From 75b035261ff0f8fcec9e243742d1104732d70609 Mon Sep 17 00:00:00 2001
From: Jonathan <jonathan.leon@pandorafms.com>
Date: Tue, 17 Oct 2023 12:52:40 +0200
Subject: [PATCH 1/3] #12256 remove id and check duplicate before insert

---
 pandora_console/extras/mr/65.sql | 57 ++++++++++++++++++++++++++------
 1 file changed, 47 insertions(+), 10 deletions(-)

diff --git a/pandora_console/extras/mr/65.sql b/pandora_console/extras/mr/65.sql
index 290c9a3972..451f4822ae 100644
--- a/pandora_console/extras/mr/65.sql
+++ b/pandora_console/extras/mr/65.sql
@@ -78,14 +78,6 @@ ALTER TABLE `tmetaconsole_agent` ADD COLUMN `disabled_by_downtime` TINYINT NOT N
 
 DELETE FROM tconfig WHERE token = 'refr';
 
-INSERT INTO `tmodule_inventory` (`id_module_inventory`, `id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) VALUES (37,2,'CPU','CPU','','Brand;Clock;Model','',0,2);
-
-INSERT INTO `tmodule_inventory` (`id_module_inventory`, `id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) VALUES (38,2,'RAM','RAM','','Size','',0,2);
-
-INSERT INTO `tmodule_inventory` (`id_module_inventory`, `id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) VALUES (39,2,'NIC','NIC','','NIC;Mac;Speed','',0,2);
-
-INSERT INTO `tmodule_inventory` (`id_module_inventory`, `id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) VALUES (40,2,'Software','Software','','PKGINST;VERSION;NAME','',0,2);
-
 ALTER TABLE `treport_content`  ADD COLUMN `period_range` INT NULL DEFAULT 0 AFTER `period`;
 
 CREATE TABLE IF NOT EXISTS `tevent_comment` (
@@ -217,9 +209,54 @@ INSERT INTO `tsca` VALUES (26339,'Ensure&#x20;&#039;Do&#x20;not&#x20;allow&#x20;
 INSERT INTO `tsca` VALUES (28058,'Ensure&#x20;VSFTP&#x20;Server&#x20;is&#x20;not&#x20;installed.','FTP&#x20;&#40;File&#x20;Transfer&#x20;Protocol&#41;&#x20;is&#x20;a&#x20;traditional&#x20;and&#x20;widely&#x20;used&#x20;standard&#x20;tool&#x20;for&#x20;transferring&#x20;files&#x20;between&#x20;a&#x20;server&#x20;and&#x20;clients&#x20;over&#x20;a&#x20;network,&#x20;especially&#x20;where&#x20;no&#x20;authentication&#x20;is&#x20;necessary&#x20;&#40;permits&#x20;anonymous&#x20;users&#x20;to&#x20;connect&#x20;to&#x20;a&#x20;server&#41;.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;vsftpd:&#x20;#&#x20;dnf&#x20;remove&#x20;vsftpd.','[{\"cis\": [\"2.2.6\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28059,'Ensure&#x20;TFTP&#x20;Server&#x20;is&#x20;not&#x20;installed.','Trivial&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;TFTP&#41;&#x20;is&#x20;a&#x20;simple&#x20;protocol&#x20;for&#x20;exchanging&#x20;files&#x20;between&#x20;two&#x20;TCP/IP&#x20;machines.&#x20;TFTP&#x20;servers&#x20;allow&#x20;connections&#x20;from&#x20;a&#x20;TFTP&#x20;Client&#x20;for&#x20;sending&#x20;and&#x20;receiving&#x20;files.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;TFTP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.&#x20;TFTP&#x20;does&#x20;not&#x20;have&#x20;built-in&#x20;encryption,&#x20;access&#x20;control&#x20;or&#x20;authentication.&#x20;This&#x20;makes&#x20;it&#x20;very&#x20;easy&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;exploit&#x20;TFTP&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;files.','TFTP&#x20;is&#x20;often&#x20;used&#x20;to&#x20;provide&#x20;files&#x20;for&#x20;network&#x20;booting&#x20;such&#x20;as&#x20;for&#x20;PXE&#x20;based&#x20;installation&#x20;of&#x20;servers.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;tftp-server:&#x20;#&#x20;dnf&#x20;remove&#x20;tftp-server.','[{\"cis\": [\"2.2.7\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28060,'Ensure&#x20;a&#x20;web&#x20;server&#x20;is&#x20;not&#x20;installed.','Web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;packages&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.&#x20;Note:&#x20;Several&#x20;http&#x20;servers&#x20;exist.&#x20;They&#x20;should&#x20;also&#x20;be&#x20;audited,&#x20;and&#x20;removed,&#x20;if&#x20;not&#x20;required.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;httpd&#x20;and&#x20;nginx:&#x20;#&#x20;dnf&#x20;remove&#x20;httpd&#x20;nginx.','[{\"cis\": [\"2.2.8\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28061,'Ensure&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;is&#x20;not&#x20;installed.','dovecot&#x20;is&#x20;an&#x20;open&#x20;source&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;POP3&#x20;and/or&#x20;IMAP&#x20;servers&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;by&#x20;this&#x20;system,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.&#x20;Note:&#x20;Several&#x20;IMAP/POP3&#x20;servers&#x20;exist&#x20;and&#x20;can&#x20;use&#x20;other&#x20;service&#x20;names.&#x20;These&#x20;should&#x20;also&#x20;be&#x20;audited&#x20;and&#x20;the&#x20;packages&#x20;removed&#x20;if&#x20;not&#x20;required.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;dovecot&#x20;and&#x20;cyrus-imapd:&#x20;#&#x20;dnf&#x20;remove&#x20;dovecot&#x20;cyrus-imapd.','[{\"cis\": [\"2.2.9\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28062,'Ensure&#x20;Samba&#x20;is&#x20;not&#x20;installed.','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Server&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.&#x20;Windows&#x20;desktop&#x20;users&#x20;will&#x20;be&#x20;able&#x20;to&#x20;mount&#x20;these&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;as&#x20;letter&#x20;drives&#x20;on&#x20;their&#x20;systems.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;package&#x20;can&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;samba:&#x20;#&#x20;dnf&#x20;remove&#x20;samba.','[{\"cis\": [\"2.2.10\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1005\", \"T1039\", \"T1083\", \"T1135\", \"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28063,'Ensure&#x20;HTTP&#x20;Proxy&#x20;Server&#x20;is&#x20;not&#x20;installed.','Squid&#x20;is&#x20;a&#x20;standard&#x20;proxy&#x20;server&#x20;used&#x20;in&#x20;many&#x20;distributions&#x20;and&#x20;environments.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;set&#x20;up&#x20;to&#x20;act&#x20;as&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.&#x20;Note:&#x20;Several&#x20;HTTP&#x20;proxy&#x20;servers&#x20;exist.&#x20;These&#x20;should&#x20;be&#x20;checked&#x20;and&#x20;removed&#x20;unless&#x20;required.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;squid&#x20;package:&#x20;#&#x20;dnf&#x20;remove&#x20;squid.','[{\"cis\": [\"2.2.11\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28064,'Ensure&#x20;net-snmp&#x20;is&#x20;not&#x20;installed.','Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;is&#x20;a&#x20;widely&#x20;used&#x20;protocol&#x20;for&#x20;monitoring&#x20;the&#x20;health&#x20;and&#x20;welfare&#x20;of&#x20;network&#x20;equipment,&#x20;computer&#x20;equipment&#x20;and&#x20;devices&#x20;like&#x20;UPSs.&#x20;Net-SNMP&#x20;is&#x20;a&#x20;suite&#x20;of&#x20;applications&#x20;used&#x20;to&#x20;implement&#x20;SNMPv1&#x20;&#40;RFC&#x20;1157&#41;,&#x20;SNMPv2&#x20;&#40;RFCs&#x20;1901-1908&#41;,&#x20;and&#x20;SNMPv3&#x20;&#40;RFCs&#x20;3411-3418&#41;&#x20;using&#x20;both&#x20;IPv4&#x20;and&#x20;IPv6.&#x20;Support&#x20;for&#x20;SNMPv2&#x20;classic&#x20;&#40;a.k.a.&#x20;&quot;SNMPv2&#x20;historic&quot;&#x20;-&#x20;RFCs&#x20;1441-1452&#41;&#x20;was&#x20;dropped&#x20;with&#x20;the&#x20;4.0&#x20;release&#x20;of&#x20;the&#x20;UCD-snmp&#x20;package.&#x20;The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;can&#x20;communicate&#x20;using&#x20;SNMPv1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;SNMPv3&#x20;replaces&#x20;the&#x20;simple/clear&#x20;text&#x20;password&#x20;sharing&#x20;used&#x20;in&#x20;SNMPv2&#x20;with&#x20;more&#x20;securely&#x20;encoded&#x20;parameters.&#x20;If&#x20;the&#x20;the&#x20;SNMP&#x20;service&#x20;is&#x20;not&#x20;required,&#x20;the&#x20;net-snmp&#x20;package&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;Note:&#x20;If&#x20;SNMP&#x20;is&#x20;required:&#x20;-&#x20;The&#x20;server&#x20;should&#x20;be&#x20;configured&#x20;for&#x20;SNMP&#x20;v3&#x20;only.&#x20;User&#x20;Authentication&#x20;and&#x20;Message&#x20;Encryption&#x20;should&#x20;be&#x20;configured.&#x20;-&#x20;If&#x20;SNMP&#x20;v2&#x20;is&#x20;absolutely&#x20;necessary,&#x20;modify&#x20;the&#x20;community&#x20;strings&#039;&#x20;values.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;net-snmpd:&#x20;#&#x20;dnf&#x20;remove&#x20;net-snmp.','[{\"cis\": [\"2.2.12\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"2.6\", \"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.12.5.1\", \"A.12.6.2\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28065,'Ensure&#x20;telnet-server&#x20;is&#x20;not&#x20;installed.','The&#x20;telnet-server&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;daemon,&#x20;which&#x20;accepts&#x20;connections&#x20;from&#x20;users&#x20;from&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;a&#x20;user&#x20;with&#x20;access&#x20;to&#x20;sniff&#x20;network&#x20;traffic&#x20;the&#x20;ability&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;telnet-server&#x20;package:&#x20;#&#x20;dnf&#x20;remove&#x20;telnet-server.','[{\"cis\": [\"2.2.13\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"2.6\", \"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.12.5.1\", \"A.12.6.2\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28066,'Ensure&#x20;dnsmasq&#x20;is&#x20;not&#x20;installed.','dnsmasq&#x20;is&#x20;a&#x20;lightweight&#x20;tool&#x20;that&#x20;provides&#x20;DNS&#x20;caching,&#x20;DNS&#x20;forwarding&#x20;and&#x20;DHCP&#x20;&#40;Dynamic&#x20;Host&#x20;Configuration&#x20;Protocol&#41;&#x20;services.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;designated&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DNS&#x20;caching,&#x20;DNS&#x20;forwarding&#x20;and/or&#x20;DHCP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;dnsmasq:&#x20;#&#x20;dnf&#x20;remove&#x20;dnsmasq.','[{\"cis\": [\"2.2.14\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28067,'Ensure&#x20;mail&#x20;transfer&#x20;agent&#x20;is&#x20;configured&#x20;for&#x20;local-only&#x20;mode.','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','The&#x20;software&#x20;for&#x20;all&#x20;Mail&#x20;Transfer&#x20;Agents&#x20;is&#x20;complex&#x20;and&#x20;most&#x20;have&#x20;a&#x20;long&#x20;history&#x20;of&#x20;security&#x20;issues.&#x20;While&#x20;it&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;system&#x20;can&#x20;process&#x20;local&#x20;mail&#x20;messages,&#x20;it&#x20;is&#x20;not&#x20;necessary&#x20;to&#x20;have&#x20;the&#x20;MTA&#039;s&#x20;daemon&#x20;listening&#x20;on&#x20;a&#x20;port&#x20;unless&#x20;the&#x20;server&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server&#x20;that&#x20;receives&#x20;and&#x20;processes&#x20;mail&#x20;from&#x20;other&#x20;systems.&#x20;Note:&#x20;-&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;postfix&#x20;mail&#x20;server.&#x20;-&#x20;Depending&#x20;on&#x20;your&#x20;environment&#x20;you&#x20;may&#x20;have&#x20;an&#x20;alternative&#x20;MTA&#x20;installed&#x20;such&#x20;as&#x20;sendmail.&#x20;If&#x20;this&#x20;is&#x20;the&#x20;case&#x20;consult&#x20;the&#x20;documentation&#x20;for&#x20;your&#x20;installed&#x20;MTA&#x20;to&#x20;configure&#x20;the&#x20;recommended&#x20;state.','','Edit&#x20;/etc/postfix/main.cf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;RECEIVING&#x20;MAIL&#x20;section.&#x20;If&#x20;the&#x20;line&#x20;already&#x20;exists,&#x20;change&#x20;it&#x20;to&#x20;look&#x20;like&#x20;the&#x20;line&#x20;below:&#x20;inet_interfaces&#x20;=&#x20;loopback-only.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;postfix:&#x20;#&#x20;systemctl&#x20;restart&#x20;postfix.','[{\"cis\": [\"2.2.15\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1018\", \"T1210\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28068,'Ensure&#x20;nfs-utils&#x20;is&#x20;not&#x20;installed&#x20;or&#x20;the&#x20;nfs-server&#x20;service&#x20;is&#x20;masked.','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;require&#x20;network&#x20;shares,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;nfs-utils&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','Many&#x20;of&#x20;the&#x20;libvirt&#x20;packages&#x20;used&#x20;by&#x20;Enterprise&#x20;Linux&#x20;virtualization&#x20;are&#x20;dependent&#x20;on&#x20;the&#x20;nfs-utils&#x20;package.&#x20;If&#x20;the&#x20;nfs-utils&#x20;package&#x20;is&#x20;required&#x20;as&#x20;a&#x20;dependency,&#x20;the&#x20;nfs-server&#x20;service&#x20;should&#x20;be&#x20;disabled&#x20;and&#x20;masked&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nfs-utils:&#x20;#&#x20;dnf&#x20;remove&#x20;nfs-utils&#x20;OR&#x20;If&#x20;the&#x20;nfs-utils&#x20;package&#x20;is&#x20;required&#x20;as&#x20;a&#x20;dependency,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;the&#x20;nfs-server&#x20;service:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;nfs-server.','[{\"cis\": [\"2.2.16\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1005\", \"T1039\", \"T1083\", \"T1135\", \"T1210\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28069,'Ensure&#x20;rpcbind&#x20;is&#x20;not&#x20;installed&#x20;or&#x20;the&#x20;rpcbind&#x20;services&#x20;are&#x20;masked.','The&#x20;rpcbind&#x20;utility&#x20;maps&#x20;RPC&#x20;services&#x20;to&#x20;the&#x20;ports&#x20;on&#x20;which&#x20;they&#x20;listen.&#x20;RPC&#x20;processes&#x20;notify&#x20;rpcbind&#x20;when&#x20;they&#x20;start,&#x20;registering&#x20;the&#x20;ports&#x20;they&#x20;are&#x20;listening&#x20;on&#x20;and&#x20;the&#x20;RPC&#x20;program&#x20;numbers&#x20;they&#x20;expect&#x20;to&#x20;serve.&#x20;The&#x20;client&#x20;system&#x20;then&#x20;contacts&#x20;rpcbind&#x20;on&#x20;the&#x20;server&#x20;with&#x20;a&#x20;particular&#x20;RPC&#x20;program&#x20;number.&#x20;The&#x20;rpcbind&#x20;service&#x20;redirects&#x20;the&#x20;client&#x20;to&#x20;the&#x20;proper&#x20;port&#x20;number&#x20;so&#x20;it&#x20;can&#x20;communicate&#x20;with&#x20;the&#x20;requested&#x20;service.&#x20;Portmapper&#x20;is&#x20;an&#x20;RPC&#x20;service,&#x20;which&#x20;always&#x20;listens&#x20;on&#x20;tcp&#x20;and&#x20;udp&#x20;111,&#x20;and&#x20;is&#x20;used&#x20;to&#x20;map&#x20;other&#x20;RPC&#x20;services&#x20;&#40;such&#x20;as&#x20;nfs,&#x20;nlockmgr,&#x20;quotad,&#x20;mountd,&#x20;etc.&#41;&#x20;to&#x20;their&#x20;corresponding&#x20;port&#x20;number&#x20;on&#x20;the&#x20;server.&#x20;When&#x20;a&#x20;remote&#x20;host&#x20;makes&#x20;an&#x20;RPC&#x20;call&#x20;to&#x20;that&#x20;server,&#x20;it&#x20;first&#x20;consults&#x20;with&#x20;portmap&#x20;to&#x20;determine&#x20;where&#x20;the&#x20;RPC&#x20;server&#x20;is&#x20;listening.','A&#x20;small&#x20;request&#x20;&#40;~82&#x20;bytes&#x20;via&#x20;UDP&#41;&#x20;sent&#x20;to&#x20;the&#x20;Portmapper&#x20;generates&#x20;a&#x20;large&#x20;response&#x20;&#40;7x&#x20;to&#x20;28x&#x20;amplification&#41;,&#x20;which&#x20;makes&#x20;it&#x20;a&#x20;suitable&#x20;tool&#x20;for&#x20;DDoS&#x20;attacks.&#x20;If&#x20;rpcbind&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;rpcbind&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','Many&#x20;of&#x20;the&#x20;libvirt&#x20;packages&#x20;used&#x20;by&#x20;Enterprise&#x20;Linux&#x20;virtualization,&#x20;and&#x20;the&#x20;nfs-utils&#x20;package&#x20;used&#x20;for&#x20;The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;,&#x20;are&#x20;dependent&#x20;on&#x20;the&#x20;rpcbind&#x20;package.&#x20;If&#x20;the&#x20;rpcbind&#x20;package&#x20;is&#x20;required&#x20;as&#x20;a&#x20;dependency,&#x20;the&#x20;services&#x20;rpcbind.service&#x20;and&#x20;rpcbind.socket&#x20;should&#x20;be&#x20;stopped&#x20;and&#x20;masked&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;rpcbind:&#x20;#&#x20;dnf&#x20;remove&#x20;rpcbind&#x20;OR&#x20;If&#x20;the&#x20;rpcbind&#x20;package&#x20;is&#x20;required&#x20;as&#x20;a&#x20;dependency,&#x20;run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;the&#x20;rpcbind.service&#x20;and&#x20;rpcbind.socket&#x20;systemd&#x20;units:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;rpcbind.service&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;rpcbind.socket.','[{\"cis\": [\"2.2.17\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1498\", \"T1498.002\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28070,'Ensure&#x20;rsync-daemon&#x20;is&#x20;not&#x20;installed&#x20;or&#x20;the&#x20;rsyncd&#x20;service&#x20;is&#x20;masked.','The&#x20;rsyncd&#x20;service&#x20;can&#x20;be&#x20;used&#x20;to&#x20;synchronize&#x20;files&#x20;between&#x20;systems&#x20;over&#x20;network&#x20;links.','Unless&#x20;required,&#x20;the&#x20;rsync-daemon&#x20;package&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;area&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;rsyncd&#x20;service&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.&#x20;Note:&#x20;If&#x20;a&#x20;required&#x20;dependency&#x20;exists&#x20;for&#x20;the&#x20;rsync-daemon&#x20;package,&#x20;but&#x20;the&#x20;rsyncd&#x20;service&#x20;is&#x20;not&#x20;required,&#x20;the&#x20;service&#x20;should&#x20;be&#x20;masked.','There&#x20;are&#x20;packages&#x20;that&#x20;are&#x20;dependent&#x20;on&#x20;the&#x20;rsync&#x20;package.&#x20;If&#x20;the&#x20;rsync&#x20;package&#x20;is&#x20;removed,&#x20;these&#x20;packages&#x20;will&#x20;be&#x20;removed&#x20;as&#x20;well.&#x20;Before&#x20;removing&#x20;the&#x20;rsync-daemon&#x20;package,&#x20;review&#x20;any&#x20;dependent&#x20;packages&#x20;to&#x20;determine&#x20;if&#x20;they&#x20;are&#x20;required&#x20;on&#x20;the&#x20;system.&#x20;If&#x20;a&#x20;dependent&#x20;package&#x20;is&#x20;required,&#x20;mask&#x20;the&#x20;rsyncd&#x20;service&#x20;and&#x20;leave&#x20;the&#x20;rsync-daemon&#x20;package&#x20;installed.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;rsync&#x20;package:&#x20;#&#x20;dnf&#x20;remove&#x20;rsync-daemon&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;mask&#x20;the&#x20;rsyncd&#x20;service:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;rsyncd.','[{\"cis\": [\"2.2.18\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1105\", \"T1203\", \"T1210\", \"T1543\", \"T1543.002\", \"T1570\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28071,'Ensure&#x20;telnet&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;telnet&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;client,&#x20;which&#x20;allows&#x20;users&#x20;to&#x20;start&#x20;connections&#x20;to&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security&#x20;and&#x20;is&#x20;included&#x20;in&#x20;most&#x20;Linux&#x20;distributions.','Many&#x20;insecure&#x20;service&#x20;clients&#x20;are&#x20;used&#x20;as&#x20;troubleshooting&#x20;tools&#x20;and&#x20;in&#x20;testing&#x20;environments.&#x20;Uninstalling&#x20;them&#x20;can&#x20;inhibit&#x20;capability&#x20;to&#x20;test&#x20;and&#x20;troubleshoot.&#x20;If&#x20;they&#x20;are&#x20;required&#x20;it&#x20;is&#x20;advisable&#x20;to&#x20;remove&#x20;the&#x20;clients&#x20;after&#x20;use&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;intentional&#x20;misuse.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;telnet&#x20;package:&#x20;#&#x20;dnf&#x20;remove&#x20;telnet.','[{\"cis\": [\"2.3.1\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"2.6\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.12.5.1\", \"A.12.6.2\"]}, {\"mitre_techniques\": [\"T1040\", \"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0006\", \"TA0008\"]}, {\"mitre_mitigations\": [\"M1041\", \"M1042\"]}]'),(28072,'Ensure&#x20;LDAP&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','Removing&#x20;the&#x20;LDAP&#x20;client&#x20;will&#x20;prevent&#x20;or&#x20;inhibit&#x20;using&#x20;LDAP&#x20;for&#x20;authentication&#x20;in&#x20;your&#x20;environment.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;openldap-clients&#x20;package:&#x20;#&#x20;dnf&#x20;remove&#x20;openldap-clients.','[{\"cis\": [\"2.3.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"2.6\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.12.5.1\", \"A.12.6.2\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28073,'Ensure&#x20;TFTP&#x20;client&#x20;is&#x20;not&#x20;installed.','Trivial&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;TFTP&#41;&#x20;is&#x20;a&#x20;simple&#x20;protocol&#x20;for&#x20;exchanging&#x20;files&#x20;between&#x20;two&#x20;TCP/IP&#x20;machines.&#x20;TFTP&#x20;servers&#x20;allow&#x20;connections&#x20;from&#x20;a&#x20;TFTP&#x20;Client&#x20;for&#x20;sending&#x20;and&#x20;receiving&#x20;files.','TFTP&#x20;does&#x20;not&#x20;have&#x20;built-in&#x20;encryption,&#x20;access&#x20;control&#x20;or&#x20;authentication.&#x20;This&#x20;makes&#x20;it&#x20;very&#x20;easy&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;exploit&#x20;TFTP&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;files.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;tftp:&#x20;#&#x20;dnf&#x20;remove&#x20;tftp.','[{\"cis\": [\"2.3.3\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28074,'Ensure&#x20;FTP&#x20;client&#x20;is&#x20;not&#x20;installed.','FTP&#x20;&#40;File&#x20;Transfer&#x20;Protocol&#41;&#x20;is&#x20;a&#x20;traditional&#x20;and&#x20;widely&#x20;used&#x20;standard&#x20;tool&#x20;for&#x20;transferring&#x20;files&#x20;between&#x20;a&#x20;server&#x20;and&#x20;clients&#x20;over&#x20;a&#x20;network,&#x20;especially&#x20;where&#x20;no&#x20;authentication&#x20;is&#x20;necessary&#x20;&#40;permits&#x20;anonymous&#x20;users&#x20;to&#x20;connect&#x20;to&#x20;a&#x20;server&#41;.','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;SFTP&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ftp:&#x20;#&#x20;dnf&#x20;remove&#x20;ftp.','[{\"cis\": [\"2.3.4\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28075,'Ensure&#x20;nftables&#x20;is&#x20;installed.','nftables&#x20;provides&#x20;a&#x20;new&#x20;in-kernel&#x20;packet&#x20;classification&#x20;framework&#x20;that&#x20;is&#x20;based&#x20;on&#x20;a&#x20;network-specific&#x20;Virtual&#x20;Machine&#x20;&#40;VM&#41;&#x20;and&#x20;a&#x20;new&#x20;nft&#x20;userspace&#x20;command&#x20;line&#x20;tool.&#x20;nftables&#x20;reuses&#x20;the&#x20;existing&#x20;Netfilter&#x20;subsystems&#x20;such&#x20;as&#x20;the&#x20;existing&#x20;hook&#x20;infrastructure,&#x20;the&#x20;connection&#x20;tracking&#x20;system,&#x20;NAT,&#x20;userspace&#x20;queuing&#x20;and&#x20;logging&#x20;subsystem.','nftables&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;Linux&#x20;kernel&#x20;that&#x20;can&#x20;protect&#x20;against&#x20;threats&#x20;originating&#x20;from&#x20;within&#x20;a&#x20;corporate&#x20;network&#x20;to&#x20;include&#x20;malicious&#x20;mobile&#x20;code&#x20;and&#x20;poorly&#x20;configured&#x20;software&#x20;on&#x20;a&#x20;host.','Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;the&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;nftables&#x20;#&#x20;dnf&#x20;install&#x20;nftables.','[{\"cis\": [\"3.4.1.1\"]}, {\"cis_csc_v8\": [\"4.4\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"nist_sp_800-53\": [\"CA-9\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(28076,'Ensure&#x20;at&#x20;least&#x20;one&#x20;nftables&#x20;table&#x20;exists.','Tables&#x20;hold&#x20;chains.&#x20;Each&#x20;table&#x20;only&#x20;has&#x20;one&#x20;address&#x20;family&#x20;and&#x20;only&#x20;applies&#x20;to&#x20;packets&#x20;of&#x20;this&#x20;family.&#x20;Tables&#x20;can&#x20;have&#x20;one&#x20;of&#x20;five&#x20;families.','Without&#x20;a&#x20;table,&#x20;nftables&#x20;will&#x20;not&#x20;filter&#x20;network&#x20;traffic.','Adding&#x20;or&#x20;modifying&#x20;firewall&#x20;rules&#x20;can&#x20;cause&#x20;loss&#x20;of&#x20;connectivity&#x20;to&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;a&#x20;table&#x20;in&#x20;nftables&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;Example&#x20;if&#x20;FirewallD&#x20;is&#x20;not&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system:&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;filter&#x20;Note:&#x20;FirewallD&#x20;uses&#x20;the&#x20;table&#x20;inet&#x20;firewalld&#x20;NFTables&#x20;table&#x20;that&#x20;is&#x20;created&#x20;when&#x20;FirewallD&#x20;is&#x20;installed.','[{\"cis\": [\"3.4.2.2\"]}, {\"cis_csc_v8\": [\"4.4\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"nist_sp_800-53\": [\"CA-9\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}]'),(28077,'Ensure&#x20;nftables&#x20;base&#x20;chains&#x20;exist.','Chains&#x20;are&#x20;containers&#x20;for&#x20;rules.&#x20;They&#x20;exist&#x20;in&#x20;two&#x20;kinds,&#x20;base&#x20;chains&#x20;and&#x20;regular&#x20;chains.&#x20;A&#x20;base&#x20;chain&#x20;is&#x20;an&#x20;entry&#x20;point&#x20;for&#x20;packets&#x20;from&#x20;the&#x20;networking&#x20;stack,&#x20;a&#x20;regular&#x20;chain&#x20;may&#x20;be&#x20;used&#x20;as&#x20;jump&#x20;target&#x20;and&#x20;is&#x20;used&#x20;for&#x20;better&#x20;rule&#x20;organization.','If&#x20;a&#x20;base&#x20;chain&#x20;doesn&#039;t&#x20;exist&#x20;with&#x20;a&#x20;hook&#x20;for&#x20;input,&#x20;forward,&#x20;and&#x20;delete,&#x20;packets&#x20;that&#x20;would&#x20;flow&#x20;through&#x20;those&#x20;chains&#x20;will&#x20;not&#x20;be&#x20;touched&#x20;by&#x20;nftables.','If&#x20;configuring&#x20;over&#x20;ssh,&#x20;creating&#x20;a&#x20;base&#x20;chain&#x20;with&#x20;a&#x20;policy&#x20;of&#x20;drop&#x20;will&#x20;cause&#x20;loss&#x20;of&#x20;connectivity.&#x20;Ensure&#x20;that&#x20;a&#x20;rule&#x20;allowing&#x20;ssh&#x20;has&#x20;been&#x20;added&#x20;to&#x20;the&#x20;base&#x20;chain&#x20;prior&#x20;to&#x20;setting&#x20;the&#x20;base&#x20;chain&#039;s&#x20;policy&#x20;to&#x20;drop.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;the&#x20;base&#x20;chains:&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;&lt;base&#x20;chain&#x20;name&gt;&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;&lt;&#40;input|forward|output&#41;&gt;&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;Example:&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;input&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;input&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;forward&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;forward&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;output&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;output&#x20;priority&#x20;0&#x20;;&#x20;}.','[{\"cis\": [\"3.4.2.3\"]}, {\"cis_csc_v8\": [\"4.4\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"nist_sp_800-53\": [\"CA-9\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}]'),(28078,'Ensure&#x20;nftables&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','Base&#x20;chain&#x20;policy&#x20;is&#x20;the&#x20;default&#x20;verdict&#x20;that&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;packets&#x20;reaching&#x20;the&#x20;end&#x20;of&#x20;the&#x20;chain.','There&#x20;are&#x20;two&#x20;policies:&#x20;accept&#x20;&#40;Default&#41;&#x20;and&#x20;drop.&#x20;If&#x20;the&#x20;policy&#x20;is&#x20;set&#x20;to&#x20;accept,&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied&#x20;and&#x20;the&#x20;packet&#x20;will&#x20;continue&#x20;traversing&#x20;the&#x20;network&#x20;stack.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;explicitly&#x20;permit&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;deny&#x20;unacceptable&#x20;usage.&#x20;Note:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;the&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.','If&#x20;configuring&#x20;nftables&#x20;over&#x20;ssh,&#x20;creating&#x20;a&#x20;base&#x20;chain&#x20;with&#x20;a&#x20;policy&#x20;of&#x20;drop&#x20;will&#x20;cause&#x20;loss&#x20;of&#x20;connectivity.&#x20;Ensure&#x20;that&#x20;a&#x20;rule&#x20;allowing&#x20;ssh&#x20;has&#x20;been&#x20;added&#x20;to&#x20;the&#x20;base&#x20;chain&#x20;prior&#x20;to&#x20;setting&#x20;the&#x20;base&#x20;chain&#039;s&#x20;policy&#x20;to&#x20;drop.','If&#x20;NFTables&#x20;utility&#x20;is&#x20;in&#x20;use&#x20;on&#x20;your&#x20;system:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;for&#x20;the&#x20;base&#x20;chains&#x20;with&#x20;the&#x20;input,&#x20;forward,&#x20;and&#x20;output&#x20;hooks&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;nft&#x20;chain&#x20;&lt;table&#x20;family&gt;&#x20;&lt;table&#x20;name&gt;&#x20;&lt;chain&#x20;name&gt;&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;Example:&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;input&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;forward&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}.','[{\"cis\": [\"3.4.2.7\"]}, {\"cis_csc_v8\": [\"4.4\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"nist_sp_800-53\": [\"CA-9\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}]'),(28079,'Ensure&#x20;auditd&#x20;is&#x20;installed.','auditd&#x20;is&#x20;the&#x20;userspace&#x20;component&#x20;to&#x20;the&#x20;Linux&#x20;Auditing&#x20;System.&#x20;It&#039;s&#x20;responsible&#x20;for&#x20;writing&#x20;audit&#x20;records&#x20;to&#x20;the&#x20;disk.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;Install&#x20;auditd:&#x20;#&#x20;dnf&#x20;install&#x20;audit.','[{\"cis\": [\"4.1.1.1\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.5\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"nist_sp_800-53\": [\"AU-2\", \"AU-3\", \"AU-3(1)\", \"AU-12\", \"SI-5\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\", \"9.4.5\", \"10.2\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28080,'Ensure&#x20;auditing&#x20;for&#x20;processes&#x20;that&#x20;start&#x20;prior&#x20;to&#x20;auditd&#x20;is&#x20;enabled.','Configure&#x20;grub2&#x20;so&#x20;that&#x20;processes&#x20;that&#x20;are&#x20;capable&#x20;of&#x20;being&#x20;audited&#x20;can&#x20;be&#x20;audited&#x20;even&#x20;if&#x20;they&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;startup.','Audit&#x20;events&#x20;need&#x20;to&#x20;be&#x20;captured&#x20;on&#x20;processes&#x20;that&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd,&#x20;so&#x20;that&#x20;potential&#x20;malicious&#x20;activity&#x20;cannot&#x20;go&#x20;undetected.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration&#x20;with&#x20;audit=1:&#x20;#&#x20;grubby&#x20;--update-kernel&#x20;ALL&#x20;--args&#x20;&#039;audit=1&#039;.','[{\"cis\": [\"4.1.1.2\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28081,'Ensure&#x20;audit_backlog_limit&#x20;is&#x20;sufficient.','The&#x20;backlog&#x20;limit&#x20;has&#x20;a&#x20;default&#x20;setting&#x20;of&#x20;64.','During&#x20;boot&#x20;if&#x20;audit=1,&#x20;then&#x20;the&#x20;backlog&#x20;will&#x20;hold&#x20;64&#x20;records.&#x20;If&#x20;more&#x20;that&#x20;64&#x20;records&#x20;are&#x20;created&#x20;during&#x20;boot,&#x20;auditd&#x20;records&#x20;will&#x20;be&#x20;lost&#x20;and&#x20;potential&#x20;malicious&#x20;activity&#x20;could&#x20;go&#x20;undetected.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;add&#x20;audit_backlog_limit=&lt;BACKLOG&#x20;SIZE&gt;&#x20;to&#x20;GRUB_CMDLINE_LINUX:&#x20;#&#x20;grubby&#x20;--update-kernel&#x20;ALL&#x20;--args&#x20;&#039;audit_backlog_limit=&lt;BACKLOG&#x20;SIZE&gt;&#039;&#x20;Example:&#x20;#&#x20;grubby&#x20;--update-kernel&#x20;ALL&#x20;--args&#x20;&#039;audit_backlog_limit=8192&#039;.','[{\"cis\": [\"4.1.1.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"nist_sp_800-53\": [\"AU-2\", \"AU-12\", \"SI-5\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28082,'Ensure&#x20;auditd&#x20;service&#x20;is&#x20;enabled.','Turn&#x20;on&#x20;the&#x20;auditd&#x20;daemon&#x20;to&#x20;record&#x20;system&#x20;events.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;auditd:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;auditd.','[{\"cis\": [\"4.1.1.4\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"nist_sp_800-53\": [\"AU-2\", \"AU-12\", \"SI-5\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28083,'Ensure&#x20;audit&#x20;log&#x20;storage&#x20;size&#x20;is&#x20;configured.','Configure&#x20;the&#x20;maximum&#x20;size&#x20;of&#x20;the&#x20;audit&#x20;log&#x20;file.&#x20;Once&#x20;the&#x20;log&#x20;reaches&#x20;the&#x20;maximum&#x20;size,&#x20;it&#x20;will&#x20;be&#x20;rotated&#x20;and&#x20;a&#x20;new&#x20;log&#x20;file&#x20;will&#x20;be&#x20;started.','It&#x20;is&#x20;important&#x20;that&#x20;an&#x20;appropriate&#x20;size&#x20;is&#x20;determined&#x20;for&#x20;log&#x20;files&#x20;so&#x20;that&#x20;they&#x20;do&#x20;not&#x20;impact&#x20;the&#x20;system&#x20;and&#x20;audit&#x20;data&#x20;is&#x20;not&#x20;lost.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy:&#x20;max_log_file&#x20;=&#x20;&lt;MB&gt;.','[{\"cis\": [\"4.1.2.1\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"nist_sp_800-53\": [\"AU-8\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"pci_dss_3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1053\"]}]'),(28084,'Ensure&#x20;audit&#x20;logs&#x20;are&#x20;not&#x20;automatically&#x20;deleted.','The&#x20;max_log_file_action&#x20;setting&#x20;determines&#x20;how&#x20;to&#x20;handle&#x20;the&#x20;audit&#x20;log&#x20;file&#x20;reaching&#x20;the&#x20;max&#x20;file&#x20;size.&#x20;A&#x20;value&#x20;of&#x20;keep_logs&#x20;will&#x20;rotate&#x20;the&#x20;logs&#x20;but&#x20;never&#x20;delete&#x20;old&#x20;logs.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;benefits&#x20;of&#x20;maintaining&#x20;a&#x20;long&#x20;audit&#x20;history&#x20;exceed&#x20;the&#x20;cost&#x20;of&#x20;storing&#x20;the&#x20;audit&#x20;history.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;max_log_file_action&#x20;=&#x20;keep_logs.','[{\"cis\": [\"4.1.2.2\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"nist_sp_800-53\": [\"AU-8\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"pci_dss_3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28085,'Ensure&#x20;system&#x20;is&#x20;disabled&#x20;when&#x20;audit&#x20;logs&#x20;are&#x20;full.','The&#x20;auditd&#x20;daemon&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;halt&#x20;the&#x20;system&#x20;when&#x20;the&#x20;audit&#x20;logs&#x20;are&#x20;full.&#x20;The&#x20;admin_space_left_action&#x20;parameter&#x20;tells&#x20;the&#x20;system&#x20;what&#x20;action&#x20;to&#x20;take&#x20;when&#x20;the&#x20;system&#x20;has&#x20;detected&#x20;that&#x20;it&#x20;is&#x20;low&#x20;on&#x20;disk&#x20;space.&#x20;Valid&#x20;values&#x20;are&#x20;ignore,&#x20;syslog,&#x20;suspend,&#x20;single,&#x20;and&#x20;halt.&#x20;-&#x20;ignore,&#x20;the&#x20;audit&#x20;daemon&#x20;does&#x20;nothing&#x20;-&#x20;Syslog,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;issue&#x20;a&#x20;warning&#x20;to&#x20;syslog&#x20;-&#x20;Suspend,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;stop&#x20;writing&#x20;records&#x20;to&#x20;the&#x20;disk&#x20;-&#x20;single,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;put&#x20;the&#x20;computer&#x20;system&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;-&#x20;halt,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;shutdown&#x20;the&#x20;system.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;risk&#x20;of&#x20;detecting&#x20;unauthorized&#x20;access&#x20;or&#x20;nonrepudiation&#x20;exceeds&#x20;the&#x20;benefit&#x20;of&#x20;the&#x20;system&#039;s&#x20;availability.','If&#x20;the&#x20;admin_space_left_action&#x20;parameter&#x20;is&#x20;set&#x20;to&#x20;halt&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;shutdown&#x20;the&#x20;system&#x20;when&#x20;the&#x20;disk&#x20;partition&#x20;containing&#x20;the&#x20;audit&#x20;logs&#x20;becomes&#x20;full.','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;space_left_action&#x20;=&#x20;email&#x20;action_mail_acct&#x20;=&#x20;root.&#x20;set&#x20;admin_space_left_action&#x20;to&#x20;either&#x20;halt&#x20;or&#x20;single&#x20;in&#x20;/etc/audit/auditd.conf.&#x20;Example:&#x20;admin_space_left_action&#x20;=&#x20;halt.','[{\"cis\": [\"4.1.2.3\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.3\"]}, {\"nist_sp_800-53\": [\"AU-2\", \"AU-8\", \"AU-12\", \"SI-5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\", \"10.7\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"soc_2\": [\"A1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28086,'Ensure&#x20;changes&#x20;to&#x20;system&#x20;administration&#x20;scope&#x20;&#40;sudoers&#41;&#x20;is&#x20;collected.','Monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrators.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;force&#x20;system&#x20;administrators&#x20;to&#x20;log&#x20;in&#x20;as&#x20;themselves&#x20;first&#x20;and&#x20;then&#x20;use&#x20;the&#x20;sudo&#x20;command&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;it&#x20;is&#x20;possible&#x20;to&#x20;monitor&#x20;changes&#x20;in&#x20;scope.&#x20;The&#x20;file&#x20;/etc/sudoers,&#x20;or&#x20;files&#x20;in&#x20;/etc/sudoers.d,&#x20;will&#x20;be&#x20;written&#x20;to&#x20;when&#x20;the&#x20;file&#40;s&#41;&#x20;or&#x20;related&#x20;attributes&#x20;have&#x20;changed.&#x20;The&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;scope&quot;.','Changes&#x20;in&#x20;the&#x20;/etc/sudoers&#x20;and&#x20;/etc/sudoers.d&#x20;files&#x20;can&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;change&#x20;has&#x20;been&#x20;made&#x20;to&#x20;the&#x20;scope&#x20;of&#x20;system&#x20;administrator&#x20;activity.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrators.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/etc/sudoers&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;-w&#x20;/etc/sudoers.d&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-scope.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.1\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"4.8\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1047\"]}]'),(28087,'Ensure&#x20;the&#x20;audit&#x20;configuration&#x20;is&#x20;immutable.','Set&#x20;system&#x20;audit&#x20;so&#x20;that&#x20;audit&#x20;rules&#x20;cannot&#x20;be&#x20;modified&#x20;with&#x20;auditctl.&#x20;Setting&#x20;the&#x20;flag&#x20;&quot;-e&#x20;2&quot;&#x20;forces&#x20;audit&#x20;to&#x20;be&#x20;put&#x20;in&#x20;immutable&#x20;mode.&#x20;Audit&#x20;changes&#x20;can&#x20;only&#x20;be&#x20;made&#x20;on&#x20;system&#x20;reboot.&#x20;Note:&#x20;This&#x20;setting&#x20;will&#x20;require&#x20;the&#x20;system&#x20;to&#x20;be&#x20;rebooted&#x20;to&#x20;update&#x20;the&#x20;active&#x20;auditd&#x20;configuration&#x20;settings.','In&#x20;immutable&#x20;mode,&#x20;unauthorized&#x20;users&#x20;cannot&#x20;execute&#x20;changes&#x20;to&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;potentially&#x20;hide&#x20;malicious&#x20;activity&#x20;and&#x20;then&#x20;put&#x20;the&#x20;audit&#x20;rules&#x20;back.&#x20;Users&#x20;would&#x20;most&#x20;likely&#x20;notice&#x20;a&#x20;system&#x20;reboot&#x20;and&#x20;that&#x20;could&#x20;alert&#x20;administrators&#x20;of&#x20;an&#x20;attempt&#x20;to&#x20;make&#x20;unauthorized&#x20;audit&#x20;changes.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/audit/rules.d/99-finalize.rules&#x20;and&#x20;add&#x20;the&#x20;line&#x20;-e&#x20;2&#x20;at&#x20;the&#x20;end&#x20;of&#x20;the&#x20;file:&#x20;Example:&#x20;#&#x20;printf&#x20;--&#x20;&quot;-e&#x20;2&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/99-finalize.rules&#x20;Load&#x20;audit&#x20;rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.20\"]}, {\"cis_csc_v8\": [\"3.3\", \"8.5\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"AU-3\", \"AU-3(1)\", \"MP-2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\", \"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\", \"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\", \"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\", \"CC7.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28088,'Ensure&#x20;the&#x20;running&#x20;and&#x20;on&#x20;disk&#x20;configuration&#x20;is&#x20;the&#x20;same.','The&#x20;Audit&#x20;system&#x20;have&#x20;both&#x20;on&#x20;disk&#x20;and&#x20;running&#x20;configuration.&#x20;It&#x20;is&#x20;possible&#x20;for&#x20;these&#x20;configuration&#x20;settings&#x20;to&#x20;differ.&#x20;Note:&#x20;Due&#x20;to&#x20;the&#x20;limitations&#x20;of&#x20;augenrules&#x20;and&#x20;auditctl,&#x20;it&#x20;is&#x20;not&#x20;absolutely&#x20;guaranteed&#x20;that&#x20;loading&#x20;the&#x20;rule&#x20;sets&#x20;via&#x20;augenrules&#x20;--load&#x20;will&#x20;result&#x20;in&#x20;all&#x20;rules&#x20;being&#x20;loaded&#x20;or&#x20;even&#x20;that&#x20;the&#x20;user&#x20;will&#x20;be&#x20;informed&#x20;if&#x20;there&#x20;was&#x20;a&#x20;problem&#x20;loading&#x20;the&#x20;rules.','Configuration&#x20;differences&#x20;between&#x20;what&#x20;is&#x20;currently&#x20;running&#x20;and&#x20;what&#x20;is&#x20;on&#x20;disk&#x20;could&#x20;cause&#x20;unexpected&#x20;problems&#x20;or&#x20;may&#x20;give&#x20;a&#x20;false&#x20;impression&#x20;of&#x20;compliance&#x20;requirements.','','If&#x20;the&#x20;rules&#x20;are&#x20;not&#x20;aligned&#x20;across&#x20;all&#x20;three&#x20;&#40;&#41;&#x20;areas,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;merge&#x20;and&#x20;load&#x20;all&#x20;rules:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;echo&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.21\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"6.3\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28089,'Ensure&#x20;audit&#x20;tools&#x20;are&#x20;755&#x20;or&#x20;more&#x20;restrictive.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;audit&#x20;information&#x20;includes&#x20;identifying&#x20;and&#x20;protecting&#x20;the&#x20;tools&#x20;used&#x20;to&#x20;view&#x20;and&#x20;manipulate&#x20;log&#x20;data.&#x20;Protecting&#x20;audit&#x20;tools&#x20;is&#x20;necessary&#x20;to&#x20;prevent&#x20;unauthorized&#x20;operation&#x20;on&#x20;audit&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;more&#x20;permissive&#x20;mode&#x20;from&#x20;the&#x20;audit&#x20;tools:&#x20;#&#x20;chmod&#x20;go-w&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules.','[{\"cis\": [\"4.1.4.8\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(28090,'Ensure&#x20;audit&#x20;tools&#x20;are&#x20;owned&#x20;by&#x20;root.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;audit&#x20;information&#x20;includes&#x20;identifying&#x20;and&#x20;protecting&#x20;the&#x20;tools&#x20;used&#x20;to&#x20;view&#x20;and&#x20;manipulate&#x20;log&#x20;data.&#x20;Protecting&#x20;audit&#x20;tools&#x20;is&#x20;necessary&#x20;to&#x20;prevent&#x20;unauthorized&#x20;operation&#x20;on&#x20;audit&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;the&#x20;owner&#x20;of&#x20;the&#x20;audit&#x20;tools&#x20;to&#x20;the&#x20;root&#x20;user:&#x20;#&#x20;chown&#x20;root&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules.','[{\"cis\": [\"4.1.4.9\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(28091,'Ensure&#x20;audit&#x20;tools&#x20;belong&#x20;to&#x20;group&#x20;root.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;audit&#x20;information&#x20;includes&#x20;identifying&#x20;and&#x20;protecting&#x20;the&#x20;tools&#x20;used&#x20;to&#x20;view&#x20;and&#x20;manipulate&#x20;log&#x20;data.&#x20;Protecting&#x20;audit&#x20;tools&#x20;is&#x20;necessary&#x20;to&#x20;prevent&#x20;unauthorized&#x20;operation&#x20;on&#x20;audit&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;more&#x20;permissive&#x20;mode&#x20;from&#x20;the&#x20;audit&#x20;tools:&#x20;#&#x20;chmod&#x20;go-w&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;audit&#x20;tools&#x20;to&#x20;root&#x20;user&#x20;and&#x20;group:&#x20;#&#x20;chown&#x20;root:root&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules.','[{\"cis\": [\"4.1.4.10\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(28092,'Ensure&#x20;rsyslog&#x20;is&#x20;installed.','The&#x20;rsyslog&#x20;software&#x20;is&#x20;recommended&#x20;in&#x20;environments&#x20;where&#x20;journald&#x20;does&#x20;not&#x20;meet&#x20;operation&#x20;requirements.','The&#x20;security&#x20;enhancements&#x20;of&#x20;rsyslog&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server&#41;&#x20;justify&#x20;installing&#x20;and&#x20;configuring&#x20;the&#x20;package.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;rsyslog:&#x20;#&#x20;dnf&#x20;install&#x20;rsyslog.','[{\"cis\": [\"4.2.1.1\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"nist_sp_800-53\": [\"AU-2\", \"AU-12\", \"SI-5\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"mitre_techniques\": [\"T1005\", \"T1070\", \"T1070.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28093,'Ensure&#x20;rsyslog&#x20;service&#x20;is&#x20;enabled.','Once&#x20;the&#x20;rsyslog&#x20;package&#x20;is&#x20;installed,&#x20;ensure&#x20;that&#x20;the&#x20;service&#x20;is&#x20;enabled.','If&#x20;the&#x20;rsyslog&#x20;service&#x20;is&#x20;not&#x20;enabled&#x20;to&#x20;start&#x20;on&#x20;boot,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;capture&#x20;logging&#x20;events.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;rsyslog:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;rsyslog.','[{\"cis\": [\"4.2.1.2\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"nist_sp_800-53\": [\"AU-2\", \"AU-12\", \"SI-5\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1211\", \"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28094,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;rsyslog.','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Utilities&#x20;exist&#x20;to&#x20;accept&#x20;remote&#x20;export&#x20;of&#x20;journald&#x20;logs,&#x20;however,&#x20;use&#x20;of&#x20;the&#x20;RSyslog&#x20;service&#x20;provides&#x20;a&#x20;consistent&#x20;means&#x20;of&#x20;log&#x20;collection&#x20;and&#x20;export.','IF&#x20;RSyslog&#x20;is&#x20;the&#x20;preferred&#x20;method&#x20;for&#x20;capturing&#x20;logs,&#x20;all&#x20;logs&#x20;of&#x20;the&#x20;system&#x20;should&#x20;be&#x20;sent&#x20;to&#x20;it&#x20;for&#x20;further&#x20;processing.&#x20;Note:&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;rsyslog&#x20;is&#x20;the&#x20;chosen&#x20;method&#x20;for&#x20;client&#x20;side&#x20;logging.&#x20;Do&#x20;not&#x20;apply&#x20;this&#x20;recommendation&#x20;if&#x20;journald&#x20;is&#x20;used.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;ForwardToSyslog=yes&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog.','[{\"cis\": [\"4.2.1.3\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.9\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"6.5\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"AU-2\", \"AU-4\", \"AU-12\", \"MP-2\", \"SI-5\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\", \"10.5.3\", \"10.5.4\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\", \"10.3.3\"]}, {\"soc_2\": [\"PL1.4\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\", \"T1565\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(28095,'Ensure&#x20;rsyslog&#x20;default&#x20;file&#x20;permissions&#x20;configured.','Rsyslog&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','The&#x20;systems&#x20;global&#x20;umask&#x20;could&#x20;override,&#x20;but&#x20;only&#x20;making&#x20;the&#x20;file&#x20;permissions&#x20;stricter,&#x20;what&#x20;is&#x20;configured&#x20;in&#x20;RSyslog&#x20;with&#x20;the&#x20;FileCreateMode&#x20;directive.&#x20;RSyslog&#x20;also&#x20;has&#x20;its&#x20;own&#x20;$umask&#x20;directive&#x20;that&#x20;can&#x20;alter&#x20;the&#x20;intended&#x20;file&#x20;creation&#x20;mode.&#x20;In&#x20;addition,&#x20;consideration&#x20;should&#x20;be&#x20;given&#x20;to&#x20;how&#x20;FileCreateMode&#x20;is&#x20;used.&#x20;Thus&#x20;it&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;intended&#x20;file&#x20;creation&#x20;mode&#x20;is&#x20;not&#x20;overridden&#x20;with&#x20;less&#x20;restrictive&#x20;settings&#x20;in&#x20;/etc/rsyslog.conf,&#x20;/etc/rsyslog.d&#47;&#42;conf&#x20;files&#x20;and&#x20;that&#x20;FileCreateMode&#x20;is&#x20;set&#x20;before&#x20;any&#x20;file&#x20;is&#x20;created.','Edit&#x20;either&#x20;/etc/rsyslog.conf&#x20;or&#x20;a&#x20;dedicated&#x20;.conf&#x20;file&#x20;in&#x20;/etc/rsyslog.d/&#x20;and&#x20;set&#x20;$FileCreateMode&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;$FileCreateMode&#x20;0640&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog.','[{\"cis\": [\"4.2.1.4\"]}, {\"cis_csc_v8\": [\"3.3\", \"8.2\"]}, {\"cis_csc_v7\": [\"5.1\", \"6.2\", \"6.3\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"AU-2\", \"AU-4\", \"AU-12\", \"MP-2\", \"SI-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\", \"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\", \"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\", \"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\", \"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(28096,'Ensure&#x20;rsyslog&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host.','RSyslog&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;log&#x20;events&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;enabling&#x20;centralized&#x20;log&#x20;management.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;&#40;where&#x20;loghost.example.com&#x20;is&#x20;the&#x20;name&#x20;of&#x20;your&#x20;central&#x20;log&#x20;host&#41;.&#x20;The&#x20;target&#x20;directive&#x20;may&#x20;either&#x20;be&#x20;a&#x20;fully&#x20;qualified&#x20;domain&#x20;name&#x20;or&#x20;an&#x20;IP&#x20;address.&#x20;*.*&#x20;action&#40;type=&quot;omfwd&quot;&#x20;target=&quot;192.168.2.100&quot;&#x20;port=&quot;514&quot;&#x20;protocol=&quot;tcp&quot;&#x20;action.resumeRetryCount=&quot;100&quot;&#x20;queue.type=&quot;LinkedList&quot;&#x20;queue.size=&quot;1000&quot;&#41;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;rsyslogd&#x20;configuration:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog.','[{\"cis\": [\"4.2.1.6\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(28097,'Ensure&#x20;rsyslog&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;receive&#x20;logs&#x20;from&#x20;a&#x20;remote&#x20;client.','RSyslog&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;acting&#x20;as&#x20;a&#x20;log&#x20;server.&#x20;Clients&#x20;should&#x20;not&#x20;receive&#x20;data&#x20;from&#x20;other&#x20;hosts.','If&#x20;a&#x20;client&#x20;is&#x20;configured&#x20;to&#x20;also&#x20;receive&#x20;data,&#x20;thus&#x20;turning&#x20;it&#x20;into&#x20;a&#x20;server,&#x20;the&#x20;client&#x20;system&#x20;is&#x20;acting&#x20;outside&#x20;it&#039;s&#x20;operational&#x20;boundary.','','Should&#x20;there&#x20;be&#x20;any&#x20;active&#x20;log&#x20;server&#x20;configuration&#x20;found&#x20;in&#x20;the&#x20;auditing&#x20;section,&#x20;modify&#x20;those&#x20;files&#x20;and&#x20;remove&#x20;the&#x20;specific&#x20;lines&#x20;highlighted&#x20;by&#x20;the&#x20;audit.&#x20;Ensure&#x20;none&#x20;of&#x20;the&#x20;following&#x20;entries&#x20;are&#x20;present&#x20;in&#x20;any&#x20;of&#x20;/etc/rsyslog.conf&#x20;or&#x20;/etc/rsyslog.d&#47;&#42;.conf.&#x20;New&#x20;format:&#x20;module&#40;load=&quot;imtcp&quot;&#41;&#x20;input&#40;type=&quot;imtcp&quot;&#x20;port=&quot;514&quot;&#41;&#x20;-OR-&#x20;Old&#x20;format:&#x20;$ModLoad&#x20;imtcp&#x20;$InputTCPServerRun&#x20;-&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog.','[{\"cis\": [\"4.2.1.7\"]}, {\"cis_csc_v8\": [\"4.8\", \"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"9.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\", \"A.13.1.3\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\", \"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\", \"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(28098,'Ensure&#x20;systemd-journal-remote&#x20;is&#x20;installed.','Journald&#x20;&#40;via&#x20;systemd-journal-remote&#41;&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;log&#x20;events&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;enabling&#x20;centralized&#x20;log&#x20;management.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;systemd-journal-remote:&#x20;#&#x20;dnf&#x20;install&#x20;systemd-journal-remote.','[{\"cis\": [\"4.2.2.1.1\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"nist_sp_800-53\": [\"AU-2\", \"AU-12\", \"SI-5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(28099,'Ensure&#x20;systemd-journal-remote&#x20;is&#x20;enabled.','Journald&#x20;&#40;via&#x20;systemd-journal-remote&#41;&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;log&#x20;events&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;enabling&#x20;centralized&#x20;log&#x20;management.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;systemd-journal-remote:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;systemd-journal-upload.service.','[{\"cis\": [\"4.2.2.1.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"nist_sp_800-53\": [\"AU-2\", \"AU-12\", \"CM-7\", \"SI-5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(28100,'Ensure&#x20;journald&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;receive&#x20;logs&#x20;from&#x20;a&#x20;remote&#x20;client.','Journald&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;acting&#x20;as&#x20;a&#x20;log&#x20;server.&#x20;Clients&#x20;should&#x20;not&#x20;receive&#x20;data&#x20;from&#x20;other&#x20;hosts.&#x20;NOTE:&#x20;-&#x20;The&#x20;same&#x20;package,&#x20;systemd-journal-remote,&#x20;is&#x20;used&#x20;for&#x20;both&#x20;sending&#x20;logs&#x20;to&#x20;remote&#x20;hosts&#x20;and&#x20;receiving&#x20;incoming&#x20;logs.&#x20;-&#x20;With&#x20;regards&#x20;to&#x20;receiving&#x20;logs,&#x20;there&#x20;are&#x20;two&#x20;services;&#x20;systemd-journal-&#x20;remote.socket&#x20;and&#x20;systemd-journal-remote.service.','If&#x20;a&#x20;client&#x20;is&#x20;configured&#x20;to&#x20;also&#x20;receive&#x20;data,&#x20;thus&#x20;turning&#x20;it&#x20;into&#x20;a&#x20;server,&#x20;the&#x20;client&#x20;system&#x20;is&#x20;acting&#x20;outside&#x20;it&#039;s&#x20;operational&#x20;boundary.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;systemd-journal-remote.socket:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;systemd-journal-remote.socket.','[{\"cis\": [\"4.2.2.1.4\"]}, {\"cis_csc_v8\": [\"4.8\", \"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"9.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\", \"A.13.1.