making&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;others&#x20;via&#x20;the&#x20;chmod&#40;1&#41;&#x20;command.&#x20;Users&#x20;who&#x20;wish&#x20;to&#x20;allow&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;to&#x20;be&#x20;readable&#x20;by&#x20;others&#x20;by&#x20;default&#x20;may&#x20;choose&#x20;a&#x20;different&#x20;default&#x20;umask&#x20;by&#x20;inserting&#x20;the&#x20;umask&#x20;command&#x20;into&#x20;the&#x20;standard&#x20;shell&#x20;configuration&#x20;files&#x20;&#40;.profile,&#x20;.cshrc,&#x20;etc.&#41;&#x20;in&#x20;their&#x20;home&#x20;directories.','Setting&#x20;a&#x20;very&#x20;secure&#x20;default&#x20;value&#x20;for&#x20;umask&#x20;ensures&#x20;that&#x20;users&#x20;make&#x20;a&#x20;conscious&#x20;choice&#x20;about&#x20;their&#x20;file&#x20;permissions.&#x20;A&#x20;default&#x20;umask&#x20;setting&#x20;of&#x20;077&#x20;causes&#x20;files&#x20;and&#x20;directories&#x20;created&#x20;by&#x20;users&#x20;to&#x20;not&#x20;be&#x20;readable&#x20;by&#x20;any&#x20;other&#x20;user&#x20;on&#x20;the&#x20;system.&#x20;A&#x20;umask&#x20;of&#x20;027&#x20;would&#x20;allow&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;users&#x20;in&#x20;the&#x20;same&#x20;Unix&#x20;group,&#x20;while&#x20;a&#x20;umask&#x20;of&#x20;022&#x20;would&#x20;make&#x20;files&#x20;readable&#x20;by&#x20;every&#x20;user&#x20;on&#x20;the&#x20;system.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;cd&#x20;/etc/default&#x20;&#x20;&#x20;&#x20;#&#x20;awk&#x20;&#039;/#UMASK=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;UMASK=027&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;login&#x20;&gt;&#x20;login.CIS&#x20;&#x20;&#x20;&#x20;#&#x20;mv&#x20;login.CIS&#x20;login','[{\"cis\": [\"7.3\"]}]'),(8039,'Set&#x20;Default&#x20;File&#x20;Creation&#x20;Mask&#x20;for&#x20;FTP&#x20;Users','If&#x20;FTP&#x20;is&#x20;permitted,&#x20;set&#x20;a&#x20;strong,&#x20;default&#x20;file&#x20;creation&#x20;mask&#x20;to&#x20;apply&#x20;to&#x20;files&#x20;created&#x20;by&#x20;the&#x20;FTP&#x20;server.','Many&#x20;users&#x20;assume&#x20;that&#x20;the&#x20;FTP&#x20;server&#x20;will&#x20;use&#x20;their&#x20;system&#x20;file&#x20;creation&#x20;mask;&#x20;generally&#x20;it&#x20;does&#x20;not.&#x20;This&#x20;setting&#x20;ensures&#x20;that&#x20;files&#x20;transmitted&#x20;over&#x20;FTP&#x20;use&#x20;a&#x20;strong&#x20;file&#x20;creation&#x20;mask.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;cd&#x20;/etc&#x20;&#x20;&#x20;&#x20;#&#x20;if&#x20;[&#x20;&quot;`grep&#x20;&#039;^Umask&#039;&#x20;proftpd.conf`&quot;&#x20;];&#x20;then&#x20;awk&#x20;&#039;/^Umask/&#x20;{&#x20;$2&#x20;=&#x20;&quot;027&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;proftpd.conf&#x20;&gt;&#x20;proftpd.conf.CIS&#x20;mv&#x20;proftpd.conf.CIS&#x20;proftpd.conf&#x20;else&#x20;echo&#x20;&quot;Umask&#x20;027&quot;&#x20;&gt;&gt;&#x20;proftpd.conf&#x20;fi','[{\"cis\": [\"7.4\"]}]'),(8040,'Set&#x20;&quot;mesg&#x20;n&quot;&#x20;as&#x20;Default&#x20;for&#x20;All&#x20;Users','The&#x20;&quot;mesg&#x20;n&quot;&#x20;command&#x20;blocks&#x20;attempts&#x20;to&#x20;use&#x20;the&#x20;write&#x20;or&#x20;talk&#x20;commands&#x20;to&#x20;contact&#x20;users&#x20;at&#x20;their&#x20;terminals,&#x20;but&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;slightly&#x20;strengthening&#x20;permissions&#x20;on&#x20;the&#x20;user&#039;s&#x20;tty&#x20;device.','Since&#x20;write&#x20;and&#x20;talk&#x20;are&#x20;no&#x20;longer&#x20;widely&#x20;used&#x20;at&#x20;most&#x20;sites,&#x20;the&#x20;incremental&#x20;security&#x20;increase&#x20;is&#x20;worth&#x20;the&#x20;loss&#x20;of&#x20;functionality.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;cd&#x20;/etc&#x20;&#x20;&#x20;&#x20;#&#x20;for&#x20;file&#x20;in&#x20;profile&#x20;.login&#x20;;&#x20;do&#x20;if&#x20;[&#x20;&quot;`grep&#x20;mesg&#x20;$file`&quot;&#x20;];&#x20;then&#x20;awk&#x20;&#039;$1&#x20;==&#x20;&quot;mesg&quot;&#x20;{&#x20;$2&#x20;=&#x20;&quot;n&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;$file&#x20;&gt;&#x20;$file.CIS&#x20;mv&#x20;$file.CIS&#x20;$file&#x20;else&#x20;echo&#x20;mesg&#x20;n&#x20;&gt;&gt;&#x20;$file&#x20;fi&#x20;done','[{\"cis\": [\"7.5\"]}]'),(8041,'Create&#x20;Warnings&#x20;for&#x20;Standard&#x20;Login&#x20;Services','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;prior&#x20;to&#x20;the&#x20;login&#x20;prompt&#x20;on&#x20;the&#x20;system&#039;s&#x20;console&#x20;and&#x20;serial&#x20;devices&#x20;and&#x20;also&#x20;prior&#x20;to&#x20;logins&#x20;via&#x20;telnet&#x20;and&#x20;Secure&#x20;Shell.&#x20;The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;generally&#x20;displayed&#x20;after&#x20;all&#x20;successful&#x20;logins,&#x20;regardless&#x20;from&#x20;where&#x20;the&#x20;user&#x20;is&#x20;logging&#x20;in.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;As&#x20;implementing&#x20;a&#x20;logon&#x20;banner&#x20;to&#x20;deter&#x20;inappropriate&#x20;use&#x20;and&#x20;can&#x20;provide&#x20;a&#x20;foundation&#x20;for&#x20;legal&#x20;action&#x20;against&#x20;abuse,&#x20;this&#x20;warning&#x20;content&#x20;should&#x20;be&#x20;set&#x20;as&#x20;appropriate.&#x20;Consult&#x20;with&#x20;your&#x20;organization&#039;s&#x20;legal&#x20;counsel&#x20;for&#x20;the&#x20;appropriate&#x20;wording&#x20;as&#x20;the&#x20;examples&#x20;below&#x20;are&#x20;for&#x20;demonstration&#x20;purposes&#x20;only.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;users&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/motd&#x20;&#x20;&#x20;&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;users&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue&#x20;&#x20;&#x20;&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/issue&#x20;&#x20;&#x20;&#x20;#&#x20;chmod&#x20;644&#x20;/etc/issue','[{\"cis\": [\"8.1\"]}]'),(8042,'Enable&#x20;a&#x20;Warning&#x20;Banner&#x20;for&#x20;the&#x20;SSH&#x20;Service','The&#x20;contents&#x20;of&#x20;the&#x20;Banner&#x20;string&#x20;in&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;are&#x20;sent&#x20;to&#x20;the&#x20;remote&#x20;user&#x20;before&#x20;authentication&#x20;is&#x20;allowed,&#x20;requiring&#x20;that&#x20;the&#x20;user&#x20;read&#x20;the&#x20;legal&#x20;caution.','','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;awk&#x20;&#039;/^#Banner/&#x20;{&#x20;$1&#x20;=&#x20;&quot;Banner&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;/etc/ssh/sshd_config&#x20;&gt;&#x20;/etc/ssh/sshd_config.CIS&#x20;&#x20;&#x20;&#x20;#&#x20;mv&#x20;/etc/ssh/sshd_config.CIS&#x20;/etc/ssh/sshd_config&#x20;&#x20;&#x20;&#x20;#&#x20;svcadm&#x20;restart&#x20;svc:/network/ssh','[{\"cis\": [\"8.2\"]}]'),(8043,'Enable&#x20;a&#x20;Warning&#x20;Banner&#x20;for&#x20;the&#x20;GNOME&#x20;Service','The&#x20;GNOME&#x20;Display&#x20;Manager&#x20;is&#x20;used&#x20;for&#x20;login&#x20;session&#x20;management.&#x20;See&#x20;the&#x20;manual&#x20;page&#x20;gdm&#40;1&#41;&#x20;for&#x20;more&#x20;information&#x20;on&#x20;configuration&#x20;of&#x20;the&#x20;settings,&#x20;which&#x20;can&#x20;be&#x20;user-&#x20;or&#x20;group&#x20;specific.','The&#x20;remediation&#x20;action&#x20;for&#x20;this&#x20;item&#x20;sets&#x20;a&#x20;pre-login&#x20;warning&#x20;message&#x20;for&#x20;GDM&#x20;users.&#x20;Additional&#x20;methods&#x20;can&#x20;be&#x20;employed&#x20;to&#x20;display&#x20;a&#x20;similar&#x20;message&#x20;to&#x20;a&#x20;user&#x20;post-&#x20;authentication.&#x20;For&#x20;more&#x20;information,&#x20;see&#x20;the&#x20;Oracle&#x20;Solaris&#x20;11&#x20;Security&#x20;Guidelines&#x20;document.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;Edit&#x20;the&#x20;/etc/gdm/Init/Default&#x20;file&#x20;to&#x20;add&#x20;the&#x20;following&#x20;content&#x20;before&#x20;the&#x20;last&#x20;line&#x20;of&#x20;the&#x20;file.&#x20;&#x20;/usr/bin/zenity&#x20;--text-info&#x20;--width=800&#x20;--height=300&#x20;--title=&quot;Security&#x20;Message&quot;&#x20;--filename=/etc/issue','[{\"cis\": [\"8.3\"]}]'),(8044,'Enable&#x20;a&#x20;Warning&#x20;Banner&#x20;for&#x20;the&#x20;FTP&#x20;service','The&#x20;action&#x20;for&#x20;this&#x20;item&#x20;sets&#x20;a&#x20;warning&#x20;message&#x20;for&#x20;FTP&#x20;users&#x20;before&#x20;they&#x20;log&#x20;in.','Warning&#x20;Banners&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;access&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;using&#x20;the&#x20;system.&#x20;The&#x20;text&#x20;below&#x20;is&#x20;a&#x20;generic&#x20;sample&#x20;only,&#x20;so&#x20;consult&#x20;with&#x20;your&#x20;organization&#039;s&#x20;legal&#x20;counsel&#x20;for&#x20;the&#x20;appropriate&#x20;wording.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;echo&#x20;&quot;DisplayConnect&#x20;/etc/issue&quot;&#x20;&gt;&gt;&#x20;/etc/proftpd.conf&#x20;&#x20;&#x20;&#x20;#&#x20;svcadm&#x20;restart&#x20;ftp','[{\"cis\": [\"8.4\"]}]'),(8045,'Check&#x20;that&#x20;the&#x20;Banner&#x20;Setting&#x20;for&#x20;telnet&#x20;is&#x20;Null','The&#x20;BANNER&#x20;variable&#x20;in&#x20;the&#x20;file&#x20;/etc/default/telnetd&#x20;can&#x20;be&#x20;used&#x20;to&#x20;display&#x20;text&#x20;before&#x20;the&#x20;telnet&#x20;login&#x20;prompt.&#x20;Traditionally,&#x20;it&#x20;has&#x20;been&#x20;used&#x20;to&#x20;display&#x20;the&#x20;OS&#x20;level&#x20;of&#x20;the&#x20;target&#x20;system.','The&#x20;warning&#x20;banner&#x20;provides&#x20;information&#x20;that&#x20;can&#x20;be&#x20;used&#x20;in&#x20;reconnaissance&#x20;for&#x20;an&#x20;attack.&#x20;By&#x20;default,&#x20;this&#x20;file&#x20;is&#x20;distributed&#x20;with&#x20;the&#x20;BANNER&#x20;variable&#x20;set&#x20;to&#x20;null.&#x20;It&#x20;is&#x20;not&#x20;necessary&#x20;to&#x20;create&#x20;a&#x20;separate&#x20;warning&#x20;banner&#x20;for&#x20;telnet&#x20;if&#x20;a&#x20;warning&#x20;is&#x20;set&#x20;in&#x20;the&#x20;/etc/issue&#x20;file.&#x20;As&#x20;telnet&#x20;is&#x20;an&#x20;insecure&#x20;protocol,&#x20;it&#x20;is&#x20;strongly&#x20;recommend&#x20;that&#x20;it&#x20;be&#x20;disabled&#x20;and&#x20;all&#x20;remote&#x20;administrative/user&#x20;connections&#x20;take&#x20;place&#x20;by&#x20;Secure&#x20;Shell.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;#&#x20;cd&#x20;/etc/default&#x20;#&#x20;awk&#x20;&#039;/^BANNER=/&#x20;{&#x20;$1&#x20;=&#x20;&quot;BANNER=&quot;&#x20;};&#x20;{&#x20;print&#x20;}&#039;&#x20;telnetd&#x20;&gt;&#x20;telnetd.CIS&#x20;&#x20;&#x20;&#x20;#&#x20;mv&#x20;telnetd.CIS&#x20;telnetd','[{\"cis\": [\"8.5\"]}]'),(8046,'Verify&#x20;System&#x20;Account&#x20;Default&#x20;Passwords','There&#x20;are&#x20;a&#x20;number&#x20;of&#x20;accounts&#x20;provided&#x20;with&#x20;the&#x20;Solaris&#x20;OS&#x20;that&#x20;are&#x20;used&#x20;to&#x20;manage&#x20;applications&#x20;and&#x20;are&#x20;not&#x20;intended&#x20;to&#x20;provide&#x20;an&#x20;interactive&#x20;shell.&#x20;These&#x20;accounts&#x20;are&#x20;delivered&#x20;either&#x20;in&#x20;a&#x20;locked&#x20;or&#x20;non-login&#x20;state.&#x20;Oracle&#x20;does&#x20;not&#x20;support&#x20;nor&#x20;recommend&#x20;changing&#x20;the&#x20;passwords&#x20;associated&#x20;with&#x20;these&#x20;accounts.','System&#x20;accounts,&#x20;such&#x20;as&#x20;bin,&#x20;lpd,&#x20;and&#x20;sys&#x20;have&#x20;special&#x20;purposes&#x20;and&#x20;privileges.&#x20;By&#x20;default,&#x20;these&#x20;accounts&#x20;are&#x20;configured&#x20;as&#x20;either&#x20;locked&#x20;or&#x20;non-login.&#x20;This&#x20;status&#x20;should&#x20;be&#x20;verified&#x20;to&#x20;ensure&#x20;that&#x20;these&#x20;accounts&#x20;have&#x20;not&#x20;accidentally&#x20;or&#x20;intentionally&#x20;been&#x20;enabled.','','To&#x20;lock&#x20;a&#x20;single&#x20;account,&#x20;use&#x20;the&#x20;command:&#x20;#&#x20;passwd&#x20;-d&#x20;[username]&#x20;&#x20;&#x20;&#x20;#&#x20;passwd&#x20;-l&#x20;[username]&#x20;&#x20;&#x20;&#x20;To&#x20;configure&#x20;a&#x20;single&#x20;account&#x20;to&#x20;be&#x20;non-login,&#x20;use&#x20;the&#x20;command:&#x20;#&#x20;passwd&#x20;-d&#x20;[username]&#x20;&#x20;&#x20;&#x20;#&#x20;passwd&#x20;-N&#x20;[username]','[{\"cis\": [\"9.3\"]}]'),(8047,'Ensure&#x20;Password&#x20;Fields&#x20;are&#x20;Not&#x20;Empty','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password&#x20;at&#x20;all&#x20;&#40;assuming&#x20;that&#x20;the&#x20;value&#x20;PASSREQ=NO&#x20;is&#x20;set&#x20;in&#x20;/etc/default/login&#41;.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords,&#x20;be&#x20;configured&#x20;as&#x20;&quot;Non-login,&quot;&#x20;or&#x20;be&#x20;locked.','','Use&#x20;the&#x20;passwd&#x20;-l&#x20;command&#x20;to&#x20;lock&#x20;accounts&#x20;that&#x20;are&#x20;not&#x20;permitted&#x20;to&#x20;execute&#x20;commands&#x20;.&#x20;Use&#x20;the&#x20;passwd&#x20;-N&#x20;command&#x20;to&#x20;set&#x20;accounts&#x20;to&#x20;be&#x20;non-logini.','[{\"cis\": [\"9.4\"]}]'),(8048,'Verify&#x20;No&#x20;UID&#x20;0&#x20;Accounts&#x20;Exist&#x20;Other&#x20;than&#x20;root','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;rights&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;role&#x20;and&#x20;be&#x20;made&#x20;accessible&#x20;from&#x20;the&#x20;system&#x20;console&#x20;only.&#x20;Administrative&#x20;access&#x20;granted&#x20;to&#x20;an&#x20;unprivileged&#x20;account&#x20;should&#x20;use&#x20;an&#x20;approved&#x20;mechanism&#x20;such&#x20;as&#x20;RBAC.','','Disable&#x20;or&#x20;delete&#x20;any&#x20;other&#x20;0&#x20;UID&#x20;entries&#x20;that&#x20;are&#x20;displayed;&#x20;there&#x20;should&#x20;be&#x20;only&#x20;one&#x20;root&#x20;account.&#x20;Finer&#x20;granularity&#x20;access&#x20;control&#x20;for&#x20;administrative&#x20;access&#x20;can&#x20;be&#x20;obtained&#x20;by&#x20;using&#x20;the&#x20;Solaris&#x20;Role-Based&#x20;Access&#x20;Control&#x20;&#40;RBAC&#41;&#x20;mechanism.&#x20;RBAC&#x20;configurations&#x20;should&#x20;be&#x20;monitored&#x20;via&#x20;user_attr&#40;4&#41;&#x20;to&#x20;make&#x20;sure&#x20;that&#x20;privileges&#x20;are&#x20;managed&#x20;appropriately.','[{\"cis\": [\"9.5\"]}]'),(8049,'Ensure&#x20;root&#x20;PATH&#x20;Integrity','The&#x20;root&#x20;user&#x20;can&#x20;execute&#x20;any&#x20;command&#x20;on&#x20;the&#x20;system&#x20;and&#x20;could&#x20;be&#x20;tricked&#x20;into&#x20;executing&#x20;programs&#x20;if&#x20;the&#x20;PATH&#x20;is&#x20;not&#x20;set&#x20;correctly.','Including&#x20;the&#x20;current&#x20;working&#x20;directory&#x20;&#40;.&#41;&#x20;or&#x20;any&#x20;other&#x20;writable&#x20;directory&#x20;in&#x20;root&#039;s&#x20;executable&#x20;path&#x20;makes&#x20;it&#x20;likely&#x20;that&#x20;an&#x20;attacker&#x20;can&#x20;gain&#x20;superuser&#x20;access&#x20;by&#x20;forcing&#x20;an&#x20;administrator&#x20;operating&#x20;as&#x20;root&#x20;to&#x20;execute&#x20;a&#x20;malcode,&#x20;such&#x20;as&#x20;a&#x20;Trojan&#x20;horse&#x20;program.','','Correct&#x20;or&#x20;justify&#x20;any&#x20;items&#x20;discovered&#x20;in&#x20;the&#x20;Audit&#x20;step.','[{\"cis\": [\"9.6\"]}]'),(8050,'Check&#x20;That&#x20;Users&#x20;Are&#x20;Assigned&#x20;Home&#x20;Directories','passwd&#40;4&#41;&#x20;defines&#x20;a&#x20;home&#x20;directory&#x20;that&#x20;each&#x20;user&#x20;is&#x20;placed&#x20;in&#x20;upon&#x20;login.&#x20;If&#x20;there&#x20;is&#x20;no&#x20;defined&#x20;home&#x20;directory,&#x20;a&#x20;user&#x20;will&#x20;be&#x20;placed&#x20;in&#x20;/&#x20;and&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;write&#x20;any&#x20;files&#x20;or&#x20;have&#x20;local&#x20;environment&#x20;variables&#x20;set.','All&#x20;users&#x20;must&#x20;be&#x20;assigned&#x20;a&#x20;home&#x20;directory&#x20;in&#x20;passwd&#40;4&#41;.','','Correct&#x20;or&#x20;justify&#x20;any&#x20;items&#x20;discovered&#x20;in&#x20;the&#x20;Audit&#x20;step.&#x20;Determine&#x20;if&#x20;there&#x20;exists&#x20;any&#x20;users&#x20;who&#x20;are&#x20;in&#x20;passwd&#40;4&#41;&#x20;but&#x20;do&#x20;not&#x20;have&#x20;a&#x20;home&#x20;directory,&#x20;and&#x20;work&#x20;with&#x20;those&#x20;users&#x20;to&#x20;determine&#x20;the&#x20;best&#x20;course&#x20;of&#x20;action&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy.','[{\"cis\": [\"9.12\"]}]'),(8500,'Verify&#x20;all&#x20;Apple&#x20;provided&#x20;software&#x20;is&#x20;current','Software&#x20;vendors&#x20;release&#x20;security&#x20;patches&#x20;and&#x20;software&#x20;updates&#x20;for&#x20;their&#x20;products&#x20;when&#x20;security&#x20;vulnerabilities&#x20;are&#x20;discovered.&#x20;There&#x20;is&#x20;no&#x20;simple&#x20;way&#x20;to&#x20;complete&#x20;this&#x20;action&#x20;without&#x20;a&#x20;network&#x20;connection&#x20;to&#x20;an&#x20;Apple&#x20;software&#x20;repository.&#x20;Please&#x20;ensure&#x20;appropriate&#x20;access&#x20;for&#x20;this&#x20;control.&#x20;This&#x20;check&#x20;is&#x20;only&#x20;for&#x20;what&#x20;Apple&#x20;provides&#x20;through&#x20;software&#x20;update.','It&#x20;is&#x20;important&#x20;that&#x20;these&#x20;updates&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;prevent&#x20;unauthorized&#x20;persons&#x20;from&#x20;exploiting&#x20;the&#x20;identified&#x20;vulnerabilities.','','1.&#x20;In&#x20;Terminal,&#x20;run&#x20;the&#x20;following:&#x20;softwareupdate&#x20;-l&#x20;&#x20;2.&#x20;In&#x20;Terminal,&#x20;run&#x20;the&#x20;following&#x20;for&#x20;any&#x20;packages&#x20;that&#x20;show&#x20;up&#x20;in&#x20;step&#x20;1:&#x20;sudo&#x20;softwareupdate&#x20;-i&#x20;packagename','[{\"cis\": [\"1.1\"]}]'),(8501,'Enable&#x20;Auto&#x20;Update','Auto&#x20;Update&#x20;verifies&#x20;that&#x20;your&#x20;system&#x20;has&#x20;the&#x20;newest&#x20;security&#x20;patches&#x20;and&#x20;software&#x20;updates.&#x20;If&#x20;&quot;Automatically&#x20;check&#x20;for&#x20;updates&quot;&#x20;is&#x20;not&#x20;selected&#x20;background&#x20;updates&#x20;for&#x20;new&#x20;malware&#x20;definition&#x20;files&#x20;from&#x20;Apple&#x20;for&#x20;XProtect&#x20;and&#x20;Gatekeeper&#x20;will&#x20;not&#x20;occur.','It&#x20;is&#x20;important&#x20;that&#x20;a&#x20;system&#x20;has&#x20;the&#x20;newest&#x20;updates&#x20;applied&#x20;so&#x20;as&#x20;to&#x20;prevent&#x20;unauthorized&#x20;persons&#x20;from&#x20;exploiting&#x20;identified&#x20;vulnerabilities.','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;auto&#x20;update&#x20;feature:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;AutomaticCheckEnabled&#x20;-int&#x20;1','[{\"cis\": [\"1.2\"]}]'),(8502,'Enable&#x20;app&#x20;update&#x20;installs','Ensure&#x20;that&#x20;application&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;These&#x20;updates&#x20;do&#x20;not&#x20;require&#x20;reboots&#x20;or&#x20;admin&#x20;privileges&#x20;for&#x20;end&#x20;users.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;auto&#x20;update&#x20;feature:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.commerce&#x20;AutoUpdate&#x20;-bool&#x20;TRUE&#x20;&#x20;&#x20;&#x20;The&#x20;remediation&#x20;requires&#x20;a&#x20;log&#x20;out&#x20;and&#x20;log&#x20;in&#x20;to&#x20;show&#x20;in&#x20;the&#x20;GUI.&#x20;Please&#x20;note&#x20;that.','[{\"cis\": [\"1.3\"]}]'),(8503,'Enable&#x20;system&#x20;data&#x20;files&#x20;and&#x20;security&#x20;update&#x20;installs','Ensure&#x20;that&#x20;system&#x20;and&#x20;security&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;&#x20;This&#x20;setting&#x20;enables&#x20;definition&#x20;updates&#x20;for&#x20;XProtect&#x20;and&#x20;Gatekeeper,&#x20;with&#x20;this&#x20;setting&#x20;in&#x20;place&#x20;new&#x20;malware&#x20;and&#x20;adware&#x20;that&#x20;Apple&#x20;has&#x20;added&#x20;to&#x20;the&#x20;list&#x20;of&#x20;malware&#x20;or&#x20;untrusted&#x20;software&#x20;will&#x20;not&#x20;execute.&#x20;These&#x20;updates&#x20;do&#x20;not&#x20;require&#x20;reboots&#x20;or&#x20;end&#x20;user&#x20;admin&#x20;rights.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;install&#x20;system&#x20;data&#x20;files&#x20;and&#x20;security&#x20;updates:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;ConfigDataInstall&#x20;-bool&#x20;true&#x20;&amp;&amp;&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;CriticalUpdateInstall&#x20;-bool&#x20;true','[{\"cis\": [\"1.4\"]}]'),(8504,'Enable&#x20;OS&#x20;X&#x20;update&#x20;installs','Ensure&#x20;that&#x20;OS&#x20;X&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;This&#x20;setting&#x20;enables&#x20;OS&#x20;X&#x20;updates&#x20;to&#x20;be&#x20;automatically&#x20;installed.&#x20;Some&#x20;environments&#x20;will&#x20;want&#x20;to&#x20;approve&#x20;and&#x20;test&#x20;updates&#x20;before&#x20;they&#x20;are&#x20;delivered.&#x20;It&#x20;is&#x20;best&#x20;practice&#x20;to&#x20;test&#x20;first&#x20;where&#x20;updates&#x20;can&#x20;and&#x20;have&#x20;caused&#x20;disruptions&#x20;to&#x20;operations.&#x20;Automatic&#x20;updates&#x20;should&#x20;be&#x20;turned&#x20;off&#x20;where&#x20;changes&#x20;are&#x20;tightly&#x20;controlled&#x20;and&#x20;there&#x20;are&#x20;mature&#x20;testing&#x20;and&#x20;approval&#x20;processes.&#x20;Automatic&#x20;updates&#x20;should&#x20;not&#x20;be&#x20;turned&#x20;off&#x20;so&#x20;the&#x20;admin&#x20;can&#x20;call&#x20;the&#x20;users&#x20;first&#x20;to&#x20;let&#x20;them&#x20;know&#x20;it&#039;s&#x20;ok&#x20;to&#x20;install.&#x20;A&#x20;dependable&#x20;repeatable&#x20;process&#x20;involving&#x20;a&#x20;patch&#x20;agent&#x20;or&#x20;remote&#x20;management&#x20;tool&#x20;should&#x20;be&#x20;in&#x20;place&#x20;before&#x20;auto-updates&#x20;are&#x20;turned&#x20;off.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;install&#x20;system&#x20;data&#x20;files&#x20;and&#x20;security&#x20;updates:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.commerce&#x20;AutoUpdateRestartRequired&#x20;-bool&#x20;TRUE','[{\"cis\": [\"1.5\"]}]'),(8505,'Enable&#x20;&quot;Set&#x20;time&#x20;and&#x20;date&#x20;automatically&quot;','Correct&#x20;date&#x20;and&#x20;time&#x20;settings&#x20;are&#x20;required&#x20;for&#x20;authentication&#x20;protocols,&#x20;file&#x20;creation,&#x20;modification&#x20;dates&#x20;and&#x20;log&#x20;entries.&#x20;Apple&#039;s&#x20;automatic&#x20;time&#x20;update&#x20;solution&#x20;will&#x20;enable&#x20;an&#x20;NTP&#x20;server&#x20;that&#x20;is&#x20;not&#x20;controlled&#x20;by&#x20;the&#x20;Application&#x20;Firewall.&#x20;Turning&#x20;on&#x20;&quot;Set&#x20;time&#x20;and&#x20;date&#x20;automatically&quot;&#x20;allows&#x20;other&#x20;computers&#x20;to&#x20;connect&#x20;to&#x20;set&#x20;their&#x20;time&#x20;and&#x20;allows&#x20;for&#x20;exploit&#x20;attempts&#x20;against&#x20;ntpd.&#x20;It&#x20;also&#x20;allows&#x20;for&#x20;more&#x20;accurate&#x20;network&#x20;detection&#x20;and&#x20;OS&#x20;fingerprinting.','Kerberos&#x20;may&#x20;not&#x20;operate&#x20;correctly&#x20;if&#x20;the&#x20;time&#x20;on&#x20;the&#x20;Mac&#x20;is&#x20;off&#x20;by&#x20;more&#x20;than&#x20;5&#x20;minutes.&#x20;&#x20;This&#x20;in&#x20;turn&#x20;can&#x20;affect&#x20;Apple&#039;s&#x20;single&#x20;sign-on&#x20;feature,&#x20;Active&#x20;Directory&#x20;logons,&#x20;and&#x20;other&#x20;features.','','Run&#x20;the&#x20;following&#x20;commands:&#x20;sudo&#x20;systemsetup&#x20;-setnetworktimeserver&#x20;&lt;timeserver&gt;&#x20;&#x20;&#x20;&#x20;sudo&#x20;systemsetup&#x20;-setusingnetworktime&#x20;on','[{\"cis\": [\"2.2.1\"]}]'),(8506,'Restrict&#x20;NTP&#x20;server&#x20;to&#x20;loopback&#x20;interface','The&#x20;Apple&#x20;System&#x20;Preference&#x20;setting&#x20;to&#x20;&quot;Set&#x20;date&#x20;and&#x20;time&#x20;automatically&quot;&#x20;enables&#x20;both&#x20;an&#x20;NTP&#x20;client&#x20;that&#x20;can&#x20;synchronize&#x20;the&#x20;time&#x20;from&#x20;known&#x20;time&#x20;server&#40;s&#41;&#x20;and&#x20;an&#x20;open&#x20;listening&#x20;NTP&#x20;server&#x20;that&#x20;can&#x20;be&#x20;used&#x20;by&#x20;any&#x20;other&#x20;computer&#x20;that&#x20;can&#x20;connect&#x20;to&#x20;port&#x20;123&#x20;on&#x20;the&#x20;time&#x20;syncing&#x20;computer.&#x20;This&#x20;open&#x20;listening&#x20;service&#x20;can&#x20;allow&#x20;for&#x20;both&#x20;exploits&#x20;of&#x20;future&#x20;NTP&#x20;vulnerabilities&#x20;and&#x20;allow&#x20;for&#x20;open&#x20;ports&#x20;that&#x20;can&#x20;be&#x20;used&#x20;for&#x20;fingerprinting&#x20;to&#x20;target&#x20;exploits.&#x20;Access&#x20;to&#x20;this&#x20;port&#x20;should&#x20;be&#x20;restricted.&#x20;&#x20;Editing&#x20;the&#x20;/etc/ntp-restrict.conf&#x20;file&#x20;by&#x20;adding&#x20;a&#x20;control&#x20;on&#x20;the&#x20;loopback&#x20;interface&#x20;limits&#x20;external&#x20;access.','Mobile&#x20;workstations&#x20;on&#x20;untrusted&#x20;networks&#x20;should&#x20;not&#x20;have&#x20;open&#x20;listening&#x20;services&#x20;available&#x20;to&#x20;other&#x20;nodes&#x20;on&#x20;the&#x20;network.','','1.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;&#x20;sudo&#x20;vim&#x20;/etc/ntp-restrict.conf&#x20;&#x20;2.&#x20;Add&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;the&#x20;file:&#x20;restrict&#x20;lo&#x20;interface&#x20;ignore&#x20;wildcard&#x20;interface&#x20;listen&#x20;lo','[{\"cis\": [\"2.2.3\"]}]'),(8507,'Disable&#x20;Remote&#x20;Apple&#x20;Events','Apple&#x20;Events&#x20;is&#x20;a&#x20;technology&#x20;that&#x20;allows&#x20;one&#x20;program&#x20;to&#x20;communicate&#x20;with&#x20;other&#x20;programs.&#x20;Remote&#x20;Apple&#x20;Events&#x20;allows&#x20;a&#x20;program&#x20;on&#x20;one&#x20;computer&#x20;to&#x20;communicate&#x20;with&#x20;a&#x20;program&#x20;on&#x20;a&#x20;different&#x20;computer.','Disabling&#x20;Remote&#x20;Apple&#x20;Events&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;unauthorized&#x20;program&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;systemsetup&#x20;-setremoteappleevents&#x20;off','[{\"cis\": [\"2.4.1\"]}]'),(8508,'Disable&#x20;Printer&#x20;Sharing','By&#x20;enabling&#x20;Printer&#x20;sharing&#x20;the&#x20;computer&#x20;is&#x20;set&#x20;up&#x20;as&#x20;a&#x20;print&#x20;server&#x20;to&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;computers.&#x20;Dedicated&#x20;print&#x20;servers&#x20;or&#x20;direct&#x20;IP&#x20;printing&#x20;should&#x20;be&#x20;used&#x20;instead.','Disabling&#x20;Printer&#x20;Sharing&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;attackers&#x20;attempting&#x20;to&#x20;exploit&#x20;the&#x20;print&#x20;server&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;prescribed&#x20;state:&#x20;1.&#x20;Open&#x20;System&#x20;Preferences&#x20;2.&#x20;Select&#x20;Sharing&#x20;3.&#x20;Uncheck&#x20;Printer&#x20;Sharing','[{\"cis\": [\"2.4.4\"]}]'),(8509,'Disable&#x20;Remote&#x20;Login','Remote&#x20;Login&#x20;allows&#x20;an&#x20;interactive&#x20;terminal&#x20;connection&#x20;to&#x20;a&#x20;computer.','Disabling&#x20;Remote&#x20;Login&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;unauthorized&#x20;person&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;system&#x20;via&#x20;Secure&#x20;Shell&#x20;&#40;SSH&#41;.&#x20;While&#x20;SSH&#x20;is&#x20;an&#x20;industry&#x20;standard&#x20;to&#x20;connect&#x20;to&#x20;posix&#x20;servers,&#x20;the&#x20;scope&#x20;of&#x20;the&#x20;benchmark&#x20;is&#x20;for&#x20;Apple&#x20;OSX&#x20;clients,&#x20;not&#x20;servers.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;systemsetup&#x20;-setremotelogin&#x20;off','[{\"cis\": [\"2.4.5\"]}]'),(8510,'Disable&#x20;File&#x20;Sharing','Apple&#039;s&#x20;File&#x20;Sharing&#x20;uses&#x20;a&#x20;combination&#x20;of&#x20;SMB&#x20;&#40;Windows&#x20;sharing&#41;&#x20;and&#x20;AFP&#x20;&#40;Mac&#x20;sharing&#41;','By&#x20;disabling&#x20;file&#x20;sharing,&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;and&#x20;risk&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;files&#x20;stored&#x20;on&#x20;the&#x20;system&#x20;is&#x20;reduced.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal&#x20;to&#x20;turn&#x20;off&#x20;AFP&#x20;from&#x20;the&#x20;command&#x20;line:&#x20;sudo&#x20;launchctl&#x20;unload&#x20;-w&#x20;/System/Library/LaunchDaemons/com.apple.AppleFileServer.plist&#x20;&#x20;-&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal&#x20;to&#x20;turn&#x20;off&#x20;SMB&#x20;sharing&#x20;from&#x20;the&#x20;CLI:&#x20;&#x20;sudo&#x20;launchctl&#x20;unload&#x20;-w&#x20;/System/Library/LaunchDaemons/com.apple.smbd.plist','[{\"cis\": [\"2.4.8\"]}]'),(8511,'Disable&#x20;&quot;Wake&#x20;for&#x20;network&#x20;access&quot;','This&#x20;feature&#x20;allows&#x20;other&#x20;users&#x20;to&#x20;be&#x20;able&#x20;to&#x20;access&#x20;your&#x20;computer&#039;s&#x20;shared&#x20;resources,&#x20;such&#x20;as&#x20;shared&#x20;printers&#x20;or&#x20;iTunes&#x20;playlists,&#x20;even&#x20;when&#x20;your&#x20;computer&#x20;is&#x20;in&#x20;sleep&#x20;mode.','Disabling&#x20;this&#x20;feature&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;remotely&#x20;waking&#x20;the&#x20;system&#x20;and&#x20;gaining&#x20;access.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;&#x20;sudo&#x20;pmset&#x20;-a&#x20;womp&#x20;0&#x20;&#x20;&#x20;Note:&#x20;The&#x20;-c&#x20;flag&#x20;means&#x20;&quot;wall&#x20;power.&quot;&#x20;Different&#x20;settings&#x20;must&#x20;be&#x20;used&#x20;for&#x20;other&#x20;power&#x20;sources.','[{\"cis\": [\"2.5.1\"]}]'),(8512,'Enable&#x20;FileVault','FileVault&#x20;secures&#x20;a&#x20;system&#039;s&#x20;data&#x20;by&#x20;automatically&#x20;encrypting&#x20;its&#x20;boot&#x20;volume&#x20;and&#x20;requiring&#x20;a&#x20;password&#x20;or&#x20;recovery&#x20;key&#x20;to&#x20;access&#x20;it.','Encrypting&#x20;sensitive&#x20;data&#x20;minimizes&#x20;the&#x20;likelihood&#x20;of&#x20;unauthorized&#x20;users&#x20;gaining&#x20;access&#x20;to&#x20;it.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;prescribed&#x20;state:&#x20;1.&#x20;Open&#x20;System&#x20;Preferences&#x20;2.&#x20;Select&#x20;Security&#x20;&amp;&#x20;Privacy&#x20;3.&#x20;Select&#x20;FileVault&#x20;4.&#x20;Select&#x20;Turn&#x20;on&#x20;FileVault','[{\"cis\": [\"2.6.1\"]}]'),(8513,'Enable&#x20;Gatekeeper','Gatekeeper&#x20;is&#x20;Apple&#039;s&#x20;application&#x20;white-listing&#x20;control&#x20;that&#x20;restricts&#x20;downloaded&#x20;applications&#x20;from&#x20;launching.&#x20;It&#x20;functions&#x20;as&#x20;a&#x20;control&#x20;to&#x20;limit&#x20;applications&#x20;from&#x20;unverified&#x20;sources&#x20;from&#x20;running&#x20;without&#x20;authorization.','Disallowing&#x20;unsigned&#x20;software&#x20;will&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;unauthorized&#x20;or&#x20;malicious&#x20;applications&#x20;from&#x20;running&#x20;on&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;spctl&#x20;--master-enable','[{\"cis\": [\"2.6.2\"]}]'),(8514,'Enable&#x20;Firewall','A&#x20;firewall&#x20;is&#x20;a&#x20;piece&#x20;of&#x20;software&#x20;that&#x20;blocks&#x20;unwanted&#x20;incoming&#x20;connections&#x20;to&#x20;a&#x20;system.&#x20;&#x20;Apple&#x20;has&#x20;posted&#x20;general&#x20;documentation&#x20;about&#x20;the&#x20;application&#x20;firewall.','A&#x20;firewall&#x20;minimizes&#x20;the&#x20;threat&#x20;of&#x20;unauthorized&#x20;users&#x20;from&#x20;gaining&#x20;access&#x20;to&#x20;your&#x20;system&#x20;while&#x20;connected&#x20;to&#x20;a&#x20;network&#x20;or&#x20;the&#x20;Internet.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.alf&#x20;globalstate&#x20;-&#x20;int&#x20;&lt;value&gt;&#x20;&#x20;&#x20;&#x20;Where&#x20;&lt;value&gt;&#x20;is:&#x20;-&#x20;1&#x20;=&#x20;on&#x20;for&#x20;specific&#x20;services&#x20;-&#x20;2&#x20;=&#x20;on&#x20;for&#x20;essential&#x20;services','[{\"cis\": [\"2.6.3\"]}]'),(8515,'Enable&#x20;Firewall&#x20;Stealth&#x20;Mode','While&#x20;in&#x20;Stealth&#x20;mode&#x20;the&#x20;computer&#x20;will&#x20;not&#x20;respond&#x20;to&#x20;unsolicited&#x20;probes,&#x20;dropping&#x20;that&#x20;traffic.','Stealth&#x20;mode&#x20;on&#x20;the&#x20;firewall&#x20;minimizes&#x20;the&#x20;threat&#x20;of&#x20;system&#x20;discovery&#x20;tools&#x20;while&#x20;connected&#x20;to&#x20;a&#x20;network&#x20;or&#x20;the&#x20;Internet.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;/usr/libexec/ApplicationFirewall/socketfilterfw&#x20;--setstealthmode&#x20;on','[{\"cis\": [\"2.6.4\"]}]'),(8516,'Enable&#x20;Secure&#x20;Keyboard&#x20;Entry&#x20;in&#x20;terminal.app','Secure&#x20;Keyboard&#x20;Entry&#x20;prevents&#x20;other&#x20;applications&#x20;on&#x20;the&#x20;system&#x20;and/or&#x20;network&#x20;from&#x20;detecting&#x20;and&#x20;recording&#x20;what&#x20;is&#x20;typed&#x20;into&#x20;Terminal.','Enabling&#x20;Secure&#x20;Keyboard&#x20;Entry&#x20;minimizes&#x20;the&#x20;risk&#x20;of&#x20;a&#x20;key&#x20;logger&#x20;from&#x20;detecting&#x20;what&#x20;is&#x20;entered&#x20;in&#x20;Terminal.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;prescribed&#x20;state:&#x20;1.&#x20;Open&#x20;Terminal&#x20;2.&#x20;Select&#x20;Terminal&#x20;3.&#x20;Select&#x20;Secure&#x20;Keyboard&#x20;Entry','[{\"cis\": [\"2.10\"]}]'),(8517,'Java&#x20;6&#x20;is&#x20;not&#x20;the&#x20;default&#x20;Java&#x20;runtime','Apple&#x20;had&#x20;made&#x20;Java&#x20;part&#x20;of&#x20;the&#x20;core&#x20;Operating&#x20;System&#x20;for&#x20;OS&#x20;X.&#x20;Apple&#x20;is&#x20;no&#x20;longer&#x20;providing&#x20;Java&#x20;updates&#x20;for&#x20;OS&#x20;X&#x20;and&#x20;updated&#x20;JREs&#x20;and&#x20;JDK&#x20;are&#x20;made&#x20;available&#x20;by&#x20;Oracle.&#x20;&#x20;The&#x20;latest&#x20;version&#x20;of&#x20;Java&#x20;6&#x20;made&#x20;available&#x20;by&#x20;Apple&#x20;has&#x20;many&#x20;unpatched&#x20;vulnerabilities&#x20;and&#x20;should&#x20;not&#x20;be&#x20;the&#x20;default&#x20;runtime&#x20;for&#x20;Java&#x20;applets&#x20;that&#x20;request&#x20;one&#x20;from&#x20;the&#x20;Operating&#x20;System','Java&#x20;is&#x20;one&#x20;of&#x20;the&#x20;most&#x20;exploited&#x20;environments&#x20;and&#x20;is&#x20;no&#x20;longer&#x20;maintained&#x20;by&#x20;Apple,&#x20;old&#x20;versions&#x20;may&#x20;still&#x20;be&#x20;installed&#x20;and&#x20;should&#x20;be&#x20;removed&#x20;from&#x20;the&#x20;computer&#x20;or&#x20;not&#x20;be&#x20;in&#x20;the&#x20;default&#x20;path.','','Java&#x20;6&#x20;can&#x20;be&#x20;removed&#x20;completely&#x20;or,&#x20;if&#x20;necessary&#x20;Java&#x20;applications&#x20;will&#x20;only&#x20;work&#x20;with&#x20;Java&#x20;6,&#x20;a&#x20;custom&#x20;path&#x20;can&#x20;be&#x20;used.','[{\"cis\": [\"2.11\"]}]'),(8518,'Enable&#x20;security&#x20;auditing','OSX&#039;s&#x20;audit&#x20;facility,&#x20;auditd,&#x20;receives&#x20;notifications&#x20;from&#x20;the&#x20;kernel&#x20;when&#x20;certain&#x20;system&#x20;calls,&#x20;such&#x20;as&#x20;open,&#x20;fork,&#x20;and&#x20;exit,&#x20;are&#x20;made.&#x20;These&#x20;notifications&#x20;are&#x20;captured&#x20;and&#x20;written&#x20;to&#x20;an&#x20;audit&#x20;log.','Logs&#x20;generated&#x20;by&#x20;auditd&#x20;may&#x20;be&#x20;useful&#x20;when&#x20;investigating&#x20;a&#x20;security&#x20;incident&#x20;as&#x20;they&#x20;may&#x20;help&#x20;reveal&#x20;the&#x20;vulnerable&#x20;application&#x20;and&#x20;the&#x20;actions&#x20;taken&#x20;by&#x20;a&#x20;malicious&#x20;actor.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;launchctl&#x20;load&#x20;-w&#x20;/System/Library/LaunchDaemons/com.apple.auditd.plist','[{\"cis\": [\"3.2\"]}]'),(8519,'Configure&#x20;Security&#x20;Auditing&#x20;Flags','Auditing&#x20;is&#x20;the&#x20;capture&#x20;and&#x20;maintenance&#x20;of&#x20;information&#x20;about&#x20;security-related&#x20;events.','Maintaining&#x20;an&#x20;audit&#x20;trail&#x20;of&#x20;system&#x20;activity&#x20;logs&#x20;can&#x20;help&#x20;identify&#x20;configuration&#x20;errors,&#x20;troubleshoot&#x20;service&#x20;disruptions,&#x20;and&#x20;analyze&#x20;compromises&#x20;or&#x20;attacks&#x20;that&#x20;have&#x20;occurred,&#x20;have&#x20;begun,&#x20;or&#x20;are&#x20;about&#x20;to&#x20;begin.&#x20;Audit&#x20;logs&#x20;are&#x20;necessary&#x20;to&#x20;provide&#x20;a&#x20;trail&#x20;of&#x20;evidence&#x20;in&#x20;case&#x20;the&#x20;system&#x20;or&#x20;network&#x20;is&#x20;compromised.','','1.&#x20;Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;edit&#x20;the&#x20;/etc/security/audit_control&#x20;file&#x20;2.&#x20;Find&#x20;the&#x20;line&#x20;beginning&#x20;with&#x20;&quot;flags&quot;&#x20;3.&#x20;Add&#x20;the&#x20;following&#x20;flags:&#x20;lo,&#x20;ad,&#x20;fd,&#x20;fm,&#x20;-all.&#x20;&#x20;4.&#x20;Save&#x20;the&#x20;file.','[{\"cis\": [\"3.3\"]}]'),(8520,'Disable&#x20;Bonjour&#x20;advertising&#x20;service','Bonjour&#x20;is&#x20;an&#x20;auto-discovery&#x20;mechanism&#x20;for&#x20;TCP/IP&#x20;devices&#x20;which&#x20;enumerate&#x20;devices&#x20;and&#x20;services&#x20;within&#x20;a&#x20;local&#x20;subnet.&#x20;DNS&#x20;on&#x20;Mac&#x20;OS&#x20;X&#x20;&#x20;is&#x20;integrated&#x20;with&#x20;Bonjour&#x20;and&#x20;should&#x20;not&#x20;be&#x20;turned&#x20;off,&#x20;but&#x20;the&#x20;Bonjour&#x20;advertising&#x20;service&#x20;can&#x20;be&#x20;disabled.','Bonjour&#x20;can&#x20;simplify&#x20;device&#x20;discovery&#x20;from&#x20;an&#x20;internal&#x20;rogue&#x20;or&#x20;compromised&#x20;host.&#x20;An&#x20;attacker&#x20;could&#x20;use&#x20;Bonjour&#039;s&#x20;multicast&#x20;DNS&#x20;feature&#x20;to&#x20;discover&#x20;a&#x20;vulnerable&#x20;or&#x20;poorly-&#x20;configured&#x20;service&#x20;or&#x20;additional&#x20;information&#x20;to&#x20;aid&#x20;a&#x20;targeted&#x20;attack.&#x20;Implementing&#x20;this&#x20;control&#x20;disables&#x20;the&#x20;continuous&#x20;broadcasting&#x20;of&#x20;&quot;I&#039;m&#x20;here!&quot;&#x20;messages.&#x20;Typical&#x20;end-user&#x20;endpoints&#x20;should&#x20;not&#x20;have&#x20;to&#x20;advertise&#x20;services&#x20;to&#x20;other&#x20;computers.&#x20;This&#x20;setting&#x20;does&#x20;not&#x20;stop&#x20;the&#x20;computer&#x20;from&#x20;sending&#x20;out&#x20;service&#x20;discovery&#x20;messages&#x20;when&#x20;looking&#x20;for&#x20;services&#x20;on&#x20;an&#x20;internal&#x20;subnet,&#x20;if&#x20;the&#x20;computer&#x20;is&#x20;looking&#x20;for&#x20;a&#x20;printer&#x20;or&#x20;server&#x20;and&#x20;using&#x20;service&#x20;discovery.&#x20;To&#x20;block&#x20;all&#x20;Bonjour&#x20;traffic&#x20;except&#x20;to&#x20;approved&#x20;devices&#x20;the&#x20;pf&#x20;or&#x20;other&#x20;firewall&#x20;would&#x20;be&#x20;needed.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.mDNSResponder.plist&#x20;NoMulticastAdvertisements','[{\"cis\": [\"4.1\"]}]'),(8521,'Ensure&#x20;http&#x20;server&#x20;is&#x20;not&#x20;running','Mac&#x20;OS&#x20;X&#x20;used&#x20;to&#x20;have&#x20;a&#x20;graphical&#x20;front-end&#x20;to&#x20;the&#x20;embedded&#x20;Apache&#x20;web&#x20;server&#x20;in&#x20;the&#x20;Operating&#x20;System.&#x20;Personal&#x20;web&#x20;sharing&#x20;could&#x20;be&#x20;enabled&#x20;to&#x20;allow&#x20;someone&#x20;on&#x20;another&#x20;computer&#x20;to&#x20;download&#x20;files&#x20;or&#x20;information&#x20;from&#x20;the&#x20;user&#039;s&#x20;computer.&#x20;Personal&#x20;web&#x20;sharing&#x20;from&#x20;a&#x20;user&#x20;endpoint&#x20;has&#x20;long&#x20;been&#x20;considered&#x20;questionable&#x20;and&#x20;Apple&#x20;has&#x20;removed&#x20;that&#x20;capability&#x20;from&#x20;the&#x20;GUI.&#x20;Apache&#x20;however&#x20;is&#x20;still&#x20;part&#x20;of&#x20;the&#x20;Operating&#x20;System&#x20;and&#x20;can&#x20;be&#x20;easily&#x20;turned&#x20;on&#x20;to&#x20;share&#x20;files&#x20;and&#x20;provide&#x20;remote&#x20;connectivity&#x20;to&#x20;an&#x20;end&#x20;user&#x20;computer.&#x20;&#x20;Web&#x20;sharing&#x20;should&#x20;only&#x20;be&#x20;done&#x20;through&#x20;hardened&#x20;web&#x20;servers&#x20;and&#x20;appropriate&#x20;cloud&#x20;services.','Web&#x20;serving&#x20;should&#x20;not&#x20;be&#x20;done&#x20;from&#x20;a&#x20;user&#x20;desktop.&#x20;Dedicated&#x20;webservers&#x20;or&#x20;appropriate&#x20;cloud&#x20;storage&#x20;should&#x20;be&#x20;used.&#x20;Open&#x20;ports&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;exploit&#x20;the&#x20;computer.','','Ensure&#x20;that&#x20;the&#x20;Web&#x20;Server&#x20;is&#x20;not&#x20;running&#x20;and&#x20;is&#x20;not&#x20;set&#x20;to&#x20;start&#x20;at&#x20;boot&#x20;&#x20;&#x20;&#x20;Stop&#x20;the&#x20;Web&#x20;Server:&#x20;sudo&#x20;apachectl&#x20;stop&#x20;&#x20;&#x20;&#x20;Ensure&#x20;that&#x20;the&#x20;web&#x20;server&#x20;will&#x20;not&#x20;auto-start&#x20;at&#x20;boot:&#x20;sudo&#x20;defaults&#x20;write&#x20;/System/Library/LaunchDaemons/org.apache.httpd&#x20;Disabled&#x20;-bool&#x20;true','[{\"cis\": [\"4.4\"]}]'),(8522,'Ensure&#x20;ftp&#x20;server&#x20;is&#x20;not&#x20;running','Mac&#x20;OS&#x20;X&#x20;used&#x20;to&#x20;have&#x20;a&#x20;graphical&#x20;front-end&#x20;to&#x20;the&#x20;embedded&#x20;ftp&#x20;server&#x20;in&#x20;the&#x20;Operating&#x20;System.&#x20;Ftp&#x20;sharing&#x20;could&#x20;be&#x20;enabled&#x20;to&#x20;allow&#x20;someone&#x20;on&#x20;another&#x20;computer&#x20;to&#x20;download&#x20;files&#x20;or&#x20;information&#x20;from&#x20;the&#x20;user&#039;s&#x20;computer.&#x20;Running&#x20;an&#x20;Ftp&#x20;server&#x20;from&#x20;a&#x20;user&#x20;endpoint&#x20;has&#x20;long&#x20;been&#x20;considered&#x20;questionable&#x20;and&#x20;Apple&#x20;has&#x20;removed&#x20;that&#x20;capability&#x20;from&#x20;the&#x20;GUI.&#x20;The&#x20;Ftp&#x20;server&#x20;however&#x20;is&#x20;still&#x20;part&#x20;of&#x20;the&#x20;Operating&#x20;System&#x20;and&#x20;can&#x20;be&#x20;easily&#x20;turned&#x20;on&#x20;to&#x20;share&#x20;files&#x20;and&#x20;provide&#x20;remote&#x20;connectivity&#x20;to&#x20;an&#x20;end&#x20;user&#x20;computer.&#x20;Ftp&#x20;servers&#x20;meet&#x20;a&#x20;specialized&#x20;need&#x20;to&#x20;distribute&#x20;files&#x20;without&#x20;strong&#x20;authentication&#x20;and&#x20;should&#x20;only&#x20;be&#x20;done&#x20;through&#x20;hardened&#x20;servers.&#x20;Cloud&#x20;services&#x20;or&#x20;other&#x20;distribution&#x20;methods&#x20;should&#x20;be&#x20;considered','Ftp&#x20;servers&#x20;should&#x20;not&#x20;be&#x20;run&#x20;on&#x20;an&#x20;end&#x20;user&#x20;desktop.&#x20;Dedicated&#x20;servers&#x20;or&#x20;appropriate&#x20;cloud&#x20;storage&#x20;should&#x20;be&#x20;used.&#x20;Open&#x20;ports&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;exploit&#x20;the&#x20;computer.','','Ensure&#x20;that&#x20;the&#x20;FTP&#x20;Server&#x20;is&#x20;not&#x20;running&#x20;and&#x20;is&#x20;not&#x20;set&#x20;to&#x20;start&#x20;at&#x20;boot.&#x20;Stop&#x20;the&#x20;ftp&#x20;Server:&#x20;sudo&#x20;-s&#x20;launchctl&#x20;unload&#x20;-w&#x20;/System/Library/LaunchDaemons/ftp.plist','[{\"cis\": [\"4.5\"]}]'),(8523,'Ensure&#x20;nfs&#x20;server&#x20;is&#x20;not&#x20;running','Mac&#x20;OS&#x20;X&#x20;can&#x20;act&#x20;as&#x20;an&#x20;NFS&#x20;fileserver.&#x20;NFS&#x20;sharing&#x20;could&#x20;be&#x20;enabled&#x20;to&#x20;allow&#x20;someone&#x20;on&#x20;another&#x20;computer&#x20;to&#x20;mount&#x20;shares&#x20;and&#x20;gain&#x20;access&#x20;to&#x20;information&#x20;from&#x20;the&#x20;user&#039;s&#x20;computer.&#x20;File&#x20;sharing&#x20;from&#x20;a&#x20;user&#x20;endpoint&#x20;has&#x20;long&#x20;been&#x20;considered&#x20;questionable&#x20;and&#x20;Apple&#x20;has&#x20;removed&#x20;that&#x20;capability&#x20;from&#x20;the&#x20;GUI.&#x20;NFSD&#x20;is&#x20;still&#x20;part&#x20;of&#x20;the&#x20;Operating&#x20;System&#x20;and&#x20;can&#x20;be&#x20;easily&#x20;turned&#x20;on&#x20;to&#x20;export&#x20;shares&#x20;and&#x20;provide&#x20;remote&#x20;connectivity&#x20;to&#x20;an&#x20;end&#x20;user&#x20;computer.','File&#x20;serving&#x20;should&#x20;not&#x20;be&#x20;done&#x20;from&#x20;a&#x20;user&#x20;desktop,&#x20;dedicated&#x20;servers&#x20;should&#x20;be&#x20;used.&#x20;&#x20;Open&#x20;ports&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;exploit&#x20;the&#x20;computer.','','Stop&#x20;the&#x20;NFS&#x20;Server:&#x20;sudo&#x20;nfsd&#x20;disable&#x20;&#x20;&#x20;&#x20;Remove&#x20;the&#x20;exported&#x20;Directory&#x20;listing:&#x20;rm&#x20;/etc/export','[{\"cis\": [\"4.6\"]}]'),(8524,'Do&#x20;not&#x20;enable&#x20;the&#x20;&quot;root&quot;&#x20;account','The&#x20;root&#x20;account&#x20;is&#x20;a&#x20;superuser&#x20;account&#x20;that&#x20;has&#x20;access&#x20;privileges&#x20;to&#x20;perform&#x20;any&#x20;actions&#x20;and&#x20;read/write&#x20;to&#x20;any&#x20;file&#x20;on&#x20;the&#x20;computer.&#x20;In&#x20;the&#x20;UNIX/Linux&#x20;world,&#x20;the&#x20;system&#x20;administrator&#x20;commonly&#x20;uses&#x20;the&#x20;root&#x20;account&#x20;to&#x20;perform&#x20;administrative&#x20;functions.','Enabling&#x20;and&#x20;using&#x20;the&#x20;root&#x20;account&#x20;puts&#x20;the&#x20;system&#x20;at&#x20;risk&#x20;since&#x20;any&#x20;successful&#x20;exploit&#x20;or&#x20;mistake&#x20;while&#x20;the&#x20;root&#x20;account&#x20;is&#x20;in&#x20;use&#x20;could&#x20;have&#x20;unlimited&#x20;access&#x20;privileges&#x20;within&#x20;the&#x20;system.&#x20;Using&#x20;the&#x20;sudo&#x20;command&#x20;allows&#x20;users&#x20;to&#x20;perform&#x20;functions&#x20;as&#x20;a&#x20;root&#x20;user&#x20;while&#x20;limiting&#x20;and&#x20;password&#x20;protecting&#x20;the&#x20;access&#x20;privileges.&#x20;&#x20;By&#x20;default&#x20;the&#x20;root&#x20;account&#x20;is&#x20;not&#x20;enabled&#x20;on&#x20;a&#x20;Mac&#x20;OS&#x20;X&#x20;client&#x20;computer.&#x20;It&#x20;is&#x20;enabled&#x20;on&#x20;Mac&#x20;OS&#x20;X&#x20;Server.&#x20;An&#x20;administrator&#x20;can&#x20;escalate&#x20;privileges&#x20;using&#x20;the&#x20;sudo&#x20;command&#x20;&#40;use&#x20;-s&#x20;or&#x20;-i&#x20;to&#x20;get&#x20;a&#x20;root&#x20;shell&#41;.','','Open&#x20;System&#x20;Preferences,&#x20;Uses&#x20;&amp;&#x20;Groups.&#x20;&#x20;Click&#x20;the&#x20;lock&#x20;icon&#x20;to&#x20;unlock&#x20;it.&#x20;&#x20;In&#x20;the&#x20;Network&#x20;Account&#x20;Server&#x20;section,&#x20;click&#x20;Join&#x20;or&#x20;Edit.&#x20;&#x20;Click&#x20;Open&#x20;Directory&#x20;Utility.&#x20;&#x20;Click&#x20;the&#x20;lock&#x20;icon&#x20;to&#x20;unlock&#x20;it.&#x20;&#x20;Select&#x20;the&#x20;Edit&#x20;menu&#x20;&gt;&#x20;Disable&#x20;Root&#x20;User.','[{\"cis\": [\"5.7\"]}]'),(8525,'Disable&#x20;automatic&#x20;login','The&#x20;automatic&#x20;login&#x20;feature&#x20;saves&#x20;a&#x20;user&#039;s&#x20;system&#x20;access&#x20;credentials&#x20;and&#x20;bypasses&#x20;the&#x20;login&#x20;screen,&#x20;instead&#x20;the&#x20;system&#x20;automatically&#x20;loads&#x20;to&#x20;the&#x20;user&#039;s&#x20;desktop&#x20;screen.','Disabling&#x20;automatic&#x20;login&#x20;decreases&#x20;the&#x20;likelihood&#x20;of&#x20;an&#x20;unauthorized&#x20;person&#x20;gaining&#x20;access&#x20;to&#x20;a&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;defaults&#x20;delete&#x20;/Library/Preferences/com.apple.loginwindow&#x20;autoLoginUser','[{\"cis\": [\"5.8\"]}]'),(8526,'Require&#x20;a&#x20;password&#x20;to&#x20;wake&#x20;the&#x20;computer&#x20;from&#x20;sleep&#x20;or&#x20;screen&#x20;saver','Sleep&#x20;and&#x20;screensaver&#x20;modes&#x20;are&#x20;low&#x20;power&#x20;modes&#x20;that&#x20;reduces&#x20;electrical&#x20;consumption&#x20;while&#x20;the&#x20;system&#x20;is&#x20;not&#x20;in&#x20;use.','Prompting&#x20;for&#x20;a&#x20;password&#x20;when&#x20;waking&#x20;from&#x20;sleep&#x20;or&#x20;screensaver&#x20;mode&#x20;mitigates&#x20;the&#x20;threat&#x20;of&#x20;an&#x20;unauthorized&#x20;person&#x20;gaining&#x20;access&#x20;to&#x20;a&#x20;system&#x20;in&#x20;the&#x20;user&#039;s&#x20;absence.','','1.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;The&#x20;current&#x20;user&#x20;will&#x20;need&#x20;to&#x20;log&#x20;off&#x20;and&#x20;on&#x20;for&#x20;changes&#x20;to&#x20;take&#x20;effect.&#x20;&#x20;defaults&#x20;write&#x20;com.apple.screensaver&#x20;askForPassword&#x20;-int&#x20;1&#x20;&#x20;2.&#x20;&#x20;The&#x20;current&#x20;user&#x20;will&#x20;need&#x20;to&#x20;log&#x20;off&#x20;and&#x20;on&#x20;for&#x20;changes&#x20;to&#x20;take&#x20;effect.','[{\"cis\": [\"5.9\"]}]'),(8527,'Disable&#x20;ability&#x20;to&#x20;login&#x20;to&#x20;another&#x20;user&#039;s&#x20;active&#x20;and&#x20;locked&#x20;session','OSX&#x20;has&#x20;a&#x20;privilege&#x20;that&#x20;can&#x20;be&#x20;granted&#x20;to&#x20;any&#x20;user&#x20;that&#x20;will&#x20;allow&#x20;that&#x20;user&#x20;to&#x20;unlock&#x20;active&#x20;user&#039;s&#x20;sessions.','Disabling&#x20;the&#x20;admins&#x20;and/or&#x20;user&#039;s&#x20;ability&#x20;to&#x20;log&#x20;into&#x20;another&#x20;user&#039;s&#x20;active&#x20;and&#x20;locked&#x20;session&#x20;prevents&#x20;unauthorized&#x20;persons&#x20;from&#x20;viewing&#x20;potentially&#x20;sensitive&#x20;and/or&#x20;personal&#x20;information.','','1.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;&#x20;sudo&#x20;vi&#x20;/etc/pam.d/screensaver&#x20;2.&#x20;Locate&#x20;&#x20;&#x20;&quot;account&#x20;&#x20;&#x20;&#x20;required&#x20;&#x20;&#x20;&#x20;&#x20;pam_group.so&#x20;no_warn&#x20;group=admin,wheel&#x20;fail_safe&quot;&#x20;3.&#x20;Remove&#x20;&quot;admin,&quot;&#x20;4.&#x20;Save','[{\"cis\": [\"5.11\"]}]'),(8528,'System&#x20;Integrity&#x20;Protection&#x20;status','System&#x20;Integrity&#x20;Protection&#x20;is&#x20;a&#x20;new&#x20;security&#x20;feature&#x20;introduced&#x20;in&#x20;OS&#x20;X&#x20;10.11&#x20;El&#x20;Capitan.&#x20;&#x20;System&#x20;Integrity&#x20;Protection&#x20;restricts&#x20;access&#x20;to&#x20;System&#x20;domain&#x20;locations&#x20;and&#x20;restricts&#x20;runtime&#x20;attachment&#x20;to&#x20;system&#x20;processes.&#x20;Any&#x20;attempt&#x20;to&#x20;attempt&#x20;to&#x20;inspect&#x20;or&#x20;attach&#x20;to&#x20;a&#x20;system&#x20;process&#x20;will&#x20;fail.&#x20;Kernel&#x20;Extensions&#x20;are&#x20;now&#x20;restricted&#x20;to&#x20;/Library/Extensions&#x20;and&#x20;are&#x20;required&#x20;to&#x20;be&#x20;signed&#x20;with&#x20;a&#x20;Developer&#x20;ID.','Running&#x20;without&#x20;System&#x20;Integrity&#x20;Protection&#x20;on&#x20;a&#x20;production&#x20;system&#x20;runs&#x20;the&#x20;risk&#x20;of&#x20;the&#x20;modification&#x20;of&#x20;system&#x20;binaries&#x20;or&#x20;code&#x20;injection&#x20;of&#x20;system&#x20;processes&#x20;that&#x20;would&#x20;otherwise&#x20;be&#x20;protected&#x20;by&#x20;SIP.','','Perform&#x20;the&#x20;following&#x20;while&#x20;booted&#x20;in&#x20;OS&#x20;X&#x20;Recovery&#x20;Partition.&#x20;&#x20;1.&#x20;Select&#x20;Terminal&#x20;from&#x20;the&#x20;Utilities&#x20;menu&#x20;&#x20;&#x20;&#x20;2.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;/usr/bin/csrutil&#x20;enable&#x20;&#x20;&#x20;&#x20;3.&#x20;The&#x20;output&#x20;should&#x20;be:&#x20;Successfully&#x20;enabled&#x20;System&#x20;Integrity&#x20;Protection.&#x20;Please&#x20;restart&#x20;the&#x20;machine&#x20;for&#x20;the&#x20;changes&#x20;to&#x20;take&#x20;effect.