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\", \"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\", \"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(28101,'Ensure&#x20;journald&#x20;service&#x20;is&#x20;enabled.','Ensure&#x20;that&#x20;the&#x20;systemd-journald&#x20;service&#x20;is&#x20;enabled&#x20;to&#x20;allow&#x20;capturing&#x20;of&#x20;logging&#x20;events.','If&#x20;the&#x20;systemd-journald&#x20;service&#x20;is&#x20;not&#x20;enabled&#x20;to&#x20;start&#x20;on&#x20;boot,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;capture&#x20;logging&#x20;events.','','By&#x20;default&#x20;the&#x20;systemd-journald&#x20;service&#x20;does&#x20;not&#x20;have&#x20;an&#x20;[Install]&#x20;section&#x20;and&#x20;thus&#x20;cannot&#x20;be&#x20;enabled&#x20;/&#x20;disabled.&#x20;It&#x20;is&#x20;meant&#x20;to&#x20;be&#x20;referenced&#x20;as&#x20;Requires&#x20;or&#x20;Wants&#x20;by&#x20;other&#x20;unit&#x20;files.&#x20;As&#x20;such,&#x20;if&#x20;the&#x20;status&#x20;of&#x20;systemd-journald&#x20;is&#x20;not&#x20;static,&#x20;investigate&#x20;why.','[{\"cis\": [\"4.2.2.2\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(28102,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;compress&#x20;large&#x20;log&#x20;files.','The&#x20;journald&#x20;system&#x20;includes&#x20;the&#x20;capability&#x20;of&#x20;compressing&#x20;overly&#x20;large&#x20;files&#x20;to&#x20;avoid&#x20;filling&#x20;up&#x20;the&#x20;system&#x20;with&#x20;logs&#x20;or&#x20;making&#x20;the&#x20;logs&#x20;unmanageably&#x20;large.','Uncompressed&#x20;large&#x20;files&#x20;may&#x20;unexpectedly&#x20;fill&#x20;a&#x20;filesystem&#x20;leading&#x20;to&#x20;resource&#x20;unavailability.&#x20;Compressing&#x20;logs&#x20;prior&#x20;to&#x20;write&#x20;can&#x20;prevent&#x20;sudden,&#x20;unexpected&#x20;filesystem&#x20;impacts.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Compress=yes&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;systemd-journald.service.','[{\"cis\": [\"4.2.2.3\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.3\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"6.4\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\", \"10.7\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"A1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1053\"]}]'),(28103,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;write&#x20;logfiles&#x20;to&#x20;persistent&#x20;disk.','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Logs&#x20;in&#x20;memory&#x20;will&#x20;be&#x20;lost&#x20;upon&#x20;a&#x20;system&#x20;reboot.&#x20;By&#x20;persisting&#x20;logs&#x20;to&#x20;local&#x20;disk&#x20;on&#x20;the&#x20;server&#x20;they&#x20;are&#x20;protected&#x20;from&#x20;loss&#x20;due&#x20;to&#x20;a&#x20;reboot.','Writing&#x20;log&#x20;data&#x20;to&#x20;disk&#x20;will&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;forensically&#x20;reconstruct&#x20;events&#x20;which&#x20;may&#x20;have&#x20;impacted&#x20;the&#x20;operations&#x20;or&#x20;security&#x20;of&#x20;a&#x20;system&#x20;even&#x20;after&#x20;a&#x20;system&#x20;crash&#x20;or&#x20;reboot.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Storage=persistent&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;systemd-journald.service.','[{\"cis\": [\"4.2.2.4\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28104,'Ensure&#x20;journald&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;rsyslog.','Data&#x20;from&#x20;journald&#x20;should&#x20;be&#x20;kept&#x20;in&#x20;the&#x20;confines&#x20;of&#x20;the&#x20;service&#x20;and&#x20;not&#x20;forwarded&#x20;on&#x20;to&#x20;other&#x20;services.','IF&#x20;journald&#x20;is&#x20;the&#x20;method&#x20;for&#x20;capturing&#x20;logs,&#x20;all&#x20;logs&#x20;of&#x20;the&#x20;system&#x20;should&#x20;be&#x20;handled&#x20;by&#x20;journald&#x20;and&#x20;not&#x20;forwarded&#x20;to&#x20;other&#x20;logging&#x20;mechanisms.&#x20;Note:&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;journald&#x20;is&#x20;the&#x20;chosen&#x20;method&#x20;for&#x20;client&#x20;side&#x20;logging.&#x20;Do&#x20;not&#x20;apply&#x20;this&#x20;recommendation&#x20;if&#x20;rsyslog&#x20;is&#x20;used.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;ensure&#x20;that&#x20;ForwardToSyslog=yes&#x20;is&#x20;removed.&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;systemd-journald.service.','[{\"cis\": [\"4.2.2.5\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.9\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"6.5\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\", \"10.5.3\", \"10.5.4\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\", \"10.3.3\"]}, {\"nist_sp_800-53\": [\"AU-7\", \"AU-6(3)\"]}, {\"soc_2\": [\"PL1.4\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\", \"T1565\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(28105,'Ensure&#x20;cron&#x20;daemon&#x20;is&#x20;enabled.','The&#x20;cron&#x20;daemon&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;batch&#x20;jobs&#x20;on&#x20;the&#x20;system.','While&#x20;there&#x20;may&#x20;not&#x20;be&#x20;user&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;be&#x20;run&#x20;on&#x20;the&#x20;system,&#x20;the&#x20;system&#x20;does&#x20;have&#x20;maintenance&#x20;jobs&#x20;that&#x20;may&#x20;include&#x20;security&#x20;monitoring&#x20;that&#x20;have&#x20;to&#x20;run,&#x20;and&#x20;cron&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;them.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;cron&#x20;:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;crond.','[{\"cis\": [\"5.1.1\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(28106,'Ensure&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;are&#x20;configured.','The&#x20;/etc/crontab&#x20;file&#x20;is&#x20;used&#x20;by&#x20;cron&#x20;to&#x20;control&#x20;its&#x20;own&#x20;jobs.&#x20;The&#x20;commands&#x20;in&#x20;this&#x20;item&#x20;make&#x20;sure&#x20;that&#x20;root&#x20;is&#x20;the&#x20;user&#x20;and&#x20;group&#x20;owner&#x20;of&#x20;the&#x20;file&#x20;and&#x20;that&#x20;only&#x20;the&#x20;owner&#x20;can&#x20;access&#x20;the&#x20;file.','This&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;what&#x20;system&#x20;jobs&#x20;are&#x20;run&#x20;by&#x20;cron.&#x20;Write&#x20;access&#x20;to&#x20;this&#x20;file&#x20;could&#x20;provide&#x20;unprivileged&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;elevate&#x20;their&#x20;privileges.&#x20;Read&#x20;access&#x20;to&#x20;this&#x20;file&#x20;could&#x20;provide&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;gain&#x20;insight&#x20;on&#x20;system&#x20;jobs&#x20;that&#x20;run&#x20;on&#x20;the&#x20;system&#x20;and&#x20;could&#x20;provide&#x20;them&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;unauthorized&#x20;privileged&#x20;access.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/crontab&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/crontab.','[{\"cis\": [\"5.1.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(28107,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;are&#x20;configured.','This&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;an&#x20;hourly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.hourly&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.hourly.','[{\"cis\": [\"5.1.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(28108,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;are&#x20;configured.','The&#x20;/etc/cron.daily&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;daily&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.daily&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.daily.','[{\"cis\": [\"5.1.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(28109,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;are&#x20;configured.','The&#x20;/etc/cron.weekly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;weekly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.weekly&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.weekly.','[{\"cis\": [\"5.1.5\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(28110,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;are&#x20;configured.','The&#x20;/etc/cron.monthly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;monthly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.monthly&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.monthly.','[{\"cis\": [\"5.1.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(28111,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;are&#x20;configured.','The&#x20;/etc/cron.d&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;in&#x20;a&#x20;similar&#x20;manner&#x20;to&#x20;the&#x20;hourly,&#x20;daily,&#x20;weekly&#x20;and&#x20;monthly&#x20;jobs&#x20;from&#x20;/etc/crontab&#x20;,&#x20;but&#x20;require&#x20;more&#x20;granular&#x20;control&#x20;as&#x20;to&#x20;when&#x20;they&#x20;run.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.d&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.d.','[{\"cis\": [\"5.1.7\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(28112,'Ensure&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config&#x20;are&#x20;configured.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;contains&#x20;configuration&#x20;specifications&#x20;for&#x20;sshd.&#x20;The&#x20;command&#x20;below&#x20;sets&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;file&#x20;to&#x20;root.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/ssh/sshd_config&#x20;#&#x20;chmod&#x20;u-x,go-rwx&#x20;/etc/ssh/sshd_config.','[{\"cis\": [\"5.2.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1098\", \"T1098.004\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28113,'Ensure&#x20;SSH&#x20;access&#x20;is&#x20;limited.','There&#x20;are&#x20;several&#x20;options&#x20;available&#x20;to&#x20;limit&#x20;which&#x20;users&#x20;and&#x20;group&#x20;can&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;at&#x20;least&#x20;one&#x20;of&#x20;the&#x20;following&#x20;options&#x20;be&#x20;leveraged:&#x20;-&#x20;AllowUsers:&#x20;The&#x20;AllowUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;only&#x20;allowing&#x20;the&#x20;allowed&#x20;users&#x20;to&#x20;log&#x20;in&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;-&#x20;AllowGroups:&#x20;The&#x20;AllowGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;-&#x20;DenyUsers:&#x20;The&#x20;DenyUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;specifically&#x20;denying&#x20;a&#x20;user&#039;s&#x20;access&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;-&#x20;DenyGroups:&#x20;The&#x20;DenyGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.','Restricting&#x20;which&#x20;users&#x20;can&#x20;remotely&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH&#x20;will&#x20;help&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;users&#x20;access&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;one&#x20;or&#x20;more&#x20;of&#x20;the&#x20;parameters&#x20;as&#x20;follows:&#x20;AllowUsers&#x20;&lt;userlist&gt;&#x20;OR&#x20;AllowGroups&#x20;&lt;grouplist&gt;&#x20;OR&#x20;DenyUsers&#x20;&lt;userlist&gt;&#x20;OR&#x20;DenyGroups&#x20;&lt;grouplist&gt;.','[{\"cis\": [\"5.2.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}, {\"mitre_techniques\": [\"T1021\", \"T1021.004\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(28114,'Ensure&#x20;SSH&#x20;LogLevel&#x20;is&#x20;appropriate.','INFO&#x20;level&#x20;is&#x20;the&#x20;basic&#x20;level&#x20;that&#x20;only&#x20;records&#x20;login&#x20;activity&#x20;of&#x20;SSH&#x20;users.&#x20;In&#x20;many&#x20;situations,&#x20;such&#x20;as&#x20;Incident&#x20;Response,&#x20;it&#x20;is&#x20;important&#x20;to&#x20;determine&#x20;when&#x20;a&#x20;particular&#x20;user&#x20;was&#x20;active&#x20;on&#x20;a&#x20;system.&#x20;The&#x20;logout&#x20;record&#x20;can&#x20;eliminate&#x20;those&#x20;users&#x20;who&#x20;disconnected,&#x20;which&#x20;helps&#x20;narrow&#x20;the&#x20;field.&#x20;VERBOSE&#x20;level&#x20;specifies&#x20;that&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;as&#x20;well&#x20;as&#x20;the&#x20;key&#x20;fingerprint&#x20;for&#x20;any&#x20;SSH&#x20;key&#x20;used&#x20;for&#x20;login&#x20;will&#x20;be&#x20;logged.&#x20;This&#x20;information&#x20;is&#x20;important&#x20;for&#x20;SSH&#x20;key&#x20;management,&#x20;especially&#x20;in&#x20;legacy&#x20;environments.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;VERBOSE&#x20;OR&#x20;LogLevel&#x20;INFO.','[{\"cis\": [\"5.2.5\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"nist_sp_800-53\": [\"AU-2\", \"AU-12\", \"SI-5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28115,'Ensure&#x20;SSH&#x20;PAM&#x20;is&#x20;enabled.','UsePAM&#x20;Enables&#x20;the&#x20;Pluggable&#x20;Authentication&#x20;Module&#x20;interface.&#x20;If&#x20;set&#x20;to&#x20;&#039;yes&#039;&#x20;this&#x20;will&#x20;enable&#x20;PAM&#x20;authentication&#x20;using&#x20;ChallengeResponseAuthentication&#x20;and&#x20;PasswordAuthentication&#x20;in&#x20;addition&#x20;to&#x20;PAM&#x20;account&#x20;and&#x20;session&#x20;module&#x20;processing&#x20;for&#x20;all&#x20;authentication&#x20;types.','When&#x20;usePAM&#x20;is&#x20;set&#x20;to&#x20;yes,&#x20;PAM&#x20;runs&#x20;through&#x20;account&#x20;and&#x20;session&#x20;types&#x20;properly.&#x20;This&#x20;is&#x20;important&#x20;if&#x20;you&#x20;want&#x20;to&#x20;restrict&#x20;access&#x20;to&#x20;services&#x20;based&#x20;off&#x20;of&#x20;IP,&#x20;time&#x20;or&#x20;other&#x20;factors&#x20;of&#x20;the&#x20;account.&#x20;Additionally,&#x20;you&#x20;can&#x20;make&#x20;sure&#x20;users&#x20;inherit&#x20;certain&#x20;environment&#x20;variables&#x20;on&#x20;login&#x20;or&#x20;disallow&#x20;access&#x20;to&#x20;the&#x20;server.','If&#x20;UsePAM&#x20;is&#x20;enabled,&#x20;you&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;run&#x20;sshd&#40;8&#41;&#x20;as&#x20;a&#x20;non-root&#x20;user.','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;UsePAM&#x20;yes.','[{\"cis\": [\"5.2.6\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_techniques\": [\"T1021\", \"T1021.004\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1035\"]}]'),(28116,'Ensure&#x20;SSH&#x20;root&#x20;login&#x20;is&#x20;disabled.','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;ssh.&#x20;The&#x20;default&#x20;is&#x20;no.','Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;system&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root&#x20;via&#x20;sudo&#x20;or&#x20;su.&#x20;This&#x20;in&#x20;turn&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no.','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}, {\"mitre_techniques\": [\"T1078\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(28117,'Ensure&#x20;SSH&#x20;HostbasedAuthentication&#x20;is&#x20;disabled.','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts&#x20;,&#x20;or&#x20;/etc/hosts.equiv,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.&#x20;This&#x20;option&#x20;only&#x20;applies&#x20;to&#x20;SSH&#x20;Protocol&#x20;Version&#x20;2.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no.','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"16.3\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28118,'Ensure&#x20;SSH&#x20;PermitEmptyPasswords&#x20;is&#x20;disabled.','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;SSH&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no.','[{\"cis\": [\"5.2.9\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"16.3\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"mitre_techniques\": [\"T1021\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28119,'Ensure&#x20;SSH&#x20;PermitUserEnvironment&#x20;is&#x20;disabled.','The&#x20;PermitUserEnvironment&#x20;option&#x20;allows&#x20;users&#x20;to&#x20;present&#x20;environment&#x20;options&#x20;to&#x20;the&#x20;ssh&#x20;daemon.','Permitting&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;environment&#x20;variables&#x20;through&#x20;the&#x20;SSH&#x20;daemon&#x20;could&#x20;potentially&#x20;allow&#x20;users&#x20;to&#x20;bypass&#x20;security&#x20;controls&#x20;&#40;e.g.&#x20;setting&#x20;an&#x20;execution&#x20;path&#x20;that&#x20;has&#x20;ssh&#x20;executing&#x20;trojan&#039;d&#x20;programs&#41;.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitUserEnvironment&#x20;no.','[{\"cis\": [\"5.2.10\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"mitre_techniques\": [\"T1021\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28120,'Ensure&#x20;SSH&#x20;IgnoreRhosts&#x20;is&#x20;enabled.','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthentication&#x20;or&#x20;HostbasedAuthentication.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;ssh.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;IgnoreRhosts&#x20;yes.','[{\"cis\": [\"5.2.11\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(28121,'Ensure&#x20;SSH&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled.','The&#x20;X11Forwarding&#x20;parameter&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;tunnel&#x20;X11&#x20;traffic&#x20;through&#x20;the&#x20;connection&#x20;to&#x20;enable&#x20;remote&#x20;graphic&#x20;connections.','Disable&#x20;X11&#x20;forwarding&#x20;unless&#x20;there&#x20;is&#x20;an&#x20;operational&#x20;requirement&#x20;to&#x20;use&#x20;X11&#x20;applications&#x20;directly.&#x20;There&#x20;is&#x20;a&#x20;small&#x20;risk&#x20;that&#x20;the&#x20;remote&#x20;X11&#x20;servers&#x20;of&#x20;users&#x20;who&#x20;are&#x20;logged&#x20;in&#x20;via&#x20;SSH&#x20;with&#x20;X11&#x20;forwarding&#x20;could&#x20;be&#x20;compromised&#x20;by&#x20;other&#x20;users&#x20;on&#x20;the&#x20;X11&#x20;server.&#x20;Note&#x20;that&#x20;even&#x20;if&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled,&#x20;users&#x20;can&#x20;always&#x20;install&#x20;their&#x20;own&#x20;forwarders.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;X11Forwarding&#x20;no.','[{\"cis\": [\"5.2.12\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1210\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28122,'Ensure&#x20;SSH&#x20;AllowTcpForwarding&#x20;is&#x20;disabled.','SSH&#x20;port&#x20;forwarding&#x20;is&#x20;a&#x20;mechanism&#x20;in&#x20;SSH&#x20;for&#x20;tunneling&#x20;application&#x20;ports&#x20;from&#x20;the&#x20;client&#x20;to&#x20;the&#x20;server,&#x20;or&#x20;servers&#x20;to&#x20;clients.&#x20;It&#x20;can&#x20;be&#x20;used&#x20;for&#x20;adding&#x20;encryption&#x20;to&#x20;legacy&#x20;applications,&#x20;going&#x20;through&#x20;firewalls,&#x20;and&#x20;some&#x20;system&#x20;administrators&#x20;and&#x20;IT&#x20;professionals&#x20;use&#x20;it&#x20;for&#x20;opening&#x20;backdoors&#x20;into&#x20;the&#x20;internal&#x20;network&#x20;from&#x20;their&#x20;home&#x20;machines.','Leaving&#x20;port&#x20;forwarding&#x20;enabled&#x20;can&#x20;expose&#x20;the&#x20;organization&#x20;to&#x20;security&#x20;risks&#x20;and&#x20;back-doors.&#x20;SSH&#x20;connections&#x20;are&#x20;protected&#x20;with&#x20;strong&#x20;encryption.&#x20;This&#x20;makes&#x20;their&#x20;contents&#x20;invisible&#x20;to&#x20;most&#x20;deployed&#x20;network&#x20;monitoring&#x20;and&#x20;traffic&#x20;filtering&#x20;solutions.&#x20;This&#x20;invisibility&#x20;carries&#x20;considerable&#x20;risk&#x20;potential&#x20;if&#x20;it&#x20;is&#x20;used&#x20;for&#x20;malicious&#x20;purposes&#x20;such&#x20;as&#x20;data&#x20;exfiltration.&#x20;Cybercriminals&#x20;or&#x20;malware&#x20;could&#x20;exploit&#x20;SSH&#x20;to&#x20;hide&#x20;their&#x20;unauthorized&#x20;communications,&#x20;or&#x20;to&#x20;exfiltrate&#x20;stolen&#x20;data&#x20;from&#x20;the&#x20;target&#x20;network.','SSH&#x20;tunnels&#x20;are&#x20;widely&#x20;used&#x20;in&#x20;many&#x20;corporate&#x20;environments&#x20;that&#x20;employ&#x20;mainframe&#x20;systems&#x20;as&#x20;their&#x20;application&#x20;backends.&#x20;In&#x20;those&#x20;environments&#x20;the&#x20;applications&#x20;themselves&#x20;may&#x20;have&#x20;very&#x20;limited&#x20;native&#x20;support&#x20;for&#x20;security.&#x20;By&#x20;utilizing&#x20;tunneling,&#x20;compliance&#x20;with&#x20;SOX,&#x20;HIPAA,&#x20;PCI-DSS,&#x20;and&#x20;other&#x20;standards&#x20;can&#x20;be&#x20;achieved&#x20;without&#x20;having&#x20;to&#x20;modify&#x20;the&#x20;applications.','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowTcpForwarding&#x20;no.','[{\"cis\": [\"5.2.13\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1048\", \"T1048.002\", \"T1572\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28123,'Ensure&#x20;system-wide&#x20;crypto&#x20;policy&#x20;is&#x20;not&#x20;over-ridden.','System-wide&#x20;Crypto&#x20;policy&#x20;can&#x20;be&#x20;over-ridden&#x20;or&#x20;opted&#x20;out&#x20;of&#x20;for&#x20;openSSH.','Over-riding&#x20;or&#x20;opting&#x20;out&#x20;of&#x20;the&#x20;system-wide&#x20;crypto&#x20;policy&#x20;could&#x20;allow&#x20;for&#x20;the&#x20;use&#x20;of&#x20;less&#x20;secure&#x20;Ciphers,&#x20;MACs,&#x20;KexAlgorithms&#x20;and&#x20;GSSAPIKexAlgorithm.','','Run&#x20;the&#x20;following&#x20;commands:&#x20;#&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;CRYPTO_POLICYs*=.*&#41;$/#&#x20;1/&quot;&#x20;/etc/sysconfig/sshd;&#x20;#&#x20;systemctl&#x20;reload&#x20;sshd.','[{\"cis\": [\"5.2.14\"]}, {\"cis_csc_v8\": [\"3.10\"]}, {\"cis_csc_v7\": [\"14.4\"]}, {\"nist_sp_800-53\": [\"SC-8\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.17\", \"AC.L2-3.1.13\", \"IA.L2-3.5.10\", \"SC.L2-3.13.11\", \"SC.L2-3.13.8\", \"SC.L2-3.13.15\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(1)\", \"164.312(e)(2)(i)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"2.1.1\", \"4.1\", \"4.1.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"2.2.7\", \"4.1.1\", \"4.2.1\", \"4.2.1.2\", \"4.2.2\", \"8.3.2\"]}, {\"iso_27001-2013\": [\"A.13.1.1\", \"A.10.1.1\"]}]'),(28124,'Ensure&#x20;SSH&#x20;warning&#x20;banner&#x20;is&#x20;configured.','The&#x20;Banner&#x20;parameter&#x20;specifies&#x20;a&#x20;file&#x20;whose&#x20;contents&#x20;must&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;remote&#x20;user&#x20;before&#x20;authentication&#x20;is&#x20;permitted.&#x20;By&#x20;default,&#x20;no&#x20;banner&#x20;is&#x20;displayed.','Banners&#x20;are&#x20;used&#x20;to&#x20;warn&#x20;connecting&#x20;users&#x20;of&#x20;the&#x20;particular&#x20;site&#039;s&#x20;policy&#x20;regarding&#x20;connection.&#x20;Presenting&#x20;a&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;login&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Banner&#x20;/etc/issue.net.','[{\"cis\": [\"5.2.15\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_tactics\": [\"TA0001\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1035\"]}]'),(28125,'Ensure&#x20;SSH&#x20;MaxAuthTries&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less.','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4.','[{\"cis\": [\"5.2.16\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"16.13\"]}, {\"nist_sp_800-53\": [\"AU-3\", \"AU-3(1)\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.003\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1036\"]}]'),(28126,'Ensure&#x20;SSH&#x20;MaxStartups&#x20;is&#x20;configured.','The&#x20;MaxStartups&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;to&#x20;the&#x20;SSH&#x20;daemon.','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;pending&#x20;authentication&#x20;connection&#x20;attempts,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxStartups&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxStartups&#x20;10:30:60.','[{\"cis\": [\"5.2.17\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.002\"]}, {\"mitre_tactics\": [\"TA0040\"]}]'),(28127,'Ensure&#x20;SSH&#x20;MaxSessions&#x20;is&#x20;set&#x20;to&#x20;10&#x20;or&#x20;less.','The&#x20;MaxSessions&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;open&#x20;sessions&#x20;permitted&#x20;from&#x20;a&#x20;given&#x20;connection.','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;concurrent&#x20;sessions,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxSessions&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxSessions&#x20;10.','[{\"cis\": [\"5.2.18\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.002\"]}, {\"mitre_tactics\": [\"TA0040\"]}]'),(28128,'Ensure&#x20;SSH&#x20;LoginGraceTime&#x20;is&#x20;set&#x20;to&#x20;one&#x20;minute&#x20;or&#x20;less.','The&#x20;LoginGraceTime&#x20;parameter&#x20;specifies&#x20;the&#x20;time&#x20;allowed&#x20;for&#x20;successful&#x20;authentication&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;The&#x20;longer&#x20;the&#x20;Grace&#x20;period&#x20;is&#x20;the&#x20;more&#x20;open&#x20;unauthenticated&#x20;connections&#x20;can&#x20;exist.&#x20;Like&#x20;other&#x20;session&#x20;controls&#x20;in&#x20;this&#x20;session&#x20;the&#x20;Grace&#x20;Period&#x20;should&#x20;be&#x20;limited&#x20;to&#x20;appropriate&#x20;organizational&#x20;limits&#x20;to&#x20;ensure&#x20;the&#x20;service&#x20;is&#x20;available&#x20;for&#x20;needed&#x20;access.','Setting&#x20;the&#x20;LoginGraceTime&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;It&#x20;will&#x20;also&#x20;limit&#x20;the&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;60&#x20;seconds&#x20;&#40;1&#x20;Minute&#41;,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LoginGraceTime&#x20;60.','[{\"cis\": [\"5.2.19\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.003\", \"T1110.004\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1036\"]}]'),(28129,'Ensure&#x20;SSH&#x20;Idle&#x20;Timeout&#x20;Interval&#x20;is&#x20;configured.','NOTE:&#x20;To&#x20;clarify,&#x20;the&#x20;two&#x20;settings&#x20;described&#x20;below&#x20;are&#x20;only&#x20;meant&#x20;for&#x20;idle&#x20;connections&#x20;from&#x20;a&#x20;protocol&#x20;perspective&#x20;and&#x20;not&#x20;meant&#x20;to&#x20;check&#x20;if&#x20;the&#x20;user&#x20;is&#x20;active&#x20;or&#x20;not.&#x20;An&#x20;idle&#x20;user&#x20;does&#x20;not&#x20;mean&#x20;an&#x20;idle&#x20;connection.&#x20;SSH&#x20;does&#x20;not,&#x20;and&#x20;never&#x20;had,&#x20;intentionally&#x20;the&#x20;capability&#x20;to&#x20;drop&#x20;idle&#x20;users.&#x20;In&#x20;SSH&#x20;versions&#x20;before&#x20;8.2p1&#x20;there&#x20;was&#x20;a&#x20;bug&#x20;that&#x20;caused&#x20;these&#x20;values&#x20;to&#x20;behave&#x20;in&#x20;such&#x20;a&#x20;manner&#x20;that&#x20;they&#x20;were&#x20;abused&#x20;to&#x20;disconnect&#x20;idle&#x20;users.&#x20;This&#x20;bug&#x20;has&#x20;been&#x20;resolved&#x20;in&#x20;8.2p1&#x20;and&#x20;thus&#x20;may&#x20;no&#x20;longer&#x20;be&#x20;abused&#x20;disconnect&#x20;idle&#x20;users.&#x20;The&#x20;two&#x20;options&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax&#x20;control&#x20;the&#x20;timeout&#x20;of&#x20;SSH&#x20;sessions.&#x20;Taken&#x20;directly&#x20;from&#x20;man&#x20;5&#x20;sshd_config:&#x20;-&#x20;ClientAliveInterval&#x20;Sets&#x20;a&#x20;timeout&#x20;interval&#x20;in&#x20;seconds&#x20;after&#x20;which&#x20;if&#x20;no&#x20;data&#x20;has&#x20;been&#x20;received&#x20;from&#x20;the&#x20;client,&#x20;sshd&#40;8&#41;&#x20;will&#x20;send&#x20;a&#x20;message&#x20;through&#x20;the&#x20;encrypted&#x20;channel&#x20;to&#x20;request&#x20;a&#x20;response&#x20;from&#x20;the&#x20;client.&#x20;The&#x20;default&#x20;is&#x20;0,&#x20;indicating&#x20;that&#x20;these&#x20;messages&#x20;will&#x20;not&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;client.&#x20;-&#x20;ClientAliveCountMax&#x20;Sets&#x20;the&#x20;number&#x20;of&#x20;client&#x20;alive&#x20;messages&#x20;which&#x20;may&#x20;be&#x20;sent&#x20;without&#x20;sshd&#40;8&#41;&#x20;receiving&#x20;any&#x20;messages&#x20;back&#x20;from&#x20;the&#x20;client.&#x20;If&#x20;this&#x20;threshold&#x20;is&#x20;reached&#x20;while&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;being&#x20;sent,&#x20;sshd&#x20;will&#x20;disconnect&#x20;the&#x20;client,&#x20;terminating&#x20;the&#x20;session.&#x20;It&#x20;is&#x20;important&#x20;to&#x20;note&#x20;that&#x20;the&#x20;use&#x20;of&#x20;client&#x20;alive&#x20;messages&#x20;is&#x20;very&#x20;different&#x20;from&#x20;TCPKeepAlive.&#x20;The&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;sent&#x20;through&#x20;the&#x20;encrypted&#x20;channel&#x20;and&#x20;therefore&#x20;will&#x20;not&#x20;be&#x20;spoofable.&#x20;The&#x20;TCP&#x20;keepalive&#x20;option&#x20;enabled&#x20;by&#x20;TCPKeepAlive&#x20;is&#x20;spoofable.&#x20;The&#x20;client&#x20;alive&#x20;mechanism&#x20;is&#x20;valuable&#x20;when&#x20;the&#x20;client&#x20;or&#x20;server&#x20;depend&#x20;on&#x20;knowing&#x20;when&#x20;a&#x20;connection&#x20;has&#x20;become&#x20;unresponsive.&#x20;The&#x20;default&#x20;value&#x20;is&#x20;3.&#x20;If&#x20;ClientAliveInterval&#x20;is&#x20;set&#x20;to&#x20;15,&#x20;and&#x20;ClientAliveCountMax&#x20;is&#x20;left&#x20;at&#x20;the&#x20;default,&#x20;unresponsive&#x20;SSH&#x20;clients&#x20;will&#x20;be&#x20;disconnected&#x20;after&#x20;approximately&#x20;45&#x20;seconds.&#x20;Setting&#x20;a&#x20;zero&#x20;ClientAliveCountMax&#x20;disables&#x20;connection&#x20;termination.','In&#x20;order&#x20;to&#x20;prevent&#x20;resource&#x20;exhaustion,&#x20;appropriate&#x20;values&#x20;should&#x20;be&#x20;set&#x20;for&#x20;both&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax.&#x20;Specifically,&#x20;looking&#x20;at&#x20;the&#x20;source&#x20;code,&#x20;ClientAliveCountMax&#x20;must&#x20;be&#x20;greater&#x20;than&#x20;zero&#x20;in&#x20;order&#x20;to&#x20;utilize&#x20;the&#x20;ability&#x20;of&#x20;SSH&#x20;to&#x20;drop&#x20;idle&#x20;connections.&#x20;If&#x20;connections&#x20;are&#x20;allowed&#x20;to&#x20;stay&#x20;open&#x20;indefinitely,&#x20;this&#x20;can&#x20;potentially&#x20;be&#x20;used&#x20;as&#x20;a&#x20;DDOS&#x20;attack&#x20;or&#x20;simple&#x20;resource&#x20;exhaustion&#x20;could&#x20;occur&#x20;over&#x20;unreliable&#x20;networks.&#x20;The&#x20;example&#x20;set&#x20;here&#x20;is&#x20;a&#x20;45&#x20;second&#x20;timeout.&#x20;Consult&#x20;your&#x20;site&#x20;policy&#x20;for&#x20;network&#x20;timeouts&#x20;and&#x20;apply&#x20;as&#x20;appropriate.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameters&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;Example:&#x20;ClientAliveInterval&#x20;15&#x20;ClientAliveCountMax&#x20;3.','[{\"cis\": [\"5.2.20\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(28130,'Ensure&#x20;sudo&#x20;is&#x20;installed.','sudo&#x20;allows&#x20;a&#x20;permitted&#x20;user&#x20;to&#x20;execute&#x20;a&#x20;command&#x20;as&#x20;the&#x20;superuser&#x20;or&#x20;another&#x20;user,&#x20;as&#x20;specified&#x20;by&#x20;the&#x20;security&#x20;policy.&#x20;The&#x20;invoking&#x20;user&#039;s&#x20;real&#x20;&#40;not&#x20;effective&#41;&#x20;user&#x20;ID&#x20;is&#x20;used&#x20;to&#x20;determine&#x20;the&#x20;user&#x20;name&#x20;with&#x20;which&#x20;to&#x20;query&#x20;the&#x20;security&#x20;policy.','sudo&#x20;supports&#x20;a&#x20;plug-in&#x20;architecture&#x20;for&#x20;security&#x20;policies&#x20;and&#x20;input/output&#x20;logging.&#x20;Third&#x20;parties&#x20;can&#x20;develop&#x20;and&#x20;distribute&#x20;their&#x20;own&#x20;policy&#x20;and&#x20;I/O&#x20;logging&#x20;plug-ins&#x20;to&#x20;work&#x20;seamlessly&#x20;with&#x20;the&#x20;sudo&#x20;front&#x20;end.&#x20;The&#x20;default&#x20;security&#x20;policy&#x20;is&#x20;sudoers,&#x20;which&#x20;is&#x20;configured&#x20;via&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;and&#x20;any&#x20;entries&#x20;in&#x20;/etc/sudoers.d.&#x20;The&#x20;security&#x20;policy&#x20;determines&#x20;what&#x20;privileges,&#x20;if&#x20;any,&#x20;a&#x20;user&#x20;has&#x20;to&#x20;run&#x20;sudo.&#x20;The&#x20;policy&#x20;may&#x20;require&#x20;that&#x20;users&#x20;authenticate&#x20;themselves&#x20;with&#x20;a&#x20;password&#x20;or&#x20;another&#x20;authentication&#x20;mechanism.&#x20;If&#x20;authentication&#x20;is&#x20;required,&#x20;sudo&#x20;will&#x20;exit&#x20;if&#x20;the&#x20;user&#039;s&#x20;password&#x20;is&#x20;not&#x20;entered&#x20;within&#x20;a&#x20;configurable&#x20;time&#x20;limit.&#x20;This&#x20;limit&#x20;is&#x20;policy-specific.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;sudo.&#x20;#&#x20;dnf&#x20;install&#x20;sudo.','[{\"cis\": [\"5.3.1\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}]'),(28131,'Ensure&#x20;sudo&#x20;commands&#x20;use&#x20;pty.','sudo&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;run&#x20;only&#x20;from&#x20;a&#x20;pseudo&#x20;terminal&#x20;&#40;pseudo-pty&#41;.','Attackers&#x20;can&#x20;run&#x20;a&#x20;malicious&#x20;program&#x20;using&#x20;sudo&#x20;which&#x20;would&#x20;fork&#x20;a&#x20;background&#x20;process&#x20;that&#x20;remains&#x20;even&#x20;when&#x20;the&#x20;main&#x20;program&#x20;has&#x20;finished&#x20;executing.','WARNING:&#x20;Editing&#x20;the&#x20;sudo&#x20;configuration&#x20;incorrectly&#x20;can&#x20;cause&#x20;sudo&#x20;to&#x20;stop&#x20;functioning.&#x20;Always&#x20;use&#x20;visudo&#x20;to&#x20;modify&#x20;sudo&#x20;configuration&#x20;files.','Edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;with&#x20;visudo&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;-f&#x20;&lt;PATH_TO_FILE&gt;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Defaults&#x20;use_pty.','[{\"cis\": [\"5.3.2\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.003\", \"T1548\", \"T1548.003\"]}, {\"mitre_tactics\": [\"TA0001\", \"TA0003\"]}, {\"mitre_mitigations\": [\"M1026\", \"M1038\"]}]'),(28132,'Ensure&#x20;sudo&#x20;log&#x20;file&#x20;exists.','sudo&#x20;can&#x20;use&#x20;a&#x20;custom&#x20;log&#x20;file.','A&#x20;sudo&#x20;log&#x20;file&#x20;simplifies&#x20;auditing&#x20;of&#x20;sudo&#x20;commands.','WARNING:&#x20;Editing&#x20;the&#x20;sudo&#x20;configuration&#x20;incorrectly&#x20;can&#x20;cause&#x20;sudo&#x20;to&#x20;stop&#x20;functioning.&#x20;Always&#x20;use&#x20;visudo&#x20;to&#x20;modify&#x20;sudo&#x20;configuration&#x20;files.&#x20;Creation&#x20;of&#x20;additional&#x20;log&#x20;files&#x20;can&#x20;cause&#x20;disk&#x20;space&#x20;exhaustion&#x20;if&#x20;not&#x20;correctly&#x20;managed.&#x20;You&#x20;should&#x20;configure&#x20;logrotate&#x20;to&#x20;manage&#x20;the&#x20;sudo&#x20;log&#x20;in&#x20;accordance&#x20;with&#x20;your&#x20;local&#x20;policy.','Edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;or&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Defaults&#x20;logfile=&quot;&lt;PATH&#x20;TO&#x20;CUSTOM&#x20;LOG&#x20;FILE&gt;&quot;&#x20;Example:&#x20;Defaults&#x20;logfile=&quot;/var/log/sudo.log&quot;.','[{\"cis\": [\"5.3.3\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"6.3\"]}, {\"nist_sp_800-53\": [\"AU-3\", \"AU-3(1)\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(28133,'Ensure&#x20;users&#x20;must&#x20;provide&#x20;password&#x20;for&#x20;escalation.','The&#x20;operating&#x20;system&#x20;must&#x20;be&#x20;configured&#x20;so&#x20;that&#x20;users&#x20;must&#x20;provide&#x20;a&#x20;password&#x20;for&#x20;privilege&#x20;escalation.','Without&#x20;re-authentication,&#x20;users&#x20;may&#x20;access&#x20;resources&#x20;or&#x20;perform&#x20;tasks&#x20;for&#x20;which&#x20;they&#x20;do&#x20;not&#x20;have&#x20;authorization.&#x20;When&#x20;operating&#x20;systems&#x20;provide&#x20;the&#x20;capability&#x20;to&#x20;escalate&#x20;a&#x20;functional&#x20;capability,&#x20;it&#x20;is&#x20;critical&#x20;the&#x20;user&#x20;re-authenticate.','This&#x20;will&#x20;prevent&#x20;automated&#x20;processes&#x20;from&#x20;being&#x20;able&#x20;to&#x20;elevate&#x20;privileges.&#x20;To&#x20;include&#x20;Ansible&#x20;and&#x20;AWS&#x20;builds.','Based&#x20;on&#x20;the&#x20;outcome&#x20;of&#x20;the&#x20;audit&#x20;procedure,&#x20;use&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;to&#x20;edit&#x20;the&#x20;relevant&#x20;sudoers&#x20;file.&#x20;Remove&#x20;any&#x20;line&#x20;with&#x20;occurrences&#x20;of&#x20;NOPASSWD&#x20;tags&#x20;in&#x20;the&#x20;file.','[{\"cis\": [\"5.3.4\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}]'),(28134,'Ensure&#x20;re-authentication&#x20;for&#x20;privilege&#x20;escalation&#x20;is&#x20;not&#x20;disabled&#x20;globally.','The&#x20;operating&#x20;system&#x20;must&#x20;be&#x20;configured&#x20;so&#x20;that&#x20;users&#x20;must&#x20;re-authenticate&#x20;for&#x20;privilege&#x20;escalation.','Without&#x20;re-authentication,&#x20;users&#x20;may&#x20;access&#x20;resources&#x20;or&#x20;perform&#x20;tasks&#x20;for&#x20;which&#x20;they&#x20;do&#x20;not&#x20;have&#x20;authorization.&#x20;When&#x20;operating&#x20;systems&#x20;provide&#x20;the&#x20;capability&#x20;to&#x20;escalate&#x20;a&#x20;functional&#x20;capability,&#x20;it&#x20;is&#x20;critical&#x20;the&#x20;user&#x20;re-authenticate.','','Configure&#x20;the&#x20;operating&#x20;system&#x20;to&#x20;require&#x20;users&#x20;to&#x20;reauthenticate&#x20;for&#x20;privilege&#x20;escalation.&#x20;Based&#x20;on&#x20;the&#x20;outcome&#x20;of&#x20;the&#x20;audit&#x20;procedure,&#x20;use&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;to&#x20;edit&#x20;the&#x20;relevant&#x20;sudoers&#x20;file.&#x20;Remove&#x20;any&#x20;occurrences&#x20;of&#x20;!authenticate&#x20;tags&#x20;in&#x20;the&#x20;file&#40;s&#41;.','[{\"cis\": [\"5.3.5\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}]'),(28135,'Ensure&#x20;sudo&#x20;authentication&#x20;timeout&#x20;is&#x20;configured&#x20;correctly.','sudo&#x20;caches&#x20;used&#x20;credentials&#x20;for&#x20;a&#x20;default&#x20;of&#x20;5&#x20;minutes.&#x20;This&#x20;is&#x20;for&#x20;ease&#x20;of&#x20;use&#x20;when&#x20;there&#x20;are&#x20;multiple&#x20;administrative&#x20;tasks&#x20;to&#x20;perform.&#x20;The&#x20;timeout&#x20;can&#x20;be&#x20;modified&#x20;to&#x20;suit&#x20;local&#x20;security&#x20;policies.','Setting&#x20;a&#x20;timeout&#x20;value&#x20;reduces&#x20;the&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;unauthorized&#x20;privileged&#x20;access&#x20;to&#x20;another&#x20;user.','','If&#x20;the&#x20;currently&#x20;configured&#x20;timeout&#x20;is&#x20;larger&#x20;than&#x20;15&#x20;minutes,&#x20;edit&#x20;the&#x20;file&#x20;listed&#x20;in&#x20;the&#x20;audit&#x20;section&#x20;with&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;modify&#x20;the&#x20;entry&#x20;timestamp_timeout=&#x20;to&#x20;15&#x20;minutes&#x20;or&#x20;less&#x20;as&#x20;per&#x20;your&#x20;site&#x20;policy.&#x20;The&#x20;value&#x20;is&#x20;in&#x20;minutes.&#x20;This&#x20;particular&#x20;entry&#x20;may&#x20;appear&#x20;on&#x20;its&#x20;own,&#x20;or&#x20;on&#x20;the&#x20;same&#x20;line&#x20;as&#x20;env_reset.&#x20;See&#x20;the&#x20;following&#x20;two&#x20;examples:&#x20;Defaults&#x20;env_reset,&#x20;timestamp_timeout=15&#x20;Defaults&#x20;timestamp_timeout=15&#x20;Defaults&#x20;env_reset.','[{\"cis\": [\"5.3.6\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}]'),(28136,'Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','The&#x20;su&#x20;command&#x20;allows&#x20;a&#x20;user&#x20;to&#x20;run&#x20;a&#x20;command&#x20;or&#x20;shell&#x20;as&#x20;another&#x20;user.&#x20;The&#x20;program&#x20;has&#x20;been&#x20;superseded&#x20;by&#x20;sudo,&#x20;which&#x20;allows&#x20;for&#x20;more&#x20;granular&#x20;control&#x20;over&#x20;privileged&#x20;access.&#x20;Normally,&#x20;the&#x20;su&#x20;command&#x20;can&#x20;be&#x20;executed&#x20;by&#x20;any&#x20;user.&#x20;By&#x20;uncommenting&#x20;the&#x20;pam_wheel.so&#x20;statement&#x20;in&#x20;/etc/pam.d/su,&#x20;the&#x20;su&#x20;command&#x20;will&#x20;only&#x20;allow&#x20;users&#x20;in&#x20;a&#x20;specific&#x20;groups&#x20;to&#x20;execute&#x20;su.&#x20;This&#x20;group&#x20;should&#x20;be&#x20;empty&#x20;to&#x20;reinforce&#x20;the&#x20;use&#x20;of&#x20;sudo&#x20;for&#x20;privileged&#x20;access.','Restricting&#x20;the&#x20;use&#x20;of&#x20;su,&#x20;and&#x20;using&#x20;sudo&#x20;in&#x20;its&#x20;place,&#x20;provides&#x20;system&#x20;administrators&#x20;better&#x20;control&#x20;of&#x20;the&#x20;escalation&#x20;of&#x20;user&#x20;privileges&#x20;to&#x20;execute&#x20;privileged&#x20;commands.&#x20;The&#x20;sudo&#x20;utility&#x20;also&#x20;provides&#x20;a&#x20;better&#x20;logging&#x20;and&#x20;audit&#x20;mechanism,&#x20;as&#x20;it&#x20;can&#x20;log&#x20;each&#x20;command&#x20;executed&#x20;via&#x20;sudo,&#x20;whereas&#x20;su&#x20;can&#x20;only&#x20;record&#x20;that&#x20;a&#x20;user&#x20;executed&#x20;the&#x20;su&#x20;program.','','Create&#x20;an&#x20;empty&#x20;group&#x20;that&#x20;will&#x20;be&#x20;specified&#x20;for&#x20;use&#x20;of&#x20;the&#x20;su&#x20;command.&#x20;The&#x20;group&#x20;should&#x20;be&#x20;named&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;Example:&#x20;#&#x20;groupadd&#x20;sugroup.&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/pam.d/su&#x20;file,&#x20;specifying&#x20;the&#x20;empty&#x20;group:&#x20;auth&#x20;required&#x20;pam_wheel.so&#x20;use_uid&#x20;group=sugroup.','[{\"cis\": [\"5.3.7\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_techniques\": [\"T1078\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(28137,'Ensure&#x20;custom&#x20;authselect&#x20;profile&#x20;is&#x20;used.','A&#x20;custom&#x20;profile&#x20;can&#x20;be&#x20;created&#x20;by&#x20;copying&#x20;and&#x20;customizing&#x20;one&#x20;of&#x20;the&#x20;default&#x20;profiles.&#x20;The&#x20;default&#x20;profiles&#x20;include:&#x20;sssd,&#x20;winbind,&#x20;or&#x20;the&#x20;nis.&#x20;This&#x20;profile&#x20;can&#x20;then&#x20;be&#x20;customized&#x20;to&#x20;follow&#x20;site&#x20;specific&#x20;requirements.&#x20;You&#x20;can&#x20;select&#x20;a&#x20;profile&#x20;for&#x20;the&#x20;authselect&#x20;utility&#x20;for&#x20;a&#x20;specific&#x20;host.&#x20;The&#x20;profile&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;every&#x20;user&#x20;logging&#x20;into&#x20;the&#x20;host.','A&#x20;custom&#x20;profile&#x20;is&#x20;required&#x20;to&#x20;customize&#x20;many&#x20;of&#x20;the&#x20;pam&#x20;options.&#x20;When&#x20;you&#x20;deploy&#x20;a&#x20;profile,&#x20;the&#x20;profile&#x20;is&#x20;applied&#x20;to&#x20;every&#x20;user&#x20;logging&#x20;into&#x20;the&#x20;given&#x20;host.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;a&#x20;custom&#x20;authselect&#x20;profile:&#x20;#&#x20;authselect&#x20;create-profile&#x20;&lt;custom-profile&#x20;name&gt;&#x20;&lt;options&gt;&#x20;Example:&#x20;#&#x20;authselect&#x20;create-profile&#x20;custom-profile&#x20;-b&#x20;sssd&#x20;--symlink-meta&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;select&#x20;a&#x20;custom&#x20;authselect&#x20;profile:&#x20;#&#x20;authselect&#x20;select&#x20;custom/&lt;CUSTOM&#x20;PROFILE&#x20;NAME&gt;&#x20;{with-&lt;OPTIONS&gt;}&#x20;Example:&#x20;#&#x20;authselect&#x20;select&#x20;custom/custom-profile&#x20;with-sudo&#x20;with-faillock&#x20;without-nullok.','[{\"cis\": [\"5.4.1\"]}, {\"cis_csc_v8\": [\"16.2\"]}, {\"cis_csc_v7\": [\"16.7\"]}, {\"cmmc_v2.0\": [\"SI.L1-3.14.1\"]}, {\"pci_dss_3.2.1\": [\"6.3.2\"]}, {\"pci_dss_4.0\": [\"6.3.1\"]}, {\"iso_27001-2013\": [\"A.9.2.6\"]}]'),(28138,'Ensure&#x20;authselect&#x20;includes&#x20;with-faillock.','The&#x20;pam_faillock.so&#x20;module&#x20;maintains&#x20;a&#x20;list&#x20;of&#x20;failed&#x20;authentication&#x20;attempts&#x20;per&#x20;user&#x20;during&#x20;a&#x20;specified&#x20;interval&#x20;and&#x20;locks&#x20;the&#x20;account&#x20;in&#x20;case&#x20;there&#x20;were&#x20;more&#x20;than&#x20;the&#x20;configured&#x20;number&#x20;of&#x20;consecutive&#x20;failed&#x20;authentications&#x20;&#40;this&#x20;is&#x20;defined&#x20;by&#x20;the&#x20;deny&#x20;parameter&#x20;in&#x20;the&#x20;faillock&#x20;configuration&#41;.&#x20;It&#x20;stores&#x20;the&#x20;failure&#x20;records&#x20;into&#x20;per-user&#x20;files&#x20;in&#x20;the&#x20;tally&#x20;directory.','Locking&#x20;out&#x20;user&#x20;IDs&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts&#x20;mitigates&#x20;brute&#x20;force&#x20;password&#x20;attacks&#x20;against&#x20;your&#x20;systems.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;include&#x20;the&#x20;with-faillock&#x20;option&#x20;to&#x20;the&#x20;current&#x20;authselect&#x20;profile:&#x20;#&#x20;authselect&#x20;enable-feature&#x20;with-faillock&#x20;#&#x20;authselect&#x20;apply-changes.','[{\"cis\": [\"5.4.2\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"16.7\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.9.2.6\"]}]'),(28139,'Ensure&#x20;password&#x20;creation&#x20;requirements&#x20;are&#x20;configured.','The&#x20;pam_pwquality.so&#x20;module&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more.&#x20;The&#x20;following&#x20;are&#x20;definitions&#x20;of&#x20;the&#x20;pam_pwquality.so&#x20;options.&#x20;-&#x20;try_first_pass&#x20;-&#x20;retrieve&#x20;the&#x20;password&#x20;from&#x20;a&#x20;previous&#x20;stacked&#x20;PAM&#x20;module.&#x20;If&#x20;not&#x20;available,&#x20;then&#x20;prompt&#x20;the&#x20;user&#x20;for&#x20;a&#x20;password.&#x20;-&#x20;retry=3&#x20;-&#x20;Allow&#x20;3&#x20;tries&#x20;before&#x20;sending&#x20;back&#x20;a&#x20;failure.&#x20;-&#x20;minlen=14&#x20;-&#x20;password&#x20;must&#x20;be&#x20;14&#x20;characters&#x20;or&#x20;more.&#x20;Either&#x20;of&#x20;the&#x20;following&#x20;can&#x20;be&#x20;used&#x20;to&#x20;enforce&#x20;complex&#x20;passwords:&#x20;-&#x20;minclass=4&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;four&#x20;classes&#x20;of&#x20;characters&#x20;for&#x20;the&#x20;new&#x20;password.&#x20;OR&#x20;-&#x20;dcredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;digit.&#x20;-&#x20;ucredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;uppercase&#x20;character.&#x20;-&#x20;ocredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;special&#x20;character.&#x20;-&#x20;lcredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;lowercase&#x20;character.&#x20;-&#x20;The&#x20;settings&#x20;shown&#x20;above&#x20;are&#x20;one&#x20;possible&#x20;policy.&#x20;Alter&#x20;these&#x20;values&#x20;to&#x20;conform&#x20;to&#x20;your&#x20;own&#x20;organization&#039;s&#x20;password&#x20;policies.','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;password&#x20;length&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minlen&#x20;=&#x20;14&#x20;Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;password&#x20;complexity&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minclass&#x20;=&#x20;4&#x20;OR&#x20;dcredit&#x20;=&#x20;-1&#x20;ucredit&#x20;=&#x20;-1&#x20;ocredit&#x20;=&#x20;-1&#x20;lcredit&#x20;=&#x20;-1.&#x20;Run&#x20;the&#x20;following&#x20;script&#x20;to&#x20;update&#x20;the&#x20;system-auth&#x20;and&#x20;password-auth&#x20;files:&#x20;#!/usr/bin/env&#x20;bash&#x20;for&#x20;fn&#x20;in&#x20;system-auth&#x20;password-auth;&#x20;do&#x20;file=&quot;/etc/authselect/$&#40;head&#x20;-1&#x20;/etc/authselect/authselect.conf&#x20;|&#x20;grep&#x20;&#039;custom/&#039;&#41;/$fn&quot;&#x20;if&#x20;!&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+requisiteh+pam_pwquality.so&#40;h+[^#&#x0a;&#x0d;]+&#41;?h+.*enforce_for_r&#x20;oot&#x08;.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;sed&#x20;-ri&#x20;&#039;s/^s*&#40;passwords+requisites+pam_pwquality.sos+&#41;&#40;.*&#41;$/12&#x20;enforce_for_root/&#039;&#x20;&quot;$file&quot;&#x20;fi&#x20;if&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+requisiteh+pam_pwquality.so&#40;h+[^#&#x0a;&#x0d;]+&#41;?h+retry=&#40;[4-9]|[1-9][0-9]+&#41;&#x08;.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;sed&#x20;-ri&#x20;&#039;/pwquality/s/retry=S+/retry=3/&#039;&#x20;&quot;$file&quot;&#x20;elif&#x20;!&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+requisiteh+pam_pwquality.so&#40;h+[^#&#x0a;&#x0d;]+&#41;?h+retry=d+&#x08;.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;sed&#x20;-ri&#x20;&#039;s/^s*&#40;passwords+requisites+pam_pwquality.sos+&#41;&#40;.*&#41;$/12&#x20;retry=3/&#039;&#x20;&quot;$file&quot;&#x20;fi&#x20;done&#x20;authselect&#x20;apply-changes.','[{\"cis\": [\"5.5.1\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.002\", \"T1110.003\", \"T1178.001\", \"T1178.002\", \"T1178.003\", \"T1178.004\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(28140,'Ensure&#x20;lockout&#x20;for&#x20;failed&#x20;password&#x20;attempts&#x20;is&#x20;configured.','Lock&#x20;out&#x20;users&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts.&#x20;-&#x20;deny=&lt;n&gt;&#x20;-&#x20;Number&#x20;of&#x20;attempts&#x20;before&#x20;the&#x20;account&#x20;is&#x20;locked.&#x20;-&#x20;unlock_time=&lt;n&gt;&#x20;-&#x20;Time&#x20;in&#x20;seconds&#x20;before&#x20;the&#x20;account&#x20;is&#x20;unlocked.&#x20;Note:&#x20;The&#x20;maximum&#x20;configurable&#x20;value&#x20;for&#x20;unlock_time&#x20;is&#x20;604800.','Locking&#x20;out&#x20;user&#x20;IDs&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts&#x20;mitigates&#x20;brute&#x20;force&#x20;password&#x20;attacks&#x20;against&#x20;your&#x20;systems.','Use&#x20;of&#x20;unlock_time=0&#x20;may&#x20;allow&#x20;an&#x20;attacker&#x20;to&#x20;cause&#x20;denial&#x20;of&#x20;service&#x20;to&#x20;legitimate&#x20;users.','Set&#x20;password&#x20;lockouts&#x20;and&#x20;unlock&#x20;times&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy.&#x20;deny&#x20;should&#x20;be&#x20;greater&#x20;than&#x20;0&#x20;and&#x20;no&#x20;greater&#x20;than&#x20;5.&#x20;unlock_time&#x20;should&#x20;be&#x20;0&#x20;&#40;never&#41;,&#x20;or&#x20;900&#x20;seconds&#x20;or&#x20;greater.&#x20;Edit&#x20;/etc/security/faillock.conf&#x20;and&#x20;update&#x20;or&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;deny&#x20;=&#x20;5&#x20;unlock_time&#x20;=&#x20;900.','[{\"cis\": [\"5.5.2\"]}, {\"cis_csc_v8\": [\"6.2\"]}, {\"cis_csc_v7\": [\"16.7\"]}, {\"nist_sp_800-53\": [\"AC-2(1)\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\"]}, {\"hipaa\": [\"164.308(a)(3)(ii)(C)\"]}, {\"pci_dss_3.2.1\": [\"8.1.3\"]}, {\"pci_dss_4.0\": [\"8.2.4\", \"8.2.5\"]}, {\"soc_2\": [\"CC6.2\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.6\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.003\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(28141,'Ensure&#x20;password&#x20;reuse&#x20;is&#x20;limited.','The&#x20;/etc/security/opasswd&#x20;file&#x20;stores&#x20;the&#x20;users&#039;&#x20;old&#x20;passwords&#x20;and&#x20;can&#x20;be&#x20;checked&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;are&#x20;not&#x20;recycling&#x20;recent&#x20;passwords.&#x20;remember=&lt;5&gt;&#x20;-&#x20;Number&#x20;of&#x20;old&#x20;passwords&#x20;to&#x20;remember.','Forcing&#x20;users&#x20;not&#x20;to&#x20;reuse&#x20;their&#x20;past&#x20;5&#x20;passwords&#x20;make&#x20;it&#x20;less&#x20;likely&#x20;that&#x20;an&#x20;attacker&#x20;will&#x20;be&#x20;able&#x20;to&#x20;guess&#x20;the&#x20;password.&#x20;Note:&#x20;These&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Set&#x20;remembered&#x20;password&#x20;history&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy.&#x20;Run&#x20;the&#x20;following&#x20;script&#x20;to&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;pam_pwhistory.so&#x20;and&#x20;pam_unix.so&#x20;lines&#x20;to&#x20;include&#x20;the&#x20;remember&#x20;option:&#x20;#!/usr/bin/env&#x20;bash&#x20;{&#x20;file=&quot;/etc/authselect/$&#40;head&#x20;-1&#x20;/etc/authselect/authselect.conf&#x20;|&#x20;grep&#x20;&#039;custom/&#039;&#41;/system-auth&quot;&#x20;if&#x20;!&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+&#40;requisite|required|sufficient&#41;h+pam_pwhistory.soh+&#40;[^#&#x0a;&#x0d;]+h+&#41;?remember=&#40;[5-9]|[1-9][0-9]+&#41;&#x08;.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;if&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+&#40;requisite|required|sufficient&#41;h+pam_pwhistory.soh+&#40;[^#&#x0a;&#x0d;]+h+&#41;?remember=d+&#x08;.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;sed&#x20;-ri&#x20;&#039;s/^s*&#40;passwords+&#40;requisite|required|sufficient&#41;s+pam_pwhistory.sos+&#40;[^#&#x0a;&#x0d;]+s+&#41;?&#41;&#40;remember=S+s*&#41;&#40;s+.*&#41;?$/1&#x20;remember=5&#x20;5/&#039;&#x20;$file&#x20;elif&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+&#40;requisite|required|sufficient&#41;h+pam_pwhistory.soh+&#40;[^#&#x0a;&#x0d;]+h+&#41;?.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;sed&#x20;-ri&#x20;&#039;/^s*passwords+&#40;requisite|required|sufficient&#41;s+pam_pwhistory.so/&#x20;s/$/&#x20;remember=5/&#039;&#x20;$file&#x20;else&#x20;sed&#x20;-ri&#x20;&#039;/^s*passwords+&#40;requisite|required|sufficient&#41;s+pam_unix.so/i&#x20;password&#x20;required&#x20;pam_pwhistory.so&#x20;remember=5&#x20;use_authtok&#039;&#x20;$file&#x20;fi&#x20;fi&#x20;if&#x20;!&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+&#40;requisite|required|sufficient&#41;h+pam_unix.soh+&#40;[^#&#x0a;&#x0d;]+h+&#41;?remember=&#40;[5-9]|[1-9][0-9]+&#41;&#x08;.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;if&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+&#40;requisite|required|sufficient&#41;h+pam_unix.soh+&#40;[^#&#x0a;&#x0d;]+h&#x20;+&#41;?remember=d+&#x08;.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;sed&#x20;-ri&#x20;&#039;s/^s*&#40;passwords+&#40;requisite|required|sufficient&#41;s+pam_unix.sos+&#40;[^#&#x0a;&#x0d;]&#x20;+s+&#41;?&#41;&#40;remember=S+s*&#41;&#40;s+.*&#41;?$/1&#x20;remember=5&#x20;5/&#039;&#x20;$file&#x20;else&#x20;sed&#x20;-ri&#x20;&#039;/^s*passwords+&#40;requisite|required|sufficient&#41;s+pam_unix.so/&#x20;s/$/&#x20;remember=5/&#039;&#x20;$file&#x20;fi&#x20;fi&#x20;authselect&#x20;apply-changes&#x20;}.','[{\"cis\": [\"5.5.3\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"nist_sp_800-53\": [\"IA-5(1)\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.004\"]}]'),(28142,'Ensure&#x20;password&#x20;hashing&#x20;algorithm&#x20;is&#x20;SHA-512&#x20;or&#x20;yescrypt.','A&#x20;cryptographic&#x20;hash&#x20;function&#x20;converts&#x20;an&#x20;arbitrary-length&#x20;input&#x20;into&#x20;a&#x20;fixed&#x20;length&#x20;output.&#x20;Password&#x20;hashing&#x20;performs&#x20;a&#x20;one-way&#x20;transformation&#x20;of&#x20;a&#x20;password,&#x20;turning&#x20;the&#x20;password&#x20;into&#x20;another&#x20;string,&#x20;called&#x20;the&#x20;hashed&#x20;password.','The&#x20;SHA-512&#x20;algorithm&#x20;provides&#x20;stronger&#x20;hashing&#x20;than&#x20;other&#x20;hashing&#x20;algorithms&#x20;used&#x20;for&#x20;password&#x20;hashing&#x20;with&#x20;Linux,&#x20;providing&#x20;additional&#x20;protection&#x20;to&#x20;the&#x20;system&#x20;by&#x20;increasing&#x20;the&#x20;level&#x20;of&#x20;effort&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;successfully&#x20;determine&#x20;passwords.&#x20;Note:&#x20;These&#x20;changes&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Set&#x20;password&#x20;hashing&#x20;algorithm&#x20;to&#x20;sha512.&#x20;Edit&#x20;/etc/libuser.conf&#x20;and&#x20;edit&#x20;of&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;crypt_style&#x20;=&#x20;sha512&#x20;Edit&#x20;/etc/login.defs&#x20;and&#x20;edit&#x20;or&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;ENCRYPT_METHOD&#x20;SHA512&#x20;Run&#x20;the&#x20;following&#x20;script&#x20;to&#x20;configure&#x20;pam_unix.so&#x20;to&#x20;use&#x20;the&#x20;sha512&#x20;hashing&#x20;algorithm:&#x20;#!/usr/bin/env&#x20;bash&#x20;for&#x20;fn&#x20;in&#x20;system-auth&#x20;password-auth;&#x20;do&#x20;file=&quot;/etc/authselect/$&#40;head&#x20;-1&#x20;/etc/authselect/authselect.conf&#x20;|&#x20;grep&#x20;&#039;custom/&#039;&#41;/$fn&quot;&#x20;if&#x20;!&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+&#40;requisite|required|sufficient&#41;h+pam_unix.so&#40;h+[^#&#x0a;&#x0d;]+&#41;?&#x20;h+sha512&#x08;.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;if&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+&#40;requisite|required|sufficient&#41;h+pam_unix.so&#40;h+[^#&#x0a;&#x0d;]+&#41;?&#x20;h+&#40;md5|blowfish|bigcrypt|sha256&#41;&#x08;.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;sed&#x20;-ri&#x20;&#039;s/&#40;md5|blowfish|bigcrypt|sha256&#41;/sha512/&#039;&#x20;&quot;$file&quot;&#x20;else&#x20;sed&#x20;-ri&#x20;&#039;s/&#40;^s*passwords+&#40;requisite|required|sufficient&#41;s+pam_unix.sos+&#41;&#40;.*&#41;$/1s&#x20;ha512&#x20;3/&#039;&#x20;$file&#x20;fi&#x20;fi&#x20;done&#x20;authselect&#x20;apply-changes&#x20;Note:&#x20;This&#x20;only&#x20;effects&#x20;local&#x20;users&#x20;and&#x20;passwords&#x20;created&#x20;after&#x20;updating&#x20;the&#x20;files&#x20;to&#x20;use&#x20;sha512.&#x20;If&#x20;it&#x20;is&#x20;determined&#x20;that&#x20;the&#x20;password&#x20;algorithm&#x20;being&#x20;used&#x20;is&#x20;not&#x20;SHA-512,&#x20;once&#x20;it&#x20;is&#x20;changed,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;all&#x20;user&#x20;ID&#039;s&#x20;be&#x20;immediately&#x20;expired&#x20;and&#x20;forced&#x20;to&#x20;change&#x20;their&#x20;passwords&#x20;on&#x20;next&#x20;login.','[{\"cis\": [\"5.5.4\"]}, {\"cis_csc_v8\": [\"3.11\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"nist_sp_800-53\": [\"IA-5(1)\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.19\", \"IA.L2-3.5.10\", \"MP.L2-3.8.1\", \"SC.L2-3.13.11\", \"SC.L2-3.13.16\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"3.4\", \"3.4.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"3.1.1\", \"3.3.2\", \"3.3.3\", \"3.5.1\", \"3.5.1.2\", \"3.5.1.3\", \"8.3.2\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1110\", \"T1110.002\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1041\"]}]'),(28143,'Ensure&#x20;password&#x20;expiration&#x20;is&#x20;365&#x20;days&#x20;or&#x20;less.','The&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;force&#x20;passwords&#x20;to&#x20;expire&#x20;once&#x20;they&#x20;reach&#x20;a&#x20;defined&#x20;age.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;less&#x20;than&#x20;or&#x20;equal&#x20;to&#x20;365&#x20;days.','The&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;leverage&#x20;compromised&#x20;credentials&#x20;or&#x20;successfully&#x20;compromise&#x20;credentials&#x20;via&#x20;an&#x20;online&#x20;brute&#x20;force&#x20;attack&#x20;is&#x20;limited&#x20;by&#x20;the&#x20;age&#x20;of&#x20;the&#x20;password.&#x20;Therefore,&#x20;reducing&#x20;the&#x20;maximum&#x20;age&#x20;of&#x20;a&#x20;password&#x20;also&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;window&#x20;of&#x20;opportunity.','','Set&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;in&#x20;/etc/login.defs&#x20;:&#x20;PASS_MAX_DAYS&#x20;365&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--maxdays&#x20;365&#x20;&lt;user&gt;.','[{\"cis\": [\"5.6.1.1\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.001\", \"T1110.002\", \"T1110.003\", \"T1110.004\"]}]'),(28144,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;configured.','The&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;changing&#x20;their&#x20;password&#x20;until&#x20;a&#x20;minimum&#x20;number&#x20;of&#x20;days&#x20;have&#x20;passed&#x20;since&#x20;the&#x20;last&#x20;time&#x20;the&#x20;user&#x20;changed&#x20;their&#x20;password.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;1&#x20;or&#x20;more&#x20;days.','By&#x20;restricting&#x20;the&#x20;frequency&#x20;of&#x20;password&#x20;changes,&#x20;an&#x20;administrator&#x20;can&#x20;prevent&#x20;users&#x20;from&#x20;repeatedly&#x20;changing&#x20;their&#x20;password&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;circumvent&#x20;password&#x20;reuse&#x20;controls.','','Set&#x20;the&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;to&#x20;1&#x20;in&#x20;/etc/login.defs:&#x20;PASS_MIN_DAYS&#x20;1&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--mindays&#x20;1&#x20;&lt;user&gt;.','[{\"cis\": [\"5.6.1.2\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110.004\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(28145,'Ensure&#x20;password&#x20;expiration&#x20;warning&#x20;days&#x20;is&#x20;7&#x20;or&#x20;more.','The&#x20;PASS_WARN_AGE&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;notify&#x20;users&#x20;that&#x20;their&#x20;password&#x20;will&#x20;expire&#x20;in&#x20;a&#x20;defined&#x20;number&#x20;of&#x20;days.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','Providing&#x20;an&#x20;advance&#x20;warning&#x20;that&#x20;a&#x20;password&#x20;will&#x20;be&#x20;expiring&#x20;gives&#x20;users&#x20;time&#x20;to&#x20;think&#x20;of&#x20;a&#x20;secure&#x20;password.&#x20;Users&#x20;caught&#x20;unaware&#x20;may&#x20;choose&#x20;a&#x20;simple&#x20;password&#x20;or&#x20;write&#x20;it&#x20;down&#x20;where&#x20;it&#x20;may&#x20;be&#x20;discovered.','','Set&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_WARN_AGE&#x20;7&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--warndays&#x20;7&#x20;&lt;user&gt;.','[{\"cis\": [\"5.6.1.3\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(28146,'Ensure&#x20;inactive&#x20;password&#x20;lock&#x20;is&#x20;30&#x20;days&#x20;or&#x20;less.','User&#x20;accounts&#x20;that&#x20;have&#x20;been&#x20;inactive&#x20;for&#x20;over&#x20;a&#x20;given&#x20;period&#x20;of&#x20;time&#x20;can&#x20;be&#x20;automatically&#x20;disabled.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;accounts&#x20;that&#x20;are&#x20;inactive&#x20;for&#x20;30&#x20;days&#x20;after&#x20;password&#x20;expiration&#x20;be&#x20;disabled.','Inactive&#x20;accounts&#x20;pose&#x20;a&#x20;threat&#x20;to&#x20;system&#x20;security&#x20;since&#x20;the&#x20;users&#x20;are&#x20;not&#x20;logging&#x20;in&#x20;to&#x20;notice&#x20;failed&#x20;login&#x20;attempts&#x20;or&#x20;other&#x20;anomalies.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;default&#x20;password&#x20;inactivity&#x20;period&#x20;to&#x20;30&#x20;days:&#x20;useradd&#x20;-D&#x20;-f&#x20;30&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--inactive&#x20;30&#x20;&lt;user&gt;.','[{\"cis\": [\"5.6.1.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.002\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(28147,'Ensure&#x20;default&#x20;group&#x20;for&#x20;the&#x20;root&#x20;account&#x20;is&#x20;GID&#x20;0.','The&#x20;usermod&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;specify&#x20;which&#x20;group&#x20;the&#x20;root&#x20;account&#x20;belongs&#x20;to.&#x20;This&#x20;affects&#x20;permissions&#x20;of&#x20;files&#x20;that&#x20;are&#x20;created&#x20;by&#x20;the&#x20;root&#x20;account.','Using&#x20;GID&#x20;0&#x20;for&#x20;the&#x20;root&#x20;account&#x20;helps&#x20;prevent&#x20;root&#x20;-owned&#x20;files&#x20;from&#x20;accidentally&#x20;becoming&#x20;accessible&#x20;to&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;root&#x20;account&#x20;default&#x20;group&#x20;to&#x20;GID&#x20;0&#x20;:&#x20;#&#x20;usermod&#x20;-g&#x20;0&#x20;root.','[{\"cis\": [\"5.6.4\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(28148,'Ensure&#x20;root&#x20;password&#x20;is&#x20;set.','There&#x20;are&#x20;a&#x20;number&#x20;of&#x20;methods&#x20;to&#x20;access&#x20;the&#x20;root&#x20;account&#x20;directly.&#x20;Without&#x20;a&#x20;password&#x20;set&#x20;any&#x20;user&#x20;would&#x20;be&#x20;able&#x20;to&#x20;gain&#x20;access&#x20;and&#x20;thus&#x20;control&#x20;over&#x20;the&#x20;entire&#x20;system.','Access&#x20;to&#x20;root&#x20;should&#x20;be&#x20;secured&#x20;at&#x20;all&#x20;times.','If&#x20;there&#x20;are&#x20;any&#x20;automated&#x20;processes&#x20;that&#x20;relies&#x20;on&#x20;access&#x20;to&#x20;the&#x20;root&#x20;account&#x20;without&#x20;authentication,&#x20;they&#x20;will&#x20;fail&#x20;after&#x20;remediation.','Set&#x20;the&#x20;root&#x20;password&#x20;with:&#x20;#&#x20;passwd&#x20;root.','[{\"cis\": [\"5.6.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"mitre_techniques\": [\"T1078\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(28149,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd&#x20;are&#x20;configured.','The&#x20;/etc/passwd&#x20;file&#x20;contains&#x20;user&#x20;account&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;utilities&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;utilities&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;excess&#x20;permissions,&#x20;set&#x20;owner,&#x20;and&#x20;set&#x20;group&#x20;on&#x20;/etc/passwd:&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/passwd&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd.','[{\"cis\": [\"6.1.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28150,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd-&#x20;are&#x20;configured.','The&#x20;/etc/passwd-&#x20;file&#x20;contains&#x20;backup&#x20;user&#x20;account&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;excess&#x20;permissions,&#x20;set&#x20;owner,&#x20;and&#x20;set&#x20;group&#x20;on&#x20;/etc/passwd-:&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/passwd-&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd-.','[{\"cis\": [\"6.1.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28151,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group&#x20;are&#x20;configured.','The&#x20;/etc/group&#x20;file&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.&#x20;The&#x20;command&#x20;below&#x20;allows&#x20;read/write&#x20;access&#x20;for&#x20;root&#x20;and&#x20;read&#x20;access&#x20;for&#x20;everyone&#x20;else.','The&#x20;/etc/group&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users,&#x20;but&#x20;needs&#x20;to&#x20;be&#x20;readable&#x20;as&#x20;this&#x20;information&#x20;is&#x20;used&#x20;with&#x20;many&#x20;non-privileged&#x20;programs.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;excess&#x20;permissions,&#x20;set&#x20;owner,&#x20;and&#x20;set&#x20;group&#x20;on&#x20;/etc/group:&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/group&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group.','[{\"cis\": [\"6.1.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28152,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group-&#x20;are&#x20;configured.','The&#x20;/etc/group-&#x20;file&#x20;contains&#x20;a&#x20;backup&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/group-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;excess&#x20;permissions,&#x20;set&#x20;owner,&#x20;and&#x20;set&#x20;group&#x20;on&#x20;/etc/group-:&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/group-&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group-.','[{\"cis\": [\"6.1.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28153,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow&#x20;are&#x20;configured.','The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;user&#x20;accounts.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;mode,&#x20;owner,&#x20;and&#x20;group&#x20;on&#x20;/etc/shadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow&#x20;#&#x20;chmod&#x20;0000&#x20;/etc/shadow.','[{\"cis\": [\"6.1.5\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28154,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow-&#x20;are&#x20;configured.','The&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;mode,&#x20;owner,&#x20;and&#x20;group&#x20;on&#x20;/etc/shadow-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow-&#x20;#&#x20;chmod&#x20;0000&#x20;/etc/shadow-.','[{\"cis\": [\"6.1.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28155,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow&#x20;are&#x20;configured.','The&#x20;/etc/gshadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/gshadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/gshadow&#x20;file&#x20;&#40;such&#x20;as&#x20;group&#x20;administrators&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;group.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;mode,&#x20;owner,&#x20;and&#x20;group&#x20;on&#x20;/etc/gshadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow&#x20;#&#x20;chmod&#x20;0000&#x20;/etc/gshadow.','[{\"cis\": [\"6.1.7\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28156,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;are&#x20;configured.','The&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;mode,&#x20;owner,&#x20;and&#x20;group&#x20;on&#x20;/etc/gshadow-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow-&#x20;#&#x20;chmod&#x20;0000&#x20;/etc/gshadow-.','[{\"cis\": [\"6.1.8\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28157,'Ensure&#x20;accounts&#x20;in&#x20;/etc/passwd&#x20;use&#x20;shadowed&#x20;passwords.','Local&#x20;accounts&#x20;can&#x20;uses&#x20;shadowed&#x20;passwords.&#x20;With&#x20;shadowed&#x20;passwords,&#x20;the&#x20;passwords&#x20;are&#x20;saved&#x20;in&#x20;shadow&#x20;password&#x20;file,&#x20;/etc/shadow,&#x20;encrypted&#x20;by&#x20;a&#x20;salted&#x20;one-way&#x20;hash.&#x20;Accounts&#x20;with&#x20;a&#x20;shadowed&#x20;password&#x20;have&#x20;an&#x20;x&#x20;in&#x20;the&#x20;second&#x20;field&#x20;in&#x20;/etc/passwd.','The&#x20;/etc/passwd&#x20;file&#x20;also&#x20;contains&#x20;information&#x20;like&#x20;user&#x20;ID&#039;s&#x20;and&#x20;group&#x20;ID&#039;s&#x20;that&#x20;are&#x20;used&#x20;by&#x20;many&#x20;system&#x20;programs.&#x20;Therefore,&#x20;the&#x20;/etc/passwd&#x20;file&#x20;must&#x20;remain&#x20;world&#x20;readable.&#x20;In&#x20;spite&#x20;of&#x20;encoding&#x20;the&#x20;password&#x20;with&#x20;a&#x20;randomly-generated&#x20;one-way&#x20;hash&#x20;function,&#x20;an&#x20;attacker&#x20;could&#x20;still&#x20;break&#x20;the&#x20;system&#x20;if&#x20;they&#x20;got&#x20;access&#x20;to&#x20;the&#x20;/etc/passwd&#x20;file.&#x20;This&#x20;can&#x20;be&#x20;mitigated&#x20;by&#x20;using&#x20;shadowed&#x20;passwords,&#x20;thus&#x20;moving&#x20;the&#x20;passwords&#x20;in&#x20;the&#x20;/etc/passwd&#x20;file&#x20;to&#x20;/etc/shadow.&#x20;The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;set&#x20;so&#x20;only&#x20;root&#x20;will&#x20;be&#x20;able&#x20;to&#x20;read&#x20;and&#x20;write.&#x20;This&#x20;helps&#x20;mitigate&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;encoded&#x20;passwords&#x20;with&#x20;which&#x20;to&#x20;perform&#x20;a&#x20;dictionary&#x20;attack.&#x20;Note:&#x20;-&#x20;All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.&#x20;-&#x20;A&#x20;user&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;second&#x20;field&#x20;in&#x20;/etc/passwd&#x20;allows&#x20;the&#x20;account&#x20;to&#x20;be&#x20;logged&#x20;into&#x20;by&#x20;providing&#x20;only&#x20;the&#x20;username.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;accounts&#x20;to&#x20;use&#x20;shadowed&#x20;passwords:&#x20;#&#x20;sed&#x20;-e&#x20;&#039;s/^&#40;[a-zA-Z0-9_]*&#41;:[^:]*:/1:x:/&#039;&#x20;-i&#x20;/etc/passwd&#x20;Investigate&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for,&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.1\"]}, {\"cis_csc_v8\": [\"3.11\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.19\", \"IA.L2-3.5.10\", \"MP.L2-3.8.1\", \"SC.L2-3.13.11\", \"SC.L2-3.13.16\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"3.4\", \"3.4.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"3.1.1\", \"3.3.2\", \"3.3.3\", \"3.5.1\", \"3.5.1.2\", \"3.5.1.3\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"SC-28\", \"SC-28(1)\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(28158,'Ensure&#x20;/etc/shadow&#x20;password&#x20;fields&#x20;are&#x20;not&#x20;empty.','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;password,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;account&#x20;until&#x20;it&#x20;can&#x20;be&#x20;determined&#x20;why&#x20;it&#x20;does&#x20;not&#x20;have&#x20;a&#x20;password:&#x20;passwd&#x20;-l&#x20;&lt;username&gt;.&#x20;Also,&#x20;check&#x20;to&#x20;see&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;investigate&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.2\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(28159,'Ensure&#x20;root&#x20;is&#x20;the&#x20;only&#x20;UID&#x20;0&#x20;account.','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','','Remove&#x20;any&#x20;users&#x20;other&#x20;than&#x20;root&#x20;with&#x20;UID&#x20;0&#x20;or&#x20;assign&#x20;them&#x20;a&#x20;new&#x20;UID&#x20;if&#x20;appropriate.','[{\"cis\": [\"6.2.9\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(28500,'Ensure&#x20;/tmp&#x20;is&#x20;a&#x20;separate&#x20;partition.','The&#x20;/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Making&#x20;/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hard&#x20;link&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hard&#x20;link&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.&#x20;This&#x20;can&#x20;be&#x20;accomplished&#x20;by&#x20;either&#x20;mounting&#x20;tmpfs&#x20;to&#x20;/tmp,&#x20;or&#x20;creating&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/tmp.','Since&#x20;the&#x20;/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;Running&#x20;out&#x20;of&#x20;/tmp&#x20;space&#x20;is&#x20;a&#x20;problem&#x20;regardless&#x20;of&#x20;what&#x20;kind&#x20;of&#x20;filesystem&#x20;lies&#x20;under&#x20;it,&#x20;but&#x20;in&#x20;a&#x20;configuration&#x20;where&#x20;/tmp&#x20;is&#x20;not&#x20;a&#x20;separate&#x20;file&#x20;system&#x20;it&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available,&#x20;as&#x20;the&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;On&#x20;the&#x20;other&#x20;hand,&#x20;a&#x20;RAM-based&#x20;/tmp&#x20;&#40;as&#x20;with&#x20;tmpfs&#41;&#x20;will&#x20;almost&#x20;certainly&#x20;be&#x20;much&#x20;smaller,&#x20;which&#x20;can&#x20;lead&#x20;to&#x20;applications&#x20;filling&#x20;up&#x20;the&#x20;filesystem&#x20;much&#x20;more&#x20;easily.&#x20;Another&#x20;alternative&#x20;is&#x20;to&#x20;create&#x20;a&#x20;dedicated&#x20;partition&#x20;for&#x20;/tmp&#x20;from&#x20;a&#x20;separate&#x20;volume&#x20;or&#x20;disk.&#x20;One&#x20;of&#x20;the&#x20;downsides&#x20;of&#x20;a&#x20;disk-based&#x20;dedicated&#x20;partition&#x20;is&#x20;that&#x20;it&#x20;will&#x20;be&#x20;slower&#x20;than&#x20;tmpfs&#x20;which&#x20;is&#x20;RAM-based.&#x20;/tmp&#x20;utilizing&#x20;tmpfs&#x20;can&#x20;be&#x20;resized&#x20;using&#x20;the&#x20;size={size}&#x20;parameter&#x20;in&#x20;the&#x20;relevant&#x20;entry&#x20;in&#x20;/etc/fstab.','First&#x20;ensure&#x20;that&#x20;systemd&#x20;is&#x20;correctly&#x20;configured&#x20;to&#x20;ensure&#x20;that&#x20;/tmp&#x20;will&#x20;be&#x20;mounted&#x20;at&#x20;boot&#x20;time.&#x20;#&#x20;systemctl&#x20;unmask&#x20;tmp.mount&#x20;For&#x20;specific&#x20;configuration&#x20;requirements&#x20;of&#x20;the&#x20;/tmp&#x20;mount&#x20;for&#x20;your&#x20;environment,&#x20;modify&#x20;/etc/fstab&#x20;or&#x20;tmp.mount.&#x20;Example&#x20;of&#x20;/etc/fstab&#x20;configured&#x20;tmpfs&#x20;file&#x20;system&#x20;with&#x20;specific&#x20;mount&#x20;options:&#x20;tmpfs&#x20;0&#x20;/tmp&#x20;tmpfs&#x20;defaults,rw,nosuid,nodev,noexec,relatime,size=2G&#x20;0&#x20;Example&#x20;of&#x20;tmp.mount&#x20;configured&#x20;tmpfs&#x20;file&#x20;system&#x20;with&#x20;specific&#x20;mount&#x20;options:&#x20;[Unit]&#x20;Description=Temporary&#x20;Directory&#x20;/tmp&#x20;ConditionPathIsSymbolicLink=!/tmp&#x20;DefaultDependencies=no&#x20;Conflicts=umount.target&#x20;Before=local-fs.target&#x20;umount.target&#x20;After=swap.target&#x20;[Mount]&#x20;What=tmpfs&#x20;Where=/tmp&#x20;Type=tmpfs.','[{\"cis\": [\"1.1.2.1\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28501,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/tmp&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/tmp.','[{\"cis\": [\"1.1.2.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28502,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/tmp&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/tmp.','[{\"cis\": [\"1.1.2.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28503,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/tmp&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/tmp.','[{\"cis\": [\"1.1.2.4\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28504,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var.','The&#x20;/var&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;daemons&#x20;and&#x20;other&#x20;system&#x20;services&#x20;to&#x20;temporarily&#x20;store&#x20;dynamic&#x20;data.&#x20;Some&#x20;directories&#x20;created&#x20;by&#x20;these&#x20;processes&#x20;may&#x20;be&#x20;world-writable.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/var&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follow.&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/var&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;In&#x20;addition,&#x20;other&#x20;operations&#x20;on&#x20;the&#x20;system&#x20;could&#x20;fill&#x20;up&#x20;the&#x20;disk&#x20;unrelated&#x20;to&#x20;/var&#x20;and&#x20;cause&#x20;unintended&#x20;behavior&#x20;across&#x20;the&#x20;system&#x20;as&#x20;the&#x20;disk&#x20;is&#x20;full.&#x20;See&#x20;man&#x20;auditd.conf&#x20;for&#x20;details.&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount&#x20;Configuring&#x20;/var&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behaviour.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;Protection&#x20;from&#x20;exploitation&#x20;An&#x20;example&#x20;of&#x20;exploiting&#x20;/var&#x20;may&#x20;be&#x20;an&#x20;attacker&#x20;establishing&#x20;a&#x20;hard-link&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hardlink&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.3.1\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28505,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var.','','IF&#x20;the&#x20;/var&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var.','[{\"cis\": [\"1.1.3.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28506,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;variable&#x20;files&#x20;such&#x20;as&#x20;logs,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var.','','IF&#x20;the&#x20;/var&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var.','[{\"cis\": [\"1.1.3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28507,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/tmp.','The&#x20;/var/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.&#x20;Temporary&#x20;file&#x20;residing&#x20;in&#x20;/var/tmp&#x20;is&#x20;to&#x20;be&#x20;preserved&#x20;between&#x20;reboots.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/var/tmp&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follow.&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/var/tmp&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;In&#x20;addition,&#x20;other&#x20;operations&#x20;on&#x20;the&#x20;system&#x20;could&#x20;fill&#x20;up&#x20;the&#x20;disk&#x20;unrelated&#x20;to&#x20;/var/tmp&#x20;and&#x20;cause&#x20;the&#x20;potential&#x20;disruption&#x20;to&#x20;daemons&#x20;as&#x20;the&#x20;disk&#x20;is&#x20;full.&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount&#x20;Configuring&#x20;/var/tmp&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behavior.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;Protection&#x20;from&#x20;exploitation&#x20;An&#x20;example&#x20;of&#x20;exploiting&#x20;/var/tmp&#x20;may&#x20;be&#x20;an&#x20;attacker&#x20;establishing&#x20;a&#x20;hard-link&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hard-link&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/tmp.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.4.1\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28508,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/tmp.','','IF&#x20;the&#x20;/var/tmp&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/tmp&#x20;0&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/tmp.','[{\"cis\": [\"1.1.4.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28509,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/tmp.','','IF&#x20;the&#x20;/var/tmp&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/tmp&#x20;0&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/tmp.','[{\"cis\": [\"1.1.4.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28510,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/tmp.','','IF&#x20;the&#x20;/var/tmp&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/tmp&#x20;0&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/tmp.','[{\"cis\": [\"1.1.4.4\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28511,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log.','The&#x20;/var/log&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;system&#x20;services&#x20;to&#x20;store&#x20;log&#x20;data.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/var/log&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follow.&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/var/log&#x20;directory&#x20;contain&#x20;the&#x20;log&#x20;files&#x20;that&#x20;can&#x20;grow&#x20;quite&#x20;large,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount&#x20;Configuring&#x20;/var/log&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behavior.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;Protection&#x20;of&#x20;log&#x20;data&#x20;As&#x20;/var/log&#x20;contains&#x20;log&#x20;files,&#x20;care&#x20;should&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;the&#x20;security&#x20;and&#x20;integrity&#x20;of&#x20;the&#x20;data&#x20;and&#x20;mount&#x20;point.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log&#x20;.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.5.1\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"pci_dss_v3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}]'),(28512,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/log&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/log&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/log.','','IF&#x20;the&#x20;/var/log&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log.','[{\"cis\": [\"1.1.5.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28513,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/log&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/log&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;log&#x20;files,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/log.','','IF&#x20;the&#x20;/var/log&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log.','[{\"cis\": [\"1.1.5.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28514,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/log&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/log&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;log&#x20;files,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/log.','','IF&#x20;the&#x20;/var/log&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log.','[{\"cis\": [\"1.1.5.4\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28515,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log/audit.','The&#x20;auditing&#x20;daemon,&#x20;auditd,&#x20;stores&#x20;log&#x20;data&#x20;in&#x20;the&#x20;/var/log/audit&#x20;directory.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/var/log/audit&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follow.&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/var/log/audit&#x20;directory&#x20;contain&#x20;the&#x20;audit.log&#x20;file&#x20;that&#x20;can&#x20;grow&#x20;quite&#x20;large,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;In&#x20;addition,&#x20;other&#x20;operations&#x20;on&#x20;the&#x20;system&#x20;could&#x20;fill&#x20;up&#x20;the&#x20;disk&#x20;unrelated&#x20;to&#x20;/var/log/audit&#x20;and&#x20;cause&#x20;auditd&#x20;to&#x20;trigger&#x20;it&#039;s&#x20;space_left_action&#x20;as&#x20;the&#x20;disk&#x20;is&#x20;full.&#x20;See&#x20;man&#x20;auditd.conf&#x20;for&#x20;details.&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount&#x20;Configuring&#x20;/var/log/audit&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behavior.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;Protection&#x20;of&#x20;audit&#x20;data&#x20;As&#x20;/var/log/audit&#x20;contains&#x20;audit&#x20;logs,&#x20;care&#x20;should&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;the&#x20;security&#x20;and&#x20;integrity&#x20;of&#x20;the&#x20;data&#x20;and&#x20;mount&#x20;point.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log/audit.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.6.1\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"pci_dss_v3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}]'),(28516,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/log/audit&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/log/audit&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;audit&#x20;logs,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/log/audit.','','IF&#x20;the&#x20;/var/log/audit&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log/audit&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log/audit&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log/audit.','[{\"cis\": [\"1.1.6.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28517,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/log/audit&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/log/audit&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/log/audit.','','IF&#x20;the&#x20;/var/log/audit&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log/audit&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log/audit&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log/audit&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log/audit.','[{\"cis\": [\"1.1.6.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28518,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/log/audit&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/log/audit&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;variable&#x20;files&#x20;such&#x20;as&#x20;logs,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/log/audit.','','IF&#x20;the&#x20;/var/log/audit&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log/audit&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log/audit&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log/audit&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log/audit.','[{\"cis\": [\"1.1.6.4\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28519,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/home.','The&#x20;/home&#x20;directory&#x20;is&#x20;used&#x20;to&#x20;support&#x20;disk&#x20;storage&#x20;needs&#x20;of&#x20;local&#x20;users.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/home&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follow.&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/home&#x20;directory&#x20;contains&#x20;user&#x20;generated&#x20;data,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;In&#x20;addition,&#x20;other&#x20;operations&#x20;on&#x20;the&#x20;system&#x20;could&#x20;fill&#x20;up&#x20;the&#x20;disk&#x20;unrelated&#x20;to&#x20;/home&#x20;and&#x20;impact&#x20;all&#x20;local&#x20;users.&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount&#x20;Configuring&#x20;/home&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;In&#x20;the&#x20;case&#x20;of&#x20;/home&#x20;options&#x20;such&#x20;as&#x20;usrquota/grpquota&#x20;may&#x20;be&#x20;considered&#x20;to&#x20;limit&#x20;the&#x20;impact&#x20;that&#x20;users&#x20;can&#x20;have&#x20;on&#x20;each&#x20;other&#x20;with&#x20;regards&#x20;to&#x20;disk&#x20;resource&#x20;exhaustion.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behavior.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;Protection&#x20;of&#x20;user&#x20;data&#x20;As&#x20;/home&#x20;contains&#x20;user&#x20;data,&#x20;care&#x20;should&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;the&#x20;security&#x20;and&#x20;integrity&#x20;of&#x20;the&#x20;data&#x20;and&#x20;mount&#x20;point.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/home.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.7.1\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28520,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/home&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var.','','IF&#x20;the&#x20;/home&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/home&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/home&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/home&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/home.','[{\"cis\": [\"1.1.7.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28521,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/home&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;user&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/home.','','IF&#x20;the&#x20;/home&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/home&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/home&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/home&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/home.','[{\"cis\": [\"1.1.7.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28522,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/dev/shm&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;special&#x20;devices&#x20;in&#x20;/dev/shm&#x20;partitions.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm&#x20;using&#x20;the&#x20;updated&#x20;options&#x20;from&#x20;/etc/fstab:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/dev/shm&#x20;Additional&#x20;Information:&#x20;Some&#x20;distributions&#x20;mount&#x20;/dev/shm&#x20;through&#x20;other&#x20;means&#x20;and&#x20;require&#x20;/dev/shm&#x20;to&#x20;be&#x20;added&#x20;to&#x20;/etc/fstab&#x20;even&#x20;though&#x20;it&#x20;is&#x20;already&#x20;being&#x20;mounted&#x20;on&#x20;boot.&#x20;Others&#x20;may&#x20;configure&#x20;/dev/shm&#x20;in&#x20;other&#x20;locations&#x20;and&#x20;may&#x20;override&#x20;/etc/fstab&#x20;configuration.&#x20;Consult&#x20;the&#x20;documentation&#x20;appropriate&#x20;for&#x20;your&#x20;distribution.','[{\"cis\": [\"1.1.8.1\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28523,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;executing&#x20;programs&#x20;from&#x20;shared&#x20;memory.&#x20;This&#x20;deters&#x20;users&#x20;from&#x20;introducing&#x20;potentially&#x20;malicious&#x20;software&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/dev/shm&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/dev/shm&#x20;NOTE&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;use&#x20;tmpfs&#x20;as&#x20;the&#x20;device/filesystem&#x20;type&#x20;as&#x20;/dev/shm&#x20;is&#x20;used&#x20;as&#x20;shared&#x20;memory&#x20;space&#x20;by&#x20;applications.','[{\"cis\": [\"1.1.8.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28524,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;introducing&#x20;privileged&#x20;programs&#x20;onto&#x20;the&#x20;system&#x20;and&#x20;allowing&#x20;non-root&#x20;users&#x20;to&#x20;execute&#x20;them.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm&#x20;using&#x20;the&#x20;updated&#x20;options&#x20;from&#x20;/etc/fstab:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/dev/shm&#x20;Additional&#x20;Information:&#x20;Some&#x20;distributions&#x20;mount&#x20;/dev/shm&#x20;through&#x20;other&#x20;means&#x20;and&#x20;require&#x20;/dev/shm&#x20;to&#x20;be&#x20;added&#x20;to&#x20;/etc/fstab&#x20;even&#x20;though&#x20;it&#x20;is&#x20;already&#x20;being&#x20;mounted&#x20;on&#x20;boot.&#x20;Others&#x20;may&#x20;configure&#x20;/dev/shm&#x20;in&#x20;other&#x20;locations&#x20;and&#x20;may&#x20;override&#x20;/etc/fstab&#x20;configuration.&#x20;Consult&#x20;the&#x20;documentation&#x20;appropriate&#x20;for&#x20;your&#x20;distribution.','[{\"cis\": [\"1.1.8.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28525,'Disable&#x20;Automounting.','autofs&#x20;allows&#x20;automatic&#x20;mounting&#x20;of&#x20;devices,&#x20;typically&#x20;including&#x20;CD/DVDs&#x20;and&#x20;USB&#x20;drives.','With&#x20;automounting&#x20;enabled&#x20;anyone&#x20;with&#x20;physical&#x20;access&#x20;could&#x20;attach&#x20;a&#x20;USB&#x20;drive&#x20;or&#x20;disc&#x20;and&#x20;have&#x20;its&#x20;contents&#x20;available&#x20;in&#x20;system&#x20;even&#x20;if&#x20;they&#x20;lacked&#x20;permissions&#x20;to&#x20;mount&#x20;it&#x20;themselves.','The&#x20;use&#x20;of&#x20;portable&#x20;hard&#x20;drives&#x20;is&#x20;very&#x20;common&#x20;for&#x20;workstation&#x20;users.&#x20;If&#x20;your&#x20;organization&#x20;allows&#x20;the&#x20;use&#x20;of&#x20;portable&#x20;storage&#x20;or&#x20;media&#x20;on&#x20;workstations&#x20;and&#x20;physical&#x20;access&#x20;controls&#x20;to&#x20;workstations&#x20;is&#x20;considered&#x20;adequate&#x20;there&#x20;is&#x20;little&#x20;value&#x20;add&#x20;in&#x20;turning&#x20;off&#x20;automounting.','If&#x20;there&#x20;are&#x20;no&#x20;other&#x20;packages&#x20;that&#x20;depends&#x20;on&#x20;autofs,&#x20;remove&#x20;the&#x20;package&#x20;with:&#x20;#&#x20;apt&#x20;purge&#x20;autofs&#x20;OR&#x20;if&#x20;there&#x20;are&#x20;dependencies&#x20;on&#x20;the&#x20;autofs&#x20;package:&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;mask&#x20;autofs:&#x20;#&#x20;systemctl&#x20;stop&#x20;autofs&#x20;#&#x20;systemctl&#x20;mask&#x20;autofs&#x20;Additional&#x20;Information:&#x20;This&#x20;control&#x20;should&#x20;align&#x20;with&#x20;the&#x20;tolerance&#x20;of&#x20;the&#x20;use&#x20;of&#x20;portable&#x20;drives&#x20;and&#x20;optical&#x20;media&#x20;in&#x20;the&#x20;organization.&#x20;On&#x20;a&#x20;server&#x20;requiring&#x20;an&#x20;admin&#x20;to&#x20;manually&#x20;mount&#x20;media&#x20;can&#x20;be&#x20;part&#x20;of&#x20;defense-in-depth&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;unapproved&#x20;software&#x20;or&#x20;information&#x20;being&#x20;introduced&#x20;or&#x20;proprietary&#x20;software&#x20;or&#x20;information&#x20;being&#x20;exfiltrated.&#x20;If&#x20;admins&#x20;commonly&#x20;use&#x20;flash&#x20;drives&#x20;and&#x20;Server&#x20;access&#x20;has&#x20;sufficient&#x20;physical&#x20;controls,&#x20;requiring&#x20;manual&#x20;mounting&#x20;may&#x20;not&#x20;increase&#x20;security.','[{\"cis\": [\"1.1.9\"]}, {\"cis_csc_v7\": [\"8.5\"]}, {\"cis_csc_v8\": [\"10.3\"]}, {\"mitre_techniques\": [\"T1068\", \"T1203\", \"T1211\", \"T1212\"]}, {\"cmmc_v2.0\": [\"MP.L2-3.8.7\"]}, {\"hipaa\": [\"164.310(d)(1)\"]}]'),(28526,'Ensure&#x20;AIDE&#x20;is&#x20;installed.','AIDE&#x20;takes&#x20;a&#x20;snapshot&#x20;of&#x20;filesystem&#x20;state&#x20;including&#x20;modification&#x20;times,&#x20;permissions,&#x20;and&#x20;file&#x20;hashes&#x20;which&#x20;can&#x20;then&#x20;be&#x20;used&#x20;to&#x20;compare&#x20;against&#x20;the&#x20;current&#x20;state&#x20;of&#x20;the&#x20;filesystem&#x20;to&#x20;detect&#x20;modifications&#x20;to&#x20;the&#x20;system.','By&#x20;monitoring&#x20;the&#x20;filesystem&#x20;state&#x20;compromised&#x20;files&#x20;can&#x20;be&#x20;detected&#x20;to&#x20;prevent&#x20;or&#x20;limit&#x20;the&#x20;exposure&#x20;of&#x20;accidental&#x20;or&#x20;malicious&#x20;misconfigurations&#x20;or&#x20;modified&#x20;binaries.','','Install&#x20;AIDE&#x20;using&#x20;the&#x20;appropriate&#x20;package&#x20;manager&#x20;or&#x20;manual&#x20;installation:&#x20;#&#x20;apt&#x20;install&#x20;aide&#x20;aide-common&#x20;Configure&#x20;AIDE&#x20;as&#x20;appropriate&#x20;for&#x20;your&#x20;environment.&#x20;Consult&#x20;the&#x20;AIDE&#x20;documentation&#x20;for&#x20;options.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;initialize&#x20;AIDE:&#x20;#&#x20;aideinit&#x20;#&#x20;mv&#x20;/var/lib/aide/aide.db.new&#x20;/var/lib/aide/aide.db&#x20;Additional&#x20;Information:&#x20;The&#x20;prelinking&#x20;feature&#x20;can&#x20;interfere&#x20;with&#x20;AIDE&#x20;because&#x20;it&#x20;alters&#x20;binaries&#x20;to&#x20;speed&#x20;up&#x20;their&#x20;start&#x20;up&#x20;times.&#x20;Run&#x20;prelink&#x20;-ua&#x20;to&#x20;restore&#x20;the&#x20;binaries&#x20;to&#x20;their&#x20;prelinked&#x20;state,&#x20;thus&#x20;avoiding&#x20;false&#x20;positives&#x20;from&#x20;AIDE.','[{\"cis\": [\"1.3.1\"]}, {\"cis_csc_v7\": [\"14.9\"]}, {\"cis_csc_v8\": [\"3.14\"]}, {\"mitre_techniques\": [\"T1036\", \"T1036.002\", \"T1036.003\", \"T1036.004\", \"T1036.005\", \"T1565\", \"T1565.001\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.7\"]}, {\"hipaa\": [\"164.312(b)\", \"164.312(c)(1)\", \"164.312(c)(2)\"]}, {\"pci_dss_v3.2.1\": [\"10.2.1\", \"11.5\"]}, {\"pci_dss_v4.0\": [\"10.2.1\", \"10.2.1.1\"]}, {\"nist_sp_800-53\": [\"AC-6(9)\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28527,'Ensure&#x20;bootloader&#x20;password&#x20;is&#x20;set.','Setting&#x20;the&#x20;boot&#x20;loader&#x20;password&#x20;will&#x20;require&#x20;that&#x20;anyone&#x20;rebooting&#x20;the&#x20;system&#x20;must&#x20;enter&#x20;a&#x20;password&#x20;before&#x20;being&#x20;able&#x20;to&#x20;set&#x20;command&#x20;line&#x20;boot&#x20;parameters.','Requiring&#x20;a&#x20;boot&#x20;password&#x20;upon&#x20;execution&#x20;of&#x20;the&#x20;boot&#x20;loader&#x20;will&#x20;prevent&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;entering&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;the&#x20;boot&#x20;partition.&#x20;This&#x20;prevents&#x20;users&#x20;from&#x20;weakening&#x20;security&#x20;&#40;e.g.&#x20;turning&#x20;off&#x20;AppArmor&#x20;at&#x20;boot&#x20;time&#41;.','If&#x20;password&#x20;protection&#x20;is&#x20;enabled,&#x20;only&#x20;the&#x20;designated&#x20;superuser&#x20;can&#x20;edit&#x20;a&#x20;Grub&#x20;2&#x20;menu&#x20;item&#x20;by&#x20;pressing&#x20;&quot;e&quot;&#x20;or&#x20;access&#x20;the&#x20;GRUB&#x20;2&#x20;command&#x20;line&#x20;by&#x20;pressing&#x20;&quot;c&quot;&#x20;If&#x20;GRUB&#x20;2&#x20;is&#x20;set&#x20;up&#x20;to&#x20;boot&#x20;automatically&#x20;to&#x20;a&#x20;password-protected&#x20;menu&#x20;entry&#x20;the&#x20;user&#x20;has&#x20;no&#x20;option&#x20;to&#x20;back&#x20;out&#x20;of&#x20;the&#x20;password&#x20;prompt&#x20;to&#x20;select&#x20;another&#x20;menu&#x20;entry.&#x20;Holding&#x20;the&#x20;SHIFT&#x20;key&#x20;will&#x20;not&#x20;display&#x20;the&#x20;menu&#x20;in&#x20;this&#x20;case.&#x20;The&#x20;user&#x20;must&#x20;enter&#x20;the&#x20;correct&#x20;username&#x20;and&#x20;password.&#x20;If&#x20;unable,&#x20;the&#x20;configuration&#x20;files&#x20;will&#x20;have&#x20;to&#x20;be&#x20;edited&#x20;via&#x20;the&#x20;LiveCD&#x20;or&#x20;other&#x20;means&#x20;to&#x20;fix&#x20;the&#x20;problem&#x20;You&#x20;can&#x20;add&#x20;--unrestricted&#x20;to&#x20;the&#x20;menu&#x20;entries&#x20;to&#x20;allow&#x20;the&#x20;system&#x20;to&#x20;boot&#x20;without&#x20;entering&#x20;a&#x20;password.&#x20;Password&#x20;will&#x20;still&#x20;be&#x20;required&#x20;to&#x20;edit&#x20;menu&#x20;items.&#x20;More&#x20;Information:&#x20;https://help.ubuntu.com/community/Grub2/Passwords.','Create&#x20;an&#x20;encrypted&#x20;password&#x20;with&#x20;grub-mkpasswd-pbkdf2:&#x20;#&#x20;grub-mkpasswd-pbkdf2&#x20;Enter&#x20;password:&#x20;&lt;password&gt;&#x20;Reenter&#x20;password:&#x20;&lt;password&gt;&#x20;PBKDF2&#x20;hash&#x20;of&#x20;your&#x20;password&#x20;is&#x20;&lt;encrypted-password&gt;&#x20;Add&#x20;the&#x20;following&#x20;into&#x20;a&#x20;custom&#x20;/etc/grub.d&#x20;configuration&#x20;file:&#x20;cat&#x20;&lt;&lt;EOF&#x20;set&#x20;superusers=&quot;&lt;username&gt;&quot;&#x20;password_pbkdf2&#x20;&lt;username&gt;&#x20;&lt;encrypted-password&gt;&#x20;EOF&#x20;The&#x20;superuser/user&#x20;information&#x20;and&#x20;password&#x20;should&#x20;not&#x20;be&#x20;contained&#x20;in&#x20;the&#x20;/etc/grub.d/00_header&#x20;file&#x20;as&#x20;this&#x20;file&#x20;could&#x20;be&#x20;overwritten&#x20;in&#x20;a&#x20;package&#x20;update.&#x20;If&#x20;there&#x20;is&#x20;a&#x20;requirement&#x20;to&#x20;be&#x20;able&#x20;to&#x20;boot/reboot&#x20;without&#x20;entering&#x20;the&#x20;password,&#x20;edit&#x20;/etc/grub.d/10_linux&#x20;and&#x20;add&#x20;--unrestricted&#x20;to&#x20;the&#x20;line&#x20;CLASS=&#x20;Example:&#x20;CLASS=&quot;--class&#x20;gnu-linux&#x20;--class&#x20;gnu&#x20;--class&#x20;os&#x20;--unrestricted&quot;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub&#x20;Default&#x20;Value:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.&#x20;Replace&#x20;/boot/grub/grub.cfg&#x20;with&#x20;the&#x20;appropriate&#x20;grub&#x20;configuration&#x20;file&#x20;for&#x20;your&#x20;environment.','[{\"cis\": [\"1.4.1\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"mitre_techniques\": [\"T1542\"]}, {\"mitre_tactics\": [\"T1542\"]}, {\"mitre_mitigations\": [\"M1046\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \" 8.3.5\", \" 8.3.6\", \" 8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28528,'Ensure&#x20;permissions&#x20;on&#x20;bootloader&#x20;config&#x20;are&#x20;configured.','The&#x20;grub&#x20;configuration&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;boot&#x20;settings&#x20;and&#x20;passwords&#x20;for&#x20;unlocking&#x20;boot&#x20;options.','Setting&#x20;the&#x20;permissions&#x20;to&#x20;read&#x20;and&#x20;write&#x20;for&#x20;root&#x20;only&#x20;prevents&#x20;non-root&#x20;users&#x20;from&#x20;seeing&#x20;the&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;them.&#x20;Non-root&#x20;users&#x20;who&#x20;read&#x20;the&#x20;boot&#x20;parameters&#x20;may&#x20;be&#x20;able&#x20;to&#x20;identify&#x20;weaknesses&#x20;in&#x20;security&#x20;upon&#x20;boot&#x20;and&#x20;be&#x20;able&#x20;to&#x20;exploit&#x20;them.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;your&#x20;grub&#x20;configuration:&#x20;#&#x20;chown&#x20;root:root&#x20;/boot/grub/grub.cfg&#x20;#&#x20;chmod&#x20;u-wx,go-rwx&#x20;/boot/grub/grub.cfg&#x20;Additional&#x20;Information:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.&#x20;Replace&#x20;/boot/grub/grub.cfg&#x20;with&#x20;the&#x20;appropriate&#x20;grub&#x20;configuration&#x20;file&#x20;for&#x20;your&#x20;environment.','[{\"cis\": [\"1.4.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1542\"]}, {\"mitre_tactics\": [\"TA0005\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \" AC.L1-3.1.2\", \" AC.L2-3.1.5\", \" AC.L2-3.1.3\", \" MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \" 164.308(a)(3)(ii)(A)\", \" 164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \" 7.1.1\", \" 7.1.2\", \" 7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \" 7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \" AC-6\"]}, {\"soc_2\": [\"CC5.2\", \" CC6.1\"]}]'),(28529,'Ensure&#x20;authentication&#x20;required&#x20;for&#x20;single&#x20;user&#x20;mode.','Single&#x20;user&#x20;mode&#x20;is&#x20;used&#x20;for&#x20;recovery&#x20;when&#x20;the&#x20;system&#x20;detects&#x20;an&#x20;issue&#x20;during&#x20;boot&#x20;or&#x20;by&#x20;manual&#x20;selection&#x20;from&#x20;the&#x20;bootloader.','Requiring&#x20;authentication&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;prevents&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;rebooting&#x20;the&#x20;system&#x20;into&#x20;single&#x20;user&#x20;to&#x20;gain&#x20;root&#x20;privileges&#x20;without&#x20;credentials.','','Run&#x20;the&#x20;following&#x20;command&#x20;and&#x20;follow&#x20;the&#x20;prompts&#x20;to&#x20;set&#x20;a&#x20;password&#x20;for&#x20;the&#x20;root&#x20;user:&#x20;#&#x20;passwd&#x20;root.','[{\"cis\": [\"1.4.3\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \" 8.3.5\", \" 8.3.6\", \" 8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28530,'Ensure&#x20;prelink&#x20;is&#x20;not&#x20;installed.','prelink&#x20;is&#x20;a&#x20;program&#x20;that&#x20;modifies&#x20;ELF&#x20;shared&#x20;libraries&#x20;and&#x20;ELF&#x20;dynamically&#x20;linked&#x20;binaries&#x20;in&#x20;such&#x20;a&#x20;way&#x20;that&#x20;the&#x20;time&#x20;needed&#x20;for&#x20;the&#x20;dynamic&#x20;linker&#x20;to&#x20;perform&#x20;relocations&#x20;at&#x20;startup&#x20;significantly&#x20;decreases.','The&#x20;prelinking&#x20;feature&#x20;can&#x20;interfere&#x20;with&#x20;the&#x20;operation&#x20;of&#x20;AIDE,&#x20;because&#x20;it&#x20;changes&#x20;binaries.&#x20;Prelinking&#x20;can&#x20;also&#x20;increase&#x20;the&#x20;vulnerability&#x20;of&#x20;the&#x20;system&#x20;if&#x20;a&#x20;malicious&#x20;user&#x20;is&#x20;able&#x20;to&#x20;compromise&#x20;a&#x20;common&#x20;library&#x20;such&#x20;as&#x20;libc.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restore&#x20;binaries&#x20;to&#x20;normal:&#x20;#&#x20;prelink&#x20;-ua&#x20;Uninstall&#x20;prelink&#x20;using&#x20;the&#x20;appropriate&#x20;package&#x20;manager&#x20;or&#x20;manual&#x20;installation:&#x20;#&#x20;apt&#x20;purge&#x20;prelink.','[{\"cis\": [\"1.5.2\"]}, {\"cis_csc_v7\": [\"14.9\"]}, {\"cis_csc_v8\": [\"3.14\"]}, {\"mitre_techniques\": [\"T1055\", \"T1055.009\", \"T1065\", \"T1065.001\"]}, {\"mitre_tactics\": [\"TA0002\"]}, {\"mitre_mitigations\": [\"M1050\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.7\"]}, {\"hipaa\": [\"164.312(b)\", \" 164.312(c)(1)\", \" 164.312(c)(2)\"]}, {\"pci_dss_v3.2.1\": [\"10.2.1\", \" 11.5\"]}, {\"pci_dss_v4.0\": [\"10.2.1\", \" 10.2.1.1\"]}, {\"nist_sp_800-53\": [\"AC-6(9)\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28531,'Ensure&#x20;Automatic&#x20;Error&#x20;Reporting&#x20;is&#x20;not&#x20;enabled.','The&#x20;Apport&#x20;Error&#x20;Reporting&#x20;Service&#x20;automatically&#x20;generates&#x20;crash&#x20;reports&#x20;for&#x20;debugging.','Apport&#x20;collects&#x20;potentially&#x20;sensitive&#x20;data,&#x20;such&#x20;as&#x20;core&#x20;dumps,&#x20;stack&#x20;traces,&#x20;and&#x20;log&#x20;files.&#x20;They&#x20;can&#x20;contain&#x20;passwords,&#x20;credit&#x20;card&#x20;numbers,&#x20;serial&#x20;numbers,&#x20;and&#x20;other&#x20;private&#x20;material.','','Edit&#x20;/etc/default/apport&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;the&#x20;enabled&#x20;parameter&#x20;to&#x20;equal&#x20;0:&#x20;enabled=0&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;stop&#x20;and&#x20;disable&#x20;the&#x20;apport&#x20;service&#x20;#&#x20;systemctl&#x20;stop&#x20;apport.service&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;apport.service&#x20;--&#x20;OR&#x20;-Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;apport&#x20;package:&#x20;#&#x20;apt&#x20;purge&#x20;apport&#x20;Default&#x20;Value:&#x20;enabled=1.','[{\"cis\": [\"1.5.3\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \" CM.L2-3.4.8\", \" SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \" 1.2.1\", \" 2.2.2\", \" 2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \" 2.2.4\", \" 6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \" CC6.6\"]}]'),(28532,'Ensure&#x20;core&#x20;dumps&#x20;are&#x20;restricted.','A&#x20;core&#x20;dump&#x20;is&#x20;the&#x20;memory&#x20;of&#x20;an&#x20;executable&#x20;program.&#x20;It&#x20;is&#x20;generally&#x20;used&#x20;to&#x20;determine&#x20;why&#x20;a&#x20;program&#x20;aborted.&#x20;It&#x20;can&#x20;also&#x20;be&#x20;used&#x20;to&#x20;glean&#x20;confidential&#x20;information&#x20;from&#x20;a&#x20;core&#x20;file.&#x20;The&#x20;system&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;a&#x20;soft&#x20;limit&#x20;for&#x20;core&#x20;dumps,&#x20;but&#x20;this&#x20;can&#x20;be&#x20;overridden&#x20;by&#x20;the&#x20;user.','Setting&#x20;a&#x20;hard&#x20;limit&#x20;on&#x20;core&#x20;dumps&#x20;prevents&#x20;users&#x20;from&#x20;overriding&#x20;the&#x20;soft&#x20;variable.&#x20;If&#x20;core&#x20;dumps&#x20;are&#x20;required,&#x20;consider&#x20;setting&#x20;limits&#x20;for&#x20;user&#x20;groups&#x20;&#40;see&#x20;limits.conf&#40;5&#41;&#x20;&#41;.&#x20;In&#x20;addition,&#x20;setting&#x20;the&#x20;fs.suid_dumpable&#x20;variable&#x20;to&#x20;0&#x20;will&#x20;prevent&#x20;setuid&#x20;programs&#x20;from&#x20;dumping&#x20;core.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;/etc/security/limits.conf&#x20;or&#x20;a&#x20;/etc/security/limits.d&#47;&#42;&#x20;file:&#x20;*&#x20;hard&#x20;core&#x20;0&#x20;Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;fs.suid_dumpable&#x20;=&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;fs.suid_dumpable=0&#x20;IF&#x20;systemd-coredump&#x20;is&#x20;installed:&#x20;edit&#x20;/etc/systemd/coredump.conf&#x20;and&#x20;add/modify&#x20;the&#x20;following&#x20;lines:&#x20;Storage=none&#x20;ProcessSizeMax=0&#x20;Run&#x20;the&#x20;command:&#x20;systemctl&#x20;daemon-reload','[{\"cis\": [\"1.5.4\"]}, {\"mitre_techniques\": [\"T1005\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(28533,'Ensure&#x20;AppArmor&#x20;is&#x20;installed.','AppArmor&#x20;provides&#x20;Mandatory&#x20;Access&#x20;Controls.','Without&#x20;a&#x20;Mandatory&#x20;Access&#x20;Control&#x20;system&#x20;installed&#x20;only&#x20;the&#x20;default&#x20;Discretionary&#x20;Access&#x20;Control&#x20;system&#x20;will&#x20;be&#x20;available.','','Install&#x20;AppArmor.&#x20;#&#x20;apt&#x20;install&#x20;apparmor.','[{\"cis\": [\"1.6.1.1\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1068\", \"T1565\", \"T1565.001\", \"T1565.003\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1026\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \" AC.L1-3.1.2\", \" AC.L2-3.1.5\", \" AC.L2-3.1.3\", \" MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \" 164.308(a)(3)(ii)(A)\", \" 164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \" 7.1.1\", \" 7.1.2\", \" 7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \" 7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \" AC-6\"]}, {\"soc_2\": [\"CC5.2\", \" CC6.1\"]}]'),(28534,'Ensure&#x20;AppArmor&#x20;is&#x20;enabled&#x20;in&#x20;the&#x20;bootloader&#x20;configuration.','Configure&#x20;AppArmor&#x20;to&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;and&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;not&#x20;been&#x20;overwritten&#x20;by&#x20;the&#x20;bootloader&#x20;boot&#x20;parameters.