&#x20;&#x20;&#x20;&#x20;4.&#x20;Reboot.','[{\"cis\": [\"5.18\"]}]'),(8529,'Disable&#x20;guest&#x20;account&#x20;login','The&#x20;guest&#x20;account&#x20;allows&#x20;users&#x20;access&#x20;to&#x20;the&#x20;system&#x20;without&#x20;having&#x20;to&#x20;create&#x20;an&#x20;account&#x20;or&#x20;password.&#x20;Guest&#x20;users&#x20;are&#x20;unable&#x20;to&#x20;make&#x20;setting&#x20;changes,&#x20;cannot&#x20;remotely&#x20;login&#x20;to&#x20;the&#x20;system&#x20;and&#x20;all&#x20;created&#x20;files,&#x20;caches,&#x20;and&#x20;passwords&#x20;are&#x20;deleted&#x20;upon&#x20;logging&#x20;out.','Disabling&#x20;the&#x20;guest&#x20;account&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;untrusted&#x20;user&#x20;doing&#x20;basic&#x20;reconnaissance&#x20;and&#x20;possibly&#x20;using&#x20;privilege&#x20;escalation&#x20;attacks&#x20;to&#x20;take&#x20;control&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;GuestEnabled&#x20;-&#x20;bool&#x20;NO','[{\"cis\": [\"6.1.3\"]}]'),(8530,'Remove&#x20;Guest&#x20;home&#x20;folder','The&#x20;guest&#x20;account&#x20;login&#x20;should&#x20;have&#x20;been&#x20;disabled,&#x20;so&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;the&#x20;legacy&#x20;Guest&#x20;home&#x20;folder&#x20;to&#x20;remain&#x20;in&#x20;the&#x20;file&#x20;system.&#x20;When&#x20;normal&#x20;user&#x20;accounts&#x20;are&#x20;removed&#x20;you&#x20;have&#x20;the&#x20;option&#x20;to&#x20;archive&#x20;it,&#x20;leave&#x20;it&#x20;in&#x20;place&#x20;or&#x20;delete.&#x20;In&#x20;the&#x20;case&#x20;of&#x20;the&#x20;guest&#x20;folder&#x20;the&#x20;folder&#x20;remains&#x20;in&#x20;place&#x20;without&#x20;a&#x20;GUI&#x20;option&#x20;to&#x20;remove&#x20;it.&#x20;If&#x20;at&#x20;some&#x20;point&#x20;in&#x20;the&#x20;future&#x20;a&#x20;Guest&#x20;account&#x20;is&#x20;needed&#x20;it&#x20;will&#x20;be&#x20;re-created.&#x20;The&#x20;presence&#x20;of&#x20;the&#x20;Guest&#x20;home&#x20;folder&#x20;can&#x20;cause&#x20;automated&#x20;audits&#x20;to&#x20;fail&#x20;when&#x20;looking&#x20;for&#x20;compliant&#x20;settings&#x20;within&#x20;all&#x20;User&#x20;folders&#x20;as&#x20;well.&#x20;Rather&#x20;than&#x20;ignoring&#x20;the&#x20;folders&#x20;continued&#x20;existence&#x20;it&#x20;is&#x20;best&#x20;removed.','The&#x20;Guest&#x20;home&#x20;folders&#x20;are&#x20;unneeded&#x20;after&#x20;the&#x20;Guest&#x20;account&#x20;is&#x20;disabled&#x20;and&#x20;could&#x20;be&#x20;used&#x20;inappropriately.','','1.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;rm&#x20;-R&#x20;/Users/Guest&#x20;&#x20;2.&#x20;Make&#x20;sure&#x20;there&#x20;is&#x20;no&#x20;output','[{\"cis\": [\"6.1.5\"]}]'),(8531,'Turn&#x20;on&#x20;filename&#x20;extensions','A&#x20;filename&#x20;extension&#x20;is&#x20;a&#x20;suffix&#x20;added&#x20;to&#x20;a&#x20;base&#x20;filename&#x20;that&#x20;indicates&#x20;the&#x20;base&#x20;filename&#039;s&#x20;file&#x20;format.','Visible&#x20;filename&#x20;extensions&#x20;allows&#x20;the&#x20;user&#x20;to&#x20;identify&#x20;the&#x20;file&#x20;type&#x20;and&#x20;the&#x20;application&#x20;it&#x20;is&#x20;associated&#x20;with&#x20;which&#x20;leads&#x20;to&#x20;quick&#x20;identification&#x20;of&#x20;misrepresented&#x20;malicious&#x20;files.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;prescribed&#x20;state:&#x20;1.&#x20;Select&#x20;Finder&#x20;2.&#x20;Select&#x20;Preferences&#x20;3.&#x20;Check&#x20;Show&#x20;all&#x20;filename&#x20;extensions&#x20;&#x20;&#x20;&#x20;Alternatively,&#x20;use&#x20;the&#x20;following&#x20;command:&#x20;defaults&#x20;write&#x20;NSGlobalDomain&#x20;AppleShowAllExtensions&#x20;-bool&#x20;true','[{\"cis\": [\"6.2\"]}]'),(8532,'Disable&#x20;the&#x20;automatic&#x20;run&#x20;of&#x20;safe&#x20;files&#x20;in&#x20;Safari','Safari&#x20;will&#x20;automatically&#x20;run&#x20;or&#x20;execute&#x20;what&#x20;it&#x20;considers&#x20;safe&#x20;files.&#x20;This&#x20;can&#x20;include&#x20;installers&#x20;and&#x20;other&#x20;files&#x20;that&#x20;execute&#x20;on&#x20;the&#x20;operating&#x20;system.&#x20;Safari&#x20;bases&#x20;file&#x20;safety&#x20;by&#x20;using&#x20;a&#x20;list&#x20;of&#x20;filetypes&#x20;maintained&#x20;by&#x20;Apple.&#x20;The&#x20;list&#x20;of&#x20;files&#x20;include&#x20;text,&#x20;image,&#x20;video&#x20;and&#x20;archive&#x20;formats&#x20;that&#x20;would&#x20;be&#x20;run&#x20;in&#x20;the&#x20;context&#x20;of&#x20;the&#x20;OS&#x20;rather&#x20;than&#x20;the&#x20;browser.','Hackers&#x20;have&#x20;taken&#x20;advantage&#x20;of&#x20;this&#x20;setting&#x20;via&#x20;drive-by&#x20;attacks.&#x20;These&#x20;attacks&#x20;occur&#x20;when&#x20;a&#x20;user&#x20;visits&#x20;a&#x20;legitimate&#x20;website&#x20;that&#x20;has&#x20;been&#x20;corrupted.&#x20;The&#x20;user&#x20;unknowingly&#x20;downloads&#x20;a&#x20;malicious&#x20;file&#x20;either&#x20;by&#x20;closing&#x20;an&#x20;infected&#x20;pop-up&#x20;or&#x20;hovering&#x20;over&#x20;a&#x20;malicious&#x20;banner.&#x20;An&#x20;attacker&#x20;can&#x20;create&#x20;a&#x20;malicious&#x20;file&#x20;that&#x20;will&#x20;fall&#x20;within&#x20;Safari&#039;s&#x20;safe&#x20;file&#x20;list&#x20;that&#x20;will&#x20;download&#x20;and&#x20;execute&#x20;without&#x20;user&#x20;input.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;prescribed&#x20;state:&#x20;1.&#x20;Open&#x20;Safari&#x20;2.&#x20;Select&#x20;Safari&#x20;from&#x20;the&#x20;menu&#x20;bar&#x20;3.&#x20;Select&#x20;Preferences&#x20;4.&#x20;Select&#x20;General&#x20;5.&#x20;Uncheck&#x20;Open&#x20;&quot;safe&quot;&#x20;files&#x20;after&#x20;downloading&#x20;&#x20;&#x20;&#x20;Alternatively&#x20;run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;defaults&#x20;write&#x20;com.apple.Safari&#x20;AutoOpenSafeDownloads&#x20;-boolean&#x20;no','[{\"cis\": [\"6.3\"]}]'),(9000,'Verify&#x20;all&#x20;Apple&#x20;provided&#x20;software&#x20;is&#x20;current','Software&#x20;vendors&#x20;release&#x20;security&#x20;patches&#x20;and&#x20;software&#x20;updates&#x20;for&#x20;their&#x20;products&#x20;when&#x20;security&#x20;vulnerabilities&#x20;are&#x20;discovered.&#x20;There&#x20;is&#x20;no&#x20;simple&#x20;way&#x20;to&#x20;complete&#x20;this&#x20;action&#x20;without&#x20;a&#x20;network&#x20;connection&#x20;to&#x20;an&#x20;Apple&#x20;software&#x20;repository.&#x20;Please&#x20;ensure&#x20;appropriate&#x20;access&#x20;for&#x20;this&#x20;control.&#x20;This&#x20;check&#x20;is&#x20;only&#x20;for&#x20;what&#x20;Apple&#x20;provides&#x20;through&#x20;software&#x20;update.','It&#x20;is&#x20;important&#x20;that&#x20;these&#x20;updates&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;prevent&#x20;unauthorized&#x20;persons&#x20;from&#x20;exploiting&#x20;the&#x20;identified&#x20;vulnerabilities.','','1.&#x20;In&#x20;Terminal,&#x20;run&#x20;the&#x20;following:&#x20;softwareupdate&#x20;-l&#x20;&#x20;2.&#x20;In&#x20;Terminal,&#x20;run&#x20;the&#x20;following&#x20;for&#x20;any&#x20;packages&#x20;that&#x20;show&#x20;up&#x20;in&#x20;step&#x20;1:&#x20;sudo&#x20;softwareupdate&#x20;-i&#x20;packagename','[{\"cis\": [\"1.1\"]}]'),(9001,'Enable&#x20;Auto&#x20;Update','Auto&#x20;Update&#x20;verifies&#x20;that&#x20;your&#x20;system&#x20;has&#x20;the&#x20;newest&#x20;security&#x20;patches&#x20;and&#x20;software&#x20;updates.&#x20;If&#x20;&quot;Automatically&#x20;check&#x20;for&#x20;updates&quot;&#x20;is&#x20;not&#x20;selected&#x20;background&#x20;updates&#x20;for&#x20;new&#x20;malware&#x20;definition&#x20;files&#x20;from&#x20;Apple&#x20;for&#x20;XProtect&#x20;and&#x20;Gatekeeper&#x20;will&#x20;not&#x20;occur.','It&#x20;is&#x20;important&#x20;that&#x20;a&#x20;system&#x20;has&#x20;the&#x20;newest&#x20;updates&#x20;applied&#x20;so&#x20;as&#x20;to&#x20;prevent&#x20;unauthorized&#x20;persons&#x20;from&#x20;exploiting&#x20;identified&#x20;vulnerabilities.','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;auto&#x20;update&#x20;feature:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;AutomaticCheckEnabled&#x20;-int&#x20;1','[{\"cis\": [\"1.2\"]}]'),(9002,'Enable&#x20;app&#x20;update&#x20;installs','Ensure&#x20;that&#x20;application&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;These&#x20;updates&#x20;do&#x20;not&#x20;require&#x20;reboots&#x20;or&#x20;admin&#x20;privileges&#x20;for&#x20;end&#x20;users.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;auto&#x20;update&#x20;feature:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.commerce&#x20;AutoUpdate&#x20;-bool&#x20;TRUE&#x20;&#x20;&#x20;&#x20;The&#x20;remediation&#x20;requires&#x20;a&#x20;log&#x20;out&#x20;and&#x20;log&#x20;in&#x20;to&#x20;show&#x20;in&#x20;the&#x20;GUI.&#x20;Please&#x20;note&#x20;that.','[{\"cis\": [\"1.3\"]}]'),(9003,'Enable&#x20;system&#x20;data&#x20;files&#x20;and&#x20;security&#x20;update&#x20;installs','Ensure&#x20;that&#x20;system&#x20;and&#x20;security&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;&#x20;This&#x20;setting&#x20;enables&#x20;definition&#x20;updates&#x20;for&#x20;XProtect&#x20;and&#x20;Gatekeeper,&#x20;with&#x20;this&#x20;setting&#x20;in&#x20;place&#x20;new&#x20;malware&#x20;and&#x20;adware&#x20;that&#x20;Apple&#x20;has&#x20;added&#x20;to&#x20;the&#x20;list&#x20;of&#x20;malware&#x20;or&#x20;untrusted&#x20;software&#x20;will&#x20;not&#x20;execute.&#x20;These&#x20;updates&#x20;do&#x20;not&#x20;require&#x20;reboots&#x20;or&#x20;end&#x20;user&#x20;admin&#x20;rights.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;install&#x20;system&#x20;data&#x20;files&#x20;and&#x20;security&#x20;updates:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;ConfigDataInstall&#x20;-bool&#x20;true&#x20;&amp;&amp;&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;CriticalUpdateInstall&#x20;-bool&#x20;true','[{\"cis\": [\"1.4\"]}]'),(9004,'Enable&#x20;macOS&#x20;update&#x20;installs','Ensure&#x20;that&#x20;macOS&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;This&#x20;setting&#x20;enables&#x20;macOS&#x20;updates&#x20;to&#x20;be&#x20;automatically&#x20;installed.&#x20;Some&#x20;environments&#x20;will&#x20;want&#x20;to&#x20;approve&#x20;and&#x20;test&#x20;updates&#x20;before&#x20;they&#x20;are&#x20;delivered.&#x20;It&#x20;is&#x20;best&#x20;practice&#x20;to&#x20;test&#x20;first&#x20;where&#x20;updates&#x20;can&#x20;and&#x20;have&#x20;caused&#x20;disruptions&#x20;to&#x20;operations.&#x20;Automatic&#x20;updates&#x20;should&#x20;be&#x20;turned&#x20;off&#x20;where&#x20;changes&#x20;are&#x20;tightly&#x20;controlled&#x20;and&#x20;there&#x20;are&#x20;mature&#x20;testing&#x20;and&#x20;approval&#x20;processes.&#x20;Automatic&#x20;updates&#x20;should&#x20;not&#x20;be&#x20;turned&#x20;off&#x20;so&#x20;the&#x20;admin&#x20;can&#x20;call&#x20;the&#x20;users&#x20;first&#x20;to&#x20;let&#x20;them&#x20;know&#x20;it&#039;s&#x20;ok&#x20;to&#x20;install.&#x20;A&#x20;dependable&#x20;repeatable&#x20;process&#x20;involving&#x20;a&#x20;patch&#x20;agent&#x20;or&#x20;remote&#x20;management&#x20;tool&#x20;should&#x20;be&#x20;in&#x20;place&#x20;before&#x20;auto-updates&#x20;are&#x20;turned&#x20;off.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;install&#x20;system&#x20;data&#x20;files&#x20;and&#x20;security&#x20;updates:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.commerce&#x20;AutoUpdateRestartRequired&#x20;-bool&#x20;TRUE','[{\"cis\": [\"1.5\"]}]'),(9005,'Enable&#x20;&quot;Set&#x20;time&#x20;and&#x20;date&#x20;automatically&quot;','Correct&#x20;date&#x20;and&#x20;time&#x20;settings&#x20;are&#x20;required&#x20;for&#x20;authentication&#x20;protocols,&#x20;file&#x20;creation,&#x20;modification&#x20;dates&#x20;and&#x20;log&#x20;entries.&#x20;&#x20;Note:&#x20;If&#x20;your&#x20;organization&#x20;has&#x20;internal&#x20;time&#x20;servers,&#x20;enter&#x20;them&#x20;here.&#x20;Enterprise&#x20;mobile&#x20;devices&#x20;may&#x20;need&#x20;to&#x20;use&#x20;a&#x20;mix&#x20;of&#x20;internal&#x20;and&#x20;external&#x20;time&#x20;servers.&#x20;If&#x20;multiple&#x20;servers&#x20;are&#x20;required&#x20;use&#x20;the&#x20;Date&#x20;&amp;&#x20;Time&#x20;System&#x20;Preference&#x20;with&#x20;each&#x20;server&#x20;separated&#x20;by&#x20;a&#x20;space.','Kerberos&#x20;may&#x20;not&#x20;operate&#x20;correctly&#x20;if&#x20;the&#x20;time&#x20;on&#x20;the&#x20;Mac&#x20;is&#x20;off&#x20;by&#x20;more&#x20;than&#x20;5&#x20;minutes.&#x20;&#x20;This&#x20;in&#x20;turn&#x20;can&#x20;affect&#x20;Apple&#039;s&#x20;single&#x20;sign-on&#x20;feature,&#x20;Active&#x20;Directory&#x20;logons,&#x20;and&#x20;other&#x20;features.','','Run&#x20;the&#x20;following&#x20;commands:&#x20;sudo&#x20;systemsetup&#x20;-setnetworktimeserver&#x20;&lt;timeserver&gt;&#x20;&#x20;&#x20;&#x20;sudo&#x20;systemsetup&#x20;-setusingnetworktime&#x20;on','[{\"cis\": [\"2.2.1\"]}]'),(9006,'Disable&#x20;Remote&#x20;Apple&#x20;Events','Apple&#x20;Events&#x20;is&#x20;a&#x20;technology&#x20;that&#x20;allows&#x20;one&#x20;program&#x20;to&#x20;communicate&#x20;with&#x20;other&#x20;programs.&#x20;Remote&#x20;Apple&#x20;Events&#x20;allows&#x20;a&#x20;program&#x20;on&#x20;one&#x20;computer&#x20;to&#x20;communicate&#x20;with&#x20;a&#x20;program&#x20;on&#x20;a&#x20;different&#x20;computer.','Disabling&#x20;Remote&#x20;Apple&#x20;Events&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;unauthorized&#x20;program&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;systemsetup&#x20;-setremoteappleevents&#x20;off','[{\"cis\": [\"2.4.1\"]}]'),(9007,'Disable&#x20;Printer&#x20;Sharing','By&#x20;enabling&#x20;Printer&#x20;sharing&#x20;the&#x20;computer&#x20;is&#x20;set&#x20;up&#x20;as&#x20;a&#x20;print&#x20;server&#x20;to&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;computers.&#x20;Dedicated&#x20;print&#x20;servers&#x20;or&#x20;direct&#x20;IP&#x20;printing&#x20;should&#x20;be&#x20;used&#x20;instead.','Disabling&#x20;Printer&#x20;Sharing&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;attackers&#x20;attempting&#x20;to&#x20;exploit&#x20;the&#x20;print&#x20;server&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;prescribed&#x20;state:&#x20;1.&#x20;Open&#x20;System&#x20;Preferences&#x20;2.&#x20;Select&#x20;Sharing&#x20;3.&#x20;Uncheck&#x20;Printer&#x20;Sharing','[{\"cis\": [\"2.4.4\"]}]'),(9008,'Disable&#x20;Remote&#x20;Login','Remote&#x20;Login&#x20;allows&#x20;an&#x20;interactive&#x20;terminal&#x20;connection&#x20;to&#x20;a&#x20;computer.','Disabling&#x20;Remote&#x20;Login&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;unauthorized&#x20;person&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;system&#x20;via&#x20;Secure&#x20;Shell&#x20;&#40;SSH&#41;.&#x20;While&#x20;SSH&#x20;is&#x20;an&#x20;industry&#x20;standard&#x20;to&#x20;connect&#x20;to&#x20;posix&#x20;servers,&#x20;the&#x20;scope&#x20;of&#x20;the&#x20;benchmark&#x20;is&#x20;for&#x20;Apple&#x20;macOS&#x20;clients,&#x20;not&#x20;servers.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;systemsetup&#x20;-setremotelogin&#x20;off','[{\"cis\": [\"2.4.5\"]}]'),(9009,'Disable&#x20;File&#x20;Sharing','Apple&#039;s&#x20;File&#x20;Sharing&#x20;uses&#x20;a&#x20;combination&#x20;of&#x20;SMB&#x20;&#40;Windows&#x20;sharing&#41;&#x20;and&#x20;AFP&#x20;&#40;Mac&#x20;sharing&#41;','By&#x20;disabling&#x20;file&#x20;sharing,&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;and&#x20;risk&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;files&#x20;stored&#x20;on&#x20;the&#x20;system&#x20;is&#x20;reduced.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal&#x20;to&#x20;turn&#x20;off&#x20;AFP&#x20;from&#x20;the&#x20;command&#x20;line:&#x20;sudo&#x20;launchctl&#x20;unload&#x20;-w&#x20;/System/Library/LaunchDaemons/com.apple.AppleFileServer.plist&#x20;&#x20;-&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal&#x20;to&#x20;turn&#x20;off&#x20;SMB&#x20;sharing&#x20;from&#x20;the&#x20;CLI:&#x20;&#x20;sudo&#x20;launchctl&#x20;unload&#x20;-w&#x20;/System/Library/LaunchDaemons/com.apple.smbd.plist','[{\"cis\": [\"2.4.8\"]}]'),(9010,'Disable&#x20;&quot;Wake&#x20;for&#x20;network&#x20;access&quot;','This&#x20;feature&#x20;allows&#x20;other&#x20;users&#x20;to&#x20;be&#x20;able&#x20;to&#x20;access&#x20;your&#x20;computer&#039;s&#x20;shared&#x20;resources,&#x20;such&#x20;as&#x20;shared&#x20;printers&#x20;or&#x20;iTunes&#x20;playlists,&#x20;even&#x20;when&#x20;your&#x20;computer&#x20;is&#x20;in&#x20;sleep&#x20;mode.&#x20;In&#x20;a&#x20;closed&#x20;network&#x20;when&#x20;only&#x20;authorized&#x20;devices&#x20;could&#x20;wake&#x20;a&#x20;computer&#x20;it&#x20;could&#x20;be&#x20;valuable&#x20;to&#x20;wake&#x20;computers&#x20;in&#x20;order&#x20;to&#x20;do&#x20;management&#x20;push&#x20;activity.&#x20;Where&#x20;mobile&#x20;workstations&#x20;and&#x20;agents&#x20;exist&#x20;the&#x20;device&#x20;will&#x20;more&#x20;likely&#x20;check&#x20;in&#x20;to&#x20;receive&#x20;updates&#x20;when&#x20;already&#x20;awake.&#x20;Mobile&#x20;devices&#x20;should&#x20;not&#x20;be&#x20;listening&#x20;for&#x20;signals&#x20;on&#x20;unmanaged&#x20;network&#x20;where&#x20;untrusted&#x20;devices&#x20;could&#x20;send&#x20;wake&#x20;signals.','Disabling&#x20;this&#x20;feature&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;remotely&#x20;waking&#x20;the&#x20;system&#x20;and&#x20;gaining&#x20;access.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;&#x20;sudo&#x20;pmset&#x20;-a&#x20;womp&#x20;0&#x20;&#x20;&#x20;Note:&#x20;The&#x20;-c&#x20;flag&#x20;means&#x20;&quot;wall&#x20;power.&quot;&#x20;Different&#x20;settings&#x20;must&#x20;be&#x20;used&#x20;for&#x20;other&#x20;power&#x20;sources.','[{\"cis\": [\"2.5.1\"]}]'),(9011,'Enable&#x20;FileVault','FileVault&#x20;secures&#x20;a&#x20;system&#039;s&#x20;data&#x20;by&#x20;automatically&#x20;encrypting&#x20;its&#x20;boot&#x20;volume&#x20;and&#x20;requiring&#x20;a&#x20;password&#x20;or&#x20;recovery&#x20;key&#x20;to&#x20;access&#x20;it.','Encrypting&#x20;sensitive&#x20;data&#x20;minimizes&#x20;the&#x20;likelihood&#x20;of&#x20;unauthorized&#x20;users&#x20;gaining&#x20;access&#x20;to&#x20;it.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;prescribed&#x20;state:&#x20;1.&#x20;Open&#x20;System&#x20;Preferences&#x20;2.&#x20;Select&#x20;Security&#x20;&amp;&#x20;Privacy&#x20;3.&#x20;Select&#x20;FileVault&#x20;4.&#x20;Select&#x20;Turn&#x20;on&#x20;FileVault','[{\"cis\": [\"2.6.1.1\"]}]'),(9012,'Enable&#x20;Gatekeeper','Gatekeeper&#x20;is&#x20;Apple&#039;s&#x20;application&#x20;white-listing&#x20;control&#x20;that&#x20;restricts&#x20;downloaded&#x20;applications&#x20;from&#x20;launching.&#x20;It&#x20;functions&#x20;as&#x20;a&#x20;control&#x20;to&#x20;limit&#x20;applications&#x20;from&#x20;unverified&#x20;sources&#x20;from&#x20;running&#x20;without&#x20;authorization.','Disallowing&#x20;unsigned&#x20;software&#x20;will&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;unauthorized&#x20;or&#x20;malicious&#x20;applications&#x20;from&#x20;running&#x20;on&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;spctl&#x20;--master-enable','[{\"cis\": [\"2.6.2\"]}]'),(9013,'Enable&#x20;Firewall','A&#x20;firewall&#x20;is&#x20;a&#x20;piece&#x20;of&#x20;software&#x20;that&#x20;blocks&#x20;unwanted&#x20;incoming&#x20;connections&#x20;to&#x20;a&#x20;system.&#x20;&#x20;Apple&#x20;has&#x20;posted&#x20;general&#x20;documentation&#x20;about&#x20;the&#x20;application&#x20;firewall.','A&#x20;firewall&#x20;minimizes&#x20;the&#x20;threat&#x20;of&#x20;unauthorized&#x20;users&#x20;from&#x20;gaining&#x20;access&#x20;to&#x20;your&#x20;system&#x20;while&#x20;connected&#x20;to&#x20;a&#x20;network&#x20;or&#x20;the&#x20;Internet.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.alf&#x20;globalstate&#x20;-&#x20;int&#x20;&lt;value&gt;&#x20;&#x20;&#x20;&#x20;Where&#x20;&lt;value&gt;&#x20;is:&#x20;-&#x20;1&#x20;=&#x20;on&#x20;for&#x20;specific&#x20;services&#x20;-&#x20;2&#x20;=&#x20;on&#x20;for&#x20;essential&#x20;services','[{\"cis\": [\"2.6.3\"]}]'),(9014,'Enable&#x20;Firewall&#x20;Stealth&#x20;Mode','While&#x20;in&#x20;Stealth&#x20;mode&#x20;the&#x20;computer&#x20;will&#x20;not&#x20;respond&#x20;to&#x20;unsolicited&#x20;probes,&#x20;dropping&#x20;that&#x20;traffic.','Stealth&#x20;mode&#x20;on&#x20;the&#x20;firewall&#x20;minimizes&#x20;the&#x20;threat&#x20;of&#x20;system&#x20;discovery&#x20;tools&#x20;while&#x20;connected&#x20;to&#x20;a&#x20;network&#x20;or&#x20;the&#x20;Internet.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;/usr/libexec/ApplicationFirewall/socketfilterfw&#x20;--setstealthmode&#x20;on','[{\"cis\": [\"2.6.4\"]}]'),(9015,'Enable&#x20;Secure&#x20;Keyboard&#x20;Entry&#x20;in&#x20;terminal.app','Secure&#x20;Keyboard&#x20;Entry&#x20;prevents&#x20;other&#x20;applications&#x20;on&#x20;the&#x20;system&#x20;and/or&#x20;network&#x20;from&#x20;detecting&#x20;and&#x20;recording&#x20;what&#x20;is&#x20;typed&#x20;into&#x20;Terminal.','Enabling&#x20;Secure&#x20;Keyboard&#x20;Entry&#x20;minimizes&#x20;the&#x20;risk&#x20;of&#x20;a&#x20;key&#x20;logger&#x20;from&#x20;detecting&#x20;what&#x20;is&#x20;entered&#x20;in&#x20;Terminal.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;prescribed&#x20;state:&#x20;1.&#x20;Open&#x20;Terminal&#x20;2.&#x20;Select&#x20;Terminal&#x20;3.&#x20;Select&#x20;Secure&#x20;Keyboard&#x20;Entry','[{\"cis\": [\"2.10\"]}]'),(9016,'Java&#x20;6&#x20;is&#x20;not&#x20;the&#x20;default&#x20;Java&#x20;runtime','Apple&#x20;had&#x20;made&#x20;Java&#x20;part&#x20;of&#x20;the&#x20;core&#x20;Operating&#x20;System&#x20;for&#x20;macOS.&#x20;Apple&#x20;is&#x20;no&#x20;longer&#x20;providing&#x20;Java&#x20;updates&#x20;for&#x20;macOS&#x20;and&#x20;updated&#x20;JREs&#x20;and&#x20;JDK&#x20;are&#x20;made&#x20;available&#x20;by&#x20;Oracle.&#x20;&#x20;The&#x20;latest&#x20;version&#x20;of&#x20;Java&#x20;6&#x20;made&#x20;available&#x20;by&#x20;Apple&#x20;has&#x20;many&#x20;unpatched&#x20;vulnerabilities&#x20;and&#x20;should&#x20;not&#x20;be&#x20;the&#x20;default&#x20;runtime&#x20;for&#x20;Java&#x20;applets&#x20;that&#x20;request&#x20;one&#x20;from&#x20;the&#x20;Operating&#x20;System','Java&#x20;has&#x20;been&#x20;one&#x20;of&#x20;the&#x20;most&#x20;exploited&#x20;environments&#x20;and&#x20;Java&#x20;6,&#x20;which&#x20;was&#x20;provided&#x20;as&#x20;an&#x20;OS&#x20;component&#x20;by&#x20;Apple,&#x20;is&#x20;no&#x20;longer&#x20;maintained&#x20;by&#x20;Apple&#x20;or&#x20;Oracle.&#x20;The&#x20;old&#x20;versions&#x20;provided&#x20;by&#x20;Apple&#x20;are&#x20;both&#x20;unsupported&#x20;and&#x20;missing&#x20;the&#x20;more&#x20;modern&#x20;security&#x20;controls&#x20;that&#x20;have&#x20;limited&#x20;current&#x20;exploits.&#x20;The&#x20;EOL&#x20;version&#x20;may&#x20;still&#x20;be&#x20;installed&#x20;and&#x20;should&#x20;be&#x20;removed&#x20;from&#x20;the&#x20;computer&#x20;or&#x20;not&#x20;be&#x20;in&#x20;the&#x20;default&#x20;path.','','Java&#x20;6&#x20;can&#x20;be&#x20;removed&#x20;completely&#x20;or,&#x20;if&#x20;required&#x20;Java&#x20;applications&#x20;will&#x20;only&#x20;work&#x20;with&#x20;Java&#x20;6,&#x20;a&#x20;custom&#x20;path&#x20;can&#x20;be&#x20;used.&#x20;Apple&#x20;is&#x20;likely&#x20;to&#x20;finally&#x20;pull&#x20;the&#x20;plug&#x20;on&#x20;Java&#x20;6&#x20;in&#x20;upcoming&#x20;macOS&#x20;versions&#x20;so&#x20;any&#x20;applications&#x20;that&#x20;still&#x20;require&#x20;Java&#x20;6&#x20;will&#x20;likely&#x20;soon&#x20;be&#x20;unavailable.','[{\"cis\": [\"2.11\"]}]'),(9017,'Enable&#x20;security&#x20;auditing','macOS&#039;s&#x20;audit&#x20;facility,&#x20;auditd,&#x20;receives&#x20;notifications&#x20;from&#x20;the&#x20;kernel&#x20;when&#x20;certain&#x20;system&#x20;calls,&#x20;such&#x20;as&#x20;open,&#x20;fork,&#x20;and&#x20;exit,&#x20;are&#x20;made.&#x20;These&#x20;notifications&#x20;are&#x20;captured&#x20;and&#x20;written&#x20;to&#x20;an&#x20;audit&#x20;log.','Logs&#x20;generated&#x20;by&#x20;auditd&#x20;may&#x20;be&#x20;useful&#x20;when&#x20;investigating&#x20;a&#x20;security&#x20;incident&#x20;as&#x20;they&#x20;may&#x20;help&#x20;reveal&#x20;the&#x20;vulnerable&#x20;application&#x20;and&#x20;the&#x20;actions&#x20;taken&#x20;by&#x20;a&#x20;malicious&#x20;actor.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;launchctl&#x20;load&#x20;-w&#x20;/System/Library/LaunchDaemons/com.apple.auditd.plist','[{\"cis\": [\"3.1\"]}]'),(9018,'Configure&#x20;Security&#x20;Auditing&#x20;Flags','Auditing&#x20;is&#x20;the&#x20;capture&#x20;and&#x20;maintenance&#x20;of&#x20;information&#x20;about&#x20;security-related&#x20;events.','Maintaining&#x20;an&#x20;audit&#x20;trail&#x20;of&#x20;system&#x20;activity&#x20;logs&#x20;can&#x20;help&#x20;identify&#x20;configuration&#x20;errors,&#x20;troubleshoot&#x20;service&#x20;disruptions,&#x20;and&#x20;analyze&#x20;compromises&#x20;or&#x20;attacks&#x20;that&#x20;have&#x20;occurred,&#x20;have&#x20;begun,&#x20;or&#x20;are&#x20;about&#x20;to&#x20;begin.&#x20;Audit&#x20;logs&#x20;are&#x20;necessary&#x20;to&#x20;provide&#x20;a&#x20;trail&#x20;of&#x20;evidence&#x20;in&#x20;case&#x20;the&#x20;system&#x20;or&#x20;network&#x20;is&#x20;compromised.','','1.&#x20;Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;edit&#x20;the&#x20;/etc/security/audit_control&#x20;file&#x20;2.&#x20;Find&#x20;the&#x20;line&#x20;beginning&#x20;with&#x20;&quot;flags&quot;&#x20;3.&#x20;Add&#x20;the&#x20;following&#x20;flags:&#x20;lo,&#x20;ad,&#x20;fd,&#x20;fm,&#x20;-all.&#x20;&#x20;4.&#x20;Save&#x20;the&#x20;file.','[{\"cis\": [\"3.2\"]}]'),(9019,'Disable&#x20;Bonjour&#x20;advertising&#x20;service','Bonjour&#x20;is&#x20;an&#x20;auto-discovery&#x20;mechanism&#x20;for&#x20;TCP/IP&#x20;devices&#x20;which&#x20;enumerate&#x20;devices&#x20;and&#x20;services&#x20;within&#x20;a&#x20;local&#x20;subnet.&#x20;DNS&#x20;on&#x20;macOS&#x20;is&#x20;integrated&#x20;with&#x20;Bonjour&#x20;and&#x20;should&#x20;not&#x20;be&#x20;turned&#x20;off,&#x20;but&#x20;the&#x20;Bonjour&#x20;advertising&#x20;service&#x20;can&#x20;be&#x20;disabled.','Bonjour&#x20;can&#x20;simplify&#x20;device&#x20;discovery&#x20;from&#x20;an&#x20;internal&#x20;rogue&#x20;or&#x20;compromised&#x20;host.&#x20;An&#x20;attacker&#x20;could&#x20;use&#x20;Bonjour&#039;s&#x20;multicast&#x20;DNS&#x20;feature&#x20;to&#x20;discover&#x20;a&#x20;vulnerable&#x20;or&#x20;poorly-&#x20;configured&#x20;service&#x20;or&#x20;additional&#x20;information&#x20;to&#x20;aid&#x20;a&#x20;targeted&#x20;attack.&#x20;Implementing&#x20;this&#x20;control&#x20;disables&#x20;the&#x20;continuous&#x20;broadcasting&#x20;of&#x20;&quot;I&#039;m&#x20;here!&quot;&#x20;messages.&#x20;Typical&#x20;end-user&#x20;endpoints&#x20;should&#x20;not&#x20;have&#x20;to&#x20;advertise&#x20;services&#x20;to&#x20;other&#x20;computers.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.mDNSResponder.plist&#x20;NoMulticastAdvertisements','[{\"cis\": [\"4.1\"]}]'),(9020,'Ensure&#x20;http&#x20;server&#x20;is&#x20;not&#x20;running','macOS&#x20;used&#x20;to&#x20;have&#x20;a&#x20;graphical&#x20;front-end&#x20;to&#x20;the&#x20;embedded&#x20;Apache&#x20;web&#x20;server&#x20;in&#x20;the&#x20;Operating&#x20;System.&#x20;Personal&#x20;web&#x20;sharing&#x20;could&#x20;be&#x20;enabled&#x20;to&#x20;allow&#x20;someone&#x20;on&#x20;another&#x20;computer&#x20;to&#x20;download&#x20;files&#x20;or&#x20;information&#x20;from&#x20;the&#x20;user&#039;s&#x20;computer.&#x20;Personal&#x20;web&#x20;sharing&#x20;from&#x20;a&#x20;user&#x20;endpoint&#x20;has&#x20;long&#x20;been&#x20;considered&#x20;questionable&#x20;and&#x20;Apple&#x20;has&#x20;removed&#x20;that&#x20;capability&#x20;from&#x20;the&#x20;GUI.&#x20;Apache&#x20;however&#x20;is&#x20;still&#x20;part&#x20;of&#x20;the&#x20;Operating&#x20;System&#x20;and&#x20;can&#x20;be&#x20;easily&#x20;turned&#x20;on&#x20;to&#x20;share&#x20;files&#x20;and&#x20;provide&#x20;remote&#x20;connectivity&#x20;to&#x20;an&#x20;end&#x20;user&#x20;computer.&#x20;&#x20;Web&#x20;sharing&#x20;should&#x20;only&#x20;be&#x20;done&#x20;through&#x20;hardened&#x20;web&#x20;servers&#x20;and&#x20;appropriate&#x20;cloud&#x20;services.','Web&#x20;serving&#x20;should&#x20;not&#x20;be&#x20;done&#x20;from&#x20;a&#x20;user&#x20;desktop.&#x20;Dedicated&#x20;webservers&#x20;or&#x20;appropriate&#x20;cloud&#x20;storage&#x20;should&#x20;be&#x20;used.&#x20;Open&#x20;ports&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;exploit&#x20;the&#x20;computer.','','Stop&#x20;the&#x20;Web&#x20;Server&#x20;sudo&#x20;apachectl&#x20;stop&#x20;&#x20;&#x20;&#x20;Ensure&#x20;that&#x20;the&#x20;web&#x20;server&#x20;will&#x20;not&#x20;auto-start&#x20;at&#x20;boot&#x20;sudo&#x20;defaults&#x20;write&#x20;/System/Library/LaunchDaemons/org.apache.httpd&#x20;Disabled&#x20;-&#x20;bool&#x20;true','[{\"cis\": [\"4.4\"]}]'),(9021,'Ensure&#x20;FTP&#x20;server&#x20;is&#x20;not&#x20;running','macOS&#x20;used&#x20;to&#x20;have&#x20;a&#x20;graphical&#x20;front-end&#x20;to&#x20;the&#x20;embedded&#x20;FTP&#x20;server&#x20;in&#x20;the&#x20;Operating&#x20;System.&#x20;FTP&#x20;sharing&#x20;could&#x20;be&#x20;enabled&#x20;to&#x20;allow&#x20;someone&#x20;on&#x20;another&#x20;computer&#x20;to&#x20;download&#x20;files&#x20;or&#x20;information&#x20;from&#x20;the&#x20;user&#039;s&#x20;computer.&#x20;Running&#x20;an&#x20;FTP&#x20;server&#x20;from&#x20;a&#x20;user&#x20;endpoint&#x20;has&#x20;long&#x20;been&#x20;considered&#x20;questionable&#x20;and&#x20;Apple&#x20;has&#x20;removed&#x20;that&#x20;capability&#x20;from&#x20;the&#x20;GUI.&#x20;The&#x20;FTP&#x20;server&#x20;however&#x20;is&#x20;still&#x20;part&#x20;of&#x20;the&#x20;Operating&#x20;System&#x20;and&#x20;can&#x20;be&#x20;easily&#x20;turned&#x20;on&#x20;to&#x20;share&#x20;files&#x20;and&#x20;provide&#x20;remote&#x20;connectivity&#x20;to&#x20;an&#x20;end&#x20;user&#x20;computer.&#x20;FTP&#x20;servers&#x20;meet&#x20;a&#x20;specialized&#x20;need&#x20;to&#x20;distribute&#x20;files&#x20;without&#x20;strong&#x20;authentication&#x20;and&#x20;should&#x20;only&#x20;be&#x20;done&#x20;through&#x20;hardened&#x20;servers.&#x20;Cloud&#x20;services&#x20;or&#x20;other&#x20;distribution&#x20;methods&#x20;should&#x20;be&#x20;considered','FTP&#x20;servers&#x20;should&#x20;not&#x20;be&#x20;run&#x20;on&#x20;an&#x20;end&#x20;user&#x20;desktop.&#x20;Dedicated&#x20;servers&#x20;or&#x20;appropriate&#x20;cloud&#x20;storage&#x20;should&#x20;be&#x20;used.&#x20;Open&#x20;ports&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;exploit&#x20;the&#x20;computer.','','Stop&#x20;the&#x20;ftp&#x20;Server&#x20;sudo&#x20;-s&#x20;launchctl&#x20;unload&#x20;-w&#x20;/System/Library/LaunchDaemons/ftp.plist','[{\"cis\": [\"4.5\"]}]'),(9022,'Ensure&#x20;nfs&#x20;server&#x20;is&#x20;not&#x20;running','macOS&#x20;can&#x20;act&#x20;as&#x20;an&#x20;NFS&#x20;fileserver.&#x20;NFS&#x20;sharing&#x20;could&#x20;be&#x20;enabled&#x20;to&#x20;allow&#x20;someone&#x20;on&#x20;another&#x20;computer&#x20;to&#x20;mount&#x20;shares&#x20;and&#x20;gain&#x20;access&#x20;to&#x20;information&#x20;from&#x20;the&#x20;user&#039;s&#x20;computer.&#x20;File&#x20;sharing&#x20;from&#x20;a&#x20;user&#x20;endpoint&#x20;has&#x20;long&#x20;been&#x20;considered&#x20;questionable&#x20;and&#x20;Apple&#x20;has&#x20;removed&#x20;that&#x20;capability&#x20;from&#x20;the&#x20;GUI.&#x20;NFSD&#x20;is&#x20;still&#x20;part&#x20;of&#x20;the&#x20;Operating&#x20;System&#x20;and&#x20;can&#x20;be&#x20;easily&#x20;turned&#x20;on&#x20;to&#x20;export&#x20;shares&#x20;and&#x20;provide&#x20;remote&#x20;connectivity&#x20;to&#x20;an&#x20;end&#x20;user&#x20;computer.','File&#x20;serving&#x20;should&#x20;not&#x20;be&#x20;done&#x20;from&#x20;a&#x20;user&#x20;desktop,&#x20;dedicated&#x20;servers&#x20;should&#x20;be&#x20;used.&#x20;&#x20;Open&#x20;ports&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;exploit&#x20;the&#x20;computer.','','Stop&#x20;the&#x20;NFS&#x20;Server&#x20;sudo&#x20;nfsd&#x20;disable&#x20;&#x20;&#x20;&#x20;Remove&#x20;the&#x20;exported&#x20;Directory&#x20;listing&#x20;rm&#x20;/etc/export','[{\"cis\": [\"4.6\"]}]'),(9023,'Do&#x20;not&#x20;enable&#x20;the&#x20;&quot;root&quot;&#x20;account','The&#x20;root&#x20;account&#x20;is&#x20;a&#x20;superuser&#x20;account&#x20;that&#x20;has&#x20;access&#x20;privileges&#x20;to&#x20;perform&#x20;any&#x20;actions&#x20;and&#x20;read/write&#x20;to&#x20;any&#x20;file&#x20;on&#x20;the&#x20;computer.&#x20;With&#x20;some&#x20;Linux&#x20;distros&#x20;the&#x20;system&#x20;administrator&#x20;may&#x20;commonly&#x20;uses&#x20;the&#x20;root&#x20;account&#x20;to&#x20;perform&#x20;administrative&#x20;functions.','Enabling&#x20;and&#x20;using&#x20;the&#x20;root&#x20;account&#x20;puts&#x20;the&#x20;system&#x20;at&#x20;risk&#x20;since&#x20;any&#x20;successful&#x20;exploit&#x20;or&#x20;mistake&#x20;while&#x20;the&#x20;root&#x20;account&#x20;is&#x20;in&#x20;use&#x20;could&#x20;have&#x20;unlimited&#x20;access&#x20;privileges&#x20;within&#x20;the&#x20;system.&#x20;Using&#x20;the&#x20;sudo&#x20;command&#x20;allows&#x20;users&#x20;to&#x20;perform&#x20;functions&#x20;as&#x20;a&#x20;root&#x20;user&#x20;while&#x20;limiting&#x20;and&#x20;password&#x20;protecting&#x20;the&#x20;access&#x20;privileges.&#x20;By&#x20;default&#x20;the&#x20;root&#x20;account&#x20;is&#x20;not&#x20;enabled&#x20;on&#x20;a&#x20;macOS&#x20;computer.&#x20;An&#x20;administrator&#x20;can&#x20;escalate&#x20;privileges&#x20;using&#x20;the&#x20;sudo&#x20;command&#x20;&#40;use&#x20;-s&#x20;or&#x20;-i&#x20;to&#x20;get&#x20;a&#x20;root&#x20;shell&#41;.','','Open&#x20;System&#x20;Preferences,&#x20;Uses&#x20;&amp;&#x20;Groups.&#x20;Click&#x20;the&#x20;lock&#x20;icon&#x20;to&#x20;unlock&#x20;it.&#x20;In&#x20;the&#x20;Network&#x20;Account&#x20;Server&#x20;section,&#x20;click&#x20;Join&#x20;or&#x20;Edit.&#x20;Click&#x20;Open&#x20;Directory&#x20;Utility.&#x20;Click&#x20;the&#x20;lock&#x20;icon&#x20;to&#x20;unlock&#x20;it.&#x20;Select&#x20;the&#x20;Edit&#x20;menu&#x20;&gt;&#x20;Disable&#x20;Root&#x20;User.','[{\"cis\": [\"5.8\"]}]'),(9024,'Disable&#x20;automatic&#x20;login','The&#x20;automatic&#x20;login&#x20;feature&#x20;saves&#x20;a&#x20;user&#039;s&#x20;system&#x20;access&#x20;credentials&#x20;and&#x20;bypasses&#x20;the&#x20;login&#x20;screen,&#x20;instead&#x20;the&#x20;system&#x20;automatically&#x20;loads&#x20;to&#x20;the&#x20;user&#039;s&#x20;desktop&#x20;screen.','Disabling&#x20;automatic&#x20;login&#x20;decreases&#x20;the&#x20;likelihood&#x20;of&#x20;an&#x20;unauthorized&#x20;person&#x20;gaining&#x20;access&#x20;to&#x20;a&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;defaults&#x20;delete&#x20;/Library/Preferences/com.apple.loginwindow&#x20;autoLoginUser','[{\"cis\": [\"5.9\"]}]'),(9025,'System&#x20;Integrity&#x20;Protection&#x20;status','System&#x20;Integrity&#x20;Protection&#x20;is&#x20;a&#x20;security&#x20;feature&#x20;introduced&#x20;in&#x20;OS&#x20;X&#x20;10.11&#x20;El&#x20;Capitan.&#x20;&#x20;System&#x20;Integrity&#x20;Protection&#x20;restricts&#x20;access&#x20;to&#x20;System&#x20;domain&#x20;locations&#x20;and&#x20;restricts&#x20;runtime&#x20;attachment&#x20;to&#x20;system&#x20;processes.&#x20;Any&#x20;attempt&#x20;to&#x20;attempt&#x20;to&#x20;inspect&#x20;or&#x20;attach&#x20;to&#x20;a&#x20;system&#x20;process&#x20;will&#x20;fail.&#x20;Kernel&#x20;Extensions&#x20;are&#x20;now&#x20;restricted&#x20;to&#x20;/Library/Extensions&#x20;and&#x20;are&#x20;required&#x20;to&#x20;be&#x20;signed&#x20;with&#x20;a&#x20;Developer&#x20;ID.','Running&#x20;without&#x20;System&#x20;Integrity&#x20;Protection&#x20;on&#x20;a&#x20;production&#x20;system&#x20;runs&#x20;the&#x20;risk&#x20;of&#x20;the&#x20;modification&#x20;of&#x20;system&#x20;binaries&#x20;or&#x20;code&#x20;injection&#x20;of&#x20;system&#x20;processes&#x20;that&#x20;would&#x20;otherwise&#x20;be&#x20;protected&#x20;by&#x20;SIP.','','Perform&#x20;the&#x20;following&#x20;while&#x20;booted&#x20;in&#x20;macOS&#x20;Recovery&#x20;Partition.&#x20;&#x20;1.&#x20;Select&#x20;Terminal&#x20;from&#x20;the&#x20;Utilities&#x20;menu&#x20;&#x20;&#x20;&#x20;2.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;/usr/bin/csrutil&#x20;enable&#x20;&#x20;&#x20;&#x20;3.&#x20;The&#x20;output&#x20;should&#x20;be:&#x20;Successfully&#x20;enabled&#x20;System&#x20;Integrity&#x20;Protection.&#x20;Please&#x20;restart&#x20;the&#x20;machine&#x20;for&#x20;the&#x20;changes&#x20;to&#x20;take&#x20;effect.&#x20;&#x20;&#x20;&#x20;4.&#x20;Reboot.','[{\"cis\": [\"5.20\"]}]'),(9026,'Disable&#x20;guest&#x20;account&#x20;login','The&#x20;guest&#x20;account&#x20;allows&#x20;users&#x20;access&#x20;to&#x20;the&#x20;system&#x20;without&#x20;having&#x20;to&#x20;create&#x20;an&#x20;account&#x20;or&#x20;password.&#x20;Guest&#x20;users&#x20;are&#x20;unable&#x20;to&#x20;make&#x20;setting&#x20;changes,&#x20;cannot&#x20;remotely&#x20;login&#x20;to&#x20;the&#x20;system&#x20;and&#x20;all&#x20;created&#x20;files,&#x20;caches,&#x20;and&#x20;passwords&#x20;are&#x20;deleted&#x20;upon&#x20;logging&#x20;out.','Disabling&#x20;the&#x20;guest&#x20;account&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;untrusted&#x20;user&#x20;doing&#x20;basic&#x20;reconnaissance&#x20;and&#x20;possibly&#x20;using&#x20;privilege&#x20;escalation&#x20;attacks&#x20;to&#x20;take&#x20;control&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;GuestEnabled&#x20;-&#x20;bool&#x20;NO','[{\"cis\": [\"6.1.3\"]}]'),(9027,'Remove&#x20;Guest&#x20;home&#x20;folder','The&#x20;guest&#x20;account&#x20;login&#x20;should&#x20;have&#x20;been&#x20;disabled,&#x20;so&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;the&#x20;legacy&#x20;Guest&#x20;home&#x20;folder&#x20;to&#x20;remain&#x20;in&#x20;the&#x20;file&#x20;system.&#x20;When&#x20;normal&#x20;user&#x20;accounts&#x20;are&#x20;removed&#x20;you&#x20;have&#x20;the&#x20;option&#x20;to&#x20;archive&#x20;it,&#x20;leave&#x20;it&#x20;in&#x20;place&#x20;or&#x20;delete.&#x20;In&#x20;the&#x20;case&#x20;of&#x20;the&#x20;guest&#x20;folder&#x20;the&#x20;folder&#x20;remains&#x20;in&#x20;place&#x20;without&#x20;a&#x20;GUI&#x20;option&#x20;to&#x20;remove&#x20;it.&#x20;If&#x20;at&#x20;some&#x20;point&#x20;in&#x20;the&#x20;future&#x20;a&#x20;Guest&#x20;account&#x20;is&#x20;needed&#x20;it&#x20;will&#x20;be&#x20;re-created.&#x20;The&#x20;presence&#x20;of&#x20;the&#x20;Guest&#x20;home&#x20;folder&#x20;can&#x20;cause&#x20;automated&#x20;audits&#x20;to&#x20;fail&#x20;when&#x20;looking&#x20;for&#x20;compliant&#x20;settings&#x20;within&#x20;all&#x20;User&#x20;folders&#x20;as&#x20;well.&#x20;Rather&#x20;than&#x20;ignoring&#x20;the&#x20;folders&#x20;continued&#x20;existence&#x20;it&#x20;is&#x20;best&#x20;removed.','The&#x20;Guest&#x20;home&#x20;folders&#x20;are&#x20;unneeded&#x20;after&#x20;the&#x20;Guest&#x20;account&#x20;is&#x20;disabled&#x20;and&#x20;could&#x20;be&#x20;used&#x20;inappropriately.','','1.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;rm&#x20;-R&#x20;/Users/Guest&#x20;&#x20;2.&#x20;Make&#x20;sure&#x20;there&#x20;is&#x20;no&#x20;output','[{\"cis\": [\"6.1.5\"]}]'),(9028,'Turn&#x20;on&#x20;filename&#x20;extensions','A&#x20;filename&#x20;extension&#x20;is&#x20;a&#x20;suffix&#x20;added&#x20;to&#x20;a&#x20;base&#x20;filename&#x20;that&#x20;indicates&#x20;the&#x20;base&#x20;filename&#039;s&#x20;file&#x20;format.','Visible&#x20;filename&#x20;extensions&#x20;allows&#x20;the&#x20;user&#x20;to&#x20;identify&#x20;the&#x20;file&#x20;type&#x20;and&#x20;the&#x20;application&#x20;it&#x20;is&#x20;associated&#x20;with&#x20;which&#x20;leads&#x20;to&#x20;quick&#x20;identification&#x20;of&#x20;misrepresented&#x20;malicious&#x20;files.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;prescribed&#x20;state:&#x20;1.&#x20;Select&#x20;Finder&#x20;2.&#x20;Select&#x20;Preferences&#x20;3.&#x20;Check&#x20;Show&#x20;all&#x20;filename&#x20;extensions&#x20;&#x20;&#x20;&#x20;Alternatively,&#x20;use&#x20;the&#x20;following&#x20;command:&#x20;defaults&#x20;write&#x20;NSGlobalDomain&#x20;AppleShowAllExtensions&#x20;-bool&#x20;true','[{\"cis\": [\"6.2\"]}]'),(9029,'Disable&#x20;the&#x20;automatic&#x20;run&#x20;of&#x20;safe&#x20;files&#x20;in&#x20;Safari','Safari&#x20;will&#x20;automatically&#x20;run&#x20;or&#x20;execute&#x20;what&#x20;it&#x20;considers&#x20;safe&#x20;files.&#x20;This&#x20;can&#x20;include&#x20;installers&#x20;and&#x20;other&#x20;files&#x20;that&#x20;execute&#x20;on&#x20;the&#x20;operating&#x20;system.&#x20;Safari&#x20;bases&#x20;file&#x20;safety&#x20;by&#x20;using&#x20;a&#x20;list&#x20;of&#x20;filetypes&#x20;maintained&#x20;by&#x20;Apple.&#x20;The&#x20;list&#x20;of&#x20;files&#x20;include&#x20;text,&#x20;image,&#x20;video&#x20;and&#x20;archive&#x20;formats&#x20;that&#x20;would&#x20;be&#x20;run&#x20;in&#x20;the&#x20;context&#x20;of&#x20;the&#x20;OS&#x20;rather&#x20;than&#x20;the&#x20;browser.','Hackers&#x20;have&#x20;taken&#x20;advantage&#x20;of&#x20;this&#x20;setting&#x20;via&#x20;drive-by&#x20;attacks.&#x20;These&#x20;attacks&#x20;occur&#x20;when&#x20;a&#x20;user&#x20;visits&#x20;a&#x20;legitimate&#x20;website&#x20;that&#x20;has&#x20;been&#x20;corrupted.&#x20;The&#x20;user&#x20;unknowingly&#x20;downloads&#x20;a&#x20;malicious&#x20;file&#x20;either&#x20;by&#x20;closing&#x20;an&#x20;infected&#x20;pop-up&#x20;or&#x20;hovering&#x20;over&#x20;a&#x20;malicious&#x20;banner.&#x20;An&#x20;attacker&#x20;can&#x20;create&#x20;a&#x20;malicious&#x20;file&#x20;that&#x20;will&#x20;fall&#x20;within&#x20;Safari&#039;s&#x20;safe&#x20;file&#x20;list&#x20;that&#x20;will&#x20;download&#x20;and&#x20;execute&#x20;without&#x20;user&#x20;input.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;prescribed&#x20;state:&#x20;1.&#x20;Open&#x20;Safari&#x20;2.&#x20;Select&#x20;Safari&#x20;from&#x20;the&#x20;menu&#x20;bar&#x20;3.&#x20;Select&#x20;Preferences&#x20;4.&#x20;Select&#x20;General&#x20;5.&#x20;Uncheck&#x20;Open&#x20;&quot;safe&quot;&#x20;files&#x20;after&#x20;downloading&#x20;&#x20;&#x20;&#x20;Alternatively&#x20;run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;defaults&#x20;write&#x20;com.apple.Safari&#x20;AutoOpenSafeDownloads&#x20;-boolean&#x20;no','[{\"cis\": [\"6.3\"]}]'),(9500,'Verify&#x20;all&#x20;Apple&#x20;provided&#x20;software&#x20;is&#x20;current','Software&#x20;vendors&#x20;release&#x20;security&#x20;patches&#x20;and&#x20;software&#x20;updates&#x20;for&#x20;their&#x20;products&#x20;when&#x20;security&#x20;vulnerabilities&#x20;are&#x20;discovered.&#x20;There&#x20;is&#x20;no&#x20;simple&#x20;way&#x20;to&#x20;complete&#x20;this&#x20;action&#x20;without&#x20;a&#x20;network&#x20;connection&#x20;to&#x20;an&#x20;Apple&#x20;software&#x20;repository.&#x20;Please&#x20;ensure&#x20;appropriate&#x20;access&#x20;for&#x20;this&#x20;control.&#x20;This&#x20;check&#x20;is&#x20;only&#x20;for&#x20;what&#x20;Apple&#x20;provides&#x20;through&#x20;software&#x20;update.','It&#x20;is&#x20;important&#x20;that&#x20;these&#x20;updates&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;prevent&#x20;unauthorized&#x20;persons&#x20;from&#x20;exploiting&#x20;the&#x20;identified&#x20;vulnerabilities.','','1.&#x20;In&#x20;Terminal,&#x20;run&#x20;the&#x20;following:&#x20;softwareupdate&#x20;-l&#x20;&#x20;&#x20;&#x20;2.&#x20;In&#x20;Terminal,&#x20;run&#x20;the&#x20;following&#x20;for&#x20;any&#x20;packages&#x20;that&#x20;show&#x20;up&#x20;in&#x20;step&#x20;1:&#x20;sudo&#x20;softwareupdate&#x20;-i&#x20;packagename','[{\"cis\": [\"1.1\"]}]'),(9501,'Enable&#x20;Auto&#x20;Update','Auto&#x20;Update&#x20;verifies&#x20;that&#x20;your&#x20;system&#x20;has&#x20;the&#x20;newest&#x20;security&#x20;patches&#x20;and&#x20;software&#x20;updates.&#x20;If&#x20;&quot;Automatically&#x20;check&#x20;for&#x20;updates&quot;&#x20;is&#x20;not&#x20;selected&#x20;background&#x20;updates&#x20;for&#x20;new&#x20;malware&#x20;definition&#x20;files&#x20;from&#x20;Apple&#x20;for&#x20;XProtect&#x20;and&#x20;Gatekeeper&#x20;will&#x20;not&#x20;occur.','It&#x20;is&#x20;important&#x20;that&#x20;a&#x20;system&#x20;has&#x20;the&#x20;newest&#x20;updates&#x20;applied&#x20;so&#x20;as&#x20;to&#x20;prevent&#x20;unauthorized&#x20;persons&#x20;from&#x20;exploiting&#x20;identified&#x20;vulnerabilities.','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;auto&#x20;update&#x20;feature:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;AutomaticCheckEnabled&#x20;-int&#x20;1','[{\"cis\": [\"1.2\"]}]'),(9502,'Enable&#x20;app&#x20;update&#x20;installs','Ensure&#x20;that&#x20;application&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;These&#x20;updates&#x20;do&#x20;not&#x20;require&#x20;reboots&#x20;or&#x20;admin&#x20;privileges&#x20;for&#x20;end&#x20;users.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;auto&#x20;update&#x20;feature:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.commerce&#x20;AutoUpdate&#x20;-bool&#x20;TRUE&#x20;&#x20;&#x20;&#x20;The&#x20;remediation&#x20;requires&#x20;a&#x20;log&#x20;out&#x20;and&#x20;log&#x20;in&#x20;to&#x20;show&#x20;in&#x20;the&#x20;GUI.&#x20;Please&#x20;note&#x20;that.','[{\"cis\": [\"1.3\"]}]'),(9503,'Enable&#x20;system&#x20;data&#x20;files&#x20;and&#x20;security&#x20;update&#x20;installs','Ensure&#x20;that&#x20;system&#x20;and&#x20;security&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;&#x20;This&#x20;setting&#x20;enables&#x20;definition&#x20;updates&#x20;for&#x20;XProtect&#x20;and&#x20;Gatekeeper,&#x20;with&#x20;this&#x20;setting&#x20;in&#x20;place&#x20;new&#x20;malware&#x20;and&#x20;adware&#x20;that&#x20;Apple&#x20;has&#x20;added&#x20;to&#x20;the&#x20;list&#x20;of&#x20;malware&#x20;or&#x20;untrusted&#x20;software&#x20;will&#x20;not&#x20;execute.&#x20;These&#x20;updates&#x20;do&#x20;not&#x20;require&#x20;reboots&#x20;or&#x20;end&#x20;user&#x20;admin&#x20;rights.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;install&#x20;system&#x20;data&#x20;files&#x20;and&#x20;security&#x20;updates:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;ConfigDataInstall&#x20;-bool&#x20;true&#x20;&amp;&amp;&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;CriticalUpdateInstall&#x20;-bool&#x20;true','[{\"cis\": [\"1.4\"]}]'),(9504,'Enable&#x20;macOS&#x20;update&#x20;installs','Ensure&#x20;that&#x20;macOS&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;This&#x20;setting&#x20;enables&#x20;macOS&#x20;updates&#x20;to&#x20;be&#x20;automatically&#x20;installed.&#x20;Some&#x20;environments&#x20;will&#x20;want&#x20;to&#x20;approve&#x20;and&#x20;test&#x20;updates&#x20;before&#x20;they&#x20;are&#x20;delivered.&#x20;It&#x20;is&#x20;best&#x20;practice&#x20;to&#x20;test&#x20;first&#x20;where&#x20;updates&#x20;can&#x20;and&#x20;have&#x20;caused&#x20;disruptions&#x20;to&#x20;operations.&#x20;Automatic&#x20;updates&#x20;should&#x20;be&#x20;turned&#x20;off&#x20;where&#x20;changes&#x20;are&#x20;tightly&#x20;controlled&#x20;and&#x20;there&#x20;are&#x20;mature&#x20;testing&#x20;and&#x20;approval&#x20;processes.&#x20;Automatic&#x20;updates&#x20;should&#x20;not&#x20;be&#x20;turned&#x20;off&#x20;so&#x20;the&#x20;admin&#x20;can&#x20;call&#x20;the&#x20;users&#x20;first&#x20;to&#x20;let&#x20;them&#x20;know&#x20;it&#039;s&#x20;ok&#x20;to&#x20;install.&#x20;A&#x20;dependable&#x20;repeatable&#x20;process&#x20;involving&#x20;a&#x20;patch&#x20;agent&#x20;or&#x20;remote&#x20;management&#x20;tool&#x20;should&#x20;be&#x20;in&#x20;place&#x20;before&#x20;auto-updates&#x20;are&#x20;turned&#x20;off.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;install&#x20;system&#x20;data&#x20;files&#x20;and&#x20;security&#x20;updates:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.commerce&#x20;AutoUpdateRestartRequired&#x20;-bool&#x20;TRUE','[{\"cis\": [\"1.5\"]}]'),(9505,'Enable&#x20;&quot;Set&#x20;time&#x20;and&#x20;date&#x20;automatically&quot;','Correct&#x20;date&#x20;and&#x20;time&#x20;settings&#x20;are&#x20;required&#x20;for&#x20;authentication&#x20;protocols,&#x20;file&#x20;creation,&#x20;modification&#x20;dates&#x20;and&#x20;log&#x20;entries.','Kerberos&#x20;may&#x20;not&#x20;operate&#x20;correctly&#x20;if&#x20;the&#x20;time&#x20;on&#x20;the&#x20;Mac&#x20;is&#x20;off&#x20;by&#x20;more&#x20;than&#x20;5&#x20;minutes.&#x20;&#x20;This&#x20;in&#x20;turn&#x20;can&#x20;affect&#x20;Apple&#039;s&#x20;single&#x20;sign-on&#x20;feature,&#x20;Active&#x20;Directory&#x20;logons,&#x20;and&#x20;other&#x20;features.','','Run&#x20;the&#x20;following&#x20;commands:&#x20;sudo&#x20;systemsetup&#x20;-setnetworktimeserver&#x20;&lt;timeserver&gt;&#x20;&#x20;&#x20;&#x20;sudo&#x20;systemsetup&#x20;-setusingnetworktime&#x20;on','[{\"cis\": [\"2.2.1\"]}]'),(9506,'Disable&#x20;Remote&#x20;Apple&#x20;Events','Apple&#x20;Events&#x20;is&#x20;a&#x20;technology&#x20;that&#x20;allows&#x20;one&#x20;program&#x20;to&#x20;communicate&#x20;with&#x20;other&#x20;programs.&#x20;Remote&#x20;Apple&#x20;Events&#x20;allows&#x20;a&#x20;program&#x20;on&#x20;one&#x20;computer&#x20;to&#x20;communicate&#x20;with&#x20;a&#x20;program&#x20;on&#x20;a&#x20;different&#x20;computer.','Disabling&#x20;Remote&#x20;Apple&#x20;Events&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;unauthorized&#x20;program&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;systemsetup&#x20;-setremoteappleevents&#x20;off','[{\"cis\": [\"2.4.1\"]}]'),(9507,'Disable&#x20;Printer&#x20;Sharing','By&#x20;enabling&#x20;Printer&#x20;sharing&#x20;the&#x20;computer&#x20;is&#x20;set&#x20;up&#x20;as&#x20;a&#x20;print&#x20;server&#x20;to&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;computers.&#x20;Dedicated&#x20;print&#x20;servers&#x20;or&#x20;direct&#x20;IP&#x20;printing&#x20;should&#x20;be&#x20;used&#x20;instead.','Disabling&#x20;Printer&#x20;Sharing&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;attackers&#x20;attempting&#x20;to&#x20;exploit&#x20;the&#x20;print&#x20;server&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;prescribed&#x20;state:&#x20;1.&#x20;Open&#x20;System&#x20;Preferences&#x20;2.&#x20;Select&#x20;Sharing&#x20;3.&#x20;Uncheck&#x20;Printer&#x20;Sharing','[{\"cis\": [\"2.4.4\"]}]'),(9508,'Disable&#x20;Remote&#x20;Login','Remote&#x20;Login&#x20;allows&#x20;an&#x20;interactive&#x20;terminal&#x20;connection&#x20;to&#x20;a&#x20;computer.','Disabling&#x20;Remote&#x20;Login&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;unauthorized&#x20;person&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;system&#x20;via&#x20;Secure&#x20;Shell&#x20;&#40;SSH&#41;.