&#x20;Note:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.','AppArmor&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;your&#x20;bootloader&#x20;configuration&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;not&#x20;overridden.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;the&#x20;apparmor=1&#x20;and&#x20;security=apparmor&#x20;parameters&#x20;to&#x20;the&#x20;GRUB_CMDLINE_LINUX=&#x20;line&#x20;GRUB_CMDLINE_LINUX=&quot;apparmor=1&#x20;security=apparmor&quot;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub.','[{\"cis\": [\"1.6.1.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1068\", \"T1565\", \"T1565.001\", \"T1565.003\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1026\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28535,'Ensure&#x20;all&#x20;AppArmor&#x20;Profiles&#x20;are&#x20;in&#x20;enforce&#x20;or&#x20;complain&#x20;mode.','AppArmor&#x20;profiles&#x20;define&#x20;what&#x20;resources&#x20;applications&#x20;are&#x20;able&#x20;to&#x20;access.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;any&#x20;policies&#x20;that&#x20;exist&#x20;on&#x20;the&#x20;system&#x20;are&#x20;activated.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;all&#x20;profiles&#x20;to&#x20;enforce&#x20;mode:&#x20;#&#x20;aa-enforce&#x20;/etc/apparmor.d&#47;&#42;&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;all&#x20;profiles&#x20;to&#x20;complain&#x20;mode:&#x20;#&#x20;aa-complain&#x20;/etc/apparmor.d&#47;&#42;&#x20;Note:&#x20;Any&#x20;unconfined&#x20;processes&#x20;may&#x20;need&#x20;to&#x20;have&#x20;a&#x20;profile&#x20;created&#x20;or&#x20;activated&#x20;for&#x20;them&#x20;and&#x20;then&#x20;be&#x20;restarted.','[{\"cis\": [\"1.6.1.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28536,'Ensure&#x20;all&#x20;AppArmor&#x20;Profiles&#x20;are&#x20;enforcing.','AppArmor&#x20;profiles&#x20;define&#x20;what&#x20;resources&#x20;applications&#x20;are&#x20;able&#x20;to&#x20;access.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;any&#x20;policies&#x20;that&#x20;exist&#x20;on&#x20;the&#x20;system&#x20;are&#x20;activated.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;all&#x20;profiles&#x20;to&#x20;enforce&#x20;mode:&#x20;#&#x20;aa-enforce&#x20;/etc/apparmor.d&#47;&#42;&#x20;Note:&#x20;Any&#x20;unconfined&#x20;processes&#x20;may&#x20;need&#x20;to&#x20;have&#x20;a&#x20;profile&#x20;created&#x20;or&#x20;activated&#x20;for&#x20;them&#x20;and&#x20;then&#x20;be&#x20;restarted.','[{\"cis\": [\"1.6.1.4\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1068\", \"T1565\", \"T1565.001\", \"T1565.003\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28537,'Ensure&#x20;message&#x20;of&#x20;the&#x20;day&#x20;is&#x20;configured&#x20;properly.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/motd&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;v&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform&#x20;OR&#x20;if&#x20;the&#x20;motd&#x20;is&#x20;not&#x20;used,&#x20;this&#x20;file&#x20;can&#x20;be&#x20;removed.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;motd&#x20;file:&#x20;#&#x20;rm&#x20;/etc/motd','[{\"cis\": [\"1.7.1\"]}, {\"mitre_techniques\": [\"T1082\", \"T1592\", \"T1592.004\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(28538,'Ensure&#x20;local&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version&#x20;-&#x20;or&#x20;the&#x20;operating&#x20;system&#039;s&#x20;name.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;v&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue.','[{\"cis\": [\"1.7.2\"]}, {\"mitre_techniques\": [\"T1082\", \"T1592\", \"T1592.004\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(28539,'Ensure&#x20;remote&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;v&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue','[{\"cis\": [\"1.7.3\"]}, {\"mitre_techniques\": [\"T1018\", \"T1082\", \"T1592\", \"T1592.004\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(28540,'Ensure&#x20;permissions&#x20;on&#x20;/etc/motd&#x20;are&#x20;configured.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.','If&#x20;the&#x20;/etc/motd&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/motd&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;$&#40;readlink&#x20;-e&#x20;/etc/motd&#41;&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;$&#40;readlink&#x20;-e&#x20;/etc/motd&#41;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;/etc/motd&#x20;file:&#x20;#&#x20;rm&#x20;/etc/motd','[{\"cis\": [\"1.7.4\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28541,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue&#x20;are&#x20;configured.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.','If&#x20;the&#x20;/etc/issue&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;$&#40;readlink&#x20;-e&#x20;/etc/issue&#41;&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;$&#40;readlink&#x20;-e&#x20;/etc/issue&#41;&#x20;Default&#x20;Value:&#x20;Access:&#x20;&#40;0644/-rw-r--r--&#41;&#x20;Uid:&#x20;&#40;&#x20;0/&#x20;root&#41;&#x20;Gid:&#x20;&#40;&#x20;0/&#x20;root&#41;.','[{\"cis\": [\"1.7.5\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28542,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue.net&#x20;are&#x20;configured.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.','If&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue.net&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;$&#40;readlink&#x20;-e&#x20;/etc/issue.net&#41;&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;$&#40;readlink&#x20;-e&#x20;/etc/issue.net&#41;','[{\"cis\": [\"1.7.6\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28543,'Ensure&#x20;GNOME&#x20;Display&#x20;Manager&#x20;is&#x20;removed.','The&#x20;GNOME&#x20;Display&#x20;Manager&#x20;&#40;GDM&#41;&#x20;is&#x20;a&#x20;program&#x20;that&#x20;manages&#x20;graphical&#x20;display&#x20;servers&#x20;and&#x20;handles&#x20;graphical&#x20;user&#x20;logins.','If&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','Removing&#x20;the&#x20;GNOME&#x20;Display&#x20;manager&#x20;will&#x20;remove&#x20;the&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;from&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;gdm3:&#x20;#&#x20;apt&#x20;purge&#x20;gdm3.','[{\"cis\": [\"1.8.1\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0002\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28544,'Ensure&#x20;XDCMP&#x20;is&#x20;not&#x20;enabled.','X&#x20;Display&#x20;Manager&#x20;Control&#x20;Protocol&#x20;&#40;XDMCP&#41;&#x20;is&#x20;designed&#x20;to&#x20;provide&#x20;authenticated&#x20;access&#x20;to&#x20;display&#x20;management&#x20;services&#x20;for&#x20;remote&#x20;displays.','XDMCP&#x20;is&#x20;inherently&#x20;insecure.&#x20;XDMCP&#x20;is&#x20;not&#x20;a&#x20;ciphered&#x20;protocol.&#x20;This&#x20;may&#x20;allow&#x20;an&#x20;attacker&#x20;to&#x20;capture&#x20;keystrokes&#x20;entered&#x20;by&#x20;a&#x20;user&#x20;XDMCP&#x20;is&#x20;vulnerable&#x20;to&#x20;man-in-the-middle&#x20;attacks.&#x20;This&#x20;may&#x20;allow&#x20;an&#x20;attacker&#x20;to&#x20;steal&#x20;the&#x20;credentials&#x20;of&#x20;legitimate&#x20;users&#x20;by&#x20;impersonating&#x20;the&#x20;XDMCP&#x20;server.','','Edit&#x20;the&#x20;file&#x20;/etc/gdm3/custom.conf&#x20;and&#x20;remove&#x20;the&#x20;line:&#x20;Enable=true&#x20;Default&#x20;Value:&#x20;false&#x20;&#40;This&#x20;is&#x20;denoted&#x20;by&#x20;no&#x20;Enabled=&#x20;entry&#x20;in&#x20;the&#x20;file&#x20;/etc/gdm3/custom.conf&#x20;in&#x20;the&#x20;[xdmcp]&#x20;section.','[{\"cis\": [\"1.8.10\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1040\", \"T1056\", \"T1056.001\", \"T1557\"]}, {\"mitre_tactics\": [\"TA0002\"]}, {\"mitre_mitigations\": [\"M1050\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28545,'Ensure&#x20;chrony&#x20;is&#x20;running&#x20;as&#x20;user&#x20;_chrony.','The&#x20;chrony&#x20;package&#x20;is&#x20;installed&#x20;with&#x20;a&#x20;dedicated&#x20;user&#x20;account&#x20;_chrony.&#x20;This&#x20;account&#x20;is&#x20;granted&#x20;the&#x20;access&#x20;required&#x20;by&#x20;the&#x20;chronyd&#x20;service.','The&#x20;chronyd&#x20;service&#x20;should&#x20;run&#x20;with&#x20;only&#x20;the&#x20;required&#x20;privileges.','','Add&#x20;or&#x20;edit&#x20;the&#x20;user&#x20;line&#x20;to&#x20;/etc/chrony/chrony.conf&#x20;or&#x20;a&#x20;file&#x20;ending&#x20;in&#x20;.conf&#x20;in&#x20;/etc/chrony/conf.d/:&#x20;user&#x20;_chrony&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;chrony&#x20;from&#x20;the&#x20;system:&#x20;#&#x20;apt&#x20;purge&#x20;chrony','[{\"cis\": [\"2.1.2.2\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_v3.2.1\": [\"10.4\"]}, {\"pci_dss_v4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}]'),(28546,'Ensure&#x20;chrony&#x20;is&#x20;enabled&#x20;and&#x20;running.','chrony&#x20;is&#x20;a&#x20;daemon&#x20;for&#x20;synchronizing&#x20;the&#x20;system&#x20;clock&#x20;across&#x20;the&#x20;network.','chrony&#x20;needs&#x20;to&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;in&#x20;order&#x20;to&#x20;synchronize&#x20;the&#x20;system&#x20;to&#x20;a&#x20;timeserver.&#x20;Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;and&#x20;to&#x20;ensure&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise&#x20;to&#x20;aid&#x20;in&#x20;forensic&#x20;investigations.','','IF&#x20;chrony&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;commands:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;chrony.service:&#x20;#&#x20;systemctl&#x20;unmask&#x20;chrony.service&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;chrony.service:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;chrony.service&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;chrony:&#x20;#&#x20;apt&#x20;purge&#x20;chrony.','[{\"cis\": [\"2.1.2.3\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_v3.2.1\": [\"10.4\"]}, {\"pci_dss_v4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}]'),(28547,'Ensure&#x20;systemd-timesyncd&#x20;is&#x20;enabled&#x20;and&#x20;running.','systemd-timesyncd&#x20;is&#x20;a&#x20;daemon&#x20;that&#x20;has&#x20;been&#x20;added&#x20;for&#x20;synchronizing&#x20;the&#x20;system&#x20;clock&#x20;across&#x20;the&#x20;network.','systemd-timesyncd&#x20;needs&#x20;to&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;in&#x20;order&#x20;to&#x20;synchronize&#x20;the&#x20;system&#x20;to&#x20;a&#x20;timeserver.&#x20;Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;and&#x20;to&#x20;ensure&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise&#x20;to&#x20;aid&#x20;in&#x20;forensic&#x20;investigations.','','IF&#x20;systemd-timesyncd&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;commands:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;systemd-timesyncd.service:&#x20;#&#x20;systemctl&#x20;unmask&#x20;systemd-timesyncd.service&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;systemd-timesyncd.service:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;systemd-timesyncd.service&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;systemd-timesyncd:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;systemd-timesyncd.service','[{\"cis\": [\"2.1.3.2\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_v3.2.1\": [\"10.4\"]}, {\"pci_dss_v4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}]'),(28548,'Ensure&#x20;ntp&#x20;access&#x20;control&#x20;is&#x20;configured.','ntp&#x20;Access&#x20;Control&#x20;Commands:&#x20;restrict&#x20;address&#x20;[mask&#x20;mask]&#x20;[ippeerlimit&#x20;int]&#x20;[flag&#x20;...]&#x20;The&#x20;address&#x20;argument&#x20;expressed&#x20;in&#x20;dotted-quad&#x20;form&#x20;is&#x20;the&#x20;address&#x20;of&#x20;a&#x20;host&#x20;or&#x20;network.&#x20;Alternatively,&#x20;the&#x20;address&#x20;argument&#x20;can&#x20;be&#x20;a&#x20;valid&#x20;host&#x20;DNS&#x20;name.&#x20;The&#x20;mask&#x20;argument&#x20;expressed&#x20;in&#x20;dotted-quad&#x20;form&#x20;defaults&#x20;to&#x20;255.255.255.255,&#x20;meaning&#x20;that&#x20;the&#x20;address&#x20;is&#x20;treated&#x20;as&#x20;the&#x20;address&#x20;of&#x20;an&#x20;individual&#x20;host.&#x20;A&#x20;default&#x20;entry&#x20;&#40;address&#x20;0.0.0.0,&#x20;mask&#x20;0.0.0.0&#41;&#x20;is&#x20;always&#x20;included&#x20;and&#x20;is&#x20;always&#x20;the&#x20;first&#x20;entry&#x20;in&#x20;the&#x20;list.&#x20;Note:&#x20;the&#x20;text&#x20;string&#x20;default,&#x20;with&#x20;no&#x20;mask&#x20;option,&#x20;may&#x20;be&#x20;used&#x20;to&#x20;indicate&#x20;the&#x20;default&#x20;entry.&#x20;The&#x20;ippeerlimit&#x20;directive&#x20;limits&#x20;the&#x20;number&#x20;of&#x20;peer&#x20;requests&#x20;for&#x20;each&#x20;IP&#x20;to&#x20;int,&#x20;where&#x20;a&#x20;value&#x20;of&#x20;-1&#x20;means&#x20;&quot;unlimited&quot;,&#x20;the&#x20;current&#x20;default.&#x20;A&#x20;value&#x20;of&#x20;0&#x20;means&#x20;&quot;none&quot;.&#x20;There&#x20;would&#x20;usually&#x20;be&#x20;at&#x20;most&#x20;1&#x20;peering&#x20;request&#x20;per&#x20;IP,&#x20;but&#x20;if&#x20;the&#x20;remote&#x20;peering&#x20;requests&#x20;are&#x20;behind&#x20;a&#x20;proxy&#x20;there&#x20;could&#x20;well&#x20;be&#x20;more&#x20;than&#x20;1&#x20;per&#x20;IP.&#x20;In&#x20;the&#x20;current&#x20;implementation,&#x20;flag&#x20;always&#x20;restricts&#x20;access,&#x20;i.e.,&#x20;an&#x20;entry&#x20;with&#x20;no&#x20;flags&#x20;indicates&#x20;that&#x20;free&#x20;access&#x20;to&#x20;the&#x20;server&#x20;is&#x20;to&#x20;be&#x20;given.&#x20;The&#x20;flags&#x20;are&#x20;not&#x20;orthogonal,&#x20;in&#x20;that&#x20;more&#x20;restrictive&#x20;flags&#x20;will&#x20;often&#x20;make&#x20;less&#x20;restrictive&#x20;ones&#x20;redundant.&#x20;The&#x20;flags&#x20;can&#x20;generally&#x20;be&#x20;classed&#x20;into&#x20;two&#x20;categories,&#x20;those&#x20;which&#x20;restrict&#x20;time&#x20;service&#x20;and&#x20;those&#x20;which&#x20;restrict&#x20;informational&#x20;queries&#x20;and&#x20;attempts&#x20;to&#x20;do&#x20;run-time&#x20;reconfiguration&#x20;of&#x20;the&#x20;server.&#x20;One&#x20;or&#x20;more&#x20;of&#x20;the&#x20;following&#x20;flags&#x20;may&#x20;be&#x20;specified:&#x20;kod&#x20;-&#x20;If&#x20;this&#x20;flag&#x20;is&#x20;set&#x20;when&#x20;an&#x20;access&#x20;violation&#x20;occurs,&#x20;a&#x20;kiss-o&#039;-death&#x20;&#40;KoD&#41;&#x20;packet&#x20;is&#x20;sent.&#x20;KoD&#x20;packets&#x20;are&#x20;rate&#x20;limited&#x20;to&#x20;no&#x20;more&#x20;than&#x20;one&#x20;per&#x20;second.&#x20;If&#x20;another&#x20;KoD&#x20;packet&#x20;occurs&#x20;within&#x20;one&#x20;second&#x20;after&#x20;the&#x20;last&#x20;one,&#x20;the&#x20;packet&#x20;is&#x20;dropped.&#x20;limited&#x20;-&#x20;Deny&#x20;service&#x20;if&#x20;the&#x20;packet&#x20;spacing&#x20;violates&#x20;the&#x20;lower&#x20;limits&#x20;specified&#x20;in&#x20;the&#x20;discard&#x20;command.&#x20;A&#x20;history&#x20;of&#x20;clients&#x20;is&#x20;kept&#x20;using&#x20;the&#x20;monitoring&#x20;capability&#x20;of&#x20;ntpd.&#x20;Thus,&#x20;monitoring&#x20;is&#x20;always&#x20;active&#x20;as&#x20;long&#x20;as&#x20;there&#x20;is&#x20;a&#x20;restriction&#x20;entry&#x20;with&#x20;the&#x20;limited&#x20;flag.&#x20;lowpriotrap&#x20;-&#x20;Declare&#x20;traps&#x20;set&#x20;by&#x20;matching&#x20;hosts&#x20;to&#x20;be&#x20;low&#x20;priority.&#x20;The&#x20;number&#x20;of&#x20;traps&#x20;a&#x20;server&#x20;can&#x20;maintain&#x20;is&#x20;limited&#x20;&#40;the&#x20;current&#x20;limit&#x20;is&#x20;3&#41;.&#x20;Traps&#x20;are&#x20;usually&#x20;assigned&#x20;on&#x20;a&#x20;first&#x20;come,&#x20;first&#x20;served&#x20;basis,&#x20;with&#x20;later&#x20;trap&#x20;requestors&#x20;being&#x20;denied&#x20;service.&#x20;This&#x20;flag&#x20;modifies&#x20;the&#x20;assignment&#x20;algorithm&#x20;by&#x20;allowing&#x20;low&#x20;priority&#x20;traps&#x20;to&#x20;be&#x20;overridden&#x20;by&#x20;later&#x20;requests&#x20;for&#x20;normal&#x20;priority&#x20;traps.&#x20;noepeer&#x20;-&#x20;Deny&#x20;ephemeral&#x20;peer&#x20;requests,&#x20;even&#x20;if&#x20;they&#x20;come&#x20;from&#x20;an&#x20;authenticated&#x20;source.&#x20;Note&#x20;that&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;a&#x20;symmetric&#x20;key&#x20;for&#x20;authentication&#x20;may&#x20;be&#x20;restricted&#x20;to&#x20;one&#x20;or&#x20;more&#x20;IPs&#x20;or&#x20;subnets&#x20;via&#x20;the&#x20;third&#x20;field&#x20;of&#x20;the&#x20;ntp.keys&#x20;file.&#x20;This&#x20;restriction&#x20;is&#x20;not&#x20;enabled&#x20;by&#x20;default,&#x20;to&#x20;maintain&#x20;backward&#x20;compatibility.&#x20;Expect&#x20;noepeer&#x20;to&#x20;become&#x20;the&#x20;default&#x20;in&#x20;ntp-4.4.&#x20;nomodify&#x20;-&#x20;Deny&#x20;ntpq&#x20;and&#x20;ntpdc&#x20;queries&#x20;which&#x20;attempt&#x20;to&#x20;modify&#x20;the&#x20;state&#x20;of&#x20;the&#x20;server&#x20;&#40;i.e.,&#x20;run&#x20;time&#x20;reconfiguration&#41;.&#x20;Queries&#x20;which&#x20;return&#x20;information&#x20;are&#x20;permitted.&#x20;noquery&#x20;-&#x20;Deny&#x20;ntpq&#x20;and&#x20;ntpdc&#x20;queries.&#x20;Time&#x20;service&#x20;is&#x20;not&#x20;affected.&#x20;nopeer&#x20;-&#x20;Deny&#x20;unauthenticated&#x20;packets&#x20;which&#x20;would&#x20;result&#x20;in&#x20;mobilizing&#x20;a&#x20;new&#x20;association.&#x20;This&#x20;includes&#x20;broadcast&#x20;and&#x20;symmetric&#x20;active&#x20;packets&#x20;when&#x20;a&#x20;configured&#x20;association&#x20;does&#x20;not&#x20;exist.&#x20;It&#x20;also&#x20;includes&#x20;pool&#x20;associations,&#x20;so&#x20;if&#x20;you&#x20;want&#x20;to&#x20;use&#x20;servers&#x20;from&#x20;a&#x20;pool&#x20;directive&#x20;and&#x20;also&#x20;want&#x20;to&#x20;use&#x20;nopeer&#x20;by&#x20;default,&#x20;you&#039;ll&#x20;want&#x20;a&#x20;restrict&#x20;source&#x20;...&#x20;line&#x20;as&#x20;well&#x20;that&#x20;does&#x20;not&#x20;include&#x20;the&#x20;nopeer&#x20;directive.&#x20;noserve&#x20;-&#x20;Deny&#x20;all&#x20;packets&#x20;except&#x20;ntpq&#x20;and&#x20;ntpdc&#x20;queries.&#x20;notrap&#x20;-&#x20;Decline&#x20;to&#x20;provide&#x20;mode&#x20;6&#x20;control&#x20;message&#x20;trap&#x20;service&#x20;to&#x20;matching&#x20;hosts.&#x20;The&#x20;trap&#x20;service&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;ntpq&#x20;control&#x20;message&#x20;protocol&#x20;which&#x20;is&#x20;intended&#x20;for&#x20;use&#x20;by&#x20;remote&#x20;event&#x20;logging&#x20;programs.&#x20;notrust&#x20;-&#x20;Deny&#x20;service&#x20;unless&#x20;the&#x20;packet&#x20;is&#x20;cryptographically&#x20;authenticated.&#x20;ntpport&#x20;-&#x20;This&#x20;is&#x20;actually&#x20;a&#x20;match&#x20;algorithm&#x20;modifier,&#x20;rather&#x20;than&#x20;a&#x20;restriction&#x20;flag.&#x20;Its&#x20;presence&#x20;causes&#x20;the&#x20;restriction&#x20;entry&#x20;to&#x20;be&#x20;matched&#x20;only&#x20;if&#x20;the&#x20;source&#x20;port&#x20;in&#x20;the&#x20;packet&#x20;is&#x20;the&#x20;standard&#x20;NTP&#x20;UDP&#x20;port&#x20;&#40;123&#41;.&#x20;Both&#x20;ntpport&#x20;and&#x20;nonntpport&#x20;may&#x20;be&#x20;specified.&#x20;The&#x20;ntpport&#x20;is&#x20;considered&#x20;more&#x20;specific&#x20;and&#x20;is&#x20;sorted&#x20;later&#x20;in&#x20;the&#x20;list.','If&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;accurate.','','Add&#x20;or&#x20;edit&#x20;restrict&#x20;lines&#x20;in&#x20;/etc/ntp.conf&#x20;to&#x20;match&#x20;the&#x20;following:&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;restrict&#x20;-6&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ntp&#x20;from&#x20;the&#x20;system:&#x20;#&#x20;apt&#x20;purge&#x20;ntp&#x20;Default&#x20;Value:&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;notrap&#x20;nomodify&#x20;nopeer&#x20;noquery&#x20;limited&#x20;restrict&#x20;-6&#x20;default&#x20;kod&#x20;notrap&#x20;nomodify&#x20;nopeer&#x20;noquery&#x20;limited.','[{\"cis\": [\"2.1.4.1\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_v3.2.1\": [\"10.4\"]}, {\"pci_dss_v4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}]'),(28549,'Ensure&#x20;ntp&#x20;is&#x20;running&#x20;as&#x20;user&#x20;ntp.','The&#x20;ntp&#x20;package&#x20;is&#x20;installed&#x20;with&#x20;a&#x20;dedicated&#x20;user&#x20;account&#x20;ntp.&#x20;This&#x20;account&#x20;is&#x20;granted&#x20;the&#x20;access&#x20;required&#x20;by&#x20;the&#x20;ntpd&#x20;daemon&#x20;Note:&#x20;If&#x20;chrony&#x20;or&#x20;systemd-timesyncd&#x20;are&#x20;used,&#x20;ntp&#x20;should&#x20;be&#x20;removed&#x20;and&#x20;this&#x20;section&#x20;skipped&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;Only&#x20;one&#x20;time&#x20;synchronization&#x20;method&#x20;should&#x20;be&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system.','The&#x20;ntpd&#x20;daemon&#x20;should&#x20;run&#x20;with&#x20;only&#x20;the&#x20;required&#x20;privilege.','','Add&#x20;or&#x20;edit&#x20;the&#x20;following&#x20;line&#x20;in&#x20;/etc/init.d/ntp:&#x20;RUNASUSER=ntp&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;ntp.servocee:&#x20;#&#x20;systemctl&#x20;restart&#x20;ntp.service&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ntp&#x20;from&#x20;the&#x20;system:&#x20;#&#x20;apt&#x20;purge&#x20;ntp&#x20;Default&#x20;Value:&#x20;user&#x20;ntp.','[{\"cis\": [\"2.1.4.3\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_v3.2.1\": [\"10.4\"]}, {\"pci_dss_v4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}]'),(28550,'Ensure&#x20;ntp&#x20;is&#x20;enabled&#x20;and&#x20;running.','ntp&#x20;is&#x20;a&#x20;daemon&#x20;for&#x20;synchronizing&#x20;the&#x20;system&#x20;clock&#x20;across&#x20;the&#x20;network.','ntp&#x20;needs&#x20;to&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;in&#x20;order&#x20;to&#x20;synchronize&#x20;the&#x20;system&#x20;to&#x20;a&#x20;timeserver.&#x20;Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;and&#x20;to&#x20;ensure&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise&#x20;to&#x20;aid&#x20;in&#x20;forensic&#x20;investigations.','','IF&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;commands:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;ntp.service:&#x20;#&#x20;systemctl&#x20;unmask&#x20;ntp.service&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;ntp.service:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;ntp.service&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ntp:&#x20;#&#x20;apt&#x20;purge&#x20;ntp.','[{\"cis\": [\"2.1.4.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_v3.2.1\": [\"10.4\"]}, {\"pci_dss_v4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}]'),(28551,'Ensure&#x20;X&#x20;Window&#x20;System&#x20;is&#x20;not&#x20;installed.','The&#x20;X&#x20;Window&#x20;System&#x20;provides&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;where&#x20;users&#x20;can&#x20;have&#x20;multiple&#x20;windows&#x20;in&#x20;which&#x20;to&#x20;run&#x20;programs&#x20;and&#x20;various&#x20;add&#x20;on.&#x20;The&#x20;X&#x20;Windows&#x20;system&#x20;is&#x20;typically&#x20;used&#x20;on&#x20;workstations&#x20;where&#x20;users&#x20;login,&#x20;but&#x20;not&#x20;on&#x20;servers&#x20;where&#x20;users&#x20;typically&#x20;do&#x20;not&#x20;login.','Unless&#x20;your&#x20;organization&#x20;specifically&#x20;requires&#x20;graphical&#x20;login&#x20;access&#x20;via&#x20;X&#x20;Windows,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','Many&#x20;Linux&#x20;systems&#x20;run&#x20;applications&#x20;which&#x20;require&#x20;a&#x20;Java&#x20;runtime.&#x20;Some&#x20;Linux&#x20;Java&#x20;packages&#x20;have&#x20;a&#x20;dependency&#x20;on&#x20;specific&#x20;X&#x20;Windows&#x20;xorg-x11-fonts.&#x20;One&#x20;workaround&#x20;to&#x20;avoid&#x20;this&#x20;dependency&#x20;is&#x20;to&#x20;use&#x20;the&#x20;&quot;headless&quot;&#x20;Java&#x20;packages&#x20;for&#x20;your&#x20;specific&#x20;Java&#x20;runtime,&#x20;if&#x20;provided&#x20;by&#x20;your&#x20;distribution.','Remove&#x20;the&#x20;X&#x20;Windows&#x20;System&#x20;packages:&#x20;apt&#x20;purge&#x20;xserver-xorg*','[{\"cis\": [\"2.2.1\"]}, {\"cis_csc_v7\": [\"2.6\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28552,'Ensure&#x20;Avahi&#x20;Server&#x20;is&#x20;not&#x20;installed.','Avahi&#x20;is&#x20;a&#x20;free&#x20;zeroconf&#x20;implementation,&#x20;including&#x20;a&#x20;system&#x20;for&#x20;multicast&#x20;DNS/DNS-SD&#x20;service&#x20;discovery.&#x20;Avahi&#x20;allows&#x20;programs&#x20;to&#x20;publish&#x20;and&#x20;discover&#x20;services&#x20;and&#x20;hosts&#x20;running&#x20;on&#x20;a&#x20;local&#x20;network&#x20;with&#x20;no&#x20;specific&#x20;configuration.&#x20;For&#x20;example,&#x20;a&#x20;user&#x20;can&#x20;plug&#x20;a&#x20;computer&#x20;into&#x20;a&#x20;network&#x20;and&#x20;Avahi&#x20;automatically&#x20;finds&#x20;printers&#x20;to&#x20;print&#x20;to,&#x20;files&#x20;to&#x20;look&#x20;at&#x20;and&#x20;people&#x20;to&#x20;talk&#x20;to,&#x20;as&#x20;well&#x20;as&#x20;network&#x20;services&#x20;running&#x20;on&#x20;the&#x20;machine.','Automatic&#x20;discovery&#x20;of&#x20;network&#x20;services&#x20;is&#x20;not&#x20;normally&#x20;required&#x20;for&#x20;system&#x20;functionality.&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;remove&#x20;this&#x20;package&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;avahi-daemon:&#x20;#&#x20;systemctl&#x20;stop&#x20;avahi-daaemon.service&#x20;#&#x20;systemctl&#x20;stop&#x20;avahi-daemon.socket&#x20;#&#x20;apt&#x20;purge&#x20;avahi-daemon.','[{\"cis\": [\"2.2.2\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28553,'Ensure&#x20;CUPS&#x20;is&#x20;not&#x20;installed.','The&#x20;Common&#x20;Unix&#x20;Print&#x20;System&#x20;&#40;CUPS&#41;&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;print&#x20;to&#x20;both&#x20;local&#x20;and&#x20;network&#x20;printers.&#x20;A&#x20;system&#x20;running&#x20;CUPS&#x20;can&#x20;also&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;remote&#x20;systems&#x20;and&#x20;print&#x20;them&#x20;to&#x20;local&#x20;printers.&#x20;It&#x20;also&#x20;provides&#x20;a&#x20;web&#x20;based&#x20;remote&#x20;administration&#x20;capability.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;need&#x20;to&#x20;print&#x20;jobs&#x20;or&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;systems,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;CUPS&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','Removing&#x20;CUPS&#x20;will&#x20;prevent&#x20;printing&#x20;from&#x20;the&#x20;system,&#x20;a&#x20;common&#x20;task&#x20;for&#x20;workstation&#x20;systems.','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;cups&#x20;:&#x20;#&#x20;apt&#x20;purge&#x20;cups','[{\"cis\": [\"2.2.3\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28554,'Ensure&#x20;DHCP&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;Dynamic&#x20;Host&#x20;Configuration&#x20;Protocol&#x20;&#40;DHCP&#41;&#x20;is&#x20;a&#x20;service&#x20;that&#x20;allows&#x20;machines&#x20;to&#x20;be&#x20;dynamically&#x20;assigned&#x20;IP&#x20;addresses.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;set&#x20;up&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DHCP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;isc-dhcp-server:&#x20;#&#x20;apt&#x20;purge&#x20;isc-dhcp-server.','[{\"cis\": [\"2.2.4\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28555,'Ensure&#x20;LDAP&#x20;server&#x20;is&#x20;not&#x20;installed.','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;slapd:&#x20;#&#x20;apt&#x20;purge&#x20;slapd','[{\"cis\": [\"2.2.5\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28556,'Ensure&#x20;NFS&#x20;is&#x20;not&#x20;installed.','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;export&#x20;NFS&#x20;shares&#x20;or&#x20;act&#x20;as&#x20;an&#x20;NFS&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;these&#x20;services&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nfs:&#x20;#&#x20;apt&#x20;purge&#x20;nfs-kernel-server.','[{\"cis\": [\"2.2.6\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28557,'Ensure&#x20;DNS&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;Domain&#x20;Name&#x20;System&#x20;&#40;DNS&#41;&#x20;is&#x20;a&#x20;hierarchical&#x20;naming&#x20;system&#x20;that&#x20;maps&#x20;names&#x20;to&#x20;IP&#x20;addresses&#x20;for&#x20;computers,&#x20;services&#x20;and&#x20;other&#x20;resources&#x20;connected&#x20;to&#x20;a&#x20;network.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;designated&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DNS&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;DNS&#x20;server:&#x20;#&#x20;apt&#x20;purge&#x20;bind9','[{\"cis\": [\"2.2.7\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28558,'Ensure&#x20;FTP&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;FTP&#41;&#x20;provides&#x20;networked&#x20;computers&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;transfer&#x20;files.','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;SFTP&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;vsftpd:&#x20;#&#x20;apt&#x20;purge&#x20;vsftpd&#x20;Additional&#x20;Information:&#x20;Additional&#x20;FTP&#x20;servers&#x20;also&#x20;exist&#x20;and&#x20;should&#x20;be&#x20;audited.','[{\"cis\": [\"2.2.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28559,'Ensure&#x20;HTTP&#x20;server&#x20;is&#x20;not&#x20;installed.','HTTP&#x20;or&#x20;web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;apache:&#x20;#&#x20;apt&#x20;purge&#x20;apache2&#x20;Additional&#x20;Information:&#x20;Several&#x20;httpd&#x20;servers&#x20;exist&#x20;and&#x20;can&#x20;use&#x20;other&#x20;service&#x20;names.&#x20;apache2&#x20;and&#x20;nginx&#x20;are&#x20;example&#x20;services&#x20;that&#x20;provide&#x20;an&#x20;HTTP&#x20;server.&#x20;These&#x20;and&#x20;other&#x20;services&#x20;should&#x20;also&#x20;be&#x20;audited','[{\"cis\": [\"2.2.9\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28560,'Ensure&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;are&#x20;not&#x20;installed.','dovecot-imapd&#x20;and&#x20;dovecot-pop3d&#x20;are&#x20;an&#x20;open&#x20;source&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;POP3&#x20;and/or&#x20;IMAP&#x20;servers&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;by&#x20;this&#x20;system,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;dovecot-imapd&#x20;and&#x20;dovecot-pop3d:&#x20;#&#x20;apt&#x20;purge&#x20;dovecot-imapd&#x20;dovecot-pop3d&#x20;Additional&#x20;Information:&#x20;Several&#x20;IMAP/POP3&#x20;servers&#x20;exist&#x20;and&#x20;can&#x20;use&#x20;other&#x20;service&#x20;names.&#x20;courier-imap&#x20;and&#x20;cyrus-imap&#x20;are&#x20;example&#x20;services&#x20;that&#x20;provide&#x20;a&#x20;mail&#x20;server.&#x20;These&#x20;and&#x20;other&#x20;services&#x20;should&#x20;also&#x20;be&#x20;audited.','[{\"cis\": [\"2.2.10\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28561,'Ensure&#x20;Samba&#x20;is&#x20;not&#x20;installed.','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Server&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.&#x20;Windows&#x20;desktop&#x20;users&#x20;will&#x20;be&#x20;able&#x20;to&#x20;mount&#x20;these&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;as&#x20;letter&#x20;drives&#x20;on&#x20;their&#x20;systems.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;service&#x20;should&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;samba:&#x20;#&#x20;apt&#x20;purge&#x20;samba.','[{\"cis\": [\"2.2.11\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28562,'Ensure&#x20;HTTP&#x20;Proxy&#x20;Server&#x20;is&#x20;not&#x20;installed.','Squid&#x20;is&#x20;a&#x20;standard&#x20;proxy&#x20;server&#x20;used&#x20;in&#x20;many&#x20;distributions&#x20;and&#x20;environments.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;proxy&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;squid:&#x20;#&#x20;apt&#x20;purge&#x20;squid&#x20;Additional&#x20;Information:&#x20;Several&#x20;HTTP&#x20;proxy&#x20;servers&#x20;exist.&#x20;These&#x20;and&#x20;other&#x20;services&#x20;should&#x20;be&#x20;checked.','[{\"cis\": [\"2.2.12\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28563,'Ensure&#x20;SNMP&#x20;Server&#x20;is&#x20;not&#x20;installed.','Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;is&#x20;a&#x20;widely&#x20;used&#x20;protocol&#x20;for&#x20;monitoring&#x20;the&#x20;health&#x20;and&#x20;welfare&#x20;of&#x20;network&#x20;equipment,&#x20;computer&#x20;equipment&#x20;and&#x20;devices&#x20;like&#x20;UPSs.&#x20;Net-SNMP&#x20;is&#x20;a&#x20;suite&#x20;of&#x20;applications&#x20;used&#x20;to&#x20;implement&#x20;SNMPv1&#x20;&#40;RFC&#x20;1157&#41;,&#x20;SNMPv2&#x20;&#40;RFCs&#x20;1901-1908&#41;,&#x20;and&#x20;SNMPv3&#x20;&#40;RFCs&#x20;3411-3418&#41;&#x20;using&#x20;both&#x20;IPv4&#x20;and&#x20;IPv6.&#x20;Support&#x20;for&#x20;SNMPv2&#x20;classic&#x20;&#40;a.k.a.&#x20;&quot;SNMPv2&#x20;historic&quot;&#x20;-&#x20;RFCs&#x20;1441-1452&#41;&#x20;was&#x20;dropped&#x20;with&#x20;the&#x20;4.0&#x20;release&#x20;of&#x20;the&#x20;UCD-snmp&#x20;package.&#x20;The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;can&#x20;communicate&#x20;using&#x20;SNMPv1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;SNMPv3&#x20;replaces&#x20;the&#x20;simple/clear&#x20;text&#x20;password&#x20;sharing&#x20;used&#x20;in&#x20;SNMPv2&#x20;with&#x20;more&#x20;securely&#x20;encoded&#x20;parameters.&#x20;If&#x20;the&#x20;the&#x20;SNMP&#x20;service&#x20;is&#x20;not&#x20;required,&#x20;the&#x20;net-snmp&#x20;package&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;Note:&#x20;If&#x20;SNMP&#x20;is&#x20;required:&#x20;The&#x20;server&#x20;should&#x20;be&#x20;configured&#x20;for&#x20;SNMP&#x20;v3&#x20;only.&#x20;User&#x20;Authentication&#x20;and&#x20;Message&#x20;Encryption&#x20;should&#x20;be&#x20;configured.&#x20;If&#x20;SNMP&#x20;v2&#x20;is&#x20;absolutely&#x20;necessary,&#x20;modify&#x20;the&#x20;community&#x20;strings&#039;&#x20;values.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;snmp:&#x20;#&#x20;apt&#x20;purge&#x20;snmp.','[{\"cis\": [\"2.2.13\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \" CM.L2-3.4.8\", \" SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \" 1.2.1\", \" 2.2.2\", \" 2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \" 2.2.4\", \" 6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \" CC6.6\"]}]'),(28564,'Ensure&#x20;NIS&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;&#x20;&#40;formally&#x20;known&#x20;as&#x20;Yellow&#x20;Pages&#41;&#x20;is&#x20;a&#x20;clientserver&#x20;directory&#x20;service&#x20;protocol&#x20;for&#x20;distributing&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;server&#x20;is&#x20;a&#x20;collection&#x20;of&#x20;programs&#x20;that&#x20;allow&#x20;for&#x20;the&#x20;distribution&#x20;of&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed&#x20;and&#x20;other,&#x20;more&#x20;secure&#x20;services&#x20;be&#x20;used.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nis:&#x20;#&#x20;apt&#x20;purge&#x20;nis.','[{\"cis\": [\"2.2.14\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \" CM.L2-3.4.8\", \" SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \" 1.2.1\", \" 2.2.2\", \" 2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \" 2.2.4\", \" 6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \" CC6.6\"]}]'),(28565,'Ensure&#x20;mail&#x20;transfer&#x20;agent&#x20;is&#x20;configured&#x20;for&#x20;local-only&#x20;mode.','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','The&#x20;software&#x20;for&#x20;all&#x20;Mail&#x20;Transfer&#x20;Agents&#x20;is&#x20;complex&#x20;and&#x20;most&#x20;have&#x20;a&#x20;long&#x20;history&#x20;of&#x20;security&#x20;issues.&#x20;While&#x20;it&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;system&#x20;can&#x20;process&#x20;local&#x20;mail&#x20;messages,&#x20;it&#x20;is&#x20;not&#x20;necessary&#x20;to&#x20;have&#x20;the&#x20;MTA&#039;s&#x20;daemon&#x20;listening&#x20;on&#x20;a&#x20;port&#x20;unless&#x20;the&#x20;server&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server&#x20;that&#x20;receives&#x20;and&#x20;processes&#x20;mail&#x20;from&#x20;other&#x20;systems.&#x20;Note:&#x20;-&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;postfix&#x20;mail&#x20;server.&#x20;-&#x20;Depending&#x20;on&#x20;your&#x20;environment&#x20;you&#x20;may&#x20;have&#x20;an&#x20;alternative&#x20;MTA&#x20;installed&#x20;such&#x20;as&#x20;exim4.&#x20;If&#x20;this&#x20;is&#x20;the&#x20;case&#x20;consult&#x20;the&#x20;documentation&#x20;for&#x20;your&#x20;installed&#x20;MTA&#x20;to&#x20;configure&#x20;the&#x20;recommended&#x20;state.','','Edit&#x20;/etc/postfix/main.cf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;RECEIVING&#x20;MAIL&#x20;section.&#x20;If&#x20;the&#x20;line&#x20;already&#x20;exists,&#x20;change&#x20;it&#x20;to&#x20;look&#x20;like&#x20;the&#x20;line&#x20;below:&#x20;inet_interfaces&#x20;=&#x20;loopback-only&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;postfix:&#x20;#&#x20;systemctl&#x20;restart&#x20;postfix.','[{\"cis\": [\"2.2.15\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1018\", \"T1210\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \" CM.L2-3.4.8\", \" SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \" 1.2.1\", \" 2.2.2\", \" 2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \" 2.2.4\", \" 6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \" CC6.6\"]}]'),(28566,'Ensure&#x20;rsync&#x20;service&#x20;is&#x20;either&#x20;not&#x20;installed&#x20;or&#x20;masked.','The&#x20;rsync&#x20;service&#x20;can&#x20;be&#x20;used&#x20;to&#x20;synchronize&#x20;files&#x20;between&#x20;systems&#x20;over&#x20;network&#x20;links.','The&#x20;rsync&#x20;service&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.&#x20;The&#x20;rsync&#x20;package&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;area&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;rsync:&#x20;#&#x20;apt&#x20;purge&#x20;rsync&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;rsync:&#x20;#&#x20;systemctl&#x20;stop&#x20;rsync&#x20;#&#x20;systemctl&#x20;mask&#x20;rsync.','[{\"cis\": [\"2.2.16\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1105\", \"T1203\", \"T1210\", \"T1543\", \"T1543.002\", \"1570\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \" CM.L2-3.4.8\", \" SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \" 1.2.1\", \" 2.2.2\", \" 2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \" 2.2.4\", \" 6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \" CC6.6\"]}]'),(28567,'Ensure&#x20;NIS&#x20;Client&#x20;is&#x20;not&#x20;installed.','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;,&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;clientserver&#x20;directory&#x20;service&#x20;protocol&#x20;used&#x20;to&#x20;distribute&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;client&#x20;was&#x20;used&#x20;to&#x20;bind&#x20;a&#x20;machine&#x20;to&#x20;an&#x20;NIS&#x20;server&#x20;and&#x20;receive&#x20;the&#x20;distributed&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed.','Many&#x20;insecure&#x20;service&#x20;clients&#x20;are&#x20;used&#x20;as&#x20;troubleshooting&#x20;tools&#x20;and&#x20;in&#x20;testing&#x20;environments.&#x20;Uninstalling&#x20;them&#x20;can&#x20;inhibit&#x20;capability&#x20;to&#x20;test&#x20;and&#x20;troubleshoot.&#x20;If&#x20;they&#x20;are&#x20;required&#x20;it&#x20;is&#x20;advisable&#x20;to&#x20;remove&#x20;the&#x20;clients&#x20;after&#x20;use&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;intentional&#x20;misuse.','Uninstall&#x20;nis:&#x20;#&#x20;apt&#x20;purge&#x20;nis','[{\"cis\": [\"2.3.1\"]}, {\"cis_csc_v7\": [\"2.6\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28568,'Ensure&#x20;rsh&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;rsh-client&#x20;package&#x20;contains&#x20;the&#x20;client&#x20;commands&#x20;for&#x20;the&#x20;rsh&#x20;services.','These&#x20;legacy&#x20;clients&#x20;contain&#x20;numerous&#x20;security&#x20;exposures&#x20;and&#x20;have&#x20;been&#x20;replaced&#x20;with&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;package.&#x20;Even&#x20;if&#x20;the&#x20;server&#x20;is&#x20;removed,&#x20;it&#x20;is&#x20;best&#x20;to&#x20;ensure&#x20;the&#x20;clients&#x20;are&#x20;also&#x20;removed&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;inadvertently&#x20;attempting&#x20;to&#x20;use&#x20;these&#x20;commands&#x20;and&#x20;therefore&#x20;exposing&#x20;their&#x20;credentials.&#x20;Note&#x20;that&#x20;removing&#x20;the&#x20;rsh&#x20;package&#x20;removes&#x20;the&#x20;clients&#x20;for&#x20;rsh,&#x20;rcp&#x20;and&#x20;rlogin.','Many&#x20;insecure&#x20;service&#x20;clients&#x20;are&#x20;used&#x20;as&#x20;troubleshooting&#x20;tools&#x20;and&#x20;in&#x20;testing&#x20;environments.&#x20;Uninstalling&#x20;them&#x20;can&#x20;inhibit&#x20;capability&#x20;to&#x20;test&#x20;and&#x20;troubleshoot.&#x20;If&#x20;they&#x20;are&#x20;required&#x20;it&#x20;is&#x20;advisable&#x20;to&#x20;remove&#x20;the&#x20;clients&#x20;after&#x20;use&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;intentional&#x20;misuse.','Uninstall&#x20;rsh:&#x20;#&#x20;apt&#x20;purge&#x20;rsh-client','[{\"cis\": [\"2.3.2\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1040\", \"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1041\", \"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28569,'Ensure&#x20;talk&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;talk&#x20;software&#x20;makes&#x20;it&#x20;possible&#x20;for&#x20;users&#x20;to&#x20;send&#x20;and&#x20;receive&#x20;messages&#x20;across&#x20;systems&#x20;through&#x20;a&#x20;terminal&#x20;session.&#x20;The&#x20;talk&#x20;client,&#x20;which&#x20;allows&#x20;initialization&#x20;of&#x20;talk&#x20;sessions,&#x20;is&#x20;installed&#x20;by&#x20;default.','The&#x20;software&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','Many&#x20;insecure&#x20;service&#x20;clients&#x20;are&#x20;used&#x20;as&#x20;troubleshooting&#x20;tools&#x20;and&#x20;in&#x20;testing&#x20;environments.&#x20;Uninstalling&#x20;them&#x20;can&#x20;inhibit&#x20;capability&#x20;to&#x20;test&#x20;and&#x20;troubleshoot.&#x20;If&#x20;they&#x20;are&#x20;required&#x20;it&#x20;is&#x20;advisable&#x20;to&#x20;remove&#x20;the&#x20;clients&#x20;after&#x20;use&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;intentional&#x20;misuse.','Uninstall&#x20;talk:&#x20;#&#x20;apt&#x20;purge&#x20;talk','[{\"cis\": [\"2.3.3\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0006\", \"TA0008\"]}, {\"mitre_mitigations\": [\"M1041\", \"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28570,'Ensure&#x20;telnet&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;telnet&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;client,&#x20;which&#x20;allows&#x20;users&#x20;to&#x20;start&#x20;connections&#x20;to&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security&#x20;and&#x20;is&#x20;included&#x20;in&#x20;most&#x20;Linux&#x20;distributions.','Many&#x20;insecure&#x20;service&#x20;clients&#x20;are&#x20;used&#x20;as&#x20;troubleshooting&#x20;tools&#x20;and&#x20;in&#x20;testing&#x20;environments.&#x20;Uninstalling&#x20;them&#x20;can&#x20;inhibit&#x20;capability&#x20;to&#x20;test&#x20;and&#x20;troubleshoot.&#x20;If&#x20;they&#x20;are&#x20;required&#x20;it&#x20;is&#x20;advisable&#x20;to&#x20;remove&#x20;the&#x20;clients&#x20;after&#x20;use&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;intentional&#x20;misuse.','Uninstall&#x20;telnet:&#x20;#&#x20;apt&#x20;purge&#x20;telnet','[{\"cis\": [\"2.3.4\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1040\", \"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0006\", \"TA0008\"]}, {\"mitre_mitigations\": [\"M1041\", \"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28571,'Ensure&#x20;LDAP&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','Removing&#x20;the&#x20;LDAP&#x20;client&#x20;will&#x20;prevent&#x20;or&#x20;inhibit&#x20;using&#x20;LDAP&#x20;for&#x20;authentication&#x20;in&#x20;your&#x20;environment.','Uninstall&#x20;ldap-utils:&#x20;#&#x20;apt&#x20;purge&#x20;ldap-utils','[{\"cis\": [\"2.3.5\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28572,'Ensure&#x20;RPC&#x20;is&#x20;not&#x20;installed.','Remote&#x20;Procedure&#x20;Call&#x20;&#40;RPC&#41;&#x20;is&#x20;a&#x20;method&#x20;for&#x20;creating&#x20;low&#x20;level&#x20;client&#x20;server&#x20;applications&#x20;across&#x20;different&#x20;system&#x20;architectures.&#x20;It&#x20;requires&#x20;an&#x20;RPC&#x20;compliant&#x20;client&#x20;listening&#x20;on&#x20;a&#x20;network&#x20;port.&#x20;The&#x20;supporting&#x20;package&#x20;is&#x20;rpcbind.','If&#x20;RPC&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;services&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;rpcbind:&#x20;#&#x20;apt&#x20;purge&#x20;rpcbind','[{\"cis\": [\"2.3.6\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28573,'Ensure&#x20;ufw&#x20;is&#x20;installed.','The&#x20;Uncomplicated&#x20;Firewall&#x20;&#40;ufw&#41;&#x20;is&#x20;a&#x20;frontend&#x20;for&#x20;iptables&#x20;and&#x20;is&#x20;particularly&#x20;well-suited&#x20;for&#x20;host-based&#x20;firewalls.&#x20;ufw&#x20;provides&#x20;a&#x20;framework&#x20;for&#x20;managing&#x20;netfilter,&#x20;as&#x20;well&#x20;as&#x20;a&#x20;command-line&#x20;interface&#x20;for&#x20;manipulating&#x20;the&#x20;firewall.','A&#x20;firewall&#x20;utility&#x20;is&#x20;required&#x20;to&#x20;configure&#x20;the&#x20;Linux&#x20;kernel&#039;s&#x20;netfilter&#x20;framework&#x20;via&#x20;the&#x20;iptables&#x20;or&#x20;nftables&#x20;back-end.&#x20;The&#x20;Linux&#x20;kernel&#039;s&#x20;netfilter&#x20;framework&#x20;host-based&#x20;firewall&#x20;can&#x20;protect&#x20;against&#x20;threats&#x20;originating&#x20;from&#x20;within&#x20;a&#x20;corporate&#x20;network&#x20;to&#x20;include&#x20;malicious&#x20;mobile&#x20;code&#x20;and&#x20;poorly&#x20;configured&#x20;software&#x20;on&#x20;a&#x20;host.&#x20;Note:&#x20;Only&#x20;one&#x20;firewall&#x20;utility&#x20;should&#x20;be&#x20;installed&#x20;and&#x20;configured.&#x20;UFW&#x20;is&#x20;dependent&#x20;on&#x20;the&#x20;iptables&#x20;package.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;Uncomplicated&#x20;Firewall&#x20;&#40;UFW&#41;:&#x20;apt&#x20;install&#x20;ufw','[{\"cis\": [\"3.5.1.1\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28574,'Ensure&#x20;iptables-persistent&#x20;is&#x20;not&#x20;installed&#x20;with&#x20;ufw.','The&#x20;iptables-persistent&#x20;is&#x20;a&#x20;boot-time&#x20;loader&#x20;for&#x20;netfilter&#x20;rules,&#x20;iptables&#x20;plugin.','Running&#x20;both&#x20;ufw&#x20;and&#x20;the&#x20;services&#x20;included&#x20;in&#x20;the&#x20;iptables-persistent&#x20;package&#x20;may&#x20;lead&#x20;to&#x20;conflict.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;iptables-persistent&#x20;package:&#x20;#&#x20;apt&#x20;purge&#x20;iptables-persistent','[{\"cis\": [\"3.5.1.2\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28575,'Ensure&#x20;ufw&#x20;service&#x20;is&#x20;enabled.','UncomplicatedFirewall&#x20;&#40;ufw&#41;&#x20;is&#x20;a&#x20;frontend&#x20;for&#x20;iptables.&#x20;ufw&#x20;provides&#x20;a&#x20;framework&#x20;for&#x20;managing&#x20;netfilter,&#x20;as&#x20;well&#x20;as&#x20;a&#x20;command-line&#x20;and&#x20;available&#x20;graphical&#x20;user&#x20;interface&#x20;for&#x20;manipulating&#x20;the&#x20;firewall.&#x20;Notes:&#x20;When&#x20;running&#x20;ufw&#x20;enable&#x20;or&#x20;starting&#x20;ufw&#x20;via&#x20;its&#x20;initscript,&#x20;ufw&#x20;will&#x20;flush&#x20;its&#x20;chains.&#x20;This&#x20;is&#x20;required&#x20;so&#x20;ufw&#x20;can&#x20;maintain&#x20;a&#x20;consistent&#x20;state,&#x20;but&#x20;it&#x20;may&#x20;drop&#x20;existing&#x20;connections&#x20;&#40;eg&#x20;ssh&#41;.&#x20;ufw&#x20;does&#x20;support&#x20;adding&#x20;rules&#x20;before&#x20;enabling&#x20;the&#x20;firewall.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;before&#x20;running&#x20;ufw&#x20;enable.&#x20;#&#x20;ufw&#x20;allow&#x20;proto&#x20;tcp&#x20;from&#x20;any&#x20;to&#x20;any&#x20;port&#x20;22&#x20;The&#x20;rules&#x20;will&#x20;still&#x20;be&#x20;flushed,&#x20;but&#x20;the&#x20;ssh&#x20;port&#x20;will&#x20;be&#x20;open&#x20;after&#x20;enabling&#x20;the&#x20;firewall.&#x20;Please&#x20;note&#x20;that&#x20;once&#x20;ufw&#x20;is&#x20;&#039;enabled&#039;,&#x20;ufw&#x20;will&#x20;not&#x20;flush&#x20;the&#x20;chains&#x20;when&#x20;adding&#x20;or&#x20;removing&#x20;rules&#x20;&#40;but&#x20;will&#x20;when&#x20;modifying&#x20;a&#x20;rule&#x20;or&#x20;changing&#x20;the&#x20;default&#x20;policy&#41;&#x20;By&#x20;default,&#x20;ufw&#x20;will&#x20;prompt&#x20;when&#x20;enabling&#x20;the&#x20;firewall&#x20;while&#x20;running&#x20;under&#x20;ssh.&#x20;This&#x20;can&#x20;be&#x20;disabled&#x20;by&#x20;using&#x20;ufw&#x20;--force&#x20;enable.','The&#x20;ufw&#x20;service&#x20;must&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;in&#x20;order&#x20;for&#x20;ufw&#x20;to&#x20;protect&#x20;the&#x20;system.','Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;the&#x20;ufw&#x20;daemon:&#x20;#&#x20;systemctl&#x20;unmask&#x20;ufw.service&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;the&#x20;ufw&#x20;daemon:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;ufw.service&#x20;active&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;ufw:&#x20;#&#x20;ufw&#x20;enable','[{\"cis\": [\"3.5.1.3\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28576,'Ensure&#x20;ufw&#x20;loopback&#x20;traffic&#x20;is&#x20;configured.','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#x20;for&#x20;IPv4&#x20;and&#x20;::1/128&#x20;for&#x20;IPv6&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#x20;for&#x20;IPv4&#x20;and&#x20;::1/128&#x20;for&#x20;IPv6&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;ufw&#x20;allow&#x20;in&#x20;on&#x20;lo&#x20;#&#x20;ufw&#x20;allow&#x20;out&#x20;on&#x20;lo&#x20;#&#x20;ufw&#x20;deny&#x20;in&#x20;from&#x20;127.0.0.0/8&#x20;#&#x20;ufw&#x20;deny&#x20;in&#x20;from&#x20;::1','[{\"cis\": [\"3.5.1.4\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28577,'Ensure&#x20;ufw&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','A&#x20;default&#x20;deny&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.&#x20;Note:&#x20;Any&#x20;port&#x20;or&#x20;protocol&#x20;without&#x20;a&#x20;explicit&#x20;allow&#x20;before&#x20;the&#x20;default&#x20;deny&#x20;will&#x20;be&#x20;blocked.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','Any&#x20;port&#x20;and&#x20;protocol&#x20;not&#x20;explicitly&#x20;allowed&#x20;will&#x20;be&#x20;blocked.&#x20;The&#x20;following&#x20;rules&#x20;should&#x20;be&#x20;considered&#x20;before&#x20;applying&#x20;the&#x20;default&#x20;deny.&#x20;ufw&#x20;allow&#x20;git&#x20;ufw&#x20;allow&#x20;in&#x20;http&#x20;ufw&#x20;allow&#x20;out&#x20;http&#x20;&lt;-&#x20;required&#x20;for&#x20;apt&#x20;to&#x20;connect&#x20;to&#x20;repository&#x20;ufw&#x20;allow&#x20;in&#x20;https&#x20;ufw&#x20;allow&#x20;out&#x20;https&#x20;ufw&#x20;allow&#x20;out&#x20;53&#x20;ufw&#x20;logging&#x20;on.','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;deny&#x20;policy:&#x20;#&#x20;ufw&#x20;default&#x20;deny&#x20;incoming&#x20;#&#x20;ufw&#x20;default&#x20;deny&#x20;outgoing&#x20;#&#x20;ufw&#x20;default&#x20;deny&#x20;routed','[{\"cis\": [\"3.5.1.7\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28578,'Ensure&#x20;nftables&#x20;is&#x20;installed.','nftables&#x20;provides&#x20;a&#x20;new&#x20;in-kernel&#x20;packet&#x20;classification&#x20;framework&#x20;that&#x20;is&#x20;based&#x20;on&#x20;a&#x20;network-specific&#x20;Virtual&#x20;Machine&#x20;&#40;VM&#41;&#x20;and&#x20;a&#x20;new&#x20;nft&#x20;userspace&#x20;command&#x20;line&#x20;tool.&#x20;nftables&#x20;reuses&#x20;the&#x20;existing&#x20;Netfilter&#x20;subsystems&#x20;such&#x20;as&#x20;the&#x20;existing&#x20;hook&#x20;infrastructure,&#x20;the&#x20;connection&#x20;tracking&#x20;system,&#x20;NAT,&#x20;userspace&#x20;queuing&#x20;and&#x20;logging&#x20;subsystem.&#x20;Notes:&#x20;nftables&#x20;is&#x20;available&#x20;in&#x20;Linux&#x20;kernel&#x20;3.13&#x20;and&#x20;newer&#x20;Only&#x20;one&#x20;firewall&#x20;utility&#x20;should&#x20;be&#x20;installed&#x20;and&#x20;configured&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;the&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.','nftables&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;Linux&#x20;kernel&#x20;that&#x20;can&#x20;protect&#x20;against&#x20;threats&#x20;originating&#x20;from&#x20;within&#x20;a&#x20;corporate&#x20;network&#x20;to&#x20;include&#x20;malicious&#x20;mobile&#x20;code&#x20;and&#x20;poorly&#x20;configured&#x20;software&#x20;on&#x20;a&#x20;host.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;nftables:&#x20;#&#x20;apt&#x20;install&#x20;nftables','[{\"cis\": [\"3.5.2.1\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28579,'Ensure&#x20;a&#x20;nftables&#x20;table&#x20;exists.','Tables&#x20;hold&#x20;chains.&#x20;Each&#x20;table&#x20;only&#x20;has&#x20;one&#x20;address&#x20;family&#x20;and&#x20;only&#x20;applies&#x20;to&#x20;packets&#x20;of&#x20;this&#x20;family.&#x20;Tables&#x20;can&#x20;have&#x20;one&#x20;of&#x20;five&#x20;families.','nftables&#x20;doesn&#039;t&#x20;have&#x20;any&#x20;default&#x20;tables.&#x20;Without&#x20;a&#x20;table&#x20;being&#x20;build,&#x20;nftables&#x20;will&#x20;not&#x20;filter&#x20;network&#x20;traffic.','Adding&#x20;rules&#x20;to&#x20;a&#x20;running&#x20;nftables&#x20;can&#x20;cause&#x20;loss&#x20;of&#x20;connectivity&#x20;to&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;a&#x20;table&#x20;in&#x20;nftables&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;Example:&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;filter','[{\"cis\": [\"3.5.2.4\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28580,'Ensure&#x20;nftables&#x20;base&#x20;chains&#x20;exist.','Chains&#x20;are&#x20;containers&#x20;for&#x20;rules.&#x20;They&#x20;exist&#x20;in&#x20;two&#x20;kinds,&#x20;base&#x20;chains&#x20;and&#x20;regular&#x20;chains.&#x20;A&#x20;base&#x20;chain&#x20;is&#x20;an&#x20;entry&#x20;point&#x20;for&#x20;packets&#x20;from&#x20;the&#x20;networking&#x20;stack,&#x20;a&#x20;regular&#x20;chain&#x20;may&#x20;be&#x20;used&#x20;as&#x20;jump&#x20;target&#x20;and&#x20;is&#x20;used&#x20;for&#x20;better&#x20;rule&#x20;organization.','If&#x20;a&#x20;base&#x20;chain&#x20;doesn&#039;t&#x20;exist&#x20;with&#x20;a&#x20;hook&#x20;for&#x20;input,&#x20;forward,&#x20;and&#x20;delete,&#x20;packets&#x20;that&#x20;would&#x20;flow&#x20;through&#x20;those&#x20;chains&#x20;will&#x20;not&#x20;be&#x20;touched&#x20;by&#x20;nftables.','If&#x20;configuring&#x20;nftables&#x20;over&#x20;ssh,&#x20;creating&#x20;a&#x20;base&#x20;chain&#x20;with&#x20;a&#x20;policy&#x20;of&#x20;drop&#x20;will&#x20;cause&#x20;loss&#x20;of&#x20;connectivity.