&#x20;While&#x20;SSH&#x20;is&#x20;an&#x20;industry&#x20;standard&#x20;to&#x20;connect&#x20;to&#x20;posix&#x20;servers,&#x20;the&#x20;scope&#x20;of&#x20;the&#x20;benchmark&#x20;is&#x20;for&#x20;Apple&#x20;macOS&#x20;clients,&#x20;not&#x20;servers.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;systemsetup&#x20;-setremotelogin&#x20;off','[{\"cis\": [\"2.4.5\"]}]'),(9509,'Disable&#x20;File&#x20;Sharing','Apple&#039;s&#x20;File&#x20;Sharing&#x20;uses&#x20;a&#x20;combination&#x20;of&#x20;SMB&#x20;&#40;Windows&#x20;sharing&#41;&#x20;and&#x20;AFP&#x20;&#40;Mac&#x20;sharing&#41;','By&#x20;disabling&#x20;file&#x20;sharing,&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;and&#x20;risk&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;files&#x20;stored&#x20;on&#x20;the&#x20;system&#x20;is&#x20;reduced.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal&#x20;to&#x20;turn&#x20;off&#x20;AFP&#x20;from&#x20;the&#x20;command&#x20;line:&#x20;sudo&#x20;launchctl&#x20;unload&#x20;-w&#x20;/System/Library/LaunchDaemons/com.apple.AppleFileServer.plist&#x20;&#x20;-&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal&#x20;to&#x20;turn&#x20;off&#x20;SMB&#x20;sharing&#x20;from&#x20;the&#x20;CLI:&#x20;&#x20;sudo&#x20;launchctl&#x20;unload&#x20;-w&#x20;/System/Library/LaunchDaemons/com.apple.smbd.plist','[{\"cis\": [\"2.4.8\"]}]'),(9510,'Disable&#x20;&quot;Wake&#x20;for&#x20;network&#x20;access&quot;','This&#x20;feature&#x20;allows&#x20;other&#x20;users&#x20;to&#x20;be&#x20;able&#x20;to&#x20;access&#x20;your&#x20;computer&#039;s&#x20;shared&#x20;resources,&#x20;such&#x20;as&#x20;shared&#x20;printers&#x20;or&#x20;iTunes&#x20;playlists,&#x20;even&#x20;when&#x20;your&#x20;computer&#x20;is&#x20;in&#x20;sleep&#x20;mode.&#x20;In&#x20;a&#x20;closed&#x20;network&#x20;when&#x20;only&#x20;authorized&#x20;devices&#x20;could&#x20;wake&#x20;a&#x20;computer&#x20;it&#x20;could&#x20;be&#x20;valuable&#x20;to&#x20;wake&#x20;computers&#x20;in&#x20;order&#x20;to&#x20;do&#x20;management&#x20;push&#x20;activity.&#x20;Where&#x20;mobile&#x20;workstations&#x20;and&#x20;agents&#x20;exist&#x20;the&#x20;device&#x20;will&#x20;more&#x20;likely&#x20;check&#x20;in&#x20;to&#x20;receive&#x20;updates&#x20;when&#x20;already&#x20;awake.&#x20;Mobile&#x20;devices&#x20;should&#x20;not&#x20;be&#x20;listening&#x20;for&#x20;signals&#x20;on&#x20;unmanaged&#x20;network&#x20;where&#x20;untrusted&#x20;devices&#x20;could&#x20;send&#x20;wake&#x20;signals.','Disabling&#x20;this&#x20;feature&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;remotely&#x20;waking&#x20;the&#x20;system&#x20;and&#x20;gaining&#x20;access.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;pmset&#x20;-a&#x20;womp&#x20;0','[{\"cis\": [\"2.5.1\"]}]'),(9511,'Enable&#x20;FileVault','FileVault&#x20;secures&#x20;a&#x20;system&#039;s&#x20;data&#x20;by&#x20;automatically&#x20;encrypting&#x20;its&#x20;boot&#x20;volume&#x20;and&#x20;requiring&#x20;a&#x20;password&#x20;or&#x20;recovery&#x20;key&#x20;to&#x20;access&#x20;it.','Encrypting&#x20;sensitive&#x20;data&#x20;minimizes&#x20;the&#x20;likelihood&#x20;of&#x20;unauthorized&#x20;users&#x20;gaining&#x20;access&#x20;to&#x20;it.','','1.&#x20;Open&#x20;System&#x20;Preferences&#x20;2.&#x20;Select&#x20;Security&#x20;&amp;&#x20;Privacy&#x20;3.&#x20;Select&#x20;FileVault&#x20;4.&#x20;Select&#x20;Turn&#x20;on&#x20;FileVault','[{\"cis\": [\"2.6.1.1\"]}]'),(9512,'Enable&#x20;Gatekeeper','Gatekeeper&#x20;is&#x20;Apple&#039;s&#x20;application&#x20;white-listing&#x20;control&#x20;that&#x20;restricts&#x20;downloaded&#x20;applications&#x20;from&#x20;launching.&#x20;It&#x20;functions&#x20;as&#x20;a&#x20;control&#x20;to&#x20;limit&#x20;applications&#x20;from&#x20;unverified&#x20;sources&#x20;from&#x20;running&#x20;without&#x20;authorization.','Disallowing&#x20;unsigned&#x20;software&#x20;will&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;unauthorized&#x20;or&#x20;malicious&#x20;applications&#x20;from&#x20;running&#x20;on&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;spctl&#x20;--master-enable','[{\"cis\": [\"2.6.2\"]}]'),(9513,'Enable&#x20;Firewall','A&#x20;firewall&#x20;is&#x20;a&#x20;piece&#x20;of&#x20;software&#x20;that&#x20;blocks&#x20;unwanted&#x20;incoming&#x20;connections&#x20;to&#x20;a&#x20;system.&#x20;&#x20;Apple&#x20;has&#x20;posted&#x20;general&#x20;documentation&#x20;about&#x20;the&#x20;application&#x20;firewall.','A&#x20;firewall&#x20;minimizes&#x20;the&#x20;threat&#x20;of&#x20;unauthorized&#x20;users&#x20;from&#x20;gaining&#x20;access&#x20;to&#x20;your&#x20;system&#x20;while&#x20;connected&#x20;to&#x20;a&#x20;network&#x20;or&#x20;the&#x20;Internet.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.alf&#x20;globalstate&#x20;-&#x20;int&#x20;&lt;value&gt;&#x20;&#x20;&#x20;&#x20;Where&#x20;&lt;value&gt;&#x20;is:&#x20;-&#x20;1&#x20;=&#x20;on&#x20;for&#x20;specific&#x20;services&#x20;-&#x20;2&#x20;=&#x20;on&#x20;for&#x20;essential&#x20;services&#x20;','[{\"cis\": [\"2.6.3\"]}]'),(9514,'Enable&#x20;Firewall&#x20;Stealth&#x20;Mode','While&#x20;in&#x20;Stealth&#x20;mode&#x20;the&#x20;computer&#x20;will&#x20;not&#x20;respond&#x20;to&#x20;unsolicited&#x20;probes,&#x20;dropping&#x20;that&#x20;traffic.','Stealth&#x20;mode&#x20;on&#x20;the&#x20;firewall&#x20;minimizes&#x20;the&#x20;threat&#x20;of&#x20;system&#x20;discovery&#x20;tools&#x20;while&#x20;connected&#x20;to&#x20;a&#x20;network&#x20;or&#x20;the&#x20;Internet.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;/usr/libexec/ApplicationFirewall/socketfilterfw&#x20;--setstealthmode&#x20;on','[{\"cis\": [\"2.6.4\"]}]'),(9515,'Enable&#x20;Secure&#x20;Keyboard&#x20;Entry&#x20;in&#x20;terminal.app','Secure&#x20;Keyboard&#x20;Entry&#x20;prevents&#x20;other&#x20;applications&#x20;on&#x20;the&#x20;system&#x20;and/or&#x20;network&#x20;from&#x20;detecting&#x20;and&#x20;recording&#x20;what&#x20;is&#x20;typed&#x20;into&#x20;Terminal.','Enabling&#x20;Secure&#x20;Keyboard&#x20;Entry&#x20;minimizes&#x20;the&#x20;risk&#x20;of&#x20;a&#x20;key&#x20;logger&#x20;from&#x20;detecting&#x20;what&#x20;is&#x20;entered&#x20;in&#x20;Terminal.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;prescribed&#x20;state:&#x20;1.&#x20;Open&#x20;Terminal&#x20;2.&#x20;Select&#x20;Terminal&#x20;3.&#x20;Select&#x20;Secure&#x20;Keyboard&#x20;Entry','[{\"cis\": [\"2.10\"]}]'),(9516,'Java&#x20;6&#x20;is&#x20;not&#x20;the&#x20;default&#x20;Java&#x20;runtime','Apple&#x20;had&#x20;made&#x20;Java&#x20;part&#x20;of&#x20;the&#x20;core&#x20;Operating&#x20;System&#x20;for&#x20;macOS.&#x20;Apple&#x20;is&#x20;no&#x20;longer&#x20;providing&#x20;Java&#x20;updates&#x20;for&#x20;macOS&#x20;and&#x20;updated&#x20;JREs&#x20;and&#x20;JDK&#x20;are&#x20;made&#x20;available&#x20;by&#x20;Oracle.&#x20;&#x20;The&#x20;latest&#x20;version&#x20;of&#x20;Java&#x20;6&#x20;made&#x20;available&#x20;by&#x20;Apple&#x20;has&#x20;many&#x20;unpatched&#x20;vulnerabilities&#x20;and&#x20;should&#x20;not&#x20;be&#x20;the&#x20;default&#x20;runtime&#x20;for&#x20;Java&#x20;applets&#x20;that&#x20;request&#x20;one&#x20;from&#x20;the&#x20;Operating&#x20;System','Java&#x20;has&#x20;been&#x20;one&#x20;of&#x20;the&#x20;most&#x20;exploited&#x20;environments&#x20;and&#x20;Java&#x20;6,&#x20;which&#x20;was&#x20;provided&#x20;as&#x20;an&#x20;OS&#x20;component&#x20;by&#x20;Apple,&#x20;is&#x20;no&#x20;longer&#x20;maintained&#x20;by&#x20;Apple&#x20;or&#x20;Oracle.&#x20;The&#x20;old&#x20;versions&#x20;provided&#x20;by&#x20;Apple&#x20;are&#x20;both&#x20;unsupported&#x20;and&#x20;missing&#x20;the&#x20;more&#x20;modern&#x20;security&#x20;controls&#x20;that&#x20;have&#x20;limited&#x20;current&#x20;exploits.&#x20;The&#x20;EOL&#x20;version&#x20;may&#x20;still&#x20;be&#x20;installed&#x20;and&#x20;should&#x20;be&#x20;removed&#x20;from&#x20;the&#x20;computer&#x20;or&#x20;not&#x20;be&#x20;in&#x20;the&#x20;default&#x20;path.','','Java&#x20;6&#x20;can&#x20;be&#x20;removed&#x20;completely&#x20;or,&#x20;if&#x20;required&#x20;Java&#x20;applications&#x20;will&#x20;only&#x20;work&#x20;with&#x20;Java&#x20;6,&#x20;a&#x20;custom&#x20;path&#x20;can&#x20;be&#x20;used.&#x20;Apple&#x20;is&#x20;likely&#x20;to&#x20;finally&#x20;pull&#x20;the&#x20;plug&#x20;on&#x20;Java&#x20;6&#x20;in&#x20;upcoming&#x20;macOS&#x20;versions&#x20;so&#x20;any&#x20;applications&#x20;that&#x20;still&#x20;require&#x20;Java&#x20;6&#x20;will&#x20;likely&#x20;soon&#x20;be&#x20;unavailable.','[{\"cis\": [\"2.11\"]}]'),(9517,'Ensure&#x20;EFI&#x20;version&#x20;is&#x20;valid&#x20;and&#x20;being&#x20;regularly&#x20;checked','In&#x20;order&#x20;to&#x20;mitigate&#x20;firmware&#x20;attacks&#x20;Apple&#x20;has&#x20;created&#x20;a&#x20;automated&#x20;Firmware&#x20;check&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;EFI&#x20;version&#x20;running&#x20;is&#x20;a&#x20;known&#x20;good&#x20;version&#x20;from&#x20;Apple.&#x20;There&#x20;is&#x20;also&#x20;an&#x20;automated&#x20;process&#x20;to&#x20;check&#x20;it&#x20;every&#x20;seven&#x20;days.','If&#x20;the&#x20;Firmware&#x20;of&#x20;a&#x20;computer&#x20;has&#x20;been&#x20;compromised&#x20;the&#x20;Operating&#x20;System&#x20;that&#x20;the&#x20;Firmware&#x20;loads&#x20;cannot&#x20;be&#x20;trusted&#x20;either.','','If&#x20;EFI&#x20;does&#x20;not&#x20;pass&#x20;the&#x20;integrity&#x20;check&#x20;you&#x20;may&#x20;send&#x20;a&#x20;report&#x20;to&#x20;Apple.&#x20;Backing&#x20;up&#x20;files&#x20;and&#x20;clean&#x20;installing&#x20;a&#x20;known&#x20;good&#x20;Operating&#x20;System&#x20;and&#x20;Firmware&#x20;is&#x20;recommended.','[{\"cis\": [\"2.13\"]}]'),(9518,'Enable&#x20;security&#x20;auditing','macOS&#039;s&#x20;audit&#x20;facility,&#x20;auditd,&#x20;receives&#x20;notifications&#x20;from&#x20;the&#x20;kernel&#x20;when&#x20;certain&#x20;system&#x20;calls,&#x20;such&#x20;as&#x20;open,&#x20;fork,&#x20;and&#x20;exit,&#x20;are&#x20;made.&#x20;These&#x20;notifications&#x20;are&#x20;captured&#x20;and&#x20;written&#x20;to&#x20;an&#x20;audit&#x20;log.','Logs&#x20;generated&#x20;by&#x20;auditd&#x20;may&#x20;be&#x20;useful&#x20;when&#x20;investigating&#x20;a&#x20;security&#x20;incident&#x20;as&#x20;they&#x20;may&#x20;help&#x20;reveal&#x20;the&#x20;vulnerable&#x20;application&#x20;and&#x20;the&#x20;actions&#x20;taken&#x20;by&#x20;a&#x20;malicious&#x20;actor.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;launchctl&#x20;load&#x20;-w&#x20;/System/Library/LaunchDaemons/com.apple.auditd.plist','[{\"cis\": [\"3.1\"]}]'),(9519,'Configure&#x20;Security&#x20;Auditing&#x20;Flags','Auditing&#x20;is&#x20;the&#x20;capture&#x20;and&#x20;maintenance&#x20;of&#x20;information&#x20;about&#x20;security-related&#x20;events.','Maintaining&#x20;an&#x20;audit&#x20;trail&#x20;of&#x20;system&#x20;activity&#x20;logs&#x20;can&#x20;help&#x20;identify&#x20;configuration&#x20;errors,&#x20;troubleshoot&#x20;service&#x20;disruptions,&#x20;and&#x20;analyze&#x20;compromises&#x20;or&#x20;attacks&#x20;that&#x20;have&#x20;occurred,&#x20;have&#x20;begun,&#x20;or&#x20;are&#x20;about&#x20;to&#x20;begin.&#x20;Audit&#x20;logs&#x20;are&#x20;necessary&#x20;to&#x20;provide&#x20;a&#x20;trail&#x20;of&#x20;evidence&#x20;in&#x20;case&#x20;the&#x20;system&#x20;or&#x20;network&#x20;is&#x20;compromised.','','1.&#x20;Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;edit&#x20;the&#x20;/etc/security/audit_control&#x20;file&#x20;&#x20;2.&#x20;Find&#x20;the&#x20;line&#x20;beginning&#x20;with&#x20;&quot;flags&quot;&#x20;&#x20;3.&#x20;Add&#x20;the&#x20;following&#x20;flags:&#x20;lo,&#x20;ad,&#x20;fd,&#x20;fm,&#x20;-all.&#x20;&#x20;4.&#x20;Save&#x20;the&#x20;file.','[{\"cis\": [\"3.2\"]}]'),(9520,'Disable&#x20;Bonjour&#x20;advertising&#x20;service','Bonjour&#x20;is&#x20;an&#x20;auto-discovery&#x20;mechanism&#x20;for&#x20;TCP/IP&#x20;devices&#x20;which&#x20;enumerate&#x20;devices&#x20;and&#x20;services&#x20;within&#x20;a&#x20;local&#x20;subnet.&#x20;DNS&#x20;on&#x20;macOS&#x20;is&#x20;integrated&#x20;with&#x20;Bonjour&#x20;and&#x20;should&#x20;not&#x20;be&#x20;turned&#x20;off,&#x20;but&#x20;the&#x20;Bonjour&#x20;advertising&#x20;service&#x20;can&#x20;be&#x20;disabled.','Bonjour&#x20;can&#x20;simplify&#x20;device&#x20;discovery&#x20;from&#x20;an&#x20;internal&#x20;rogue&#x20;or&#x20;compromised&#x20;host.&#x20;An&#x20;attacker&#x20;could&#x20;use&#x20;Bonjour&#039;s&#x20;multicast&#x20;DNS&#x20;feature&#x20;to&#x20;discover&#x20;a&#x20;vulnerable&#x20;or&#x20;poorly-&#x20;configured&#x20;service&#x20;or&#x20;additional&#x20;information&#x20;to&#x20;aid&#x20;a&#x20;targeted&#x20;attack.&#x20;Implementing&#x20;this&#x20;control&#x20;disables&#x20;the&#x20;continuous&#x20;broadcasting&#x20;of&#x20;&quot;I&#039;m&#x20;here!&quot;&#x20;messages.&#x20;Typical&#x20;end-user&#x20;endpoints&#x20;should&#x20;not&#x20;have&#x20;to&#x20;advertise&#x20;services&#x20;to&#x20;other&#x20;computers.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.mDNSResponder.plist&#x20;NoMulticastAdvertisements','[{\"cis\": [\"4.1\"]}]'),(9521,'Ensure&#x20;http&#x20;server&#x20;is&#x20;not&#x20;running','macOS&#x20;used&#x20;to&#x20;have&#x20;a&#x20;graphical&#x20;front-end&#x20;to&#x20;the&#x20;embedded&#x20;Apache&#x20;web&#x20;server&#x20;in&#x20;the&#x20;Operating&#x20;System.&#x20;Personal&#x20;web&#x20;sharing&#x20;could&#x20;be&#x20;enabled&#x20;to&#x20;allow&#x20;someone&#x20;on&#x20;another&#x20;computer&#x20;to&#x20;download&#x20;files&#x20;or&#x20;information&#x20;from&#x20;the&#x20;user&#039;s&#x20;computer.&#x20;Personal&#x20;web&#x20;sharing&#x20;from&#x20;a&#x20;user&#x20;endpoint&#x20;has&#x20;long&#x20;been&#x20;considered&#x20;questionable&#x20;and&#x20;Apple&#x20;has&#x20;removed&#x20;that&#x20;capability&#x20;from&#x20;the&#x20;GUI.&#x20;Apache&#x20;however&#x20;is&#x20;still&#x20;part&#x20;of&#x20;the&#x20;Operating&#x20;System&#x20;and&#x20;can&#x20;be&#x20;easily&#x20;turned&#x20;on&#x20;to&#x20;share&#x20;files&#x20;and&#x20;provide&#x20;remote&#x20;connectivity&#x20;to&#x20;an&#x20;end&#x20;user&#x20;computer.&#x20;&#x20;Web&#x20;sharing&#x20;should&#x20;only&#x20;be&#x20;done&#x20;through&#x20;hardened&#x20;web&#x20;servers&#x20;and&#x20;appropriate&#x20;cloud&#x20;services.','Web&#x20;serving&#x20;should&#x20;not&#x20;be&#x20;done&#x20;from&#x20;a&#x20;user&#x20;desktop.&#x20;Dedicated&#x20;webservers&#x20;or&#x20;appropriate&#x20;cloud&#x20;storage&#x20;should&#x20;be&#x20;used.&#x20;Open&#x20;ports&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;exploit&#x20;the&#x20;computer.','','Ensure&#x20;that&#x20;the&#x20;Web&#x20;Server&#x20;is&#x20;not&#x20;running&#x20;and&#x20;is&#x20;not&#x20;set&#x20;to&#x20;start&#x20;at&#x20;boot&#x20;Stop&#x20;the&#x20;Web&#x20;Server:&#x20;sudo&#x20;apachectl&#x20;stop&#x20;&#x20;&#x20;&#x20;Ensure&#x20;that&#x20;the&#x20;web&#x20;server&#x20;will&#x20;not&#x20;auto-start&#x20;at&#x20;boot&#x20;sudo:&#x20;defaults&#x20;write&#x20;/System/Library/LaunchDaemons/org.apache.httpd&#x20;Disabled&#x20;-&#x20;bool&#x20;true','[{\"cis\": [\"4.4\"]}]'),(9522,'Ensure&#x20;nfs&#x20;server&#x20;is&#x20;not&#x20;running','macOS&#x20;can&#x20;act&#x20;as&#x20;an&#x20;NFS&#x20;fileserver.&#x20;NFS&#x20;sharing&#x20;could&#x20;be&#x20;enabled&#x20;to&#x20;allow&#x20;someone&#x20;on&#x20;another&#x20;computer&#x20;to&#x20;mount&#x20;shares&#x20;and&#x20;gain&#x20;access&#x20;to&#x20;information&#x20;from&#x20;the&#x20;user&#039;s&#x20;computer.&#x20;File&#x20;sharing&#x20;from&#x20;a&#x20;user&#x20;endpoint&#x20;has&#x20;long&#x20;been&#x20;considered&#x20;questionable&#x20;and&#x20;Apple&#x20;has&#x20;removed&#x20;that&#x20;capability&#x20;from&#x20;the&#x20;GUI.&#x20;NFSD&#x20;is&#x20;still&#x20;part&#x20;of&#x20;the&#x20;Operating&#x20;System&#x20;and&#x20;can&#x20;be&#x20;easily&#x20;turned&#x20;on&#x20;to&#x20;export&#x20;shares&#x20;and&#x20;provide&#x20;remote&#x20;connectivity&#x20;to&#x20;an&#x20;end&#x20;user&#x20;computer.','File&#x20;serving&#x20;should&#x20;not&#x20;be&#x20;done&#x20;from&#x20;a&#x20;user&#x20;desktop,&#x20;dedicated&#x20;servers&#x20;should&#x20;be&#x20;used.&#x20;&#x20;Open&#x20;ports&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;exploit&#x20;the&#x20;computer.','','Ensure&#x20;that&#x20;the&#x20;NFS&#x20;Server&#x20;is&#x20;not&#x20;running&#x20;and&#x20;is&#x20;not&#x20;set&#x20;to&#x20;start&#x20;at&#x20;boot&#x20;Stop&#x20;the&#x20;NFS&#x20;Server:&#x20;sudo&#x20;nfsd&#x20;disable&#x20;&#x20;&#x20;&#x20;Remove&#x20;the&#x20;exported&#x20;Directory&#x20;listing:&#x20;rm&#x20;/etc/export','[{\"cis\": [\"4.5\"]}]'),(9523,'Do&#x20;not&#x20;enable&#x20;the&#x20;&quot;root&quot;&#x20;account','The&#x20;root&#x20;account&#x20;is&#x20;a&#x20;superuser&#x20;account&#x20;that&#x20;has&#x20;access&#x20;privileges&#x20;to&#x20;perform&#x20;any&#x20;actions&#x20;and&#x20;read/write&#x20;to&#x20;any&#x20;file&#x20;on&#x20;the&#x20;computer.&#x20;With&#x20;some&#x20;Linux&#x20;distros&#x20;the&#x20;system&#x20;administrator&#x20;may&#x20;commonly&#x20;uses&#x20;the&#x20;root&#x20;account&#x20;to&#x20;perform&#x20;administrative&#x20;functions.','Enabling&#x20;and&#x20;using&#x20;the&#x20;root&#x20;account&#x20;puts&#x20;the&#x20;system&#x20;at&#x20;risk&#x20;since&#x20;any&#x20;successful&#x20;exploit&#x20;or&#x20;mistake&#x20;while&#x20;the&#x20;root&#x20;account&#x20;is&#x20;in&#x20;use&#x20;could&#x20;have&#x20;unlimited&#x20;access&#x20;privileges&#x20;within&#x20;the&#x20;system.&#x20;Using&#x20;the&#x20;sudo&#x20;command&#x20;allows&#x20;users&#x20;to&#x20;perform&#x20;functions&#x20;as&#x20;a&#x20;root&#x20;user&#x20;while&#x20;limiting&#x20;and&#x20;password&#x20;protecting&#x20;the&#x20;access&#x20;privileges.&#x20;By&#x20;default&#x20;the&#x20;root&#x20;account&#x20;is&#x20;not&#x20;enabled&#x20;on&#x20;a&#x20;macOS&#x20;computer.&#x20;An&#x20;administrator&#x20;can&#x20;escalate&#x20;privileges&#x20;using&#x20;the&#x20;sudo&#x20;command&#x20;&#40;use&#x20;-s&#x20;or&#x20;-i&#x20;to&#x20;get&#x20;a&#x20;root&#x20;shell&#41;.','','Open&#x20;System&#x20;Preferences,&#x20;Uses&#x20;&amp;&#x20;Groups.&#x20;Click&#x20;the&#x20;lock&#x20;icon&#x20;to&#x20;unlock&#x20;it.&#x20;In&#x20;the&#x20;Network&#x20;Account&#x20;Server&#x20;section,&#x20;click&#x20;Join&#x20;or&#x20;Edit.&#x20;Click&#x20;Open&#x20;Directory&#x20;Utility.&#x20;Click&#x20;the&#x20;lock&#x20;icon&#x20;to&#x20;unlock&#x20;it.&#x20;Select&#x20;the&#x20;Edit&#x20;menu&#x20;&gt;&#x20;Disable&#x20;Root&#x20;User.','[{\"cis\": [\"5.11\"]}]'),(9524,'Disable&#x20;automatic&#x20;login','The&#x20;automatic&#x20;login&#x20;feature&#x20;saves&#x20;a&#x20;user&#039;s&#x20;system&#x20;access&#x20;credentials&#x20;and&#x20;bypasses&#x20;the&#x20;login&#x20;screen,&#x20;instead&#x20;the&#x20;system&#x20;automatically&#x20;loads&#x20;to&#x20;the&#x20;user&#039;s&#x20;desktop&#x20;screen.','Disabling&#x20;automatic&#x20;login&#x20;decreases&#x20;the&#x20;likelihood&#x20;of&#x20;an&#x20;unauthorized&#x20;person&#x20;gaining&#x20;access&#x20;to&#x20;a&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;defaults&#x20;delete&#x20;/Library/Preferences/com.apple.loginwindow&#x20;autoLoginUser','[{\"cis\": [\"5.12\"]}]'),(9525,'System&#x20;Integrity&#x20;Protection&#x20;status','System&#x20;Integrity&#x20;Protection&#x20;is&#x20;a&#x20;security&#x20;feature&#x20;introduced&#x20;in&#x20;OS&#x20;X&#x20;10.11&#x20;El&#x20;Capitan.&#x20;&#x20;System&#x20;Integrity&#x20;Protection&#x20;restricts&#x20;access&#x20;to&#x20;System&#x20;domain&#x20;locations&#x20;and&#x20;restricts&#x20;runtime&#x20;attachment&#x20;to&#x20;system&#x20;processes.&#x20;Any&#x20;attempt&#x20;to&#x20;attempt&#x20;to&#x20;inspect&#x20;or&#x20;attach&#x20;to&#x20;a&#x20;system&#x20;process&#x20;will&#x20;fail.&#x20;Kernel&#x20;Extensions&#x20;are&#x20;now&#x20;restricted&#x20;to&#x20;/Library/Extensions&#x20;and&#x20;are&#x20;required&#x20;to&#x20;be&#x20;signed&#x20;with&#x20;a&#x20;Developer&#x20;ID.','Running&#x20;without&#x20;System&#x20;Integrity&#x20;Protection&#x20;on&#x20;a&#x20;production&#x20;system&#x20;runs&#x20;the&#x20;risk&#x20;of&#x20;the&#x20;modification&#x20;of&#x20;system&#x20;binaries&#x20;or&#x20;code&#x20;injection&#x20;of&#x20;system&#x20;processes&#x20;that&#x20;would&#x20;otherwise&#x20;be&#x20;protected&#x20;by&#x20;SIP.','','Perform&#x20;the&#x20;following&#x20;while&#x20;booted&#x20;in&#x20;macOS&#x20;Recovery&#x20;Partition.&#x20;&#x20;1.&#x20;Select&#x20;Terminal&#x20;from&#x20;the&#x20;Utilities&#x20;menu&#x20;&#x20;&#x20;&#x20;2.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;/usr/bin/csrutil&#x20;enable&#x20;&#x20;&#x20;&#x20;3.&#x20;The&#x20;output&#x20;should&#x20;be:&#x20;Successfully&#x20;enabled&#x20;System&#x20;Integrity&#x20;Protection.&#x20;Please&#x20;restart&#x20;the&#x20;machine&#x20;for&#x20;the&#x20;changes&#x20;to&#x20;take&#x20;effect.&#x20;&#x20;&#x20;&#x20;4.&#x20;Reboot.','[{\"cis\": [\"5.23\"]}]'),(9526,'Disable&#x20;guest&#x20;account&#x20;login','The&#x20;guest&#x20;account&#x20;allows&#x20;users&#x20;access&#x20;to&#x20;the&#x20;system&#x20;without&#x20;having&#x20;to&#x20;create&#x20;an&#x20;account&#x20;or&#x20;password.&#x20;Guest&#x20;users&#x20;are&#x20;unable&#x20;to&#x20;make&#x20;setting&#x20;changes,&#x20;cannot&#x20;remotely&#x20;login&#x20;to&#x20;the&#x20;system&#x20;and&#x20;all&#x20;created&#x20;files,&#x20;caches,&#x20;and&#x20;passwords&#x20;are&#x20;deleted&#x20;upon&#x20;logging&#x20;out.','Disabling&#x20;the&#x20;guest&#x20;account&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;untrusted&#x20;user&#x20;doing&#x20;basic&#x20;reconnaissance&#x20;and&#x20;possibly&#x20;using&#x20;privilege&#x20;escalation&#x20;attacks&#x20;to&#x20;take&#x20;control&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;GuestEnabled&#x20;-&#x20;bool&#x20;NO','[{\"cis\": [\"6.1.3\"]}]'),(9527,'Remove&#x20;Guest&#x20;home&#x20;folder','The&#x20;guest&#x20;account&#x20;login&#x20;should&#x20;have&#x20;been&#x20;disabled,&#x20;so&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;the&#x20;legacy&#x20;Guest&#x20;home&#x20;folder&#x20;to&#x20;remain&#x20;in&#x20;the&#x20;file&#x20;system.&#x20;When&#x20;normal&#x20;user&#x20;accounts&#x20;are&#x20;removed&#x20;you&#x20;have&#x20;the&#x20;option&#x20;to&#x20;archive&#x20;it,&#x20;leave&#x20;it&#x20;in&#x20;place&#x20;or&#x20;delete.&#x20;In&#x20;the&#x20;case&#x20;of&#x20;the&#x20;guest&#x20;folder&#x20;the&#x20;folder&#x20;remains&#x20;in&#x20;place&#x20;without&#x20;a&#x20;GUI&#x20;option&#x20;to&#x20;remove&#x20;it.&#x20;If&#x20;at&#x20;some&#x20;point&#x20;in&#x20;the&#x20;future&#x20;a&#x20;Guest&#x20;account&#x20;is&#x20;needed&#x20;it&#x20;will&#x20;be&#x20;re-created.&#x20;The&#x20;presence&#x20;of&#x20;the&#x20;Guest&#x20;home&#x20;folder&#x20;can&#x20;cause&#x20;automated&#x20;audits&#x20;to&#x20;fail&#x20;when&#x20;looking&#x20;for&#x20;compliant&#x20;settings&#x20;within&#x20;all&#x20;User&#x20;folders&#x20;as&#x20;well.&#x20;Rather&#x20;than&#x20;ignoring&#x20;the&#x20;folders&#x20;continued&#x20;existence&#x20;it&#x20;is&#x20;best&#x20;removed.','The&#x20;Guest&#x20;home&#x20;folders&#x20;are&#x20;unneeded&#x20;after&#x20;the&#x20;Guest&#x20;account&#x20;is&#x20;disabled&#x20;and&#x20;could&#x20;be&#x20;used&#x20;inappropriately.','','1.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;rm&#x20;-R&#x20;/Users/Guest&#x20;&#x20;2.&#x20;Make&#x20;sure&#x20;there&#x20;is&#x20;no&#x20;output','[{\"cis\": [\"6.1.5\"]}]'),(9528,'Turn&#x20;on&#x20;filename&#x20;extensions','A&#x20;filename&#x20;extension&#x20;is&#x20;a&#x20;suffix&#x20;added&#x20;to&#x20;a&#x20;base&#x20;filename&#x20;that&#x20;indicates&#x20;the&#x20;base&#x20;filename&#039;s&#x20;file&#x20;format.','Visible&#x20;filename&#x20;extensions&#x20;allows&#x20;the&#x20;user&#x20;to&#x20;identify&#x20;the&#x20;file&#x20;type&#x20;and&#x20;the&#x20;application&#x20;it&#x20;is&#x20;associated&#x20;with&#x20;which&#x20;leads&#x20;to&#x20;quick&#x20;identification&#x20;of&#x20;misrepresented&#x20;malicious&#x20;files.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;prescribed&#x20;state:&#x20;1.&#x20;Select&#x20;Finder&#x20;2.&#x20;Select&#x20;Preferences&#x20;3.&#x20;Check&#x20;Show&#x20;all&#x20;filename&#x20;extensions&#x20;&#x20;&#x20;&#x20;Alternatively,&#x20;use&#x20;the&#x20;following&#x20;command:&#x20;defaults&#x20;write&#x20;NSGlobalDomain&#x20;AppleShowAllExtensions&#x20;-bool&#x20;true','[{\"cis\": [\"6.2\"]}]'),(9529,'Disable&#x20;the&#x20;automatic&#x20;run&#x20;of&#x20;safe&#x20;files&#x20;in&#x20;Safari','Safari&#x20;will&#x20;automatically&#x20;run&#x20;or&#x20;execute&#x20;what&#x20;it&#x20;considers&#x20;safe&#x20;files.&#x20;This&#x20;can&#x20;include&#x20;installers&#x20;and&#x20;other&#x20;files&#x20;that&#x20;execute&#x20;on&#x20;the&#x20;operating&#x20;system.&#x20;Safari&#x20;bases&#x20;file&#x20;safety&#x20;by&#x20;using&#x20;a&#x20;list&#x20;of&#x20;filetypes&#x20;maintained&#x20;by&#x20;Apple.&#x20;The&#x20;list&#x20;of&#x20;files&#x20;include&#x20;text,&#x20;image,&#x20;video&#x20;and&#x20;archive&#x20;formats&#x20;that&#x20;would&#x20;be&#x20;run&#x20;in&#x20;the&#x20;context&#x20;of&#x20;the&#x20;OS&#x20;rather&#x20;than&#x20;the&#x20;browser.','Hackers&#x20;have&#x20;taken&#x20;advantage&#x20;of&#x20;this&#x20;setting&#x20;via&#x20;drive-by&#x20;attacks.&#x20;These&#x20;attacks&#x20;occur&#x20;when&#x20;a&#x20;user&#x20;visits&#x20;a&#x20;legitimate&#x20;website&#x20;that&#x20;has&#x20;been&#x20;corrupted.&#x20;The&#x20;user&#x20;unknowingly&#x20;downloads&#x20;a&#x20;malicious&#x20;file&#x20;either&#x20;by&#x20;closing&#x20;an&#x20;infected&#x20;pop-up&#x20;or&#x20;hovering&#x20;over&#x20;a&#x20;malicious&#x20;banner.&#x20;An&#x20;attacker&#x20;can&#x20;create&#x20;a&#x20;malicious&#x20;file&#x20;that&#x20;will&#x20;fall&#x20;within&#x20;Safari&#039;s&#x20;safe&#x20;file&#x20;list&#x20;that&#x20;will&#x20;download&#x20;and&#x20;execute&#x20;without&#x20;user&#x20;input.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;prescribed&#x20;state:&#x20;1.&#x20;Open&#x20;Safari&#x20;2.&#x20;Select&#x20;Safari&#x20;from&#x20;the&#x20;menu&#x20;bar&#x20;3.&#x20;Select&#x20;Preferences&#x20;4.&#x20;Select&#x20;General&#x20;5.&#x20;Uncheck&#x20;Open&#x20;&quot;safe&quot;&#x20;files&#x20;after&#x20;downloading&#x20;&#x20;&#x20;&#x20;Alternatively&#x20;run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;defaults&#x20;write&#x20;com.apple.Safari&#x20;AutoOpenSafeDownloads&#x20;-boolean&#x20;no','[{\"cis\": [\"6.3\"]}]'),(10000,'Ensure&#x20;the&#x20;WebDAV&#x20;Modules&#x20;Are&#x20;Disabled','The&#x20;Apache&#x20;mod_dav&#x20;and&#x20;mod_dav_fs&#x20;modules&#x20;support&#x20;WebDAV&#x20;&#40;Web-based&#x20;Distributed&#x20;Authoring&#x20;and&#x20;Versioning&#41;&#x20;functionality&#x20;for&#x20;Apache.&#x20;WebDAV&#x20;is&#x20;an&#x20;extension&#x20;to&#x20;the&#x20;HTTP&#x20;protocol&#x20;which&#x20;allows&#x20;clients&#x20;to&#x20;create,&#x20;move,&#x20;and&#x20;delete&#x20;files&#x20;and&#x20;resources&#x20;on&#x20;the&#x20;web&#x20;server.','Disabling&#x20;WebDAV&#x20;modules&#x20;will&#x20;improve&#x20;the&#x20;security&#x20;posture&#x20;of&#x20;the&#x20;web&#x20;server&#x20;by&#x20;reducing&#x20;the&#x20;amount&#x20;of&#x20;potentially&#x20;vulnerable&#x20;code&#x20;paths&#x20;exposed&#x20;to&#x20;the&#x20;network&#x20;and&#x20;reducing&#x20;potential&#x20;for&#x20;unauthorized&#x20;access&#x20;to&#x20;files&#x20;via&#x20;misconfigured&#x20;WebDAV&#x20;access&#x20;controls.','','Perform&#x20;either&#x20;one&#x20;of&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;WebDAV&#x20;module:&#x20;1.&#x20;For&#x20;source&#x20;builds&#x20;with&#x20;static&#x20;modules&#x20;run&#x20;the&#x20;Apache&#x20;./configure&#x20;script&#x20;without&#x20;including&#x20;the&#x20;mod_dav,&#x20;and&#x20;mod_dav_fs&#x20;in&#x20;the&#x20;--enable-modules=configure&#x20;script&#x20;options.&#x20;$&#x20;cd&#x20;$DOWNLOAD_HTTPD&#x20;$&#x20;./configure&#x20;2.&#x20;For&#x20;dynamically&#x20;loaded&#x20;modules&#x20;comment&#x20;out&#x20;or&#x20;remove&#x20;the&#x20;LoadModule&#x20;directive&#x20;for&#x20;mod_dav,&#x20;and&#x20;mod_dav_fs&#x20;modules&#x20;from&#x20;the&#x20;httpd.conf&#x20;file.&#x20;##LoadModule&#x20;dav_module&#x20;modules/mod_dav.so&#x20;##LoadModule&#x20;dav_fs_module&#x20;modules/mod_dav_fs.so','[{\"cis\": [\"2.3\"]}, {\"cis_csc\": [\"9.1\", \"9.2\"]}]'),(10001,'Ensure&#x20;the&#x20;Status&#x20;Module&#x20;Is&#x20;Disabled','The&#x20;Apache&#x20;mod_status&#x20;module&#x20;provides&#x20;current&#x20;server&#x20;performance&#x20;statistics.','When&#x20;mod_status&#x20;is&#x20;loaded&#x20;into&#x20;the&#x20;server,&#x20;its&#x20;handler&#x20;capability&#x20;is&#x20;available&#x20;in&#x20;all&#x20;configuration&#x20;files,&#x20;including&#x20;per-directory&#x20;files&#x20;&#40;e.g.,&#x20;.htaccess&#41;.&#x20;The&#x20;mod_status&#x20;module&#x20;may&#x20;provide&#x20;an&#x20;adversary&#x20;with&#x20;information&#x20;that&#x20;can&#x20;be&#x20;used&#x20;to&#x20;refine&#x20;exploits&#x20;that&#x20;depend&#x20;on&#x20;measuring&#x20;server&#x20;load.','','Perform&#x20;either&#x20;one&#x20;of&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;the&#x20;mod_status&#x20;module:&#x20;1&#41;&#x20;For&#x20;source&#x20;builds&#x20;with&#x20;static&#x20;modules,&#x20;run&#x20;the&#x20;Apache&#x20;./configure&#x20;script&#x20;with&#x20;the&#x20;--disable-status&#x20;configure&#x20;script&#x20;options.&#x20;2&#41;&#x20;For&#x20;dynamically&#x20;loaded&#x20;modules,&#x20;comment&#x20;out&#x20;or&#x20;remove&#x20;the&#x20;LoadModule&#x20;directive&#x20;for&#x20;the&#x20;mod_status&#x20;module&#x20;from&#x20;the&#x20;httpd.conf&#x20;file.&#x20;##LoadModule&#x20;status_module&#x20;modules/mod_status.so','[{\"cis\": [\"2.4\"]}, {\"cis_csc\": [\"9.1\", \"9.2\"]}]'),(10002,'Ensure&#x20;the&#x20;Autoindex&#x20;Module&#x20;Is&#x20;Disabled','The&#x20;Apache&#x20;mod_autoindex&#x20;module&#x20;automatically&#x20;generates&#x20;a&#x20;web&#x20;page&#x20;listing&#x20;the&#x20;contents&#x20;of&#x20;directories&#x20;on&#x20;the&#x20;server,&#x20;typically&#x20;used&#x20;so&#x20;an&#x20;index.html&#x20;does&#x20;not&#x20;have&#x20;to&#x20;be&#x20;generated.','Automated&#x20;directory&#x20;listings&#x20;should&#x20;not&#x20;be&#x20;enabled&#x20;because&#x20;they&#x20;will&#x20;reveal&#x20;information&#x20;helpful&#x20;to&#x20;an&#x20;attacker&#x20;such&#x20;as&#x20;naming&#x20;conventions&#x20;and&#x20;directory&#x20;paths.&#x20;They&#x20;may&#x20;also&#x20;reveal&#x20;files&#x20;that&#x20;were&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;revealed.','','Perform&#x20;either&#x20;one&#x20;of&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;the&#x20;mod_autoindex&#x20;module:&#x20;1.&#x20;For&#x20;source&#x20;builds&#x20;with&#x20;static&#x20;modules,&#x20;run&#x20;the&#x20;Apache&#x20;./configure&#x20;script&#x20;with&#x20;the&#x20;--disable-autoindex&#x20;configure&#x20;script&#x20;options.&#x20;$&#x20;cd&#x20;$DOWNLOAD_HTTPD&#x20;$&#x20;./configure&#x20;-disable-autoindex.&#x20;2.&#x20;For&#x20;dynamically&#x20;loaded&#x20;modules,&#x20;comment&#x20;out&#x20;or&#x20;remove&#x20;the&#x20;LoadModule&#x20;directive&#x20;for&#x20;mod_autoindex&#x20;from&#x20;the&#x20;httpd.conf&#x20;file.&#x20;##&#x20;LoadModule&#x20;autoindex_module&#x20;modules/mod_autoindex.so','[{\"cis\": [\"2.5\"]}, {\"cis_csc\": [\"18\", \"5.1\"]}]'),(10003,'Ensure&#x20;the&#x20;Proxy&#x20;Modules&#x20;Are&#x20;Disabled','The&#x20;Apache&#x20;proxy&#x20;modules&#x20;allow&#x20;the&#x20;server&#x20;to&#x20;act&#x20;as&#x20;a&#x20;proxy&#x20;&#40;either&#x20;forward&#x20;or&#x20;reverse&#x20;proxy&#41;&#x20;of&#x20;HTTP&#x20;and&#x20;other&#x20;protocols&#x20;with&#x20;additional&#x20;proxy&#x20;modules&#x20;loaded.&#x20;If&#x20;the&#x20;Apache&#x20;installation&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;proxy&#x20;requests&#x20;to&#x20;or&#x20;from&#x20;another&#x20;network&#x20;then&#x20;the&#x20;proxy&#x20;module&#x20;should&#x20;not&#x20;be&#x20;loaded.','Proxy&#x20;servers&#x20;can&#x20;act&#x20;as&#x20;an&#x20;important&#x20;security&#x20;control&#x20;when&#x20;properly&#x20;configured,&#x20;however&#x20;a&#x20;secure&#x20;proxy&#x20;server&#x20;is&#x20;not&#x20;within&#x20;the&#x20;scope&#x20;of&#x20;this&#x20;benchmark.&#x20;A&#x20;web&#x20;server&#x20;should&#x20;be&#x20;primarily&#x20;a&#x20;web&#x20;server&#x20;or&#x20;a&#x20;proxy&#x20;server&#x20;but&#x20;not&#x20;both,&#x20;for&#x20;the&#x20;same&#x20;reasons&#x20;that&#x20;other&#x20;multi-use&#x20;servers&#x20;are&#x20;not&#x20;recommended.&#x20;Scanning&#x20;for&#x20;web&#x20;servers&#x20;that&#x20;will&#x20;also&#x20;proxy&#x20;requests&#x20;is&#x20;a&#x20;very&#x20;common&#x20;attack,&#x20;as&#x20;proxy&#x20;servers&#x20;are&#x20;useful&#x20;for&#x20;anonymizing&#x20;attacks&#x20;on&#x20;other&#x20;servers,&#x20;or&#x20;possibly&#x20;proxying&#x20;requests&#x20;into&#x20;an&#x20;otherwise&#x20;protected&#x20;network.','','Perform&#x20;either&#x20;one&#x20;of&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;the&#x20;proxy&#x20;module:&#x20;1.&#x20;For&#x20;source&#x20;builds&#x20;with&#x20;static&#x20;modules,&#x20;run&#x20;the&#x20;Apache&#x20;./configure&#x20;script&#x20;without&#x20;including&#x20;the&#x20;mod_proxy&#x20;in&#x20;the&#x20;--enable-modules=configure&#x20;script&#x20;options.&#x20;$&#x20;cd&#x20;$DOWNLOAD_HTTPD&#x20;$&#x20;./configure&#x20;2.&#x20;For&#x20;dynamically&#x20;loaded&#x20;modules,&#x20;comment&#x20;out&#x20;or&#x20;remove&#x20;the&#x20;LoadModule&#x20;directive&#x20;for&#x20;mod_proxy&#x20;module&#x20;and&#x20;all&#x20;other&#x20;proxy&#x20;modules&#x20;from&#x20;the&#x20;httpd.conf&#x20;file.&#x20;##LoadModule&#x20;proxy_module&#x20;modules/mod_proxy.so&#x20;##LoadModule&#x20;proxy_connect_module&#x20;modules/mod_proxy_connect.so&#x20;##LoadModule&#x20;proxy_ftp_module&#x20;modules/mod_proxy_ftp.so&#x20;##LoadModule&#x20;proxy_http_module&#x20;modules/mod_proxy_http.so&#x20;##LoadModule&#x20;proxy_fcgi_module&#x20;modules/mod_proxy_fcgi.so&#x20;##LoadModule&#x20;proxy_scgi_module&#x20;modules/mod_proxy_scgi.so&#x20;##LoadModule&#x20;proxy_ajp_module&#x20;modules/mod_proxy_ajp.so&#x20;##LoadModule&#x20;proxy_balancer_module&#x20;modules/mod_proxy_balancer.so&#x20;##LoadModule&#x20;proxy_express_module&#x20;modules/mod_proxy_express.so&#x20;##LoadModule&#x20;proxy_wstunnel_module&#x20;modules/mod_proxy_wstunnel.so&#x20;##LoadModule&#x20;proxy_fdpass_module&#x20;modules/mod_proxy_fdpass.so','[{\"cis\": [\"2.6\"]}, {\"cis_csc\": [\"9.1\", \"9.2\"]}]'),(10004,'Ensure&#x20;the&#x20;User&#x20;Directories&#x20;Module&#x20;Is&#x20;Disabled','The&#x20;UserDir&#x20;directive&#x20;must&#x20;be&#x20;disabled&#x20;so&#x20;that&#x20;user&#x20;home&#x20;directories&#x20;are&#x20;not&#x20;accessed&#x20;via&#x20;the&#x20;web&#x20;site&#x20;with&#x20;a&#x20;tilde&#x20;&#40;~&#41;&#x20;preceding&#x20;the&#x20;username.&#x20;The&#x20;directive&#x20;also&#x20;sets&#x20;the&#x20;path&#x20;name&#x20;of&#x20;the&#x20;directory&#x20;that&#x20;will&#x20;be&#x20;accessed.','The&#x20;user&#x20;directories&#x20;should&#x20;not&#x20;be&#x20;globally&#x20;enabled&#x20;since&#x20;that&#x20;allows&#x20;anonymous&#x20;access&#x20;to&#x20;anything&#x20;users&#x20;may&#x20;want&#x20;to&#x20;share&#x20;with&#x20;other&#x20;users&#x20;on&#x20;the&#x20;network.&#x20;Also&#x20;consider&#x20;that&#x20;every&#x20;time&#x20;a&#x20;new&#x20;account&#x20;is&#x20;created&#x20;on&#x20;the&#x20;system,&#x20;there&#x20;is&#x20;potentially&#x20;new&#x20;content&#x20;available&#x20;via&#x20;the&#x20;web&#x20;site.','','Perform&#x20;either&#x20;one&#x20;of&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;the&#x20;user&#x20;directories&#x20;module:&#x20;1.&#x20;For&#x20;source&#x20;builds&#x20;with&#x20;static&#x20;modules,&#x20;run&#x20;the&#x20;Apache&#x20;./configure&#x20;script&#x20;with&#x20;the&#x20;--disable-userdir&#x20;configure&#x20;script&#x20;options.&#x20;$&#x20;cd&#x20;$DOWNLOAD_HTTPD&#x20;$&#x20;./configure&#x20;--disable-userdir&#x20;2.&#x20;For&#x20;dynamically&#x20;loaded&#x20;modules,&#x20;comment&#x20;out&#x20;or&#x20;remove&#x20;the&#x20;LoadModule&#x20;directive&#x20;for&#x20;mod_userdir&#x20;module&#x20;from&#x20;the&#x20;httpd.conf&#x20;file.&#x20;##LoadModule&#x20;userdir_module&#x20;modules/mod_userdir.so','[{\"cis\": [\"2.7\"]}, {\"cis_csc\": [\"18\", \"5.1\"]}]'),(10005,'Ensure&#x20;the&#x20;Info&#x20;Module&#x20;Is&#x20;Disabled','The&#x20;Apache&#x20;mod_info&#x20;module&#x20;provides&#x20;information&#x20;on&#x20;the&#x20;server&#x20;configuration&#x20;via&#x20;access&#x20;to&#x20;a&#x20;/server-info&#x20;URL&#x20;location.','While&#x20;having&#x20;server&#x20;configuration&#x20;information&#x20;available&#x20;as&#x20;a&#x20;web&#x20;page&#x20;may&#x20;be&#x20;convenient&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;module&#x20;NOT&#x20;be&#x20;enabled.&#x20;Once&#x20;mod_info&#x20;is&#x20;loaded&#x20;into&#x20;the&#x20;server,&#x20;its&#x20;handler&#x20;capability&#x20;is&#x20;available&#x20;in&#x20;per-directory&#x20;.htaccess&#x20;files&#x20;and&#x20;can&#x20;leak&#x20;sensitive&#x20;information&#x20;from&#x20;the&#x20;configuration&#x20;directives&#x20;of&#x20;other&#x20;Apache&#x20;modules&#x20;such&#x20;as&#x20;system&#x20;paths,&#x20;usernames/passwords,&#x20;database&#x20;names,&#x20;etc.','','Perform&#x20;either&#x20;one&#x20;of&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;the&#x20;mod_info&#x20;module:&#x20;1.&#x20;For&#x20;source&#x20;builds&#x20;with&#x20;static&#x20;modules,&#x20;run&#x20;the&#x20;Apache&#x20;./configure&#x20;script&#x20;without&#x20;including&#x20;the&#x20;mod_info&#x20;in&#x20;the&#x20;--enable-modules=configure&#x20;script&#x20;options.&#x20;$&#x20;cd&#x20;$DOWNLOAD_HTTPD&#x20;$&#x20;./configure&#x20;2.&#x20;For&#x20;dynamically&#x20;loaded&#x20;modules,&#x20;comment&#x20;out&#x20;or&#x20;remove&#x20;the&#x20;LoadModule&#x20;directive&#x20;for&#x20;the&#x20;mod_info&#x20;module&#x20;from&#x20;the&#x20;httpd.conf&#x20;file.&#x20;##LoadModule&#x20;info_module&#x20;modules/mod_info.so','[{\"cis\": [\"2.8\"]}, {\"cis_csc\": [\"9.1\", \"9.2\"]}]'),(10006,'Ensure&#x20;the&#x20;Apache&#x20;User&#x20;Account&#x20;Has&#x20;an&#x20;Invalid&#x20;Shell','The&#x20;apache&#x20;account&#x20;must&#x20;not&#x20;be&#x20;used&#x20;as&#x20;a&#x20;regular&#x20;login&#x20;account,&#x20;so&#x20;it&#x20;should&#x20;be&#x20;assigned&#x20;an&#x20;invalid&#x20;or&#x20;nologin&#x20;shell&#x20;to&#x20;ensure&#x20;it&#x20;cannot&#x20;be&#x20;used&#x20;to&#x20;login.','Service&#x20;accounts&#x20;such&#x20;as&#x20;the&#x20;apache&#x20;account&#x20;are&#x20;a&#x20;risk&#x20;if&#x20;they&#x20;can&#x20;be&#x20;used&#x20;to&#x20;get&#x20;a&#x20;login&#x20;shell&#x20;to&#x20;the&#x20;system.','','Change&#x20;the&#x20;apache&#x20;account&#x20;to&#x20;use&#x20;the&#x20;nologin&#x20;shell&#x20;or&#x20;an&#x20;invalid&#x20;shell&#x20;such&#x20;as&#x20;/dev/null:&#x20;#&#x20;chsh&#x20;-s&#x20;/sbin/nologin&#x20;apache','[{\"cis\": [\"3.2\"]}, {\"cis_csc\": [\"16\", \"4.3\"]}]'),(10007,'Ensure&#x20;the&#x20;Apache&#x20;User&#x20;Account&#x20;Is&#x20;Locked','The&#x20;user&#x20;account&#x20;under&#x20;which&#x20;Apache&#x20;runs&#x20;should&#x20;not&#x20;have&#x20;a&#x20;valid&#x20;password,&#x20;but&#x20;should&#x20;be&#x20;locked.','As&#x20;a&#x20;defense-in-depth&#x20;measure&#x20;the&#x20;Apache&#x20;user&#x20;account&#x20;should&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;logins,&#x20;and&#x20;to&#x20;prevent&#x20;a&#x20;user&#x20;from&#x20;suing&#x20;to&#x20;apache&#x20;using&#x20;the&#x20;password.&#x20;In&#x20;general,&#x20;there&#x20;should&#x20;not&#x20;be&#x20;a&#x20;need&#x20;for&#x20;anyone&#x20;to&#x20;have&#x20;to&#x20;su&#x20;as&#x20;apache,&#x20;and&#x20;when&#x20;there&#x20;is&#x20;a&#x20;need,&#x20;then&#x20;sudo&#x20;should&#x20;be&#x20;used&#x20;instead,&#x20;which&#x20;would&#x20;not&#x20;require&#x20;the&#x20;apache&#x20;account&#x20;password.','','Use&#x20;the&#x20;passwd&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;apache&#x20;account:&#x20;#&#x20;passwd&#x20;-l&#x20;apache','[{\"cis\": [\"3.3\"]}, {\"cis_csc\": [\"16\", \"16.8\"]}]'),(10008,'Ensure&#x20;OverRide&#x20;Is&#x20;Disabled&#x20;for&#x20;All&#x20;Directories','The&#x20;Apache&#x20;AllowOverride&#x20;directive&#x20;and&#x20;the&#x20;new&#x20;AllowOverrideList&#x20;directive&#x20;allow&#x20;for&#x20;.htaccess&#x20;files&#x20;to&#x20;be&#x20;used&#x20;to&#x20;override&#x20;much&#x20;of&#x20;the&#x20;configuration,&#x20;including&#x20;authentication,&#x20;handling&#x20;of&#x20;document&#x20;types,&#x20;auto&#x20;generated&#x20;indexes,&#x20;access&#x20;control,&#x20;and&#x20;options.&#x20;When&#x20;the&#x20;server&#x20;finds&#x20;an&#x20;.htaccess&#x20;file&#x20;&#40;as&#x20;specified&#x20;by&#x20;AccessFileName&#41;&#x20;it&#x20;needs&#x20;to&#x20;know&#x20;which&#x20;directives&#x20;declared&#x20;in&#x20;that&#x20;file&#x20;can&#x20;override&#x20;earlier&#x20;access&#x20;information.&#x20;When&#x20;this&#x20;directive&#x20;is&#x20;set&#x20;to&#x20;None,&#x20;then&#x20;.htaccess&#x20;files&#x20;are&#x20;completely&#x20;ignored.&#x20;In&#x20;this&#x20;case,&#x20;the&#x20;server&#x20;will&#x20;not&#x20;even&#x20;attempt&#x20;to&#x20;read&#x20;.htaccess&#x20;files&#x20;in&#x20;the&#x20;filesystem.&#x20;When&#x20;this&#x20;directive&#x20;is&#x20;set&#x20;to&#x20;All,&#x20;then&#x20;any&#x20;directive&#x20;which&#x20;has&#x20;the&#x20;.htaccess&#x20;context&#x20;is&#x20;allowed&#x20;in&#x20;.htaccess&#x20;files.','.htaccess&#x20;files&#x20;decentralizes&#x20;access&#x20;control&#x20;and&#x20;increases&#x20;the&#x20;risk&#x20;of&#x20;server&#x20;configuration&#x20;being&#x20;changed&#x20;inappropriately.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;1.&#x20;Search&#x20;the&#x20;Apache&#x20;configuration&#x20;files&#x20;&#40;httpd.conf&#x20;and&#x20;any&#x20;included&#x20;configuration&#x20;files&#41;&#x20;to&#x20;find&#x20;AllowOverride&#x20;directives.&#x20;2.&#x20;Set&#x20;the&#x20;value&#x20;for&#x20;all&#x20;AllowOverride&#x20;directives&#x20;to&#x20;None.&#x20;3.&#x20;Remove&#x20;any&#x20;AllowOverrideList&#x20;directives&#x20;found.','[{\"cis\": [\"4.4\"]}, {\"cis_csc\": [\"14.4\", \"14.6\"]}]'),(10009,'Ensure&#x20;Options&#x20;for&#x20;Other&#x20;Directories&#x20;Are&#x20;Minimized','The&#x20;Apache&#x20;Options&#x20;directive&#x20;allows&#x20;for&#x20;specific&#x20;configuration&#x20;of&#x20;options,&#x20;including&#x20;execution&#x20;of&#x20;CGI,&#x20;following&#x20;symbolic&#x20;links,&#x20;server&#x20;side&#x20;includes,&#x20;and&#x20;content&#x20;negotiation.','Likewise,&#x20;the&#x20;options&#x20;for&#x20;other&#x20;directories&#x20;and&#x20;hosts&#x20;needs&#x20;to&#x20;be&#x20;restricted&#x20;to&#x20;the&#x20;minimal&#x20;options&#x20;required.&#x20;A&#x20;setting&#x20;of&#x20;None&#x20;is&#x20;recommended,&#x20;however&#x20;it&#x20;is&#x20;recognized&#x20;that&#x20;other&#x20;options&#x20;may&#x20;be&#x20;needed&#x20;in&#x20;some&#x20;cases:&#x20;Multiviews,&#x20;FollowSymbolicLinks&#x20;&amp;&#x20;SymLinksIfOwnerMatch,&#x20;ExecCGI,&#x20;Includes&#x20;&amp;&#x20;IncludesNOEXEC,&#x20;&amp;&#x20;Indexes.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;1.&#x20;Search&#x20;the&#x20;Apache&#x20;configuration&#x20;files&#x20;&#40;httpd.conf&#x20;and&#x20;any&#x20;included&#x20;configuration&#x20;files&#41;&#x20;to&#x20;find&#x20;all&#x20;&lt;Directory&gt;&#x20;elements.&#x20;2.&#x20;Add&#x20;or&#x20;modify&#x20;any&#x20;existing&#x20;Options&#x20;directive&#x20;to&#x20;NOT&#x20;have&#x20;a&#x20;value&#x20;of&#x20;Includes.&#x20;Other&#x20;options&#x20;may&#x20;be&#x20;set&#x20;if&#x20;necessary&#x20;and&#x20;appropriate&#x20;as&#x20;described&#x20;above.','[{\"cis\": [\"5.3\"]}, {\"cis_csc\": [\"18\", \"5.1\"]}]'),(10010,'Ensure&#x20;Default&#x20;HTML&#x20;Content&#x20;Is&#x20;Removed','Apache&#x20;installations&#x20;have&#x20;default&#x20;content&#x20;that&#x20;is&#x20;not&#x20;needed&#x20;or&#x20;appropriate&#x20;for&#x20;production&#x20;use.&#x20;The&#x20;primary&#x20;function&#x20;for&#x20;the&#x20;sample&#x20;content&#x20;is&#x20;to&#x20;provide&#x20;a&#x20;default&#x20;web&#x20;site,&#x20;provide&#x20;user&#x20;manuals,&#x20;or&#x20;demonstrate&#x20;special&#x20;features&#x20;of&#x20;the&#x20;web&#x20;server.&#x20;All&#x20;content&#x20;that&#x20;is&#x20;not&#x20;needed&#x20;should&#x20;be&#x20;removed.','Historically,&#x20;sample&#x20;content&#x20;and&#x20;features&#x20;have&#x20;been&#x20;remotely&#x20;exploited&#x20;and&#x20;can&#x20;provide&#x20;different&#x20;levels&#x20;of&#x20;access&#x20;to&#x20;the&#x20;server.&#x20;Usually&#x20;these&#x20;routines&#x20;are&#x20;not&#x20;written&#x20;for&#x20;production&#x20;use&#x20;and&#x20;consequently&#x20;little&#x20;thought&#x20;was&#x20;given&#x20;to&#x20;security&#x20;in&#x20;their&#x20;development.','','Review&#x20;all&#x20;pre-installed&#x20;content&#x20;and&#x20;remove&#x20;content&#x20;which&#x20;is&#x20;not&#x20;required.&#x20;In&#x20;particular&#x20;look&#x20;for&#x20;the&#x20;unnecessary&#x20;content&#x20;which&#x20;may&#x20;be&#x20;found&#x20;in&#x20;the&#x20;document&#x20;root&#x20;directory,&#x20;a&#x20;configuration&#x20;directory&#x20;such&#x20;as&#x20;conf/extra&#x20;directory,&#x20;or&#x20;as&#x20;a&#x20;Unix/Linux&#x20;package.&#x20;1.&#x20;Remove&#x20;the&#x20;default&#x20;index.html&#x20;or&#x20;welcome&#x20;page&#x20;if&#x20;it&#x20;is&#x20;a&#x20;separate&#x20;package.&#x20;If&#x20;it&#x20;is&#x20;part&#x20;of&#x20;main&#x20;Apache&#x20;httpd&#x20;package&#x20;such&#x20;as&#x20;it&#x20;is&#x20;on&#x20;Red&#x20;Hat&#x20;Linux,&#x20;then&#x20;comment&#x20;out&#x20;the&#x20;configuration&#x20;as&#x20;shown&#x20;below.&#x20;Removing&#x20;a&#x20;file&#x20;such&#x20;as&#x20;the&#x20;welcome.conf,&#x20;is&#x20;not&#x20;recommended&#x20;as&#x20;it&#x20;may&#x20;get&#x20;replaced&#x20;if&#x20;the&#x20;package&#x20;is&#x20;updated.&#x20;2.&#x20;Remove&#x20;the&#x20;Apache&#x20;user&#x20;manual&#x20;content&#x20;or&#x20;comment&#x20;out&#x20;configurations&#x20;referencing&#x20;the&#x20;manual.&#x20;#&#x20;yum&#x20;erase&#x20;httpd-manual&#x20;3.&#x20;Remove&#x20;or&#x20;comment&#x20;out&#x20;any&#x20;Server&#x20;Information&#x20;handler&#x20;configuration.&#x20;4.&#x20;Remove&#x20;or&#x20;comment&#x20;out&#x20;any&#x20;other&#x20;handler&#x20;configuration&#x20;such&#x20;as&#x20;perl-status.','[{\"cis\": [\"5.4\"]}, {\"cis_csc\": [\"18.9\", \"5.1\"]}]'),(10011,'Ensure&#x20;the&#x20;Default&#x20;CGI&#x20;Content&#x20;printenv&#x20;Script&#x20;Is&#x20;Removed','Most&#x20;Web&#x20;Servers,&#x20;including&#x20;Apache&#x20;installations&#x20;have&#x20;default&#x20;CGI&#x20;content&#x20;which&#x20;is&#x20;not&#x20;needed&#x20;or&#x20;appropriate&#x20;for&#x20;production&#x20;use.&#x20;The&#x20;primary&#x20;function&#x20;for&#x20;these&#x20;sample&#x20;programs&#x20;is&#x20;to&#x20;demonstrate&#x20;the&#x20;capabilities&#x20;of&#x20;the&#x20;web&#x20;server.&#x20;One&#x20;common&#x20;default&#x20;CGI&#x20;content&#x20;for&#x20;Apache&#x20;installations&#x20;is&#x20;the&#x20;script&#x20;printenv.&#x20;This&#x20;script&#x20;will&#x20;print&#x20;back&#x20;to&#x20;the&#x20;requester&#x20;all&#x20;of&#x20;the&#x20;CGI&#x20;environment&#x20;variables&#x20;which&#x20;includes&#x20;many&#x20;server&#x20;configuration&#x20;details&#x20;and&#x20;system&#x20;paths.','CGI&#x20;programs&#x20;have&#x20;a&#x20;long&#x20;history&#x20;of&#x20;security&#x20;bugs&#x20;and&#x20;problems&#x20;associated&#x20;with&#x20;improperly&#x20;accepting&#x20;user-input.&#x20;Since&#x20;these&#x20;programs&#x20;are&#x20;often&#x20;targets&#x20;of&#x20;attackers,&#x20;we&#x20;need&#x20;to&#x20;make&#x20;sure&#x20;that&#x20;there&#x20;are&#x20;no&#x20;unnecessary&#x20;CGI&#x20;programs&#x20;that&#x20;could&#x20;potentially&#x20;be&#x20;used&#x20;for&#x20;malicious&#x20;purposes.&#x20;Usually&#x20;these&#x20;programs&#x20;are&#x20;not&#x20;written&#x20;for&#x20;production&#x20;use&#x20;and&#x20;consequently&#x20;little&#x20;thought&#x20;was&#x20;given&#x20;to&#x20;security&#x20;in&#x20;their&#x20;development.&#x20;The&#x20;printenv&#x20;script&#x20;in&#x20;particular&#x20;will&#x20;disclose&#x20;inappropriate&#x20;information&#x20;about&#x20;the&#x20;web&#x20;server&#x20;including&#x20;directory&#x20;paths&#x20;and&#x20;detailed&#x20;version&#x20;and&#x20;configuration&#x20;information.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;1.&#x20;Locate&#x20;cgi-bin&#x20;files&#x20;and&#x20;directories&#x20;enabled&#x20;in&#x20;the&#x20;Apache&#x20;configuration&#x20;via&#x20;Script,&#x20;ScriptAlias,&#x20;ScriptAliasMatch,&#x20;or&#x20;ScriptInterpreterSource&#x20;directives.&#x20;2.&#x20;Remove&#x20;the&#x20;printenvdefault&#x20;CGI&#x20;in&#x20;cgi-bin&#x20;directory&#x20;if&#x20;it&#x20;is&#x20;installed.&#x20;#&#x20;rm&#x20;$APACHE_PREFIX/cgi-bin/printenv','[{\"cis\": [\"5.5\"]}, {\"cis_csc\": [\"18\", \"4.7\"]}]'),(10012,'Ensure&#x20;the&#x20;Default&#x20;CGI&#x20;Content&#x20;test-cgi&#x20;Script&#x20;Is&#x20;Removed','Most&#x20;Web&#x20;Servers,&#x20;including&#x20;Apache&#x20;installations&#x20;have&#x20;default&#x20;CGI&#x20;content&#x20;which&#x20;is&#x20;not&#x20;needed&#x20;or&#x20;appropriate&#x20;for&#x20;production&#x20;use.&#x20;The&#x20;primary&#x20;function&#x20;for&#x20;these&#x20;sample&#x20;programs&#x20;is&#x20;to&#x20;demonstrate&#x20;the&#x20;capabilities&#x20;of&#x20;the&#x20;web&#x20;server.&#x20;A&#x20;common&#x20;default&#x20;CGI&#x20;content&#x20;for&#x20;Apache&#x20;installations&#x20;is&#x20;the&#x20;script&#x20;test-cgi.