&#x20;Ensure&#x20;that&#x20;a&#x20;rule&#x20;allowing&#x20;ssh&#x20;has&#x20;been&#x20;added&#x20;to&#x20;the&#x20;base&#x20;chain&#x20;prior&#x20;to&#x20;setting&#x20;the&#x20;base&#x20;chain&#039;s&#x20;policy&#x20;to&#x20;drop.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;the&#x20;base&#x20;chains:&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;&lt;base&#x20;chain&#x20;name&gt;&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;&lt;&#40;input|forward|output&#41;&gt;&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;Example:&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;input&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;input&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;forward&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;forward&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;output&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;output&#x20;priority&#x20;0&#x20;;&#x20;}','[{\"cis\": [\"3.5.2.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28581,'Ensure&#x20;nftables&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','Base&#x20;chain&#x20;policy&#x20;is&#x20;the&#x20;default&#x20;verdict&#x20;that&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;packets&#x20;reaching&#x20;the&#x20;end&#x20;of&#x20;the&#x20;chain.','There&#x20;are&#x20;two&#x20;policies:&#x20;accept&#x20;&#40;Default&#41;&#x20;and&#x20;drop.&#x20;If&#x20;the&#x20;policy&#x20;is&#x20;set&#x20;to&#x20;accept,&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied&#x20;and&#x20;the&#x20;packet&#x20;will&#x20;continue&#x20;transversing&#x20;the&#x20;network&#x20;stack.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.&#x20;Note:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.','If&#x20;configuring&#x20;nftables&#x20;over&#x20;ssh,&#x20;creating&#x20;a&#x20;base&#x20;chain&#x20;with&#x20;a&#x20;policy&#x20;of&#x20;drop&#x20;will&#x20;cause&#x20;loss&#x20;of&#x20;connectivity.&#x20;Ensure&#x20;that&#x20;a&#x20;rule&#x20;allowing&#x20;ssh&#x20;has&#x20;been&#x20;added&#x20;to&#x20;the&#x20;base&#x20;chain&#x20;prior&#x20;to&#x20;setting&#x20;the&#x20;base&#x20;chain&#039;s&#x20;policy&#x20;to&#x20;drop.','Run&#x20;the&#x20;following&#x20;command&#x20;for&#x20;the&#x20;base&#x20;chains&#x20;with&#x20;the&#x20;input,&#x20;forward,&#x20;and&#x20;output&#x20;hooks&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;nft&#x20;chain&#x20;&lt;table&#x20;family&gt;&#x20;&lt;table&#x20;name&gt;&#x20;&lt;chain&#x20;name&gt;&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;Example:&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;input&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;forward&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;output&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;Default&#x20;Value:&#x20;accept','[{\"cis\": [\"3.5.2.8\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28582,'Ensure&#x20;nftables&#x20;service&#x20;is&#x20;enabled.','The&#x20;nftables&#x20;service&#x20;allows&#x20;for&#x20;the&#x20;loading&#x20;of&#x20;nftables&#x20;rulesets&#x20;during&#x20;boot,&#x20;or&#x20;starting&#x20;on&#x20;the&#x20;nftables&#x20;service.','The&#x20;nftables&#x20;service&#x20;restores&#x20;the&#x20;nftables&#x20;rules&#x20;from&#x20;the&#x20;rules&#x20;files&#x20;referenced&#x20;in&#x20;the&#x20;/etc/nftables.conf&#x20;file&#x20;during&#x20;boot&#x20;or&#x20;the&#x20;starting&#x20;of&#x20;the&#x20;nftables&#x20;service.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;nftables&#x20;service:&#x20;#&#x20;systemctl&#x20;enable&#x20;nftables.','[{\"cis\": [\"3.5.2.9\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28583,'Ensure&#x20;iptables&#x20;packages&#x20;are&#x20;installed.','iptables&#x20;is&#x20;a&#x20;utility&#x20;program&#x20;that&#x20;allows&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;configure&#x20;the&#x20;tables&#x20;provided&#x20;by&#x20;the&#x20;Linux&#x20;kernel&#x20;firewall,&#x20;implemented&#x20;as&#x20;different&#x20;Netfilter&#x20;modules,&#x20;and&#x20;the&#x20;chains&#x20;and&#x20;rules&#x20;it&#x20;stores.&#x20;Different&#x20;kernel&#x20;modules&#x20;and&#x20;programs&#x20;are&#x20;used&#x20;for&#x20;different&#x20;protocols;&#x20;iptables&#x20;applies&#x20;to&#x20;IPv4,&#x20;ip6tables&#x20;to&#x20;IPv6,&#x20;arptables&#x20;to&#x20;ARP,&#x20;and&#x20;ebtables&#x20;to&#x20;Ethernet&#x20;frames.','A&#x20;method&#x20;of&#x20;configuring&#x20;and&#x20;maintaining&#x20;firewall&#x20;rules&#x20;is&#x20;necessary&#x20;to&#x20;configure&#x20;a&#x20;Host&#x20;Based&#x20;Firewall.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;iptables&#x20;and&#x20;iptables-persistent&#x20;#&#x20;apt&#x20;install&#x20;iptables&#x20;iptables-persistent','[{\"cis\": [\"3.5.3.1.1\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28584,'Ensure&#x20;nftables&#x20;is&#x20;not&#x20;installed&#x20;with&#x20;iptables.','nftables&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;Linux&#x20;kernel&#x20;providing&#x20;filtering&#x20;and&#x20;classification&#x20;of&#x20;network&#x20;packets/datagrams/frames&#x20;and&#x20;is&#x20;the&#x20;successor&#x20;to&#x20;iptables.','Running&#x20;both&#x20;iptables&#x20;and&#x20;nftables&#x20;may&#x20;lead&#x20;to&#x20;conflict.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nftables:&#x20;#&#x20;apt&#x20;purge&#x20;nftables','[{\"cis\": [\"3.5.3.1.2\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28585,'Ensure&#x20;ufw&#x20;is&#x20;uninstalled&#x20;or&#x20;disabled&#x20;with&#x20;iptables.','Uncomplicated&#x20;Firewall&#x20;&#40;UFW&#41;&#x20;is&#x20;a&#x20;program&#x20;for&#x20;managing&#x20;a&#x20;netfilter&#x20;firewall&#x20;designed&#x20;to&#x20;be&#x20;easy&#x20;to&#x20;use.&#x20;Uses&#x20;a&#x20;command-line&#x20;interface&#x20;consisting&#x20;of&#x20;a&#x20;small&#x20;number&#x20;of&#x20;simple&#x20;commands&#x20;Uses&#x20;iptables&#x20;for&#x20;configuration.','Running&#x20;iptables.persistent&#x20;with&#x20;ufw&#x20;enabled&#x20;may&#x20;lead&#x20;to&#x20;conflict&#x20;and&#x20;unexpected&#x20;results.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;either&#x20;remove&#x20;ufw&#x20;or&#x20;stop&#x20;and&#x20;mask&#x20;ufw&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ufw:&#x20;#&#x20;apt&#x20;purge&#x20;ufw&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;ufw:&#x20;#&#x20;ufw&#x20;disable&#x20;#&#x20;systemctl&#x20;stop&#x20;ufw&#x20;#&#x20;systemctl&#x20;mask&#x20;ufw.','[{\"cis\": [\"3.5.3.1.3\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28586,'Ensure&#x20;iptables&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.&#x20;Note:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;iptables&#x20;-P&#x20;INPUT&#x20;DROP&#x20;#&#x20;iptables&#x20;-P&#x20;OUTPUT&#x20;DROP&#x20;#&#x20;iptables&#x20;-P&#x20;FORWARD&#x20;DROP.','[{\"cis\": [\"3.5.3.2.1\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28587,'Ensure&#x20;iptables&#x20;loopback&#x20;traffic&#x20;is&#x20;configured.','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;.&#x20;Note:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-s&#x20;127.0.0.0/8&#x20;-j&#x20;DROP.','[{\"cis\": [\"3.5.3.2.2\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28588,'Ensure&#x20;ip6tables&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.&#x20;Note:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;ip6tables&#x20;-P&#x20;INPUT&#x20;DROP&#x20;#&#x20;ip6tables&#x20;-P&#x20;OUTPUT&#x20;DROP&#x20;#&#x20;ip6tables&#x20;-P&#x20;FORWARD&#x20;DROP.','[{\"cis\": [\"3.5.3.3.1\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28589,'Ensure&#x20;ip6tables&#x20;loopback&#x20;traffic&#x20;is&#x20;configured.','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;::1&#41;.&#x20;Note:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;::1&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;ip6tables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-s&#x20;::1&#x20;-j&#x20;DROP','[{\"cis\": [\"3.5.3.3.2\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28590,'Ensure&#x20;auditd&#x20;is&#x20;installed.','auditd&#x20;is&#x20;the&#x20;userspace&#x20;component&#x20;to&#x20;the&#x20;Linux&#x20;Auditing&#x20;System.&#x20;It&#039;s&#x20;responsible&#x20;for&#x20;writing&#x20;audit&#x20;records&#x20;to&#x20;the&#x20;disk.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;Install&#x20;auditd&#x20;#&#x20;apt&#x20;install&#x20;auditd&#x20;audispd-plugins.','[{\"cis\": [\"4.1.1.1\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28591,'Ensure&#x20;auditd&#x20;service&#x20;is&#x20;enabled&#x20;and&#x20;active.','Turn&#x20;on&#x20;the&#x20;auditd&#x20;daemon&#x20;to&#x20;record&#x20;system&#x20;events.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;auditd:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;auditd.','[{\"cis\": [\"4.1.1.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28592,'Ensure&#x20;auditing&#x20;for&#x20;processes&#x20;that&#x20;start&#x20;prior&#x20;to&#x20;auditd&#x20;is&#x20;enabled.','Configure&#x20;grub2&#x20;so&#x20;that&#x20;processes&#x20;that&#x20;are&#x20;capable&#x20;of&#x20;being&#x20;audited&#x20;can&#x20;be&#x20;audited&#x20;even&#x20;if&#x20;they&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;startup.','Audit&#x20;events&#x20;need&#x20;to&#x20;be&#x20;captured&#x20;on&#x20;processes&#x20;that&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;,&#x20;so&#x20;that&#x20;potential&#x20;malicious&#x20;activity&#x20;cannot&#x20;go&#x20;undetected.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit=1&#x20;to&#x20;GRUB_CMDLINE_LINUX:&#x20;Example:&#x20;GRUB_CMDLINE_LINUX=&quot;audit=1&quot;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub.','[{\"cis\": [\"4.1.1.3\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28593,'Ensure&#x20;audit_backlog_limit&#x20;is&#x20;sufficient.','In&#x20;the&#x20;kernel-level&#x20;audit&#x20;subsystem,&#x20;a&#x20;socket&#x20;buffer&#x20;queue&#x20;is&#x20;used&#x20;to&#x20;hold&#x20;audit&#x20;events.&#x20;Whenever&#x20;a&#x20;new&#x20;audit&#x20;event&#x20;is&#x20;received,&#x20;it&#x20;is&#x20;logged&#x20;and&#x20;prepared&#x20;to&#x20;be&#x20;added&#x20;to&#x20;this&#x20;queue.&#x20;The&#x20;kernel&#x20;boot&#x20;parameter&#x20;audit_backlog_limit=N,&#x20;with&#x20;N&#x20;representing&#x20;the&#x20;amount&#x20;of&#x20;messages,&#x20;will&#x20;ensure&#x20;that&#x20;a&#x20;queue&#x20;cannot&#x20;grow&#x20;beyond&#x20;a&#x20;certain&#x20;size.&#x20;If&#x20;an&#x20;audit&#x20;event&#x20;is&#x20;logged&#x20;which&#x20;would&#x20;grow&#x20;the&#x20;queue&#x20;beyond&#x20;this&#x20;limit,&#x20;then&#x20;a&#x20;failure&#x20;occurs&#x20;and&#x20;is&#x20;handled&#x20;according&#x20;to&#x20;the&#x20;system&#x20;configuration.','If&#x20;an&#x20;audit&#x20;event&#x20;is&#x20;logged&#x20;which&#x20;would&#x20;grow&#x20;the&#x20;queue&#x20;beyond&#x20;the&#x20;audit_backlog_limit,&#x20;then&#x20;a&#x20;failure&#x20;occurs,&#x20;auditd&#x20;records&#x20;will&#x20;be&#x20;lost,&#x20;and&#x20;potential&#x20;malicious&#x20;activity&#x20;could&#x20;go&#x20;undetected.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit_backlog_limit=N&#x20;to&#x20;GRUB_CMDLINE_LINUX.&#x20;The&#x20;recommended&#x20;size&#x20;for&#x20;N&#x20;is&#x20;8192&#x20;or&#x20;larger.&#x20;Example:&#x20;GRUB_CMDLINE_LINUX=&quot;audit_backlog_limit=8192&quot;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub','[{\"cis\": [\"4.1.1.4\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28594,'Ensure&#x20;audit&#x20;log&#x20;storage&#x20;size&#x20;is&#x20;configured.','Configure&#x20;the&#x20;maximum&#x20;size&#x20;of&#x20;the&#x20;audit&#x20;log&#x20;file.&#x20;Once&#x20;the&#x20;log&#x20;reaches&#x20;the&#x20;maximum&#x20;size,&#x20;it&#x20;will&#x20;be&#x20;rotated&#x20;and&#x20;a&#x20;new&#x20;log&#x20;file&#x20;will&#x20;be&#x20;started.','It&#x20;is&#x20;important&#x20;that&#x20;an&#x20;appropriate&#x20;size&#x20;is&#x20;determined&#x20;for&#x20;log&#x20;files&#x20;so&#x20;that&#x20;they&#x20;do&#x20;not&#x20;impact&#x20;the&#x20;system&#x20;and&#x20;audit&#x20;data&#x20;is&#x20;not&#x20;lost.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy:&#x20;max_log_file&#x20;=&#x20;&lt;MB&gt;&#x20;Default&#x20;Value:&#x20;max_log_file&#x20;=&#x20;8&#x20;Additional&#x20;Information:&#x20;The&#x20;max_log_file&#x20;parameter&#x20;is&#x20;measured&#x20;in&#x20;megabytes.&#x20;Other&#x20;methods&#x20;of&#x20;log&#x20;rotation&#x20;may&#x20;be&#x20;appropriate&#x20;based&#x20;on&#x20;site&#x20;policy.&#x20;One&#x20;example&#x20;is&#x20;time-based&#x20;rotation&#x20;strategies&#x20;which&#x20;don&#039;t&#x20;have&#x20;native&#x20;support&#x20;in&#x20;auditd&#x20;configurations.&#x20;Manual&#x20;audit&#x20;of&#x20;custom&#x20;configurations&#x20;should&#x20;be&#x20;evaluated&#x20;for&#x20;effectiveness&#x20;and&#x20;completeness.','[{\"cis\": [\"4.1.2.2\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1053\"]}, {\"pci_dss_3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}]'),(28595,'Ensure&#x20;audit&#x20;logs&#x20;are&#x20;not&#x20;automatically&#x20;deleted.','The&#x20;max_log_file_action&#x20;setting&#x20;determines&#x20;how&#x20;to&#x20;handle&#x20;the&#x20;audit&#x20;log&#x20;file&#x20;reaching&#x20;the&#x20;max&#x20;file&#x20;size.&#x20;A&#x20;value&#x20;of&#x20;keep_logs&#x20;will&#x20;rotate&#x20;the&#x20;logs&#x20;but&#x20;never&#x20;delete&#x20;old&#x20;logs.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;benefits&#x20;of&#x20;maintaining&#x20;a&#x20;long&#x20;audit&#x20;history&#x20;exceed&#x20;the&#x20;cost&#x20;of&#x20;storing&#x20;the&#x20;audit&#x20;history.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;max_log_file_action&#x20;=&#x20;keep_logs.','[{\"cis\": [\"4.1.2.2\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1053\"]}, {\"pci_dss_3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}]'),(28596,'Ensure&#x20;system&#x20;is&#x20;disabled&#x20;when&#x20;audit&#x20;logs&#x20;are&#x20;full.','The&#x20;auditd&#x20;daemon&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;halt&#x20;the&#x20;system&#x20;when&#x20;the&#x20;audit&#x20;logs&#x20;are&#x20;full.&#x20;The&#x20;admin_space_left_action&#x20;parameter&#x20;tells&#x20;the&#x20;system&#x20;what&#x20;action&#x20;to&#x20;take&#x20;when&#x20;the&#x20;system&#x20;has&#x20;detected&#x20;that&#x20;it&#x20;is&#x20;low&#x20;on&#x20;disk&#x20;space.&#x20;Valid&#x20;values&#x20;are&#x20;ignore,&#x20;syslog,&#x20;suspend,&#x20;single,&#x20;and&#x20;halt.&#x20;ignore,&#x20;the&#x20;audit&#x20;daemon&#x20;does&#x20;nothing&#x20;Syslog,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;issue&#x20;a&#x20;warning&#x20;to&#x20;syslog&#x20;Suspend,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;stop&#x20;writing&#x20;records&#x20;to&#x20;the&#x20;disk&#x20;single,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;put&#x20;the&#x20;computer&#x20;system&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;halt,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;shutdown&#x20;the&#x20;system.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;risk&#x20;of&#x20;detecting&#x20;unauthorized&#x20;access&#x20;or&#x20;nonrepudiation&#x20;exceeds&#x20;the&#x20;benefit&#x20;of&#x20;the&#x20;system&#039;s&#x20;availability.','If&#x20;the&#x20;admin_space_left_action&#x20;parameter&#x20;is&#x20;set&#x20;to&#x20;halt&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;shutdown&#x20;the&#x20;system&#x20;when&#x20;the&#x20;disk&#x20;partition&#x20;containing&#x20;the&#x20;audit&#x20;logs&#x20;becomes&#x20;full.','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;space_left_action&#x20;=&#x20;email&#x20;action_mail_acct&#x20;=&#x20;root&#x20;set&#x20;admin_space_left_action&#x20;to&#x20;either&#x20;halt&#x20;or&#x20;single&#x20;in&#x20;/etc/audit/auditd.conf.&#x20;Example:&#x20;admin_space_left_action&#x20;=&#x20;halt.','[{\"cis\": [\"4.1.2.3\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.3\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28597,'Ensure&#x20;changes&#x20;to&#x20;system&#x20;administration&#x20;scope&#x20;&#40;sudoers&#41;&#x20;is&#x20;collected.','Monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrators.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;force&#x20;system&#x20;administrators&#x20;to&#x20;log&#x20;in&#x20;as&#x20;themselves&#x20;first&#x20;and&#x20;then&#x20;use&#x20;the&#x20;sudo&#x20;command&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;it&#x20;is&#x20;possible&#x20;to&#x20;monitor&#x20;changes&#x20;in&#x20;scope.&#x20;The&#x20;file&#x20;/etc/sudoers&#x20;will&#x20;be&#x20;written&#x20;to&#x20;when&#x20;the&#x20;file&#x20;or&#x20;its&#x20;attributes&#x20;have&#x20;changed.&#x20;The&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;scope.&quot;.&#x20;Note:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;requires&#x20;the&#x20;auditd&#x20;service&#x20;to&#x20;be&#x20;restarted,&#x20;and&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','Changes&#x20;in&#x20;the&#x20;/etc/sudoers&#x20;and&#x20;/etc/sudoers.d&#x20;files&#x20;can&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;change&#x20;has&#x20;been&#x20;made&#x20;to&#x20;the&#x20;scope&#x20;of&#x20;system&#x20;administrator&#x20;activity.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrators.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/etc/sudoers&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;-w&#x20;/etc/sudoers.d&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-scope.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;Additional&#x20;Information:&#x20;Potential&#x20;reboot&#x20;required&#x20;If&#x20;the&#x20;auditing&#x20;configuration&#x20;is&#x20;locked&#x20;&#40;-e&#x20;2&#41;,&#x20;then&#x20;augenrules&#x20;will&#x20;not&#x20;warn&#x20;in&#x20;any&#x20;way&#x20;that&#x20;rules&#x20;could&#x20;not&#x20;be&#x20;loaded&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;A&#x20;system&#x20;reboot&#x20;will&#x20;be&#x20;required&#x20;to&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;System&#x20;call&#x20;structure&#x20;For&#x20;performance&#x20;&#40;man&#x20;7&#x20;audit.rules&#41;&#x20;reasons&#x20;it&#x20;is&#x20;preferable&#x20;to&#x20;have&#x20;all&#x20;the&#x20;system&#x20;calls&#x20;on&#x20;one&#x20;line.&#x20;However,&#x20;your&#x20;configuration&#x20;may&#x20;have&#x20;them&#x20;on&#x20;one&#x20;line&#x20;each&#x20;or&#x20;some&#x20;other&#x20;combination.&#x20;This&#x20;is&#x20;important&#x20;to&#x20;understand&#x20;for&#x20;both&#x20;the&#x20;auditing&#x20;and&#x20;remediation&#x20;sections&#x20;as&#x20;the&#x20;examples&#x20;given&#x20;are&#x20;optimized&#x20;for&#x20;performance&#x20;as&#x20;per&#x20;the&#x20;man&#x20;page.','[{\"cis\": [\"4.1.3.1\"]}, {\"cis_csc_v7\": [\"4.8\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1047\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28598,'Ensure&#x20;actions&#x20;as&#x20;another&#x20;user&#x20;are&#x20;always&#x20;logged.','sudo&#x20;provides&#x20;users&#x20;with&#x20;temporary&#x20;elevated&#x20;privileges&#x20;to&#x20;perform&#x20;operations,&#x20;either&#x20;as&#x20;the&#x20;superuser&#x20;or&#x20;another&#x20;user.','Creating&#x20;an&#x20;audit&#x20;log&#x20;of&#x20;users&#x20;with&#x20;temporary&#x20;elevated&#x20;privileges&#x20;and&#x20;the&#x20;operation&#40;s&#41;&#x20;they&#x20;performed&#x20;is&#x20;essential&#x20;to&#x20;reporting.&#x20;Administrators&#x20;will&#x20;want&#x20;to&#x20;correlate&#x20;the&#x20;events&#x20;written&#x20;to&#x20;the&#x20;audit&#x20;trail&#x20;with&#x20;the&#x20;records&#x20;written&#x20;to&#x20;sudo&#039;s&#x20;logfile&#x20;to&#x20;verify&#x20;if&#x20;unauthorized&#x20;commands&#x20;have&#x20;been&#x20;executed.','','Create&#x20;audit&#x20;rules&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;elevated&#x20;privileges.&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-C&#x20;euid!=uid&#x20;-F&#x20;auid!=unset&#x20;-S&#x20;execve&#x20;-k&#x20;user_emulation&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-C&#x20;euid!=uid&#x20;-F&#x20;auid!=unset&#x20;-S&#x20;execve&#x20;-k&#x20;user_emulation&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-user_emulation.rules&#x20;Load&#x20;audit&#x20;rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x20;&quot;;&#x20;fi&#x20;32&#x20;Bit&#x20;systems&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.&#x20;Additional&#x20;Information:&#x20;Potential&#x20;reboot&#x20;required&#x20;If&#x20;the&#x20;auditing&#x20;configuration&#x20;is&#x20;locked&#x20;&#40;-e&#x20;2&#41;,&#x20;then&#x20;augenrules&#x20;will&#x20;not&#x20;warn&#x20;in&#x20;any&#x20;way&#x20;that&#x20;rules&#x20;could&#x20;not&#x20;be&#x20;loaded&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;A&#x20;system&#x20;reboot&#x20;will&#x20;be&#x20;required&#x20;to&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;System&#x20;call&#x20;structure&#x20;For&#x20;performance&#x20;&#40;man&#x20;7&#x20;audit.rules&#41;&#x20;reasons&#x20;it&#x20;is&#x20;preferable&#x20;to&#x20;have&#x20;all&#x20;the&#x20;system&#x20;calls&#x20;on&#x20;one&#x20;line.&#x20;However,&#x20;your&#x20;configuration&#x20;may&#x20;have&#x20;them&#x20;on&#x20;one&#x20;line&#x20;each&#x20;or&#x20;some&#x20;other&#x20;combination.&#x20;This&#x20;is&#x20;important&#x20;to&#x20;understand&#x20;for&#x20;both&#x20;the&#x20;auditing&#x20;and&#x20;remediation&#x20;sections&#x20;as&#x20;the&#x20;examples&#x20;given&#x20;are&#x20;optimized&#x20;for&#x20;performance&#x20;as&#x20;per&#x20;the&#x20;man&#x20;page.','[{\"cis\": [\"4.1.3.2\"]}, {\"cis_csc_v7\": [\"4.9\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1047\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28599,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;date&#x20;and&#x20;time&#x20;information&#x20;are&#x20;collected.','Capture&#x20;events&#x20;where&#x20;the&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;has&#x20;been&#x20;modified.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;are&#x20;set&#x20;to&#x20;determine&#x20;if&#x20;the;&#x20;adjtimex&#x20;-&#x20;tune&#x20;kernel&#x20;clock&#x20;settimeofday&#x20;-&#x20;set&#x20;time&#x20;using&#x20;timeval&#x20;and&#x20;timezone&#x20;structures&#x20;stime&#x20;-&#x20;using&#x20;seconds&#x20;since&#x20;1/1/1970&#x20;clock_settime&#x20;-&#x20;allows&#x20;for&#x20;the&#x20;setting&#x20;of&#x20;several&#x20;internal&#x20;clocks&#x20;and&#x20;timers&#x20;system&#x20;calls&#x20;have&#x20;been&#x20;executed.&#x20;Further,&#x20;ensure&#x20;to&#x20;write&#x20;an&#x20;audit&#x20;record&#x20;to&#x20;the&#x20;configured&#x20;audit&#x20;log&#x20;file&#x20;upon&#x20;exit,&#x20;tagging&#x20;the&#x20;records&#x20;with&#x20;a&#x20;unique&#x20;identifier&#x20;such&#x20;as&#x20;&quot;time-change&quot;.','Unexpected&#x20;changes&#x20;in&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;could&#x20;be&#x20;a&#x20;sign&#x20;of&#x20;malicious&#x20;activity&#x20;on&#x20;the&#x20;system.','','Create&#x20;audit&#x20;rules&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;events&#x20;that&#x20;modify&#x20;date&#x20;and&#x20;time&#x20;information.&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;adjtimex,settimeofday,clock_settime&#x20;-k&#x20;timechange&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex,settimeofday,clock_settime&#x20;-k&#x20;timechange&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-time-change.rules&#x20;Load&#x20;audit&#x20;rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x20;&quot;;&#x20;fi&#x20;32&#x20;Bit&#x20;systems&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.&#x20;In&#x20;addition,&#x20;add&#x20;stime&#x20;to&#x20;the&#x20;system&#x20;call&#x20;audit.&#x20;Example:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex,settimeofday,clock_settime,stime&#x20;-k&#x20;time-change&#x20;Additional&#x20;Information:&#x20;Potential&#x20;reboot&#x20;required&#x20;If&#x20;the&#x20;auditing&#x20;configuration&#x20;is&#x20;locked&#x20;&#40;-e&#x20;2&#41;,&#x20;then&#x20;augenrules&#x20;will&#x20;not&#x20;warn&#x20;in&#x20;any&#x20;way&#x20;that&#x20;rules&#x20;could&#x20;not&#x20;be&#x20;loaded&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;A&#x20;system&#x20;reboot&#x20;will&#x20;be&#x20;required&#x20;to&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;System&#x20;call&#x20;structure&#x20;For&#x20;performance&#x20;&#40;man&#x20;7&#x20;audit.rules&#41;&#x20;reasons&#x20;it&#x20;is&#x20;preferable&#x20;to&#x20;have&#x20;all&#x20;the&#x20;system&#x20;calls&#x20;on&#x20;one&#x20;line.&#x20;However,&#x20;your&#x20;configuration&#x20;may&#x20;have&#x20;them&#x20;on&#x20;one&#x20;line&#x20;each&#x20;or&#x20;some&#x20;other&#x20;combination.&#x20;This&#x20;is&#x20;important&#x20;to&#x20;understand&#x20;for&#x20;both&#x20;the&#x20;auditing&#x20;and&#x20;remediation&#x20;sections&#x20;as&#x20;the&#x20;examples&#x20;given&#x20;are&#x20;optimized&#x20;for&#x20;performance&#x20;as&#x20;per&#x20;the&#x20;man&#x20;page.','[{\"cis\": [\"4.1.3.4\"]}, {\"cis_csc_v7\": [\"5.5\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28600,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;network&#x20;environment&#x20;are&#x20;collected.','Record&#x20;changes&#x20;to&#x20;network&#x20;environment&#x20;files&#x20;or&#x20;system&#x20;calls.&#x20;The&#x20;below&#x20;parameters&#x20;monitors&#x20;the&#x20;following&#x20;system&#x20;calls,&#x20;and&#x20;write&#x20;an&#x20;audit&#x20;event&#x20;on&#x20;system&#x20;call&#x20;exit:&#x20;sethostname&#x20;-&#x20;set&#x20;the&#x20;systems&#x20;host&#x20;name&#x20;setdomainname&#x20;-&#x20;set&#x20;the&#x20;systems&#x20;domain&#x20;name&#x20;The&#x20;files&#x20;being&#x20;monitored&#x20;are:&#x20;-/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;-&#x20;messages&#x20;displayed&#x20;pre-login&#x20;/etc/hosts&#x20;-&#x20;file&#x20;containing&#x20;host&#x20;names&#x20;and&#x20;associated&#x20;IP&#x20;addresses&#x20;-&#x20;/etc/networks&#x20;-&#x20;symbolic&#x20;names&#x20;for&#x20;networks&#x20;-&#x20;/etc/network/&#x20;-&#x20;directory&#x20;containing&#x20;network&#x20;interface&#x20;scripts&#x20;and&#x20;configurations&#x20;files.','Monitoring&#x20;sethostname&#x20;and&#x20;setdomainname&#x20;will&#x20;identify&#x20;potential&#x20;unauthorized&#x20;changes&#x20;to&#x20;host&#x20;and&#x20;domainname&#x20;of&#x20;a&#x20;system.&#x20;The&#x20;changing&#x20;of&#x20;these&#x20;names&#x20;could&#x20;potentially&#x20;break&#x20;security&#x20;parameters&#x20;that&#x20;are&#x20;set&#x20;based&#x20;on&#x20;those&#x20;names.&#x20;The&#x20;/etc/hosts&#x20;file&#x20;is&#x20;monitored&#x20;for&#x20;changes&#x20;that&#x20;can&#x20;indicate&#x20;an&#x20;unauthorized&#x20;intruder&#x20;is&#x20;trying&#x20;to&#x20;change&#x20;machine&#x20;associations&#x20;with&#x20;IP&#x20;addresses&#x20;and&#x20;trick&#x20;users&#x20;and&#x20;processes&#x20;into&#x20;connecting&#x20;to&#x20;unintended&#x20;machines.&#x20;Monitoring&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;is&#x20;important,&#x20;as&#x20;intruders&#x20;could&#x20;put&#x20;disinformation&#x20;into&#x20;those&#x20;files&#x20;and&#x20;trick&#x20;users&#x20;into&#x20;providing&#x20;information&#x20;to&#x20;the&#x20;intruder.&#x20;Monitoring&#x20;/etc/network&#x20;is&#x20;important&#x20;as&#x20;it&#x20;can&#x20;show&#x20;if&#x20;network&#x20;interfaces&#x20;or&#x20;scripts&#x20;are&#x20;being&#x20;modified&#x20;in&#x20;a&#x20;way&#x20;that&#x20;can&#x20;lead&#x20;to&#x20;the&#x20;machine&#x20;becoming&#x20;unavailable&#x20;or&#x20;compromised.&#x20;All&#x20;audit&#x20;records&#x20;should&#x20;have&#x20;a&#x20;relevant&#x20;tag&#x20;associated&#x20;with&#x20;them.','','Create&#x20;audit&#x20;rules&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;network&#x20;environment.&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;sethostname,setdomainname&#x20;-k&#x20;system-locale&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname,setdomainname&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/networks&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/network/&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-system_local.rules&#x20;Load&#x20;audit&#x20;rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;32&#x20;Bit&#x20;systems&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.5\"]}, {\"cis_csc_v7\": [\"5.5\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1047\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28601,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;user/group&#x20;information&#x20;are&#x20;collected.','Record&#x20;events&#x20;affecting&#x20;the&#x20;modification&#x20;of&#x20;user&#x20;or&#x20;group&#x20;information,&#x20;including&#x20;that&#x20;of&#x20;passwords&#x20;and&#x20;old&#x20;passwords&#x20;if&#x20;in&#x20;use.&#x20;/etc/group&#x20;-&#x20;system&#x20;groups&#x20;/etc/passwd&#x20;-&#x20;system&#x20;users&#x20;/etc/gshadow&#x20;-&#x20;encrypted&#x20;password&#x20;for&#x20;each&#x20;group&#x20;/etc/shadow&#x20;-&#x20;system&#x20;user&#x20;passwords&#x20;/etc/security/opasswd&#x20;-&#x20;storage&#x20;of&#x20;old&#x20;passwords&#x20;if&#x20;the&#x20;relevant&#x20;PAM&#x20;module&#x20;is&#x20;in&#x20;use&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;will&#x20;watch&#x20;the&#x20;files&#x20;to&#x20;see&#x20;if&#x20;they&#x20;have&#x20;been&#x20;opened&#x20;for&#x20;write&#x20;or&#x20;have&#x20;had&#x20;attribute&#x20;changes&#x20;&#40;e.g.&#x20;permissions&#41;&#x20;and&#x20;tag&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;identity&quot;&#x20;in&#x20;the&#x20;audit&#x20;log&#x20;file.','Unexpected&#x20;changes&#x20;to&#x20;these&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;the&#x20;system&#x20;has&#x20;been&#x20;compromised&#x20;and&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;hide&#x20;their&#x20;activities&#x20;or&#x20;compromise&#x20;additional&#x20;accounts.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;events&#x20;that&#x20;modify&#x20;user/group&#x20;information.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/etc/group&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/passwd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/gshadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/shadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/security/opasswd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-identity.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x20;&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.8\"]}, {\"cis_csc_v7\": [\"4.8\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1047\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28602,'Ensure&#x20;session&#x20;initiation&#x20;information&#x20;is&#x20;collected.','Monitor&#x20;session&#x20;initiation&#x20;events.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;to&#x20;the&#x20;files&#x20;associated&#x20;with&#x20;session&#x20;events.&#x20;/var/run/utmp&#x20;-&#x20;tracks&#x20;all&#x20;currently&#x20;logged&#x20;in&#x20;users.&#x20;/var/log/wtmp&#x20;-&#x20;file&#x20;tracks&#x20;logins,&#x20;logouts,&#x20;shutdown,&#x20;and&#x20;reboot&#x20;events.&#x20;/var/log/btmp&#x20;-&#x20;keeps&#x20;track&#x20;of&#x20;failed&#x20;login&#x20;attempts&#x20;and&#x20;can&#x20;be&#x20;read&#x20;by&#x20;entering&#x20;the&#x20;command&#x20;/usr/bin/last&#x20;-f&#x20;/var/log/btmp.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;session.&quot;.','Monitoring&#x20;these&#x20;files&#x20;for&#x20;changes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;logins&#x20;occurring&#x20;at&#x20;unusual&#x20;hours,&#x20;which&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;&#40;i.e.&#x20;a&#x20;user&#x20;logging&#x20;in&#x20;at&#x20;a&#x20;time&#x20;when&#x20;they&#x20;do&#x20;not&#x20;normally&#x20;log&#x20;in&#41;.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;session&#x20;initiation&#x20;information.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/var/run/utmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;-w&#x20;/var/log/wtmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;-w&#x20;/var/log/btmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-session.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x20;&quot;;&#x20;fi&#x20;Additional&#x20;Information:&#x20;Potential&#x20;reboot&#x20;required&#x20;If&#x20;the&#x20;auditing&#x20;configuration&#x20;is&#x20;locked&#x20;&#40;-e&#x20;2&#41;,&#x20;then&#x20;augenrules&#x20;will&#x20;not&#x20;warn&#x20;in&#x20;any&#x20;way&#x20;that&#x20;rules&#x20;could&#x20;not&#x20;be&#x20;loaded&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;A&#x20;system&#x20;reboot&#x20;will&#x20;be&#x20;required&#x20;to&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;System&#x20;call&#x20;structure&#x20;For&#x20;performance&#x20;&#40;man&#x20;7&#x20;audit.rules&#41;&#x20;reasons&#x20;it&#x20;is&#x20;preferable&#x20;to&#x20;have&#x20;all&#x20;the&#x20;system&#x20;calls&#x20;on&#x20;one&#x20;line.&#x20;However,&#x20;your&#x20;configuration&#x20;may&#x20;have&#x20;them&#x20;on&#x20;one&#x20;line&#x20;each&#x20;or&#x20;some&#x20;other&#x20;combination.&#x20;This&#x20;is&#x20;important&#x20;to&#x20;understand&#x20;for&#x20;both&#x20;the&#x20;auditing&#x20;and&#x20;remediation&#x20;sections&#x20;as&#x20;the&#x20;examples&#x20;given&#x20;are&#x20;optimized&#x20;for&#x20;performance&#x20;as&#x20;per&#x20;the&#x20;man&#x20;page.','[{\"cis\": [\"4.1.3.11\"]}, {\"cis_csc_v7\": [\"4.9\", \"16.13\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28603,'Ensure&#x20;login&#x20;and&#x20;logout&#x20;events&#x20;are&#x20;collected.','Monitor&#x20;login&#x20;and&#x20;logout&#x20;events.&#x20;The&#x20;parameters&#x20;below&#x20;track&#x20;changes&#x20;to&#x20;files&#x20;associated&#x20;with&#x20;login/logout&#x20;events.&#x20;/var/log/lastlog&#x20;-&#x20;maintain&#x20;records&#x20;of&#x20;the&#x20;last&#x20;time&#x20;a&#x20;user&#x20;successfully&#x20;logged&#x20;in.&#x20;/var/run/faillock&#x20;-&#x20;directory&#x20;maintains&#x20;records&#x20;of&#x20;login&#x20;failures&#x20;via&#x20;the&#x20;pam_faillock&#x20;module.','Monitoring&#x20;login/logout&#x20;events&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;information&#x20;associated&#x20;with&#x20;brute&#x20;force&#x20;attacks&#x20;against&#x20;user&#x20;logins.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;login&#x20;and&#x20;logout&#x20;events.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/var/log/lastlog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;-w&#x20;/var/run/faillock&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-login.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x20;&quot;;&#x20;fi.&#x20;Additional&#x20;Information:&#x20;Potential&#x20;reboot&#x20;required&#x20;If&#x20;the&#x20;auditing&#x20;configuration&#x20;is&#x20;locked&#x20;&#40;-e&#x20;2&#41;,&#x20;then&#x20;augenrules&#x20;will&#x20;not&#x20;warn&#x20;in&#x20;any&#x20;way&#x20;that&#x20;rules&#x20;could&#x20;not&#x20;be&#x20;loaded&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;A&#x20;system&#x20;reboot&#x20;will&#x20;be&#x20;required&#x20;to&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;System&#x20;call&#x20;structure&#x20;For&#x20;performance&#x20;&#40;man&#x20;7&#x20;audit.rules&#41;&#x20;reasons&#x20;it&#x20;is&#x20;preferable&#x20;to&#x20;have&#x20;all&#x20;the&#x20;system&#x20;calls&#x20;on&#x20;one&#x20;line.&#x20;However,&#x20;your&#x20;configuration&#x20;may&#x20;have&#x20;them&#x20;on&#x20;one&#x20;line&#x20;each&#x20;or&#x20;some&#x20;other&#x20;combination.&#x20;This&#x20;is&#x20;important&#x20;to&#x20;understand&#x20;for&#x20;both&#x20;the&#x20;auditing&#x20;and&#x20;remediation&#x20;sections&#x20;as&#x20;the&#x20;examples&#x20;given&#x20;are&#x20;optimized&#x20;for&#x20;performance&#x20;as&#x20;per&#x20;the&#x20;man&#x20;page.','[{\"cis\": [\"4.1.3.12\"]}, {\"cis_csc_v7\": [\"4.9\", \"16.11\", \"16.13\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28604,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;Mandatory&#x20;Access&#x20;Controls&#x20;are&#x20;collected.','Monitor&#x20;AppArmor,&#x20;an&#x20;implementation&#x20;of&#x20;mandatory&#x20;access&#x20;controls.&#x20;The&#x20;parameters&#x20;below&#x20;monitor&#x20;any&#x20;write&#x20;access&#x20;&#40;potential&#x20;additional,&#x20;deletion&#x20;or&#x20;modification&#x20;of&#x20;files&#x20;in&#x20;the&#x20;directory&#41;&#x20;or&#x20;attribute&#x20;changes&#x20;to&#x20;the&#x20;/etc/apparmor/&#x20;and&#x20;/etc/apparmor.d/&#x20;directories.&#x20;Note:&#x20;If&#x20;a&#x20;different&#x20;Mandatory&#x20;Access&#x20;Control&#x20;method&#x20;is&#x20;used,&#x20;changes&#x20;to&#x20;the&#x20;corresponding&#x20;directories&#x20;should&#x20;be&#x20;audited.','Rationale:&#x20;Changes&#x20;to&#x20;files&#x20;in&#x20;the&#x20;/etc/apparmor/&#x20;and&#x20;/etc/apparmor.d/&#x20;directories&#x20;could&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;modify&#x20;access&#x20;controls&#x20;and&#x20;change&#x20;security&#x20;contexts,&#x20;leading&#x20;to&#x20;a&#x20;compromise&#x20;of&#x20;the&#x20;system.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;Mandatory&#x20;Access&#x20;Controls.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/etc/apparmor/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;-w&#x20;/etc/apparmor.d/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-MAC-policy.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi','[{\"cis\": [\"4.1.3.14\"]}, {\"cis_csc_v7\": [\"5.5\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28605,'Ensure&#x20;the&#x20;audit&#x20;configuration&#x20;is&#x20;immutable.','Set&#x20;system&#x20;audit&#x20;so&#x20;that&#x20;audit&#x20;rules&#x20;cannot&#x20;be&#x20;modified&#x20;with&#x20;auditctl&#x20;.&#x20;Setting&#x20;the&#x20;flag&#x20;&quot;-e&#x20;2&quot;&#x20;forces&#x20;audit&#x20;to&#x20;be&#x20;put&#x20;in&#x20;immutable&#x20;mode.&#x20;Audit&#x20;changes&#x20;can&#x20;only&#x20;be&#x20;made&#x20;on&#x20;system&#x20;reboot.&#x20;Note:&#x20;This&#x20;setting&#x20;will&#x20;require&#x20;the&#x20;system&#x20;to&#x20;be&#x20;rebooted&#x20;to&#x20;update&#x20;the&#x20;active&#x20;auditd&#x20;configuration&#x20;settings.','In&#x20;immutable&#x20;mode,&#x20;unauthorized&#x20;users&#x20;cannot&#x20;execute&#x20;changes&#x20;to&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;potentially&#x20;hide&#x20;malicious&#x20;activity&#x20;and&#x20;then&#x20;put&#x20;the&#x20;audit&#x20;rules&#x20;back.&#x20;Users&#x20;would&#x20;most&#x20;likely&#x20;notice&#x20;a&#x20;system&#x20;reboot&#x20;and&#x20;that&#x20;could&#x20;alert&#x20;administrators&#x20;of&#x20;an&#x20;attempt&#x20;to&#x20;make&#x20;unauthorized&#x20;audit&#x20;changes.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/audit/rules.d/99-finalize.rules&#x20;and&#x20;add&#x20;the&#x20;line&#x20;-e&#x20;2&#x20;at&#x20;the&#x20;end&#x20;of&#x20;the&#x20;file:&#x20;Example:&#x20;#&#x20;printf&#x20;--&#x20;&quot;-e&#x20;2&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/99-finalize.rules&#x20;Load&#x20;audit&#x20;rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x20;&quot;;&#x20;fi&#x20;Additional&#x20;Information:&#x20;NIST&#x20;SP&#x20;800-53&#x20;Rev.&#x20;5:&#x20;AC-3&#x20;AU-3&#x20;AU-3&#40;1&#41;&#x20;MP-2','[{\"cis\": [\"4.1.3.20\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"3.3\", \"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28606,'Ensure&#x20;only&#x20;authorized&#x20;groups&#x20;are&#x20;assigned&#x20;ownership&#x20;of&#x20;audit&#x20;log&#x20;files.','Audit&#x20;log&#x20;files&#x20;contain&#x20;information&#x20;about&#x20;the&#x20;system&#x20;and&#x20;system&#x20;activity.','Access&#x20;to&#x20;audit&#x20;records&#x20;can&#x20;reveal&#x20;system&#x20;and&#x20;configuration&#x20;data&#x20;to&#x20;attackers,&#x20;potentially&#x20;compromising&#x20;its&#x20;confidentiality.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;configure&#x20;the&#x20;audit&#x20;log&#x20;files&#x20;to&#x20;be&#x20;owned&#x20;by&#x20;adm&#x20;group:&#x20;#&#x20;find&#x20;$&#40;dirname&#x20;$&#40;awk&#x20;-F&quot;=&quot;&#x20;&#039;/^s*log_files*=s&#42;&#47;&#x20;{print&#x20;$2}&#039;&#x20;/etc/audit/auditd.conf&#x20;|&#x20;xargs&#41;&#41;&#x20;-type&#x20;f&#x20;&#40;&#x20;!&#x20;-group&#x20;adm&#x20;-a&#x20;!&#x20;-group&#x20;root&#x20;&#41;&#x20;-exec&#x20;chgrp&#x20;adm&#x20;{}&#x20;+&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;configure&#x20;the&#x20;audit&#x20;log&#x20;files&#x20;to&#x20;be&#x20;owned&#x20;by&#x20;the&#x20;adm&#x20;group:&#x20;#&#x20;chgrp&#x20;adm&#x20;/var/log/audit/&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;log_group&#x20;parameter&#x20;in&#x20;the&#x20;audit&#x20;configuration&#x20;file&#x20;to&#x20;log_group&#x20;=&#x20;adm:&#x20;#&#x20;sed&#x20;-ri&#x20;&#039;s/^s*#?s*log_groups*=s*S+&#40;s*#.*&#41;?.*$/log_group&#x20;=&#x20;adm1/&#039;&#x20;/etc/audit/auditd.conf&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;the&#x20;audit&#x20;daemon&#x20;to&#x20;reload&#x20;the&#x20;configuration&#x20;file:&#x20;#&#x20;systemctl&#x20;restart&#x20;auditd','[{\"cis\": [\"4.1.4.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28607,'Ensure&#x20;audit&#x20;configuration&#x20;files&#x20;are&#x20;640&#x20;or&#x20;more&#x20;restrictive.','Audit&#x20;configuration&#x20;files&#x20;control&#x20;auditd&#x20;and&#x20;what&#x20;events&#x20;are&#x20;audited.','Access&#x20;to&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;could&#x20;allow&#x20;unauthorized&#x20;personnel&#x20;to&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events.&#x20;Misconfigured&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events&#x20;or&#x20;impact&#x20;the&#x20;system&#039;s&#x20;performance&#x20;by&#x20;overwhelming&#x20;the&#x20;audit&#x20;log.&#x20;Misconfiguration&#x20;of&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;also&#x20;make&#x20;it&#x20;more&#x20;difficult&#x20;to&#x20;establish&#x20;and&#x20;investigate&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;more&#x20;permissive&#x20;mode&#x20;than&#x20;0640&#x20;from&#x20;the&#x20;audit&#x20;configuration&#x20;files:&#x20;#&#x20;find&#x20;/etc/audit/&#x20;-type&#x20;f&#x20;&#40;&#x20;-name&#x20;&#039;*.conf&#039;&#x20;-o&#x20;-name&#x20;&#039;*.rules&#039;&#x20;&#41;&#x20;-exec&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;{}&#x20;+','[{\"cis\": [\"4.1.4.5\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28608,'Ensure&#x20;audit&#x20;configuration&#x20;files&#x20;are&#x20;owned&#x20;by&#x20;root.','Audit&#x20;configuration&#x20;files&#x20;control&#x20;auditd&#x20;and&#x20;what&#x20;events&#x20;are&#x20;audited.','Access&#x20;to&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;could&#x20;allow&#x20;unauthorized&#x20;personnel&#x20;to&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events.&#x20;Misconfigured&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events&#x20;or&#x20;impact&#x20;the&#x20;system&#039;s&#x20;performance&#x20;by&#x20;overwhelming&#x20;the&#x20;audit&#x20;log.&#x20;Misconfiguration&#x20;of&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;also&#x20;make&#x20;it&#x20;more&#x20;difficult&#x20;to&#x20;establish&#x20;and&#x20;investigate&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;ownership&#x20;to&#x20;root&#x20;user:&#x20;#&#x20;find&#x20;/etc/audit/&#x20;-type&#x20;f&#x20;&#40;&#x20;-name&#x20;&#039;*.conf&#039;&#x20;-o&#x20;-name&#x20;&#039;*.rules&#039;&#x20;&#41;&#x20;!&#x20;-user&#x20;root&#x20;-exec&#x20;chown&#x20;root&#x20;{}&#x20;+','[{\"cis\": [\"4.1.4.6\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28609,'Ensure&#x20;audit&#x20;configuration&#x20;files&#x20;belong&#x20;to&#x20;group&#x20;root.','Audit&#x20;configuration&#x20;files&#x20;control&#x20;auditd&#x20;and&#x20;what&#x20;events&#x20;are&#x20;audited.','Access&#x20;to&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;could&#x20;allow&#x20;unauthorized&#x20;personnel&#x20;to&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events.&#x20;Misconfigured&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events&#x20;or&#x20;impact&#x20;the&#x20;system&#039;s&#x20;performance&#x20;by&#x20;overwhelming&#x20;the&#x20;audit&#x20;log.&#x20;Misconfiguration&#x20;of&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;also&#x20;make&#x20;it&#x20;more&#x20;difficult&#x20;to&#x20;establish&#x20;and&#x20;investigate&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;group&#x20;to&#x20;root:&#x20;#&#x20;find&#x20;/etc/audit/&#x20;-type&#x20;f&#x20;&#40;&#x20;-name&#x20;&#039;*.conf&#039;&#x20;-o&#x20;-name&#x20;&#039;*.rules&#039;&#x20;&#41;&#x20;!&#x20;-group&#x20;root&#x20;-exec&#x20;chgrp&#x20;root&#x20;{}&#x20;+','[{\"cis\": [\"4.1.4.7\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28610,'Ensure&#x20;audit&#x20;tools&#x20;are&#x20;755&#x20;or&#x20;more&#x20;restrictive.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;audit&#x20;information&#x20;includes&#x20;identifying&#x20;and&#x20;protecting&#x20;the&#x20;tools&#x20;used&#x20;to&#x20;view&#x20;and&#x20;manipulate&#x20;log&#x20;data.&#x20;Protecting&#x20;audit&#x20;tools&#x20;is&#x20;necessary&#x20;to&#x20;prevent&#x20;unauthorized&#x20;operation&#x20;on&#x20;audit&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;more&#x20;permissive&#x20;mode&#x20;from&#x20;the&#x20;audit&#x20;tools:&#x20;#&#x20;chmod&#x20;go-w&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules','[{\"cis\": [\"4.1.4.8\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28611,'Ensure&#x20;audit&#x20;tools&#x20;are&#x20;owned&#x20;by&#x20;root.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;audit&#x20;information&#x20;includes&#x20;identifying&#x20;and&#x20;protecting&#x20;the&#x20;tools&#x20;used&#x20;to&#x20;view&#x20;and&#x20;manipulate&#x20;log&#x20;data.&#x20;Protecting&#x20;audit&#x20;tools&#x20;is&#x20;necessary&#x20;to&#x20;prevent&#x20;unauthorized&#x20;operation&#x20;on&#x20;audit&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;the&#x20;owner&#x20;of&#x20;the&#x20;audit&#x20;tools&#x20;to&#x20;the&#x20;root&#x20;user:&#x20;#&#x20;chown&#x20;root&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules','[{\"cis\": [\"4.1.4.9\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28612,'Ensure&#x20;audit&#x20;tools&#x20;belong&#x20;to&#x20;group&#x20;root.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;audit&#x20;information&#x20;includes&#x20;identifying&#x20;and&#x20;protecting&#x20;the&#x20;tools&#x20;used&#x20;to&#x20;view&#x20;and&#x20;manipulate&#x20;log&#x20;data.&#x20;Protecting&#x20;audit&#x20;tools&#x20;is&#x20;necessary&#x20;to&#x20;prevent&#x20;unauthorized&#x20;operation&#x20;on&#x20;audit&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;more&#x20;permissive&#x20;mode&#x20;from&#x20;the&#x20;audit&#x20;tools:&#x20;#&#x20;chmod&#x20;go-w&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;audit&#x20;tools&#x20;to&#x20;root&#x20;user&#x20;and&#x20;group:&#x20;#&#x20;chown&#x20;root:root&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules','[{\"cis\": [\"4.1.4.10\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28613,'Ensure&#x20;cryptographic&#x20;mechanisms&#x20;are&#x20;used&#x20;to&#x20;protect&#x20;the&#x20;integrity&#x20;of&#x20;audit&#x20;tools.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;the&#x20;integrity&#x20;of&#x20;the&#x20;tools&#x20;used&#x20;for&#x20;auditing&#x20;purposes&#x20;is&#x20;a&#x20;critical&#x20;step&#x20;toward&#x20;ensuring&#x20;the&#x20;integrity&#x20;of&#x20;audit&#x20;information.&#x20;Audit&#x20;information&#x20;includes&#x20;all&#x20;information&#x20;&#40;e.g.,&#x20;audit&#x20;records,&#x20;audit&#x20;settings,&#x20;and&#x20;audit&#x20;reports&#41;&#x20;needed&#x20;to&#x20;successfully&#x20;audit&#x20;information&#x20;system&#x20;activity.&#x20;Attackers&#x20;may&#x20;replace&#x20;the&#x20;audit&#x20;tools&#x20;or&#x20;inject&#x20;code&#x20;into&#x20;the&#x20;existing&#x20;tools&#x20;with&#x20;the&#x20;purpose&#x20;of&#x20;providing&#x20;the&#x20;capability&#x20;to&#x20;hide&#x20;or&#x20;erase&#x20;system&#x20;activity&#x20;from&#x20;the&#x20;audit&#x20;logs.&#x20;Audit&#x20;tools&#x20;should&#x20;be&#x20;cryptographically&#x20;signed&#x20;in&#x20;order&#x20;to&#x20;provide&#x20;the&#x20;capability&#x20;to&#x20;identify&#x20;when&#x20;the&#x20;audit&#x20;tools&#x20;have&#x20;been&#x20;modified,&#x20;manipulated,&#x20;or&#x20;replaced.&#x20;An&#x20;example&#x20;is&#x20;a&#x20;checksum&#x20;hash&#x20;of&#x20;the&#x20;file&#x20;or&#x20;files.','','Add&#x20;or&#x20;update&#x20;the&#x20;following&#x20;selection&#x20;lines&#x20;for&#x20;&quot;/etc/aide/aide.conf&quot;&#x20;to&#x20;protect&#x20;the&#x20;integrity&#x20;of&#x20;the&#x20;audit&#x20;tools:&#x20;#&#x20;Audit&#x20;Tools&#x20;/sbin/auditctl&#x20;p+i+n+u+g+s+b+acl+xattrs+sha512&#x20;/sbin/auditd&#x20;p+i+n+u+g+s+b+acl+xattrs+sha512&#x20;/sbin/ausearch&#x20;p+i+n+u+g+s+b+acl+xattrs+sha512&#x20;/sbin/aureport&#x20;p+i+n+u+g+s+b+acl+xattrs+sha512&#x20;/sbin/autrace&#x20;p+i+n+u+g+s+b+acl+xattrs+sha512&#x20;/sbin/augenrules&#x20;p+i+n+u+g+s+b+acl+xattrs+sha512','[{\"cis\": [\"4.1.4.11\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28614,'Ensure&#x20;systemd-journal-remote&#x20;is&#x20;installed.','Journald&#x20;&#40;via&#x20;systemd-journal-remote&#41;&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;log&#x20;events&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;enabling&#x20;centralised&#x20;log&#x20;management.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;systemd-journal-remote:&#x20;#&#x20;apt&#x20;install&#x20;systemd-journal-remote','[{\"cis\": [\"4.2.1.1.1\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28615,'Ensure&#x20;journald&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;recieve&#x20;logs&#x20;from&#x20;a&#x20;remote&#x20;client.','Journald&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;acting&#x20;as&#x20;a&#x20;log&#x20;server.&#x20;Clients&#x20;should&#x20;not&#x20;receive&#x20;data&#x20;from&#x20;other&#x20;hosts.&#x20;NOTE:&#x20;The&#x20;same&#x20;package,&#x20;systemd-journal-remote,&#x20;is&#x20;used&#x20;for&#x20;both&#x20;sending&#x20;logs&#x20;to&#x20;remote&#x20;hosts&#x20;and&#x20;receiving&#x20;incoming&#x20;logs.&#x20;With&#x20;regards&#x20;to&#x20;receiving&#x20;logs,&#x20;there&#x20;are&#x20;two&#x20;services;&#x20;systemd-journalremote.socket&#x20;and&#x20;systemd-journal-remote.service.','If&#x20;a&#x20;client&#x20;is&#x20;configured&#x20;to&#x20;also&#x20;receive&#x20;data,&#x20;thus&#x20;turning&#x20;it&#x20;into&#x20;a&#x20;server,&#x20;the&#x20;client&#x20;system&#x20;is&#x20;acting&#x20;outside&#x20;it&#039;s&#x20;operational&#x20;boundary.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;systemd-journal-remote.socket:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;systemd-journal-remote.socket','[{\"cis\": [\"4.2.1.1.4\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"9.2\"]}, {\"cis_csc_v8\": [\"4.8\", \"8.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28616,'Ensure&#x20;journald&#x20;service&#x20;is&#x20;enabled.','Ensure&#x20;that&#x20;the&#x20;systemd-journald&#x20;service&#x20;is&#x20;enabled&#x20;to&#x20;allow&#x20;capturing&#x20;of&#x20;logging&#x20;events.','If&#x20;the&#x20;systemd-journald&#x20;service&#x20;is&#x20;not&#x20;enabled&#x20;to&#x20;start&#x20;on&#x20;boot,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;capture&#x20;logging&#x20;events.','','By&#x20;default&#x20;the&#x20;systemd-journald&#x20;service&#x20;does&#x20;not&#x20;have&#x20;an&#x20;[Install]&#x20;section&#x20;and&#x20;thus&#x20;cannot&#x20;be&#x20;enabled&#x20;/&#x20;disabled.&#x20;It&#x20;is&#x20;meant&#x20;to&#x20;be&#x20;referenced&#x20;as&#x20;Requires&#x20;or&#x20;Wants&#x20;by&#x20;other&#x20;unit&#x20;files.&#x20;As&#x20;such,&#x20;if&#x20;the&#x20;status&#x20;of&#x20;systemd-journald&#x20;is&#x20;not&#x20;static,&#x20;investigate&#x20;why.','[{\"cis\": [\"4.2.1.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28617,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;compress&#x20;large&#x20;log&#x20;files.','The&#x20;journald&#x20;system&#x20;includes&#x20;the&#x20;capability&#x20;of&#x20;compressing&#x20;overly&#x20;large&#x20;files&#x20;to&#x20;avoid&#x20;filling&#x20;up&#x20;the&#x20;system&#x20;with&#x20;logs&#x20;or&#x20;making&#x20;the&#x20;logs&#x20;unmanageably&#x20;large.','Uncompressed&#x20;large&#x20;files&#x20;may&#x20;unexpectedly&#x20;fill&#x20;a&#x20;filesystem&#x20;leading&#x20;to&#x20;resource&#x20;unavailability.&#x20;Compressing&#x20;logs&#x20;prior&#x20;to&#x20;write&#x20;can&#x20;prevent&#x20;sudden,&#x20;unexpected&#x20;filesystem&#x20;impacts.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Compress=yes&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;systemd-journald&#x20;Additional&#x20;Information:&#x20;The&#x20;main&#x20;configuration&#x20;file&#x20;/etc/systemd/journald.conf&#x20;is&#x20;read&#x20;before&#x20;any&#x20;of&#x20;the&#x20;custom&#x20;*.conf&#x20;files.&#x20;If&#x20;there&#x20;are&#x20;custom&#x20;configs&#x20;present,&#x20;they&#x20;override&#x20;the&#x20;main&#x20;configuration&#x20;parameters.&#x20;It&#x20;is&#x20;possible&#x20;to&#x20;change&#x20;the&#x20;default&#x20;threshold&#x20;of&#x20;512&#x20;bytes&#x20;per&#x20;object&#x20;before&#x20;compression&#x20;is&#x20;used.','[{\"cis\": [\"4.2.1.3\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"6.4\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.3\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.002\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1053\"]}, {\"pci_dss_3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}]'),(28618,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;write&#x20;logfiles&#x20;to&#x20;persistent&#x20;disk.','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Logs&#x20;in&#x20;memory&#x20;will&#x20;be&#x20;lost&#x20;upon&#x20;a&#x20;system&#x20;reboot.&#x20;By&#x20;persisting&#x20;logs&#x20;to&#x20;local&#x20;disk&#x20;on&#x20;the&#x20;server&#x20;they&#x20;are&#x20;protected&#x20;from&#x20;loss&#x20;due&#x20;to&#x20;a&#x20;reboot.','Writing&#x20;log&#x20;data&#x20;to&#x20;disk&#x20;will&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;forensically&#x20;reconstruct&#x20;events&#x20;which&#x20;may&#x20;have&#x20;impacted&#x20;the&#x20;operations&#x20;or&#x20;security&#x20;of&#x20;a&#x20;system&#x20;even&#x20;after&#x20;a&#x20;system&#x20;crash&#x20;or&#x20;reboot.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Storage=persistent&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;systemd-journald&#x20;Additional&#x20;Information:&#x20;The&#x20;main&#x20;configuration&#x20;file&#x20;/etc/systemd/journald.conf&#x20;is&#x20;read&#x20;before&#x20;any&#x20;of&#x20;the&#x20;custom&#x20;*.conf&#x20;files.&#x20;If&#x20;there&#x20;are&#x20;custom&#x20;configs&#x20;present,&#x20;they&#x20;override&#x20;the&#x20;main&#x20;configuration&#x20;parameters.','[{\"cis\": [\"4.2.1.4\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28619,'Ensure&#x20;journald&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;rsyslog.','Data&#x20;from&#x20;journald&#x20;should&#x20;be&#x20;kept&#x20;in&#x20;the&#x20;confines&#x20;of&#x20;the&#x20;service&#x20;and&#x20;not&#x20;forwarded&#x20;on&#x20;to&#x20;other&#x20;services.','IF&#x20;journald&#x20;is&#x20;the&#x20;method&#x20;for&#x20;capturing&#x20;logs,&#x20;all&#x20;logs&#x20;of&#x20;the&#x20;system&#x20;should&#x20;be&#x20;handled&#x20;by&#x20;journald&#x20;and&#x20;not&#x20;forwarded&#x20;to&#x20;other&#x20;logging&#x20;mechanisms.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;ensure&#x20;that&#x20;ForwardToSyslog=yes&#x20;is&#x20;removed.&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;systemd-journald','[{\"cis\": [\"4.2.1.5\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"6.5\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.9\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}, {\"pci_dss_3.2.1\": [\"10.5.3\", \"10.5.4\"]}, {\"pci_dss_4.0\": [\"10.3.3\"]}, {\"nist_sp_800-53\": [\"AU-6(3)\"]}, {\"soc_2\": [\"PL1.4\"]}]'),(28620,'Ensure&#x20;rsyslog&#x20;is&#x20;installed.','The&#x20;rsyslog&#x20;software&#x20;is&#x20;recommended&#x20;in&#x20;environments&#x20;where&#x20;journald&#x20;does&#x20;not&#x20;meet&#x20;operation&#x20;requirements.','The&#x20;security&#x20;enhancements&#x20;of&#x20;rsyslog&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server&#41;&#x20;justify&#x20;installing&#x20;and&#x20;configuring&#x20;the&#x20;package.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;rsyslog:&#x20;#&#x20;apt&#x20;install&#x20;rsyslog.','[{\"cis\": [\"4.2.2.1\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"mitre_techniques\": [\"T1005\", \"T1070\", \"T1070.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28621,'Ensure&#x20;rsyslog&#x20;service&#x20;is&#x20;enabled.','Once&#x20;the&#x20;rsyslog&#x20;package&#x20;is&#x20;installed,&#x20;ensure&#x20;that&#x20;the&#x20;service&#x20;is&#x20;enabled.','If&#x20;the&#x20;rsyslog&#x20;service&#x20;is&#x20;not&#x20;enabled&#x20;to&#x20;start&#x20;on&#x20;boot,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;capture&#x20;logging&#x20;events.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;rsyslog:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;rsyslog','[{\"cis\": [\"4.2.2.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28622,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;rsyslog.','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Utilities&#x20;exist&#x20;to&#x20;accept&#x20;remote&#x20;export&#x20;of&#x20;journald&#x20;logs,&#x20;however,&#x20;use&#x20;of&#x20;the&#x20;RSyslog&#x20;service&#x20;provides&#x20;a&#x20;consistent&#x20;means&#x20;of&#x20;log&#x20;collection&#x20;and&#x20;export.','IF&#x20;RSyslog&#x20;is&#x20;the&#x20;preferred&#x20;method&#x20;for&#x20;capturing&#x20;logs,&#x20;all&#x20;logs&#x20;of&#x20;the&#x20;system&#x20;should&#x20;be&#x20;sent&#x20;to&#x20;it&#x20;for&#x20;further&#x20;processing.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;ForwardToSyslog=yes&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog.','[{\"cis\": [\"4.2.2.3\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"6.5\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.9\"]}, {\"pci_dss_3.2.1\": [\"10.5.3\", \"10.5.4\"]}, {\"pci_dss_4.0\": [\"10.3.3\"]}, {\"nist_sp_800-53\": [\"AU-6(3)\"]}, {\"soc_2\": [\"PL1.4\"]}]'),(28623,'Ensure&#x20;rsyslog&#x20;default&#x20;file&#x20;permissions&#x20;are&#x20;configured.','RSyslog&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','The&#x20;systems&#x20;global&#x20;umask&#x20;could&#x20;override,&#x20;but&#x20;only&#x20;making&#x20;the&#x20;file&#x20;permissions&#x20;stricter,&#x20;what&#x20;is&#x20;configured&#x20;in&#x20;RSyslog&#x20;with&#x20;the&#x20;FileCreateMode&#x20;directive.&#x20;RSyslog&#x20;also&#x20;has&#x20;it&#039;s&#x20;own&#x20;$umask&#x20;directive&#x20;that&#x20;can&#x20;alter&#x20;the&#x20;intended&#x20;file&#x20;creation&#x20;mode.&#x20;In&#x20;addition,&#x20;consideration&#x20;should&#x20;be&#x20;given&#x20;to&#x20;how&#x20;FileCreateMode&#x20;is&#x20;used.&#x20;Thus&#x20;it&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;intended&#x20;file&#x20;creation&#x20;mode&#x20;is&#x20;not&#x20;overridden&#x20;with&#x20;less&#x20;restrictive&#x20;settings&#x20;in&#x20;/etc/rsyslog.conf,&#x20;/etc/rsyslog.d&#47;&#42;conf&#x20;files&#x20;and&#x20;that&#x20;FileCreateMode&#x20;is&#x20;set&#x20;before&#x20;any&#x20;file&#x20;is&#x20;created.','Edit&#x20;either&#x20;/etc/rsyslog.conf&#x20;or&#x20;a&#x20;dedicated&#x20;.conf&#x20;file&#x20;in&#x20;/etc/rsyslog.d/&#x20;and&#x20;set&#x20;$FileCreateMode&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;$FileCreateMode&#x20;0640&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog','[{\"cis\": [\"4.2.2.4\"]}, {\"cis_csc_v7\": [\"5.1\", \"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"3.3\", \"8.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28624,'Ensure&#x20;rsyslog&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;receive&#x20;logs&#x20;from&#x20;a&#x20;remote&#x20;client.','RSyslog&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;acting&#x20;as&#x20;a&#x20;log&#x20;server.&#x20;Clients&#x20;should&#x20;not&#x20;receive&#x20;data&#x20;from&#x20;other&#x20;hosts.','If&#x20;a&#x20;client&#x20;is&#x20;configured&#x20;to&#x20;also&#x20;receive&#x20;data,&#x20;thus&#x20;turning&#x20;it&#x20;into&#x20;a&#x20;server,&#x20;the&#x20;client&#x20;system&#x20;is&#x20;acting&#x20;outside&#x20;it&#039;s&#x20;operational&#x20;boundary.','','Should&#x20;there&#x20;be&#x20;any&#x20;active&#x20;log&#x20;server&#x20;configuration&#x20;found&#x20;in&#x20;the&#x20;auditing&#x20;section,&#x20;modify&#x20;those&#x20;file&#x20;and&#x20;remove&#x20;the&#x20;specific&#x20;lines&#x20;highlighted&#x20;by&#x20;the&#x20;audit.&#x20;Ensure&#x20;none&#x20;of&#x20;the&#x20;following&#x20;entries&#x20;are&#x20;present&#x20;in&#x20;any&#x20;of&#x20;/etc/rsyslog.conf&#x20;or&#x20;/etc/rsyslog.d&#47;&#42;.conf.&#x20;Old&#x20;format&#x20;$ModLoad&#x20;imtcp&#x20;$InputTCPServerRun&#x20;New&#x20;format&#x20;module&#40;load=&quot;imtcp&quot;&#41;&#x20;input&#40;type=&quot;imtcp&quot;&#x20;port=&quot;514&quot;&#41;&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog','[{\"cis\": [\"4.2.2.7\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"9.2\"]}, {\"cis_csc_v8\": [\"4.8\", \"8.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28625,'Ensure&#x20;cron&#x20;daemon&#x20;is&#x20;enabled&#x20;and&#x20;running.','The&#x20;cron&#x20;daemon&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;batch&#x20;jobs&#x20;on&#x20;the&#x20;system.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','While&#x20;there&#x20;may&#x20;not&#x20;be&#x20;user&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;be&#x20;run&#x20;on&#x20;the&#x20;system,&#x20;the&#x20;system&#x20;does&#x20;have&#x20;maintenance&#x20;jobs&#x20;that&#x20;may&#x20;include&#x20;security&#x20;monitoring&#x20;that&#x20;have&#x20;to&#x20;run,&#x20;and&#x20;cron&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;them.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;cron:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;cron','[{\"cis\": [\"5.1.1\"]}, {\"mitre_techniques\": [\"T1562\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(28626,'Ensure&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;are&#x20;configured.','The&#x20;/etc/crontab&#x20;file&#x20;is&#x20;used&#x20;by&#x20;cron&#x20;to&#x20;control&#x20;its&#x20;own&#x20;jobs.&#x20;The&#x20;commands&#x20;in&#x20;this&#x20;item&#x20;make&#x20;sure&#x20;that&#x20;root&#x20;is&#x20;the&#x20;user&#x20;and&#x20;group&#x20;owner&#x20;of&#x20;the&#x20;file&#x20;and&#x20;that&#x20;only&#x20;the&#x20;owner&#x20;can&#x20;access&#x20;the&#x20;file.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','This&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;what&#x20;system&#x20;jobs&#x20;are&#x20;run&#x20;by&#x20;cron.&#x20;Write&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;unprivileged&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;elevate&#x20;their&#x20;privileges.&#x20;Read&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;gain&#x20;insight&#x20;on&#x20;system&#x20;jobs&#x20;that&#x20;run&#x20;on&#x20;the&#x20;system&#x20;and&#x20;could&#x20;provide&#x20;them&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;unauthorized&#x20;privileged&#x20;access.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/crontab&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/crontab','[{\"cis\": [\"5.1.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28627,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;are&#x20;configured.','This&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;an&#x20;hourly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.hourly&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.hourly/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.hourly','[{\"cis\": [\"5.1.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28628,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;are&#x20;configured.','The&#x20;/etc/cron.daily&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;daily&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.daily&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.daily/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.daily/','[{\"cis\": [\"5.1.4\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28629,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;are&#x20;configured.','The&#x20;/etc/cron.weekly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;weekly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.weekly&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.weekly/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.weekly/','[{\"cis\": [\"5.1.5\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28630,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;are&#x20;configured.','The&#x20;/etc/cron.monthly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;monthly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.monthly&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.monthly/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.monthly/','[{\"cis\": [\"5.1.6\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28631,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;are&#x20;configured.','The&#x20;/etc/cron.d&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;in&#x20;a&#x20;similar&#x20;manner&#x20;to&#x20;the&#x20;hourly,&#x20;daily&#x20;weekly&#x20;and&#x20;monthly&#x20;jobs&#x20;from&#x20;/etc/crontab,&#x20;but&#x20;require&#x20;more&#x20;granular&#x20;control&#x20;as&#x20;to&#x20;when&#x20;they&#x20;run.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.d&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.d/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.d/','[{\"cis\": [\"5.1.7\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28632,'Ensure&#x20;cron&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users.','Configure&#x20;/etc/cron.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;this&#x20;service.&#x20;If&#x20;/etc/cron.allow&#x20;does&#x20;not&#x20;exist,&#x20;then&#x20;/etc/cron.deny&#x20;is&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;this&#x20;file&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;file,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;cron.&#x20;Note:&#x20;-&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy&#x20;-&#x20;Even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user&#x20;-&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cron&#x20;jobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny:&#x20;#&#x20;rm&#x20;/etc/cron.deny&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;/etc/cron.allow&#x20;#&#x20;touch&#x20;/etc/cron.allow&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow:&#x20;#&#x20;chmod&#x20;g-wx,o-rwx&#x20;/etc/cron.allow&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.allow.','[{\"cis\": [\"5.1.8\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28633,'Ensure&#x20;at&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users.','Configure&#x20;/etc/cron.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;this&#x20;service.&#x20;If&#x20;/etc/cron.allow&#x20;does&#x20;not&#x20;exist,&#x20;then&#x20;/etc/cron.deny&#x20;is&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;this&#x20;file&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;file,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;cron.&#x20;Note:&#x20;-&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.&#x20;-&#x20;Even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;-&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;job.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;at&#x20;jobs.&#x20;Using&#x20;the&#x20;at.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;at&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/at.deny:&#x20;#&#x20;rm&#x20;/etc/at.deny&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;/etc/at.allow&#x20;#&#x20;touch&#x20;/etc/at.allow&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/at.allow:&#x20;#&#x20;chmod&#x20;g-wx,o-rwx&#x20;/etc/at.allow&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/at.allow.','[{\"cis\": [\"5.1.9\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28634,'Ensure&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config&#x20;are&#x20;configured.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;contains&#x20;configuration&#x20;specifications&#x20;for&#x20;sshd.&#x20;The&#x20;command&#x20;below&#x20;sets&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;file&#x20;to&#x20;root.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/ssh/sshd_config&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/ssh/sshd_config.','[{\"cis\": [\"5.2.1\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1098\", \"T1098.004\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28635,'Ensure&#x20;SSH&#x20;access&#x20;is&#x20;limited.','There&#x20;are&#x20;several&#x20;options&#x20;available&#x20;to&#x20;limit&#x20;which&#x20;users&#x20;and&#x20;group&#x20;can&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;at&#x20;least&#x20;one&#x20;of&#x20;the&#x20;following&#x20;options&#x20;be&#x20;leveraged:&#x20;-&#x20;AllowUsers:&#x20;&gt;&#x20;The&#x20;AllowUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;only&#x20;allowing&#x20;the&#x20;allowed&#x20;users&#x20;to&#x20;log&#x20;in&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;-&#x20;AllowGroups:&#x20;&gt;&#x20;The&#x20;AllowGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;-&#x20;DenyUsers:&#x20;&gt;&#x20;The&#x20;DenyUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;specifically&#x20;denying&#x20;a&#x20;user&#039;s&#x20;access&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;-&#x20;DenyGroups:&#x20;&gt;&#x20;The&#x20;DenyGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.','Restricting&#x20;which&#x20;users&#x20;can&#x20;remotely&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH&#x20;will&#x20;help&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;users&#x20;access&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;or&#x20;a&#x20;included&#x20;configuration&#x20;file&#x20;to&#x20;set&#x20;one&#x20;or&#x20;more&#x20;of&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowUsers&#x20;&lt;userlist&gt;&#x20;OR&#x20;AllowGroups&#x20;&lt;grouplist&gt;&#x20;OR&#x20;DenyUsers&#x20;&lt;userlist&gt;&#x20;OR&#x20;DenyGroups&#x20;&lt;grouplist&gt;','[{\"cis\": [\"5.2.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1021\", \"T1021.004\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1018\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28636,'Ensure&#x20;SSH&#x20;LogLevel&#x20;is&#x20;appropriate.','INFO&#x20;level&#x20;is&#x20;the&#x20;basic&#x20;level&#x20;that&#x20;only&#x20;records&#x20;login&#x20;activity&#x20;of&#x20;SSH&#x20;users.&#x20;In&#x20;many&#x20;situations,&#x20;such&#x20;as&#x20;Incident&#x20;Response,&#x20;it&#x20;is&#x20;important&#x20;to&#x20;determine&#x20;when&#x20;a&#x20;particular&#x20;user&#x20;was&#x20;active&#x20;on&#x20;a&#x20;system.&#x20;The&#x20;logout&#x20;record&#x20;can&#x20;eliminate&#x20;those&#x20;users&#x20;who&#x20;disconnected,&#x20;which&#x20;helps&#x20;narrow&#x20;the&#x20;field.&#x20;VERBOSE&#x20;level&#x20;specifies&#x20;that&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;as&#x20;well&#x20;as&#x20;the&#x20;key&#x20;fingerprint&#x20;for&#x20;any&#x20;SSH&#x20;key&#x20;used&#x20;for&#x20;login&#x20;will&#x20;be&#x20;logged.&#x20;This&#x20;information&#x20;is&#x20;important&#x20;for&#x20;SSH&#x20;key&#x20;management,&#x20;especially&#x20;in&#x20;legacy&#x20;environments.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;VERBOSE&#x20;OR&#x20;LogLevel&#x20;INFO','[{\"cis\": [\"5.2.5\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28637,'Ensure&#x20;SSH&#x20;PAM&#x20;is&#x20;enabled.','The&#x20;UsePAM&#x20;directive&#x20;enables&#x20;the&#x20;Pluggable&#x20;Authentication&#x20;Module&#x20;&#40;PAM&#41;&#x20;interface.&#x20;If&#x20;set&#x20;to&#x20;yes&#x20;this&#x20;will&#x20;enable&#x20;PAM&#x20;authentication&#x20;using&#x20;ChallengeResponseAuthentication&#x20;and&#x20;PasswordAuthentication&#x20;directives&#x20;in&#x20;addition&#x20;to&#x20;PAM&#x20;account&#x20;and&#x20;session&#x20;module&#x20;processing&#x20;for&#x20;all&#x20;authentication&#x20;types.','When&#x20;usePAM&#x20;is&#x20;set&#x20;to&#x20;yes,&#x20;PAM&#x20;runs&#x20;through&#x20;account&#x20;and&#x20;session&#x20;types&#x20;properly.&#x20;This&#x20;is&#x20;important&#x20;if&#x20;you&#x20;want&#x20;to&#x20;restrict&#x20;access&#x20;to&#x20;services&#x20;based&#x20;off&#x20;of&#x20;IP,&#x20;time&#x20;or&#x20;other&#x20;factors&#x20;of&#x20;the&#x20;account.&#x20;Additionally,&#x20;you&#x20;can&#x20;make&#x20;sure&#x20;users&#x20;inherit&#x20;certain&#x20;environment&#x20;variables&#x20;on&#x20;login&#x20;or&#x20;disallow&#x20;access&#x20;to&#x20;the&#x20;server.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;UsePAM&#x20;yes','[{\"cis\": [\"5.2.6\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_techniques\": [\"T1021\", \"T1021.004\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1035\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28638,'Ensure&#x20;SSH&#x20;root&#x20;login&#x20;is&#x20;disabled.','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;SSH.&#x20;The&#x20;default&#x20;is&#x20;prohibit-password.','Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;system&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root.&#x20;This&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"mitre_techniques\": [\"T1021\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}]'),(28639,'Ensure&#x20;SSH&#x20;HostbasedAuthentication&#x20;is&#x20;disabled.','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts,&#x20;or&#x20;/etc/hosts.equiv,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc_v7\": [\"16.3\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28640,'Ensure&#x20;SSH&#x20;PermitEmptyPasswords&#x20;is&#x20;disabled.','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;SSH&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no','[{\"cis\": [\"5.2.9\"]}, {\"cis_csc_v7\": [\"16.3\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_techniques\": [\"T1021\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28641,'Ensure&#x20;SSH&#x20;PermitUserEnvironment&#x20;is&#x20;disabled.','The&#x20;PermitUserEnvironment&#x20;option&#x20;allows&#x20;users&#x20;to&#x20;present&#x20;environment&#x20;options&#x20;to&#x20;the&#x20;SSH&#x20;daemon.','Permitting&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;environment&#x20;variables&#x20;through&#x20;the&#x20;SSH&#x20;daemon&#x20;could&#x20;potentially&#x20;allow&#x20;users&#x20;to&#x20;bypass&#x20;security&#x20;controls&#x20;&#40;e.g.&#x20;setting&#x20;an&#x20;execution&#x20;path&#x20;that&#x20;has&#x20;SSH&#x20;executing&#x20;trojan&#039;d&#x20;programs&#41;.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitUserEnvironment&#x20;no','[{\"cis\": [\"5.2.10\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_techniques\": [\"T1021\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28642,'Ensure&#x20;SSH&#x20;IgnoreRhosts&#x20;is&#x20;enabled.','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthentication&#x20;or&#x20;HostbasedAuthentication.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;SSH.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;IgnoreRhosts&#x20;yes','[{\"cis\": [\"5.2.11\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1027\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28643,'Ensure&#x20;SSH&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled.','The&#x20;X11Forwarding&#x20;parameter&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;tunnel&#x20;X11&#x20;traffic&#x20;through&#x20;the&#x20;connection&#x20;to&#x20;enable&#x20;remote&#x20;graphic&#x20;connections.','Disable&#x20;X11&#x20;forwarding&#x20;unless&#x20;there&#x20;is&#x20;an&#x20;operational&#x20;requirement&#x20;to&#x20;use&#x20;X11&#x20;applications&#x20;directly.&#x20;There&#x20;is&#x20;a&#x20;small&#x20;risk&#x20;that&#x20;the&#x20;remote&#x20;X11&#x20;servers&#x20;of&#x20;users&#x20;who&#x20;are&#x20;logged&#x20;in&#x20;via&#x20;SSH&#x20;with&#x20;X11&#x20;forwarding&#x20;could&#x20;be&#x20;compromised&#x20;by&#x20;other&#x20;users&#x20;on&#x20;the&#x20;X11&#x20;server.&#x20;Note&#x20;that&#x20;even&#x20;if&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled,&#x20;users&#x20;can&#x20;always&#x20;install&#x20;their&#x20;own&#x20;forwarders.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;X11Forwarding&#x20;no','[{\"cis\": [\"5.2.12\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1210\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28644,'Ensure&#x20;only&#x20;strong&#x20;Ciphers&#x20;are&#x20;used.','This&#x20;variable&#x20;limits&#x20;the&#x20;ciphers&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.&#x20;Note:&#x20;-&#x20;Some&#x20;organizations&#x20;may&#x20;have&#x20;stricter&#x20;requirements&#x20;for&#x20;approved&#x20;ciphers.&#x20;-&#x20;Ensure&#x20;that&#x20;ciphers&#x20;used&#x20;are&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy.&#x20;-&#x20;The&#x20;only&#x20;&quot;strong&quot;&#x20;ciphers&#x20;currently&#x20;FIPS&#x20;140-2&#x20;compliant&#x20;are:&#x20;&gt;&#x20;aes256-ctr&#x20;&gt;&#x20;aes192-ctr&#x20;&gt;&#x20;aes128-ctr&#x20;-&#x20;Supported&#x20;ciphers&#x20;in&#x20;openSSH&#x20;8.2:&#x20;3des-cbc&#x20;aes128-cbc&#x20;aes192-cbc&#x20;aes256-cbc&#x20;aes128-ctr&#x20;aes192-ctr&#x20;aes256-ctr&#x20;aes128-gcm@openssh.com&#x20;aes256-gcm@openssh.com&#x20;chacha20-poly1305@openssh.com.','Weak&#x20;ciphers&#x20;that&#x20;are&#x20;used&#x20;for&#x20;authentication&#x20;to&#x20;the&#x20;cryptographic&#x20;module&#x20;cannot&#x20;be&#x20;relied&#x20;upon&#x20;to&#x20;provide&#x20;confidentiality&#x20;or&#x20;integrity,&#x20;and&#x20;system&#x20;data&#x20;may&#x20;be&#x20;compromised.&#x20;-&#x20;The&#x20;Triple&#x20;DES&#x20;ciphers,&#x20;as&#x20;used&#x20;in&#x20;SSH,&#x20;have&#x20;a&#x20;birthday&#x20;bound&#x20;of&#x20;approximately&#x20;four&#x20;billion&#x20;blocks,&#x20;which&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;obtain&#x20;clear&#x20;text&#x20;data&#x20;via&#x20;a&#x20;birthday&#x20;attack&#x20;against&#x20;a&#x20;long-duration&#x20;encrypted&#x20;session,&#x20;aka&#x20;a&#x20;&quot;Sweet32&quot;&#x20;attack.&#x20;-&#x20;Error&#x20;handling&#x20;in&#x20;the&#x20;SSH&#x20;protocol;&#x20;Client&#x20;and&#x20;Server,&#x20;when&#x20;using&#x20;a&#x20;block&#x20;cipher&#x20;algorithm&#x20;in&#x20;Cipher&#x20;Block&#x20;Chaining&#x20;&#40;CBC&#41;&#x20;mode,&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;recover&#x20;certain&#x20;plain&#x20;text&#x20;data&#x20;from&#x20;an&#x20;arbitrary&#x20;block&#x20;of&#x20;cipher&#x20;text&#x20;in&#x20;an&#x20;SSH&#x20;session&#x20;via&#x20;unknown&#x20;vectors.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;add/modify&#x20;the&#x20;Ciphers&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;ciphers.&#x20;Example:&#x20;Ciphers&#x20;chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-&#x20;gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr','[{\"cis\": [\"5.2.13\"]}, {\"cis_csc_v7\": [\"14.4\"]}, {\"cis_csc_v8\": [\"3.10\"]}, {\"mitre_techniques\": [\"T1040\", \"T1557\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1041\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.17\", \"AC.L2-3.1.13\", \"IA.L2-3.5.10\", \"SC.L2-3.13.11\", \"SC.L2-3.13.8\", \"SC.L2-3.13.15\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(1)\", \"164.312(e)(2)(i)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"2.1.1\", \"4.1\", \"4.1.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"2.2.7\", \"4.1.1\", \"4.2.1\", \"4.2.1.2\", \"4.2.2\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"AC-17(2)\", \"SC-8\", \"SC-8(1)\"]}]'),(28645,'Ensure&#x20;only&#x20;strong&#x20;MAC&#x20;algorithms&#x20;are&#x20;used.','This&#x20;variable&#x20;limits&#x20;the&#x20;types&#x20;of&#x20;MAC&#x20;algorithms&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.&#x20;Note:&#x20;-&#x20;Some&#x20;organizations&#x20;may&#x20;have&#x20;stricter&#x20;requirements&#x20;for&#x20;approved&#x20;MACs.&#x20;-&#x20;Ensure&#x20;that&#x20;MACs&#x20;used&#x20;are&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy.&#x20;-&#x20;The&#x20;only&#x20;&quot;strong&quot;&#x20;MACs&#x20;currently&#x20;FIPS&#x20;140-2&#x20;approved&#x20;are:&#x20;&gt;&#x20;hmac-sha2-256&#x20;&gt;&#x20;hmac-sha2-512&#x20;-&#x20;The&#x20;Supported&#x20;MACs&#x20;are:&#x20;hmac-md5&#x20;hmac-md5-96&#x20;hmac-sha1&#x20;hmac-sha1-96&#x20;hmac-sha2-256&#x20;hmac-sha2-512&#x20;umac-64@openssh.com&#x20;umac-128@openssh.com&#x20;hmac-md5-etm@openssh.com&#x20;hmac-md5-96-etm@openssh.com&#x20;hmac-sha1-etm@openssh.com&#x20;hmac-sha1-96-etm@openssh.com&#x20;hmac-sha2-256-etm@openssh.com&#x20;hmac-sha2-512-etm@openssh.com&#x20;umac-64-etm@openssh.com&#x20;umac-128-etm@openssh.com.','MD5&#x20;and&#x20;96-bit&#x20;MAC&#x20;algorithms&#x20;are&#x20;considered&#x20;weak&#x20;and&#x20;have&#x20;been&#x20;shown&#x20;to&#x20;increase&#x20;exploitability&#x20;in&#x20;SSH&#x20;downgrade&#x20;attacks.&#x20;Weak&#x20;algorithms&#x20;continue&#x20;to&#x20;have&#x20;a&#x20;great&#x20;deal&#x20;of&#x20;attention&#x20;as&#x20;a&#x20;weak&#x20;spot&#x20;that&#x20;can&#x20;be&#x20;exploited&#x20;with&#x20;expanded&#x20;computing&#x20;power.&#x20;An&#x20;attacker&#x20;that&#x20;breaks&#x20;the&#x20;algorithm&#x20;could&#x20;take&#x20;advantage&#x20;of&#x20;a&#x20;MiTM&#x20;position&#x20;to&#x20;decrypt&#x20;the&#x20;SSH&#x20;tunnel&#x20;and&#x20;capture&#x20;credentials&#x20;and&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;and&#x20;add/modify&#x20;the&#x20;MACs&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;MACs.&#x20;Example:&#x20;MACs&#x20;hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256','[{\"cis\": [\"5.2.14\"]}, {\"cis_csc_v7\": [\"14.4\", \"16.5\"]}, {\"cis_csc_v8\": [\"3.10\"]}, {\"mitre_techniques\": [\"T1040\", \"T1557\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1041\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.17\", \"AC.L2-3.1.13\", \"IA.L2-3.5.10\", \"SC.L2-3.13.11\", \"SC.L2-3.13.8\", \"SC.L2-3.13.15\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(1)\", \"164.312(e)(2)(i)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"2.1.1\", \"4.1\", \"4.1.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"2.2.7\", \"4.1.1\", \"4.2.1\", \"4.2.1.2\", \"4.2.2\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"AC-17(2)\", \"SC-8\", \"SC-8(1)\"]}]'),(28646,'Ensure&#x20;only&#x20;strong&#x20;Key&#x20;Exchange&#x20;algorithms&#x20;are&#x20;used.','Key&#x20;exchange&#x20;is&#x20;any&#x20;method&#x20;in&#x20;cryptography&#x20;by&#x20;which&#x20;cryptographic&#x20;keys&#x20;are&#x20;exchanged&#x20;between&#x20;two&#x20;parties,&#x20;allowing&#x20;use&#x20;of&#x20;a&#x20;cryptographic&#x20;algorithm.&#x20;If&#x20;the&#x20;sender&#x20;and&#x20;receiver&#x20;wish&#x20;to&#x20;exchange&#x20;encrypted&#x20;messages,&#x20;each&#x20;must&#x20;be&#x20;equipped&#x20;to&#x20;encrypt&#x20;messages&#x20;to&#x20;be&#x20;sent&#x20;and&#x20;decrypt&#x20;messages&#x20;received.&#x20;Notes:&#x20;-&#x20;Kex&#x20;algorithms&#x20;have&#x20;a&#x20;higher&#x20;preference&#x20;the&#x20;earlier&#x20;they&#x20;appear&#x20;in&#x20;the&#x20;list&#x20;-&#x20;Some&#x20;organizations&#x20;may&#x20;have&#x20;stricter&#x20;requirements&#x20;for&#x20;approved&#x20;Key&#x20;exchange&#x20;algorithms&#x20;-&#x20;Ensure&#x20;that&#x20;Key&#x20;exchange&#x20;algorithms&#x20;used&#x20;are&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy&#x20;-&#x20;The&#x20;only&#x20;Key&#x20;Exchange&#x20;Algorithms&#x20;currently&#x20;FIPS&#x20;140-2&#x20;approved&#x20;are:&#x20;&gt;&#x20;ecdh-sha2-nistp256&#x20;&gt;&#x20;ecdh-sha2-nistp384&#x20;&gt;&#x20;ecdh-sha2-nistp521&#x20;&gt;&#x20;diffie-hellman-group-exchange-sha256&#x20;&gt;&#x20;diffie-hellman-group16-sha512&#x20;&gt;&#x20;diffie-hellman-group18-sha512&#x20;&gt;&#x20;diffie-hellman-group14-sha256&#x20;-&#x20;The&#x20;Key&#x20;Exchange&#x20;algorithms&#x20;supported&#x20;by&#x20;OpenSSH&#x20;8.2&#x20;are:&#x20;curve25519-sha256&#x20;curve25519-sha256@libssh.org&#x20;diffie-hellman-group1-sha1&#x20;diffie-hellman-group14-sha1&#x20;diffie-hellman-group14-sha256&#x20;diffie-hellman-group16-sha512&#x20;diffie-hellman-group18-sha512&#x20;diffie-hellman-group-exchange-sha1&#x20;diffie-hellman-group-exchange-sha256&#x20;ecdh-sha2-nistp256&#x20;ecdh-sha2-nistp384&#x20;ecdh-sha2-nistp521&#x20;sntrup4591761x25519-sha512@tinyssh.org.','Key&#x20;exchange&#x20;methods&#x20;that&#x20;are&#x20;considered&#x20;weak&#x20;should&#x20;be&#x20;removed.&#x20;A&#x20;key&#x20;exchange&#x20;method&#x20;may&#x20;be&#x20;weak&#x20;because&#x20;too&#x20;few&#x20;bits&#x20;are&#x20;used,&#x20;or&#x20;the&#x20;hashing&#x20;algorithm&#x20;is&#x20;considered&#x20;too&#x20;weak.&#x20;Using&#x20;weak&#x20;algorithms&#x20;could&#x20;expose&#x20;connections&#x20;to&#x20;man-in-the-middle&#x20;attacks.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;add/modify&#x20;the&#x20;KexAlgorithms&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;key&#x20;exchange&#x20;algorithms&#x20;Example:&#x20;KexAlgorithms&#x20;curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256','[{\"cis\": [\"5.2.15\"]}, {\"cis_csc_v7\": [\"14.4\"]}, {\"cis_csc_v8\": [\"3.10\"]}, {\"mitre_techniques\": [\"T1040\", \"T1557\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1041\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.17\", \"AC.L2-3.1.13\", \"IA.L2-3.5.10\", \"SC.L2-3.13.11\", \"SC.L2-3.13.8\", \"SC.L2-3.13.15\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(1)\", \"164.312(e)(2)(i)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"2.1.1\", \"4.1\", \"4.1.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"2.2.7\", \"4.1.1\", \"4.2.1\", \"4.2.1.2\", \"4.2.2\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"AC-17(2)\", \"SC-8\", \"SC-8(1)\"]}]'),(28647,'Ensure&#x20;SSH&#x20;AllowTcpForwarding&#x20;is&#x20;disabled.','SSH&#x20;port&#x20;forwarding&#x20;is&#x20;a&#x20;mechanism&#x20;in&#x20;SSH&#x20;for&#x20;tunneling&#x20;application&#x20;ports&#x20;from&#x20;the&#x20;client&#x20;to&#x20;the&#x20;server,&#x20;or&#x20;servers&#x20;to&#x20;clients.&#x20;It&#x20;can&#x20;be&#x20;used&#x20;for&#x20;adding&#x20;encryption&#x20;to&#x20;legacy&#x20;applications,&#x20;going&#x20;through&#x20;firewalls,&#x20;and&#x20;some&#x20;system&#x20;administrators&#x20;and&#x20;IT&#x20;professionals&#x20;use&#x20;it&#x20;for&#x20;opening&#x20;backdoors&#x20;into&#x20;the&#x20;internal&#x20;network&#x20;from&#x20;their&#x20;home&#x20;machines.','Leaving&#x20;port&#x20;forwarding&#x20;enabled&#x20;can&#x20;expose&#x20;the&#x20;organization&#x20;to&#x20;security&#x20;risks&#x20;and&#x20;backdoors.&#x20;SSH&#x20;connections&#x20;are&#x20;protected&#x20;with&#x20;strong&#x20;encryption.&#x20;This&#x20;makes&#x20;their&#x20;contents&#x20;invisible&#x20;to&#x20;most&#x20;deployed&#x20;network&#x20;monitoring&#x20;and&#x20;traffic&#x20;filtering&#x20;solutions.&#x20;This&#x20;invisibility&#x20;carries&#x20;considerable&#x20;risk&#x20;potential&#x20;if&#x20;it&#x20;is&#x20;used&#x20;for&#x20;malicious&#x20;purposes&#x20;such&#x20;as&#x20;data&#x20;exfiltration.&#x20;Cybercriminals&#x20;or&#x20;malware&#x20;could&#x20;exploit&#x20;SSH&#x20;to&#x20;hide&#x20;their&#x20;unauthorized&#x20;communications,&#x20;or&#x20;to&#x20;exfiltrate&#x20;stolen&#x20;data&#x20;from&#x20;the&#x20;target&#x20;network.','SSH&#x20;tunnels&#x20;are&#x20;widely&#x20;used&#x20;in&#x20;many&#x20;corporate&#x20;environments.&#x20;In&#x20;some&#x20;environments&#x20;the&#x20;applications&#x20;themselves&#x20;may&#x20;have&#x20;very&#x20;limited&#x20;native&#x20;support&#x20;for&#x20;security.&#x20;By&#x20;utilizing&#x20;tunneling,&#x20;compliance&#x20;with&#x20;SOX,&#x20;HIPAA,&#x20;PCI-DSS,&#x20;and&#x20;other&#x20;standards&#x20;can&#x20;be&#x20;achieved&#x20;without&#x20;having&#x20;to&#x20;modify&#x20;the&#x20;applications.','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowTcpForwarding&#x20;no','[{\"cis\": [\"5.2.16\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_techniques\": [\"T1048\", \"T1048.002\", \"T1572\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28648,'Ensure&#x20;SSH&#x20;warning&#x20;banner&#x20;is&#x20;configured.','The&#x20;Banner&#x20;parameter&#x20;specifies&#x20;a&#x20;file&#x20;whose&#x20;contents&#x20;must&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;remote&#x20;user&#x20;before&#x20;authentication&#x20;is&#x20;permitted.&#x20;By&#x20;default,&#x20;no&#x20;banner&#x20;is&#x20;displayed.','Banners&#x20;are&#x20;used&#x20;to&#x20;warn&#x20;connecting&#x20;users&#x20;of&#x20;the&#x20;particular&#x20;site&#039;s&#x20;policy&#x20;regarding&#x20;connection.&#x20;Presenting&#x20;a&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;login&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Banner&#x20;/etc/issue.net','[{\"cis\": [\"5.2.17\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_tactics\": [\"TA0001\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1035\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28649,'Ensure&#x20;SSH&#x20;MaxAuthTries&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less.','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4','[{\"cis\": [\"5.2.18\"]}, {\"cis_csc_v7\": [\"16.13\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.003\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1036\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28650,'Ensure&#x20;SSH&#x20;MaxStartups&#x20;is&#x20;configured.','The&#x20;MaxStartups&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;to&#x20;the&#x20;SSH&#x20;daemon.','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;pending&#x20;authentication&#x20;connection&#x20;attempts,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxStartups&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxStartups&#x20;10:30:60','[{\"cis\": [\"5.2.19\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.002\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28651,'Ensure&#x20;SSH&#x20;MaxSessions&#x20;is&#x20;set&#x20;to&#x20;10&#x20;or&#x20;less.','The&#x20;MaxSessions&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;open&#x20;sessions&#x20;permitted&#x20;from&#x20;a&#x20;given&#x20;connection.','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;concurrent&#x20;sessions,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxSessions&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxSessions&#x20;10','[{\"cis\": [\"5.2.20\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.002\"]}, {\"mitre_tactics\": [\"TA0040\"]}]'),(28652,'Ensure&#x20;SSH&#x20;LoginGraceTime&#x20;is&#x20;set&#x20;to&#x20;one&#x20;minute&#x20;or&#x20;less.','The&#x20;LoginGraceTime&#x20;parameter&#x20;specifies&#x20;the&#x20;time&#x20;allowed&#x20;for&#x20;successful&#x20;authentication&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;The&#x20;longer&#x20;the&#x20;Grace&#x20;period&#x20;is&#x20;the&#x20;more&#x20;open&#x20;unauthenticated&#x20;connections&#x20;can&#x20;exist.&#x20;Like&#x20;other&#x20;session&#x20;controls&#x20;in&#x20;this&#x20;session&#x20;the&#x20;Grace&#x20;Period&#x20;should&#x20;be&#x20;limited&#x20;to&#x20;appropriate&#x20;organizational&#x20;limits&#x20;to&#x20;ensure&#x20;the&#x20;service&#x20;is&#x20;available&#x20;for&#x20;needed&#x20;access.','Setting&#x20;the&#x20;LoginGraceTime&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;It&#x20;will&#x20;also&#x20;limit&#x20;the&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;60&#x20;seconds&#x20;&#40;1&#x20;Minute&#41;,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LoginGraceTime&#x20;60','[{\"cis\": [\"5.2.21\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.003\", \"T1110.004\", \"T1499\", \"T1499.002\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1036\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28653,'Ensure&#x20;SSH&#x20;Idle&#x20;Timeout&#x20;Interval&#x20;is&#x20;configured.','NOTE:&#x20;To&#x20;clarify,&#x20;the&#x20;two&#x20;settings&#x20;described&#x20;below&#x20;is&#x20;only&#x20;meant&#x20;for&#x20;idle&#x20;connections&#x20;from&#x20;a&#x20;protocol&#x20;perspective&#x20;and&#x20;not&#x20;meant&#x20;to&#x20;check&#x20;if&#x20;the&#x20;user&#x20;is&#x20;active&#x20;or&#x20;not.&#x20;An&#x20;idle&#x20;user&#x20;does&#x20;not&#x20;mean&#x20;an&#x20;idle&#x20;connection.&#x20;SSH&#x20;does&#x20;not&#x20;and&#x20;never&#x20;had,&#x20;intentionally,&#x20;the&#x20;capability&#x20;to&#x20;drop&#x20;idle&#x20;users.&#x20;In&#x20;SSH&#x20;versions&#x20;before&#x20;8.2p1&#x20;there&#x20;was&#x20;a&#x20;bug&#x20;that&#x20;caused&#x20;these&#x20;values&#x20;to&#x20;behave&#x20;in&#x20;such&#x20;a&#x20;manner&#x20;that&#x20;they&#x20;where&#x20;abused&#x20;to&#x20;disconnect&#x20;idle&#x20;users.&#x20;This&#x20;bug&#x20;has&#x20;been&#x20;resolved&#x20;in&#x20;8.2p1&#x20;and&#x20;thus&#x20;it&#x20;can&#x20;no&#x20;longer&#x20;be&#x20;abused&#x20;disconnect&#x20;idle&#x20;users.&#x20;The&#x20;two&#x20;options&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax&#x20;control&#x20;the&#x20;timeout&#x20;of&#x20;SSH&#x20;sessions.&#x20;Taken&#x20;directly&#x20;from&#x20;man&#x20;5&#x20;sshd_config:&#x20;-&#x20;ClientAliveInterval&#x20;Sets&#x20;a&#x20;timeout&#x20;interval&#x20;in&#x20;seconds&#x20;after&#x20;which&#x20;if&#x20;no&#x20;data&#x20;has&#x20;been&#x20;received&#x20;from&#x20;the&#x20;client,&#x20;sshd&#40;8&#41;&#x20;will&#x20;send&#x20;a&#x20;message&#x20;through&#x20;the&#x20;encrypted&#x20;channel&#x20;to&#x20;request&#x20;a&#x20;response&#x20;from&#x20;the&#x20;client.&#x20;The&#x20;default&#x20;is&#x20;0,&#x20;indicating&#x20;that&#x20;these&#x20;messages&#x20;will&#x20;not&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;client.&#x20;-&#x20;ClientAliveCountMax&#x20;Sets&#x20;the&#x20;number&#x20;of&#x20;client&#x20;alive&#x20;messages&#x20;which&#x20;may&#x20;be&#x20;sent&#x20;without&#x20;sshd&#40;8&#41;&#x20;receiving&#x20;any&#x20;messages&#x20;back&#x20;from&#x20;the&#x20;client.&#x20;If&#x20;this&#x20;threshold&#x20;is&#x20;reached&#x20;while&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;being&#x20;sent,&#x20;sshd&#x20;will&#x20;disconnect&#x20;the&#x20;client,&#x20;terminating&#x20;the&#x20;session.&#x20;It&#x20;is&#x20;important&#x20;to&#x20;note&#x20;that&#x20;the&#x20;use&#x20;of&#x20;client&#x20;alive&#x20;messages&#x20;is&#x20;very&#x20;different&#x20;from&#x20;TCPKeepAlive.&#x20;The&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;sent&#x20;through&#x20;the&#x20;encrypted&#x20;channel&#x20;and&#x20;therefore&#x20;will&#x20;not&#x20;be&#x20;spoofable.&#x20;The&#x20;TCP&#x20;keepalive&#x20;option&#x20;enabled&#x20;by&#x20;TCPKeepAlive&#x20;is&#x20;spoofable.&#x20;The&#x20;client&#x20;alive&#x20;mechanism&#x20;is&#x20;valuable&#x20;when&#x20;the&#x20;client&#x20;or&#x20;server&#x20;depend&#x20;on&#x20;knowing&#x20;when&#x20;a&#x20;connection&#x20;has&#x20;become&#x20;unresponsive.&#x20;The&#x20;default&#x20;value&#x20;is&#x20;3.&#x20;If&#x20;ClientAliveInterval&#x20;is&#x20;set&#x20;to&#x20;15,&#x20;and&#x20;ClientAliveCountMax&#x20;is&#x20;left&#x20;at&#x20;the&#x20;default,&#x20;unresponsive&#x20;SSH&#x20;clients&#x20;will&#x20;be&#x20;disconnected&#x20;after&#x20;approximately&#x20;45&#x20;seconds.&#x20;Setting&#x20;a&#x20;zero&#x20;ClientAliveCountMax&#x20;disables&#x20;connection&#x20;termination.','In&#x20;order&#x20;to&#x20;prevent&#x20;resource&#x20;exhaustion,&#x20;appropriate&#x20;values&#x20;should&#x20;be&#x20;set&#x20;for&#x20;both&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax.&#x20;Specifically,&#x20;looking&#x20;at&#x20;the&#x20;source&#x20;code,&#x20;ClientAliveCountMax&#x20;must&#x20;be&#x20;greater&#x20;than&#x20;zero&#x20;in&#x20;order&#x20;to&#x20;utilize&#x20;the&#x20;ability&#x20;of&#x20;SSH&#x20;to&#x20;drop&#x20;idle&#x20;connections.&#x20;If&#x20;connections&#x20;are&#x20;allowed&#x20;to&#x20;stay&#x20;open&#x20;indefinately,&#x20;this&#x20;can&#x20;potentially&#x20;be&#x20;used&#x20;as&#x20;a&#x20;DDOS&#x20;attack&#x20;or&#x20;simple&#x20;resource&#x20;exhaustion&#x20;could&#x20;occur&#x20;over&#x20;unreliable&#x20;networks.&#x20;The&#x20;example&#x20;set&#x20;here&#x20;is&#x20;a&#x20;45&#x20;second&#x20;timeout.&#x20;Consult&#x20;your&#x20;site&#x20;policy&#x20;for&#x20;network&#x20;timeouts&#x20;and&#x20;apply&#x20;as&#x20;appropriate.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameters&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;Example:&#x20;ClientAliveInterval&#x20;15&#x20;ClientAliveCountMax&#x20;3','[{\"cis\": [\"5.2.22\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(28654,'Ensure&#x20;sudo&#x20;is&#x20;installed.','sudo&#x20;allows&#x20;a&#x20;permitted&#x20;user&#x20;to&#x20;execute&#x20;a&#x20;command&#x20;as&#x20;the&#x20;superuser&#x20;or&#x20;another&#x20;user,&#x20;as&#x20;specified&#x20;by&#x20;the&#x20;security&#x20;policy.&#x20;The&#x20;invoking&#x20;user&#039;s&#x20;real&#x20;&#40;not&#x20;effective&#41;&#x20;user&#x20;ID&#x20;is&#x20;used&#x20;to&#x20;determine&#x20;the&#x20;user&#x20;name&#x20;with&#x20;which&#x20;to&#x20;query&#x20;the&#x20;security&#x20;policy.','sudo&#x20;supports&#x20;a&#x20;plug-in&#x20;architecture&#x20;for&#x20;security&#x20;policies&#x20;and&#x20;input/output&#x20;logging.&#x20;Third&#x20;parties&#x20;can&#x20;develop&#x20;and&#x20;distribute&#x20;their&#x20;own&#x20;policy&#x20;and&#x20;I/O&#x20;logging&#x20;plug-ins&#x20;to&#x20;work&#x20;seamlessly&#x20;with&#x20;the&#x20;sudo&#x20;front&#x20;end.&#x20;The&#x20;default&#x20;security&#x20;policy&#x20;is&#x20;sudoers,&#x20;which&#x20;is&#x20;configured&#x20;via&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;and&#x20;any&#x20;entries&#x20;in&#x20;/etc/sudoers.d.&#x20;The&#x20;security&#x20;policy&#x20;determines&#x20;what&#x20;privileges,&#x20;if&#x20;any,&#x20;a&#x20;user&#x20;has&#x20;to&#x20;run&#x20;sudo.&#x20;The&#x20;policy&#x20;may&#x20;require&#x20;that&#x20;users&#x20;authenticate&#x20;themselves&#x20;with&#x20;a&#x20;password&#x20;or&#x20;another&#x20;authentication&#x20;mechanism.&#x20;If&#x20;authentication&#x20;is&#x20;required,&#x20;sudo&#x20;will&#x20;exit&#x20;if&#x20;the&#x20;user&#039;s&#x20;password&#x20;is&#x20;not&#x20;entered&#x20;within&#x20;a&#x20;configurable&#x20;time&#x20;limit.&#x20;This&#x20;limit&#x20;is&#x20;policy-specific.','','First&#x20;determine&#x20;is&#x20;LDAP&#x20;functionality&#x20;is&#x20;required.&#x20;If&#x20;so,&#x20;then&#x20;install&#x20;sudo-ldap,&#x20;else&#x20;install&#x20;&#x20;sudo.&#x20;Example:&#x20;#&#x20;apt&#x20;install&#x20;sudo','[{\"cis\": [\"5.3.1\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}]'),(28655,'Ensure&#x20;sudo&#x20;commands&#x20;use&#x20;pty.','sudo&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;run&#x20;only&#x20;from&#x20;a&#x20;pseudo&#x20;terminal&#x20;&#40;pseudo-pty&#41;.','Attackers&#x20;can&#x20;run&#x20;a&#x20;malicious&#x20;program&#x20;using&#x20;sudo&#x20;which&#x20;would&#x20;fork&#x20;a&#x20;background&#x20;process&#x20;that&#x20;remains&#x20;even&#x20;when&#x20;the&#x20;main&#x20;program&#x20;has&#x20;finished&#x20;executing.','WARNING:&#x20;Editing&#x20;the&#x20;sudo&#x20;configuration&#x20;incorrectly&#x20;can&#x20;cause&#x20;sudo&#x20;to&#x20;stop&#x20;functioning.&#x20;Always&#x20;use&#x20;visudo&#x20;to&#x20;modify&#x20;sudo&#x20;configuration&#x20;files.','Edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;with&#x20;visudo&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Defaults&#x20;use_pty','[{\"cis\": [\"5.3.2\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.003\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}]'),(28656,'Ensure&#x20;sudo&#x20;log&#x20;file&#x20;exists.','sudo&#x20;can&#x20;use&#x20;a&#x20;custom&#x20;log&#x20;file.','A&#x20;sudo&#x20;log&#x20;file&#x20;simplifies&#x20;auditing&#x20;of&#x20;sudo&#x20;commands.','WARNING:&#x20;Editing&#x20;the&#x20;sudo&#x20;configuration&#x20;incorrectly&#x20;can&#x20;cause&#x20;sudo&#x20;to&#x20;stop&#x20;functioning.&#x20;Always&#x20;use&#x20;visudo&#x20;to&#x20;modify&#x20;sudo&#x20;configuration&#x20;files.','Edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;or&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Example:&#x20;Defaults&#x20;logfile=&#039;/var/log/sudo.log&#039;','[{\"cis\": [\"5.3.3\"]}, {\"cis_csc_v7\": [\"6.3\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28657,'Ensure&#x20;users&#x20;must&#x20;provide&#x20;password&#x20;for&#x20;privilege&#x20;escalation.','The&#x20;operating&#x20;system&#x20;must&#x20;be&#x20;configured&#x20;so&#x20;that&#x20;users&#x20;must&#x20;provide&#x20;a&#x20;password&#x20;for&#x20;privilege&#x20;escalation.','Without&#x20;&#40;re-&#41;authentication,&#x20;users&#x20;may&#x20;access&#x20;resources&#x20;or&#x20;perform&#x20;tasks&#x20;for&#x20;which&#x20;they&#x20;do&#x20;not&#x20;have&#x20;authorization.&#x20;When&#x20;operating&#x20;systems&#x20;provide&#x20;the&#x20;capability&#x20;to&#x20;escalate&#x20;a&#x20;functional&#x20;capability,&#x20;it&#x20;is&#x20;critical&#x20;the&#x20;user&#x20;&#40;re-&#41;authenticate.','This&#x20;will&#x20;prevent&#x20;automated&#x20;processes&#x20;from&#x20;being&#x20;able&#x20;to&#x20;elevate&#x20;privileges.','Based&#x20;on&#x20;the&#x20;outcome&#x20;of&#x20;the&#x20;audit&#x20;procedure,&#x20;use&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;to&#x20;edit&#x20;the&#x20;relevant&#x20;sudoers&#x20;file.&#x20;Remove&#x20;any&#x20;line&#x20;with&#x20;occurrences&#x20;of&#x20;NOPASSWD&#x20;tags&#x20;in&#x20;the&#x20;file.','[{\"cis\": [\"5.3.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}]'),(28658,'Ensure&#x20;re-authentication&#x20;for&#x20;privilege&#x20;escalation&#x20;is&#x20;not&#x20;disabled&#x20;globally.','The&#x20;operating&#x20;system&#x20;must&#x20;be&#x20;configured&#x20;so&#x20;that&#x20;users&#x20;must&#x20;re-authenticate&#x20;for&#x20;privilege&#x20;escalation.','Without&#x20;re-authentication,&#x20;users&#x20;may&#x20;access&#x20;resources&#x20;or&#x20;perform&#x20;tasks&#x20;for&#x20;which&#x20;they&#x20;do&#x20;not&#x20;have&#x20;authorization.&#x20;When&#x20;operating&#x20;systems&#x20;provide&#x20;the&#x20;capability&#x20;to&#x20;escalate&#x20;a&#x20;functional&#x20;capability,&#x20;it&#x20;is&#x20;critical&#x20;the&#x20;user&#x20;re-authenticate.','','Configure&#x20;the&#x20;operating&#x20;system&#x20;to&#x20;require&#x20;users&#x20;to&#x20;reauthenticate&#x20;for&#x20;privilege&#x20;escalation.&#x20;Based&#x20;on&#x20;the&#x20;outcome&#x20;of&#x20;the&#x20;audit&#x20;procedure,&#x20;use&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;to&#x20;edit&#x20;the&#x20;relevant&#x20;sudoers&#x20;file.&#x20;Remove&#x20;any&#x20;occurrences&#x20;of&#x20;!authenticate&#x20;tags&#x20;in&#x20;the&#x20;file&#40;s&#41;.','[{\"cis\": [\"5.3.5\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}]'),(28659,'Ensure&#x20;sudo&#x20;authentication&#x20;timeout&#x20;is&#x20;configured&#x20;correctly.','sudo&#x20;caches&#x20;used&#x20;credentials&#x20;for&#x20;a&#x20;default&#x20;of&#x20;15&#x20;minutes.&#x20;This&#x20;is&#x20;for&#x20;ease&#x20;of&#x20;use&#x20;when&#x20;there&#x20;are&#x20;multiple&#x20;administrative&#x20;tasks&#x20;to&#x20;perform.&#x20;The&#x20;timeout&#x20;can&#x20;be&#x20;modified&#x20;to&#x20;suit&#x20;local&#x20;security&#x20;policies.&#x20;This&#x20;default&#x20;is&#x20;distribution&#x20;specific.&#x20;See&#x20;audit&#x20;section&#x20;for&#x20;further&#x20;information.','Setting&#x20;a&#x20;timeout&#x20;value&#x20;reduces&#x20;the&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;unauthorized&#x20;privileged&#x20;access&#x20;to&#x20;another&#x20;user.','','If&#x20;the&#x20;currently&#x20;configured&#x20;timeout&#x20;is&#x20;larger&#x20;than&#x20;15&#x20;minutes,&#x20;edit&#x20;the&#x20;file&#x20;listed&#x20;in&#x20;the&#x20;audit&#x20;section&#x20;with&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;modify&#x20;the&#x20;entry&#x20;timestamp_timeout=&#x20;to&#x20;15&#x20;minutes&#x20;or&#x20;less&#x20;as&#x20;per&#x20;your&#x20;site&#x20;policy.&#x20;The&#x20;value&#x20;is&#x20;in&#x20;minutes.&#x20;This&#x20;particular&#x20;entry&#x20;may&#x20;appear&#x20;on&#x20;its&#x20;own,&#x20;or&#x20;on&#x20;the&#x20;same&#x20;line&#x20;as&#x20;env_reset.&#x20;See&#x20;the&#x20;following&#x20;two&#x20;examples:&#x20;&#x20;Defaults&#x20;env_reset,&#x20;timestamp_timeout=15&#x20;Defaults&#x20;timestamp_timeout=15&#x20;Defaults&#x20;env_reset','[{\"cis\": [\"5.3.6\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}]'),(28660,'Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','The&#x20;su&#x20;command&#x20;allows&#x20;a&#x20;user&#x20;to&#x20;run&#x20;a&#x20;command&#x20;or&#x20;shell&#x20;as&#x20;another&#x20;user.&#x20;The&#x20;program&#x20;has&#x20;been&#x20;superseded&#x20;by&#x20;sudo,&#x20;which&#x20;allows&#x20;for&#x20;more&#x20;granular&#x20;control&#x20;over&#x20;privileged&#x20;access.&#x20;Normally,&#x20;the&#x20;su&#x20;command&#x20;can&#x20;be&#x20;executed&#x20;by&#x20;any&#x20;user.&#x20;By&#x20;uncommenting&#x20;the&#x20;pam_wheel.so&#x20;statement&#x20;in&#x20;/etc/pam.d/su,&#x20;the&#x20;su&#x20;command&#x20;will&#x20;only&#x20;allow&#x20;users&#x20;in&#x20;a&#x20;specific&#x20;groups&#x20;to&#x20;execute&#x20;su.&#x20;This&#x20;group&#x20;should&#x20;be&#x20;empty&#x20;to&#x20;reinforce&#x20;the&#x20;use&#x20;of&#x20;sudo&#x20;for&#x20;privileged&#x20;access.','Restricting&#x20;the&#x20;use&#x20;of&#x20;su&#x20;,&#x20;and&#x20;using&#x20;sudo&#x20;in&#x20;its&#x20;place,&#x20;provides&#x20;system&#x20;administrators&#x20;better&#x20;control&#x20;of&#x20;the&#x20;escalation&#x20;of&#x20;user&#x20;privileges&#x20;to&#x20;execute&#x20;privileged&#x20;commands.&#x20;The&#x20;sudo&#x20;utility&#x20;also&#x20;provides&#x20;a&#x20;better&#x20;logging&#x20;and&#x20;audit&#x20;mechanism,&#x20;as&#x20;it&#x20;can&#x20;log&#x20;each&#x20;command&#x20;executed&#x20;via&#x20;sudo&#x20;,&#x20;whereas&#x20;su&#x20;can&#x20;only&#x20;record&#x20;that&#x20;a&#x20;user&#x20;executed&#x20;the&#x20;su&#x20;program.','','Create&#x20;an&#x20;empty&#x20;group&#x20;that&#x20;will&#x20;be&#x20;specified&#x20;for&#x20;use&#x20;of&#x20;the&#x20;su&#x20;command.&#x20;The&#x20;group&#x20;should&#x20;be&#x20;named&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;Example:&#x20;#&#x20;groupadd&#x20;sugroup&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/pam.d/su&#x20;file,&#x20;specifying&#x20;the&#x20;empty&#x20;group:&#x20;auth&#x20;required&#x20;pam_wheel.so&#x20;use_uid&#x20;group=sugroup','[{\"cis\": [\"5.3.7\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1026\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28661,'Ensure&#x20;password&#x20;creation&#x20;requirements&#x20;are&#x20;configured.','The&#x20;pam_pwquality.so&#x20;module&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more.