&#x20;This&#x20;script&#x20;will&#x20;print&#x20;back&#x20;to&#x20;the&#x20;requester&#x20;CGI&#x20;environment&#x20;variables&#x20;which&#x20;includes&#x20;many&#x20;server&#x20;configuration&#x20;details.','CGI&#x20;programs&#x20;have&#x20;a&#x20;long&#x20;history&#x20;of&#x20;security&#x20;bugs&#x20;and&#x20;problems&#x20;associated&#x20;with&#x20;improperly&#x20;accepting&#x20;user-input.&#x20;Since&#x20;these&#x20;programs&#x20;are&#x20;often&#x20;targets&#x20;of&#x20;attackers,&#x20;we&#x20;need&#x20;to&#x20;make&#x20;sure&#x20;that&#x20;there&#x20;are&#x20;no&#x20;unnecessary&#x20;CGI&#x20;programs&#x20;that&#x20;could&#x20;potentially&#x20;be&#x20;used&#x20;for&#x20;malicious&#x20;purposes.&#x20;Usually&#x20;these&#x20;programs&#x20;are&#x20;not&#x20;written&#x20;for&#x20;production&#x20;use&#x20;and&#x20;consequently&#x20;little&#x20;thought&#x20;was&#x20;given&#x20;to&#x20;security&#x20;in&#x20;their&#x20;development.&#x20;The&#x20;test-cgi&#x20;script&#x20;in&#x20;particular&#x20;will&#x20;disclose&#x20;inappropriate&#x20;information&#x20;about&#x20;the&#x20;web&#x20;server&#x20;including&#x20;directory&#x20;paths&#x20;and&#x20;detailed&#x20;version&#x20;and&#x20;configuration&#x20;information.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;1.&#x20;Locate&#x20;cgi-bin&#x20;files&#x20;and&#x20;directories&#x20;enabled&#x20;in&#x20;the&#x20;Apache&#x20;configuration&#x20;via&#x20;Script,&#x20;ScriptAlias,&#x20;ScriptAliasMatch,&#x20;or&#x20;ScriptInterpreterSource&#x20;directives.&#x20;2.&#x20;Remove&#x20;the&#x20;test-cgi&#x20;default&#x20;CGI&#x20;in&#x20;cgi-bin&#x20;directory&#x20;if&#x20;it&#x20;is&#x20;installed.&#x20;#&#x20;rm&#x20;$APACHE_PREFIX/cgi-bin/test-cgi','[{\"cis\": [\"5.6\"]}, {\"cis_csc\": [\"18.9\", \"4.7\"]}]'),(10013,'Ensure&#x20;the&#x20;HTTP&#x20;TRACE&#x20;Method&#x20;Is&#x20;Disabled','Use&#x20;the&#x20;Apache&#x20;TraceEnable&#x20;directive&#x20;to&#x20;disable&#x20;the&#x20;HTTP&#x20;TRACE&#x20;request&#x20;method.','The&#x20;HTTP&#x20;1.1&#x20;protocol&#x20;requires&#x20;support&#x20;for&#x20;the&#x20;TRACE&#x20;request&#x20;method&#x20;which&#x20;reflects&#x20;the&#x20;request&#x20;back&#x20;as&#x20;a&#x20;response&#x20;and&#x20;was&#x20;intended&#x20;for&#x20;diagnostics&#x20;purposes.&#x20;The&#x20;TRACE&#x20;method&#x20;is&#x20;not&#x20;needed&#x20;and&#x20;is&#x20;easily&#x20;subjected&#x20;to&#x20;abuse&#x20;and&#x20;should&#x20;be&#x20;disabled.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;1.&#x20;Locate&#x20;the&#x20;main&#x20;Apache&#x20;configuration&#x20;file&#x20;such&#x20;as&#x20;httpd.conf.&#x20;2.&#x20;Add&#x20;a&#x20;TraceEnable&#x20;directive&#x20;to&#x20;the&#x20;server&#x20;level&#x20;configuration&#x20;with&#x20;a&#x20;value&#x20;of&#x20;off.&#x20;Server&#x20;level&#x20;configuration&#x20;is&#x20;the&#x20;top-level&#x20;configuration,&#x20;not&#x20;nested&#x20;within&#x20;any&#x20;other&#x20;directives&#x20;like&#x20;&lt;Directory&gt;&#x20;or&#x20;&lt;Location&gt;.','[{\"cis\": [\"5.8\"]}, {\"cis_csc\": [\"9.1\", \"9.2\"]}]'),(10014,'Ensure&#x20;the&#x20;IP&#x20;Addresses&#x20;for&#x20;Listening&#x20;for&#x20;Requests&#x20;Are&#x20;Specified','The&#x20;Apache&#x20;Listen&#x20;directive&#x20;specifies&#x20;the&#x20;IP&#x20;addresses&#x20;and&#x20;port&#x20;numbers&#x20;the&#x20;Apache&#x20;web&#x20;server&#x20;will&#x20;listen&#x20;for&#x20;requests.&#x20;Rather&#x20;than&#x20;be&#x20;unrestricted&#x20;to&#x20;listen&#x20;on&#x20;all&#x20;IP&#x20;addresses&#x20;available&#x20;to&#x20;the&#x20;system,&#x20;the&#x20;specific&#x20;IP&#x20;address&#x20;or&#x20;addresses&#x20;intended&#x20;should&#x20;be&#x20;explicitly&#x20;specified.&#x20;Specifically,&#x20;a&#x20;Listen&#x20;directive&#x20;with&#x20;no&#x20;IP&#x20;address&#x20;specified,&#x20;or&#x20;with&#x20;an&#x20;IP&#x20;address&#x20;of&#x20;zeros&#x20;should&#x20;not&#x20;be&#x20;used.','Having&#x20;multiple&#x20;interfaces&#x20;on&#x20;web&#x20;servers&#x20;is&#x20;fairly&#x20;common,&#x20;and&#x20;without&#x20;explicit&#x20;Listen&#x20;directives,&#x20;the&#x20;web&#x20;server&#x20;is&#x20;likely&#x20;to&#x20;be&#x20;listening&#x20;on&#x20;an&#x20;inappropriate&#x20;IP&#x20;address&#x20;/&#x20;interface&#x20;that&#x20;was&#x20;not&#x20;intended&#x20;for&#x20;the&#x20;web&#x20;server.&#x20;Single&#x20;homed&#x20;system&#x20;with&#x20;a&#x20;single&#x20;IP&#x20;addressed&#x20;are&#x20;also&#x20;required&#x20;to&#x20;have&#x20;an&#x20;explicit&#x20;IP&#x20;address&#x20;in&#x20;the&#x20;Listen&#x20;directive,&#x20;in&#x20;case&#x20;additional&#x20;interfaces&#x20;are&#x20;added&#x20;to&#x20;the&#x20;system&#x20;at&#x20;a&#x20;later&#x20;date.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;1.&#x20;Find&#x20;any&#x20;Listen&#x20;directives&#x20;in&#x20;the&#x20;Apache&#x20;configuration&#x20;file&#x20;with&#x20;no&#x20;IP&#x20;address&#x20;specified,&#x20;or&#x20;with&#x20;an&#x20;IP&#x20;address&#x20;of&#x20;all&#x20;zeros&#x20;similar&#x20;to&#x20;the&#x20;examples&#x20;below.&#x20;Keep&#x20;in&#x20;mind&#x20;there&#x20;may&#x20;be&#x20;both&#x20;IPv4&#x20;and&#x20;IPv6&#x20;addresses&#x20;on&#x20;the&#x20;system.&#x20;2.&#x20;Modify&#x20;the&#x20;Listen&#x20;directives&#x20;in&#x20;the&#x20;Apache&#x20;configuration&#x20;file&#x20;to&#x20;have&#x20;explicit&#x20;IP&#x20;addresses&#x20;according&#x20;to&#x20;the&#x20;intended&#x20;usage.&#x20;Multiple&#x20;Listen&#x20;directives&#x20;may&#x20;be&#x20;specified&#x20;for&#x20;each&#x20;IP&#x20;address&#x20;&amp;&#x20;Port.','[{\"cis\": [\"5.13\"]}, {\"cis_csc\": [\"9.1\", \"9.2\"]}]'),(10015,'Ensure&#x20;Browser&#x20;Framing&#x20;Is&#x20;Restricted','The&#x20;Header&#x20;directive&#x20;allows&#x20;server&#x20;HTTP&#x20;response&#x20;headers&#x20;to&#x20;be&#x20;added,&#x20;replaced&#x20;or&#x20;merged.&#x20;We&#x20;will&#x20;use&#x20;the&#x20;directive&#x20;to&#x20;add&#x20;a&#x20;server&#x20;HTTP&#x20;response&#x20;header&#x20;to&#x20;tell&#x20;browsers&#x20;to&#x20;restrict&#x20;all&#x20;of&#x20;the&#x20;web&#x20;pages&#x20;from&#x20;being&#x20;framed&#x20;by&#x20;other&#x20;web&#x20;sites.','Using&#x20;iframes&#x20;and&#x20;regular&#x20;web&#x20;frames&#x20;to&#x20;embed&#x20;malicious&#x20;content&#x20;along&#x20;with&#x20;expected&#x20;web&#x20;content&#x20;has&#x20;been&#x20;a&#x20;favored&#x20;attack&#x20;vector&#x20;for&#x20;attacking&#x20;web&#x20;clients&#x20;for&#x20;a&#x20;long&#x20;time.&#x20;This&#x20;can&#x20;happen&#x20;when&#x20;the&#x20;attacker&#x20;lures&#x20;the&#x20;victim&#x20;to&#x20;a&#x20;malicious&#x20;web&#x20;site,&#x20;which&#x20;using&#x20;frames&#x20;to&#x20;include&#x20;the&#x20;expected&#x20;content&#x20;from&#x20;the&#x20;legitimate&#x20;site.&#x20;The&#x20;attack&#x20;can&#x20;also&#x20;be&#x20;performed&#x20;via&#x20;XSS&#x20;&#40;either&#x20;reflected,&#x20;DOM&#x20;or&#x20;stored&#x20;XSS&#41;&#x20;to&#x20;add&#x20;the&#x20;malicious&#x20;content&#x20;to&#x20;the&#x20;legitimate&#x20;web&#x20;site.&#x20;To&#x20;combat&#x20;this&#x20;vector,&#x20;an&#x20;HTTP&#x20;Response&#x20;header,&#x20;X-Frame-Options,&#x20;has&#x20;been&#x20;introduced&#x20;that&#x20;allows&#x20;a&#x20;server&#x20;to&#x20;specify&#x20;whether&#x20;a&#x20;web&#x20;page&#x20;may&#x20;be&#x20;loaded&#x20;in&#x20;any&#x20;frame&#x20;&#40;DENY&#41;&#x20;or&#x20;those&#x20;frames&#x20;that&#x20;share&#x20;the&#x20;pages&#x20;origin&#x20;&#40;SAMEORIGIN&#41;.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;Add&#x20;or&#x20;modify&#x20;the&#x20;Header&#x20;directive&#x20;for&#x20;the&#x20;X-Frames-Options&#x20;header&#x20;in&#x20;the&#x20;Apache&#x20;configuration&#x20;to&#x20;have&#x20;the&#x20;condition&#x20;always,&#x20;an&#x20;action&#x20;of&#x20;append&#x20;and&#x20;a&#x20;value&#x20;of&#x20;SAMEORIGIN&#x20;or&#x20;DENY,&#x20;as&#x20;shown&#x20;below.&#x20;Header&#x20;always&#x20;append&#x20;X-Frame-Options&#x20;SAMEORIGIN','[{\"cis\": [\"5.14\"]}, {\"cis_csc\": [\"18\", \"5.1\"]}]'),(10016,'Ensure&#x20;Insecure&#x20;SSL&#x20;Renegotiation&#x20;Is&#x20;Not&#x20;Enabled','A&#x20;man-in-the-middle&#x20;renegotiation&#x20;attack&#x20;was&#x20;discovered&#x20;in&#x20;SSLv3&#x20;and&#x20;TLSv1&#x20;in&#x20;November,&#x20;2009&#x20;&#40;CVE-2009-3555&#41;.&#x20;First,&#x20;a&#x20;work&#x20;around&#x20;and&#x20;then&#x20;a&#x20;fix&#x20;was&#x20;approved&#x20;as&#x20;an&#x20;Internet&#x20;Standard&#x20;as&#x20;RFC&#x20;574,&#x20;Feb&#x20;2010.&#x20;The&#x20;work&#x20;around,&#x20;which&#x20;removes&#x20;the&#x20;renegotiation,&#x20;is&#x20;available&#x20;from&#x20;OpenSSL&#x20;as&#x20;of&#x20;version&#x20;0.9.8l&#x20;and&#x20;newer&#x20;versions.&#x20;For&#x20;details:&#x20;https://www.openssl.org/news/secadv_20091111.txt&#x20;The&#x20;SSLInsecureRenegotiation&#x20;directive&#x20;was&#x20;added&#x20;in&#x20;Apache&#x20;2.2.15,&#x20;for&#x20;web&#x20;servers&#x20;linked&#x20;with&#x20;OpenSSL&#x20;version&#x20;0.9.8m&#x20;or&#x20;later,&#x20;to&#x20;provide&#x20;backward&#x20;compatibility&#x20;to&#x20;clients&#x20;with&#x20;the&#x20;older,&#x20;unpatched&#x20;SSL&#x20;implementations.','Enabling&#x20;the&#x20;SSLInsecureRenegotiation&#x20;directive&#x20;leaves&#x20;the&#x20;server&#x20;vulnerable&#x20;to&#x20;man-in-&#x20;the-middle&#x20;renegotiation&#x20;attack.&#x20;Therefore,&#x20;the&#x20;SSLInsecureRenegotiation&#x20;directive&#x20;should&#x20;not&#x20;be&#x20;enabled.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;Search&#x20;the&#x20;Apache&#x20;configuration&#x20;files&#x20;for&#x20;the&#x20;SSLInsecureRenegotiation&#x20;directive.&#x20;If&#x20;the&#x20;directive&#x20;is&#x20;present&#x20;modify&#x20;the&#x20;value&#x20;to&#x20;be&#x20;off.&#x20;If&#x20;the&#x20;directive&#x20;is&#x20;not&#x20;present&#x20;then&#x20;no&#x20;action&#x20;is&#x20;required.&#x20;SSLInsecureRenegotiation&#x20;off','[{\"cis\": [\"7.6\"]}, {\"cis_csc\": [\"14.2\", \"14.4\"]}]'),(10017,'Ensure&#x20;SSL&#x20;Compression&#x20;is&#x20;Not&#x20;Enabled','The&#x20;SSLCompression&#x20;directive&#x20;controls&#x20;whether&#x20;SSL&#x20;compression&#x20;is&#x20;used&#x20;by&#x20;Apache&#x20;when&#x20;serving&#x20;content&#x20;over&#x20;HTTPS.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;SSLCompression&#x20;directive&#x20;be&#x20;set&#x20;to&#x20;off.','If&#x20;SSL&#x20;compression&#x20;is&#x20;enabled,&#x20;HTTPS&#x20;communication&#x20;between&#x20;the&#x20;client&#x20;and&#x20;the&#x20;server&#x20;may&#x20;be&#x20;at&#x20;increased&#x20;risk&#x20;to&#x20;the&#x20;CRIME&#x20;attack.&#x20;The&#x20;CRIME&#x20;attack&#x20;increases&#x20;a&#x20;malicious&#x20;actor&#039;s&#x20;ability&#x20;to&#x20;derive&#x20;the&#x20;value&#x20;of&#x20;a&#x20;session&#x20;cookie,&#x20;which&#x20;commonly&#x20;contains&#x20;an&#x20;authenticator.&#x20;If&#x20;the&#x20;authenticator&#x20;in&#x20;a&#x20;session&#x20;cookie&#x20;is&#x20;derived,&#x20;it&#x20;can&#x20;be&#x20;used&#x20;to&#x20;impersonate&#x20;the&#x20;account&#x20;associated&#x20;with&#x20;the&#x20;authenticator.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;1.&#x20;Search&#x20;the&#x20;Apache&#x20;configuration&#x20;files&#x20;for&#x20;the&#x20;SSLCompression&#x20;directive.&#x20;2.&#x20;If&#x20;the&#x20;directive&#x20;is&#x20;present,&#x20;set&#x20;it&#x20;to&#x20;off.','[{\"cis\": [\"7.7\"]}, {\"cis_csc\": [\"14.2\", \"14.4\"]}]'),(10018,'Ensure&#x20;ServerTokens&#x20;is&#x20;Set&#x20;to&#x20;&#039;Prod&#039;&#x20;or&#x20;&#039;ProductOnly&#039;','Configure&#x20;the&#x20;Apache&#x20;ServerTokens&#x20;directive&#x20;to&#x20;provide&#x20;minimal&#x20;information.&#x20;By&#x20;setting&#x20;the&#x20;value&#x20;to&#x20;Prod&#x20;or&#x20;ProductOnly.&#x20;The&#x20;only&#x20;version&#x20;information&#x20;given&#x20;in&#x20;the&#x20;server&#x20;HTTP&#x20;response&#x20;header&#x20;will&#x20;be&#x20;Apache&#x20;rather&#x20;than&#x20;details&#x20;on&#x20;modules&#x20;and&#x20;versions&#x20;installed.','Information&#x20;is&#x20;power&#x20;and&#x20;identifying&#x20;web&#x20;server&#x20;details&#x20;greatly&#x20;increases&#x20;the&#x20;efficiency&#x20;of&#x20;any&#x20;attack,&#x20;as&#x20;security&#x20;vulnerabilities&#x20;are&#x20;extremely&#x20;dependent&#x20;upon&#x20;specific&#x20;software&#x20;versions&#x20;and&#x20;configurations.&#x20;Excessive&#x20;probing&#x20;and&#x20;requests&#x20;may&#x20;cause&#x20;too&#x20;much&#x20;&#039;noise&#039;&#x20;being&#x20;generated&#x20;and&#x20;may&#x20;tip&#x20;off&#x20;an&#x20;administrator.&#x20;If&#x20;an&#x20;attacker&#x20;can&#x20;accurately&#x20;target&#x20;their&#x20;exploits,&#x20;the&#x20;chances&#x20;of&#x20;successful&#x20;compromise&#x20;prior&#x20;to&#x20;detection&#x20;increase&#x20;dramatically.&#x20;Script&#x20;Kiddies&#x20;are&#x20;constantly&#x20;scanning&#x20;the&#x20;Internet&#x20;and&#x20;documenting&#x20;the&#x20;version&#x20;information&#x20;openly&#x20;provided&#x20;by&#x20;web&#x20;servers.&#x20;The&#x20;purpose&#x20;of&#x20;this&#x20;scanning&#x20;is&#x20;to&#x20;accumulate&#x20;a&#x20;database&#x20;of&#x20;software&#x20;installed&#x20;on&#x20;those&#x20;hosts,&#x20;which&#x20;can&#x20;then&#x20;be&#x20;used&#x20;when&#x20;new&#x20;vulnerabilities&#x20;are&#x20;released.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;Add&#x20;or&#x20;modify&#x20;the&#x20;ServerTokens&#x20;directive&#x20;as&#x20;shown&#x20;below&#x20;to&#x20;have&#x20;the&#x20;value&#x20;of&#x20;Prod&#x20;or&#x20;ProductOnly:&#x20;ServerTokens&#x20;Prod','[{\"cis\": [\"8.1\"]}, {\"cis_csc\": [\"18.9\", \"14.7\"]}]'),(10019,'Ensure&#x20;ServerSignature&#x20;Is&#x20;Not&#x20;Enabled','Disable&#x20;the&#x20;server&#x20;signatures&#x20;which&#x20;generates&#x20;a&#x20;signature&#x20;line&#x20;as&#x20;a&#x20;trailing&#x20;footer&#x20;at&#x20;the&#x20;bottom&#x20;of&#x20;server&#x20;generated&#x20;documents&#x20;such&#x20;as&#x20;error&#x20;pages.','Server&#x20;signatures&#x20;are&#x20;helpful&#x20;when&#x20;the&#x20;server&#x20;is&#x20;acting&#x20;as&#x20;a&#x20;proxy,&#x20;since&#x20;it&#x20;helps&#x20;the&#x20;user&#x20;distinguish&#x20;errors&#x20;from&#x20;the&#x20;proxy&#x20;rather&#x20;than&#x20;the&#x20;destination&#x20;server,&#x20;however&#x20;in&#x20;this&#x20;context&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;the&#x20;additional&#x20;information.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;Add&#x20;or&#x20;modify&#x20;the&#x20;ServerSignature&#x20;directive&#x20;to&#x20;have&#x20;the&#x20;value&#x20;of&#x20;Off:&#x20;ServerSignature&#x20;Off','[{\"cis\": [\"8.2\"]}, {\"cis_csc\": [\"18\", \"13.2\"]}]'),(10020,'Ensure&#x20;the&#x20;TimeOut&#x20;Is&#x20;Set&#x20;to&#x20;10&#x20;or&#x20;Less','Denial&#x20;of&#x20;Service&#x20;&#40;DoS&#41;&#x20;is&#x20;an&#x20;attack&#x20;technique&#x20;with&#x20;the&#x20;intent&#x20;of&#x20;preventing&#x20;a&#x20;web&#x20;site&#x20;from&#x20;serving&#x20;normal&#x20;user&#x20;activity.&#x20;DoS&#x20;attacks,&#x20;which&#x20;are&#x20;normally&#x20;applied&#x20;to&#x20;the&#x20;network&#x20;layer,&#x20;are&#x20;also&#x20;possible&#x20;at&#x20;the&#x20;application&#x20;layer.&#x20;These&#x20;malicious&#x20;attacks&#x20;can&#x20;succeed&#x20;by&#x20;starving&#x20;a&#x20;system&#x20;of&#x20;critical&#x20;resources,&#x20;vulnerability&#x20;exploit,&#x20;or&#x20;abuse&#x20;of&#x20;functionality.&#x20;Although&#x20;there&#x20;is&#x20;no&#x20;100%&#x20;solution&#x20;for&#x20;preventing&#x20;DoS&#x20;attacks,&#x20;the&#x20;following&#x20;recommendation&#x20;uses&#x20;the&#x20;Timeout&#x20;directive&#x20;to&#x20;mitigate&#x20;some&#x20;of&#x20;the&#x20;risk,&#x20;by&#x20;requiring&#x20;more&#x20;effort&#x20;for&#x20;a&#x20;successful&#x20;DoS&#x20;attack.&#x20;Of&#x20;course,&#x20;DoS&#x20;attacks&#x20;can&#x20;happen&#x20;in&#x20;rather&#x20;unintentional&#x20;ways&#x20;as&#x20;well&#x20;as&#x20;intentional&#x20;and&#x20;these&#x20;directives&#x20;will&#x20;help&#x20;in&#x20;many&#x20;of&#x20;those&#x20;situations&#x20;as&#x20;well.','One&#x20;common&#x20;technique&#x20;for&#x20;DoS&#x20;is&#x20;to&#x20;initiate&#x20;many&#x20;connections&#x20;to&#x20;the&#x20;server.&#x20;By&#x20;decreasing&#x20;the&#x20;timeout&#x20;for&#x20;old&#x20;connections&#x20;and&#x20;we&#x20;allow&#x20;the&#x20;server&#x20;to&#x20;free&#x20;up&#x20;resources&#x20;more&#x20;quickly&#x20;and&#x20;be&#x20;more&#x20;responsive.&#x20;By&#x20;making&#x20;the&#x20;server&#x20;more&#x20;efficient,&#x20;it&#x20;will&#x20;be&#x20;more&#x20;resilient&#x20;to&#x20;DoS&#x20;conditions.&#x20;The&#x20;Timeout&#x20;directive&#x20;affects&#x20;several&#x20;timeout&#x20;values&#x20;for&#x20;Apache,&#x20;so&#x20;review&#x20;the&#x20;Apache&#x20;document&#x20;carefully.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;Add&#x20;or&#x20;modify&#x20;the&#x20;Timeout&#x20;directive&#x20;in&#x20;the&#x20;Apache&#x20;configuration&#x20;to&#x20;have&#x20;a&#x20;value&#x20;of&#x20;10&#x20;seconds&#x20;or&#x20;shorter.&#x20;Timeout&#x20;10','[{\"cis\": [\"9.1\"]}, {\"cis_csc\": [\"9\", \"5.1\"]}]'),(10021,'Ensure&#x20;KeepAlive&#x20;Is&#x20;Enabled','The&#x20;KeepAlive&#x20;directive&#x20;controls&#x20;whether&#x20;Apache&#x20;will&#x20;reuse&#x20;the&#x20;same&#x20;TCP&#x20;connection&#x20;per&#x20;client&#x20;to&#x20;process&#x20;subsequent&#x20;HTTP&#x20;requests&#x20;from&#x20;that&#x20;client.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;KeepAlive&#x20;directive&#x20;be&#x20;set&#x20;to&#x20;On.','Allowing&#x20;per-client&#x20;reuse&#x20;of&#x20;TCP&#x20;sockets&#x20;reduces&#x20;the&#x20;amount&#x20;of&#x20;system&#x20;and&#x20;network&#x20;resources&#x20;required&#x20;to&#x20;serve&#x20;requests.&#x20;This&#x20;efficiency&#x20;gain&#x20;may&#x20;improve&#x20;a&#x20;server&#x20;resiliency&#x20;to&#x20;DoS&#x20;attacks.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;Add&#x20;or&#x20;modify&#x20;the&#x20;KeepAlive&#x20;directive&#x20;in&#x20;the&#x20;Apache&#x20;configuration&#x20;to&#x20;have&#x20;a&#x20;value&#x20;of&#x20;On,&#x20;so&#x20;that&#x20;KeepAlive&#x20;connections&#x20;are&#x20;enabled.&#x20;KeepAlive&#x20;On','[{\"cis\": [\"9.2\"]}, {\"cis_csc\": [\"9\", \"5.1\"]}]'),(10022,'Ensure&#x20;MaxKeepAliveRequests&#x20;is&#x20;Set&#x20;to&#x20;a&#x20;Value&#x20;of&#x20;100&#x20;or&#x20;Greater','The&#x20;MaxKeepAliveRequests&#x20;directive&#x20;limits&#x20;the&#x20;number&#x20;of&#x20;requests&#x20;allowed&#x20;per&#x20;connection&#x20;when&#x20;KeepAlive&#x20;is&#x20;on.&#x20;If&#x20;it&#x20;is&#x20;set&#x20;to&#x20;0,&#x20;unlimited&#x20;requests&#x20;will&#x20;be&#x20;allowed.','The&#x20;MaxKeepAliveRequests&#x20;directive&#x20;is&#x20;important&#x20;to&#x20;be&#x20;used&#x20;to&#x20;mitigate&#x20;the&#x20;risk&#x20;of&#x20;Denial&#x20;of&#x20;Service&#x20;&#40;DoS&#41;&#x20;attack&#x20;technique&#x20;by&#x20;reducing&#x20;the&#x20;overhead&#x20;imposed&#x20;on&#x20;the&#x20;server.&#x20;The&#x20;KeepAlive&#x20;directive&#x20;must&#x20;be&#x20;enabled&#x20;before&#x20;it&#x20;is&#x20;effective.&#x20;Enabling&#x20;KeepAlives&#x20;allows&#x20;for&#x20;multiple&#x20;HTTP&#x20;requests&#x20;to&#x20;be&#x20;sent&#x20;while&#x20;keeping&#x20;the&#x20;same&#x20;TCP&#x20;connection&#x20;alive.&#x20;This&#x20;reduces&#x20;the&#x20;overhead&#x20;of&#x20;having&#x20;to&#x20;setup&#x20;and&#x20;tear&#x20;down&#x20;TCP&#x20;connections&#x20;for&#x20;each&#x20;request.&#x20;By&#x20;making&#x20;the&#x20;server&#x20;more&#x20;efficient,&#x20;it&#x20;will&#x20;be&#x20;more&#x20;resilient&#x20;to&#x20;DoS&#x20;conditions.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;Add&#x20;or&#x20;modify&#x20;the&#x20;MaxKeepAliveRequests&#x20;directive&#x20;in&#x20;the&#x20;Apache&#x20;configuration&#x20;to&#x20;have&#x20;a&#x20;value&#x20;of&#x20;100&#x20;or&#x20;more.&#x20;MaxKeepAliveRequests&#x20;100','[{\"cis\": [\"9.3\"]}, {\"cis_csc\": [\"9\", \"5.1\"]}]'),(10023,'Ensure&#x20;KeepAliveTimeout&#x20;is&#x20;Set&#x20;to&#x20;a&#x20;Value&#x20;of&#x20;15&#x20;or&#x20;Less','The&#x20;KeepAliveTimeout&#x20;directive&#x20;specifies&#x20;the&#x20;number&#x20;of&#x20;seconds&#x20;Apache&#x20;will&#x20;wait&#x20;for&#x20;a&#x20;subsequent&#x20;request&#x20;before&#x20;closing&#x20;a&#x20;connection&#x20;that&#x20;is&#x20;being&#x20;kept&#x20;alive.','The&#x20;KeepAliveTimeout&#x20;directive&#x20;is&#x20;used&#x20;mitigate&#x20;some&#x20;of&#x20;the&#x20;risk,&#x20;by&#x20;requiring&#x20;more&#x20;effort&#x20;for&#x20;a&#x20;successful&#x20;DoS&#x20;attack.&#x20;By&#x20;enabling&#x20;KeepAlive&#x20;and&#x20;keeping&#x20;the&#x20;timeout&#x20;relatively&#x20;low&#x20;for&#x20;old&#x20;connections&#x20;and&#x20;we&#x20;allow&#x20;the&#x20;server&#x20;to&#x20;free&#x20;up&#x20;resources&#x20;more&#x20;quickly&#x20;and&#x20;be&#x20;more&#x20;responsive.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;Add&#x20;or&#x20;modify&#x20;the&#x20;KeepAliveTimeout&#x20;directive&#x20;in&#x20;the&#x20;Apache&#x20;configuration&#x20;to&#x20;have&#x20;a&#x20;value&#x20;of&#x20;15&#x20;or&#x20;less.&#x20;KeepAliveTimeout&#x20;15','[{\"cis\": [\"9.4\"]}, {\"cis_csc\": [\"9\", \"5.1\"]}]'),(10024,'Ensure&#x20;the&#x20;Timeout&#x20;Limits&#x20;for&#x20;Request&#x20;Headers&#x20;is&#x20;Set&#x20;to&#x20;40&#x20;or&#x20;Less','The&#x20;RequestReadTimeout&#x20;directive&#x20;allows&#x20;configuration&#x20;of&#x20;timeout&#x20;limits&#x20;for&#x20;client&#x20;requests.&#x20;The&#x20;header&#x20;portion&#x20;of&#x20;the&#x20;directive&#x20;provides&#x20;for&#x20;an&#x20;initial&#x20;timeout&#x20;value,&#x20;a&#x20;maximum&#x20;timeout&#x20;and&#x20;a&#x20;minimum&#x20;rate.&#x20;The&#x20;minimum&#x20;rate&#x20;specifies&#x20;that&#x20;after&#x20;the&#x20;initial&#x20;timeout,&#x20;the&#x20;server&#x20;will&#x20;wait&#x20;an&#x20;additional&#x20;1&#x20;second&#x20;for&#x20;each&#x20;N&#x20;bytes&#x20;received.&#x20;The&#x20;recommended&#x20;setting&#x20;is&#x20;to&#x20;have&#x20;a&#x20;maximum&#x20;timeout&#x20;of&#x20;40&#x20;seconds&#x20;or&#x20;less.&#x20;Keep&#x20;in&#x20;mind&#x20;that&#x20;for&#x20;SSL/TLS&#x20;virtual&#x20;hosts&#x20;the&#x20;time&#x20;for&#x20;the&#x20;TLS&#x20;handshake&#x20;must&#x20;fit&#x20;within&#x20;the&#x20;timeout.','Setting&#x20;a&#x20;request&#x20;header&#x20;timeout&#x20;is&#x20;vital&#x20;for&#x20;mitigating&#x20;Denial&#x20;of&#x20;Service&#x20;attacks&#x20;based&#x20;on&#x20;slow&#x20;requests.&#x20;The&#x20;slow&#x20;request&#x20;attacks&#x20;are&#x20;particularly&#x20;lethal&#x20;and&#x20;relative&#x20;easy&#x20;to&#x20;perform,&#x20;because&#x20;they&#x20;require&#x20;very&#x20;little&#x20;bandwidth&#x20;and&#x20;can&#x20;easily&#x20;be&#x20;done&#x20;through&#x20;anonymous&#x20;proxies.&#x20;Starting&#x20;in&#x20;June&#x20;2009&#x20;with&#x20;the&#x20;Slow&#x20;Loris&#x20;DoS&#x20;attack,&#x20;which&#x20;used&#x20;a&#x20;slow&#x20;GET&#x20;request&#x20;as&#x20;published&#x20;by&#x20;Robert&#x20;Hansen&#x20;&#40;RSnake&#41;&#x20;on&#x20;his&#x20;blog&#x20;http://ha.ckers.org/slowloris/.&#x20;Later&#x20;in&#x20;November&#x20;2010&#x20;at&#x20;the&#x20;OWASP&#x20;App&#x20;Sec&#x20;DC&#x20;conference&#x20;Wong&#x20;Onn&#x20;Chee&#x20;demonstrated&#x20;a&#x20;slow&#x20;POST&#x20;request&#x20;attack&#x20;which&#x20;was&#x20;even&#x20;more&#x20;effective.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;1.&#x20;Load&#x20;the&#x20;mod_requesttimeout&#x20;module&#x20;in&#x20;the&#x20;Apache&#x20;configuration&#x20;with&#x20;the&#x20;following&#x20;configuration.&#x20;LoadModule&#x20;reqtimeout_module&#x20;modules/mod_reqtimeout.so&#x20;2.&#x20;Add&#x20;a&#x20;RequestReadTimeout&#x20;directive&#x20;similar&#x20;to&#x20;the&#x20;one&#x20;below&#x20;with&#x20;the&#x20;maximum&#x20;request&#x20;header&#x20;timeout&#x20;value&#x20;of&#x20;40&#x20;seconds&#x20;or&#x20;less.&#x20;RequestReadTimeout&#x20;header=20-40,MinRate=500&#x20;body=20,MinRate=500','[{\"cis\": [\"9.5\"]}, {\"cis_csc\": [\"9\", \"5.1\"]}]'),(10025,'Ensure&#x20;Timeout&#x20;Limits&#x20;for&#x20;the&#x20;Request&#x20;Body&#x20;is&#x20;Set&#x20;to&#x20;20&#x20;or&#x20;Less','The&#x20;RequestReadTimeout&#x20;directive&#x20;also&#x20;allows&#x20;setting&#x20;timeout&#x20;values&#x20;for&#x20;the&#x20;body&#x20;portion&#x20;of&#x20;a&#x20;request.&#x20;The&#x20;directive&#x20;provides&#x20;for&#x20;an&#x20;initial&#x20;timeout&#x20;value,&#x20;and&#x20;a&#x20;maximum&#x20;timeout&#x20;and&#x20;minimum&#x20;rate.&#x20;The&#x20;minimum&#x20;rate&#x20;specifies&#x20;that&#x20;after&#x20;the&#x20;initial&#x20;timeout,&#x20;the&#x20;server&#x20;will&#x20;wait&#x20;an&#x20;additional&#x20;1&#x20;second&#x20;for&#x20;each&#x20;N&#x20;bytes&#x20;are&#x20;received.&#x20;The&#x20;recommended&#x20;setting&#x20;is&#x20;to&#x20;have&#x20;a&#x20;maximum&#x20;timeout&#x20;of&#x20;20&#x20;seconds&#x20;or&#x20;less.&#x20;The&#x20;default&#x20;value&#x20;is&#x20;body=20,MinRate=500.','It&#x20;is&#x20;not&#x20;sufficient&#x20;to&#x20;timeout&#x20;only&#x20;on&#x20;the&#x20;header&#x20;portion&#x20;of&#x20;the&#x20;request,&#x20;as&#x20;the&#x20;server&#x20;will&#x20;still&#x20;be&#x20;vulnerable&#x20;to&#x20;attacks&#x20;like&#x20;the&#x20;OWASP&#x20;Slow&#x20;POST&#x20;attack,&#x20;which&#x20;provide&#x20;the&#x20;body&#x20;of&#x20;the&#x20;request&#x20;very&#x20;slowly.&#x20;Therefore,&#x20;the&#x20;body&#x20;portion&#x20;of&#x20;the&#x20;request&#x20;must&#x20;have&#x20;a&#x20;timeout&#x20;as&#x20;well.&#x20;A&#x20;timeout&#x20;of&#x20;20&#x20;seconds&#x20;or&#x20;less&#x20;is&#x20;recommended.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;1.&#x20;Load&#x20;the&#x20;mod_requesttimeout&#x20;module&#x20;in&#x20;the&#x20;Apache&#x20;configuration&#x20;with&#x20;the&#x20;following&#x20;configuration.&#x20;LoadModule&#x20;reqtimeout_module&#x20;modules/mod_reqtimeout.so&#x20;2.&#x20;Add&#x20;a&#x20;RequestReadTimeout&#x20;directive&#x20;similar&#x20;to&#x20;the&#x20;one&#x20;below&#x20;with&#x20;the&#x20;maximum&#x20;request&#x20;body&#x20;timeout&#x20;value&#x20;of&#x20;20&#x20;seconds&#x20;or&#x20;less.&#x20;RequestReadTimeout&#x20;header=20-40,MinRate=500&#x20;body=20,MinRate=500','[{\"cis\": [\"9.6\"]}, {\"cis_csc\": [\"9\", \"5.1\"]}]'),(10026,'Ensure&#x20;the&#x20;LimitRequestLine&#x20;directive&#x20;is&#x20;Set&#x20;to&#x20;512&#x20;or&#x20;less','Buffer&#x20;Overflow&#x20;attacks&#x20;attempt&#x20;to&#x20;exploit&#x20;an&#x20;application&#x20;by&#x20;providing&#x20;more&#x20;data&#x20;than&#x20;the&#x20;application&#x20;buffer&#x20;can&#x20;contain.&#x20;If&#x20;the&#x20;application&#x20;allows&#x20;copying&#x20;data&#x20;to&#x20;the&#x20;buffer&#x20;to&#x20;overflow&#x20;the&#x20;boundaries&#x20;of&#x20;the&#x20;buffer,&#x20;then&#x20;the&#x20;application&#x20;is&#x20;vulnerable&#x20;to&#x20;a&#x20;buffer&#x20;overflow.&#x20;The&#x20;results&#x20;of&#x20;Buffer&#x20;overflow&#x20;vulnerabilities&#x20;vary,&#x20;and&#x20;may&#x20;result&#x20;in&#x20;the&#x20;application&#x20;crashing,&#x20;or&#x20;may&#x20;allow&#x20;the&#x20;attacker&#x20;to&#x20;execute&#x20;instructions&#x20;provided&#x20;in&#x20;the&#x20;data.&#x20;The&#x20;Apache&#x20;LimitRequest*&#x20;directives&#x20;allow&#x20;the&#x20;Apache&#x20;web&#x20;server&#x20;to&#x20;limit&#x20;the&#x20;sizes&#x20;of&#x20;requests&#x20;and&#x20;request&#x20;fields&#x20;and&#x20;can&#x20;be&#x20;used&#x20;to&#x20;help&#x20;protect&#x20;programs&#x20;and&#x20;applications&#x20;processing&#x20;those&#x20;requests.&#x20;Specifically,&#x20;the&#x20;LimitRequestLine&#x20;directive&#x20;limits&#x20;the&#x20;allowed&#x20;size&#x20;of&#x20;a&#x20;client&#039;s&#x20;HTTP&#x20;request-line,&#x20;which&#x20;consists&#x20;of&#x20;the&#x20;HTTP&#x20;method,&#x20;URI,&#x20;and&#x20;protocol&#x20;version.','The&#x20;limiting&#x20;of&#x20;the&#x20;size&#x20;of&#x20;the&#x20;request&#x20;line&#x20;is&#x20;helpful&#x20;so&#x20;that&#x20;the&#x20;web&#x20;server&#x20;can&#x20;prevent&#x20;an&#x20;unexpectedly&#x20;long&#x20;or&#x20;large&#x20;request&#x20;from&#x20;being&#x20;passed&#x20;to&#x20;a&#x20;potentially&#x20;vulnerable&#x20;CGI&#x20;program,&#x20;module&#x20;or&#x20;application&#x20;that&#x20;would&#x20;have&#x20;attempted&#x20;to&#x20;process&#x20;the&#x20;request.&#x20;Of&#x20;course,&#x20;the&#x20;underlying&#x20;dependency&#x20;is&#x20;that&#x20;we&#x20;need&#x20;to&#x20;set&#x20;the&#x20;limits&#x20;high&#x20;enough&#x20;to&#x20;not&#x20;interfere&#x20;with&#x20;any&#x20;one&#x20;application&#x20;on&#x20;the&#x20;server,&#x20;while&#x20;setting&#x20;them&#x20;low&#x20;enough&#x20;to&#x20;be&#x20;of&#x20;value&#x20;in&#x20;protecting&#x20;the&#x20;applications.&#x20;Since&#x20;the&#x20;configuration&#x20;directive&#x20;is&#x20;available&#x20;only&#x20;at&#x20;the&#x20;server&#x20;configuration&#x20;level,&#x20;it&#x20;is&#x20;not&#x20;possible&#x20;to&#x20;tune&#x20;the&#x20;value&#x20;for&#x20;different&#x20;portions&#x20;of&#x20;the&#x20;same&#x20;web&#x20;server.&#x20;Please&#x20;read&#x20;the&#x20;Apache&#x20;documentation&#x20;carefully,&#x20;as&#x20;these&#x20;requests&#x20;may&#x20;interfere&#x20;with&#x20;the&#x20;expected&#x20;functionality&#x20;of&#x20;some&#x20;web&#x20;applications.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;Add&#x20;or&#x20;modify&#x20;the&#x20;LimitRequestline&#x20;directive&#x20;in&#x20;the&#x20;Apache&#x20;configuration&#x20;to&#x20;have&#x20;a&#x20;value&#x20;of&#x20;512&#x20;or&#x20;shorter.&#x20;LimitRequestline&#x20;512','[{\"cis\": [\"10.1\"]}, {\"cis_csc\": [\"9\", \"5.1\"]}]'),(10027,'Ensure&#x20;the&#x20;LimitRequestFields&#x20;Directive&#x20;is&#x20;Set&#x20;to&#x20;100&#x20;or&#x20;Less','The&#x20;LimitRequestFields&#x20;directive&#x20;limits&#x20;the&#x20;number&#x20;of&#x20;fields&#x20;allowed&#x20;in&#x20;an&#x20;HTTP&#x20;request.','The&#x20;limiting&#x20;of&#x20;the&#x20;number&#x20;of&#x20;fields&#x20;is&#x20;helpful&#x20;so&#x20;that&#x20;the&#x20;web&#x20;server&#x20;can&#x20;prevent&#x20;an&#x20;unexpectedly&#x20;high&#x20;number&#x20;of&#x20;fields&#x20;from&#x20;being&#x20;passed&#x20;to&#x20;a&#x20;potentially&#x20;vulnerable&#x20;CGI&#x20;program,&#x20;module&#x20;or&#x20;application&#x20;that&#x20;would&#x20;have&#x20;attempted&#x20;to&#x20;process&#x20;the&#x20;request.&#x20;Of&#x20;course,&#x20;the&#x20;underlying&#x20;dependency&#x20;is&#x20;that&#x20;we&#x20;need&#x20;to&#x20;set&#x20;the&#x20;limits&#x20;high&#x20;enough&#x20;to&#x20;not&#x20;interfere&#x20;with&#x20;any&#x20;one&#x20;application&#x20;on&#x20;the&#x20;server,&#x20;while&#x20;setting&#x20;them&#x20;low&#x20;enough&#x20;to&#x20;be&#x20;of&#x20;value&#x20;in&#x20;protecting&#x20;the&#x20;applications.&#x20;Since&#x20;the&#x20;configuration&#x20;directives&#x20;are&#x20;available&#x20;only&#x20;at&#x20;the&#x20;server&#x20;configuration&#x20;level,&#x20;it&#x20;is&#x20;not&#x20;possible&#x20;to&#x20;tune&#x20;the&#x20;value&#x20;for&#x20;different&#x20;portions&#x20;of&#x20;the&#x20;same&#x20;web&#x20;server.&#x20;Please&#x20;read&#x20;the&#x20;Apache&#x20;documentation&#x20;carefully,&#x20;as&#x20;these&#x20;requests&#x20;may&#x20;interfere&#x20;with&#x20;the&#x20;expected&#x20;functionality&#x20;of&#x20;some&#x20;web&#x20;applications.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;Add&#x20;or&#x20;modify&#x20;the&#x20;LimitRequestFields&#x20;directive&#x20;in&#x20;the&#x20;Apache&#x20;configuration&#x20;to&#x20;have&#x20;a&#x20;value&#x20;of&#x20;100&#x20;or&#x20;less.&#x20;If&#x20;the&#x20;directive&#x20;is&#x20;not&#x20;present&#x20;the&#x20;default&#x20;depends&#x20;on&#x20;a&#x20;compile&#x20;time&#x20;configuration,&#x20;but&#x20;defaults&#x20;to&#x20;a&#x20;value&#x20;of&#x20;100.&#x20;LimitRequestFields&#x20;100','[{\"cis\": [\"10.2\"]}, {\"cis_csc\": [\"9\", \"5.1\"]}]'),(10028,'Ensure&#x20;the&#x20;LimitRequestFieldsize&#x20;Directive&#x20;is&#x20;Set&#x20;to&#x20;1024&#x20;or&#x20;Less','The&#x20;LimitRequestFieldSize&#x20;limits&#x20;the&#x20;number&#x20;of&#x20;bytes&#x20;that&#x20;will&#x20;be&#x20;allowed&#x20;in&#x20;an&#x20;HTTP&#x20;request&#x20;header.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;LimitRequestFieldSize&#x20;directive&#x20;be&#x20;set&#x20;to&#x20;1024&#x20;or&#x20;less.','By&#x20;limiting&#x20;of&#x20;the&#x20;size&#x20;of&#x20;request&#x20;headers&#x20;is&#x20;helpful&#x20;so&#x20;that&#x20;the&#x20;web&#x20;server&#x20;can&#x20;prevent&#x20;an&#x20;unexpectedly&#x20;long&#x20;or&#x20;large&#x20;value&#x20;from&#x20;being&#x20;passed&#x20;to&#x20;exploit&#x20;a&#x20;potentially&#x20;vulnerable&#x20;program.&#x20;Of&#x20;course,&#x20;the&#x20;underlying&#x20;dependency&#x20;is&#x20;that&#x20;we&#x20;need&#x20;to&#x20;set&#x20;the&#x20;limits&#x20;high&#x20;enough&#x20;to&#x20;not&#x20;interfere&#x20;with&#x20;any&#x20;one&#x20;application&#x20;on&#x20;the&#x20;server,&#x20;while&#x20;setting&#x20;them&#x20;low&#x20;enough&#x20;to&#x20;be&#x20;of&#x20;value&#x20;in&#x20;protecting&#x20;the&#x20;applications.&#x20;Since&#x20;the&#x20;configuration&#x20;directives&#x20;are&#x20;available&#x20;only&#x20;at&#x20;the&#x20;server&#x20;configuration&#x20;level,&#x20;it&#x20;is&#x20;not&#x20;possible&#x20;to&#x20;tune&#x20;the&#x20;value&#x20;for&#x20;different&#x20;portions&#x20;of&#x20;the&#x20;same&#x20;web&#x20;server.&#x20;Please&#x20;read&#x20;the&#x20;Apache&#x20;documentation&#x20;carefully,&#x20;as&#x20;these&#x20;requests&#x20;may&#x20;interfere&#x20;with&#x20;the&#x20;expected&#x20;functionality&#x20;of&#x20;some&#x20;web&#x20;applications.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;Add&#x20;or&#x20;modify&#x20;the&#x20;LimitRequestFieldsize&#x20;directive&#x20;in&#x20;the&#x20;Apache&#x20;configuration&#x20;to&#x20;have&#x20;a&#x20;value&#x20;of&#x20;1024&#x20;or&#x20;less.&#x20;LimitRequestFieldsize&#x20;1024','[{\"cis\": [\"10.3\"]}, {\"cis_csc\": [\"9\", \"5.1\"]}]'),(10029,'Ensure&#x20;the&#x20;LimitRequestBody&#x20;Directive&#x20;is&#x20;Set&#x20;to&#x20;102400&#x20;or&#x20;Less','The&#x20;LimitRequestBody&#x20;directive&#x20;limits&#x20;the&#x20;number&#x20;of&#x20;bytes&#x20;that&#x20;are&#x20;allowed&#x20;in&#x20;a&#x20;request&#x20;body.&#x20;Size&#x20;of&#x20;requests&#x20;may&#x20;vary&#x20;greatly;&#x20;for&#x20;example,&#x20;during&#x20;a&#x20;file&#x20;upload&#x20;the&#x20;size&#x20;of&#x20;the&#x20;file&#x20;must&#x20;fit&#x20;within&#x20;this&#x20;limit.','The&#x20;limiting&#x20;of&#x20;the&#x20;size&#x20;of&#x20;the&#x20;request&#x20;body&#x20;is&#x20;helpful&#x20;so&#x20;that&#x20;the&#x20;web&#x20;server&#x20;can&#x20;prevent&#x20;an&#x20;unexpectedly&#x20;long&#x20;or&#x20;large&#x20;request&#x20;from&#x20;being&#x20;passed&#x20;to&#x20;a&#x20;potentially&#x20;vulnerable&#x20;program.&#x20;Of&#x20;course,&#x20;the&#x20;underlying&#x20;dependency&#x20;is&#x20;that&#x20;we&#x20;need&#x20;to&#x20;set&#x20;the&#x20;limits&#x20;high&#x20;enough&#x20;to&#x20;not&#x20;interfere&#x20;with&#x20;any&#x20;one&#x20;application&#x20;on&#x20;the&#x20;server,&#x20;while&#x20;setting&#x20;them&#x20;low&#x20;enough&#x20;to&#x20;be&#x20;of&#x20;value&#x20;in&#x20;protecting&#x20;the&#x20;applications.&#x20;The&#x20;LimitRequestBody&#x20;may&#x20;be&#x20;configured&#x20;on&#x20;a&#x20;per&#x20;directory,&#x20;or&#x20;per&#x20;location&#x20;context.&#x20;Please&#x20;read&#x20;the&#x20;Apache&#x20;documentation&#x20;carefully,&#x20;as&#x20;these&#x20;requests&#x20;may&#x20;interfere&#x20;with&#x20;the&#x20;expected&#x20;functionality&#x20;of&#x20;some&#x20;web&#x20;applications.','','Perform&#x20;the&#x20;following&#x20;to&#x20;implement&#x20;the&#x20;recommended&#x20;state:&#x20;Add&#x20;or&#x20;modify&#x20;the&#x20;LimitRequestBody&#x20;directive&#x20;in&#x20;the&#x20;Apache&#x20;configuration&#x20;to&#x20;have&#x20;a&#x20;value&#x20;of&#x20;102400&#x20;&#40;100K&#41;&#x20;or&#x20;less.&#x20;Please&#x20;read&#x20;the&#x20;Apache&#x20;documentation&#x20;so&#x20;that&#x20;it&#x20;is&#x20;understood&#x20;that&#x20;this&#x20;directive&#x20;will&#x20;limit&#x20;the&#x20;size&#x20;of&#x20;file&#x20;up-loads&#x20;to&#x20;the&#x20;web&#x20;server.&#x20;LimitRequestBody&#x20;102400','[{\"cis\": [\"10.4\"]}, {\"cis_csc\": [\"9\", \"5.1\"]}]'),(10500,'Disable&#x20;MySQL&#x20;Command&#x20;History','On&#x20;Linux/UNIX,&#x20;the&#x20;MySQL&#x20;client&#x20;logs&#x20;statements&#x20;executed&#x20;interactively&#x20;to&#x20;a&#x20;history&#x20;file.&#x20;By&#x20;default,&#x20;this&#x20;file&#x20;is&#x20;named&#x20;.mysql_history&#x20;in&#x20;the&#x20;user&#039;s&#x20;home&#x20;directory.&#x20;Most&#x20;interactive&#x20;commands&#x20;run&#x20;in&#x20;the&#x20;MySQL&#x20;client&#x20;application&#x20;are&#x20;saved&#x20;to&#x20;a&#x20;history&#x20;file.&#x20;The&#x20;MySQL&#x20;command&#x20;history&#x20;should&#x20;be&#x20;disabled.','Disabling&#x20;the&#x20;MySQL&#x20;command&#x20;history&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;exposing&#x20;sensitive&#x20;information,&#x20;such&#x20;as&#x20;passwords&#x20;and&#x20;encryption&#x20;keys.','','Perform&#x20;the&#x20;following&#x20;steps:&#x20;1.&#x20;Remove&#x20;.mysql_history&#x20;if&#x20;it&#x20;exists.&#x20;And&#x20;2.&#x20;Set&#x20;the&#x20;MYSQL_HISTFILE&#x20;environment&#x20;variable&#x20;to&#x20;/dev/null.&#x20;This&#x20;will&#x20;need&#x20;to&#x20;be&#x20;placed&#x20;in&#x20;the&#x20;shell&#039;s&#x20;startup&#x20;script.&#x20;Or&#x20;Create&#x20;$HOME/.mysql_history&#x20;as&#x20;a&#x20;symbolic&#x20;to&#x20;/dev/null.','[{\"cis\": [\"1.3\"]}]'),(10501,'Disable&#x20;Interactive&#x20;Login','When&#x20;created,&#x20;the&#x20;MySQL&#x20;user&#x20;may&#x20;have&#x20;interactive&#x20;access&#x20;to&#x20;the&#x20;operating&#x20;system,&#x20;which&#x20;means&#x20;that&#x20;the&#x20;MySQL&#x20;user&#x20;could&#x20;login&#x20;to&#x20;the&#x20;host&#x20;as&#x20;any&#x20;other&#x20;user&#x20;would.','Preventing&#x20;the&#x20;MySQL&#x20;user&#x20;from&#x20;logging&#x20;in&#x20;interactively&#x20;may&#x20;reduce&#x20;the&#x20;impact&#x20;of&#x20;a&#x20;compromised&#x20;MySQL&#x20;account.&#x20;There&#x20;is&#x20;also&#x20;more&#x20;accountability&#x20;as&#x20;accessing&#x20;the&#x20;operating&#x20;system&#x20;where&#x20;the&#x20;MySQL&#x20;server&#x20;lies&#x20;will&#x20;require&#x20;the&#x20;user&#039;s&#x20;own&#x20;account.&#x20;Interactive&#x20;access&#x20;by&#x20;the&#x20;MySQL&#x20;user&#x20;is&#x20;unnecessary&#x20;and&#x20;should&#x20;be&#x20;disabled.','','Execute&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;in&#x20;a&#x20;terminal:&#x20;&#039;usermod&#x20;-s&#x20;/bin/false&#x20;mysql&#039;&#x20;or&#x20;&#039;usermod&#x20;-s&#x20;/sbin/nologin&#x20;mysql&#039;','[{\"cis\": [\"1.5\"]}]'),(10502,'Verify&#x20;That&#x20;&#039;MYSQL_PWD&#039;&#x20;Is&#x20;Not&#x20;Set&#x20;In&#x20;Users&#039;&#x20;Profiles','MySQL&#x20;can&#x20;read&#x20;a&#x20;default&#x20;database&#x20;password&#x20;from&#x20;an&#x20;environment&#x20;variable&#x20;called&#x20;MYSQL_PWD.','The&#x20;use&#x20;of&#x20;the&#x20;MYSQL_PWD&#x20;environment&#x20;variable&#x20;implies&#x20;the&#x20;clear&#x20;text&#x20;storage&#x20;of&#x20;MySQL&#x20;credentials.&#x20;Avoiding&#x20;this&#x20;may&#x20;increase&#x20;assurance&#x20;that&#x20;the&#x20;confidentiality&#x20;of&#x20;MySQL&#x20;credentials&#x20;is&#x20;preserved.','','Check&#x20;which&#x20;users&#x20;and/or&#x20;scripts&#x20;are&#x20;setting&#x20;MYSQL_PWD&#x20;and&#x20;change&#x20;them&#x20;to&#x20;use&#x20;a&#x20;more&#x20;secure&#x20;method.','[{\"cis\": [\"1.6\"]}]'),(10503,'Ensure&#x20;&#039;allow-suspicious-udfs&#039;&#x20;Is&#x20;Set&#x20;to&#x20;&#039;FALSE&#039;','This&#x20;option&#x20;prevents&#x20;attaching&#x20;arbitrary&#x20;shared&#x20;library&#x20;functions&#x20;as&#x20;user-defined&#x20;functions&#x20;by&#x20;checking&#x20;for&#x20;at&#x20;least&#x20;one&#x20;corresponding&#x20;method&#x20;named&#x20;_init,&#x20;_deinit,&#x20;_reset,&#x20;_clear,&#x20;or&#x20;_add.','Preventing&#x20;shared&#x20;libraries&#x20;that&#x20;do&#x20;not&#x20;contain&#x20;user-defined&#x20;functions&#x20;from&#x20;loading&#x20;will&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;server.','','Remove&#x20;&#039;--allow-suspicious-udfs&#039;&#x20;from&#x20;the&#x20;&#039;mysqld&#039;&#x20;start&#x20;up&#x20;command&#x20;line.&#x20;Or&#x20;Remove&#x20;&#039;allow-suspicious-udfs&#039;&#x20;from&#x20;the&#x20;MySQL&#x20;option&#x20;file.','[{\"cis\": [\"4.3\"]}]'),(10504,'Ensure&#x20;&#039;local_infile&#039;&#x20;is&#x20;Disabled','The&#x20;&#039;local_infile&#039;&#x20;parameter&#x20;dictates&#x20;whether&#x20;files&#x20;located&#x20;on&#x20;the&#x20;MySQL&#x20;client&#039;s&#x20;computer&#x20;can&#x20;be&#x20;loaded&#x20;or&#x20;selected&#x20;via&#x20;&#039;LOAD&#x20;DATA&#x20;INFILE&#039;&#x20;or&#x20;&#039;SELECT&#x20;local_file&#039;.','Disabling&#x20;&#039;local_infile&#039;&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;ability&#x20;to&#x20;read&#x20;sensitive&#x20;files&#x20;off&#x20;the&#x20;affected&#x20;server&#x20;via&#x20;a&#x20;SQL&#x20;injection&#x20;vulnerability.','','Add&#x20;a&#x20;line&#x20;local-infile=0&#x20;in&#x20;the&#x20;[mysqld]&#x20;section&#x20;of&#x20;the&#x20;MySQL&#x20;configuration&#x20;file&#x20;and&#x20;restart&#x20;the&#x20;MySQL&#x20;service.','[{\"cis\": [\"4.4\"]}]'),(10505,'Ensure&#x20;&#039;mysqld&#039;&#x20;Is&#x20;Not&#x20;Started&#x20;with&#x20;&#039;--skip-grant-tables&#039;','This&#x20;option&#x20;causes&#x20;mysqld&#x20;to&#x20;start&#x20;without&#x20;using&#x20;the&#x20;privilege&#x20;system.','If&#x20;this&#x20;option&#x20;is&#x20;used,&#x20;all&#x20;clients&#x20;of&#x20;the&#x20;affected&#x20;server&#x20;will&#x20;have&#x20;unrestricted&#x20;access&#x20;to&#x20;all&#x20;databases.','','Open&#x20;the&#x20;MySQL&#x20;configuration&#x20;&#40;e.g.&#x20;my.cnf&#41;&#x20;file&#x20;and&#x20;set:&#x20;skip-grant-tables&#x20;=&#x20;FALSE','[{\"cis\": [\"4.5\"]}]'),(10506,'Ensure&#x20;&#039;--skip-symbolic-links&#039;&#x20;Is&#x20;Enabled','The&#x20;symbolic-links&#x20;and&#x20;skip-symbolic-links&#x20;options&#x20;for&#x20;MySQL&#x20;determine&#x20;whether&#x20;symbolic&#x20;link&#x20;support&#x20;is&#x20;available.&#x20;&#x20;When&#x20;use&#x20;of&#x20;symbolic&#x20;links&#x20;are&#x20;enabled,&#x20;they&#x20;have&#x20;different&#x20;effects&#x20;depending&#x20;on&#x20;the&#x20;host&#x20;platform.&#x20;&#x20;When&#x20;symbolic&#x20;links&#x20;are&#x20;disabled,&#x20;then&#x20;symbolic&#x20;links&#x20;stored&#x20;in&#x20;files&#x20;or&#x20;entries&#x20;in&#x20;tables&#x20;are&#x20;not&#x20;used&#x20;by&#x20;the&#x20;database.&#x20;','Prevents&#x20;sym&#x20;links&#x20;being&#x20;used&#x20;for&#x20;data&#x20;base&#x20;files.&#x20;This&#x20;is&#x20;especially&#x20;important&#x20;when&#x20;MySQL&#x20;is&#x20;executing&#x20;as&#x20;root&#x20;as&#x20;arbitrary&#x20;files&#x20;may&#x20;be&#x20;overwritten.&#x20;The&#x20;symbolic-links&#x20;option&#x20;might&#x20;allow&#x20;someone&#x20;to&#x20;direct&#x20;actions&#x20;by&#x20;to&#x20;MySQL&#x20;server&#x20;to&#x20;other&#x20;files&#x20;and/or&#x20;directories.','','Open&#x20;the&#x20;MySQL&#x20;configuration&#x20;file&#x20;&#40;my.cnf&#41;,&#x20;locate&#x20;&#039;skip_symbolic_links&#039;&#x20;and&#x20;set&#x20;it&#x20;to&#x20;YES.&#x20;If&#x20;the&#x20;option&#x20;does&#x20;not&#x20;exist,&#x20;create&#x20;it&#x20;in&#x20;the&#x20;&#039;mysqld&#039;&#x20;section.','[{\"cis\": [\"4.6\"]}]'),(10507,'Ensure&#x20;&#039;secure_file_priv&#039;&#x20;is&#x20;not&#x20;empty','The&#x20;secure_file_priv&#x20;option&#x20;restricts&#x20;to&#x20;paths&#x20;used&#x20;by&#x20;LOAD&#x20;DATA&#x20;INFILE&#x20;or&#x20;SELECT&#x20;local_file.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;option&#x20;be&#x20;set&#x20;to&#x20;a&#x20;file&#x20;system&#x20;location&#x20;that&#x20;contains&#x20;only&#x20;resources&#x20;expected&#x20;to&#x20;be&#x20;loaded&#x20;by&#x20;MySQL.','Setting&#x20;secure_file_priv&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;ability&#x20;to&#x20;read&#x20;sensitive&#x20;files&#x20;off&#x20;the&#x20;affected&#x20;server&#x20;via&#x20;a&#x20;SQL&#x20;injection&#x20;vulnerability.&#x20;','','Add&#x20;the&#x20;line&#x20;secure_file_priv=&lt;path_to_load_directory&gt;&#x20;to&#x20;the&#x20;[mysqld]&#x20;section&#x20;of&#x20;the&#x20;MySQL&#x20;configuration&#x20;file&#x20;and&#x20;restart&#x20;the&#x20;MySQL&#x20;service.','[{\"cis\": [\"4.8\"]}]'),(10508,'Ensure&#x20;&#039;sql_mode&#039;&#x20;Contains&#x20;&#039;STRICT_ALL_TABLES&#039;','When&#x20;data&#x20;changing&#x20;statements&#x20;are&#x20;made&#x20;&#40;i.e.&#x20;INSERT,&#x20;UPDATE&#41;,&#x20;MySQL&#x20;can&#x20;handle&#x20;invalid&#x20;or&#x20;missing&#x20;values&#x20;differently&#x20;depending&#x20;on&#x20;whether&#x20;strict&#x20;SQL&#x20;mode&#x20;is&#x20;enabled.&#x20;When&#x20;strict&#x20;SQL&#x20;mode&#x20;is&#x20;enabled,&#x20;data&#x20;may&#x20;not&#x20;be&#x20;truncated&#x20;or&#x20;otherwise&#x20;&#039;adjusted&#039;&#x20;to&#x20;make&#x20;the&#x20;data&#x20;changing&#x20;statement&#x20;work.','Without&#x20;strict&#x20;mode&#x20;the&#x20;server&#x20;tries&#x20;to&#x20;do&#x20;proceed&#x20;with&#x20;the&#x20;action&#x20;when&#x20;an&#x20;error&#x20;might&#x20;have&#x20;been&#x20;a&#x20;more&#x20;secure&#x20;choice.&#x20;For&#x20;example,&#x20;by&#x20;default&#x20;MySQL&#x20;will&#x20;truncate&#x20;data&#x20;if&#x20;it&#x20;does&#x20;not&#x20;fit&#x20;in&#x20;a&#x20;field,&#x20;which&#x20;can&#x20;lead&#x20;to&#x20;unknown&#x20;behavior,&#x20;or&#x20;be&#x20;leveraged&#x20;by&#x20;an&#x20;attacker&#x20;to&#x20;circumvent&#x20;data&#x20;validation.&#x20;','','Add&#x20;STRICT_ALL_TABLES&#x20;to&#x20;the&#x20;sql_mode&#x20;in&#x20;the&#x20;server&#039;s&#x20;configuration&#x20;file.','[{\"cis\": [\"4.9\"]}]'),(10509,'Ensure&#x20;&#039;log_error&#039;&#x20;is&#x20;not&#x20;empty','The&#x20;error&#x20;log&#x20;contains&#x20;information&#x20;about&#x20;events&#x20;such&#x20;as&#x20;mysqld&#x20;starting&#x20;and&#x20;stopping,&#x20;when&#x20;a&#x20;table&#x20;needs&#x20;to&#x20;be&#x20;checked&#x20;or&#x20;repaired,&#x20;and,&#x20;depending&#x20;on&#x20;the&#x20;host&#x20;operating&#x20;system,&#x20;stack&#x20;traces&#x20;when&#x20;mysqld&#x20;fails','Enabling&#x20;error&#x20;logging&#x20;may&#x20;increase&#x20;the&#x20;ability&#x20;to&#x20;detect&#x20;malicious&#x20;attempts&#x20;against&#x20;MySQL,&#x20;and&#x20;other&#x20;critical&#x20;messages,&#x20;such&#x20;as&#x20;if&#x20;the&#x20;error&#x20;log&#x20;is&#x20;not&#x20;enabled&#x20;then&#x20;connection&#x20;error&#x20;might&#x20;go&#x20;unnoticed.','','Set&#x20;the&#x20;log-error&#x20;option&#x20;to&#x20;the&#x20;path&#x20;for&#x20;the&#x20;error&#x20;log&#x20;in&#x20;the&#x20;MySQL&#x20;configuration&#x20;file&#x20;&#40;my.cnf&#x20;or&#x20;my.ini&#41;.','[{\"cis\": [\"6.1\"]}]'),(10510,'Ensure&#x20;Log&#x20;Files&#x20;are&#x20;not&#x20;Stored&#x20;on&#x20;a&#x20;non-system&#x20;partition','MySQL&#x20;log&#x20;files&#x20;can&#x20;be&#x20;set&#x20;in&#x20;the&#x20;MySQL&#x20;configuration&#x20;to&#x20;exist&#x20;anywhere&#x20;on&#x20;the&#x20;filesystem.&#x20;&#x20;It&#x20;is&#x20;common&#x20;practice&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;system&#x20;filesystem&#x20;is&#x20;left&#x20;uncluttered&#x20;by&#x20;application&#x20;logs.&#x20;&#x20;System&#x20;filesystems&#x20;include&#x20;the&#x20;root,&#x20;/var,&#x20;or&#x20;/usr.','Moving&#x20;the&#x20;MySQL&#x20;logs&#x20;off&#x20;the&#x20;system&#x20;partition&#x20;will&#x20;reduce&#x20;the&#x20;probability&#x20;of&#x20;denial&#x20;of&#x20;service&#x20;via&#x20;the&#x20;exhaustion&#x20;of&#x20;available&#x20;disk&#x20;space&#x20;to&#x20;the&#x20;operating&#x20;system.','','In&#x20;the&#x20;MySQL&#x20;configuration&#x20;file&#x20;&#40;my.cnf&#41;,&#x20;locate&#x20;the&#x20;log-bin&#x20;entry&#x20;and&#x20;set&#x20;it&#x20;to&#x20;a&#x20;file&#x20;not&#x20;on&#x20;root&#x20;&#40;&#039;/&#039;&#41;,&#x20;/var,&#x20;or&#x20;/usr.','[{\"cis\": [\"6.2\"]}]'),(10511,'Ensure&#x20;&#039;log_warning&#039;&#x20;is&#x20;set&#x20;to&#x20;2','The&#x20;log_warnings&#x20;system&#x20;variable,&#x20;enabled&#x20;by&#x20;default,&#x20;provides&#x20;additional&#x20;information&#x20;to&#x20;the&#x20;MySQL&#x20;log.&#x20;&#x20;A&#x20;value&#x20;of&#x20;1&#x20;enables&#x20;logging&#x20;of&#x20;warning&#x20;messages,&#x20;and&#x20;higher&#x20;integer&#x20;values&#x20;tend&#x20;to&#x20;enable&#x20;more&#x20;logging.','This&#x20;might&#x20;help&#x20;to&#x20;detect&#x20;malicious&#x20;behavior&#x20;by&#x20;logging&#x20;communication&#x20;errors&#x20;and&#x20;aborted&#x20;connections.','','Ensure&#x20;a&#x20;line&#x20;containing&#x20;log-warnings&#x20;=&#x20;2&#x20;is&#x20;found&#x20;in&#x20;the&#x20;mysqld&#x20;section&#x20;of&#x20;the&#x20;MySQL&#x20;configuration&#x20;file&#x20;&#40;my.cnf&#41;.','[{\"cis\": [\"6.3\"]}]'),(10512,'Ensure&#x20;&#039;log_raw&#039;&#x20;is&#x20;set&#x20;to&#x20;&#039;OFF&#039;','The&#x20;log-raw&#x20;MySQL&#x20;option&#x20;determines&#x20;whether&#x20;passwords&#x20;are&#x20;rewritten&#x20;by&#x20;the&#x20;server&#x20;so&#x20;as&#x20;not&#x20;to&#x20;appear&#x20;in&#x20;log&#x20;files&#x20;as&#x20;plain&#x20;text.&#x20;&#x20;If&#x20;log-raw&#x20;is&#x20;enabled,&#x20;then&#x20;passwords&#x20;are&#x20;written&#x20;to&#x20;the&#x20;various&#x20;log&#x20;files&#x20;&#40;general&#x20;query&#x20;log,&#x20;slow&#x20;query&#x20;log,&#x20;and&#x20;binary&#x20;log&#41;&#x20;in&#x20;plain&#x20;text.&#x20;','With&#x20;raw&#x20;logging&#x20;of&#x20;passwords&#x20;enabled&#x20;someone&#x20;with&#x20;access&#x20;to&#x20;the&#x20;log&#x20;files&#x20;might&#x20;see&#x20;plain&#x20;text&#x20;passwords.','','IN&#x20;the&#x20;MySQL&#x20;configuration&#x20;file&#x20;&#40;my.cnf&#41;,&#x20;locate&#x20;and&#x20;set&#x20;the&#x20;value&#x20;of&#x20;this&#x20;option:&#x20;log-raw&#x20;=&#x20;OFF','[{\"cis\": [\"6.4\"]}]');

From 8d0213f841dcc86a2e3383a6a9a1f97e81b67a60 Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Tue, 12 Sep 2023 12:13:01 +0200
Subject: [PATCH 21/41] #11807 fixed selected module in report list check

---
 pandora_console/godmode/reporting/reporting_builder.php | 1 +
 1 file changed, 1 insertion(+)

diff --git a/pandora_console/godmode/reporting/reporting_builder.php b/pandora_console/godmode/reporting/reporting_builder.php
index b124e51b77..e300b20c60 100755
--- a/pandora_console/godmode/reporting/reporting_builder.php
+++ b/pandora_console/godmode/reporting/reporting_builder.php
@@ -2061,6 +2061,7 @@ switch ($action) {
                                 || ($values['type'] == 'event_report_agent')
                                 || ($values['type'] == 'agent_configuration')
                                 || ($values['type'] == 'group_configuration')
+                                || ($values['type'] == 'list_checks')
                             ) {
                                 $values['id_agent_module'] = '';
                             } else {

From 16f1d8091945dba1c285beb81ed4eea0330fafd2 Mon Sep 17 00:00:00 2001
From: daniel <daniel.barbero@artica.es>
Date: Tue, 12 Sep 2023 12:30:52 +0200
Subject: [PATCH 22/41] not show edition buttons of alert detail
 pandora_enterprise#12035