&#x20;The&#x20;following&#x20;options&#x20;are&#x20;set&#x20;in&#x20;the&#x20;/etc/security/pwquality.conf&#x20;file:&#x20;-&#x20;Password&#x20;Length:&#x20;&gt;&#x20;minlen&#x20;=&#x20;14&#x20;-&#x20;password&#x20;must&#x20;be&#x20;14&#x20;characters&#x20;or&#x20;more&#x20;-&#x20;Password&#x20;complexity:&#x20;&gt;&#x20;minclass&#x20;=&#x20;4&#x20;-&#x20;The&#x20;minimum&#x20;number&#x20;of&#x20;required&#x20;classes&#x20;of&#x20;characters&#x20;for&#x20;the&#x20;new&#x20;password&#x20;&#40;digits,&#x20;uppercase,&#x20;lowercase,&#x20;others&#41;&#x20;OR&#x20;&gt;&#x20;dcredit&#x20;=&#x20;-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;digit&#x20;&gt;&#x20;ucredit&#x20;=&#x20;-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;uppercase&#x20;character&#x20;&gt;&#x20;ocredit&#x20;=&#x20;-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;special&#x20;character&#x20;&gt;&#x20;lcredit&#x20;=&#x20;-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;lowercase&#x20;character.','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','The&#x20;following&#x20;setting&#x20;is&#x20;a&#x20;recommend&#x20;example&#x20;policy.&#x20;Alter&#x20;these&#x20;values&#x20;to&#x20;conform&#x20;to&#x20;your&#x20;own&#x20;organization&#039;s&#x20;password&#x20;policies.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;the&#x20;pam_pwquality&#x20;module:&#x20;#&#x20;apt&#x20;install&#x20;libpam-pwquality&#x20;Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;password&#x20;length&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minlen&#x20;=&#x20;14&#x20;Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;password&#x20;complexity&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;Option&#x20;1:&#x20;minclass&#x20;=&#x20;4&#x20;Option&#x20;2:&#x20;dcredit&#x20;=&#x20;-1&#x20;ucredit&#x20;=&#x20;-1&#x20;ocredit&#x20;=&#x20;-1&#x20;lcredit&#x20;=&#x20;-1','[{\"cis\": [\"5.4.1\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.001\", \"T1110.002\", \"T1110.003\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28662,'Ensure&#x20;lockout&#x20;for&#x20;failed&#x20;password&#x20;attempts&#x20;is&#x20;configured.','Lock&#x20;out&#x20;users&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts.&#x20;The&#x20;first&#x20;sets&#x20;of&#x20;changes&#x20;are&#x20;made&#x20;to&#x20;the&#x20;common&#x20;PAM&#x20;configuration&#x20;files.&#x20;The&#x20;second&#x20;set&#x20;of&#x20;changes&#x20;are&#x20;applied&#x20;to&#x20;the&#x20;program&#x20;specific&#x20;PAM&#x20;configuration&#x20;file.&#x20;The&#x20;second&#x20;set&#x20;of&#x20;changes&#x20;must&#x20;be&#x20;applied&#x20;to&#x20;each&#x20;program&#x20;that&#x20;will&#x20;lock&#x20;out&#x20;users.&#x20;Check&#x20;the&#x20;documentation&#x20;for&#x20;each&#x20;secondary&#x20;program&#x20;for&#x20;instructions&#x20;on&#x20;how&#x20;to&#x20;configure&#x20;them&#x20;to&#x20;work&#x20;with&#x20;PAM.&#x20;All&#x20;configuration&#x20;of&#x20;faillock&#x20;is&#x20;located&#x20;in&#x20;/etc/security/faillock.conf&#x20;and&#x20;well&#x20;commented.&#x20;-&#x20;deny&#x20;-&#x20;Deny&#x20;access&#x20;if&#x20;the&#x20;number&#x20;of&#x20;consecutive&#x20;authentication&#x20;failures&#x20;for&#x20;this&#x20;user&#x20;during&#x20;the&#x20;recent&#x20;interval&#x20;exceeds&#x20;n&#x20;tries.&#x20;-&#x20;fail_interval&#x20;-&#x20;The&#x20;length&#x20;of&#x20;the&#x20;interval,&#x20;in&#x20;seconds,&#x20;during&#x20;which&#x20;the&#x20;consecutive&#x20;authentication&#x20;failures&#x20;must&#x20;happen&#x20;for&#x20;the&#x20;user&#x20;account&#x20;to&#x20;be&#x20;locked&#x20;out&#x20;-&#x20;unlock_time&#x20;-&#x20;The&#x20;access&#x20;will&#x20;be&#x20;re-enabled&#x20;after&#x20;n&#x20;seconds&#x20;after&#x20;the&#x20;lock&#x20;out.&#x20;The&#x20;value&#x20;0&#x20;has&#x20;the&#x20;same&#x20;meaning&#x20;as&#x20;value&#x20;never&#x20;-&#x20;the&#x20;access&#x20;will&#x20;not&#x20;be&#x20;re-enabled&#x20;without&#x20;resetting&#x20;the&#x20;faillock&#x20;entries&#x20;by&#x20;the&#x20;faillock&#x20;command.&#x20;Set&#x20;the&#x20;lockout&#x20;number&#x20;and&#x20;unlock&#x20;time&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Locking&#x20;out&#x20;user&#x20;IDs&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts&#x20;mitigates&#x20;brute&#x20;force&#x20;password&#x20;attacks&#x20;against&#x20;your&#x20;systems.','It&#x20;is&#x20;critical&#x20;to&#x20;test&#x20;and&#x20;validate&#x20;any&#x20;PAM&#x20;changes&#x20;before&#x20;deploying.&#x20;Any&#x20;misconfiguration&#x20;could&#x20;cause&#x20;the&#x20;system&#x20;to&#x20;be&#x20;inaccessible.','NOTE:&#x20;Pay&#x20;special&#x20;attention&#x20;to&#x20;the&#x20;configuration.&#x20;Incorrect&#x20;configuration&#x20;can&#x20;cause&#x20;system&#x20;lock&#x20;outs.&#x20;This&#x20;is&#x20;example&#x20;configuration.&#x20;You&#x20;configuration&#x20;may&#x20;differ&#x20;based&#x20;on&#x20;previous&#x20;changes&#x20;to&#x20;the&#x20;files.&#x20;Common&#x20;auth&#x20;Edit&#x20;/etc/pam.d/common-auth&#x20;and&#x20;ensure&#x20;that&#x20;faillock&#x20;is&#x20;configured.&#x20;Note:&#x20;It&#x20;is&#x20;critical&#x20;to&#x20;understand&#x20;each&#x20;line&#x20;and&#x20;the&#x20;relevant&#x20;arguments&#x20;for&#x20;successful&#x20;implementation.&#x20;The&#x20;order&#x20;of&#x20;these&#x20;entries&#x20;is&#x20;very&#x20;specific.&#x20;The&#x20;pam_faillock.so&#x20;lines&#x20;surround&#x20;the&#x20;pam_unix.so&#x20;line.&#x20;The&#x20;comment&#x20;&quot;Added&#x20;to&#x20;enable&#x20;faillock&quot;&#x20;is&#x20;shown&#x20;to&#x20;highlight&#x20;the&#x20;additional&#x20;lines&#x20;and&#x20;their&#x20;order&#x20;in&#x20;the&#x20;file.&#x20;#&#x20;here&#x20;are&#x20;the&#x20;per-package&#x20;modules&#x20;&#40;the&#x20;&quot;Primary&quot;&#x20;block&#41;&#x20;auth&#x20;required&#x20;pam_faillock.so&#x20;preauth&#x20;#&#x20;Added&#x20;to&#x20;enable&#x20;faillock&#x20;auth&#x20;[success=1&#x20;default=ignore]&#x20;pam_unix.so&#x20;nullok&#x20;auth&#x20;[default=die]&#x20;pam_faillock.so&#x20;authfail&#x20;#&#x20;Added&#x20;to&#x20;enable&#x20;faillock&#x20;auth&#x20;sufficient&#x20;pam_faillock.so&#x20;authsucc&#x20;#&#x20;Added&#x20;to&#x20;enable&#x20;faillock&#x20;#&#x20;here&#039;s&#x20;the&#x20;fallback&#x20;if&#x20;no&#x20;module&#x20;succeeds&#x20;auth&#x20;requisite&#x20;pam_deny.so&#x20;#&#x20;prime&#x20;the&#x20;stack&#x20;with&#x20;a&#x20;positive&#x20;return&#x20;value&#x20;if&#x20;there&#x20;isn&#039;t&#x20;one&#x20;already;&#x20;#&#x20;this&#x20;avoids&#x20;us&#x20;returning&#x20;an&#x20;error&#x20;just&#x20;because&#x20;nothing&#x20;sets&#x20;a&#x20;success&#x20;code&#x20;#&#x20;since&#x20;the&#x20;modules&#x20;above&#x20;will&#x20;each&#x20;just&#x20;jump&#x20;around&#x20;auth&#x20;required&#x20;pam_permit.so&#x20;#&#x20;and&#x20;here&#x20;are&#x20;more&#x20;per-package&#x20;modules&#x20;&#40;the&#x20;&quot;Additional&quot;&#x20;block&#41;&#x20;auth&#x20;optional&#x20;pam_cap.so&#x20;#&#x20;end&#x20;of&#x20;pam-auth-update&#x20;config&#x20;Common&#x20;account&#x20;Edit&#x20;/etc/pam.d/common-account&#x20;and&#x20;ensure&#x20;that&#x20;the&#x20;following&#x20;stanza&#x20;is&#x20;at&#x20;the&#x20;end&#x20;of&#x20;the&#x20;file.&#x20;account&#x20;required&#x20;pam_faillock.so&#x20;Fail&#x20;lock&#x20;configuration&#x20;Edit&#x20;/etc/security/faillock.conf&#x20;and&#x20;configure&#x20;it&#x20;per&#x20;your&#x20;site&#x20;policy.&#x20;Example:&#x20;deny&#x20;=&#x20;4&#x20;fail_interval&#x20;=&#x20;900&#x20;unlock&#x20;time&#x20;=&#x20;600','[{\"cis\": [\"5.4.2\"]}, {\"cis_csc_v7\": [\"16.7\"]}, {\"cis_csc_v8\": [\"6.2\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.003\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\"]}, {\"hipaa\": [\"164.308(a)(3)(ii)(C)\"]}, {\"pci_dss_3.2.1\": [\"8.1.3\"]}, {\"pci_dss_4.0\": [\"8.2.4\", \"8.2.5\"]}, {\"nist_sp_800-53\": [\"AC-2(1)\"]}, {\"soc_2\": [\"CC6.2\", \"CC6.3\"]}]'),(28663,'Ensure&#x20;password&#x20;reuse&#x20;is&#x20;limited.','The&#x20;/etc/security/opasswd&#x20;file&#x20;stores&#x20;the&#x20;users&#039;&#x20;old&#x20;passwords&#x20;and&#x20;can&#x20;be&#x20;checked&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;are&#x20;not&#x20;recycling&#x20;recent&#x20;passwords.','Forcing&#x20;users&#x20;not&#x20;to&#x20;reuse&#x20;their&#x20;past&#x20;5&#x20;passwords&#x20;make&#x20;it&#x20;less&#x20;likely&#x20;that&#x20;an&#x20;attacker&#x20;will&#x20;be&#x20;able&#x20;to&#x20;guess&#x20;the&#x20;password.','','NOTE:&#x20;Pay&#x20;special&#x20;attention&#x20;to&#x20;the&#x20;configuration.&#x20;Incorrect&#x20;configuration&#x20;can&#x20;cause&#x20;system&#x20;lock&#x20;outs.&#x20;This&#x20;is&#x20;example&#x20;configuration.&#x20;You&#x20;configuration&#x20;may&#x20;differ&#x20;based&#x20;on&#x20;previous&#x20;changes&#x20;to&#x20;the&#x20;files.&#x20;Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;file&#x20;to&#x20;include&#x20;the&#x20;remember&#x20;option&#x20;and&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;as&#x20;shown:&#x20;password&#x20;[success=1&#x20;default=ignore]&#x20;pam_unix.so&#x20;obscure&#x20;use_authtok&#x20;try_first_pass&#x20;yescrypt&#x20;remember=5','[{\"cis\": [\"5.4.3\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.004\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28664,'Ensure&#x20;password&#x20;hashing&#x20;algorithm&#x20;is&#x20;up&#x20;to&#x20;date&#x20;with&#x20;the&#x20;latest&#x20;standards.','The&#x20;commands&#x20;below&#x20;change&#x20;password&#x20;encryption&#x20;to&#x20;yescrypt.&#x20;All&#x20;existing&#x20;accounts&#x20;will&#x20;need&#x20;to&#x20;perform&#x20;a&#x20;password&#x20;change&#x20;to&#x20;upgrade&#x20;the&#x20;stored&#x20;hashes&#x20;to&#x20;the&#x20;new&#x20;algorithm.','The&#x20;yescrypt&#x20;algorithm&#x20;provides&#x20;much&#x20;stronger&#x20;hashing&#x20;than&#x20;previous&#x20;available&#x20;algorithms,&#x20;thus&#x20;providing&#x20;additional&#x20;protection&#x20;to&#x20;the&#x20;system&#x20;by&#x20;increasing&#x20;the&#x20;level&#x20;of&#x20;effort&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;successfully&#x20;determine&#x20;passwords.&#x20;Note:&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','NOTE:&#x20;Pay&#x20;special&#x20;attention&#x20;to&#x20;the&#x20;configuration.&#x20;Incorrect&#x20;configuration&#x20;can&#x20;cause&#x20;system&#x20;lock&#x20;outs.&#x20;This&#x20;is&#x20;example&#x20;configuration.&#x20;You&#x20;configuration&#x20;may&#x20;differ&#x20;based&#x20;on&#x20;previous&#x20;changes&#x20;to&#x20;the&#x20;files.&#x20;PAM:&#x20;Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;file&#x20;and&#x20;ensure&#x20;that&#x20;no&#x20;hashing&#x20;algorithm&#x20;option&#x20;for&#x20;pam_unix.so&#x20;is&#x20;set:&#x20;password&#x20;[success=1&#x20;default=ignore]&#x20;pam_unix.so&#x20;obscure&#x20;use_authtok&#x20;try_first_pass&#x20;remember=5.&#x20;Login&#x20;definitions:&#x20;Edit&#x20;/etc/login.defs&#x20;and&#x20;ensure&#x20;that&#x20;ENCRYPT_METHOD&#x20;is&#x20;set&#x20;to&#x20;yescrypt.','[{\"cis\": [\"5.4.4\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"cis_csc_v8\": [\"3.11\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1110\", \"T1110.002\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1041\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.19\", \"IA.L2-3.5.10\", \"MP.L2-3.8.1\", \"SC.L2-3.13.11\", \"SC.L2-3.13.16\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"3.4\", \"3.4.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"3.1.1\", \"3.3.2\", \"3.3.3\", \"3.5.1\", \"3.5.1.2\", \"3.5.1.3\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"SC-28\", \"SC-28(1)\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28665,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;configured.','The&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;changing&#x20;their&#x20;password&#x20;until&#x20;a&#x20;minimum&#x20;number&#x20;of&#x20;days&#x20;have&#x20;passed&#x20;since&#x20;the&#x20;last&#x20;time&#x20;the&#x20;user&#x20;changed&#x20;their&#x20;password.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;1&#x20;or&#x20;more&#x20;days.','By&#x20;restricting&#x20;the&#x20;frequency&#x20;of&#x20;password&#x20;changes,&#x20;an&#x20;administrator&#x20;can&#x20;prevent&#x20;users&#x20;from&#x20;repeatedly&#x20;changing&#x20;their&#x20;password&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;circumvent&#x20;password&#x20;reuse&#x20;controls.','','Set&#x20;the&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;to&#x20;1&#x20;in&#x20;/etc/login.defs&#x20;:&#x20;PASS_MIN_DAYS&#x20;1&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--mindays&#x20;1&#x20;&lt;user&gt;','[{\"cis\": [\"5.5.1.1\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.004\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28666,'Ensure&#x20;password&#x20;expiration&#x20;is&#x20;365&#x20;days&#x20;or&#x20;less.','The&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;force&#x20;passwords&#x20;to&#x20;expire&#x20;once&#x20;they&#x20;reach&#x20;a&#x20;defined&#x20;age.','The&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;leverage&#x20;compromised&#x20;credentials&#x20;or&#x20;successfully&#x20;compromise&#x20;credentials&#x20;via&#x20;an&#x20;online&#x20;brute&#x20;force&#x20;attack&#x20;is&#x20;limited&#x20;by&#x20;the&#x20;age&#x20;of&#x20;the&#x20;password.&#x20;Therefore,&#x20;reducing&#x20;the&#x20;maximum&#x20;age&#x20;of&#x20;a&#x20;password&#x20;also&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;window&#x20;of&#x20;opportunity.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;does&#x20;not&#x20;exceed&#x20;365&#x20;days&#x20;and&#x20;is&#x20;greater&#x20;than&#x20;the&#x20;value&#x20;of&#x20;PASS_MIN_DAYS.','','Set&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;in&#x20;/etc/login.defs&#x20;:&#x20;PASS_MAX_DAYS&#x20;365&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--maxdays&#x20;365&#x20;&lt;user&gt;','[{\"cis\": [\"5.5.1.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.001\", \"T1110.002\", \"T1110.003\", \"T1110.004\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28667,'Ensure&#x20;password&#x20;expiration&#x20;warning&#x20;days&#x20;is&#x20;7&#x20;or&#x20;more.','The&#x20;PASS_WARN_AGE&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;notify&#x20;users&#x20;that&#x20;their&#x20;password&#x20;will&#x20;expire&#x20;in&#x20;a&#x20;defined&#x20;number&#x20;of&#x20;days.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','Providing&#x20;an&#x20;advance&#x20;warning&#x20;that&#x20;a&#x20;password&#x20;will&#x20;be&#x20;expiring&#x20;gives&#x20;users&#x20;time&#x20;to&#x20;think&#x20;of&#x20;a&#x20;secure&#x20;password.&#x20;Users&#x20;caught&#x20;unaware&#x20;may&#x20;choose&#x20;a&#x20;simple&#x20;password&#x20;or&#x20;write&#x20;it&#x20;down&#x20;where&#x20;it&#x20;may&#x20;be&#x20;discovered.','','Set&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs&#x20;:&#x20;PASS_WARN_AGE&#x20;7&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--warndays&#x20;7&#x20;&lt;user&gt;','[{\"cis\": [\"5.5.1.3\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28668,'Ensure&#x20;inactive&#x20;password&#x20;lock&#x20;is&#x20;30&#x20;days&#x20;or&#x20;less.','User&#x20;accounts&#x20;that&#x20;have&#x20;been&#x20;inactive&#x20;for&#x20;over&#x20;a&#x20;given&#x20;period&#x20;of&#x20;time&#x20;can&#x20;be&#x20;automatically&#x20;disabled.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;accounts&#x20;that&#x20;are&#x20;inactive&#x20;for&#x20;30&#x20;days&#x20;after&#x20;password&#x20;expiration&#x20;be&#x20;disabled.','Inactive&#x20;accounts&#x20;pose&#x20;a&#x20;threat&#x20;to&#x20;system&#x20;security&#x20;since&#x20;the&#x20;users&#x20;are&#x20;not&#x20;logging&#x20;in&#x20;to&#x20;notice&#x20;failed&#x20;login&#x20;attempts&#x20;or&#x20;other&#x20;anomalies.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;default&#x20;password&#x20;inactivity&#x20;period&#x20;to&#x20;30&#x20;days:&#x20;#&#x20;useradd&#x20;-D&#x20;-f&#x20;30&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--inactive&#x20;30&#x20;&lt;user&gt;','[{\"cis\": [\"5.5.1.4\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.002\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1027\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28669,'Ensure&#x20;default&#x20;group&#x20;for&#x20;the&#x20;root&#x20;account&#x20;is&#x20;GID&#x20;0.','The&#x20;usermod&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;specify&#x20;which&#x20;group&#x20;the&#x20;root&#x20;user&#x20;belongs&#x20;to.&#x20;This&#x20;affects&#x20;permissions&#x20;of&#x20;files&#x20;that&#x20;are&#x20;created&#x20;by&#x20;the&#x20;root&#x20;user.','Using&#x20;GID&#x20;0&#x20;for&#x20;the&#x20;root&#x20;account&#x20;helps&#x20;prevent&#x20;root&#x20;-owned&#x20;files&#x20;from&#x20;accidentally&#x20;becoming&#x20;accessible&#x20;to&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;root&#x20;user&#x20;default&#x20;group&#x20;to&#x20;GID&#x20;0&#x20;:&#x20;#&#x20;usermod&#x20;-g&#x20;0&#x20;root','[{\"cis\": [\"5.5.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1026\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28670,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd&#x20;are&#x20;configured.','The&#x20;/etc/passwd&#x20;file&#x20;contains&#x20;user&#x20;account&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;utilities&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;utilities&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/passwd','[{\"cis\": [\"6.1.1\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28671,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd-&#x20;are&#x20;configured.','The&#x20;/etc/passwd-&#x20;file&#x20;contains&#x20;backup&#x20;user&#x20;account&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd-&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd-&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/passwd-','[{\"cis\": [\"6.1.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28672,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group&#x20;are&#x20;configured.','The&#x20;/etc/group&#x20;file&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.&#x20;The&#x20;command&#x20;below&#x20;allows&#x20;read/write&#x20;access&#x20;for&#x20;root&#x20;and&#x20;read&#x20;access&#x20;for&#x20;everyone&#x20;else.','The&#x20;/etc/group&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users,&#x20;but&#x20;needs&#x20;to&#x20;be&#x20;readable&#x20;as&#x20;this&#x20;information&#x20;is&#x20;used&#x20;with&#x20;many&#x20;non-privileged&#x20;programs.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/group','[{\"cis\": [\"6.1.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28673,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group-&#x20;are&#x20;configured.','The&#x20;/etc/group-&#x20;file&#x20;contains&#x20;a&#x20;backup&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/group-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group-&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group-&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/group-','[{\"cis\": [\"6.1.4\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28674,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow&#x20;are&#x20;configured.','The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;user&#x20;accounts.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;of&#x20;/etc/shadow&#x20;to&#x20;root&#x20;and&#x20;group&#x20;to&#x20;either&#x20;root&#x20;or&#x20;shadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/shadow&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;excess&#x20;permissions&#x20;form&#x20;/etc/shadow:&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;/etc/shadow','[{\"cis\": [\"6.1.5\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28675,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow-&#x20;are&#x20;configured.','The&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;of&#x20;/etc/shadow-&#x20;to&#x20;root&#x20;and&#x20;group&#x20;to&#x20;either&#x20;root&#x20;or&#x20;shadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow-&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/shadow&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;excess&#x20;permissions&#x20;form&#x20;/etc/shadow-:&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;/etc/shadow-','[{\"cis\": [\"6.1.6\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28676,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow&#x20;are&#x20;configured.','The&#x20;/etc/gshadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/gshadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/gshadow&#x20;file&#x20;&#40;such&#x20;as&#x20;group&#x20;administrators&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;group.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;of&#x20;/etc/gshadow&#x20;to&#x20;root&#x20;and&#x20;group&#x20;to&#x20;either&#x20;root&#x20;or&#x20;shadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/gshadow&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;excess&#x20;permissions&#x20;form&#x20;/etc/gshadow:&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;/etc/gshadow','[{\"cis\": [\"6.1.7\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28677,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;are&#x20;configured.','The&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;of&#x20;/etc/gshadow-&#x20;to&#x20;root&#x20;and&#x20;group&#x20;to&#x20;either&#x20;root&#x20;or&#x20;shadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow-&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/gshadowRun&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;excess&#x20;permissions&#x20;form&#x20;/etc/gshadow-:&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;/etc/gshadow-','[{\"cis\": [\"6.1.8\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28678,'Ensure&#x20;accounts&#x20;in&#x20;/etc/passwd&#x20;use&#x20;shadowed&#x20;passwords.','Local&#x20;accounts&#x20;can&#x20;uses&#x20;shadowed&#x20;passwords.&#x20;With&#x20;shadowed&#x20;passwords,&#x20;The&#x20;passwords&#x20;are&#x20;saved&#x20;in&#x20;shadow&#x20;password&#x20;file,&#x20;/etc/shadow,&#x20;encrypted&#x20;by&#x20;a&#x20;salted&#x20;oneway&#x20;hash.&#x20;Accounts&#x20;with&#x20;a&#x20;shadowed&#x20;password&#x20;have&#x20;an&#x20;x&#x20;in&#x20;the&#x20;second&#x20;field&#x20;in&#x20;/etc/passwd.','The&#x20;/etc/passwd&#x20;file&#x20;also&#x20;contains&#x20;information&#x20;like&#x20;user&#x20;ID&#039;s&#x20;and&#x20;group&#x20;ID&#039;s&#x20;that&#x20;are&#x20;used&#x20;by&#x20;many&#x20;system&#x20;programs.&#x20;Therefore,&#x20;the&#x20;/etc/passwd&#x20;file&#x20;must&#x20;remain&#x20;world&#x20;readable.&#x20;In&#x20;spite&#x20;of&#x20;encoding&#x20;the&#x20;password&#x20;with&#x20;a&#x20;randomly-generated&#x20;one-way&#x20;hash&#x20;function,&#x20;an&#x20;attacker&#x20;could&#x20;still&#x20;break&#x20;the&#x20;system&#x20;if&#x20;they&#x20;got&#x20;access&#x20;to&#x20;the&#x20;/etc/passwd&#x20;file.&#x20;This&#x20;can&#x20;be&#x20;mitigated&#x20;by&#x20;using&#x20;shadowed&#x20;passwords,&#x20;thus&#x20;moving&#x20;the&#x20;passwords&#x20;in&#x20;the&#x20;/etc/passwd&#x20;file&#x20;to&#x20;/etc/shadow.&#x20;The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;set&#x20;so&#x20;only&#x20;root&#x20;will&#x20;be&#x20;able&#x20;to&#x20;read&#x20;and&#x20;write.&#x20;This&#x20;helps&#x20;mitigate&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;encoded&#x20;passwords&#x20;with&#x20;which&#x20;to&#x20;perform&#x20;a&#x20;dictionary&#x20;attack.&#x20;Note:&#x20;All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.&#x20;A&#x20;user&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;second&#x20;field&#x20;in&#x20;/etc/passwd&#x20;allows&#x20;the&#x20;account&#x20;to&#x20;be&#x20;logged&#x20;into&#x20;by&#x20;providing&#x20;only&#x20;the&#x20;username.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;accounts&#x20;to&#x20;use&#x20;shadowed&#x20;passwords:&#x20;#&#x20;sed&#x20;-e&#x20;&#039;s/^&#40;[a-zA-Z0-9_]*&#41;:[^:]*:/1:x:/&#039;&#x20;-i&#x20;/etc/passwd&#x20;Investigate&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for,&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.1\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"cis_csc_v8\": [\"3.11\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1027\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.19\", \"IA.L2-3.5.10\", \"MP.L2-3.8.1\", \"SC.L2-3.13.11\", \"SC.L2-3.13.16\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"3.4\", \"3.4.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"3.1.1\", \"3.3.2\", \"3.3.3\", \"3.5.1\", \"3.5.1.2\", \"3.5.1.3\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"SC-28\", \"SC-28(1)\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28679,'Ensure&#x20;/etc/shadow&#x20;password&#x20;fields&#x20;are&#x20;not&#x20;empty.','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;password,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;account&#x20;until&#x20;it&#x20;can&#x20;be&#x20;determined&#x20;why&#x20;it&#x20;does&#x20;not&#x20;have&#x20;a&#x20;password:&#x20;#&#x20;passwd&#x20;-l&#x20;&lt;username&gt;&#x20;Also,&#x20;check&#x20;to&#x20;see&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;investigate&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1027\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28680,'Ensure&#x20;shadow&#x20;group&#x20;is&#x20;empty.','The&#x20;shadow&#x20;group&#x20;allows&#x20;system&#x20;programs&#x20;which&#x20;require&#x20;access&#x20;the&#x20;ability&#x20;to&#x20;read&#x20;the&#x20;/etc/shadow&#x20;file.&#x20;No&#x20;users&#x20;should&#x20;be&#x20;assigned&#x20;to&#x20;the&#x20;shadow&#x20;group.','Any&#x20;users&#x20;assigned&#x20;to&#x20;the&#x20;shadow&#x20;group&#x20;would&#x20;be&#x20;granted&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file.&#x20;If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;passwords&#x20;to&#x20;break&#x20;them.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;additional&#x20;user&#x20;accounts.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;all&#x20;users&#x20;from&#x20;the&#x20;shadow&#x20;group&#x20;#&#x20;sed&#x20;-ri&#x20;&#039;s/&#40;^shadow:[^:]*:[^:]*:&#41;&#40;[^:]+$&#41;/1/&#039;&#x20;/etc/group&#x20;Change&#x20;the&#x20;primary&#x20;group&#x20;of&#x20;any&#x20;users&#x20;with&#x20;shadow&#x20;as&#x20;their&#x20;primary&#x20;group.&#x20;#&#x20;usermod&#x20;-g&#x20;&lt;primary&#x20;group&gt;&#x20;&lt;user&gt;','[{\"cis\": [\"6.2.4\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28681,'Ensure&#x20;root&#x20;is&#x20;the&#x20;only&#x20;UID&#x20;0&#x20;account.','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','','Remove&#x20;any&#x20;users&#x20;other&#x20;than&#x20;root&#x20;with&#x20;UID&#x20;0&#x20;or&#x20;assign&#x20;them&#x20;a&#x20;new&#x20;UID&#x20;if&#x20;appropriate.','[{\"cis\": [\"6.2.10\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(29000,'Ensure&#x20;All&#x20;Apple-provided&#x20;Software&#x20;Is&#x20;Current.','Software&#x20;vendors&#x20;release&#x20;security&#x20;patches&#x20;and&#x20;software&#x20;updates&#x20;for&#x20;their&#x20;products&#x20;when&#x20;security&#x20;vulnerabilities&#x20;are&#x20;discovered.&#x20;There&#x20;is&#x20;no&#x20;simple&#x20;way&#x20;to&#x20;complete&#x20;this&#x20;action&#x20;without&#x20;a&#x20;network&#x20;connection&#x20;to&#x20;an&#x20;Apple&#x20;software&#x20;repository.&#x20;Please&#x20;ensure&#x20;appropriate&#x20;access&#x20;for&#x20;this&#x20;control.&#x20;This&#x20;check&#x20;is&#x20;only&#x20;for&#x20;what&#x20;Apple&#x20;provides&#x20;through&#x20;software&#x20;update.','It&#x20;is&#x20;important&#x20;that&#x20;these&#x20;updates&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;prevent&#x20;unauthorized&#x20;persons&#x20;from&#x20;exploiting&#x20;the&#x20;identified&#x20;vulnerabilities.','','1.&#x20;In&#x20;Terminal,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;verify&#x20;what&#x20;packages&#x20;need&#x20;to&#x20;be&#x20;installed:&#x20;sudo&#x20;softwareupdate&#x20;-l.&#x20;2.1.&#x20;In&#x20;Terminal,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;all&#x20;the&#x20;packages&#x20;that&#x20;need&#x20;to&#x20;be&#x20;updated:&#x20;sudo&#x20;software&#x20;-i&#x20;-a&#x20;-R.&#x20;2.2.&#x20;In&#x20;Terminal,&#x20;run&#x20;the&#x20;following&#x20;for&#x20;any&#x20;packages&#x20;that&#x20;show&#x20;up&#x20;in&#x20;step&#x20;1:&#x20;sudo&#x20;softwareupdate&#x20;-i&#x20;packagename&#039;','[{\"cis\": [\"1.1\"]}, {\"cis_level\": [\"1\"]}]'),(29001,'Ensure&#x20;Auto&#x20;Update&#x20;Is&#x20;Enabled.','Auto&#x20;Update&#x20;verifies&#x20;that&#x20;your&#x20;system&#x20;has&#x20;the&#x20;newest&#x20;security&#x20;patches&#x20;and&#x20;software&#x20;updates.&#x20;If&#x20;&quot;Automatically&#x20;check&#x20;for&#x20;updates&quot;&#x20;is&#x20;not&#x20;selected&#x20;background&#x20;updates&#x20;for&#x20;new&#x20;malware&#x20;definition&#x20;files&#x20;from&#x20;Apple&#x20;for&#x20;XProtect&#x20;and&#x20;Gatekeeper&#x20;will&#x20;not&#x20;occur.','It&#x20;is&#x20;important&#x20;that&#x20;a&#x20;system&#x20;has&#x20;the&#x20;newest&#x20;updates&#x20;applied&#x20;so&#x20;as&#x20;to&#x20;prevent&#x20;unauthorized&#x20;persons&#x20;from&#x20;exploiting&#x20;identified&#x20;vulnerabilities.','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;auto&#x20;update&#x20;feature:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;AutomaticCheckEnabled&#x20;-bool&#x20;true','[{\"cis\": [\"1.2\"]}, {\"cis_level\": [\"1\"]}]'),(29002,'Ensure&#x20;Download&#x20;New&#x20;Updates&#x20;When&#x20;Available&#x20;is&#x20;Enabled.','In&#x20;the&#x20;GUI&#x20;both&#x20;&quot;Install&#x20;macOS&#x20;updates&quot;&#x20;and&#x20;&quot;Install&#x20;app&#x20;updates&#x20;from&#x20;the&#x20;App&#x20;Store&quot;&#x20;are&#x20;dependent&#x20;on&#x20;whether&#x20;&quot;Download&#x20;new&#x20;updates&#x20;when&#x20;available&quot;&#x20;is&#x20;selected.','It&#x20;is&#x20;important&#x20;that&#x20;a&#x20;system&#x20;has&#x20;the&#x20;newest&#x20;updates&#x20;downloaded&#x20;so&#x20;that&#x20;they&#x20;can&#x20;be&#x20;applied.','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;auto&#x20;update&#x20;feature:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;AutomaticDownload&#x20;-bool&#x20;true','[{\"cis\": [\"1.3\"]}, {\"cis_level\": [\"1\"]}]'),(29003,'Ensure&#x20;Installation&#x20;of&#x20;App&#x20;Update&#x20;Is&#x20;Enabled.','Ensure&#x20;that&#x20;application&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;These&#x20;updates&#x20;do&#x20;not&#x20;require&#x20;reboots&#x20;or&#x20;admin&#x20;privileges&#x20;for&#x20;end&#x20;users.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited.','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;auto&#x20;update&#x20;feature:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.commerce&#x20;AutoUpdate&#x20;-bool&#x20;TRUE','[{\"cis\": [\"1.4\"]}, {\"cis_level\": [\"1\"]}]'),(29004,'Ensure&#x20;System&#x20;Data&#x20;Files&#x20;and&#x20;Security&#x20;Updates&#x20;Are&#x20;Downloaded&#x20;Automatically&#x20;Is&#x20;Enabled.','Ensure&#x20;that&#x20;system&#x20;and&#x20;security&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;This&#x20;setting&#x20;enables&#x20;definition&#x20;updates&#x20;for&#x20;XProtect&#x20;and&#x20;Gatekeeper.&#x20;With&#x20;this&#x20;setting&#x20;in&#x20;place&#x20;new&#x20;malware&#x20;and&#x20;adware&#x20;that&#x20;Apple&#x20;has&#x20;added&#x20;to&#x20;the&#x20;list&#x20;of&#x20;malware&#x20;or&#x20;untrusted&#x20;software&#x20;will&#x20;not&#x20;execute.&#x20;These&#x20;updates&#x20;do&#x20;not&#x20;require&#x20;reboots&#x20;or&#x20;end&#x20;user&#x20;admin&#x20;rights.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited.','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;install&#x20;system&#x20;data&#x20;files&#x20;and&#x20;security&#x20;updates:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;ConfigDataInstall&#x20;-bool&#x20;true&#x20;&amp;&amp;&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;CriticalUpdateInstall&#x20;-bool&#x20;true','[{\"cis\": [\"1.5\"]}, {\"cis_level\": [\"1\"]}]'),(29005,'Ensure&#x20;Install&#x20;of&#x20;macOS&#x20;Updates&#x20;Is&#x20;Enabled.','Ensure&#x20;that&#x20;macOS&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;This&#x20;setting&#x20;enables&#x20;macOS&#x20;updates&#x20;to&#x20;be&#x20;automatically&#x20;installed.&#x20;Some&#x20;environments&#x20;will&#x20;want&#x20;to&#x20;approve&#x20;and&#x20;test&#x20;updates&#x20;before&#x20;they&#x20;are&#x20;delivered.&#x20;It&#x20;is&#x20;best&#x20;practice&#x20;to&#x20;test&#x20;first&#x20;where&#x20;updates&#x20;can&#x20;and&#x20;have&#x20;caused&#x20;disruptions&#x20;to&#x20;operations.&#x20;Automatic&#x20;updates&#x20;should&#x20;be&#x20;turned&#x20;off&#x20;where&#x20;changes&#x20;are&#x20;tightly&#x20;controlled&#x20;and&#x20;there&#x20;are&#x20;mature&#x20;testing&#x20;and&#x20;approval&#x20;processes.&#x20;Automatic&#x20;updates&#x20;should&#x20;not&#x20;be&#x20;turned&#x20;off&#x20;so&#x20;the&#x20;admin&#x20;can&#x20;call&#x20;the&#x20;users&#x20;first&#x20;to&#x20;let&#x20;them&#x20;know&#x20;it&#039;s&#x20;ok&#x20;to&#x20;install.&#x20;A&#x20;dependable,&#x20;repeatable&#x20;process&#x20;involving&#x20;a&#x20;patch&#x20;agent&#x20;or&#x20;remote&#x20;management&#x20;tool&#x20;should&#x20;be&#x20;in&#x20;place&#x20;before&#x20;auto-updates&#x20;are&#x20;turned&#x20;off.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;to&#x20;enable&#x20;automatic&#x20;checking&#x20;and&#x20;installing&#x20;of&#x20;macOS&#x20;updates:&#x20;sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;AutomaticallyInstallMacOSUpdates&#x20;-bool&#x20;TRUE','[{\"cis\": [\"1.6\"]}, {\"cis_level\": [\"1\"]}]'),(29006,'Ensure&#x20;Bluetooth&#x20;Is&#x20;Disabled&#x20;If&#x20;No&#x20;Devices&#x20;Are&#x20;Paired.','Bluetooth&#x20;devices&#x20;use&#x20;a&#x20;wireless&#x20;communications&#x20;system&#x20;that&#x20;replaces&#x20;the&#x20;cables&#x20;used&#x20;by&#x20;other&#x20;peripherals&#x20;to&#x20;connect&#x20;to&#x20;a&#x20;system.&#x20;It&#x20;is&#x20;by&#x20;design&#x20;a&#x20;peer-to-peer&#x20;network&#x20;technology&#x20;and&#x20;typically&#x20;lacks&#x20;centralized&#x20;administration&#x20;and&#x20;security&#x20;enforcement&#x20;infrastructure.','Bluetooth&#x20;is&#x20;particularly&#x20;susceptible&#x20;to&#x20;a&#x20;diverse&#x20;set&#x20;of&#x20;security&#x20;vulnerabilities&#x20;involving&#x20;identity&#x20;detection,&#x20;location&#x20;tracking,&#x20;denial&#x20;of&#x20;service,&#x20;unintended&#x20;control&#x20;and&#x20;access&#x20;of&#x20;data&#x20;and&#x20;voice&#x20;channels,&#x20;and&#x20;unauthorized&#x20;device&#x20;control&#x20;and&#x20;data&#x20;access.','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;bluetooth:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.Bluetooth&#x20;ControllerPowerState&#x20;-int&#x20;0&#x20;&amp;&amp;&#x20;sudo&#x20;killall&#x20;-HUP&#x20;bluetoothd','[{\"cis\": [\"2.1.1\"]}, {\"cis_level\": [\"1\"]}]'),(29007,'Ensure&#x20;Show&#x20;Bluetooth&#x20;Status&#x20;in&#x20;Menu&#x20;Bar&#x20;Is&#x20;Enabled.','By&#x20;showing&#x20;the&#x20;Bluetooth&#x20;status&#x20;in&#x20;the&#x20;menu&#x20;bar,&#x20;a&#x20;small&#x20;Bluetooth&#x20;icon&#x20;is&#x20;placed&#x20;in&#x20;the&#x20;menu&#x20;bar.&#x20;This&#x20;icon&#x20;quickly&#x20;shows&#x20;the&#x20;status&#x20;of&#x20;Bluetooth,&#x20;and&#x20;can&#x20;allow&#x20;the&#x20;user&#x20;to&#x20;quickly&#x20;turn&#x20;Bluetooth&#x20;on&#x20;or&#x20;off.','Enabling&#x20;&quot;Show&#x20;Bluetooth&#x20;status&#x20;in&#x20;menu&#x20;bar&quot;&#x20;is&#x20;a&#x20;security&#x20;awareness&#x20;method&#x20;that&#x20;helps&#x20;understand&#x20;the&#x20;current&#x20;state&#x20;of&#x20;Bluetooth,&#x20;including&#x20;whether&#x20;it&#x20;is&#x20;enabled,&#x20;discoverable,&#x20;what&#x20;paired&#x20;devices&#x20;exist,&#x20;and&#x20;what&#x20;paired&#x20;devices&#x20;are&#x20;currently&#x20;active.','','For&#x20;each&#x20;user,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;Bluetooth&#x20;status&#x20;in&#x20;the&#x20;menu&#x20;bar:&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;defaults&#x20;-currentHost&#x20;write&#x20;com.apple.controlcenter.plist&#x20;Bluetooth&#x20;-int&#x20;18','[{\"cis\": [\"2.1.2\"]}, {\"cis_level\": [\"1\"]}]'),(29008,'Ensure&#x20;&quot;Set&#x20;time&#x20;and&#x20;date&#x20;automatically&quot;&#x20;Is&#x20;Enabled','Correct&#x20;date&#x20;and&#x20;time&#x20;settings&#x20;are&#x20;required&#x20;for&#x20;authentication&#x20;protocols,&#x20;file&#x20;creation,&#x20;modification&#x20;dates&#x20;and&#x20;log&#x20;entries.','Kerberos&#x20;may&#x20;not&#x20;operate&#x20;correctly&#x20;if&#x20;the&#x20;time&#x20;on&#x20;the&#x20;Mac&#x20;is&#x20;off&#x20;by&#x20;more&#x20;than&#x20;5&#x20;minutes.&#x20;This&#x20;in&#x20;turn&#x20;can&#x20;affect&#x20;Apple&#039;s&#x20;single&#x20;sign-on&#x20;feature,&#x20;Active&#x20;Directory&#x20;logons,&#x20;and&#x20;other&#x20;features.','','Run&#x20;the&#x20;following&#x20;commands:&#x20;sudo&#x20;systemsetup&#x20;-setnetworktimeserver&#x20;&lt;timeserver&gt;&#x20;sudo&#x20;systemsetup&#x20;-setusingnetworktime&#x20;on.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;if&#x20;you&#x20;have&#x20;not&#x20;set,&#x20;or&#x20;need&#x20;to&#x20;set,&#x20;a&#x20;new&#x20;time&#x20;zone:&#x20;sudo&#x20;/usr/sbin/systemsetup&#x20;-listtimezones&#x20;sudo&#x20;/usr/sbin/systemsetup&#x20;-settimezone&#x20;&lt;selected&#x20;time&#x20;zone&gt;','[{\"cis\": [\"2.2.1\"]}, {\"cis_level\": [\"1\"]}]'),(29009,'Ensure&#x20;time&#x20;set&#x20;is&#x20;within&#x20;appropriate&#x20;limits.','Correct&#x20;date&#x20;and&#x20;time&#x20;settings&#x20;are&#x20;required&#x20;for&#x20;authentication&#x20;protocols,&#x20;file&#x20;creation,&#x20;modification&#x20;dates&#x20;and&#x20;log&#x20;entries.&#x20;Ensure&#x20;that&#x20;time&#x20;on&#x20;the&#x20;computer&#x20;is&#x20;within&#x20;acceptable&#x20;limits.&#x20;Truly&#x20;accurate&#x20;time&#x20;is&#x20;measured&#x20;within&#x20;milliseconds.&#x20;For&#x20;this&#x20;audit,&#x20;a&#x20;drift&#x20;under&#x20;four&#x20;and&#x20;a&#x20;half&#x20;minutes&#x20;passes&#x20;the&#x20;control&#x20;check.&#x20;Since&#x20;Kerberos&#x20;is&#x20;one&#x20;of&#x20;the&#x20;important&#x20;features&#x20;of&#x20;macOS&#x20;integration&#x20;into&#x20;Directory&#x20;systems&#x20;the&#x20;guidance&#x20;here&#x20;is&#x20;to&#x20;warn&#x20;you&#x20;before&#x20;there&#x20;could&#x20;be&#x20;an&#x20;impact&#x20;to&#x20;operations.&#x20;From&#x20;the&#x20;perspective&#x20;of&#x20;accurate&#x20;time,&#x20;this&#x20;check&#x20;is&#x20;not&#x20;strict,&#x20;so&#x20;it&#x20;may&#x20;be&#x20;too&#x20;great&#x20;for&#x20;your&#x20;organization.&#x20;Your&#x20;organization&#x20;can&#x20;adjust&#x20;to&#x20;a&#x20;smaller&#x20;offset&#x20;value&#x20;as&#x20;needed.&#x20;Note:&#x20;ntpdate&#x20;has&#x20;been&#x20;deprecated&#x20;with&#x20;10.14.&#x20;sntp&#x20;replaces&#x20;that&#x20;command.&#x20;NOTE:&#x20;set&#x20;the&#x20;correct&#x20;network&#x20;time&#x20;server&#x20;in&#x20;the&#x20;rules.','Kerberos&#x20;may&#x20;not&#x20;operate&#x20;correctly&#x20;if&#x20;the&#x20;time&#x20;on&#x20;the&#x20;Mac&#x20;is&#x20;off&#x20;by&#x20;more&#x20;than&#x20;5&#x20;minutes.&#x20;This&#x20;in&#x20;turn&#x20;can&#x20;affect&#x20;Apple&#039;s&#x20;single&#x20;sign-on&#x20;feature,&#x20;Active&#x20;Directory&#x20;logons,&#x20;and&#x20;other&#x20;features.&#x20;Audit&#x20;check&#x20;is&#x20;for&#x20;more&#x20;than&#x20;4&#x20;minutes&#x20;and&#x20;30&#x20;seconds&#x20;ahead&#x20;or&#x20;behind.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;ensure&#x20;your&#x20;time&#x20;is&#x20;set&#x20;within&#x20;an&#x20;appropriate&#x20;limit:&#x20;sudo&#x20;systemsetup&#x20;-getnetworktimeserver&#x20;-&gt;&#x20;Get&#x20;the&#x20;time&#x20;server&#x20;name&#x20;and&#x20;then&#x20;run:&#x20;sudo&#x20;touch&#x20;/var/db/ntp-kod&#x20;&amp;&amp;&#x20;sudo&#x20;chown&#x20;root:wheel&#x20;/var/db/ntp-kod&#x20;&amp;&amp;&#x20;sudo&#x20;sntp&#x20;-sS&#x20;&lt;YOUR-TIME-SERVER&gt;&#x20;','[{\"cis\": [\"2.2.2\"]}, {\"cis_level\": [\"1\"]}]'),(29010,'Ensure&#x20;an&#x20;Inactivity&#x20;Interval&#x20;of&#x20;20&#x20;Minutes&#x20;Or&#x20;Less&#x20;for&#x20;the&#x20;Screen&#x20;Saver&#x20;Is&#x20;Enabled.','A&#x20;locking&#x20;screensaver&#x20;is&#x20;one&#x20;of&#x20;the&#x20;standard&#x20;security&#x20;controls&#x20;to&#x20;limit&#x20;access&#x20;to&#x20;a&#x20;computer&#x20;and&#x20;the&#x20;current&#x20;user&#039;s&#x20;session&#x20;when&#x20;the&#x20;computer&#x20;is&#x20;temporarily&#x20;unused&#x20;or&#x20;unattended.&#x20;In&#x20;macOS&#x20;the&#x20;screensaver&#x20;starts&#x20;after&#x20;a&#x20;value&#x20;selected&#x20;in&#x20;a&#x20;drop&#x20;down&#x20;menu,&#x20;10&#x20;minutes&#x20;and&#x20;20&#x20;minutes&#x20;are&#x20;both&#x20;options&#x20;and&#x20;either&#x20;is&#x20;acceptable.&#x20;Any&#x20;value&#x20;can&#x20;be&#x20;selected&#x20;through&#x20;the&#x20;command&#x20;line&#x20;or&#x20;script&#x20;but&#x20;a&#x20;number&#x20;that&#x20;is&#x20;not&#x20;reflected&#x20;in&#x20;the&#x20;GUI&#x20;can&#x20;be&#x20;problematic.&#x20;20&#x20;minutes&#x20;is&#x20;the&#x20;default&#x20;for&#x20;new&#x20;accounts.','Setting&#x20;an&#x20;inactivity&#x20;interval&#x20;for&#x20;the&#x20;screensaver&#x20;prevents&#x20;unauthorized&#x20;persons&#x20;from&#x20;viewing&#x20;a&#x20;system&#x20;left&#x20;unattended&#x20;for&#x20;an&#x20;extensive&#x20;period&#x20;of&#x20;time.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;verify&#x20;that&#x20;the&#x20;idle&#x20;time&#x20;of&#x20;the&#x20;screen&#x20;saver&#x20;to&#x20;20&#x20;minutes&#x20;or&#x20;less&#x20;&#40;&le;1200&#41;:&#x20;&#x20;$&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;/usr/bin/defaults&#x20;-currentHost&#x20;write&#x20;com.apple.screensaver&#x20;idleTime&#x20;-int&#x20;&lt;value&#x20;&le;1200&gt;.&#x20;If&#x20;there&#x20;are&#x20;multiple&#x20;users&#x20;out&#x20;of&#x20;compliance&#x20;with&#x20;the&#x20;prescribed&#x20;setting,&#x20;run&#x20;this&#x20;command&#x20;for&#x20;each&#x20;user&#x20;to&#x20;set&#x20;their&#x20;idle&#x20;time:&#x20;&#x20;$&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;/usr/bin/defaults&#x20;-currentHost&#x20;write&#x20;com.apple.screensaver&#x20;idleTime&#x20;-int&#x20;&lt;value&#x20;&le;1200&gt;.&#x20;Note:&#x20;Issues&#x20;arise&#x20;if&#x20;the&#x20;command&#x20;line&#x20;is&#x20;used&#x20;to&#x20;make&#x20;the&#x20;setting&#x20;something&#x20;other&#x20;than&#x20;what&#x20;is&#x20;available&#x20;in&#x20;the&#x20;GUI&#x20;Menu.&#x20;Choose&#x20;either&#x20;1&#x20;&#40;60&#41;,&#x20;2&#x20;&#40;120&#41;,&#x20;5&#x20;&#40;300&#41;,&#x20;10&#x20;&#40;600&#41;,&#x20;or&#x20;20&#x20;&#40;120&#41;&#x20;minutes&#x20;to&#x20;avoid&#x20;any&#x20;issues.&#x20;Profile&#x20;Method:&#x20;1.&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;PayLoadType&#x20;of&#x20;com.apple.screensaver.user&#x20;2.&#x20;Add&#x20;the&#x20;key&#x20;idleTime&#x20;3.&#x20;Set&#x20;the&#x20;key&#x20;to&#x20;&lt;integer&gt;&lt;&le;1200&gt;&lt;/integer&gt;&#x20;','[{\"cis\": [\"2.3.1\"]}, {\"cis_level\": [\"1\"]}]'),(29011,'Ensure&#x20;Screen&#x20;Saver&#x20;Corners&#x20;Are&#x20;Secure.','Hot&#x20;Corners&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;disable&#x20;the&#x20;screen&#x20;saver&#x20;by&#x20;moving&#x20;the&#x20;mouse&#x20;cursor&#x20;to&#x20;a&#x20;corner&#x20;of&#x20;the&#x20;screen.','Setting&#x20;a&#x20;hot&#x20;corner&#x20;to&#x20;disable&#x20;the&#x20;screen&#x20;saver&#x20;poses&#x20;a&#x20;potential&#x20;security&#x20;risk&#x20;since&#x20;an&#x20;unauthorized&#x20;person&#x20;could&#x20;use&#x20;this&#x20;to&#x20;bypass&#x20;the&#x20;login&#x20;screen&#x20;and&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;turn&#x20;off&#x20;Disable&#x20;Screen&#x20;Saver&#x20;for&#x20;a&#x20;Hot&#x20;Corner:&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;defaults&#x20;write&#x20;com.apple.dock&#x20;&lt;corner&#x20;that&#x20;is&#x20;set&#x20;to&#x20;&#039;6&#039;&gt;&#x20;-int&#x20;0&#x20;','[{\"cis\": [\"2.3.2\"]}, {\"cis_level\": [\"2\"]}]'),(29012,'Ensure&#x20;Remote&#x20;Apple&#x20;Events&#x20;Is&#x20;Disabled.','Apple&#x20;Events&#x20;is&#x20;a&#x20;technology&#x20;that&#x20;allows&#x20;one&#x20;program&#x20;to&#x20;communicate&#x20;with&#x20;other&#x20;programs.&#x20;Remote&#x20;Apple&#x20;Events&#x20;allows&#x20;a&#x20;program&#x20;on&#x20;one&#x20;computer&#x20;to&#x20;communicate&#x20;with&#x20;a&#x20;program&#x20;on&#x20;a&#x20;different&#x20;computer.','Disabling&#x20;Remote&#x20;Apple&#x20;Events&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;unauthorized&#x20;program&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;systemsetup&#x20;-setremoteappleevents&#x20;off','[{\"cis\": [\"2.4.1\"]}, {\"cis_level\": [\"1\"]}]'),(29013,'Ensure&#x20;Internet&#x20;Sharing&#x20;Is&#x20;Disabled','Internet&#x20;Sharing&#x20;uses&#x20;the&#x20;open&#x20;source&#x20;natd&#x20;process&#x20;to&#x20;share&#x20;an&#x20;internet&#x20;connection&#x20;with&#x20;other&#x20;computers&#x20;and&#x20;devices&#x20;on&#x20;a&#x20;local&#x20;network.&#x20;This&#x20;allows&#x20;the&#x20;Mac&#x20;to&#x20;function&#x20;as&#x20;a&#x20;router&#x20;and&#x20;share&#x20;the&#x20;connection&#x20;to&#x20;other,&#x20;possibly&#x20;unauthorized,&#x20;devices.','Disabling&#x20;Internet&#x20;Sharing&#x20;reduces&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;turn&#x20;off&#x20;Internet&#x20;Sharing:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/SystemConfiguration/com.apple.nat&#x20;NAT&#x20;-dict&#x20;Enabled&#x20;-int&#x20;0','[{\"cis\": [\"2.4.2\"]}, {\"cis_level\": [\"1\"]}]'),(29014,'Ensure&#x20;Screen&#x20;Sharing&#x20;Is&#x20;Disabled.','Screen&#x20;Sharing&#x20;allows&#x20;a&#x20;computer&#x20;to&#x20;connect&#x20;to&#x20;another&#x20;computer&#x20;on&#x20;a&#x20;network&#x20;and&#x20;display&#x20;the&#x20;computer&rsquo;s&#x20;screen.&#x20;While&#x20;sharing&#x20;the&#x20;computer&rsquo;s&#x20;screen,&#x20;the&#x20;user&#x20;can&#x20;control&#x20;what&#x20;happens&#x20;on&#x20;that&#x20;computer,&#x20;such&#x20;as&#x20;opening&#x20;documents&#x20;or&#x20;applications,&#x20;opening,&#x20;moving,&#x20;or&#x20;closing&#x20;windows,&#x20;and&#x20;even&#x20;shutting&#x20;down&#x20;the&#x20;computer.','Disabling&#x20;Screen&#x20;Sharing&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;remote&#x20;connections&#x20;being&#x20;made&#x20;without&#x20;the&#x20;user&#x20;of&#x20;the&#x20;console&#x20;knowing&#x20;that&#x20;they&#x20;are&#x20;sharing&#x20;the&#x20;computer.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;turn&#x20;off&#x20;Screen&#x20;Sharing:&#x20;sudo&#x20;launchctl&#x20;disable&#x20;system/com.apple.screensharing','[{\"cis\": [\"2.4.3\"]}, {\"cis_level\": [\"1\"]}]'),(29015,'Ensure&#x20;Printer&#x20;Sharing&#x20;Is&#x20;Disabled.','By&#x20;enabling&#x20;Printer&#x20;Sharing&#x20;the&#x20;computer&#x20;is&#x20;set&#x20;up&#x20;as&#x20;a&#x20;print&#x20;server&#x20;to&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;computers.&#x20;Dedicated&#x20;print&#x20;servers&#x20;or&#x20;direct&#x20;IP&#x20;printing&#x20;should&#x20;be&#x20;used&#x20;instead.','Disabling&#x20;Printer&#x20;Sharing&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;attackers&#x20;attempting&#x20;to&#x20;exploit&#x20;the&#x20;print&#x20;server&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;cupsctl&#x20;--no-share-printers','[{\"cis\": [\"2.4.4\"]}, {\"cis_level\": [\"1\"]}]'),(29016,'Ensure&#x20;Remote&#x20;Login&#x20;Is&#x20;Disabled.','Remote&#x20;Login&#x20;allows&#x20;an&#x20;interactive&#x20;terminal&#x20;connection&#x20;to&#x20;a&#x20;computer.','Disabling&#x20;Remote&#x20;Login&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;unauthorized&#x20;person&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;system&#x20;via&#x20;Secure&#x20;Shell&#x20;&#40;SSH&#41;.&#x20;While&#x20;SSH&#x20;is&#x20;an&#x20;industry&#x20;standard&#x20;to&#x20;connect&#x20;to&#x20;posix&#x20;servers,&#x20;the&#x20;scope&#x20;of&#x20;the&#x20;benchmark&#x20;is&#x20;for&#x20;Apple&#x20;macOS&#x20;clients,&#x20;not&#x20;servers.&#x20;macOS&#x20;does&#x20;have&#x20;an&#x20;IP&#x20;based&#x20;firewall&#x20;available&#x20;&#40;pf,&#x20;ipfw&#x20;has&#x20;been&#x20;deprecated&#41;&#x20;that&#x20;is&#x20;not&#x20;enabled&#x20;or&#x20;configured.&#x20;There&#x20;are&#x20;more&#x20;details&#x20;and&#x20;links&#x20;in&#x20;section&#x20;7.5.&#x20;macOS&#x20;no&#x20;longer&#x20;has&#x20;TCP&#x20;Wrappers&#x20;support&#x20;built-in&#x20;and&#x20;does&#x20;not&#x20;have&#x20;strong&#x20;Brute-Force&#x20;password&#x20;guessing&#x20;mitigations,&#x20;or&#x20;frequent&#x20;patching&#x20;of&#x20;openssh&#x20;by&#x20;Apple.&#x20;Most&#x20;macOS&#x20;computers&#x20;are&#x20;mobile&#x20;workstations,&#x20;managing&#x20;IP&#x20;based&#x20;firewall&#x20;rules&#x20;on&#x20;mobile&#x20;devices&#x20;can&#x20;be&#x20;very&#x20;resource&#x20;intensive.&#x20;All&#x20;of&#x20;these&#x20;factors&#x20;can&#x20;be&#x20;parts&#x20;of&#x20;running&#x20;a&#x20;hardened&#x20;SSH&#x20;server.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;systemsetup&#x20;-setremotelogin&#x20;off','[{\"cis\": [\"2.4.5\"]}, {\"cis_level\": [\"1\"]}]'),(29017,'Ensure&#x20;DVD&#x20;or&#x20;CD&#x20;Sharing&#x20;Is&#x20;Disabled.','DVD&#x20;or&#x20;CD&#x20;Sharing&#x20;allows&#x20;users&#x20;to&#x20;remotely&#x20;access&#x20;the&#x20;system&#039;s&#x20;optical&#x20;drive.&#x20;While&#x20;Apple&#x20;does&#x20;not&#x20;ship&#x20;Macs&#x20;with&#x20;built-in&#x20;optical&#x20;drives&#x20;any&#x20;longer,&#x20;external&#x20;optical&#x20;drives&#x20;are&#x20;still&#x20;recognized&#x20;when&#x20;they&#x20;are&#x20;connected.&#x20;In&#x20;testing&#x20;the&#x20;sharing&#x20;of&#x20;an&#x20;external&#x20;optical&#x20;drive&#x20;persists&#x20;when&#x20;a&#x20;drive&#x20;is&#x20;reconnected.','Disabling&#x20;DVD&#x20;or&#x20;CD&#x20;Sharing&#x20;minimizes&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;using&#x20;the&#x20;optical&#x20;drive&#x20;as&#x20;a&#x20;vector&#x20;for&#x20;attack&#x20;and&#x20;exposure&#x20;of&#x20;sensitive&#x20;data.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;DVD&#x20;or&#x20;CD&#x20;sharing:&#x20;sudo&#x20;launchctl&#x20;disable&#x20;system/com.apple.ODSAgent&#x20;','[{\"cis\": [\"2.4.6\"]}, {\"cis_level\": [\"1\"]}]'),(29018,'Ensure&#x20;Bluetooth&#x20;Sharing&#x20;Is&#x20;Disabled.','Bluetooth&#x20;Sharing&#x20;allows&#x20;files&#x20;to&#x20;be&#x20;exchanged&#x20;with&#x20;Bluetooth&#x20;enabled&#x20;devices.','Disabling&#x20;Bluetooth&#x20;Sharing&#x20;minimizes&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;using&#x20;Bluetooth&#x20;to&#x20;remotely&#x20;attack&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Bluetooth&#x20;Sharing&#x20;is&#x20;disabled:&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;/usr/bin/defaults&#x20;-currentHost&#x20;write&#x20;com.apple.Bluetooth&#x20;PrefKeyServicesEnabled&#x20;-bool&#x20;false','[{\"cis\": [\"2.4.7\"]}, {\"cis_level\": [\"1\"]}]'),(29019,'Ensure&#x20;File&#x20;Sharing&#x20;Is&#x20;Disabled.','Server&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;,&#x20;Common&#x20;Internet&#x20;File&#x20;System&#x20;&#40;CIFS&#41;&#x20;When&#x20;Windows&#x20;&#40;or&#x20;possibly&#x20;Linux&#41;&#x20;computers&#x20;need&#x20;to&#x20;access&#x20;file&#x20;shared&#x20;on&#x20;a&#x20;Mac,&#x20;SMB/CIFS&#x20;file&#x20;sharing&#x20;is&#x20;commonly&#x20;used.&#x20;Apple&#x20;warns&#x20;that&#x20;SMB&#x20;sharing&#x20;stores&#x20;passwords&#x20;is&#x20;a&#x20;less&#x20;secure&#x20;fashion&#x20;than&#x20;AFP&#x20;sharing&#x20;and&#x20;anyone&#x20;with&#x20;system&#x20;access&#x20;can&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;password&#x20;for&#x20;that&#x20;account.&#x20;When&#x20;sharing&#x20;with&#x20;SMB,&#x20;each&#x20;user&#x20;that&#x20;will&#x20;access&#x20;the&#x20;Mac&#x20;must&#x20;have&#x20;SMB&#x20;enabled.','By&#x20;disabling&#x20;file&#x20;sharing,&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;and&#x20;risk&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;files&#x20;stored&#x20;on&#x20;the&#x20;system&#x20;is&#x20;reduced.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;SMB&#x20;file&#x20;sharing:&#x20;sudo&#x20;launchctl&#x20;disable&#x20;system/com.apple.smbd&#x20;','[{\"cis\": [\"2.4.8\"]}, {\"cis_level\": [\"1\"]}]'),(29020,'Ensure&#x20;Remote&#x20;Management&#x20;Is&#x20;Disabled.','Remote&#x20;Management&#x20;is&#x20;the&#x20;client&#x20;portion&#x20;of&#x20;Apple&#x20;Remote&#x20;Desktop&#x20;&#40;ARD&#41;.&#x20;Remote&#x20;Management&#x20;can&#x20;be&#x20;used&#x20;by&#x20;remote&#x20;administrators&#x20;to&#x20;view&#x20;the&#x20;current&#x20;screen,&#x20;install&#x20;software,&#x20;report&#x20;on,&#x20;and&#x20;generally&#x20;manage&#x20;client&#x20;Macs.&#x20;The&#x20;screen&#x20;sharing&#x20;options&#x20;in&#x20;Remote&#x20;Management&#x20;are&#x20;identical&#x20;to&#x20;those&#x20;in&#x20;the&#x20;Screen&#x20;Sharing&#x20;section.&#x20;In&#x20;fact,&#x20;only&#x20;one&#x20;of&#x20;the&#x20;two&#x20;can&#x20;be&#x20;configured.&#x20;If&#x20;Remote&#x20;Management&#x20;is&#x20;used,&#x20;refer&#x20;to&#x20;the&#x20;Screen&#x20;Sharing&#x20;section&#x20;above&#x20;on&#x20;issues&#x20;regard&#x20;screen&#x20;sharing.&#x20;Remote&#x20;Management&#x20;should&#x20;only&#x20;be&#x20;enabled&#x20;when&#x20;a&#x20;Directory&#x20;is&#x20;in&#x20;place&#x20;to&#x20;manage&#x20;the&#x20;accounts&#x20;with&#x20;access.&#x20;Computers&#x20;will&#x20;be&#x20;available&#x20;on&#x20;port&#x20;5900&#x20;on&#x20;a&#x20;macOS&#x20;System&#x20;and&#x20;could&#x20;accept&#x20;connections&#x20;from&#x20;untrusted&#x20;hosts&#x20;depending&#x20;on&#x20;the&#x20;configuration,&#x20;definitely&#x20;a&#x20;concern&#x20;for&#x20;mobile&#x20;systems.','Remote&#x20;Management&#x20;should&#x20;only&#x20;be&#x20;enabled&#x20;on&#x20;trusted&#x20;networks&#x20;with&#x20;strong&#x20;user&#x20;controls&#x20;present&#x20;in&#x20;a&#x20;Directory&#x20;system.