---
 .../include/ajax/alert_list.ajax.php          | 265 ------------------
 pandora_console/include/functions_ui.php      |  52 ++--
 .../operation/agentes/alerts_status.php       |   6 -
 3 files changed, 27 insertions(+), 296 deletions(-)

diff --git a/pandora_console/include/ajax/alert_list.ajax.php b/pandora_console/include/ajax/alert_list.ajax.php
index 2fbda5d75c..3d908c445b 100644
--- a/pandora_console/include/ajax/alert_list.ajax.php
+++ b/pandora_console/include/ajax/alert_list.ajax.php
@@ -35,7 +35,6 @@ $disable_alert = (bool) get_parameter('disable_alert');
 $enable_alert = (bool) get_parameter('enable_alert');
 $get_actions_module = (bool) get_parameter('get_actions_module');
 $show_update_action_menu = (bool) get_parameter('show_update_action_menu');
-$get_agent_alerts_agent_view = (bool) get_parameter('get_agent_alerts_agent_view');
 $resize_event_week = (bool) get_parameter('resize_event_week');
 $get_agent_alerts_datatable  = (bool) get_parameter('get_agent_alerts_datatable', 0);
 $alert_validate = (bool) get_parameter('alert_validate', false);
@@ -91,270 +90,6 @@ if ($get_agent_alerts_simple) {
 }
 
 
-if ($get_agent_alerts_agent_view) {
-    include_once $config['homedir'].'/include/functions_agents.php';
-    include_once $config['homedir'].'/operation/agentes/alerts_status.functions.php';
-    include_once $config['homedir'].'/include/functions_users.php';
-
-    $agent_a = check_acl($config['id_user'], 0, 'AR');
-    $agent_w = check_acl($config['id_user'], 0, 'AW');
-    $access = ($agent_a == true) ? 'AR' : (($agent_w == true) ? 'AW' : 'AR');
-
-    $free_search_alert = get_parameter('free_search_alert', '');
-    $all_groups = json_decode(io_safe_output(get_parameter('all_groups')));
-    $idAgent = (int) get_parameter('id_agent');
-    $filter = get_parameter('filter', 'all_enabled');
-    $url = 'index.php?sec=estado&amp;sec2=operation/agentes/ver_agente&amp;id_agente='.$idAgent;
-
-    $sortField = get_parameter('sort_field');
-    $sort = get_parameter('sort', 'none');
-    $selected = true;
-    $selectModuleUp = false;
-    $selectModuleDown = false;
-    $selectTemplateUp = false;
-    $selectTemplateDown = false;
-    $selectLastFiredUp = false;
-    $selectLastFiredDown = false;
-    switch ($sortField) {
-        case 'module':
-            switch ($sort) {
-                case 'up':
-                    $selectModuleUp = $selected;
-                    $order = [
-                        'field' => 'agent_module_name',
-                        'order' => 'ASC',
-                    ];
-                break;
-
-                case 'down':
-                    $selectModuleDown = $selected;
-                    $order = [
-                        'field' => 'agent_module_name',
-                        'order' => 'DESC',
-                    ];
-                break;
-            }
-        break;
-
-        case 'template':
-            switch ($sort) {
-                case 'up':
-                    $selectTemplateUp = $selected;
-                    $order = [
-                        'field' => 'template_name',
-                        'order' => 'ASC',
-                    ];
-                break;
-
-                case 'down':
-                    $selectTemplateDown = $selected;
-                    $order = [
-                        'field' => 'template_name',
-                        'order' => 'DESC',
-                    ];
-                break;
-            }
-        break;
-
-        case 'last_fired':
-            switch ($sort) {
-                case 'up':
-                    $selectLastFiredUp = $selected;
-                    $order = [
-                        'field' => 'last_fired',
-                        'order' => 'ASC',
-                    ];
-                break;
-
-                case 'down':
-                    $selectLastFiredDown = $selected;
-                    $order = [
-                        'field' => 'last_fired',
-                        'order' => 'DESC',
-                    ];
-                break;
-            }
-        break;
-
-        default:
-            $selectDisabledUp = '';
-            $selectDisabledDown = '';
-            $selectModuleUp = $selected;
-            $selectModuleDown = false;
-            $selectTemplateUp = false;
-            $selectTemplateDown = false;
-            $selectLastFiredUp = false;
-            $selectLastFiredDown = false;
-            $order = [
-                'field' => 'agent_module_name',
-                'order' => 'ASC',
-            ];
-        break;
-    }
-
-    if ($free_search_alert != '') {
-        $whereAlertSimple = 'AND ('.'id_alert_template IN (
-                SELECT id
-                FROM talert_templates
-                WHERE name LIKE "%'.$free_search_alert.'%") OR '.'id_alert_template IN (
-                SELECT id
-                FROM talert_templates
-                WHERE id_alert_action IN (
-                    SELECT id
-                    FROM talert_actions
-                    WHERE name LIKE "%'.$free_search_alert.'%")) OR '.'talert_template_modules.id IN (
-                SELECT id_alert_template_module
-                FROM talert_template_module_actions
-                WHERE id_alert_action IN (
-                    SELECT id
-                    FROM talert_actions
-                    WHERE name LIKE "%'.$free_search_alert.'%")) OR '.'id_agent_module IN (
-                SELECT id_agente_modulo
-                FROM tagente_modulo
-                WHERE nombre LIKE "%'.$free_search_alert.'%") OR '.'id_agent_module IN (
-                SELECT id_agente_modulo
-                FROM tagente_modulo
-                WHERE alias LIKE "%'.$free_search_alert.'%")'.')';
-    } else {
-        $whereAlertSimple = '';
-    }
-
-    // Add checks for user ACL.
-    $groups = users_get_groups($config['id_user'], $access);
-    $id_groups = array_keys($groups);
-
-    if (empty($id_groups)) {
-        $whereAlertSimple .= ' AND (1 = 0) ';
-    } else {
-        $whereAlertSimple .= sprintf(
-            ' AND id_agent_module IN (
-                SELECT tam.id_agente_modulo
-                FROM tagente_modulo tam
-                WHERE tam.id_agente IN (
-                    SELECT
-                        ta.id_agente
-                    FROM
-                        tagente ta
-                    WHERE
-                        ta.id_grupo IN (%s)
-                )
-                OR tam.id_agente IN (
-                    SELECT
-                        DISTINCT(tasg.id_agent)
-                    FROM
-                        tagent_secondary_group tasg
-                    WHERE
-                        tasg.id_group IN (%s)
-                )
-            ) ',
-            implode(',', $id_groups),
-            implode(',', $id_groups)
-        );
-    }
-
-    $alerts = [];
-
-    $filter_alert = [];
-    if ($filter_standby == 'standby_on') {
-        $filter_alert['disabled'] = $filter;
-        $filter_alert['standby'] = '1';
-    } else if ($filter_standby == 'standby_off') {
-        $filter_alert['disabled'] = $filter;
-        $filter_alert['standby'] = '0';
-    } else {
-        $filter_alert['disabled'] = $filter;
-    }
-
-    $options_simple = ['order' => $order];
-
-    $alerts['alerts_simple'] = agents_get_alerts_simple($idAgent, $filter_alert, $options_simple, $whereAlertSimple, false, false, false, false, $strict_user, $tag_filter);
-    $countAlertsSimple = agents_get_alerts_simple($idAgent, $filter_alert, false, $whereAlertSimple, false, false, false, true, $strict_user, $tag_filter);
-
-    // Urls to sort the table.
-    $url_up_module = $url.'&sort_field=module&sort=up';
-    $url_down_module = $url.'&sort_field=module&sort=down';
-    $url_up_template = $url.'&sort_field=template&sort=up';
-    $url_down_template = $url.'&sort_field=template&sort=down';
-    $url_up_lastfired = $url.'&sort_field=last_fired&sort=up';
-    $url_down_lastfired = $url.'&sort_field=last_fired&sort=down';
-
-    $table = new stdClass();
-    $table->width = '100%';
-    $table->class = 'info_table';
-    $table->cellpadding = '0';
-    $table->cellspacing = '0';
-    $table->size = [];
-    $table->head = [];
-    $table->align = [];
-
-    if ($isFunctionPolicies !== ENTERPRISE_NOT_HOOK) {
-        $table->size[7] = '5%';
-        if (check_acl_one_of_groups($config['id_user'], $all_groups, 'LW') || check_acl_one_of_groups($config['id_user'], $all_groups, 'LM')) {
-            $table->head[8] = __('Validate');
-            $table->align[8] = 'left';
-            $table->size[8] = '5%';
-        }
-
-        $table->head[0] = "<span title='".__('Policy')."'>".__('P.').'</span>';
-        $table->head[1] = "<span title='".__('Standby')."'>".__('S.').'</span>';
-
-        if (check_acl_one_of_groups($config['id_user'], $all_groups, 'AW') || check_acl_one_of_groups($config['id_user'], $all_groups, 'LM')) {
-            $table->head[2] = "<span title='".__('Force execution')."'>".__('F.').'</span>';
-        }
-
-        $table->head[3] = __('Module');
-        $table->head[4] = __('Template');
-        $table->head[5] = __('Action');
-        $table->head[6] = __('Last fired');
-        $table->head[7] = __('Status');
-
-        $table->align[7] = 'center';
-
-        $table->head[3] .= ui_get_sorting_arrows($url_up_module, $url_down_module, $selectModuleUp, $selectModuleDown);
-        $table->head[4] .= ui_get_sorting_arrows($url_up_template, $url_down_template, $selectTemplateUp, $selectTemplateDown);
-        $table->head[6] .= ui_get_sorting_arrows($url_up_lastfired, $url_down_lastfired, $selectLastFiredUp, $selectLastFiredDown);
-    } else {
-        $table->size[6] = '5%';
-        if (check_acl($config['id_user'], $id_group, 'LW') || check_acl($config['id_user'], $id_group, 'LM')) {
-            $table->head[7] = __('Validate');
-            $table->align[7] = 'left';
-            $table->size[7] = '5%';
-        }
-
-        $table->head[0] = "<span title='".__('Standby')."'>".__('S.').'</span>';
-
-        if (check_acl($config['id_user'], $id_group, 'AW') || check_acl($config['id_user'], $id_group, 'LM')) {
-            $table->head[1] = "<span title='".__('Force execution')."'>".__('F.').'</span>';
-        }
-
-        $table->head[2] = __('Module');
-        $table->head[3] = __('Template');
-        $table->head[4] = __('Action');
-        $table->head[5] = __('Last fired');
-        $table->head[6] = __('Status');
-
-        $table->align[6] = 'center';
-
-        $table->head[2] .= ui_get_sorting_arrows($url_up_module, $url_down_module, $selectModuleUp, $selectModuleDown);
-        $table->head[3] .= ui_get_sorting_arrows($url_up_template, $url_down_template, $selectTemplateUp, $selectTemplateDown);
-        $table->head[5] .= ui_get_sorting_arrows($url_up_lastfired, $url_down_lastfired, $selectLastFiredUp, $selectLastFiredDown);
-    }
-
-    $table->data = [];
-    $rowPair = true;
-    $iterator = 0;
-    foreach ($alerts['alerts_simple'] as $alert) {
-        $row = ui_format_alert_row($alert, false, $url, 'font-size: 9pt;');
-        $table->data[] = $row;
-    }
-
-    if (empty($table->data) === false) {
-        html_print_table($table);
-    } else {
-        ui_print_info_message(['no_close' => true, 'message' => __('No alerts found') ]);
-    }
-}
-
 if ($enable_alert) {
     if (! check_acl($config['id_user'], 0, 'LW')) {
         db_pandora_audit(
diff --git a/pandora_console/include/functions_ui.php b/pandora_console/include/functions_ui.php
index 8915bd3dc9..ba6804b787 100755
--- a/pandora_console/include/functions_ui.php
+++ b/pandora_console/include/functions_ui.php
@@ -1486,32 +1486,34 @@ function ui_format_alert_row(
 
             $actionText .= ui_print_help_tip(__('The default actions will be executed every time that the alert is fired and no other action is executed'), true);
             // Is possible manage actions if have LW permissions in the agent group of the alert module.
-            if (check_acl($config['id_user'], $id_group, 'LM')) {
-                $actionText .= '<a href="index.php?sec=galertas&sec2=godmode/alerts/alert_list&tab=list&delete_action=1&id_alert='.$alert['id'].'&id_agent='.$agente['alias'].'&id_action='.$action['original_id'].'" onClick="if (!confirm(\' '.__('Are you sure you want to delete alert action?').'\')) return false;">'.html_print_image(
-                    'images/delete.svg',
-                    true,
-                    [
-                        'alt'   => __('Delete action'),
-                        'title' => __('Delete action'),
-                        'class' => 'main_menu_icon invert_filter vertical_baseline',
-                    ]
-                ).'</a>';
-            }
+            if (is_metaconsole() === true) {
+                if (check_acl($config['id_user'], $id_group, 'LM')) {
+                    $actionText .= '<a href="index.php?sec=galertas&sec2=godmode/alerts/alert_list&tab=list&delete_action=1&id_alert='.$alert['id'].'&id_agent='.$agente['alias'].'&id_action='.$action['original_id'].'" onClick="if (!confirm(\' '.__('Are you sure you want to delete alert action?').'\')) return false;">'.html_print_image(
+                        'images/delete.svg',
+                        true,
+                        [
+                            'alt'   => __('Delete action'),
+                            'title' => __('Delete action'),
+                            'class' => 'main_menu_icon invert_filter vertical_baseline',
+                        ]
+                    ).'</a>';
+                }
 
-            if (check_acl($config['id_user'], $id_group, 'LW')) {
-                $actionText .= html_print_input_image(
-                    'update_action',
-                    '/images/edit.svg',
-                    1,
-                    'padding:0px;',
-                    true,
-                    [
-                        'title'   => __('Update action'),
-                        'class'   => 'main_menu_icon invert_filter',
-                        'onclick' => 'show_display_update_action(\''.$action['original_id'].'\',\''.$alert['id'].'\',\''.$alert['id_agent_module'].'\',\''.$action['original_id'].'\',\''.$alert['agent_name'].'\')',
-                    ]
-                );
-                $actionText .= html_print_input_hidden('id_agent_module', $alert['id_agent_module'], true);
+                if (check_acl($config['id_user'], $id_group, 'LW')) {
+                    $actionText .= html_print_input_image(
+                        'update_action',
+                        '/images/edit.svg',
+                        1,
+                        'padding:0px;',
+                        true,
+                        [
+                            'title'   => __('Update action'),
+                            'class'   => 'main_menu_icon invert_filter',
+                            'onclick' => 'show_display_update_action(\''.$action['original_id'].'\',\''.$alert['id'].'\',\''.$alert['id_agent_module'].'\',\''.$action['original_id'].'\',\''.$alert['agent_name'].'\')',
+                        ]
+                    );
+                    $actionText .= html_print_input_hidden('id_agent_module', $alert['id_agent_module'], true);
+                }
             }
 
             $actionText .= '<div id="update_action-div-'.$alert['id'].'" class="invisible">';
diff --git a/pandora_console/operation/agentes/alerts_status.php b/pandora_console/operation/agentes/alerts_status.php
index f9d7bb01cd..176ac6bce8 100755
--- a/pandora_console/operation/agentes/alerts_status.php
+++ b/pandora_console/operation/agentes/alerts_status.php
@@ -349,12 +349,6 @@ if (is_metaconsole() === true) {
     }
 }
 
-
-$alert_action = empty(alerts_get_alert_actions_filter()) === false
-    ? alerts_get_alert_actions_filter()
-    : ['' => __('No actions')];
-
-
 ob_start();
 
 if ($agent_view_page === true) {

From 8ae2631a5665fc541bac6b8eadf84b4c98d0b569 Mon Sep 17 00:00:00 2001
From: Enrique Martin <enrique.martin@pandorafms.com>
Date: Tue, 12 Sep 2023 16:46:05 +0200
Subject: [PATCH 23/41] Add open discovery to packaging

---
 pandora_console/pandora_console.redhat.spec |  2 +-
 pandora_console/pandora_console.rhel7.spec  |  2 +-
 pandora_server/pandora_server.redhat.spec   | 20 +++++++++++++++++++-
 pandora_server/pandora_server_installer     | 17 +++++++++++++++++
 4 files changed, 38 insertions(+), 3 deletions(-)

diff --git a/pandora_console/pandora_console.redhat.spec b/pandora_console/pandora_console.redhat.spec
index 2af345741a..49cb77f04e 100644
--- a/pandora_console/pandora_console.redhat.spec
+++ b/pandora_console/pandora_console.redhat.spec
@@ -23,7 +23,7 @@ Group:              Productivity/Networking/Web/Utilities
 Packager:           Sancho Lerena <slerena@artica.es>
 Prefix:              /var/www/html
 BuildRoot:          %{_tmppath}/%{name}
-BuildArch:          noarch
+BuildArch:          x86_64
 AutoReq:            0
 Requires:           %{httpd_name} >= 2.0.0
 Requires:           php >= 8.0
diff --git a/pandora_console/pandora_console.rhel7.spec b/pandora_console/pandora_console.rhel7.spec
index 92807c8818..fd86ab97bc 100644
--- a/pandora_console/pandora_console.rhel7.spec
+++ b/pandora_console/pandora_console.rhel7.spec
@@ -23,7 +23,7 @@ Group:              Productivity/Networking/Web/Utilities
 Packager:           Sancho Lerena <slerena@artica.es>
 Prefix:             /opt/rh/httpd24/root/var/www/html
 BuildRoot:          %{_tmppath}/%{name}
-BuildArch:          noarch
+BuildArch:          x86_64
 AutoReq:            0
 Requires:           httpd24-httpd
 Requires:           httpd24-mod_php >= 7.2
diff --git a/pandora_server/pandora_server.redhat.spec b/pandora_server/pandora_server.redhat.spec
index 30c49df05c..f555f8a047 100644
--- a/pandora_server/pandora_server.redhat.spec
+++ b/pandora_server/pandora_server.redhat.spec
@@ -18,7 +18,7 @@ Group:              System/Monitoring
 Packager:           Sancho Lerena <slerena@artica.es>
 Prefix:             %{_datadir}
 BuildRoot:          %{_tmppath}/%{name}-buildroot
-BuildArchitectures: noarch 
+BuildArchitectures: x86_64 
 AutoReq:            0
 Provides:           %{name}-%{version}
 Requires(pre):      shadow-utils
@@ -59,6 +59,7 @@ mkdir -p $RPM_BUILD_ROOT%{_localstatedir}/spool/pandora/data_in/netflow
 mkdir -p $RPM_BUILD_ROOT%{_localstatedir}/spool/pandora/data_in/sflow
 mkdir -p $RPM_BUILD_ROOT%{_localstatedir}/spool/pandora/data_in/trans
 mkdir -p $RPM_BUILD_ROOT%{_localstatedir}/spool/pandora/data_in/commands
+mkdir -p $RPM_BUILD_ROOT%{_localstatedir}/spool/pandora/data_in/discovery
 mkdir -p $RPM_BUILD_ROOT%{_localstatedir}/log/pandora/
 mkdir -p $RPM_BUILD_ROOT%{prefix}/pandora_server/conf/
 mkdir -p $RPM_BUILD_ROOT%{prefix}/pandora_server/conf.d/
@@ -68,6 +69,23 @@ mkdir -p $RPM_BUILD_ROOT%{_sysconfdir}/cron.hourly/
 mkdir -p $RPM_BUILD_ROOT%{_localstatedir}/lib/pandora/.ssh
 mkdir -p $RPM_BUILD_ROOT/usr/lib/perl5/
 
+# Copy open discovery plugins to data_in
+if [ -d "$RPM_BUILD_ROOT%{_localstatedir}/spool/pandora/data_in/discovery" ]; then
+        echo ">Installing the open discovery scripts to $RPM_BUILD_ROOT%{_localstatedir}/spool/pandora/data_in/discovery..."
+        for disco_folder in $(ls "discovery/"); do
+                if [ -d "discovery/"$disco_folder ]; then
+                        if [ -d "$RPM_BUILD_ROOT%{_localstatedir}/spool/pandora/data_in/discovery/$disco_folder" ]; then
+                                rm -Rf "$RPM_BUILD_ROOT%{_localstatedir}/spool/pandora/data_in/discovery/$disco_folder"
+                        fi
+                        cp -Rf "discovery/"$disco_folder "$RPM_BUILD_ROOT%{_localstatedir}/spool/pandora/data_in/discovery/$disco_folder"
+                        chmod -R 770 "$RPM_BUILD_ROOT%{_localstatedir}/spool/pandora/data_in/discovery/$disco_folder"
+                fi
+        done
+
+else
+        echo ">ERROR: Failed to copy open discovery scripts to $RPM_BUILD_ROOT%{_localstatedir}/spool/pandora/data_in/discovery - Folder not found"
+fi
+
 # All binaries go to %{_bindir}
 cp -aRf bin/pandora_server $RPM_BUILD_ROOT%{_bindir}/
 cp -aRf bin/pandora_exec $RPM_BUILD_ROOT%{_bindir}/
diff --git a/pandora_server/pandora_server_installer b/pandora_server/pandora_server_installer
index a7cb37298a..b317054bf8 100755
--- a/pandora_server/pandora_server_installer
+++ b/pandora_server/pandora_server_installer
@@ -341,6 +341,23 @@ install () {
 
 	chown apache:$GROUPNAME $DESTDIR$PANDORA_SPOOL/data_in/customer_key 2>/dev/null
 
+	# Copy open discovery plugins to data_in
+	if [ -d "$DESTDIR$PANDORA_SPOOL/data_in/discovery" ]; then
+		echo ">Installing the open discovery scripts to $DESTDIR$PANDORA_SPOOL/data_in/discovery..."
+		for disco_folder in $(ls "discovery/"); do
+			if [ -d "discovery/"$disco_folder ]; then
+				if [ -d "$DESTDIR$PANDORA_SPOOL/data_in/discovery/$disco_folder" ]; then
+					rm -Rf "$DESTDIR$PANDORA_SPOOL/data_in/discovery/$disco_folder"
+				fi
+				cp -Rf "discovery/"$disco_folder "$DESTDIR$PANDORA_SPOOL/data_in/discovery/$disco_folder"
+				chmod -R 770 "$DESTDIR$PANDORA_SPOOL/data_in/discovery/$disco_folder"
+			fi
+		done
+
+	else
+		echo ">ERROR: Failed to copy open discovery scripts to $DESTDIR$PANDORA_SPOOL/data_in/discovery/discovery - Folder not found"
+	fi
+
 	echo "Creating setup directory in $PANDORA_CFG_DIR"
 	mkdir -p $DESTDIR$PANDORA_CFG_DIR 2> /dev/null
 	if [ -f "$DESTDIR$PANDORA_CFG_FILE" ]

From 959a2e91107c2c3820fd5091d293f20ebc88bbc0 Mon Sep 17 00:00:00 2001
From: Pablo Aragon <pablo.aragon@pandorafms.com>
Date: Wed, 13 Sep 2023 08:14:11 +0200
Subject: [PATCH 24/41] 11806-Add alert icon in Manage agent

---
 pandora_console/godmode/agentes/configurar_agente.php | 2 +-
 pandora_console/images/add-alert.svg                  | 7 +++++++
 2 files changed, 8 insertions(+), 1 deletion(-)
 create mode 100755 pandora_console/images/add-alert.svg

diff --git a/pandora_console/godmode/agentes/configurar_agente.php b/pandora_console/godmode/agentes/configurar_agente.php
index 701ce4894b..de42b8b6c3 100644
--- a/pandora_console/godmode/agentes/configurar_agente.php
+++ b/pandora_console/godmode/agentes/configurar_agente.php
@@ -437,7 +437,7 @@ if ($id_agente) {
         [
             'href'    => 'index.php?sec=gagente&amp;sec2=godmode/agentes/configurar_agente&amp;tab=alert&amp;id_agente='.$id_agente,
             'content' => html_print_image(
-                'images/alert@svg.svg',
+                'images/add-alert.svg',
                 true,
                 [
                     'title' => __('Alerts'),
diff --git a/pandora_console/images/add-alert.svg b/pandora_console/images/add-alert.svg
new file mode 100755
index 0000000000..3dec357543
--- /dev/null
+++ b/pandora_console/images/add-alert.svg
@@ -0,0 +1,7 @@
+<?xml version="1.0" encoding="UTF-8"?>
+<svg width="20px" height="20px" viewBox="0 0 20 20" version="1.1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink">
+    <title>Add alert@svg</title>
+    <g id="Add-alert" stroke="none" stroke-width="1" fill="none" fill-rule="evenodd">
+        <path d="M10,18 C10,19.1046875 9.10426763,20 8,20 C6.89573237,20 6,19.1046875 6,18 Z M8,2 C8.47753934,2 8.88669653,2.29621004 9.05726495,2.71662986 C8.40926188,3.26642114 8,4.08541645 8,5 L8.00509269,5.17627279 C8.09633912,6.75108004 9.40231912,8 11,8 L12,8 L12,9 C12,10.2760205 12.7966542,11.3659725 13.9197222,11.7996155 C14.313005,13.7223855 15.173052,14.4998338 15.6924763,15.0633413 C15.9067613,15.2955529 16.001761,15.5739183 16,15.8461538 C15.9964039,16.4375 15.5364053,17 14.8535503,17 L1.14644973,17 C0.46359469,17 0.00395325166,16.4375 -1.59872116e-13,15.8461538 C-0.00176101642,15.5739183 0.0932386904,15.2959135 0.307523743,15.0633413 C0.997521614,14.3147837 2.28858906,13.1887019 2.28858906,9.5 C2.28858906,6.69831731 4.23429734,4.45552885 6.85786067,3.90528846 L6.85786067,3.15384615 C6.85786067,2.51670673 7.36928766,2 8,2 Z M15,0 C15.5522847,-1.01453063e-16 16,0.44771525 16,1 L16,3.999 L19,4 C19.5522847,4 20,4.44771525 20,5 C20,5.55228475 19.5522847,6 19,6 L16,6 L16,9 C16,9.55228475 15.5522847,10 15,10 C14.4477153,10 14,9.55228475 14,9 L14,6 L11,6 C10.4477153,6 10,5.55228475 10,5 C10,4.44771525 10.4477153,4 11,4 L14,4 L14,1 C14,0.44771525 14.4477153,1.01453063e-16 15,0 Z" id="Shape" fill="#3F3F3F"></path>
+    </g>
+</svg>
\ No newline at end of file

From 8ecb57a498cda845ee624091fbb834bd7d761bec Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Wed, 13 Sep 2023 13:53:53 +0200
Subject: [PATCH 25/41] #11807 fixed bug in open

---
 .../reporting/reporting_builder.item_editor.php   | 15 ++++++++++-----
 1 file changed, 10 insertions(+), 5 deletions(-)

diff --git a/pandora_console/godmode/reporting/reporting_builder.item_editor.php b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
index 0f6755c0f5..2939ec367a 100755
--- a/pandora_console/godmode/reporting/reporting_builder.item_editor.php
+++ b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
@@ -200,12 +200,16 @@ $text_agent_module = '';
 
 $only_data = false;
 
-
-$categories_security_hardening = categories_of_cis();
-foreach ($categories_security_hardening as $key => $cat) {
-    $categories_security_hardening[$key] = implode(' ', $cat);
+if (enterprise_installed() === true) {
+    $categories_security_hardening = categories_of_cis();
+    foreach ($categories_security_hardening as $key => $cat) {
+        $categories_security_hardening[$key] = implode(' ', $cat);
+    }
+} else {
+    $categories_security_hardening = [];
 }
 
+
 // Users.
 $id_users = [];
 $users_groups = [];
@@ -3801,7 +3805,7 @@ $class = 'databox filters';
                 ?>
             </td>
         </tr>
-
+        <?php if (enterprise_installed() === true) : ?>
         <tr id="row_cat_security_hardening" class="datos">
             <td class="bolder">
                 <?php
@@ -3818,6 +3822,7 @@ $class = 'databox filters';
                 ?>
             </td>
         </tr>
+        <?php endif; ?>
 
         <tr id="row_status_check" class="datos">
             <td class="bolder">

From c62a3aa2f47e6ff2a16a11d296b54ea0412e775e Mon Sep 17 00:00:00 2001
From: Enrique Martin <enrique.martin@pandorafms.com>
Date: Thu, 14 Sep 2023 12:03:51 +0200
Subject: [PATCH 26/41] Added execution permission for console disco binaries

---
 pandora_console/pandora_console.redhat.spec | 2 ++
 pandora_console/pandora_console.rhel7.spec  | 2 ++
 2 files changed, 4 insertions(+)

diff --git a/pandora_console/pandora_console.redhat.spec b/pandora_console/pandora_console.redhat.spec
index 49cb77f04e..d1b0fab8fb 100644
--- a/pandora_console/pandora_console.redhat.spec
+++ b/pandora_console/pandora_console.redhat.spec
@@ -109,3 +109,5 @@ fi
 %{prefix}/pandora_console
 %config(noreplace) %{_sysconfdir}/logrotate.d/pandora_console
 %attr(0644, root, root) %{_sysconfdir}/logrotate.d/pandora_console
+%defattr(0744,%{httpd_user},%{httpd_group},0755)
+%{prefix}/pandora_console/attachment/discovery
diff --git a/pandora_console/pandora_console.rhel7.spec b/pandora_console/pandora_console.rhel7.spec
index fd86ab97bc..0cdb1c89c0 100644
--- a/pandora_console/pandora_console.rhel7.spec
+++ b/pandora_console/pandora_console.rhel7.spec
@@ -93,3 +93,5 @@ fi
 %{prefix}/pandora_console
 %config(noreplace) %{_sysconfdir}/logrotate.d/pandora_console
 %attr(0644, root, root) %{_sysconfdir}/logrotate.d/pandora_console
+%defattr(0744,%{httpd_user},%{httpd_group},0755)
+%{prefix}/pandora_console/attachment/discovery

From 977a18b829b51c5257c1f00aace27e53cb1c9722 Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Thu, 14 Sep 2023 17:56:19 +0200
Subject: [PATCH 27/41] #11807 fixed pdf exports in hardening

---
 pandora_console/include/chart_generator.php   |  12 +
 .../include/functions_reporting.php           |   6 +-
 .../include/functions_reporting_html.php      | 222 +++++++++++++-----
 pandora_console/include/graphs/fgraph.php     |  20 ++
 4 files changed, 198 insertions(+), 62 deletions(-)

diff --git a/pandora_console/include/chart_generator.php b/pandora_console/include/chart_generator.php
index e8ee5f294c..64a95b778d 100644
--- a/pandora_console/include/chart_generator.php
+++ b/pandora_console/include/chart_generator.php
@@ -252,6 +252,18 @@ $hack_metaconsole = (is_metaconsole() === true) ? '../../' : '';
             echo $chart->render(true);
         break;
 
+        case 'line_graph':
+            $params['pdf'] = true;
+            $params['options']['width'] = '100%';
+            $params['options']['height'] = 200;
+            $chart = get_build_setup_charts(
+                'LINE',
+                $params['options'],
+                $params['chart_data']
+            );
+            echo $chart->render(true);
+        break;
+
         case 'slicebar':
             // TO-DO Cambiar esto para que se pase por POST, NO SE PUEDE PASAR POR GET.
             $params['graph_data'] = json_decode(io_safe_output($config[$params['tokem_config']]), true);
diff --git a/pandora_console/include/functions_reporting.php b/pandora_console/include/functions_reporting.php
index ba926fc861..150c91f2c1 100755
--- a/pandora_console/include/functions_reporting.php
+++ b/pandora_console/include/functions_reporting.php
@@ -959,7 +959,8 @@ function reporting_make_reporting_data(
             case 'vul_by_cat':
                 $report['contents'][] = reporting_vul_by_categories(
                     $report,
-                    $content
+                    $content,
+                    $type
                 );
             break;
 
@@ -980,7 +981,8 @@ function reporting_make_reporting_data(
             case 'evolution':
                 $report['contents'][] = reporting_evolution_hardening(
                     $report,
-                    $content
+                    $content,
+                    $type
                 );
             break;
 
diff --git a/pandora_console/include/functions_reporting_html.php b/pandora_console/include/functions_reporting_html.php
index a3d2b8f8b5..85672b6052 100644
--- a/pandora_console/include/functions_reporting_html.php
+++ b/pandora_console/include/functions_reporting_html.php
@@ -526,22 +526,31 @@ function reporting_evolution_graph($table, $item)
 /**
  * Function to print the agents scoring.
  *
- * @param object $table Head table or false if it comes from pdf.
- * @param array  $item  Items data.
+ * @param object  $table Head table or false if it comes from pdf.
+ * @param array   $item  Items data.
+ * @param boolean $pdf   If it comes from pdf.
  *
- * @return void
+ * @return string
  */
-function reporting_html_scoring($table, $item)
+function reporting_html_scoring($table, $item, $pdf=0)
 {
     global $config;
 
+    $table->width = '99%';
+    $table->styleTable = 'border: 0px;';
+    $table->colspan[2][0] = 3;
     $table1 = new stdClass();
-    $table1->width = '100%';
-    $table1->class = 'databox filters';
-    $table1->styleTable = 'border: 0px;';
-    $table1->data[0][0] = '<b>'.__('Date').'</b>';
-    $table1->data[0][1] = '<b>'.__('Agent').'</b>';
-    $table1->data[0][2] = '<b>'.__('Score').'</b>';
+    $table1->headstyle[0] = 'text-align: left';
+    $table1->headstyle[1] = 'text-align: left';
+    $table1->headstyle[2] = 'text-align: left';
+    $table1->width = '99%';
+    $table1->class = 'info_table';
+    $table1->titleclass = 'title_table_pdf';
+    $table1->rowclass[0] = '';
+    $table1->head[0] = '<b>'.__('Id').'</b>';
+    $table1->head[1] = '<b>'.__('Category').'</b>';
+    $table1->head[2] = '<b>'.__('Total Failed').'</b>';
+
     $row = 1;
     foreach ($item['data'] as $key => $check) {
         $table1->data[$row][1] = date($config['date_format'], $check['date']);
@@ -550,88 +559,161 @@ function reporting_html_scoring($table, $item)
         $row++;
     }
 
-    $table->colspan[2][0] = 3;
+    if ($pdf === 1) {
+        $table1->title = $item['title'];
+        $table1->titleclass = 'title_table_pdf';
+        $table1->titlestyle = 'text-align:left;';
+    }
+
     $table->data[2][0] = html_print_table($table1, true);
+
+    if ($pdf === 1) {
+        return html_print_table($table1, true);
+    }
 }
 
 
 /**
  * Function to print HTML checks filtered by agent and category.
  *
- * @param object $table Head table or false if it comes from pdf.
- * @param array  $item  Items data.
+ * @param object  $table Head table or false if it comes from pdf.
+ * @param array   $item  Items data.
+ * @param boolean $pdf   If it comes from pdf.
  *
- * @return void
+ * @return string
  */
-function reporting_html_list_checks($table, $item)
+function reporting_html_list_checks($table, $item, $pdf=0)
 {
-    $table->rowclass[0] = '';
-    $table->colspan[0][1] = 2;
-    $table->align[3] = 'center';
-    $table->data[1][0] = '<b>'.__('Id').'</b>';
-    $table->data[1][1] = '<b>'.__('Title').'</b>';
-    $table->data[1][2] = '<b>'.__('Category').'</b>';
-    $table->data[1][3] = '<b>'.__('Status').'</b>';
+    $table->width = '99%';
+    $table->styleTable = 'border: 0px;';
+    $table->colspan[2][0] = 4;
+    $table1 = new stdClass();
+    $table1->width = '99%';
+    $table1->headstyle[0] = 'text-align: left';
+    $table1->headstyle[1] = 'text-align: left';
+    $table1->headstyle[2] = 'text-align: left';
+    $table1->class = 'info_table';
+    $table1->titleclass = 'title_table_pdf';
+    $table1->rowclass[0] = '';
+    $table1->head[0] = '<b>'.__('Id').'</b>';
+    $table1->head[1] = '<b>'.__('Title').'</b>';
+    $table1->head[2] = '<b>'.__('Category').'</b>';
+    $table1->head[3] = '<b>'.__('Status').'</b>';
 
     $row = 2;
     foreach ($item['data'] as $key => $check) {
-        $table->data[$row][0] = $check['id'];
-        $table->data[$row][1] = $check['title'];
-        $table->data[$row][2] = $check['category'];
-        $table->data[$row][3] = $check['status'];
+        $table1->data[$row][0] = $check['id'];
+        $table1->data[$row][1] = $check['title'];
+        $table1->data[$row][2] = $check['category'];
+        $table1->data[$row][3] = $check['status'];
         $row++;
     }
+
+    if ($pdf === 1) {
+        $table1->title = $item['title'];
+        $table1->titleclass = 'title_table_pdf';
+        $table1->titlestyle = 'text-align:left;';
+    }
+
+    $table->data[2][0] = html_print_table($table1, true);
+    if ($pdf === 1) {
+        return html_print_table($table1, true);
+    }
 }
 
 
 /**
  * Function to print HTML top checks failed by category
  *
- * @param object $table Head table or false if it comes from pdf.
- * @param array  $item  Items data.
+ * @param object  $table Head table or false if it comes from pdf.
+ * @param array   $item  Items data.
+ * @param boolean $pdf   If it comes from pdf.
  *
- * @return void
+ * @return string
  */
-function reporting_html_top_n_categories_checks($table, $item)
+function reporting_html_top_n_categories_checks($table, $item, $pdf=0)
 {
-    $table->rowclass[0] = '';
-    $table->data[1][0] = '<b>'.__('Id').'</b>';
-    $table->data[1][1] = '<b>'.__('Category').'</b>';
-    $table->data[1][2] = '<b>'.__('Total Failed').'</b>';
+    $table->width = '99%';
+    $table->styleTable = 'border: 0px;';
+    $table->colspan[2][0] = 3;
+    $table1 = new stdClass();
+    $table1->width = '99%';
+    $table1->headstyle[0] = 'text-align: left';
+    $table1->headstyle[1] = 'text-align: left';
+    $table1->headstyle[2] = 'text-align: left';
+    $table1->class = 'info_table';
+    $table1->titleclass = 'title_table_pdf';
+    $table1->rowclass[0] = '';
+    $table1->head[0] = '<b>'.__('Id').'</b>';
+    $table1->head[1] = '<b>'.__('Category').'</b>';
+    $table1->head[2] = '<b>'.__('Total Failed').'</b>';
 
     $row = 2;
     foreach ($item['data'] as $key => $check) {
-        $table->data[$row][0] = $check['id'];
-        $table->data[$row][1] = $check['category'];
-        $table->data[$row][2] = $check['total'];
+        $table1->data[$row][0] = $check['id'];
+        $table1->data[$row][1] = $check['category'];
+        $table1->data[$row][2] = $check['total'];
         $row++;
     }
+
+    if ($pdf === 1) {
+        $table1->title = $item['title'];
+        $table1->titleclass = 'title_table_pdf';
+        $table1->titlestyle = 'text-align:left;';
+    }
+
+    $table->data[2][0] = html_print_table($table1, true);
+    if ($pdf === 1) {
+        return html_print_table($table1, true);
+    }
 }
 
 
 /**
  * Function to print HTML top checks failed.
  *
- * @param object $table Head table or false if it comes from pdf.
- * @param array  $item  Items data.
+ * @param object  $table Head table or false if it comes from pdf.
+ * @param array   $item  Items data.
+ * @param boolean $pdf   If it comes from pdf.
  *
- * @return void
+ * @return string
  */
-function reporting_html_top_n_checks_failed($table, $item)
+function reporting_html_top_n_checks_failed($table, $item, $pdf=0)
 {
-    global $config;
-    $table->rowclass[0] = '';
-    $table->data[1][1] = '<b>'.__('Title').'</b>';
-    $table->data[1][2] = '<b>'.__('Total Failed').'</b>';
-    $table->data[1][3] = '<b>'.__('Description').'</b>';
+    $table->width = '99%';
+    $table->styleTable = 'border: 0px;';
+    $table->colspan[2][0] = 3;
+    $table1 = new stdClass();
+    $table1->width = '99%';
+    $table1->headstyle[0] = 'text-align: left';
+    $table1->headstyle[2] = 'text-align: left';
+    $table1->class = 'info_table';
+    $table1->titleclass = 'title_table_pdf';
+    $table1->headstyle[1] = 'width: 10%; text-align: center;';
+    $table1->style[2] = 'text-align: center;';
+    $table1->rowclass[0] = '';
+    $table1->head[0] = '<b>'.__('Title').'</b>';
+    $table1->head[1] = '<b>'.__('Total Failed').'</b>';
+    $table1->head[2] = '<b>'.__('Description').'</b>';
 
     $row = 2;
     foreach ($item['data'] as $key => $check) {
-        $table->data[$row][1] = $check['title'];
-        $table->data[$row][2] = $check['total'];
-        $table->data[$row][3] = $check['description'];
+        $table1->data[$row][1] = $check['title'];
+        $table1->data[$row][2] = $check['total'];
+        $table1->data[$row][3] = $check['description'];
         $row++;
     }
+
+    if ($pdf === 1) {
+        $table1->title = $item['title'];
+        $table1->titleclass = 'title_table_pdf';
+        $table1->titlestyle = 'text-align:left;';
+    }
+
+    $table->data[2][0] = html_print_table($table1, true);
+    if ($pdf === 1) {
+        return html_print_table($table1, true);
+    }
 }
 
 
@@ -655,26 +737,46 @@ function reporting_vul_by_cat_graph($table, $item)
 /**
  * Function to print HTML top n agents from security hardening.
  *
- * @param object $table Head table or false if it comes from pdf.
- * @param array  $item  Items data.
+ * @param object  $table Head table or false if it comes from pdf.
+ * @param array   $item  Items data.
+ * @param boolean $pdf   If it comes from pdf.
  *
- * @return void
+ * @return string
  */
-function reporting_html_top_n_agents_sh($table, $item)
+function reporting_html_top_n_agents_sh($table, $item, $pdf=0)
 {
     global $config;
-    $table->rowclass[0] = '';
-    $table->data[1][0] = '<b>'.__('Agent').'</b>';
-    $table->data[1][1] = '<b>'.__('Last audit scan').'</b>';
-    $table->data[1][2] = '<b>'.__('Score').'</b>';
+    $table->width = '99%';
+    $table->styleTable = 'border: 0px;';
+    $table->colspan[2][0] = 3;
+    $table1 = new stdClass();
+    $table1->headstyle = [];
+    $table1->width = '99%';
+    $table1->class = 'info_table';
+    $table1->titleclass = 'title_table_pdf';
+    $table1->rowclass[0] = '';
+    $table1->head[0] = '<b>'.__('Agent').'</b>';
+    $table1->head[1] = '<b>'.__('Last audit scan').'</b>';
+    $table1->head[2] = '<b>'.__('Score').'</b>';
 
     $row = 2;
     foreach ($item['data'] as $key => $agent) {
-        $table->data[$row][0] = $agent['alias'];
-        $table->data[$row][1] = date($config['date_format'], $agent['utimestamp']);
-        $table->data[$row][2] = $agent['datos'].' %';
+        $table1->data[$row][0] = $agent['alias'];
+        $table1->data[$row][1] = date($config['date_format'], $agent['utimestamp']);
+        $table1->data[$row][2] = $agent['datos'].' %';
         $row++;
     }
+
+    if ($pdf === 1) {
+        $table1->title = $item['title'];
+        $table1->titleclass = 'title_table_pdf';
+        $table1->titlestyle = 'text-align:left;';
+    }
+
+    $table->data[2][0] = html_print_table($table1, true);
+    if ($pdf === 1) {
+        return html_print_table($table, true);
+    }
 }
 
 
diff --git a/pandora_console/include/graphs/fgraph.php b/pandora_console/include/graphs/fgraph.php
index 40466decb5..fd5258e2c2 100644
--- a/pandora_console/include/graphs/fgraph.php
+++ b/pandora_console/include/graphs/fgraph.php
@@ -515,6 +515,26 @@ function line_graph(
     $chart_data,
     $options
 ) {
+    if (empty($chart_data) === true) {
+        if (isset($options['ttl']) === true
+            && (int) $options['ttl'] === 2
+        ) {
+            $options['base64'] = true;
+        }
+
+        return graph_nodata_image($options);
+    }
+
+    if (isset($options['ttl']) === true && (int) $options['ttl'] === 2) {
+        $params = [
+            'chart_data'         => $chart_data,
+            'options'            => $options,
+            'return_img_base_64' => true,
+        ];
+
+        return generator_chart_to_pdf('line_graph', $params);
+    }
+
     $chart = get_build_setup_charts('LINE', $options, $chart_data);
     return $chart->render(true, true);
 }

From 2844dfd4f02a7ba978c883aa6f8816f761cf5390 Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Fri, 15 Sep 2023 13:34:07 +0200
Subject: [PATCH 28/41] #11807 fixed export csv in hardening, fixed interval
 time in exports report and fixed modal error in reports

---
 .../reporting_builder.item_editor.php         | 57 ++++++++++++++++++-
 .../include/functions_reporting_html.php      |  6 +-
 .../operation/reporting/reporting_xml.php     | 29 ++--------
 3 files changed, 64 insertions(+), 28 deletions(-)

diff --git a/pandora_console/godmode/reporting/reporting_builder.item_editor.php b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
index 2939ec367a..929d234c17 100755
--- a/pandora_console/godmode/reporting/reporting_builder.item_editor.php
+++ b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
@@ -5174,6 +5174,10 @@ echo "<div id='message_no_group'  title='".__('Item Editor Information')."' clas
 echo "<p class='center bolder'>".__('Please select a group.').'</p>';
 echo '</div>';
 
+echo "<div id='message_no_max_item'  title='".__('Max items')."' class='invisible'>";
+echo "<p class='center bolder'>".__('Please insert max item number.').'</p>';
+echo '</div>';
+
 ui_require_javascript_file(
     'pandora_inventory',
     ENTERPRISE_DIR.'/include/javascript/'
@@ -5507,7 +5511,7 @@ $(document).ready (function () {
                     return false;
                 }
             break;
-                case 'permissions_report':
+            case 'permissions_report':
                 if ($("#checkbox-select_by_group").prop("checked") && $("select#users_groups>option:selected").val() == undefined) {
                     dialog_message('#message_no_group');
                     return false;
@@ -5517,6 +5521,30 @@ $(document).ready (function () {
                     return false;
                     }
             break;
+            case 'list_checks':
+                if ($("#text-text_agent").val() == '') {
+                    dialog_message('#message_no_agent');
+                    return false;
+                }
+            break;
+            case 'top_n_agents_sh':
+                if ($("#text-max_items").val() == '') {
+                    dialog_message('#message_no_max_item');
+                    return false;
+                }
+            break;
+            case 'top_n_checks_failed':
+                if ($("#text-max_items").val() == '') {
+                    dialog_message('#message_no_max_item');
+                    return false;
+                }
+            break;
+            case 'top_n_categories_checks':
+                if ($("#text-max_items").val() == '') {
+                    dialog_message('#message_no_max_item');
+                    return false;
+                }
+            break;
             default:
                 break;
         }
@@ -5587,13 +5615,14 @@ $(document).ready (function () {
 
     });
 
-    $("#submit-edit_item").click(function () {
+    $("#button-edit_item").click(function () {
         var type = $('#type').val();
 
         if($('#text-name').val() == ''){
             dialog_message('#message_no_name');
                 return false;
         }
+
         switch (type){
             case 'agent_module':
             case 'agent_module_status':
@@ -5646,6 +5675,30 @@ $(document).ready (function () {
                     return false;
                     }
             break;
+            case 'list_checks':
+                if ($("#text-text_agent").val() == '') {
+                    dialog_message('#message_no_agent');
+                    return false;
+                }
+            break;
+            case 'top_n_agents_sh':
+                if ($("#text-max_items").val() == '') {
+                    dialog_message('#message_no_max_item');
+                    return false;
+                }
+            break;
+            case 'top_n_checks_failed':
+                if ($("#text-max_items").val() == '') {
+                    dialog_message('#message_no_max_item');
+                    return false;
+                }
+            break;
+            case 'top_n_categories_checks':
+                if ($("#text-max_items").val() == '') {
+                    dialog_message('#message_no_max_item');
+                    return false;
+                }
+            break;
 
             default:
                 break;
diff --git a/pandora_console/include/functions_reporting_html.php b/pandora_console/include/functions_reporting_html.php
index 85672b6052..dd391d27c2 100644
--- a/pandora_console/include/functions_reporting_html.php
+++ b/pandora_console/include/functions_reporting_html.php
@@ -547,9 +547,9 @@ function reporting_html_scoring($table, $item, $pdf=0)
     $table1->class = 'info_table';
     $table1->titleclass = 'title_table_pdf';
     $table1->rowclass[0] = '';
-    $table1->head[0] = '<b>'.__('Id').'</b>';
-    $table1->head[1] = '<b>'.__('Category').'</b>';
-    $table1->head[2] = '<b>'.__('Total Failed').'</b>';
+    $table1->head[0] = '<b>'.__('Date').'</b>';
+    $table1->head[1] = '<b>'.__('Agent').'</b>';
+    $table1->head[2] = '<b>'.__('Score').'</b>';
 
     $row = 1;
     foreach ($item['data'] as $key => $check) {
diff --git a/pandora_console/operation/reporting/reporting_xml.php b/pandora_console/operation/reporting/reporting_xml.php
index a39e0c7e00..351c7776ca 100755
--- a/pandora_console/operation/reporting/reporting_xml.php
+++ b/pandora_console/operation/reporting/reporting_xml.php
@@ -97,29 +97,12 @@ $filename = (string) get_parameter('filename');
 
 $date_mode = get_parameter('date_mode', 'none');
 
-$period = null;
-switch ($date_mode) {
-    case 'none':
-    case 'end_time':
-        // Get different date to search the report.
-        $date = (string) get_parameter('date', date('Y-m-j'));
-        $time = (string) get_parameter('time', date('h:iA'));
-    break;
-
-    case 'init_and_end_time':
-        // Get different date to search the report.
-        $date = (string) get_parameter('date', date('Y-m-j'));
-        $time = (string) get_parameter('time', date('h:iA'));
-
-        // Calculations in order to modify init date of the report
-        $date_init_less = (strtotime(date('Y-m-j')) - SECONDS_1DAY);
-
-        $date_init = get_parameter('date_init', date('Y-m-j', $date_init_less));
-        $time_init = get_parameter('time_init', date('h:iA'));
-        $datetime_init = strtotime($date_init.' '.$time_init);
-
-        $period = (strtotime($date.' '.$time) - $datetime_init);
-    break;
+$date_init = get_parameter('date_init', '');
+if (empty($date_init) === false) {
+    $date_end = get_parameter('date_end', time());
+    $period = ($date_end - $date_init);
+    $date = date('Y-m-d', $date_end);
+    $time = date('H:i:s', $date_end);
 }
 
 

From 08fe98a8ba57791a92719e2598eb4bf1e122cc65 Mon Sep 17 00:00:00 2001
From: Jorge Rincon <jorge.rincon@pandorafms.com>
Date: Fri, 15 Sep 2023 13:57:14 +0200
Subject: [PATCH 29/41] fixed filter display permissions in modal

---
 pandora_console/include/functions_events.php | 2 +-
 1 file changed, 1 insertion(+), 1 deletion(-)

diff --git a/pandora_console/include/functions_events.php b/pandora_console/include/functions_events.php
index 56232a1f95..7068d554e6 100644
--- a/pandora_console/include/functions_events.php
+++ b/pandora_console/include/functions_events.php
@@ -3368,7 +3368,7 @@ function events_get_event_filter_select($manage=true)
     } else {
         $result = [];
         foreach ($event_filters as $event_filter) {
-            $permission = check_acl($config['id_user'], 0, 'PM');
+            $permission = users_is_admin($config['id_user']);
             if ($permission || $event_filter['private_filter_user'] === $config['id_user']) {
                 if ($event_filter['private_filter_user'] !== null) {
                     $filter_name = $event_filter['id_name'].' (P)';

From f1c153231f11803a2c5a92e39275f983df4d21b0 Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Fri, 15 Sep 2023 14:55:49 +0200
Subject: [PATCH 30/41] #11807 added period in evolution

---
 .../godmode/reporting/reporting_builder.item_editor.php         | 2 ++
 pandora_console/godmode/reporting/reporting_builder.php         | 2 ++
 2 files changed, 4 insertions(+)

diff --git a/pandora_console/godmode/reporting/reporting_builder.item_editor.php b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
index 929d234c17..9ec780017c 100755
--- a/pandora_console/godmode/reporting/reporting_builder.item_editor.php
+++ b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
@@ -1070,6 +1070,7 @@ switch ($action) {
                 case 'evolution':
                     $group = $item['id_group'];
                     $recursion = $item['recursion'];
+                    $period = $item['period'];
                 break;
 
                 default:
@@ -7663,6 +7664,7 @@ function chooseType() {
 
         case 'evolution':
             $("#row_group").show();
+            $('#row_period').show();
         break;
     }
 
diff --git a/pandora_console/godmode/reporting/reporting_builder.php b/pandora_console/godmode/reporting/reporting_builder.php
index e300b20c60..86baa43721 100755
--- a/pandora_console/godmode/reporting/reporting_builder.php
+++ b/pandora_console/godmode/reporting/reporting_builder.php
@@ -2029,6 +2029,7 @@ switch ($action) {
 
                             case 'evolution':
                                 $values['id_group'] = get_parameter('combo_group');
+                                $values['period'] = get_parameter('period');
                                 $good_format = true;
                             break;
 
@@ -2948,6 +2949,7 @@ switch ($action) {
 
                             case 'evolution':
                                 $values['id_group'] = get_parameter('combo_group');
+                                $values['period'] = get_parameter('period');
                                 $good_format = true;
                             break;
 

From 495780b8a813fcaf43e7e674079edc46b2bb84b6 Mon Sep 17 00:00:00 2001
From: artica <artica.devel@gmail.com>
Date: Sat, 16 Sep 2023 01:00:25 +0200
Subject: [PATCH 31/41] Auto-updated build strings.

---
 pandora_agents/unix/DEBIAN/control                | 2 +-
 pandora_agents/unix/DEBIAN/make_deb_package.sh    | 2 +-
 pandora_agents/unix/pandora_agent                 | 2 +-
 pandora_agents/unix/pandora_agent.redhat.spec     | 2 +-
 pandora_agents/unix/pandora_agent.redhat_bin.spec | 2 +-
 pandora_agents/unix/pandora_agent.spec            | 2 +-
 pandora_agents/unix/pandora_agent_installer       | 2 +-
 pandora_agents/win32/installer/pandora.mpi        | 2 +-
 pandora_agents/win32/pandora.cc                   | 2 +-
 pandora_agents/win32/versioninfo.rc               | 2 +-
 pandora_console/DEBIAN/control                    | 2 +-
 pandora_console/DEBIAN/make_deb_package.sh        | 2 +-
 pandora_console/include/config_process.php        | 2 +-
 pandora_console/install.php                       | 2 +-
 pandora_console/pandora_console.redhat.spec       | 2 +-
 pandora_console/pandora_console.rhel7.spec        | 2 +-
 pandora_console/pandora_console.spec              | 2 +-
 pandora_server/DEBIAN/control                     | 2 +-
 pandora_server/DEBIAN/make_deb_package.sh         | 2 +-
 pandora_server/lib/PandoraFMS/Config.pm           | 2 +-
 pandora_server/lib/PandoraFMS/PluginTools.pm      | 2 +-
 pandora_server/pandora_server.redhat.spec         | 2 +-
 pandora_server/pandora_server.spec                | 2 +-
 pandora_server/pandora_server_installer           | 2 +-
 pandora_server/util/pandora_db.pl                 | 2 +-
 pandora_server/util/pandora_manage.pl             | 2 +-
 26 files changed, 26 insertions(+), 26 deletions(-)

diff --git a/pandora_agents/unix/DEBIAN/control b/pandora_agents/unix/DEBIAN/control
index 878d9c62c3..834fe2968f 100644
--- a/pandora_agents/unix/DEBIAN/control
+++ b/pandora_agents/unix/DEBIAN/control
@@ -1,5 +1,5 @@
 package: pandorafms-agent-unix
-Version: 7.0NG.773.3-230915
+Version: 7.0NG.773.3-230916
 Architecture: all
 Priority: optional
 Section: admin
diff --git a/pandora_agents/unix/DEBIAN/make_deb_package.sh b/pandora_agents/unix/DEBIAN/make_deb_package.sh
index fe35c853f6..4f3f71b8db 100644
--- a/pandora_agents/unix/DEBIAN/make_deb_package.sh
+++ b/pandora_agents/unix/DEBIAN/make_deb_package.sh
@@ -14,7 +14,7 @@
 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 # GNU General Public License for more details.
 
-pandora_version="7.0NG.773.3-230915"
+pandora_version="7.0NG.773.3-230916"
 
 echo "Test if you has the tools for to make the packages."
 whereis dpkg-deb | cut -d":" -f2 | grep dpkg-deb > /dev/null
diff --git a/pandora_agents/unix/pandora_agent b/pandora_agents/unix/pandora_agent
index b1aa799d15..8b7c1308a2 100755
--- a/pandora_agents/unix/pandora_agent
+++ b/pandora_agents/unix/pandora_agent
@@ -1031,7 +1031,7 @@ my $Sem = undef;
 my $ThreadSem = undef;
 
 use constant AGENT_VERSION => '7.0NG.773.3';
-use constant AGENT_BUILD => '230915';
+use constant AGENT_BUILD => '230916';
 
 # Agent log default file size maximum and instances
 use constant DEFAULT_MAX_LOG_SIZE => 600000;
diff --git a/pandora_agents/unix/pandora_agent.redhat.spec b/pandora_agents/unix/pandora_agent.redhat.spec
index 16db25b35c..090151e6da 100644
--- a/pandora_agents/unix/pandora_agent.redhat.spec
+++ b/pandora_agents/unix/pandora_agent.redhat.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_agent_linux
 %define version     7.0NG.773.3
-%define release     230915
+%define release     230916
 
 Summary:            Pandora FMS Linux agent, PERL version
 Name:               %{name}
diff --git a/pandora_agents/unix/pandora_agent.redhat_bin.spec b/pandora_agents/unix/pandora_agent.redhat_bin.spec
index 8242c8f2bf..5e521d8605 100644
--- a/pandora_agents/unix/pandora_agent.redhat_bin.spec
+++ b/pandora_agents/unix/pandora_agent.redhat_bin.spec
@@ -5,7 +5,7 @@
 %define name        pandorafms_agent_linux_bin
 %define source_name pandorafms_agent_linux
 %define version     7.0NG.773.3
-%define release     230915
+%define release     230916
 
 Summary:            Pandora FMS Linux agent, binary version
 Name:               %{name}
diff --git a/pandora_agents/unix/pandora_agent.spec b/pandora_agents/unix/pandora_agent.spec
index 2a631829e6..38530f1dfc 100644
--- a/pandora_agents/unix/pandora_agent.spec
+++ b/pandora_agents/unix/pandora_agent.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_agent_linux
 %define version     7.0NG.773.3
-%define release     230915
+%define release     230916
 
 Summary:            Pandora FMS Linux agent, PERL version
 Name:               %{name}
diff --git a/pandora_agents/unix/pandora_agent_installer b/pandora_agents/unix/pandora_agent_installer
index f21eb9e11f..14049e516b 100755
--- a/pandora_agents/unix/pandora_agent_installer
+++ b/pandora_agents/unix/pandora_agent_installer
@@ -10,7 +10,7 @@
 # **********************************************************************
 
 PI_VERSION="7.0NG.773.3"
-PI_BUILD="230915"
+PI_BUILD="230916"
 OS_NAME=`uname -s`
 
 FORCE=0
diff --git a/pandora_agents/win32/installer/pandora.mpi b/pandora_agents/win32/installer/pandora.mpi
index b04bc0ad08..151ab3273e 100644
--- a/pandora_agents/win32/installer/pandora.mpi
+++ b/pandora_agents/win32/installer/pandora.mpi
@@ -186,7 +186,7 @@ UpgradeApplicationID
 {}
 
 Version
-{230915}
+{230916}
 
 ViewReadme
 {Yes}
diff --git a/pandora_agents/win32/pandora.cc b/pandora_agents/win32/pandora.cc
index d2d54e337a..d3c2911d85 100644
--- a/pandora_agents/win32/pandora.cc
+++ b/pandora_agents/win32/pandora.cc
@@ -30,7 +30,7 @@ using namespace Pandora;
 using namespace Pandora_Strutils;
 
 #define PATH_SIZE    _MAX_PATH+1
-#define PANDORA_VERSION ("7.0NG.773.3 Build 230915")
+#define PANDORA_VERSION ("7.0NG.773.3 Build 230916")
 
 string pandora_path;
 string pandora_dir;
diff --git a/pandora_agents/win32/versioninfo.rc b/pandora_agents/win32/versioninfo.rc
index abddd843f8..0c33c235e9 100644
--- a/pandora_agents/win32/versioninfo.rc
+++ b/pandora_agents/win32/versioninfo.rc
@@ -11,7 +11,7 @@ BEGIN
       VALUE "LegalCopyright", "Pandora FMS"
       VALUE "OriginalFilename", "PandoraAgent.exe"
       VALUE "ProductName", "Pandora FMS Windows Agent"
-      VALUE "ProductVersion", "(7.0NG.773.3(Build 230915))"
+      VALUE "ProductVersion", "(7.0NG.773.3(Build 230916))"
       VALUE "FileVersion", "1.0.0.0"
     END
   END
diff --git a/pandora_console/DEBIAN/control b/pandora_console/DEBIAN/control
index a956cfd8a1..fac3ef7ba2 100644
--- a/pandora_console/DEBIAN/control
+++ b/pandora_console/DEBIAN/control
@@ -1,5 +1,5 @@
 package: pandorafms-console
-Version: 7.0NG.773.3-230915
+Version: 7.0NG.773.3-230916
 Architecture: all
 Priority: optional
 Section: admin
diff --git a/pandora_console/DEBIAN/make_deb_package.sh b/pandora_console/DEBIAN/make_deb_package.sh
index e38a9e2b88..a5c516c833 100644
--- a/pandora_console/DEBIAN/make_deb_package.sh
+++ b/pandora_console/DEBIAN/make_deb_package.sh
@@ -14,7 +14,7 @@
 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 # GNU General Public License for more details.
 
-pandora_version="7.0NG.773.3-230915"
+pandora_version="7.0NG.773.3-230916"
 
 package_pear=0
 package_pandora=1
diff --git a/pandora_console/include/config_process.php b/pandora_console/include/config_process.php
index 5c72351a8a..54e3e532bf 100644
--- a/pandora_console/include/config_process.php
+++ b/pandora_console/include/config_process.php
@@ -20,7 +20,7 @@
 /**
  * Pandora build version and version
  */
-$build_version = 'PC230915';
+$build_version = 'PC230916';
 $pandora_version = 'v7.0NG.773.3';
 
 // Do not overwrite default timezone set if defined.
diff --git a/pandora_console/install.php b/pandora_console/install.php
index 1b307ccdee..0af55eeb9a 100644
--- a/pandora_console/install.php
+++ b/pandora_console/install.php
@@ -131,7 +131,7 @@
         <div style='padding-bottom: 50px'>
             <?php
             $version = '7.0NG.773.3';
-            $build = '230915';
+            $build = '230916';
             $banner = "v$version Build $build";
             error_reporting(0);
 
diff --git a/pandora_console/pandora_console.redhat.spec b/pandora_console/pandora_console.redhat.spec
index 049372b3b2..04b6beecd5 100644
--- a/pandora_console/pandora_console.redhat.spec
+++ b/pandora_console/pandora_console.redhat.spec
@@ -3,7 +3,7 @@
 #
 %define name        pandorafms_console
 %define version     7.0NG.773.3
-%define release     230915
+%define release     230916
 
 # User and Group under which Apache is running
 %define httpd_name  httpd
diff --git a/pandora_console/pandora_console.rhel7.spec b/pandora_console/pandora_console.rhel7.spec
index 1f6c2c7ccc..ef6023cd4b 100644
--- a/pandora_console/pandora_console.rhel7.spec
+++ b/pandora_console/pandora_console.rhel7.spec
@@ -3,7 +3,7 @@
 #
 %define name        pandorafms_console
 %define version     7.0NG.773.3
-%define release     230915
+%define release     230916
 
 # User and Group under which Apache is running
 %define httpd_name  httpd
diff --git a/pandora_console/pandora_console.spec b/pandora_console/pandora_console.spec
index 1bc3dd8ecc..33ee1eaa44 100644
--- a/pandora_console/pandora_console.spec
+++ b/pandora_console/pandora_console.spec
@@ -3,7 +3,7 @@
 #
 %define name        pandorafms_console
 %define version     7.0NG.773.3
-%define release     230915
+%define release     230916
 %define httpd_name      httpd
 # User and Group under which Apache is running
 %define httpd_name  apache2
diff --git a/pandora_server/DEBIAN/control b/pandora_server/DEBIAN/control
index eebd8988c4..af3ef4c097 100644
--- a/pandora_server/DEBIAN/control
+++ b/pandora_server/DEBIAN/control
@@ -1,5 +1,5 @@
 package: pandorafms-server
-Version: 7.0NG.773.3-230915
+Version: 7.0NG.773.3-230916
 Architecture: all
 Priority: optional
 Section: admin
diff --git a/pandora_server/DEBIAN/make_deb_package.sh b/pandora_server/DEBIAN/make_deb_package.sh
index 30b88f96e9..627c554824 100644
--- a/pandora_server/DEBIAN/make_deb_package.sh
+++ b/pandora_server/DEBIAN/make_deb_package.sh
@@ -14,7 +14,7 @@
 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 # GNU General Public License for more details.
 
-pandora_version="7.0NG.773.3-230915"
+pandora_version="7.0NG.773.3-230916"
 
 package_cpan=0
 package_pandora=1
diff --git a/pandora_server/lib/PandoraFMS/Config.pm b/pandora_server/lib/PandoraFMS/Config.pm
index c9fbf2e249..7500dfaf7a 100644
--- a/pandora_server/lib/PandoraFMS/Config.pm
+++ b/pandora_server/lib/PandoraFMS/Config.pm
@@ -46,7 +46,7 @@ our @EXPORT = qw(
 
 # version: Defines actual version of Pandora Server for this module only
 my $pandora_version = "7.0NG.773.3";
-my $pandora_build = "230915";
+my $pandora_build = "230916";
 our $VERSION = $pandora_version." ".$pandora_build;
 
 # Setup hash
diff --git a/pandora_server/lib/PandoraFMS/PluginTools.pm b/pandora_server/lib/PandoraFMS/PluginTools.pm
index 101d0aea0f..213f5579df 100644
--- a/pandora_server/lib/PandoraFMS/PluginTools.pm
+++ b/pandora_server/lib/PandoraFMS/PluginTools.pm
@@ -34,7 +34,7 @@ our @ISA = qw(Exporter);
 
 # version: Defines actual version of Pandora Server for this module only
 my $pandora_version = "7.0NG.773.3";
-my $pandora_build = "230915";
+my $pandora_build = "230916";
 our $VERSION = $pandora_version." ".$pandora_build;
 
 our %EXPORT_TAGS = ( 'all' => [ qw() ] );
diff --git a/pandora_server/pandora_server.redhat.spec b/pandora_server/pandora_server.redhat.spec
index 5ad6e7fc88..e821899a7d 100644
--- a/pandora_server/pandora_server.redhat.spec
+++ b/pandora_server/pandora_server.redhat.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_server
 %define version     7.0NG.773.3
-%define release     230915
+%define release     230916
 
 Summary:            Pandora FMS Server
 Name:               %{name}
diff --git a/pandora_server/pandora_server.spec b/pandora_server/pandora_server.spec
index efe6d75e49..feda050268 100644
--- a/pandora_server/pandora_server.spec
+++ b/pandora_server/pandora_server.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_server
 %define version     7.0NG.773.3
-%define release     230915
+%define release     230916
 
 Summary:            Pandora FMS Server
 Name:               %{name}
diff --git a/pandora_server/pandora_server_installer b/pandora_server/pandora_server_installer
index b61a75df78..6fffddbef8 100755
--- a/pandora_server/pandora_server_installer
+++ b/pandora_server/pandora_server_installer
@@ -9,7 +9,7 @@
 # **********************************************************************
 
 PI_VERSION="7.0NG.773.3"
-PI_BUILD="230915"
+PI_BUILD="230916"
 
 MODE=$1
 if [ $# -gt 1 ]; then
diff --git a/pandora_server/util/pandora_db.pl b/pandora_server/util/pandora_db.pl
index 6434561772..e647c089e0 100755
--- a/pandora_server/util/pandora_db.pl
+++ b/pandora_server/util/pandora_db.pl
@@ -35,7 +35,7 @@ use PandoraFMS::Config;
 use PandoraFMS::DB;
 
 # version: define current version
-my $version = "7.0NG.773.3 Build 230915";
+my $version = "7.0NG.773.3 Build 230916";
 
 # Pandora server configuration
 my %conf;
diff --git a/pandora_server/util/pandora_manage.pl b/pandora_server/util/pandora_manage.pl
index 16672afb8c..3c318114f1 100755
--- a/pandora_server/util/pandora_manage.pl
+++ b/pandora_server/util/pandora_manage.pl
@@ -36,7 +36,7 @@ use Encode::Locale;
 Encode::Locale::decode_argv;
 
 # version: define current version
-my $version = "7.0NG.773.3 Build 230915";
+my $version = "7.0NG.773.3 Build 230916";
 
 # save program name for logging
 my $progname = basename($0);

From 4450f4d5fe9cdd27a83c12bf9f456dc5975e05d8 Mon Sep 17 00:00:00 2001
From: artica <artica.devel@gmail.com>
Date: Sun, 17 Sep 2023 01:00:20 +0200
Subject: [PATCH 32/41] Auto-updated build strings.

---
 pandora_agents/unix/DEBIAN/control                | 2 +-
 pandora_agents/unix/DEBIAN/make_deb_package.sh    | 2 +-
 pandora_agents/unix/pandora_agent                 | 2 +-
 pandora_agents/unix/pandora_agent.redhat.spec     | 2 +-
 pandora_agents/unix/pandora_agent.redhat_bin.spec | 2 +-
 pandora_agents/unix/pandora_agent.spec            | 2 +-
 pandora_agents/unix/pandora_agent_installer       | 2 +-
 pandora_agents/win32/installer/pandora.mpi        | 2 +-
 pandora_agents/win32/pandora.cc                   | 2 +-
 pandora_agents/win32/versioninfo.rc               | 2 +-
 pandora_console/DEBIAN/control                    | 2 +-
 pandora_console/DEBIAN/make_deb_package.sh        | 2 +-
 pandora_console/include/config_process.php        | 2 +-
 pandora_console/install.php                       | 2 +-
 pandora_console/pandora_console.redhat.spec       | 2 +-
 pandora_console/pandora_console.rhel7.spec        | 2 +-
 pandora_console/pandora_console.spec              | 2 +-
 pandora_server/DEBIAN/control                     | 2 +-
 pandora_server/DEBIAN/make_deb_package.sh         | 2 +-
 pandora_server/lib/PandoraFMS/Config.pm           | 2 +-
 pandora_server/lib/PandoraFMS/PluginTools.pm      | 2 +-
 pandora_server/pandora_server.redhat.spec         | 2 +-
 pandora_server/pandora_server.spec                | 2 +-
 pandora_server/pandora_server_installer           | 2 +-
 pandora_server/util/pandora_db.pl                 | 2 +-
 pandora_server/util/pandora_manage.pl             | 2 +-
 26 files changed, 26 insertions(+), 26 deletions(-)

diff --git a/pandora_agents/unix/DEBIAN/control b/pandora_agents/unix/DEBIAN/control
index 834fe2968f..ee343361a2 100644
--- a/pandora_agents/unix/DEBIAN/control
+++ b/pandora_agents/unix/DEBIAN/control
@@ -1,5 +1,5 @@
 package: pandorafms-agent-unix
-Version: 7.0NG.773.3-230916
+Version: 7.0NG.773.3-230917
 Architecture: all
 Priority: optional
 Section: admin
diff --git a/pandora_agents/unix/DEBIAN/make_deb_package.sh b/pandora_agents/unix/DEBIAN/make_deb_package.sh
index 4f3f71b8db..9a1b629a09 100644
--- a/pandora_agents/unix/DEBIAN/make_deb_package.sh
+++ b/pandora_agents/unix/DEBIAN/make_deb_package.sh
@@ -14,7 +14,7 @@
 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 # GNU General Public License for more details.
 
-pandora_version="7.0NG.773.3-230916"
+pandora_version="7.0NG.773.3-230917"
 
 echo "Test if you has the tools for to make the packages."
 whereis dpkg-deb | cut -d":" -f2 | grep dpkg-deb > /dev/null
diff --git a/pandora_agents/unix/pandora_agent b/pandora_agents/unix/pandora_agent
index 8b7c1308a2..76f2dfe97d 100755
--- a/pandora_agents/unix/pandora_agent
+++ b/pandora_agents/unix/pandora_agent
@@ -1031,7 +1031,7 @@ my $Sem = undef;
 my $ThreadSem = undef;
 
 use constant AGENT_VERSION => '7.0NG.773.3';
-use constant AGENT_BUILD => '230916';
+use constant AGENT_BUILD => '230917';
 
 # Agent log default file size maximum and instances
 use constant DEFAULT_MAX_LOG_SIZE => 600000;
diff --git a/pandora_agents/unix/pandora_agent.redhat.spec b/pandora_agents/unix/pandora_agent.redhat.spec
index 090151e6da..cae48fac33 100644
--- a/pandora_agents/unix/pandora_agent.redhat.spec
+++ b/pandora_agents/unix/pandora_agent.redhat.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_agent_linux
 %define version     7.0NG.773.3
-%define release     230916
+%define release     230917
 
 Summary:            Pandora FMS Linux agent, PERL version
 Name:               %{name}
diff --git a/pandora_agents/unix/pandora_agent.redhat_bin.spec b/pandora_agents/unix/pandora_agent.redhat_bin.spec
index 5e521d8605..4f5923b5bf 100644
--- a/pandora_agents/unix/pandora_agent.redhat_bin.spec
+++ b/pandora_agents/unix/pandora_agent.redhat_bin.spec
@@ -5,7 +5,7 @@
 %define name        pandorafms_agent_linux_bin
 %define source_name pandorafms_agent_linux
 %define version     7.0NG.773.3
-%define release     230916
+%define release     230917
 
 Summary:            Pandora FMS Linux agent, binary version
 Name:               %{name}
diff --git a/pandora_agents/unix/pandora_agent.spec b/pandora_agents/unix/pandora_agent.spec
index 38530f1dfc..3a47af1e03 100644
--- a/pandora_agents/unix/pandora_agent.spec
+++ b/pandora_agents/unix/pandora_agent.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_agent_linux
 %define version     7.0NG.773.3
-%define release     230916
+%define release     230917
 
 Summary:            Pandora FMS Linux agent, PERL version
 Name:               %{name}
diff --git a/pandora_agents/unix/pandora_agent_installer b/pandora_agents/unix/pandora_agent_installer
index 14049e516b..4def5b6687 100755
--- a/pandora_agents/unix/pandora_agent_installer
+++ b/pandora_agents/unix/pandora_agent_installer
@@ -10,7 +10,7 @@
 # **********************************************************************
 
 PI_VERSION="7.0NG.773.3"
-PI_BUILD="230916"
+PI_BUILD="230917"
 OS_NAME=`uname -s`
 
 FORCE=0
diff --git a/pandora_agents/win32/installer/pandora.mpi b/pandora_agents/win32/installer/pandora.mpi
index 151ab3273e..d0056f7d76 100644
--- a/pandora_agents/win32/installer/pandora.mpi
+++ b/pandora_agents/win32/installer/pandora.mpi
@@ -186,7 +186,7 @@ UpgradeApplicationID
 {}
 
 Version
-{230916}
+{230917}
 
 ViewReadme
 {Yes}
diff --git a/pandora_agents/win32/pandora.cc b/pandora_agents/win32/pandora.cc
index d3c2911d85..0b42350d2b 100644
--- a/pandora_agents/win32/pandora.cc
+++ b/pandora_agents/win32/pandora.cc
@@ -30,7 +30,7 @@ using namespace Pandora;
 using namespace Pandora_Strutils;
 
 #define PATH_SIZE    _MAX_PATH+1
-#define PANDORA_VERSION ("7.0NG.773.3 Build 230916")
+#define PANDORA_VERSION ("7.0NG.773.3 Build 230917")
 
 string pandora_path;
 string pandora_dir;
diff --git a/pandora_agents/win32/versioninfo.rc b/pandora_agents/win32/versioninfo.rc
index 0c33c235e9..a469196c67 100644
--- a/pandora_agents/win32/versioninfo.rc
+++ b/pandora_agents/win32/versioninfo.rc
@@ -11,7 +11,7 @@ BEGIN
       VALUE "LegalCopyright", "Pandora FMS"
       VALUE "OriginalFilename", "PandoraAgent.exe"
       VALUE "ProductName", "Pandora FMS Windows Agent"
-      VALUE "ProductVersion", "(7.0NG.773.3(Build 230916))"
+      VALUE "ProductVersion", "(7.0NG.773.3(Build 230917))"
       VALUE "FileVersion", "1.0.0.0"
     END
   END
diff --git a/pandora_console/DEBIAN/control b/pandora_console/DEBIAN/control
index fac3ef7ba2..199d84be64 100644
--- a/pandora_console/DEBIAN/control
+++ b/pandora_console/DEBIAN/control
@@ -1,5 +1,5 @@
 package: pandorafms-console
-Version: 7.0NG.773.3-230916
+Version: 7.0NG.773.3-230917
 Architecture: all
 Priority: optional
 Section: admin
diff --git a/pandora_console/DEBIAN/make_deb_package.sh b/pandora_console/DEBIAN/make_deb_package.sh
index a5c516c833..7f362dee33 100644
--- a/pandora_console/DEBIAN/make_deb_package.sh
+++ b/pandora_console/DEBIAN/make_deb_package.sh
@@ -14,7 +14,7 @@
 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 # GNU General Public License for more details.
 
-pandora_version="7.0NG.773.3-230916"
+pandora_version="7.0NG.773.3-230917"
 
 package_pear=0
 package_pandora=1
diff --git a/pandora_console/include/config_process.php b/pandora_console/include/config_process.php
index 54e3e532bf..ee539dc527 100644
--- a/pandora_console/include/config_process.php
+++ b/pandora_console/include/config_process.php
@@ -20,7 +20,7 @@
 /**
  * Pandora build version and version
  */
-$build_version = 'PC230916';
+$build_version = 'PC230917';
 $pandora_version = 'v7.0NG.773.3';
 
 // Do not overwrite default timezone set if defined.
diff --git a/pandora_console/install.php b/pandora_console/install.php
index 0af55eeb9a..3361f22cf7 100644
--- a/pandora_console/install.php
+++ b/pandora_console/install.php
@@ -131,7 +131,7 @@
         <div style='padding-bottom: 50px'>
             <?php
             $version = '7.0NG.773.3';
-            $build = '230916';
+            $build = '230917';
             $banner = "v$version Build $build";
             error_reporting(0);
 
diff --git a/pandora_console/pandora_console.redhat.spec b/pandora_console/pandora_console.redhat.spec
index 04b6beecd5..66f2b03cb4 100644
--- a/pandora_console/pandora_console.redhat.spec
+++ b/pandora_console/pandora_console.redhat.spec
@@ -3,7 +3,7 @@
 #
 %define name        pandorafms_console
 %define version     7.0NG.773.3
-%define release     230916
+%define release     230917
 
 # User and Group under which Apache is running
 %define httpd_name  httpd
diff --git a/pandora_console/pandora_console.rhel7.spec b/pandora_console/pandora_console.rhel7.spec
index ef6023cd4b..349cbb3a94 100644
--- a/pandora_console/pandora_console.rhel7.spec
+++ b/pandora_console/pandora_console.rhel7.spec
@@ -3,7 +3,7 @@
 #
 %define name        pandorafms_console
 %define version     7.0NG.773.3
-%define release     230916
+%define release     230917
 
 # User and Group under which Apache is running
 %define httpd_name  httpd
diff --git a/pandora_console/pandora_console.spec b/pandora_console/pandora_console.spec
index 33ee1eaa44..67092285ab 100644
--- a/pandora_console/pandora_console.spec
+++ b/pandora_console/pandora_console.spec
@@ -3,7 +3,7 @@
 #
 %define name        pandorafms_console
 %define version     7.0NG.773.3
-%define release     230916
+%define release     230917
 %define httpd_name      httpd
 # User and Group under which Apache is running
 %define httpd_name  apache2
diff --git a/pandora_server/DEBIAN/control b/pandora_server/DEBIAN/control
index af3ef4c097..aef0a2fcb2 100644
--- a/pandora_server/DEBIAN/control
+++ b/pandora_server/DEBIAN/control
@@ -1,5 +1,5 @@
 package: pandorafms-server
-Version: 7.0NG.773.3-230916
+Version: 7.0NG.773.3-230917
 Architecture: all
 Priority: optional
 Section: admin
diff --git a/pandora_server/DEBIAN/make_deb_package.sh b/pandora_server/DEBIAN/make_deb_package.sh
index 627c554824..f3d1b67f52 100644
--- a/pandora_server/DEBIAN/make_deb_package.sh
+++ b/pandora_server/DEBIAN/make_deb_package.sh
@@ -14,7 +14,7 @@
 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 # GNU General Public License for more details.
 
-pandora_version="7.0NG.773.3-230916"
+pandora_version="7.0NG.773.3-230917"
 
 package_cpan=0
 package_pandora=1
diff --git a/pandora_server/lib/PandoraFMS/Config.pm b/pandora_server/lib/PandoraFMS/Config.pm
index 7500dfaf7a..2d13452607 100644
--- a/pandora_server/lib/PandoraFMS/Config.pm
+++ b/pandora_server/lib/PandoraFMS/Config.pm
@@ -46,7 +46,7 @@ our @EXPORT = qw(
 
 # version: Defines actual version of Pandora Server for this module only
 my $pandora_version = "7.0NG.773.3";
-my $pandora_build = "230916";
+my $pandora_build = "230917";
 our $VERSION = $pandora_version." ".$pandora_build;
 
 # Setup hash
diff --git a/pandora_server/lib/PandoraFMS/PluginTools.pm b/pandora_server/lib/PandoraFMS/PluginTools.pm
index 213f5579df..15cffefe8e 100644
--- a/pandora_server/lib/PandoraFMS/PluginTools.pm
+++ b/pandora_server/lib/PandoraFMS/PluginTools.pm
@@ -34,7 +34,7 @@ our @ISA = qw(Exporter);
 
 # version: Defines actual version of Pandora Server for this module only
 my $pandora_version = "7.0NG.773.3";
-my $pandora_build = "230916";
+my $pandora_build = "230917";
 our $VERSION = $pandora_version." ".$pandora_build;
 
 our %EXPORT_TAGS = ( 'all' => [ qw() ] );
diff --git a/pandora_server/pandora_server.redhat.spec b/pandora_server/pandora_server.redhat.spec
index e821899a7d..9eaa7bad69 100644
--- a/pandora_server/pandora_server.redhat.spec
+++ b/pandora_server/pandora_server.redhat.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_server
 %define version     7.0NG.773.3
-%define release     230916
+%define release     230917
 
 Summary:            Pandora FMS Server
 Name:               %{name}
diff --git a/pandora_server/pandora_server.spec b/pandora_server/pandora_server.spec
index feda050268..75da62c3af 100644
--- a/pandora_server/pandora_server.spec
+++ b/pandora_server/pandora_server.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_server
 %define version     7.0NG.773.3
-%define release     230916
+%define release     230917
 
 Summary:            Pandora FMS Server
 Name:               %{name}
diff --git a/pandora_server/pandora_server_installer b/pandora_server/pandora_server_installer
index 6fffddbef8..3a9aeca9c3 100755
--- a/pandora_server/pandora_server_installer
+++ b/pandora_server/pandora_server_installer
@@ -9,7 +9,7 @@
 # **********************************************************************
 
 PI_VERSION="7.0NG.773.3"
-PI_BUILD="230916"
+PI_BUILD="230917"
 
 MODE=$1
 if [ $# -gt 1 ]; then
diff --git a/pandora_server/util/pandora_db.pl b/pandora_server/util/pandora_db.pl
index e647c089e0..2f39bb651a 100755
--- a/pandora_server/util/pandora_db.pl
+++ b/pandora_server/util/pandora_db.pl
@@ -35,7 +35,7 @@ use PandoraFMS::Config;
 use PandoraFMS::DB;
 
 # version: define current version
-my $version = "7.0NG.773.3 Build 230916";
+my $version = "7.0NG.773.3 Build 230917";
 
 # Pandora server configuration
 my %conf;
diff --git a/pandora_server/util/pandora_manage.pl b/pandora_server/util/pandora_manage.pl
index 3c318114f1..cd261196ed 100755
--- a/pandora_server/util/pandora_manage.pl
+++ b/pandora_server/util/pandora_manage.pl
@@ -36,7 +36,7 @@ use Encode::Locale;
 Encode::Locale::decode_argv;
 
 # version: define current version
-my $version = "7.0NG.773.3 Build 230916";
+my $version = "7.0NG.773.3 Build 230917";
 
 # save program name for logging
 my $progname = basename($0);

From 2c055a4488cef2d5c40181e5d602da46f7a4336e Mon Sep 17 00:00:00 2001
From: artica <artica.devel@gmail.com>
Date: Mon, 18 Sep 2023 01:00:20 +0200
Subject: [PATCH 33/41] Auto-updated build strings.

---
 pandora_agents/unix/DEBIAN/control                | 2 +-
 pandora_agents/unix/DEBIAN/make_deb_package.sh    | 2 +-
 pandora_agents/unix/pandora_agent                 | 2 +-
 pandora_agents/unix/pandora_agent.redhat.spec     | 2 +-
 pandora_agents/unix/pandora_agent.redhat_bin.spec | 2 +-
 pandora_agents/unix/pandora_agent.spec            | 2 +-
 pandora_agents/unix/pandora_agent_installer       | 2 +-
 pandora_agents/win32/installer/pandora.mpi        | 2 +-
 pandora_agents/win32/pandora.cc                   | 2 +-
 pandora_agents/win32/versioninfo.rc               | 2 +-
 pandora_console/DEBIAN/control                    | 2 +-
 pandora_console/DEBIAN/make_deb_package.sh        | 2 +-
 pandora_console/include/config_process.php        | 2 +-
 pandora_console/install.php                       | 2 +-
 pandora_console/pandora_console.redhat.spec       | 2 +-
 pandora_console/pandora_console.rhel7.spec        | 2 +-
 pandora_console/pandora_console.spec              | 2 +-
 pandora_server/DEBIAN/control                     | 2 +-
 pandora_server/DEBIAN/make_deb_package.sh         | 2 +-
 pandora_server/lib/PandoraFMS/Config.pm           | 2 +-
 pandora_server/lib/PandoraFMS/PluginTools.pm      | 2 +-
 pandora_server/pandora_server.redhat.spec         | 2 +-
 pandora_server/pandora_server.spec                | 2 +-
 pandora_server/pandora_server_installer           | 2 +-
 pandora_server/util/pandora_db.pl                 | 2 +-
 pandora_server/util/pandora_manage.pl             | 2 +-
 26 files changed, 26 insertions(+), 26 deletions(-)

diff --git a/pandora_agents/unix/DEBIAN/control b/pandora_agents/unix/DEBIAN/control
index ee343361a2..15a3c8aa3a 100644
--- a/pandora_agents/unix/DEBIAN/control
+++ b/pandora_agents/unix/DEBIAN/control
@@ -1,5 +1,5 @@
 package: pandorafms-agent-unix
-Version: 7.0NG.773.3-230917
+Version: 7.0NG.773.3-230918
 Architecture: all
 Priority: optional
 Section: admin
diff --git a/pandora_agents/unix/DEBIAN/make_deb_package.sh b/pandora_agents/unix/DEBIAN/make_deb_package.sh
index 9a1b629a09..19d297d948 100644
--- a/pandora_agents/unix/DEBIAN/make_deb_package.sh
+++ b/pandora_agents/unix/DEBIAN/make_deb_package.sh
@@ -14,7 +14,7 @@
 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 # GNU General Public License for more details.
 
-pandora_version="7.0NG.773.3-230917"
+pandora_version="7.0NG.773.3-230918"
 
 echo "Test if you has the tools for to make the packages."
 whereis dpkg-deb | cut -d":" -f2 | grep dpkg-deb > /dev/null
diff --git a/pandora_agents/unix/pandora_agent b/pandora_agents/unix/pandora_agent
index 76f2dfe97d..5037570912 100755
--- a/pandora_agents/unix/pandora_agent
+++ b/pandora_agents/unix/pandora_agent
@@ -1031,7 +1031,7 @@ my $Sem = undef;
 my $ThreadSem = undef;
 
 use constant AGENT_VERSION => '7.0NG.773.3';
-use constant AGENT_BUILD => '230917';
+use constant AGENT_BUILD => '230918';
 
 # Agent log default file size maximum and instances
 use constant DEFAULT_MAX_LOG_SIZE => 600000;
diff --git a/pandora_agents/unix/pandora_agent.redhat.spec b/pandora_agents/unix/pandora_agent.redhat.spec
index cae48fac33..6677779661 100644
--- a/pandora_agents/unix/pandora_agent.redhat.spec
+++ b/pandora_agents/unix/pandora_agent.redhat.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_agent_linux
 %define version     7.0NG.773.3
-%define release     230917
+%define release     230918
 
 Summary:            Pandora FMS Linux agent, PERL version
 Name:               %{name}
diff --git a/pandora_agents/unix/pandora_agent.redhat_bin.spec b/pandora_agents/unix/pandora_agent.redhat_bin.spec
index 4f5923b5bf..a75d35cfb9 100644
--- a/pandora_agents/unix/pandora_agent.redhat_bin.spec
+++ b/pandora_agents/unix/pandora_agent.redhat_bin.spec
@@ -5,7 +5,7 @@
 %define name        pandorafms_agent_linux_bin
 %define source_name pandorafms_agent_linux
 %define version     7.0NG.773.3
-%define release     230917
+%define release     230918
 
 Summary:            Pandora FMS Linux agent, binary version
 Name:               %{name}
diff --git a/pandora_agents/unix/pandora_agent.spec b/pandora_agents/unix/pandora_agent.spec
index 3a47af1e03..e707ff8128 100644
--- a/pandora_agents/unix/pandora_agent.spec
+++ b/pandora_agents/unix/pandora_agent.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_agent_linux
 %define version     7.0NG.773.3
-%define release     230917
+%define release     230918
 
 Summary:            Pandora FMS Linux agent, PERL version
 Name:               %{name}
diff --git a/pandora_agents/unix/pandora_agent_installer b/pandora_agents/unix/pandora_agent_installer
index 4def5b6687..b271ec08e6 100755
--- a/pandora_agents/unix/pandora_agent_installer
+++ b/pandora_agents/unix/pandora_agent_installer
@@ -10,7 +10,7 @@
 # **********************************************************************
 
 PI_VERSION="7.0NG.773.3"
-PI_BUILD="230917"
+PI_BUILD="230918"
 OS_NAME=`uname -s`
 
 FORCE=0
diff --git a/pandora_agents/win32/installer/pandora.mpi b/pandora_agents/win32/installer/pandora.mpi
index d0056f7d76..ab92079beb 100644
--- a/pandora_agents/win32/installer/pandora.mpi
+++ b/pandora_agents/win32/installer/pandora.mpi
@@ -186,7 +186,7 @@ UpgradeApplicationID
 {}
 
 Version
-{230917}
+{230918}
 
 ViewReadme
 {Yes}
diff --git a/pandora_agents/win32/pandora.cc b/pandora_agents/win32/pandora.cc
index 0b42350d2b..ef38786179 100644
--- a/pandora_agents/win32/pandora.cc
+++ b/pandora_agents/win32/pandora.cc
@@ -30,7 +30,7 @@ using namespace Pandora;
 using namespace Pandora_Strutils;
 
 #define PATH_SIZE    _MAX_PATH+1
-#define PANDORA_VERSION ("7.0NG.773.3 Build 230917")
+#define PANDORA_VERSION ("7.0NG.773.3 Build 230918")
 
 string pandora_path;
 string pandora_dir;
diff --git a/pandora_agents/win32/versioninfo.rc b/pandora_agents/win32/versioninfo.rc
index a469196c67..4aef0d0f2a 100644
--- a/pandora_agents/win32/versioninfo.rc
+++ b/pandora_agents/win32/versioninfo.rc
@@ -11,7 +11,7 @@ BEGIN
       VALUE "LegalCopyright", "Pandora FMS"
       VALUE "OriginalFilename", "PandoraAgent.exe"
       VALUE "ProductName", "Pandora FMS Windows Agent"
-      VALUE "ProductVersion", "(7.0NG.773.3(Build 230917))"
+      VALUE "ProductVersion", "(7.0NG.773.3(Build 230918))"
       VALUE "FileVersion", "1.0.0.0"
     END
   END
diff --git a/pandora_console/DEBIAN/control b/pandora_console/DEBIAN/control
index 199d84be64..929a9d30a6 100644
--- a/pandora_console/DEBIAN/control
+++ b/pandora_console/DEBIAN/control
@@ -1,5 +1,5 @@
 package: pandorafms-console
-Version: 7.0NG.773.3-230917
+Version: 7.0NG.773.3-230918
 Architecture: all
 Priority: optional
 Section: admin
diff --git a/pandora_console/DEBIAN/make_deb_package.sh b/pandora_console/DEBIAN/make_deb_package.sh
index 7f362dee33..9326b45e98 100644
--- a/pandora_console/DEBIAN/make_deb_package.sh
+++ b/pandora_console/DEBIAN/make_deb_package.sh
@@ -14,7 +14,7 @@
 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 # GNU General Public License for more details.
 
-pandora_version="7.0NG.773.3-230917"
+pandora_version="7.0NG.773.3-230918"
 
 package_pear=0
 package_pandora=1
diff --git a/pandora_console/include/config_process.php b/pandora_console/include/config_process.php
index ee539dc527..f8bbcad9ec 100644
--- a/pandora_console/include/config_process.php
+++ b/pandora_console/include/config_process.php
@@ -20,7 +20,7 @@
 /**
  * Pandora build version and version
  */
-$build_version = 'PC230917';
+$build_version = 'PC230918';
 $pandora_version = 'v7.0NG.773.3';
 
 // Do not overwrite default timezone set if defined.
diff --git a/pandora_console/install.php b/pandora_console/install.php
index 3361f22cf7..19c37a7d7e 100644
--- a/pandora_console/install.php
+++ b/pandora_console/install.php
@@ -131,7 +131,7 @@
         <div style='padding-bottom: 50px'>
             <?php
             $version = '7.0NG.773.3';
-            $build = '230917';
+            $build = '230918';
             $banner = "v$version Build $build";
             error_reporting(0);
 
diff --git a/pandora_console/pandora_console.redhat.spec b/pandora_console/pandora_console.redhat.spec
index 66f2b03cb4..61265bddfa 100644
--- a/pandora_console/pandora_console.redhat.spec
+++ b/pandora_console/pandora_console.redhat.spec
@@ -3,7 +3,7 @@
 #
 %define name        pandorafms_console
 %define version     7.0NG.773.3
-%define release     230917
+%define release     230918
 
 # User and Group under which Apache is running
 %define httpd_name  httpd
diff --git a/pandora_console/pandora_console.rhel7.spec b/pandora_console/pandora_console.rhel7.spec
index 349cbb3a94..d8e4bf603c 100644
--- a/pandora_console/pandora_console.rhel7.spec
+++ b/pandora_console/pandora_console.rhel7.spec
@@ -3,7 +3,7 @@
 #
 %define name        pandorafms_console
 %define version     7.0NG.773.3
-%define release     230917
+%define release     230918
 
 # User and Group under which Apache is running
 %define httpd_name  httpd
diff --git a/pandora_console/pandora_console.spec b/pandora_console/pandora_console.spec
index 67092285ab..bcd655e2e2 100644
--- a/pandora_console/pandora_console.spec
+++ b/pandora_console/pandora_console.spec
@@ -3,7 +3,7 @@
 #
 %define name        pandorafms_console
 %define version     7.0NG.773.3
-%define release     230917
+%define release     230918
 %define httpd_name      httpd
 # User and Group under which Apache is running
 %define httpd_name  apache2
diff --git a/pandora_server/DEBIAN/control b/pandora_server/DEBIAN/control
index aef0a2fcb2..19f2fbb59b 100644
--- a/pandora_server/DEBIAN/control
+++ b/pandora_server/DEBIAN/control
@@ -1,5 +1,5 @@
 package: pandorafms-server
-Version: 7.0NG.773.3-230917
+Version: 7.0NG.773.3-230918
 Architecture: all
 Priority: optional
 Section: admin
diff --git a/pandora_server/DEBIAN/make_deb_package.sh b/pandora_server/DEBIAN/make_deb_package.sh
index f3d1b67f52..39ee7fd114 100644
--- a/pandora_server/DEBIAN/make_deb_package.sh
+++ b/pandora_server/DEBIAN/make_deb_package.sh
@@ -14,7 +14,7 @@
 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 # GNU General Public License for more details.
 
-pandora_version="7.0NG.773.3-230917"
+pandora_version="7.0NG.773.3-230918"
 
 package_cpan=0
 package_pandora=1
diff --git a/pandora_server/lib/PandoraFMS/Config.pm b/pandora_server/lib/PandoraFMS/Config.pm
index 2d13452607..0dc572ebed 100644
--- a/pandora_server/lib/PandoraFMS/Config.pm
+++ b/pandora_server/lib/PandoraFMS/Config.pm
@@ -46,7 +46,7 @@ our @EXPORT = qw(
 
 # version: Defines actual version of Pandora Server for this module only
 my $pandora_version = "7.0NG.773.3";
-my $pandora_build = "230917";
+my $pandora_build = "230918";
 our $VERSION = $pandora_version." ".$pandora_build;
 
 # Setup hash
diff --git a/pandora_server/lib/PandoraFMS/PluginTools.pm b/pandora_server/lib/PandoraFMS/PluginTools.pm
index 15cffefe8e..0fe5e566c8 100644
--- a/pandora_server/lib/PandoraFMS/PluginTools.pm
+++ b/pandora_server/lib/PandoraFMS/PluginTools.pm
@@ -34,7 +34,7 @@ our @ISA = qw(Exporter);
 
 # version: Defines actual version of Pandora Server for this module only
 my $pandora_version = "7.0NG.773.3";
-my $pandora_build = "230917";
+my $pandora_build = "230918";
 our $VERSION = $pandora_version." ".$pandora_build;
 
 our %EXPORT_TAGS = ( 'all' => [ qw() ] );
diff --git a/pandora_server/pandora_server.redhat.spec b/pandora_server/pandora_server.redhat.spec
index 9eaa7bad69..4ae90a8296 100644
--- a/pandora_server/pandora_server.redhat.spec
+++ b/pandora_server/pandora_server.redhat.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_server
 %define version     7.0NG.773.3
-%define release     230917
+%define release     230918
 
 Summary:            Pandora FMS Server
 Name:               %{name}
diff --git a/pandora_server/pandora_server.spec b/pandora_server/pandora_server.spec
index 75da62c3af..5c1910854b 100644
--- a/pandora_server/pandora_server.spec
+++ b/pandora_server/pandora_server.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_server
 %define version     7.0NG.773.3
-%define release     230917
+%define release     230918
 
 Summary:            Pandora FMS Server
 Name:               %{name}
diff --git a/pandora_server/pandora_server_installer b/pandora_server/pandora_server_installer
index 3a9aeca9c3..21e1e1b47d 100755
--- a/pandora_server/pandora_server_installer
+++ b/pandora_server/pandora_server_installer
@@ -9,7 +9,7 @@
 # **********************************************************************
 
 PI_VERSION="7.0NG.773.3"
-PI_BUILD="230917"
+PI_BUILD="230918"
 
 MODE=$1
 if [ $# -gt 1 ]; then
diff --git a/pandora_server/util/pandora_db.pl b/pandora_server/util/pandora_db.pl
index 2f39bb651a..4f087de961 100755
--- a/pandora_server/util/pandora_db.pl
+++ b/pandora_server/util/pandora_db.pl
@@ -35,7 +35,7 @@ use PandoraFMS::Config;
 use PandoraFMS::DB;
 
 # version: define current version
-my $version = "7.0NG.773.3 Build 230917";
+my $version = "7.0NG.773.3 Build 230918";
 
 # Pandora server configuration
 my %conf;
diff --git a/pandora_server/util/pandora_manage.pl b/pandora_server/util/pandora_manage.pl
index cd261196ed..b841bc79ae 100755
--- a/pandora_server/util/pandora_manage.pl
+++ b/pandora_server/util/pandora_manage.pl
@@ -36,7 +36,7 @@ use Encode::Locale;
 Encode::Locale::decode_argv;
 
 # version: define current version
-my $version = "7.0NG.773.3 Build 230917";
+my $version = "7.0NG.773.3 Build 230918";
 
 # save program name for logging
 my $progname = basename($0);

From bed83f14069904f8a759b78067ce997f1d4342a9 Mon Sep 17 00:00:00 2001
From: Pablo Aragon <pablo.aragon@pandorafms.com>
Date: Mon, 18 Sep 2023 08:23:05 +0200
Subject: [PATCH 34/41] 11839-Add max in User->Block size pagination

---
 .../godmode/users/user_management.php          | 18 +++++++++++-------
 1 file changed, 11 insertions(+), 7 deletions(-)

diff --git a/pandora_console/godmode/users/user_management.php b/pandora_console/godmode/users/user_management.php
index 39995d52c2..0675c39be5 100644
--- a/pandora_console/godmode/users/user_management.php
+++ b/pandora_console/godmode/users/user_management.php
@@ -607,16 +607,20 @@ if (is_metaconsole() === true) {
     }
 }
 
+$performance_variables_control = (array) json_decode(io_safe_output($config['performance_variables_control']));
+
 $userManagementTable->rowclass['captions_blocksize_eventfilter'] = 'field_half_width';
 $userManagementTable->rowclass['fields_blocksize_eventfilter'] = 'field_half_width';
 $userManagementTable->data['captions_blocksize_eventfilter'][0] = __('Block size for pagination');
-$userManagementTable->data['fields_blocksize_eventfilter'][0] = html_print_input_text(
-    'block_size',
-    $user_info['block_size'],
-    '',
-    5,
-    5,
-    true
+$userManagementTable->data['fields_blocksize_eventfilter'][0] = html_print_input(
+    [
+        'type'   => 'number',
+        'size'   => 5,
+        'max'    => $performance_variables_control['block_size']->max,
+        'name'   => 'block_size',
+        'value'  => $user_info['block_size'],
+        'return' => true,
+    ]
 );
 
 if (is_metaconsole() === true && empty($user_info['metaconsole_default_event_filter']) !== true) {

From ca928bd4a42ef4f17bba91b4f38da7ab54ca72e0 Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Mon, 18 Sep 2023 09:41:53 +0200
Subject: [PATCH 35/41] #11807 new input interval in report hardening

---
 .../godmode/reporting/reporting_builder.item_editor.php         | 2 ++
 pandora_console/godmode/reporting/reporting_builder.php         | 2 ++
 2 files changed, 4 insertions(+)

diff --git a/pandora_console/godmode/reporting/reporting_builder.item_editor.php b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
index 9ec780017c..455a4fd7fe 100755
--- a/pandora_console/godmode/reporting/reporting_builder.item_editor.php
+++ b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
@@ -1065,6 +1065,7 @@ switch ($action) {
                 case 'scoring':
                     $group = $item['id_group'];
                     $recursion = $item['recursion'];
+                    $period = $item['period'];
                 break;
 
                 case 'evolution':
@@ -7660,6 +7661,7 @@ function chooseType() {
 
         case 'scoring':
             $("#row_group").show();
+            $('#row_period').show();
         break;
 
         case 'evolution':
diff --git a/pandora_console/godmode/reporting/reporting_builder.php b/pandora_console/godmode/reporting/reporting_builder.php
index 86baa43721..a2bd8fd6a4 100755
--- a/pandora_console/godmode/reporting/reporting_builder.php
+++ b/pandora_console/godmode/reporting/reporting_builder.php
@@ -2024,6 +2024,7 @@ switch ($action) {
 
                             case 'scoring':
                                 $values['id_group'] = get_parameter('combo_group');
+                                $values['period'] = get_parameter('period');
                                 $good_format = true;
                             break;
 
@@ -2944,6 +2945,7 @@ switch ($action) {
 
                             case 'scoring':
                                 $values['id_group'] = get_parameter('combo_group');
+                                $values['period'] = get_parameter('period');
                                 $good_format = true;
                             break;
 

From b167a4b4c5ea1fea66f1fdb0e112ab1eb9df7039 Mon Sep 17 00:00:00 2001
From: daniel <daniel.barbero@artica.es>
Date: Mon, 18 Sep 2023 11:55:01 +0200
Subject: [PATCH 36/41] fix error report sql pandora_enterprise#12072

---
 pandora_console/include/functions_db.php | 4 ++++
 1 file changed, 4 insertions(+)

diff --git a/pandora_console/include/functions_db.php b/pandora_console/include/functions_db.php
index e2091cc2c1..637257e764 100644
--- a/pandora_console/include/functions_db.php
+++ b/pandora_console/include/functions_db.php
@@ -2567,6 +2567,10 @@ function db_get_column_type(string $table, string $column='')
  */
 function db_validate_sql(string $sql, $server=false)
 {
+    if ($server == 0) {
+        $server = false;
+    }
+
     if ($server !== false && is_metaconsole() === true) {
         $setup = metaconsole_get_connection($server);
         if (metaconsole_connect($setup) !== NOERR) {

From adbbb688def8fe8f6f5934b0dea15a0b93c8f345 Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Mon, 18 Sep 2023 12:11:45 +0200
Subject: [PATCH 37/41] #12006 fixed interface in inventary widget

---
 .../lib/Dashboard/Widgets/inventory.php       | 44 +++++++++++--------
 1 file changed, 25 insertions(+), 19 deletions(-)

diff --git a/pandora_console/include/lib/Dashboard/Widgets/inventory.php b/pandora_console/include/lib/Dashboard/Widgets/inventory.php
index 67e527dcf0..fe0d5fe308 100644
--- a/pandora_console/include/lib/Dashboard/Widgets/inventory.php
+++ b/pandora_console/include/lib/Dashboard/Widgets/inventory.php
@@ -256,7 +256,7 @@ class InventoryWidget extends Widget
             'arguments' => [
                 'name'        => 'free_search',
                 'type'        => 'text',
-                'class'       => 'w100p',
+                'class'       => 'w96p',
                 'input_class' => 'flex-row',
                 'value'       => $values['freeSearch'],
                 'return'      => true,
@@ -612,7 +612,7 @@ class InventoryWidget extends Widget
                                 $table = ui_print_datatable(
                                     [
                                         'id'                  => $id_table,
-                                        'class'               => 'info_table w100p',
+                                        'class'               => 'info_table w96p',
                                         'style'               => 'width: 100%',
                                         'columns'             => $columns,
                                         'column_names'        => $columns,
@@ -642,8 +642,8 @@ class InventoryWidget extends Widget
                                     true,
                                     true,
                                     '',
-                                    'white-box-content w100p',
-                                    'box-shadow white_table_graph w100p',
+                                    'white-box-content w96p',
+                                    'box-shadow white_table_graph w96p',
                                     'images/arrow_down_green.png',
                                     'images/arrow_right_green.png',
                                     false,
@@ -666,8 +666,8 @@ class InventoryWidget extends Widget
                                 true,
                                 true,
                                 '',
-                                'white-box-content w100p',
-                                'box-shadow white_table_graph w100p',
+                                'white-box-content w96p',
+                                'box-shadow white_table_graph w96p',
                             );
                         }
 
@@ -682,7 +682,10 @@ class InventoryWidget extends Widget
                             '',
                             '',
                             false,
-                            false
+                            false,
+                            '',
+                            'white-box-content',
+                            'box-flat white_table_graph w96p'
                         );
                     }
                 } else {
@@ -729,7 +732,7 @@ class InventoryWidget extends Widget
                             $table = ui_print_datatable(
                                 [
                                     'id'                  => $id_table,
-                                    'class'               => 'info_table w100p',
+                                    'class'               => 'info_table w96p',
                                     'style'               => 'width: 100%',
                                     'columns'             => $columns,
                                     'column_names'        => $columns,
@@ -759,8 +762,8 @@ class InventoryWidget extends Widget
                                 true,
                                 true,
                                 '',
-                                'white-box-content w100p',
-                                'box-shadow white_table_graph w100p',
+                                'white-box-content w96p',
+                                'box-shadow white_table_graph w96p',
                                 'images/arrow_down_green.png',
                                 'images/arrow_right_green.png',
                                 false,
@@ -782,8 +785,8 @@ class InventoryWidget extends Widget
                                 true,
                                 true,
                                 '',
-                                'white-box-content w100p',
-                                'box-shadow white_table_graph w100p',
+                                'white-box-content w96p',
+                                'box-shadow white_table_graph w96p',
                             );
                         }
 
@@ -895,7 +898,7 @@ class InventoryWidget extends Widget
                             $table = ui_print_datatable(
                                 [
                                     'id'                  => $id_table,
-                                    'class'               => 'info_table w100p',
+                                    'class'               => 'info_table w96p',
                                     'style'               => 'width: 100%',
                                     'columns'             => $columns,
                                     'column_names'        => $columns,
@@ -925,8 +928,8 @@ class InventoryWidget extends Widget
                                 true,
                                 true,
                                 '',
-                                'white-box-content w100p',
-                                'box-shadow white_table_graph w100p',
+                                'white-box-content w96p',
+                                'box-shadow white_table_graph w96p',
                                 'images/arrow_down_green.png',
                                 'images/arrow_right_green.png',
                                 false,
@@ -947,7 +950,10 @@ class InventoryWidget extends Widget
                             '',
                             '',
                             false,
-                            false
+                            false,
+                            '',
+                            'white-box-content',
+                            'box-flat white_table_graph w96p'
                         );
                     }
                 } else {
@@ -986,7 +992,7 @@ class InventoryWidget extends Widget
                             $table = ui_print_datatable(
                                 [
                                     'id'                  => $id_table,
-                                    'class'               => 'info_table w100p',
+                                    'class'               => 'info_table w96p',
                                     'style'               => 'width: 100%',
                                     'columns'             => $columns,
                                     'column_names'        => $columns,
@@ -1022,7 +1028,7 @@ class InventoryWidget extends Widget
                             $table = ui_print_datatable(
                                 [
                                     'id'                  => $id_table,
-                                    'class'               => 'info_table w100p',
+                                    'class'               => 'info_table w96p',
                                     'style'               => 'width: 100%',
                                     'columns'             => $columns,
                                     'column_names'        => $columns,
@@ -1049,7 +1055,7 @@ class InventoryWidget extends Widget
             $id_agente = $inventory_id_agent;
             $agentes = [];
             $data = [];
-            $class = 'info_table w100p';
+            $class = 'info_table w96p';
             $style = 'width: 100%; font-size: 100px !important;';
             $ordering = true;
             $searching = false;

From 1bb1bb11b2cdaf02291f5a77036bd7596b6af25c Mon Sep 17 00:00:00 2001
From: artica <artica.devel@gmail.com>
Date: Tue, 19 Sep 2023 01:00:29 +0200
Subject: [PATCH 38/41] Auto-updated build strings.

---
 pandora_agents/unix/DEBIAN/control                | 2 +-
 pandora_agents/unix/DEBIAN/make_deb_package.sh    | 2 +-
 pandora_agents/unix/pandora_agent                 | 2 +-
 pandora_agents/unix/pandora_agent.redhat.spec     | 2 +-
 pandora_agents/unix/pandora_agent.redhat_bin.spec | 2 +-
 pandora_agents/unix/pandora_agent.spec            | 2 +-
 pandora_agents/unix/pandora_agent_installer       | 2 +-
 pandora_agents/win32/installer/pandora.mpi        | 2 +-
 pandora_agents/win32/pandora.cc                   | 2 +-
 pandora_agents/win32/versioninfo.rc               | 2 +-
 pandora_console/DEBIAN/control                    | 2 +-
 pandora_console/DEBIAN/make_deb_package.sh        | 2 +-
 pandora_console/include/config_process.php        | 2 +-
 pandora_console/install.php                       | 2 +-
 pandora_console/pandora_console.redhat.spec       | 2 +-
 pandora_console/pandora_console.rhel7.spec        | 2 +-
 pandora_console/pandora_console.spec              | 2 +-
 pandora_server/DEBIAN/control                     | 2 +-
 pandora_server/DEBIAN/make_deb_package.sh         | 2 +-
 pandora_server/lib/PandoraFMS/Config.pm           | 2 +-
 pandora_server/lib/PandoraFMS/PluginTools.pm      | 2 +-
 pandora_server/pandora_server.redhat.spec         | 2 +-
 pandora_server/pandora_server.spec                | 2 +-
 pandora_server/pandora_server_installer           | 2 +-
 pandora_server/util/pandora_db.pl                 | 2 +-
 pandora_server/util/pandora_manage.pl             | 2 +-
 26 files changed, 26 insertions(+), 26 deletions(-)

diff --git a/pandora_agents/unix/DEBIAN/control b/pandora_agents/unix/DEBIAN/control
index 15a3c8aa3a..11a313b32f 100644
--- a/pandora_agents/unix/DEBIAN/control
+++ b/pandora_agents/unix/DEBIAN/control
@@ -1,5 +1,5 @@
 package: pandorafms-agent-unix
-Version: 7.0NG.773.3-230918
+Version: 7.0NG.773.3-230919
 Architecture: all
 Priority: optional
 Section: admin
diff --git a/pandora_agents/unix/DEBIAN/make_deb_package.sh b/pandora_agents/unix/DEBIAN/make_deb_package.sh
index 19d297d948..7d00d115c0 100644
--- a/pandora_agents/unix/DEBIAN/make_deb_package.sh
+++ b/pandora_agents/unix/DEBIAN/make_deb_package.sh
@@ -14,7 +14,7 @@
 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 # GNU General Public License for more details.
 
-pandora_version="7.0NG.773.3-230918"
+pandora_version="7.0NG.773.3-230919"
 
 echo "Test if you has the tools for to make the packages."
 whereis dpkg-deb | cut -d":" -f2 | grep dpkg-deb > /dev/null
diff --git a/pandora_agents/unix/pandora_agent b/pandora_agents/unix/pandora_agent
index 5037570912..73f6c3aafd 100755
--- a/pandora_agents/unix/pandora_agent
+++ b/pandora_agents/unix/pandora_agent
@@ -1031,7 +1031,7 @@ my $Sem = undef;
 my $ThreadSem = undef;
 
 use constant AGENT_VERSION => '7.0NG.773.3';
-use constant AGENT_BUILD => '230918';
+use constant AGENT_BUILD => '230919';
 
 # Agent log default file size maximum and instances
 use constant DEFAULT_MAX_LOG_SIZE => 600000;
diff --git a/pandora_agents/unix/pandora_agent.redhat.spec b/pandora_agents/unix/pandora_agent.redhat.spec
index 6677779661..4f08389b5b 100644
--- a/pandora_agents/unix/pandora_agent.redhat.spec
+++ b/pandora_agents/unix/pandora_agent.redhat.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_agent_linux
 %define version     7.0NG.773.3
-%define release     230918
+%define release     230919
 
 Summary:            Pandora FMS Linux agent, PERL version
 Name:               %{name}
diff --git a/pandora_agents/unix/pandora_agent.redhat_bin.spec b/pandora_agents/unix/pandora_agent.redhat_bin.spec
index a75d35cfb9..771d5bd3c3 100644
--- a/pandora_agents/unix/pandora_agent.redhat_bin.spec
+++ b/pandora_agents/unix/pandora_agent.redhat_bin.spec
@@ -5,7 +5,7 @@
 %define name        pandorafms_agent_linux_bin
 %define source_name pandorafms_agent_linux
 %define version     7.0NG.773.3
-%define release     230918
+%define release     230919
 
 Summary:            Pandora FMS Linux agent, binary version
 Name:               %{name}
diff --git a/pandora_agents/unix/pandora_agent.spec b/pandora_agents/unix/pandora_agent.spec
index e707ff8128..250127e822 100644
--- a/pandora_agents/unix/pandora_agent.spec
+++ b/pandora_agents/unix/pandora_agent.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_agent_linux
 %define version     7.0NG.773.3
-%define release     230918
+%define release     230919
 
 Summary:            Pandora FMS Linux agent, PERL version
 Name:               %{name}
diff --git a/pandora_agents/unix/pandora_agent_installer b/pandora_agents/unix/pandora_agent_installer
index b271ec08e6..791ab189d0 100755
--- a/pandora_agents/unix/pandora_agent_installer
+++ b/pandora_agents/unix/pandora_agent_installer
@@ -10,7 +10,7 @@
 # **********************************************************************
 
 PI_VERSION="7.0NG.773.3"
-PI_BUILD="230918"
+PI_BUILD="230919"
 OS_NAME=`uname -s`
 
 FORCE=0
diff --git a/pandora_agents/win32/installer/pandora.mpi b/pandora_agents/win32/installer/pandora.mpi
index ab92079beb..d6e1cf4f85 100644
--- a/pandora_agents/win32/installer/pandora.mpi
+++ b/pandora_agents/win32/installer/pandora.mpi
@@ -186,7 +186,7 @@ UpgradeApplicationID
 {}
 
 Version
-{230918}
+{230919}
 
 ViewReadme
 {Yes}
diff --git a/pandora_agents/win32/pandora.cc b/pandora_agents/win32/pandora.cc
index ef38786179..2fc2b2e1c3 100644
--- a/pandora_agents/win32/pandora.cc
+++ b/pandora_agents/win32/pandora.cc
@@ -30,7 +30,7 @@ using namespace Pandora;
 using namespace Pandora_Strutils;
 
 #define PATH_SIZE    _MAX_PATH+1
-#define PANDORA_VERSION ("7.0NG.773.3 Build 230918")
+#define PANDORA_VERSION ("7.0NG.773.3 Build 230919")
 
 string pandora_path;
 string pandora_dir;
diff --git a/pandora_agents/win32/versioninfo.rc b/pandora_agents/win32/versioninfo.rc
index 4aef0d0f2a..696afe1baf 100644
--- a/pandora_agents/win32/versioninfo.rc
+++ b/pandora_agents/win32/versioninfo.rc
@@ -11,7 +11,7 @@ BEGIN
       VALUE "LegalCopyright", "Pandora FMS"
       VALUE "OriginalFilename", "PandoraAgent.exe"
       VALUE "ProductName", "Pandora FMS Windows Agent"
-      VALUE "ProductVersion", "(7.0NG.773.3(Build 230918))"
+      VALUE "ProductVersion", "(7.0NG.773.3(Build 230919))"
       VALUE "FileVersion", "1.0.0.0"
     END
   END
diff --git a/pandora_console/DEBIAN/control b/pandora_console/DEBIAN/control
index 929a9d30a6..5976825390 100644
--- a/pandora_console/DEBIAN/control
+++ b/pandora_console/DEBIAN/control
@@ -1,5 +1,5 @@
 package: pandorafms-console
-Version: 7.0NG.773.3-230918
+Version: 7.0NG.773.3-230919
 Architecture: all
 Priority: optional
 Section: admin
diff --git a/pandora_console/DEBIAN/make_deb_package.sh b/pandora_console/DEBIAN/make_deb_package.sh
index 9326b45e98..5c0625e968 100644
--- a/pandora_console/DEBIAN/make_deb_package.sh
+++ b/pandora_console/DEBIAN/make_deb_package.sh
@@ -14,7 +14,7 @@
 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 # GNU General Public License for more details.
 
-pandora_version="7.0NG.773.3-230918"
+pandora_version="7.0NG.773.3-230919"
 
 package_pear=0
 package_pandora=1
diff --git a/pandora_console/include/config_process.php b/pandora_console/include/config_process.php
index f8bbcad9ec..958654113b 100644
--- a/pandora_console/include/config_process.php
+++ b/pandora_console/include/config_process.php
@@ -20,7 +20,7 @@
 /**
  * Pandora build version and version
  */
-$build_version = 'PC230918';
+$build_version = 'PC230919';
 $pandora_version = 'v7.0NG.773.3';
 
 // Do not overwrite default timezone set if defined.
diff --git a/pandora_console/install.php b/pandora_console/install.php
index 19c37a7d7e..a5395109bb 100644
--- a/pandora_console/install.php
+++ b/pandora_console/install.php
@@ -131,7 +131,7 @@
         <div style='padding-bottom: 50px'>
             <?php
             $version = '7.0NG.773.3';
-            $build = '230918';
+            $build = '230919';
             $banner = "v$version Build $build";
             error_reporting(0);
 
diff --git a/pandora_console/pandora_console.redhat.spec b/pandora_console/pandora_console.redhat.spec
index 61265bddfa..806b26e8ef 100644
--- a/pandora_console/pandora_console.redhat.spec
+++ b/pandora_console/pandora_console.redhat.spec
@@ -3,7 +3,7 @@
 #
 %define name        pandorafms_console
 %define version     7.0NG.773.3
-%define release     230918
+%define release     230919
 
 # User and Group under which Apache is running
 %define httpd_name  httpd
diff --git a/pandora_console/pandora_console.rhel7.spec b/pandora_console/pandora_console.rhel7.spec
index d8e4bf603c..5ce36bca10 100644
--- a/pandora_console/pandora_console.rhel7.spec
+++ b/pandora_console/pandora_console.rhel7.spec
@@ -3,7 +3,7 @@
 #
 %define name        pandorafms_console
 %define version     7.0NG.773.3
-%define release     230918
+%define release     230919
 
 # User and Group under which Apache is running
 %define httpd_name  httpd
diff --git a/pandora_console/pandora_console.spec b/pandora_console/pandora_console.spec
index bcd655e2e2..a279b9fb2a 100644
--- a/pandora_console/pandora_console.spec
+++ b/pandora_console/pandora_console.spec
@@ -3,7 +3,7 @@
 #
 %define name        pandorafms_console
 %define version     7.0NG.773.3
-%define release     230918
+%define release     230919
 %define httpd_name      httpd
 # User and Group under which Apache is running
 %define httpd_name  apache2
diff --git a/pandora_server/DEBIAN/control b/pandora_server/DEBIAN/control
index 19f2fbb59b..7bb1127a7a 100644
--- a/pandora_server/DEBIAN/control
+++ b/pandora_server/DEBIAN/control
@@ -1,5 +1,5 @@
 package: pandorafms-server
-Version: 7.0NG.773.3-230918
+Version: 7.0NG.773.3-230919
 Architecture: all
 Priority: optional
 Section: admin
diff --git a/pandora_server/DEBIAN/make_deb_package.sh b/pandora_server/DEBIAN/make_deb_package.sh
index 39ee7fd114..e55e96ebf3 100644
--- a/pandora_server/DEBIAN/make_deb_package.sh
+++ b/pandora_server/DEBIAN/make_deb_package.sh
@@ -14,7 +14,7 @@
 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 # GNU General Public License for more details.
 
-pandora_version="7.0NG.773.3-230918"
+pandora_version="7.0NG.773.3-230919"
 
 package_cpan=0
 package_pandora=1
diff --git a/pandora_server/lib/PandoraFMS/Config.pm b/pandora_server/lib/PandoraFMS/Config.pm
index 0dc572ebed..fc190d0076 100644
--- a/pandora_server/lib/PandoraFMS/Config.pm
+++ b/pandora_server/lib/PandoraFMS/Config.pm
@@ -46,7 +46,7 @@ our @EXPORT = qw(
 
 # version: Defines actual version of Pandora Server for this module only
 my $pandora_version = "7.0NG.773.3";
-my $pandora_build = "230918";
+my $pandora_build = "230919";
 our $VERSION = $pandora_version." ".$pandora_build;
 
 # Setup hash
diff --git a/pandora_server/lib/PandoraFMS/PluginTools.pm b/pandora_server/lib/PandoraFMS/PluginTools.pm
index 0fe5e566c8..45ec49af8d 100644
--- a/pandora_server/lib/PandoraFMS/PluginTools.pm
+++ b/pandora_server/lib/PandoraFMS/PluginTools.pm
@@ -34,7 +34,7 @@ our @ISA = qw(Exporter);
 
 # version: Defines actual version of Pandora Server for this module only
 my $pandora_version = "7.0NG.773.3";
-my $pandora_build = "230918";
+my $pandora_build = "230919";
 our $VERSION = $pandora_version." ".$pandora_build;
 
 our %EXPORT_TAGS = ( 'all' => [ qw() ] );
diff --git a/pandora_server/pandora_server.redhat.spec b/pandora_server/pandora_server.redhat.spec
index 4ae90a8296..6a26b534ce 100644
--- a/pandora_server/pandora_server.redhat.spec
+++ b/pandora_server/pandora_server.redhat.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_server
 %define version     7.0NG.773.3
-%define release     230918
+%define release     230919
 
 Summary:            Pandora FMS Server
 Name:               %{name}
diff --git a/pandora_server/pandora_server.spec b/pandora_server/pandora_server.spec
index 5c1910854b..5e2ced5edd 100644
--- a/pandora_server/pandora_server.spec
+++ b/pandora_server/pandora_server.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_server
 %define version     7.0NG.773.3
-%define release     230918
+%define release     230919
 
 Summary:            Pandora FMS Server
 Name:               %{name}
diff --git a/pandora_server/pandora_server_installer b/pandora_server/pandora_server_installer
index 21e1e1b47d..cb4871df03 100755
--- a/pandora_server/pandora_server_installer
+++ b/pandora_server/pandora_server_installer
@@ -9,7 +9,7 @@
 # **********************************************************************
 
 PI_VERSION="7.0NG.773.3"
-PI_BUILD="230918"
+PI_BUILD="230919"
 
 MODE=$1
 if [ $# -gt 1 ]; then
diff --git a/pandora_server/util/pandora_db.pl b/pandora_server/util/pandora_db.pl
index 4f087de961..08a0226706 100755
--- a/pandora_server/util/pandora_db.pl
+++ b/pandora_server/util/pandora_db.pl
@@ -35,7 +35,7 @@ use PandoraFMS::Config;
 use PandoraFMS::DB;
 
 # version: define current version
-my $version = "7.0NG.773.3 Build 230918";
+my $version = "7.0NG.773.3 Build 230919";
 
 # Pandora server configuration
 my %conf;
diff --git a/pandora_server/util/pandora_manage.pl b/pandora_server/util/pandora_manage.pl
index b841bc79ae..0793c5297f 100755
--- a/pandora_server/util/pandora_manage.pl
+++ b/pandora_server/util/pandora_manage.pl
@@ -36,7 +36,7 @@ use Encode::Locale;
 Encode::Locale::decode_argv;
 
 # version: define current version
-my $version = "7.0NG.773.3 Build 230918";
+my $version = "7.0NG.773.3 Build 230919";
 
 # save program name for logging
 my $progname = basename($0);

From 592d7ab745cfe6d2ea5f96eabcea2ab416ba9827 Mon Sep 17 00:00:00 2001
From: Daniel Cebrian <daniel.cebrian@pandorafms.com>
Date: Tue, 19 Sep 2023 09:21:42 +0200
Subject: [PATCH 39/41] #11807 fixed empty field agent

---
 .../godmode/reporting/reporting_builder.item_editor.php       | 4 ++--
 1 file changed, 2 insertions(+), 2 deletions(-)

diff --git a/pandora_console/godmode/reporting/reporting_builder.item_editor.php b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
index 06279cd580..786ad13d0e 100755
--- a/pandora_console/godmode/reporting/reporting_builder.item_editor.php
+++ b/pandora_console/godmode/reporting/reporting_builder.item_editor.php
@@ -5546,7 +5546,7 @@ $(document).ready (function () {
                     }
             break;
             case 'list_checks':
-                if ($("#text-text_agent").val() == '') {
+                if ($("#text-agent").val() == '') {
                     dialog_message('#message_no_agent');
                     return false;
                 }
@@ -5700,7 +5700,7 @@ $(document).ready (function () {
                     }
             break;
             case 'list_checks':
-                if ($("#text-text_agent").val() == '') {
+                if ($("#text-agent").val() == '') {
                     dialog_message('#message_no_agent');
                     return false;
                 }

From 660957148241e9c1fade4f66a718f7a34522bf68 Mon Sep 17 00:00:00 2001
From: miguel angel rasteu <miguelangel.rasteu@pandorafms.com>
Date: Tue, 19 Sep 2023 17:21:44 +0200
Subject: [PATCH 40/41] #12089 Add nowrap class to timestamp

---
 pandora_console/include/functions_ui.php | 14 +++++++++++---
 1 file changed, 11 insertions(+), 3 deletions(-)

diff --git a/pandora_console/include/functions_ui.php b/pandora_console/include/functions_ui.php
index 3cb52cdbc0..6e5aaef69a 100755
--- a/pandora_console/include/functions_ui.php
+++ b/pandora_console/include/functions_ui.php
@@ -609,12 +609,20 @@ function ui_print_timestamp($unixtime, $return=false, $option=[])
         $tag = 'span';
     }
 
-    if (empty($option['style']) === true) {
-        $style = 'class="'.($option['class'] ?? 'nowrap').'"';
+    if (empty($option['class']) === false) {
+        $class = 'class="nowrap '.$option['class'].'"';
     } else {
-        $style = 'style="'.$option['style'].'"';
+        $class = 'class="nowrap"';
     }
 
+    if (empty($option['style']) === false) {
+        $style = 'style="'.$option['style'].'"';
+    } else {
+        $style = 'style=""';
+    }
+
+    $style .= ' '.$class;
+
     if (empty($option['prominent']) === false) {
         $prominent = $option['prominent'];
     } else {

From 92b8446110635301c3deaa1066f0174efb18fb04 Mon Sep 17 00:00:00 2001
From: artica <artica.devel@gmail.com>
Date: Wed, 20 Sep 2023 01:00:27 +0200
Subject: [PATCH 41/41] Auto-updated build strings.

---
 pandora_agents/unix/DEBIAN/control                | 2 +-
 pandora_agents/unix/DEBIAN/make_deb_package.sh    | 2 +-
 pandora_agents/unix/pandora_agent                 | 2 +-
 pandora_agents/unix/pandora_agent.redhat.spec     | 2 +-
 pandora_agents/unix/pandora_agent.redhat_bin.spec | 2 +-
 pandora_agents/unix/pandora_agent.spec            | 2 +-
 pandora_agents/unix/pandora_agent_installer       | 2 +-
 pandora_agents/win32/installer/pandora.mpi        | 2 +-
 pandora_agents/win32/pandora.cc                   | 2 +-
 pandora_agents/win32/versioninfo.rc               | 2 +-
 pandora_console/DEBIAN/control                    | 2 +-
 pandora_console/DEBIAN/make_deb_package.sh        | 2 +-
 pandora_console/include/config_process.php        | 2 +-
 pandora_console/install.php                       | 2 +-
 pandora_console/pandora_console.redhat.spec       | 2 +-
 pandora_console/pandora_console.rhel7.spec        | 2 +-
 pandora_console/pandora_console.spec              | 2 +-
 pandora_server/DEBIAN/control                     | 2 +-
 pandora_server/DEBIAN/make_deb_package.sh         | 2 +-
 pandora_server/lib/PandoraFMS/Config.pm           | 2 +-
 pandora_server/lib/PandoraFMS/PluginTools.pm      | 2 +-
 pandora_server/pandora_server.redhat.spec         | 2 +-
 pandora_server/pandora_server.spec                | 2 +-
 pandora_server/pandora_server_installer           | 2 +-
 pandora_server/util/pandora_db.pl                 | 2 +-
 pandora_server/util/pandora_manage.pl             | 2 +-
 26 files changed, 26 insertions(+), 26 deletions(-)

diff --git a/pandora_agents/unix/DEBIAN/control b/pandora_agents/unix/DEBIAN/control
index 11a313b32f..a589e1a0c0 100644
--- a/pandora_agents/unix/DEBIAN/control
+++ b/pandora_agents/unix/DEBIAN/control
@@ -1,5 +1,5 @@
 package: pandorafms-agent-unix
-Version: 7.0NG.773.3-230919
+Version: 7.0NG.773.3-230920
 Architecture: all
 Priority: optional
 Section: admin
diff --git a/pandora_agents/unix/DEBIAN/make_deb_package.sh b/pandora_agents/unix/DEBIAN/make_deb_package.sh
index 7d00d115c0..eba86c9733 100644
--- a/pandora_agents/unix/DEBIAN/make_deb_package.sh
+++ b/pandora_agents/unix/DEBIAN/make_deb_package.sh
@@ -14,7 +14,7 @@
 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 # GNU General Public License for more details.
 
-pandora_version="7.0NG.773.3-230919"
+pandora_version="7.0NG.773.3-230920"
 
 echo "Test if you has the tools for to make the packages."
 whereis dpkg-deb | cut -d":" -f2 | grep dpkg-deb > /dev/null
diff --git a/pandora_agents/unix/pandora_agent b/pandora_agents/unix/pandora_agent
index 73f6c3aafd..7ec3052669 100755
--- a/pandora_agents/unix/pandora_agent
+++ b/pandora_agents/unix/pandora_agent
@@ -1031,7 +1031,7 @@ my $Sem = undef;
 my $ThreadSem = undef;
 
 use constant AGENT_VERSION => '7.0NG.773.3';
-use constant AGENT_BUILD => '230919';
+use constant AGENT_BUILD => '230920';
 
 # Agent log default file size maximum and instances
 use constant DEFAULT_MAX_LOG_SIZE => 600000;
diff --git a/pandora_agents/unix/pandora_agent.redhat.spec b/pandora_agents/unix/pandora_agent.redhat.spec
index 4f08389b5b..72745dabf3 100644
--- a/pandora_agents/unix/pandora_agent.redhat.spec
+++ b/pandora_agents/unix/pandora_agent.redhat.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_agent_linux
 %define version     7.0NG.773.3
-%define release     230919
+%define release     230920
 
 Summary:            Pandora FMS Linux agent, PERL version
 Name:               %{name}
diff --git a/pandora_agents/unix/pandora_agent.redhat_bin.spec b/pandora_agents/unix/pandora_agent.redhat_bin.spec
index 771d5bd3c3..62149a1d3c 100644
--- a/pandora_agents/unix/pandora_agent.redhat_bin.spec
+++ b/pandora_agents/unix/pandora_agent.redhat_bin.spec
@@ -5,7 +5,7 @@
 %define name        pandorafms_agent_linux_bin
 %define source_name pandorafms_agent_linux
 %define version     7.0NG.773.3
-%define release     230919
+%define release     230920
 
 Summary:            Pandora FMS Linux agent, binary version
 Name:               %{name}
diff --git a/pandora_agents/unix/pandora_agent.spec b/pandora_agents/unix/pandora_agent.spec
index 250127e822..aea35e8db1 100644
--- a/pandora_agents/unix/pandora_agent.spec
+++ b/pandora_agents/unix/pandora_agent.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_agent_linux
 %define version     7.0NG.773.3
-%define release     230919
+%define release     230920
 
 Summary:            Pandora FMS Linux agent, PERL version
 Name:               %{name}
diff --git a/pandora_agents/unix/pandora_agent_installer b/pandora_agents/unix/pandora_agent_installer
index 791ab189d0..dd201308ba 100755
--- a/pandora_agents/unix/pandora_agent_installer
+++ b/pandora_agents/unix/pandora_agent_installer
@@ -10,7 +10,7 @@
 # **********************************************************************
 
 PI_VERSION="7.0NG.773.3"
-PI_BUILD="230919"
+PI_BUILD="230920"
 OS_NAME=`uname -s`
 
 FORCE=0
diff --git a/pandora_agents/win32/installer/pandora.mpi b/pandora_agents/win32/installer/pandora.mpi
index d6e1cf4f85..33f0eec4a9 100644
--- a/pandora_agents/win32/installer/pandora.mpi
+++ b/pandora_agents/win32/installer/pandora.mpi
@@ -186,7 +186,7 @@ UpgradeApplicationID
 {}
 
 Version
-{230919}
+{230920}
 
 ViewReadme
 {Yes}
diff --git a/pandora_agents/win32/pandora.cc b/pandora_agents/win32/pandora.cc
index 2fc2b2e1c3..f9299a70fc 100644
--- a/pandora_agents/win32/pandora.cc
+++ b/pandora_agents/win32/pandora.cc
@@ -30,7 +30,7 @@ using namespace Pandora;
 using namespace Pandora_Strutils;
 
 #define PATH_SIZE    _MAX_PATH+1
-#define PANDORA_VERSION ("7.0NG.773.3 Build 230919")
+#define PANDORA_VERSION ("7.0NG.773.3 Build 230920")
 
 string pandora_path;
 string pandora_dir;
diff --git a/pandora_agents/win32/versioninfo.rc b/pandora_agents/win32/versioninfo.rc
index 696afe1baf..0f575db3e1 100644
--- a/pandora_agents/win32/versioninfo.rc
+++ b/pandora_agents/win32/versioninfo.rc
@@ -11,7 +11,7 @@ BEGIN
       VALUE "LegalCopyright", "Pandora FMS"
       VALUE "OriginalFilename", "PandoraAgent.exe"
       VALUE "ProductName", "Pandora FMS Windows Agent"
-      VALUE "ProductVersion", "(7.0NG.773.3(Build 230919))"
+      VALUE "ProductVersion", "(7.0NG.773.3(Build 230920))"
       VALUE "FileVersion", "1.0.0.0"
     END
   END
diff --git a/pandora_console/DEBIAN/control b/pandora_console/DEBIAN/control
index 5976825390..f3fb008266 100644
--- a/pandora_console/DEBIAN/control
+++ b/pandora_console/DEBIAN/control
@@ -1,5 +1,5 @@
 package: pandorafms-console
-Version: 7.0NG.773.3-230919
+Version: 7.0NG.773.3-230920
 Architecture: all
 Priority: optional
 Section: admin
diff --git a/pandora_console/DEBIAN/make_deb_package.sh b/pandora_console/DEBIAN/make_deb_package.sh
index 5c0625e968..68bfb73c96 100644
--- a/pandora_console/DEBIAN/make_deb_package.sh
+++ b/pandora_console/DEBIAN/make_deb_package.sh
@@ -14,7 +14,7 @@
 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 # GNU General Public License for more details.
 
-pandora_version="7.0NG.773.3-230919"
+pandora_version="7.0NG.773.3-230920"
 
 package_pear=0
 package_pandora=1
diff --git a/pandora_console/include/config_process.php b/pandora_console/include/config_process.php
index 958654113b..1aa04e2dd1 100644
--- a/pandora_console/include/config_process.php
+++ b/pandora_console/include/config_process.php
@@ -20,7 +20,7 @@
 /**
  * Pandora build version and version
  */
-$build_version = 'PC230919';
+$build_version = 'PC230920';
 $pandora_version = 'v7.0NG.773.3';
 
 // Do not overwrite default timezone set if defined.
diff --git a/pandora_console/install.php b/pandora_console/install.php
index a5395109bb..02d7d042c7 100644
--- a/pandora_console/install.php
+++ b/pandora_console/install.php
@@ -131,7 +131,7 @@
         <div style='padding-bottom: 50px'>
             <?php
             $version = '7.0NG.773.3';
-            $build = '230919';
+            $build = '230920';
             $banner = "v$version Build $build";
             error_reporting(0);
 
diff --git a/pandora_console/pandora_console.redhat.spec b/pandora_console/pandora_console.redhat.spec
index 806b26e8ef..c2bb116901 100644
--- a/pandora_console/pandora_console.redhat.spec
+++ b/pandora_console/pandora_console.redhat.spec
@@ -3,7 +3,7 @@
 #
 %define name        pandorafms_console
 %define version     7.0NG.773.3
-%define release     230919
+%define release     230920
 
 # User and Group under which Apache is running
 %define httpd_name  httpd
diff --git a/pandora_console/pandora_console.rhel7.spec b/pandora_console/pandora_console.rhel7.spec
index 5ce36bca10..c820107758 100644
--- a/pandora_console/pandora_console.rhel7.spec
+++ b/pandora_console/pandora_console.rhel7.spec
@@ -3,7 +3,7 @@
 #
 %define name        pandorafms_console
 %define version     7.0NG.773.3
-%define release     230919
+%define release     230920
 
 # User and Group under which Apache is running
 %define httpd_name  httpd
diff --git a/pandora_console/pandora_console.spec b/pandora_console/pandora_console.spec
index a279b9fb2a..e2f3536d52 100644
--- a/pandora_console/pandora_console.spec
+++ b/pandora_console/pandora_console.spec
@@ -3,7 +3,7 @@
 #
 %define name        pandorafms_console
 %define version     7.0NG.773.3
-%define release     230919
+%define release     230920
 %define httpd_name      httpd
 # User and Group under which Apache is running
 %define httpd_name  apache2
diff --git a/pandora_server/DEBIAN/control b/pandora_server/DEBIAN/control
index 7bb1127a7a..35ed8b22fb 100644
--- a/pandora_server/DEBIAN/control
+++ b/pandora_server/DEBIAN/control
@@ -1,5 +1,5 @@
 package: pandorafms-server
-Version: 7.0NG.773.3-230919
+Version: 7.0NG.773.3-230920
 Architecture: all
 Priority: optional
 Section: admin
diff --git a/pandora_server/DEBIAN/make_deb_package.sh b/pandora_server/DEBIAN/make_deb_package.sh
index e55e96ebf3..67e020b084 100644
--- a/pandora_server/DEBIAN/make_deb_package.sh
+++ b/pandora_server/DEBIAN/make_deb_package.sh
@@ -14,7 +14,7 @@
 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 # GNU General Public License for more details.
 
-pandora_version="7.0NG.773.3-230919"
+pandora_version="7.0NG.773.3-230920"
 
 package_cpan=0
 package_pandora=1
diff --git a/pandora_server/lib/PandoraFMS/Config.pm b/pandora_server/lib/PandoraFMS/Config.pm
index fc190d0076..3a654b2605 100644
--- a/pandora_server/lib/PandoraFMS/Config.pm
+++ b/pandora_server/lib/PandoraFMS/Config.pm
@@ -46,7 +46,7 @@ our @EXPORT = qw(
 
 # version: Defines actual version of Pandora Server for this module only
 my $pandora_version = "7.0NG.773.3";
-my $pandora_build = "230919";
+my $pandora_build = "230920";
 our $VERSION = $pandora_version." ".$pandora_build;
 
 # Setup hash
diff --git a/pandora_server/lib/PandoraFMS/PluginTools.pm b/pandora_server/lib/PandoraFMS/PluginTools.pm
index 45ec49af8d..5794c8e0f7 100644
--- a/pandora_server/lib/PandoraFMS/PluginTools.pm
+++ b/pandora_server/lib/PandoraFMS/PluginTools.pm
@@ -34,7 +34,7 @@ our @ISA = qw(Exporter);
 
 # version: Defines actual version of Pandora Server for this module only
 my $pandora_version = "7.0NG.773.3";
-my $pandora_build = "230919";
+my $pandora_build = "230920";
 our $VERSION = $pandora_version." ".$pandora_build;
 
 our %EXPORT_TAGS = ( 'all' => [ qw() ] );
diff --git a/pandora_server/pandora_server.redhat.spec b/pandora_server/pandora_server.redhat.spec
index 6a26b534ce..314a1d1b0f 100644
--- a/pandora_server/pandora_server.redhat.spec
+++ b/pandora_server/pandora_server.redhat.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_server
 %define version     7.0NG.773.3
-%define release     230919
+%define release     230920
 
 Summary:            Pandora FMS Server
 Name:               %{name}
diff --git a/pandora_server/pandora_server.spec b/pandora_server/pandora_server.spec
index 5e2ced5edd..654c2ef7f6 100644
--- a/pandora_server/pandora_server.spec
+++ b/pandora_server/pandora_server.spec
@@ -4,7 +4,7 @@
 %global __os_install_post %{nil}
 %define name        pandorafms_server
 %define version     7.0NG.773.3
-%define release     230919
+%define release     230920
 
 Summary:            Pandora FMS Server
 Name:               %{name}
diff --git a/pandora_server/pandora_server_installer b/pandora_server/pandora_server_installer
index cb4871df03..6790673e24 100755
--- a/pandora_server/pandora_server_installer
+++ b/pandora_server/pandora_server_installer
@@ -9,7 +9,7 @@
 # **********************************************************************
 
 PI_VERSION="7.0NG.773.3"
-PI_BUILD="230919"
+PI_BUILD="230920"
 
 MODE=$1
 if [ $# -gt 1 ]; then
diff --git a/pandora_server/util/pandora_db.pl b/pandora_server/util/pandora_db.pl
index 08a0226706..a78e036eba 100755
--- a/pandora_server/util/pandora_db.pl
+++ b/pandora_server/util/pandora_db.pl
@@ -35,7 +35,7 @@ use PandoraFMS::Config;
 use PandoraFMS::DB;
 
 # version: define current version
-my $version = "7.0NG.773.3 Build 230919";
+my $version = "7.0NG.773.3 Build 230920";
 
 # Pandora server configuration
 my %conf;
diff --git a/pandora_server/util/pandora_manage.pl b/pandora_server/util/pandora_manage.pl
index 0793c5297f..ba3091f219 100755
--- a/pandora_server/util/pandora_manage.pl
+++ b/pandora_server/util/pandora_manage.pl
@@ -36,7 +36,7 @@ use Encode::Locale;
 Encode::Locale::decode_argv;
 
 # version: define current version
-my $version = "7.0NG.773.3 Build 230919";
+my $version = "7.0NG.773.3 Build 230920";
 
 # save program name for logging
 my $progname = basename($0);