&#x20;Mobile&#x20;devices&#x20;without&#x20;strict&#x20;controls&#x20;are&#x20;vulnerable&#x20;to&#x20;exploit&#x20;and&#x20;monitoring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Remote&#x20;Management:&#x20;sudo&#x20;/System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart&#x20;-deactivate&#x20;-stop','[{\"cis\": [\"2.4.9\"]}, {\"cis_level\": [\"1\"]}]'),(29021,'Ensure&#x20;Content&#x20;Caching&#x20;Is&#x20;Disabled.','Starting&#x20;with&#x20;10.13&#x20;&#40;macOS&#x20;High&#x20;Sierra&#41;&#x20;Apple&#x20;introduced&#x20;a&#x20;service&#x20;to&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;deploy&#x20;data&#x20;from&#x20;Apple,&#x20;including&#x20;software&#x20;updates,&#x20;where&#x20;there&#x20;are&#x20;bandwidth&#x20;constraints&#x20;to&#x20;the&#x20;Internet&#x20;and&#x20;fewer&#x20;constraints&#x20;and&#x20;greater&#x20;bandwidth&#x20;on&#x20;the&#x20;local&#x20;subnet.&#x20;This&#x20;capability&#x20;can&#x20;be&#x20;very&#x20;valuable&#x20;for&#x20;organizations&#x20;that&#x20;have&#x20;throttled&#x20;and&#x20;possibly&#x20;metered&#x20;Internet&#x20;connections.&#x20;In&#x20;heterogeneous&#x20;enterprise&#x20;networks&#x20;with&#x20;multiple&#x20;subnets&#x20;the&#x20;effectiveness&#x20;of&#x20;this&#x20;capability&#x20;would&#x20;be&#x20;determined&#x20;on&#x20;how&#x20;many&#x20;Macs&#x20;were&#x20;on&#x20;each&#x20;subnet&#x20;at&#x20;the&#x20;time&#x20;new&#x20;large&#x20;updates&#x20;were&#x20;made&#x20;available&#x20;upstream.&#x20;This&#x20;capability&#x20;requires&#x20;the&#x20;use&#x20;of&#x20;mac&#x20;OS&#x20;clients&#x20;as&#x20;P2P&#x20;nodes&#x20;for&#x20;updated&#x20;Apple&#x20;content.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;business&#x20;requirement&#x20;to&#x20;manage&#x20;operational&#x20;Internet&#x20;connectivity&#x20;bandwidth&#x20;user&#x20;endpoints&#x20;should&#x20;not&#x20;store&#x20;content&#x20;and&#x20;act&#x20;as&#x20;a&#x20;cluster&#x20;to&#x20;provision&#x20;data.','The&#x20;main&#x20;use&#x20;case&#x20;for&#x20;Mac&#x20;computers&#x20;is&#x20;as&#x20;mobile&#x20;user&#x20;endpoints.&#x20;P2P&#x20;sharing&#x20;services&#x20;should&#x20;not&#x20;be&#x20;enabled&#x20;on&#x20;laptops&#x20;that&#x20;are&#x20;using&#x20;untrusted&#x20;networks.&#x20;Content&#x20;Caching&#x20;can&#x20;allow&#x20;a&#x20;computer&#x20;to&#x20;be&#x20;a&#x20;server&#x20;for&#x20;local&#x20;nodes&#x20;on&#x20;an&#x20;untrusted&#x20;network.&#x20;While&#x20;there&#x20;are&#x20;certainly&#x20;logical&#x20;controls&#x20;that&#x20;could&#x20;be&#x20;used&#x20;to&#x20;mitigate&#x20;risk&#x20;they&#x20;add&#x20;to&#x20;the&#x20;management&#x20;complexity,&#x20;since&#x20;the&#x20;value&#x20;of&#x20;the&#x20;service&#x20;is&#x20;in&#x20;specific&#x20;use&#x20;cases&#x20;organizations&#x20;with&#x20;the&#x20;use&#x20;case&#x20;described&#x20;above&#x20;can&#x20;accept&#x20;risk&#x20;as&#x20;necessary.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Content&#x20;Caching::&#x20;sudo&#x20;AssetCacheManagerUtil&#x20;deactivate','[{\"cis\": [\"2.4.10\"]}, {\"cis_level\": [\"2\"]}]'),(29022,'Ensure&#x20;AirDrop&#x20;Is&#x20;Disabled.','AirDrop&#x20;is&#x20;Apple&#039;s&#x20;built-in&#x20;on&#x20;demand&#x20;ad&#x20;hoc&#x20;file&#x20;exchange&#x20;system&#x20;that&#x20;is&#x20;compatible&#x20;with&#x20;both&#x20;macOS&#x20;and&#x20;iOS.&#x20;It&#x20;uses&#x20;Bluetooth&#x20;LE&#x20;for&#x20;discovery&#x20;that&#x20;limits&#x20;connectivity&#x20;to&#x20;Mac&#x20;or&#x20;iOS&#x20;users&#x20;that&#x20;are&#x20;in&#x20;close&#x20;proximity.&#x20;Depending&#x20;on&#x20;the&#x20;setting&#x20;it&#x20;allows&#x20;everyone&#x20;or&#x20;only&#x20;Contacts&#x20;to&#x20;share&#x20;files&#x20;when&#x20;they&#x20;are&#x20;nearby&#x20;to&#x20;each&#x20;other.&#x20;In&#x20;many&#x20;ways&#x20;this&#x20;technology&#x20;is&#x20;far&#x20;superior&#x20;to&#x20;the&#x20;alternatives.&#x20;The&#x20;file&#x20;transfer&#x20;is&#x20;done&#x20;over&#x20;a&#x20;TLS&#x20;encrypted&#x20;session,&#x20;does&#x20;not&#x20;require&#x20;any&#x20;open&#x20;ports&#x20;that&#x20;are&#x20;required&#x20;for&#x20;file&#x20;sharing,&#x20;does&#x20;not&#x20;leave&#x20;file&#x20;copies&#x20;on&#x20;email&#x20;servers&#x20;or&#x20;within&#x20;cloud&#x20;storage,&#x20;and&#x20;allows&#x20;for&#x20;the&#x20;service&#x20;to&#x20;be&#x20;mitigated&#x20;so&#x20;that&#x20;only&#x20;people&#x20;already&#x20;trusted&#x20;and&#x20;added&#x20;to&#x20;contacts&#x20;can&#x20;interact&#x20;with&#x20;you.&#x20;While&#x20;there&#x20;are&#x20;positives&#x20;to&#x20;AirDrop,&#x20;there&#x20;are&#x20;privacy&#x20;concerns&#x20;that&#x20;could&#x20;expose&#x20;personal&#x20;information.&#x20;For&#x20;that&#x20;reason,&#x20;AirDrop&#x20;should&#x20;be&#x20;disabled,&#x20;and&#x20;should&#x20;only&#x20;be&#x20;enabled&#x20;when&#x20;needed&#x20;and&#x20;disabled&#x20;afterwards.','AirDrop&#x20;can&#x20;allow&#x20;malicious&#x20;files&#x20;to&#x20;be&#x20;downloaded&#x20;from&#x20;unknown&#x20;sources.&#x20;Contacts&#x20;Only&#x20;limits&#x20;may&#x20;expose&#x20;personal&#x20;information&#x20;to&#x20;devices&#x20;in&#x20;the&#x20;same&#x20;area.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;AirDrop:&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;defaults&#x20;write&#x20;com.apple.NetworkBrowser&#x20;DisableAirDrop&#x20;-bool&#x20;true','[{\"cis\": [\"2.4.11\"]}, {\"cis_level\": [\"1\"]}]'),(29023,'Ensure&#x20;Media&#x20;Sharing&#x20;Is&#x20;Disabled.','Starting&#x20;with&#x20;macOS&#x20;10.15&#x20;Apple&#x20;has&#x20;provided&#x20;a&#x20;control&#x20;to&#x20;allow&#x20;a&#x20;user&#x20;to&#x20;share&#x20;Apple&#x20;downloaded&#x20;content&#x20;on&#x20;all&#x20;Apple&#x20;devices&#x20;that&#x20;are&#x20;signed&#x20;in&#x20;with&#x20;the&#x20;same&#x20;Apple&#x20;ID.&#x20;This&#x20;allows&#x20;a&#x20;user&#x20;to&#x20;share&#x20;downloaded&#x20;Movies,&#x20;Music&#x20;or&#x20;TV&#x20;shows&#x20;with&#x20;other&#x20;controlled&#x20;macOS,&#x20;iOS&#x20;and&#x20;iPadOS&#x20;devices&#x20;as&#x20;well&#x20;as&#x20;photos&#x20;with&#x20;Apple&#x20;TVs.&#x20;With&#x20;this&#x20;capability&#x20;guest&#x20;users&#x20;can&#x20;also&#x20;use&#x20;media&#x20;downloaded&#x20;on&#x20;the&#x20;computer.&#x20;The&#x20;recommended&#x20;best&#x20;practice&#x20;is&#x20;not&#x20;to&#x20;use&#x20;the&#x20;computer&#x20;as&#x20;a&#x20;server&#x20;but&#x20;to&#x20;utilize&#x20;Apple&#039;s&#x20;cloud&#x20;storage&#x20;to&#x20;download&#x20;and&#x20;use&#x20;content&#x20;stored&#x20;there&#x20;if&#x20;content&#x20;stored&#x20;with&#x20;Apple&#x20;is&#x20;used&#x20;on&#x20;multiple&#x20;devices.','Disabling&#x20;Media&#x20;Sharing&#x20;reduces&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Media&#x20;Sharing:&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;defaults&#x20;write&#x20;com.apple.amp.mediasharingd&#x20;home-sharing-enabled&#x20;-int&#x20;0','[{\"cis\": [\"2.4.12\"]}, {\"cis_level\": [\"2\"]}]'),(29024,'Ensure&#x20;FileVault&#x20;Is&#x20;Enabled.','FileVault&#x20;secures&#x20;a&#x20;system&#039;s&#x20;data&#x20;by&#x20;automatically&#x20;encrypting&#x20;its&#x20;boot&#x20;volume&#x20;and&#x20;requiring&#x20;a&#x20;password&#x20;or&#x20;recovery&#x20;key&#x20;to&#x20;access&#x20;it.&#x20;FileVault&#x20;may&#x20;also&#x20;be&#x20;enabled&#x20;using&#x20;command&#x20;line&#x20;using&#x20;the&#x20;fdesetup&#x20;command.&#x20;To&#x20;use&#x20;this&#x20;functionality,&#x20;consult&#x20;the&#x20;Der&#x20;Flounder&#x20;blog&#x20;for&#x20;more&#x20;details&#x20;&#40;see&#x20;references&#41;.','Encrypting&#x20;sensitive&#x20;data&#x20;minimizes&#x20;the&#x20;likelihood&#x20;of&#x20;unauthorized&#x20;users&#x20;gaining&#x20;access&#x20;to&#x20;it.','','Perform&#x20;the&#x20;following&#x20;to&#x20;enable&#x20;FileVault:&#x20;1.&#x20;Open&#x20;System&#x20;Preferences&#x20;2.&#x20;Select&#x20;Security&#x20;&amp;&#x20;Privacy&#x20;3.&#x20;Select&#x20;FileVault&#x20;4.&#x20;Select&#x20;Turn&#x20;on&#x20;FileVault','[{\"cis\": [\"2.5.1.1\"]}, {\"cis_level\": [\"1\"]}]'),(29025,'Ensure&#x20;Gatekeeper&#x20;is&#x20;Enabled.','Gatekeeper&#x20;is&#x20;Apple&#039;s&#x20;application&#x20;allowlisting&#x20;control&#x20;that&#x20;restricts&#x20;downloaded&#x20;applications&#x20;from&#x20;launching.&#x20;It&#x20;functions&#x20;as&#x20;a&#x20;control&#x20;to&#x20;limit&#x20;applications&#x20;from&#x20;unverified&#x20;sources&#x20;from&#x20;running&#x20;without&#x20;authorization.','Disallowing&#x20;unsigned&#x20;software&#x20;will&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;unauthorized&#x20;or&#x20;malicious&#x20;applications&#x20;from&#x20;running&#x20;on&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;Gatekeeper&#x20;to&#x20;allow&#x20;applications&#x20;from&#x20;App&#x20;Store&#x20;and&#x20;identified&#x20;developers:&#x20;sudo&#x20;/usr/sbin/spctl&#x20;--master-enable','[{\"cis\": [\"2.5.2.1\"]}, {\"cis_level\": [\"1\"]}]'),(29026,'Ensure&#x20;Firewall&#x20;Is&#x20;Enabled.','A&#x20;firewall&#x20;is&#x20;a&#x20;piece&#x20;of&#x20;software&#x20;that&#x20;blocks&#x20;unwanted&#x20;incoming&#x20;connections&#x20;to&#x20;a&#x20;system.&#x20;Apple&#x20;has&#x20;posted&#x20;general&#x20;documentation&#x20;about&#x20;the&#x20;application&#x20;firewall.','A&#x20;firewall&#x20;minimizes&#x20;the&#x20;threat&#x20;of&#x20;unauthorized&#x20;users&#x20;from&#x20;gaining&#x20;access&#x20;to&#x20;your&#x20;system&#x20;while&#x20;connected&#x20;to&#x20;a&#x20;network&#x20;or&#x20;the&#x20;Internet.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;firewall:&#x20;sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.alf&#x20;globalstate&#x20;-int&#x20;&lt;value&gt;&#x20;For&#x20;the&#x20;&lt;value&gt;,&#x20;use&#x20;either&#x20;1,&#x20;specific&#x20;services,&#x20;or&#x20;2,&#x20;essential&#x20;services&#x20;only.','[{\"cis\": [\"2.5.2.2\"]}, {\"cis_level\": [\"1\"]}]'),(29027,'Ensure&#x20;Firewall&#x20;Stealth&#x20;Mode&#x20;Is&#x20;Enabled.','While&#x20;in&#x20;Stealth&#x20;mode&#x20;the&#x20;computer&#x20;will&#x20;not&#x20;respond&#x20;to&#x20;unsolicited&#x20;probes,&#x20;dropping&#x20;that&#x20;traffic.','Stealth&#x20;mode&#x20;on&#x20;the&#x20;firewall&#x20;minimizes&#x20;the&#x20;threat&#x20;of&#x20;system&#x20;discovery&#x20;tools&#x20;while&#x20;connected&#x20;to&#x20;a&#x20;network&#x20;or&#x20;the&#x20;Internet.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;stealth&#x20;mode:&#x20;sudo&#x20;/usr/libexec/ApplicationFirewall/socketfilterfw&#x20;--setstealthmode&#x20;on','[{\"cis\": [\"2.5.2.3\"]}, {\"cis_level\": [\"1\"]}]'),(29028,'Ensure&#x20;Location&#x20;Services&#x20;Is&#x20;Enabled.','macOS&#x20;uses&#x20;location&#x20;information&#x20;gathered&#x20;through&#x20;local&#x20;Wi-Fi&#x20;networks&#x20;to&#x20;enable&#x20;applications&#x20;to&#x20;supply&#x20;relevant&#x20;information&#x20;to&#x20;users.&#x20;With&#x20;the&#x20;operating&#x20;system&#x20;verifying&#x20;the&#x20;location,&#x20;users&#x20;do&#x20;not&#x20;need&#x20;to&#x20;change&#x20;the&#x20;time&#x20;or&#x20;the&#x20;time&#x20;zone.&#x20;The&#x20;computer&#x20;will&#x20;change&#x20;them&#x20;based&#x20;on&#x20;the&#x20;user&#039;s&#x20;location.&#x20;They&#x20;do&#x20;not&#x20;need&#x20;to&#x20;specify&#x20;their&#x20;location&#x20;for&#x20;weather&#x20;or&#x20;travel&#x20;times&#x20;and&#x20;even&#x20;get&#x20;alerts&#x20;on&#x20;travel&#x20;times&#x20;to&#x20;meetings&#x20;and&#x20;appointment&#x20;where&#x20;location&#x20;information&#x20;is&#x20;supplied.&#x20;Location&#x20;Services&#x20;simplify&#x20;some&#x20;processes,&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;asset&#x20;management&#x20;and&#x20;time&#x20;and&#x20;log&#x20;management,&#x20;with&#x20;mobile&#x20;computers.&#x20;There&#x20;are&#x20;some&#x20;use&#x20;cases&#x20;where&#x20;it&#x20;is&#x20;important&#x20;that&#x20;the&#x20;computer&#x20;not&#x20;be&#x20;able&#x20;to&#x20;report&#x20;its&#x20;exact&#x20;location.&#x20;While&#x20;the&#x20;general&#x20;use&#x20;case&#x20;is&#x20;to&#x20;enable&#x20;Location&#x20;Services,&#x20;it&#x20;should&#x20;not&#x20;be&#x20;allowed&#x20;if&#x20;the&#x20;physical&#x20;location&#x20;of&#x20;the&#x20;computer&#x20;and&#x20;the&#x20;user&#x20;should&#x20;not&#x20;be&#x20;public&#x20;knowledge.','Location&#x20;Services&#x20;are&#x20;helpful&#x20;in&#x20;most&#x20;use&#x20;cases&#x20;and&#x20;can&#x20;simplify&#x20;log&#x20;and&#x20;time&#x20;management&#x20;where&#x20;computers&#x20;change&#x20;time&#x20;zones.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;Location&#x20;Services:&#x20;sudo&#x20;launchctl&#x20;load&#x20;-w&#x20;/System/Library/LaunchDaemons/com.apple.locationd.plist','[{\"cis\": [\"2.5.3\"]}, {\"cis_level\": [\"2\"]}]'),(29029,'Ensure&#x20;Sending&#x20;Diagnostic&#x20;and&#x20;Usage&#x20;Data&#x20;to&#x20;Apple&#x20;Is&#x20;Disabled.','Apple&#x20;provides&#x20;a&#x20;mechanism&#x20;to&#x20;send&#x20;diagnostic&#x20;and&#x20;analytics&#x20;data&#x20;back&#x20;to&#x20;Apple&#x20;to&#x20;help&#x20;them&#x20;improve&#x20;the&#x20;platform.&#x20;Information&#x20;sent&#x20;to&#x20;Apple&#x20;may&#x20;contain&#x20;internal&#x20;organizational&#x20;information&#x20;that&#x20;should&#x20;be&#x20;controlled&#x20;and&#x20;not&#x20;available&#x20;for&#x20;processing&#x20;by&#x20;Apple.&#x20;Turn&#x20;off&#x20;all&#x20;Analytics&#x20;and&#x20;Improvements&#x20;sharing.&#x20;Share&#x20;Mac&#x20;Analytics&#x20;&#40;Share&#x20;with&#x20;App&#x20;Developers&#x20;dependent&#x20;on&#x20;Mac&#x20;Analytic&#x20;sharing&#41;&#x20;-&#x20;Includes&#x20;diagnostics,&#x20;usage&#x20;and&#x20;location&#x20;data.&#x20;Share&#x20;iCloud&#x20;Analytics&#x20;-&#x20;Includes&#x20;iCloud&#x20;data&#x20;and&#x20;usage&#x20;information.','Organizations&#x20;should&#x20;have&#x20;knowledge&#x20;of&#x20;what&#x20;is&#x20;shared&#x20;with&#x20;the&#x20;vendor&#x20;and&#x20;the&#x20;setting&#x20;automatically&#x20;forwards&#x20;information&#x20;to&#x20;Apple.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;diagnostic&#x20;data&#x20;being&#x20;sent&#x20;to&#x20;Apple:&#x20;sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Application&#x20;Support/CrashReporter/DiagnosticMessagesHistory.plist&#x20;AutoSubmit&#x20;-bool&#x20;false,&#x20;sudo&#x20;/bin/chmod&#x20;644&#x20;/Library/Application&#x20;Support/CrashReporter/DiagnosticMessagesHistory.plist,&#x20;sudo&#x20;/usr/sbin/chgrp&#x20;admin&#x20;/Library/Application&#x20;Support/CrashReporter/DiagnosticMessagesHistory.plist','[{\"cis\": [\"2.5.5\"]}, {\"cis_level\": [\"2\"]}]'),(29030,'Ensure&#x20;Backup&#x20;Up&#x20;Automatically&#x20;is&#x20;Enabled.','Backup&#x20;solutions&#x20;are&#x20;only&#x20;effective&#x20;if&#x20;the&#x20;backups&#x20;run&#x20;on&#x20;a&#x20;regular&#x20;basis.&#x20;The&#x20;time&#x20;to&#x20;check&#x20;for&#x20;backups&#x20;is&#x20;before&#x20;the&#x20;hard&#x20;drive&#x20;fails&#x20;or&#x20;the&#x20;computer&#x20;goes&#x20;missing.&#x20;In&#x20;order&#x20;to&#x20;simplify&#x20;the&#x20;user&#x20;experience&#x20;so&#x20;that&#x20;backups&#x20;are&#x20;more&#x20;likely&#x20;to&#x20;occur&#x20;Time&#x20;Machine&#x20;should&#x20;be&#x20;on&#x20;and&#x20;set&#x20;to&#x20;Back&#x20;Up&#x20;Automatically&#x20;whenever&#x20;the&#x20;target&#x20;volume&#x20;is&#x20;available.&#x20;Operational&#x20;staff&#x20;should&#x20;ensure&#x20;that&#x20;backups&#x20;complete&#x20;on&#x20;a&#x20;regular&#x20;basis&#x20;and&#x20;the&#x20;backups&#x20;are&#x20;tested&#x20;to&#x20;ensure&#x20;that&#x20;file&#x20;restoration&#x20;from&#x20;backup&#x20;is&#x20;possible&#x20;when&#x20;needed.&#x20;Backup&#x20;dates&#x20;are&#x20;available&#x20;even&#x20;when&#x20;the&#x20;target&#x20;volume&#x20;is&#x20;not&#x20;available&#x20;in&#x20;the&#x20;Time&#x20;Machine&#x20;plist.&#x20;SnapshotDates&#x20;=&#x20;&#40;&#x20;&quot;2012-08-20&#x20;12:10:22&#x20;+0000&quot;,&#x20;&quot;2013-02-03&#x20;23:43:22&#x20;+0000&quot;,&#x20;&quot;2014-02-19&#x20;21:37:21&#x20;+0000&quot;,&#x20;&quot;2015-02-22&#x20;13:07:25&#x20;+0000&quot;,&#x20;&quot;2016-08-20&#x20;14:07:14&#x20;+0000&quot;&#x20;When&#x20;the&#x20;backup&#x20;volume&#x20;is&#x20;connected&#x20;to&#x20;the&#x20;computer&#x20;more&#x20;extensive&#x20;information&#x20;is&#x20;available&#x20;through&#x20;tmutil.&#x20;See&#x20;man&#x20;tmutil','Backups&#x20;should&#x20;automatically&#x20;run&#x20;whenever&#x20;the&#x20;backup&#x20;drive&#x20;is&#x20;available.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;automatic&#x20;backups&#x20;if&#x20;Time&#x20;Machine&#x20;is&#x20;enabled:&#x20;sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.TimeMachine.plist&#x20;AutoBackup&#x20;-bool&#x20;true','[{\"cis\": [\"2.7.1\"]}, {\"cis_level\": [\"2\"]}]'),(29031,'Ensure&#x20;Wake&#x20;for&#x20;Network&#x20;Access&#x20;Is&#x20;Disabled.','This&#x20;feature&#x20;allows&#x20;the&#x20;computer&#x20;to&#x20;take&#x20;action&#x20;when&#x20;the&#x20;user&#x20;is&#x20;not&#x20;present&#x20;and&#x20;the&#x20;computer&#x20;is&#x20;in&#x20;energy&#x20;saving&#x20;mode.&#x20;These&#x20;tools&#x20;require&#x20;FileVault&#x20;to&#x20;remain&#x20;unlocked&#x20;and&#x20;fully&#x20;rejoin&#x20;known&#x20;networks.&#x20;This&#x20;macOS&#x20;feature&#x20;is&#x20;meant&#x20;to&#x20;allow&#x20;the&#x20;computer&#x20;to&#x20;resume&#x20;activity&#x20;as&#x20;needed&#x20;regardless&#x20;of&#x20;physical&#x20;security&#x20;controls.&#x20;This&#x20;feature&#x20;allows&#x20;other&#x20;users&#x20;to&#x20;be&#x20;able&#x20;to&#x20;access&#x20;your&#x20;computer&rsquo;s&#x20;shared&#x20;resources,&#x20;such&#x20;as&#x20;shared&#x20;printers&#x20;or&#x20;iTunes&#x20;playlists,&#x20;even&#x20;when&#x20;your&#x20;computer&#x20;is&#x20;in&#x20;sleep&#x20;mode.&#x20;In&#x20;a&#x20;closed&#x20;network&#x20;when&#x20;only&#x20;authorized&#x20;devices&#x20;could&#x20;wake&#x20;a&#x20;computer&#x20;it&#x20;could&#x20;be&#x20;valuable&#x20;to&#x20;wake&#x20;computers&#x20;in&#x20;order&#x20;to&#x20;do&#x20;management&#x20;push&#x20;activity.&#x20;Where&#x20;mobile&#x20;workstations&#x20;and&#x20;agents&#x20;exist&#x20;the&#x20;device&#x20;will&#x20;more&#x20;likely&#x20;check&#x20;in&#x20;to&#x20;receive&#x20;updates&#x20;when&#x20;already&#x20;awake.&#x20;Mobile&#x20;devices&#x20;should&#x20;not&#x20;be&#x20;listening&#x20;for&#x20;signals&#x20;on&#x20;any&#x20;unmanaged&#x20;network&#x20;or&#x20;where&#x20;untrusted&#x20;devices&#x20;exist&#x20;that&#x20;could&#x20;send&#x20;wake&#x20;signals.','Disabling&#x20;this&#x20;feature&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;remotely&#x20;waking&#x20;the&#x20;system&#x20;and&#x20;gaining&#x20;access.','','Perform&#x20;the&#x20;following&#x20;disable&#x20;Wake&#x20;for&#x20;network&#x20;access&#x20;or&#x20;Power&#x20;Nap:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Wake&#x20;for&#x20;network&#x20;access:&#x20;sudo&#x20;pmset&#x20;-a&#x20;womp&#x20;0&#x20;','[{\"cis\": [\"2.8\"]}, {\"cis_level\": [\"1\"]}]'),(29032,'Ensure&#x20;Power&#x20;Nap&#x20;Is&#x20;Disabled.','This&#x20;feature&#x20;allows&#x20;the&#x20;computer&#x20;to&#x20;take&#x20;action&#x20;when&#x20;the&#x20;user&#x20;is&#x20;not&#x20;present&#x20;and&#x20;the&#x20;computer&#x20;is&#x20;in&#x20;energy&#x20;saving&#x20;mode.&#x20;These&#x20;tools&#x20;require&#x20;FileVault&#x20;to&#x20;remain&#x20;unlocked&#x20;and&#x20;fully&#x20;rejoin&#x20;known&#x20;networks.&#x20;This&#x20;macOS&#x20;feature&#x20;is&#x20;meant&#x20;to&#x20;allow&#x20;the&#x20;computer&#x20;to&#x20;resume&#x20;activity&#x20;as&#x20;needed&#x20;regardless&#x20;of&#x20;physical&#x20;security&#x20;controls.&#x20;Power&#x20;Nap&#x20;allows&#x20;the&#x20;system&#x20;to&#x20;stay&#x20;in&#x20;low&#x20;power&#x20;mode,&#x20;especially&#x20;while&#x20;on&#x20;battery&#x20;power&#x20;and&#x20;periodically&#x20;connect&#x20;to&#x20;previously&#x20;named&#x20;networks&#x20;with&#x20;stored&#x20;credentials&#x20;for&#x20;user&#x20;applications&#x20;to&#x20;phone&#x20;home&#x20;and&#x20;get&#x20;updates.&#x20;This&#x20;capability&#x20;requires&#x20;FileVault&#x20;to&#x20;remain&#x20;unlocked&#x20;and&#x20;the&#x20;use&#x20;of&#x20;previously&#x20;joined&#x20;networks&#x20;to&#x20;be&#x20;risk&#x20;accepted&#x20;based&#x20;on&#x20;the&#x20;SSID&#x20;without&#x20;user&#x20;input.&#x20;This&#x20;control&#x20;has&#x20;been&#x20;updated&#x20;to&#x20;check&#x20;the&#x20;status&#x20;on&#x20;both&#x20;battery&#x20;and&#x20;AC&#x20;Power.&#x20;The&#x20;presence&#x20;of&#x20;an&#x20;electrical&#x20;outlet&#x20;does&#x20;not&#x20;completely&#x20;correlate&#x20;with&#x20;logical&#x20;and&#x20;physical&#x20;security&#x20;of&#x20;the&#x20;device&#x20;or&#x20;available&#x20;networks.','Disabling&#x20;this&#x20;feature&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;remotely&#x20;waking&#x20;the&#x20;system&#x20;and&#x20;gaining&#x20;access.&#x20;The&#x20;use&#x20;of&#x20;Power&#x20;Nap&#x20;adds&#x20;to&#x20;the&#x20;risk&#x20;of&#x20;compromised&#x20;physical&#x20;and&#x20;logical&#x20;security.&#x20;The&#x20;user&#x20;should&#x20;be&#x20;able&#x20;to&#x20;decrypt&#x20;FileVault&#x20;and&#x20;have&#x20;the&#x20;applications&#x20;download&#x20;what&#x20;is&#x20;required&#x20;when&#x20;the&#x20;computer&#x20;is&#x20;actively&#x20;used.&#x20;The&#x20;control&#x20;to&#x20;prevent&#x20;computer&#x20;sleep&#x20;has&#x20;been&#x20;retired&#x20;for&#x20;this&#x20;version&#x20;of&#x20;the&#x20;Benchmark.&#x20;Forcing&#x20;the&#x20;computer&#x20;to&#x20;stay&#x20;on&#x20;and&#x20;use&#x20;energy&#x20;in&#x20;case&#x20;a&#x20;management&#x20;push&#x20;is&#x20;needed&#x20;is&#x20;contrary&#x20;to&#x20;most&#x20;current&#x20;management&#x20;processes.&#x20;Only&#x20;keep&#x20;computers&#x20;unslept&#x20;if&#x20;after&#x20;hours&#x20;pushes&#x20;are&#x20;required&#x20;on&#x20;closed&#x20;LANs.','','Perform&#x20;the&#x20;following&#x20;disable&#x20;Wake&#x20;for&#x20;network&#x20;access&#x20;or&#x20;Power&#x20;Nap:&#x20;sudo&#x20;pmset&#x20;-a&#x20;powernap&#x20;0','[{\"cis\": [\"2.9\"]}, {\"cis_level\": [\"1\"]}]'),(29033,'Ensure&#x20;Secure&#x20;Keyboard&#x20;Entry&#x20;terminal.app&#x20;is&#x20;Enabled.','Secure&#x20;Keyboard&#x20;Entry&#x20;prevents&#x20;other&#x20;applications&#x20;on&#x20;the&#x20;system&#x20;and/or&#x20;network&#x20;from&#x20;detecting&#x20;and&#x20;recording&#x20;what&#x20;is&#x20;typed&#x20;into&#x20;Terminal.','Enabling&#x20;Secure&#x20;Keyboard&#x20;Entry&#x20;minimizes&#x20;the&#x20;risk&#x20;of&#x20;a&#x20;key&#x20;logger&#x20;from&#x20;detecting&#x20;what&#x20;is&#x20;entered&#x20;in&#x20;Terminal.','','Perform&#x20;the&#x20;following&#x20;to&#x20;enable&#x20;secure&#x20;keyboard&#x20;entries&#x20;in&#x20;Terminal:&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;/usr/bin/defaults&#x20;write&#x20;-app&#x20;Terminal&#x20;SecureKeyboardEntry&#x20;-bool&#x20;true','[{\"cis\": [\"2.10\"]}, {\"cis_level\": [\"1\"]}]'),(29034,'Ensure&#x20;EFI&#x20;Version&#x20;Is&#x20;Valid&#x20;and&#x20;Checked&#x20;Regularly.','In&#x20;order&#x20;to&#x20;mitigate&#x20;firmware&#x20;attacks&#x20;Apple&#x20;has&#x20;created&#x20;an&#x20;automated&#x20;Firmware&#x20;check&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;EFI&#x20;version&#x20;running&#x20;is&#x20;a&#x20;known&#x20;good&#x20;version&#x20;from&#x20;Apple.&#x20;There&#x20;is&#x20;also&#x20;an&#x20;automated&#x20;process&#x20;to&#x20;check&#x20;it&#x20;every&#x20;seven&#x20;days.','If&#x20;the&#x20;Firmware&#x20;of&#x20;a&#x20;computer&#x20;has&#x20;been&#x20;compromised&#x20;the&#x20;Operating&#x20;System&#x20;that&#x20;the&#x20;Firmware&#x20;loads&#x20;cannot&#x20;be&#x20;trusted&#x20;either.','','If&#x20;EFI&#x20;does&#x20;not&#x20;pass&#x20;the&#x20;integrity&#x20;check&#x20;you&#x20;may&#x20;send&#x20;a&#x20;report&#x20;to&#x20;Apple.&#x20;Backing&#x20;up&#x20;files&#x20;and&#x20;clean&#x20;installing&#x20;a&#x20;known&#x20;good&#x20;Operating&#x20;System&#x20;and&#x20;Firmware&#x20;is&#x20;recommended.','[{\"cis\": [\"2.11\"]}, {\"cis_level\": [\"1\"]}]'),(29035,'Ensure&#x20;Security&#x20;Auditing&#x20;Is&#x20;Enabled.','macOS&#039;s&#x20;audit&#x20;facility,&#x20;auditd,&#x20;receives&#x20;notifications&#x20;from&#x20;the&#x20;kernel&#x20;when&#x20;certain&#x20;system&#x20;calls,&#x20;such&#x20;as&#x20;open,&#x20;fork,&#x20;and&#x20;exit,&#x20;are&#x20;made.&#x20;These&#x20;notifications&#x20;are&#x20;captured&#x20;and&#x20;written&#x20;to&#x20;an&#x20;audit&#x20;log.','Logs&#x20;generated&#x20;by&#x20;auditd&#x20;may&#x20;be&#x20;useful&#x20;when&#x20;investigating&#x20;a&#x20;security&#x20;incident&#x20;as&#x20;they&#x20;may&#x20;help&#x20;reveal&#x20;the&#x20;vulnerable&#x20;application&#x20;and&#x20;the&#x20;actions&#x20;taken&#x20;by&#x20;a&#x20;malicious&#x20;actor.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;load&#x20;auditd:&#x20;sudo&#x20;launchctl&#x20;load&#x20;-w&#x20;/System/Library/LaunchDaemons/com.apple.auditd.plist','[{\"cis\": [\"3.1\"]}, {\"cis_level\": [\"1\"]}]'),(29036,'Ensure&#x20;install.log&#x20;Is&#x20;Retained&#x20;for&#x20;365&#x20;or&#x20;More&#x20;Days&#x20;and&#x20;No&#x20;Maximum&#x20;Size.','macOS&#x20;writes&#x20;information&#x20;pertaining&#x20;to&#x20;system-related&#x20;events&#x20;to&#x20;the&#x20;file&#x20;/var/log/install.log&#x20;and&#x20;has&#x20;a&#x20;configurable&#x20;retention&#x20;policy&#x20;for&#x20;this&#x20;file.&#x20;The&#x20;default&#x20;logging&#x20;setting&#x20;limits&#x20;the&#x20;file&#x20;size&#x20;of&#x20;the&#x20;logs&#x20;and&#x20;the&#x20;maximum&#x20;size&#x20;for&#x20;all&#x20;logs.&#x20;The&#x20;default&#x20;allows&#x20;for&#x20;an&#x20;errant&#x20;application&#x20;to&#x20;fill&#x20;the&#x20;log&#x20;files&#x20;and&#x20;does&#x20;not&#x20;enforce&#x20;sufficient&#x20;log&#x20;retention.&#x20;The&#x20;Benchmark&#x20;recommends&#x20;a&#x20;value&#x20;based&#x20;on&#x20;standard&#x20;use&#x20;cases.&#x20;The&#x20;value&#x20;should&#x20;align&#x20;with&#x20;local&#x20;requirements&#x20;within&#x20;the&#x20;organization.&#x20;The&#x20;default&#x20;value&#x20;has&#x20;an&#x20;&quot;all_max&quot;&#x20;file&#x20;limitation,&#x20;no&#x20;reference&#x20;to&#x20;a&#x20;minimum&#x20;retention&#x20;and&#x20;a&#x20;less&#x20;precise&#x20;rotation&#x20;argument.&#x20;The&#x20;all_max&#x20;flag&#x20;control&#x20;will&#x20;remove&#x20;old&#x20;log&#x20;entries&#x20;based&#x20;only&#x20;on&#x20;the&#x20;size&#x20;of&#x20;the&#x20;log&#x20;files.&#x20;Log&#x20;size&#x20;can&#x20;vary&#x20;widely&#x20;depending&#x20;on&#x20;how&#x20;verbose&#x20;installing&#x20;applications&#x20;are&#x20;in&#x20;their&#x20;log&#x20;entries.&#x20;The&#x20;decision&#x20;here&#x20;is&#x20;to&#x20;ensure&#x20;that&#x20;logs&#x20;go&#x20;back&#x20;a&#x20;year&#x20;and&#x20;depending&#x20;on&#x20;the&#x20;applications&#x20;a&#x20;size&#x20;restriction&#x20;could&#x20;compromise&#x20;the&#x20;ability&#x20;to&#x20;store&#x20;a&#x20;full&#x20;year.&#x20;While&#x20;this&#x20;Benchmark&#x20;is&#x20;not&#x20;scoring&#x20;for&#x20;a&#x20;rotation&#x20;flag&#x20;the&#x20;default&#x20;rotation&#x20;is&#x20;sequential&#x20;rather&#x20;than&#x20;using&#x20;a&#x20;timestamp.&#x20;Auditors&#x20;may&#x20;prefer&#x20;timestamps&#x20;in&#x20;order&#x20;to&#x20;simply&#x20;review&#x20;specific&#x20;dates&#x20;where&#x20;event&#x20;information&#x20;is&#x20;desired.&#x20;Please&#x20;review&#x20;the&#x20;File&#x20;Rotation&#x20;section&#x20;in&#x20;the&#x20;man&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;man&#x20;asl.conf&#x20;-&#x20;The&#x20;maximum&#x20;file&#x20;size&#x20;limitation&#x20;string&#x20;should&#x20;be&#x20;removed&#x20;&quot;all_max=&quot;&#x20;-&#x20;An&#x20;organization&#x20;appropriate&#x20;retention&#x20;should&#x20;be&#x20;added&#x20;&quot;ttl=&quot;&#x20;-&#x20;The&#x20;rotation&#x20;should&#x20;be&#x20;set&#x20;with&#x20;timestamps&#x20;&quot;rotate=utc&quot;&#x20;or&#x20;&quot;rotate=local&quot;','Archiving&#x20;and&#x20;retaining&#x20;install.log&#x20;for&#x20;at&#x20;least&#x20;a&#x20;year&#x20;is&#x20;beneficial&#x20;in&#x20;the&#x20;event&#x20;of&#x20;an&#x20;incident&#x20;as&#x20;it&#x20;will&#x20;allow&#x20;the&#x20;user&#x20;to&#x20;view&#x20;the&#x20;various&#x20;changes&#x20;to&#x20;the&#x20;system&#x20;along&#x20;with&#x20;the&#x20;date&#x20;and&#x20;time&#x20;they&#x20;occurred.','','Perform&#x20;the&#x20;following&#x20;to&#x20;ensure&#x20;that&#x20;install&#x20;logs&#x20;are&#x20;retained&#x20;for&#x20;at&#x20;least&#x20;365&#x20;days:&#x20;Edit&#x20;the&#x20;/etc/asl/com.apple.install&#x20;file&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;ttl&#x20;value&#x20;to&#x20;365&#x20;or&#x20;greater&#x20;on&#x20;the&#x20;file&#x20;line.&#x20;Also,&#x20;remove&#x20;the&#x20;all_max=&#x20;setting&#x20;and&#x20;value&#x20;from&#x20;the&#x20;file&#x20;line.','[{\"cis\": [\"3.3\"]}, {\"cis_level\": [\"1\"]}]'),(29037,'Ensure&#x20;Access&#x20;to&#x20;Audit&#x20;Records&#x20;Is&#x20;Controlled.','The&#x20;audit&#x20;system&#x20;on&#x20;macOS&#x20;writes&#x20;important&#x20;operational&#x20;and&#x20;security&#x20;information&#x20;that&#x20;can&#x20;be&#x20;both&#x20;useful&#x20;for&#x20;an&#x20;attacker&#x20;and&#x20;a&#x20;place&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;attempt&#x20;to&#x20;obfuscate&#x20;unwanted&#x20;changes&#x20;that&#x20;were&#x20;recorded.&#x20;As&#x20;part&#x20;of&#x20;defense-in-depth&#x20;the&#x20;/etc/security/audit_control&#x20;configuration&#x20;and&#x20;the&#x20;files&#x20;in&#x20;/var/audit&#x20;should&#x20;be&#x20;owned&#x20;only&#x20;by&#x20;root&#x20;with&#x20;group&#x20;wheel&#x20;with&#x20;read-only&#x20;rights&#x20;and&#x20;no&#x20;other&#x20;access&#x20;allowed.&#x20;macOS&#x20;ACLs&#x20;should&#x20;not&#x20;be&#x20;used&#x20;for&#x20;these&#x20;files.','Audit&#x20;records&#x20;should&#x20;never&#x20;be&#x20;changed&#x20;except&#x20;by&#x20;the&#x20;system&#x20;daemon&#x20;posting&#x20;events.&#x20;Records&#x20;may&#x20;be&#x20;viewed&#x20;or&#x20;extracts&#x20;manipulated,&#x20;but&#x20;the&#x20;authoritative&#x20;files&#x20;should&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes.','','Run&#x20;the&#x20;following&#x20;to&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;audit&#x20;records&#x20;to&#x20;the&#x20;root&#x20;user&#x20;and&#x20;wheel&#x20;group:&#x20;sudo&#x20;chown&#x20;-R&#x20;root:wheel&#x20;/etc/security/audit_control,&#x20;sudo&#x20;chmod&#x20;-R&#x20;o-rw&#x20;/etc/security/audit_control,&#x20;sudo&#x20;chown&#x20;-R&#x20;root:wheel&#x20;/var/audit/,&#x20;sudo&#x20;chmod&#x20;-R&#x20;o-rw&#x20;/var/audit/&#x20;Note:&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;do&#x20;a&#x20;thorough&#x20;verification&#x20;process&#x20;on&#x20;why&#x20;the&#x20;audit&#x20;logs&#x20;have&#x20;been&#x20;changed&#x20;before&#x20;following&#x20;the&#x20;remediation&#x20;steps.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;different&#x20;access&#x20;controls&#x20;on&#x20;the&#x20;audit&#x20;logs,&#x20;and&#x20;the&#x20;changes&#x20;cannot&#x20;be&#x20;traced,&#x20;a&#x20;new&#x20;install&#x20;may&#x20;be&#x20;prudent.&#x20;Check&#x20;for&#x20;signs&#x20;of&#x20;file&#x20;tampering&#x20;as&#x20;well&#x20;as&#x20;unapproved&#x20;OS&#x20;changes.','[{\"cis\": [\"3.5\"]}, {\"cis_level\": [\"1\"]}]'),(29038,'Ensure&#x20;Firewall&#x20;Logging&#x20;Is&#x20;Enabled&#x20;and&#x20;Configured.','The&#x20;socketfilter&#x20;firewall&#x20;is&#x20;what&#x20;is&#x20;used&#x20;when&#x20;the&#x20;firewall&#x20;is&#x20;turned&#x20;on&#x20;in&#x20;the&#x20;Security&#x20;Preference&#x20;Pane.&#x20;In&#x20;order&#x20;to&#x20;appropriately&#x20;monitor&#x20;what&#x20;access&#x20;is&#x20;allowed&#x20;and&#x20;denied&#x20;logging&#x20;must&#x20;be&#x20;enabled.&#x20;The&#x20;logging&#x20;level&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&quot;detailed&quot;&#x20;to&#x20;be&#x20;useful&#x20;in&#x20;monitoring&#x20;connection&#x20;attempts&#x20;that&#x20;the&#x20;firewall&#x20;detects.&#x20;Throttled&#x20;login&#x20;is&#x20;not&#x20;sufficient&#x20;for&#x20;examine&#x20;firewall&#x20;connection&#x20;attempts.','In&#x20;order&#x20;to&#x20;troubleshoot&#x20;the&#x20;successes&#x20;and&#x20;failures&#x20;of&#x20;a&#x20;firewall,&#x20;detailed&#x20;logging&#x20;should&#x20;be&#x20;enabled.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;logging&#x20;of&#x20;the&#x20;firewall:&#x20;sudo&#x20;/usr/libexec/ApplicationFirewall/socketfilterfw&#x20;--setloggingmode&#x20;on.&#x20;&#x20;sudo&#x20;/usr/libexec/ApplicationFirewall/socketfilterfw&#x20;--setloggingopt&#x20;detail.','[{\"cis\": [\"3.6\"]}, {\"cis_level\": [\"1\"]}]'),(29039,'Ensure&#x20;Bonjour&#x20;Advertising&#x20;Services&#x20;Is&#x20;Disabled.','Bonjour&#x20;is&#x20;an&#x20;auto-discovery&#x20;mechanism&#x20;for&#x20;TCP/IP&#x20;devices&#x20;which&#x20;enumerate&#x20;devices&#x20;and&#x20;services&#x20;within&#x20;a&#x20;local&#x20;subnet.&#x20;DNS&#x20;on&#x20;macOS&#x20;is&#x20;integrated&#x20;with&#x20;Bonjour&#x20;and&#x20;should&#x20;not&#x20;be&#x20;turned&#x20;off,&#x20;but&#x20;the&#x20;Bonjour&#x20;advertising&#x20;service&#x20;can&#x20;be&#x20;disabled.','Bonjour&#x20;can&#x20;simplify&#x20;device&#x20;discovery&#x20;from&#x20;an&#x20;internal&#x20;rogue&#x20;or&#x20;compromised&#x20;host.&#x20;An&#x20;attacker&#x20;could&#x20;use&#x20;Bonjour&#039;s&#x20;multicast&#x20;DNS&#x20;feature&#x20;to&#x20;discover&#x20;a&#x20;vulnerable&#x20;or&#x20;poorly-&#x20;configured&#x20;service&#x20;or&#x20;additional&#x20;information&#x20;to&#x20;aid&#x20;a&#x20;targeted&#x20;attack.&#x20;Implementing&#x20;this&#x20;control&#x20;disables&#x20;the&#x20;continuous&#x20;broadcasting&#x20;of&#x20;&quot;I&#039;m&#x20;here!&quot;&#x20;messages.&#x20;Typical&#x20;end-user&#x20;endpoints&#x20;should&#x20;not&#x20;have&#x20;to&#x20;advertise&#x20;services&#x20;to&#x20;other&#x20;computers.&#x20;This&#x20;setting&#x20;does&#x20;not&#x20;stop&#x20;the&#x20;computer&#x20;from&#x20;sending&#x20;out&#x20;service&#x20;discovery&#x20;messages&#x20;when&#x20;looking&#x20;for&#x20;services&#x20;on&#x20;an&#x20;internal&#x20;subnet,&#x20;if&#x20;the&#x20;computer&#x20;is&#x20;looking&#x20;for&#x20;a&#x20;printer&#x20;or&#x20;server&#x20;and&#x20;using&#x20;service&#x20;discovery.&#x20;To&#x20;block&#x20;all&#x20;Bonjour&#x20;traffic&#x20;except&#x20;to&#x20;approved&#x20;devices&#x20;the&#x20;pf&#x20;or&#x20;other&#x20;firewall&#x20;would&#x20;be&#x20;needed.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Bonjour&#x20;Advertising&#x20;services:&#x20;sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.mDNSResponder.plist&#x20;NoMulticastAdvertisements&#x20;-bool&#x20;true','[{\"cis\": [\"4.1\"]}, {\"cis_level\": [\"2\"]}]'),(29040,'Ensure&#x20;HTTP&#x20;Server&#x20;Is&#x20;Disabled.','macOS&#x20;used&#x20;to&#x20;have&#x20;a&#x20;graphical&#x20;front-end&#x20;to&#x20;the&#x20;embedded&#x20;Apache&#x20;web&#x20;server&#x20;in&#x20;the&#x20;Operating&#x20;System.&#x20;Personal&#x20;web&#x20;sharing&#x20;could&#x20;be&#x20;enabled&#x20;to&#x20;allow&#x20;someone&#x20;on&#x20;another&#x20;computer&#x20;to&#x20;download&#x20;files&#x20;or&#x20;information&#x20;from&#x20;the&#x20;user&#039;s&#x20;computer.&#x20;Personal&#x20;web&#x20;sharing&#x20;from&#x20;a&#x20;user&#x20;endpoint&#x20;has&#x20;long&#x20;been&#x20;considered&#x20;questionable,&#x20;and&#x20;Apple&#x20;has&#x20;removed&#x20;that&#x20;capability&#x20;from&#x20;the&#x20;GUI.&#x20;Apache&#x20;however&#x20;is&#x20;still&#x20;part&#x20;of&#x20;the&#x20;Operating&#x20;System&#x20;and&#x20;can&#x20;be&#x20;easily&#x20;turned&#x20;on&#x20;to&#x20;share&#x20;files&#x20;and&#x20;provide&#x20;remote&#x20;connectivity&#x20;to&#x20;an&#x20;end-user&#x20;computer.&#x20;Web&#x20;sharing&#x20;should&#x20;only&#x20;be&#x20;done&#x20;through&#x20;hardened&#x20;web&#x20;servers&#x20;and&#x20;appropriate&#x20;cloud&#x20;services.','Web&#x20;serving&#x20;should&#x20;not&#x20;be&#x20;done&#x20;from&#x20;a&#x20;user&#x20;desktop.&#x20;Dedicated&#x20;webservers&#x20;or&#x20;appropriate&#x20;cloud&#x20;storage&#x20;should&#x20;be&#x20;used.&#x20;Open&#x20;ports&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;exploit&#x20;the&#x20;computer.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;the&#x20;http&#x20;server&#x20;services:&#x20;sudo&#x20;launchctl&#x20;disable&#x20;system/org.apache.httpd','[{\"cis\": [\"4.4\"]}, {\"cis_level\": [\"1\"]}]'),(29041,'Ensure&#x20;NFS&#x20;Server&#x20;Is&#x20;Disabled.','macOS&#x20;can&#x20;act&#x20;as&#x20;an&#x20;NFS&#x20;fileserver.&#x20;NFS&#x20;sharing&#x20;could&#x20;be&#x20;enabled&#x20;to&#x20;allow&#x20;someone&#x20;on&#x20;another&#x20;computer&#x20;to&#x20;mount&#x20;shares&#x20;and&#x20;gain&#x20;access&#x20;to&#x20;information&#x20;from&#x20;the&#x20;user&#039;s&#x20;computer.&#x20;File&#x20;sharing&#x20;from&#x20;a&#x20;user&#x20;endpoint&#x20;has&#x20;long&#x20;been&#x20;considered&#x20;questionable,&#x20;and&#x20;Apple&#x20;has&#x20;removed&#x20;that&#x20;capability&#x20;from&#x20;the&#x20;GUI.&#x20;NFSD&#x20;is&#x20;still&#x20;part&#x20;of&#x20;the&#x20;Operating&#x20;System&#x20;and&#x20;can&#x20;be&#x20;easily&#x20;turned&#x20;on&#x20;to&#x20;export&#x20;shares&#x20;and&#x20;provide&#x20;remote&#x20;connectivity&#x20;to&#x20;an&#x20;end-user&#x20;computer.','File&#x20;serving&#x20;should&#x20;not&#x20;be&#x20;done&#x20;from&#x20;a&#x20;user&#x20;desktop.&#x20;Dedicated&#x20;servers&#x20;should&#x20;be&#x20;used.&#x20;Open&#x20;ports&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;exploit&#x20;the&#x20;computer.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;the&#x20;nfsd&#x20;fileserver&#x20;services:&#x20;sudo&#x20;launchctl&#x20;disable&#x20;system/com.apple.nfsd.&#x20;Remove&#x20;the&#x20;exported&#x20;Directory&#x20;listing:&#x20;&#x20;sudo&#x20;rm&#x20;/etc/exports','[{\"cis\": [\"4.5\"]}, {\"cis_level\": [\"1\"]}]'),(29042,'Ensure&#x20;System&#x20;Integrity&#x20;Protection&#x20;Status&#x20;&#40;SIPS&#41;&#x20;Is&#x20;Enabled.','System&#x20;Integrity&#x20;Protection&#x20;is&#x20;a&#x20;security&#x20;feature&#x20;introduced&#x20;in&#x20;OS&#x20;X&#x20;10.11&#x20;El&#x20;Capitan.&#x20;System&#x20;Integrity&#x20;Protection&#x20;restricts&#x20;access&#x20;to&#x20;System&#x20;domain&#x20;locations&#x20;and&#x20;restricts&#x20;runtime&#x20;attachment&#x20;to&#x20;system&#x20;processes.&#x20;Any&#x20;attempt&#x20;to&#x20;inspect&#x20;or&#x20;attach&#x20;to&#x20;a&#x20;system&#x20;process&#x20;will&#x20;fail.&#x20;Kernel&#x20;Extensions&#x20;are&#x20;now&#x20;restricted&#x20;to&#x20;/Library/Extensions&#x20;and&#x20;are&#x20;required&#x20;to&#x20;be&#x20;signed&#x20;with&#x20;a&#x20;Developer&#x20;ID.','Running&#x20;without&#x20;System&#x20;Integrity&#x20;Protection&#x20;on&#x20;a&#x20;production&#x20;system&#x20;runs&#x20;the&#x20;risk&#x20;of&#x20;the&#x20;modification&#x20;of&#x20;system&#x20;binaries&#x20;or&#x20;code&#x20;injection&#x20;of&#x20;system&#x20;processes&#x20;that&#x20;would&#x20;otherwise&#x20;be&#x20;protected&#x20;by&#x20;SIP.','','Perform&#x20;the&#x20;following&#x20;to&#x20;enable&#x20;System&#x20;Integrity&#x20;Protection:&#x20;1.&#x20;Reboot&#x20;into&#x20;the&#x20;Recovery&#x20;Partition&#x20;&#40;reboot&#x20;and&#x20;hold&#x20;down&#x20;Command&#x20;&#40;⌘&#41;&#x20;+&#x20;R&#41;&#x20;2.&#x20;Select&#x20;Utilities&#x20;3.&#x20;Select&#x20;Terminal&#x20;4.&#x20;Run&#x20;the&#x20;following&#x20;command:&#x20;sudo&#x20;/usr/bin/csrutil&#x20;enable&#x20;Successfully&#x20;enabled&#x20;System&#x20;Integrity&#x20;Protection.&#x20;Please&#x20;restart&#x20;the&#x20;machine&#x20;for&#x20;the&#x20;changes&#x20;to&#x20;take&#x20;effect.&#x20;5.&#x20;Reboot&#x20;the&#x20;computer','[{\"cis\": [\"5.1.2\"]}, {\"cis_level\": [\"1\"]}]'),(29043,'Ensure&#x20;Apple&#x20;Mobile&#x20;File&#x20;Integrity&#x20;Is&#x20;Enabled.','Apple&#x20;Mobile&#x20;File&#x20;Integrity&#x20;was&#x20;first&#x20;released&#x20;in&#x20;macOS&#x20;10.12,&#x20;the&#x20;daemon&#x20;and&#x20;service&#x20;block&#x20;attempts&#x20;to&#x20;run&#x20;unsigned&#x20;code.&#x20;AMFI&#x20;uses&#x20;lanchd,&#x20;code&#x20;signatures,&#x20;certificates,&#x20;entitlements,&#x20;and&#x20;provisioning&#x20;profiles&#x20;to&#x20;create&#x20;a&#x20;filtered&#x20;entitlement&#x20;dictionary&#x20;for&#x20;an&#x20;app.&#x20;AMFI&#x20;is&#x20;the&#x20;macOS&#x20;kernel&#x20;module&#x20;that&#x20;enforces&#x20;code-signing&#x20;and&#x20;library&#x20;validation.','Apple&#x20;Mobile&#x20;File&#x20;Integrity&#x20;&#40;AMFI&#41;&#x20;validates&#x20;that&#x20;application&#x20;code&#x20;is&#x20;validated.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;Apple&#x20;Mobile&#x20;File&#x20;Integrity&#x20;service:&#x20;sudo&#x20;/usr/sbin/nvram&#x20;boot-args=&quot;&quot;','[{\"cis\": [\"5.1.3\"]}, {\"cis_level\": [\"1\"]}]'),(29044,'Ensure&#x20;Library&#x20;Validation&#x20;Is&#x20;Enabled.','Library&#x20;Validation&#x20;is&#x20;a&#x20;security&#x20;feature&#x20;introduced&#x20;in&#x20;macOS&#x20;10.10&#x20;Yosemite.&#x20;Library&#x20;Validation&#x20;protects&#x20;processes&#x20;from&#x20;loading&#x20;arbitrary&#x20;libraries.&#x20;This&#x20;stops&#x20;root&#x20;from&#x20;loading&#x20;arbitrary&#x20;libraries&#x20;into&#x20;any&#x20;process&#x20;&#40;depending&#x20;on&#x20;SIP&#x20;status&#41;,and&#x20;keeps&#x20;root&#x20;from&#x20;becoming&#x20;more&#x20;powerful.&#x20;Security&#x20;is&#x20;strengthened,&#x20;because&#x20;some&#x20;user&#x20;processes&#x20;can&#x20;no&#x20;longer&#x20;be&#x20;fooled&#x20;to&#x20;run&#x20;additional&#x20;code&#x20;without&#x20;root&#039;s&#x20;explicit&#x20;request,&#x20;which&#x20;may&#x20;grant&#x20;access&#x20;to&#x20;daemons&#x20;that&#x20;depend&#x20;on&#x20;Library&#x20;Validation&#x20;for&#x20;secure&#x20;validation&#x20;of&#x20;code&#x20;identity.','Running&#x20;without&#x20;Library&#x20;Validation&#x20;on&#x20;a&#x20;production&#x20;system&#x20;runs&#x20;the&#x20;risk&#x20;of&#x20;the&#x20;modification&#x20;of&#x20;system&#x20;binaries&#x20;or&#x20;code&#x20;injection&#x20;of&#x20;system&#x20;processes&#x20;that&#x20;would&#x20;otherwise&#x20;be&#x20;protected&#x20;by&#x20;Library&#x20;Validation.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;library&#x20;validation:&#x20;sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.security.libraryvalidation.plist&#x20;DisableLibraryValidation&#x20;-bool&#x20;false','[{\"cis\": [\"5.1.4\"]}, {\"cis_level\": [\"1\"]}]'),(29045,'Ensure&#x20;Sealed&#x20;System&#x20;Volume&#x20;&#40;SSV&#41;&#x20;Is&#x20;Enabled.','Sealed&#x20;System&#x20;Volume&#x20;is&#x20;a&#x20;security&#x20;feature&#x20;introduced&#x20;in&#x20;macOS&#x20;11.0&#x20;Big&#x20;Sur.&#x20;During&#x20;system&#x20;installation,&#x20;a&#x20;SHA-256&#x20;cryptographic&#x20;hash&#x20;is&#x20;calculated&#x20;for&#x20;all&#x20;immutable&#x20;system&#x20;files&#x20;and&#x20;stored&#x20;in&#x20;a&#x20;Merkle&#x20;tree&#x20;which&#x20;itself&#x20;is&#x20;hashed&#x20;as&#x20;the&#x20;Seal.&#x20;Both&#x20;are&#x20;stored&#x20;in&#x20;the&#x20;metadata&#x20;of&#x20;the&#x20;snapshot&#x20;created&#x20;of&#x20;the&#x20;System&#x20;volume.&#x20;The&#x20;seal&#x20;is&#x20;verified&#x20;by&#x20;the&#x20;boot&#x20;loader&#x20;at&#x20;startup.&#x20;macOS&#x20;will&#x20;not&#x20;boot&#x20;if&#x20;system&#x20;files&#x20;have&#x20;been&#x20;tampered&#x20;with.&#x20;If&#x20;validation&#x20;fails,&#x20;the&#x20;user&#x20;will&#x20;be&#x20;instructed&#x20;to&#x20;reinstall&#x20;the&#x20;operating&#x20;system.&#x20;During&#x20;read&#x20;operations&#x20;for&#x20;files&#x20;located&#x20;in&#x20;the&#x20;Sealed&#x20;System&#x20;Volume,&#x20;a&#x20;hash&#x20;is&#x20;calculated&#x20;and&#x20;compared&#x20;to&#x20;the&#x20;value&#x20;stored&#x20;in&#x20;the&#x20;Merkle&#x20;tree.','Running&#x20;without&#x20;Sealed&#x20;System&#x20;Volume&#x20;on&#x20;a&#x20;production&#x20;system&#x20;could&#x20;run&#x20;the&#x20;risk&#x20;of&#x20;Apple&#x20;software,&#x20;that&#x20;integrates&#x20;directly&#x20;with&#x20;macOS,&#x20;being&#x20;modified.','','Perform&#x20;the&#x20;following&#x20;to&#x20;enable&#x20;System&#x20;Integrity&#x20;Protection:&#x20;1.&#x20;Reboot&#x20;into&#x20;the&#x20;Recovery&#x20;Partition&#x20;&#40;reboot&#x20;and&#x20;hold&#x20;down&#x20;Command&#x20;&#40;⌘&#41;&#x20;+&#x20;R&#41;&#x20;2.&#x20;Select&#x20;an&#x20;administrator&#039;s&#x20;account&#x20;and&#x20;enter&#x20;that&#x20;account&#039;s&#x20;password&#x20;3.&#x20;Select&#x20;Utilities&#x20;4.&#x20;Select&#x20;Terminal&#x20;5.&#x20;Run&#x20;the&#x20;following&#x20;command:&#x20;sudo&#x20;/usr/bin/csrutil&#x20;enable&#x20;authenticated-root&#x20;6.&#x20;Reboot&#x20;the&#x20;computer.','[{\"cis\": [\"5.1.5\"]}, {\"cis_level\": [\"1\"]}]'),(29046,'Ensure&#x20;Appropriate&#x20;Permissions&#x20;Are&#x20;Enabled&#x20;for&#x20;System&#x20;Wide&#x20;Applications.','Applications&#x20;in&#x20;the&#x20;System&#x20;Applications&#x20;Directory&#x20;&#40;/Applications&#41;&#x20;should&#x20;be&#x20;world&#x20;executable&#x20;since&#x20;that&#x20;is&#x20;their&#x20;reason&#x20;to&#x20;be&#x20;on&#x20;the&#x20;system.&#x20;They&#x20;should&#x20;not&#x20;be&#x20;world-writable&#x20;and&#x20;allow&#x20;any&#x20;process&#x20;or&#x20;user&#x20;to&#x20;alter&#x20;them&#x20;for&#x20;other&#x20;processes&#x20;or&#x20;users&#x20;to&#x20;then&#x20;execute&#x20;modified&#x20;versions.','Unauthorized&#x20;modifications&#x20;of&#x20;applications&#x20;could&#x20;lead&#x20;to&#x20;the&#x20;execution&#x20;of&#x20;malicious&#x20;code.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;the&#x20;permissions&#x20;for&#x20;each&#x20;application&#x20;that&#x20;does&#x20;not&#x20;meet&#x20;the&#x20;requirements:&#x20;sudo&#x20;chmod&#x20;-R&#x20;o-w&#x20;/Applications/&lt;applicationname&gt;','[{\"cis\": [\"5.1.6\"]}, {\"cis_level\": [\"1\"]}]'),(29047,'Ensure&#x20;No&#x20;World&#x20;Writable&#x20;Files&#x20;Exist&#x20;in&#x20;the&#x20;System&#x20;Folder.','Software&#x20;sometimes&#x20;insists&#x20;on&#x20;being&#x20;installed&#x20;in&#x20;the&#x20;/System/Volumes/Data/SystemDirectory&#x20;and&#x20;have&#x20;inappropriate&#x20;world-writable&#x20;permissions.','Folders&#x20;in&#x20;/System/Volumes/Data/System&#x20;should&#x20;not&#x20;be&#x20;world-writable.&#x20;The&#x20;audit&#x20;check&#x20;excludes&#x20;the&#x20;&quot;Drop&#x20;Box&quot;&#x20;folder&#x20;that&#x20;is&#x20;part&#x20;of&#x20;Apple&#039;s&#x20;default&#x20;user&#x20;template.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;so&#x20;that&#x20;folders&#x20;are&#x20;not&#x20;world&#x20;writable&#x20;in&#x20;the&#x20;/System&#x20;folder:&#x20;sudo&#x20;chmod&#x20;-R&#x20;o-w&#x20;/Path/&lt;baddirectory&gt;','[{\"cis\": [\"5.1.7\"]}, {\"cis_level\": [\"1\"]}]'),(29048,'Ensure&#x20;No&#x20;World&#x20;Writable&#x20;Files&#x20;Exist&#x20;in&#x20;the&#x20;Library&#x20;Folder.','Software&#x20;sometimes&#x20;insists&#x20;on&#x20;being&#x20;installed&#x20;in&#x20;the&#x20;/Library&#x20;Directory&#x20;and&#x20;have&#x20;inappropriate&#x20;world-writable&#x20;permissions.','Folders&#x20;in&#x20;/System/Volumes/Data/Library&#x20;should&#x20;not&#x20;be&#x20;world-writable.&#x20;The&#x20;audit&#x20;check&#x20;excludes&#x20;the&#x20;/System/Volumes/Data/Library/Caches&#x20;and&#x20;/System/Volumes/Data/Library/Preferences/Audio/Data&#x20;folders&#x20;where&#x20;the&#x20;sticky&#x20;bit&#x20;is&#x20;set.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;so&#x20;that&#x20;folders&#x20;are&#x20;not&#x20;world&#x20;writable&#x20;in&#x20;the&#x20;/System/Volumes/Data/Library&#x20;folder:&#x20;sudo&#x20;/bin/chmod&#x20;-R&#x20;o-w&#x20;/System/Volumes/Data/Library/&lt;baddirectory&gt;','[{\"cis\": [\"5.1.8\"]}, {\"cis_level\": [\"2\"]}]'),(29049,'Ensure&#x20;the&#x20;Sudo&#x20;Timeout&#x20;Period&#x20;Is&#x20;Set&#x20;to&#x20;Zero.','The&#x20;sudo&#x20;command&#x20;allows&#x20;the&#x20;user&#x20;to&#x20;run&#x20;programs&#x20;as&#x20;the&#x20;root&#x20;user.&#x20;Working&#x20;as&#x20;the&#x20;root&#x20;user&#x20;allows&#x20;the&#x20;user&#x20;an&#x20;extremely&#x20;high&#x20;level&#x20;of&#x20;configurability&#x20;within&#x20;the&#x20;system.&#x20;This&#x20;control&#x20;along&#x20;with&#x20;the&#x20;control&#x20;to&#x20;use&#x20;a&#x20;separate&#x20;timestamp&#x20;for&#x20;each&#x20;tty&#x20;limits&#x20;the&#x20;window&#x20;where&#x20;an&#x20;unauthorized&#x20;user,&#x20;process&#x20;or&#x20;attacker&#x20;could&#x20;utilize&#x20;legitimate&#x20;credentials&#x20;that&#x20;are&#x20;valid&#x20;for&#x20;longer&#x20;than&#x20;required.','The&#x20;sudo&#x20;command&#x20;stays&#x20;logged&#x20;in&#x20;as&#x20;the&#x20;root&#x20;user&#x20;for&#x20;five&#x20;minutes&#x20;before&#x20;timing&#x20;out&#x20;and&#x20;re-requesting&#x20;a&#x20;password.&#x20;This&#x20;five-minute&#x20;window&#x20;should&#x20;be&#x20;eliminated&#x20;since&#x20;it&#x20;leaves&#x20;the&#x20;system&#x20;extremely&#x20;vulnerable.&#x20;This&#x20;is&#x20;especially&#x20;true&#x20;if&#x20;an&#x20;exploit&#x20;were&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system,&#x20;since&#x20;they&#x20;would&#x20;be&#x20;able&#x20;to&#x20;make&#x20;changes&#x20;as&#x20;a&#x20;root&#x20;user.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;edit&#x20;the&#x20;sudo&#x20;settings:&#x20;sudo&#x20;visudo.&#x20;Add&#x20;the&#x20;line&#x20;&#039;Defaults&#x20;timestamp_timeout=0&#039;&#x20;in&#x20;the&#x20;Override&#x20;built-in&#x20;defaults&#x20;section.&#x20;','[{\"cis\": [\"5.3\"]}, {\"cis_level\": [\"1\"]}]'),(29050,'Ensure&#x20;a&#x20;Separate&#x20;Timestamp&#x20;Is&#x20;Enabled&#x20;for&#x20;Each&#x20;User/tty&#x20;Combo.','Using&#x20;tty&#x20;tickets&#x20;ensures&#x20;that&#x20;a&#x20;user&#x20;must&#x20;enter&#x20;the&#x20;sudo&#x20;password&#x20;in&#x20;each&#x20;Terminal&#x20;session.&#x20;With&#x20;sudo&#x20;versions&#x20;1.8&#x20;and&#x20;higher,&#x20;introduced&#x20;in&#x20;10.12,&#x20;the&#x20;default&#x20;value&#x20;is&#x20;to&#x20;have&#x20;tty&#x20;tickets&#x20;for&#x20;each&#x20;interface&#x20;so&#x20;that&#x20;root&#x20;access&#x20;is&#x20;limited&#x20;to&#x20;a&#x20;specific&#x20;terminal.&#x20;The&#x20;default&#x20;configuration&#x20;can&#x20;be&#x20;overwritten&#x20;or&#x20;not&#x20;configured&#x20;correctly&#x20;on&#x20;earlier&#x20;versions&#x20;of&#x20;macOS.','In&#x20;combination&#x20;with&#x20;removing&#x20;the&#x20;sudo&#x20;timeout&#x20;grace&#x20;period,&#x20;a&#x20;further&#x20;mitigation&#x20;should&#x20;be&#x20;in&#x20;place&#x20;to&#x20;reduce&#x20;the&#x20;possibility&#x20;of&#x20;a&#x20;background&#x20;process&#x20;using&#x20;elevated&#x20;rights&#x20;when&#x20;a&#x20;user&#x20;elevates&#x20;to&#x20;root&#x20;in&#x20;an&#x20;explicit&#x20;context&#x20;or&#x20;tty.&#x20;Additional&#x20;mitigation&#x20;should&#x20;be&#x20;in&#x20;place&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;privilege&#x20;escalation&#x20;of&#x20;background&#x20;processes.','','Edit&#x20;the&#x20;/etc/sudoers&#x20;file&#x20;with&#x20;visudo&#x20;and&#x20;remove&#x20;!tty_tickets&#x20;from&#x20;any&#x20;Defaults&#x20;line.&#x20;If&#x20;there&#x20;is&#x20;a&#x20;Default&#x20;line&#x20;of&#x20;timestamp_type=&#x20;with&#x20;a&#x20;value&#x20;other&#x20;than&#x20;tty,&#x20;change&#x20;the&#x20;value&#x20;to&#x20;tty&#x20;If&#x20;there&#x20;is&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/sudoers.d/&#x20;folder&#x20;that&#x20;contains&#x20;Defaults&#x20;!tty_tickets,&#x20;edit&#x20;the&#x20;file&#x20;and&#x20;remove&#x20;!tty_tickets&#x20;from&#x20;any&#x20;Defaults&#x20;line.&#x20;If&#x20;there&#x20;is&#x20;a&#x20;file&#x20;/etc/sudoers.d/&#x20;folder&#x20;that&#x20;contains&#x20;a&#x20;Default&#x20;line&#x20;of&#x20;timestamp_type=&#x20;with&#x20;a&#x20;value&#x20;other&#x20;than&#x20;tty,&#x20;change&#x20;the&#x20;value&#x20;to&#x20;tty.','[{\"cis\": [\"5.4\"]}, {\"cis_level\": [\"1\"]}]'),(29051,'Ensure&#x20;the&#x20;&quot;root&quot;&#x20;Account&#x20;Is&#x20;Disabled','The&#x20;root&#x20;account&#x20;is&#x20;a&#x20;superuser&#x20;account&#x20;that&#x20;has&#x20;access&#x20;privileges&#x20;to&#x20;perform&#x20;any&#x20;actions&#x20;and&#x20;read/write&#x20;to&#x20;any&#x20;file&#x20;on&#x20;the&#x20;computer.&#x20;With&#x20;some&#x20;Linux&#x20;distros&#x20;the&#x20;system&#x20;administrator&#x20;may&#x20;commonly&#x20;use&#x20;the&#x20;root&#x20;account&#x20;to&#x20;perform&#x20;administrative&#x20;functions.','Enabling&#x20;and&#x20;using&#x20;the&#x20;root&#x20;account&#x20;puts&#x20;the&#x20;system&#x20;at&#x20;risk&#x20;since&#x20;any&#x20;successful&#x20;exploit&#x20;or&#x20;mistake&#x20;while&#x20;the&#x20;root&#x20;account&#x20;is&#x20;in&#x20;use&#x20;could&#x20;have&#x20;unlimited&#x20;access&#x20;privileges&#x20;within&#x20;the&#x20;system.&#x20;Using&#x20;the&#x20;sudo&#x20;command&#x20;allows&#x20;users&#x20;to&#x20;perform&#x20;functions&#x20;as&#x20;a&#x20;root&#x20;user&#x20;while&#x20;limiting&#x20;and&#x20;password&#x20;protecting&#x20;the&#x20;access&#x20;privileges.&#x20;By&#x20;default&#x20;the&#x20;root&#x20;account&#x20;is&#x20;not&#x20;enabled&#x20;on&#x20;a&#x20;macOS&#x20;computer.&#x20;An&#x20;administrator&#x20;can&#x20;escalate&#x20;privileges&#x20;using&#x20;the&#x20;sudo&#x20;command&#x20;&#40;use&#x20;-s&#x20;or&#x20;-i&#x20;to&#x20;get&#x20;a&#x20;root&#x20;shell&#41;.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;the&#x20;root&#x20;user:&#x20;sudo&#x20;/usr/sbin/dsenableroot&#x20;-d','[{\"cis\": [\"5.6\"]}, {\"cis_level\": [\"1\"]}]'),(29052,'Ensure&#x20;Automatic&#x20;Login&#x20;Is&#x20;Disabled.','The&#x20;automatic&#x20;login&#x20;feature&#x20;saves&#x20;a&#x20;user&#039;s&#x20;system&#x20;access&#x20;credentials&#x20;and&#x20;bypasses&#x20;the&#x20;login&#x20;screen.&#x20;Instead,&#x20;the&#x20;system&#x20;automatically&#x20;loads&#x20;to&#x20;the&#x20;user&#039;s&#x20;desktop&#x20;screen.','Disabling&#x20;automatic&#x20;login&#x20;decreases&#x20;the&#x20;likelihood&#x20;of&#x20;an&#x20;unauthorized&#x20;person&#x20;gaining&#x20;access&#x20;to&#x20;a&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;automatic&#x20;login:&#x20;sudo&#x20;defaults&#x20;delete&#x20;/Library/Preferences/com.apple.loginwindow&#x20;autoLoginUser','[{\"cis\": [\"5.7\"]}, {\"cis_level\": [\"1\"]}]'),(29053,'Require&#x20;an&#x20;administrator&#x20;password&#x20;to&#x20;access&#x20;system-wide&#x20;preferences.','System&#x20;Preferences&#x20;controls&#x20;system&#x20;and&#x20;user&#x20;settings&#x20;on&#x20;a&#x20;macOS&#x20;Computer.&#x20;System&#x20;Preferences&#x20;allows&#x20;the&#x20;user&#x20;to&#x20;tailor&#x20;their&#x20;experience&#x20;on&#x20;the&#x20;computer&#x20;as&#x20;well&#x20;as&#x20;allowing&#x20;the&#x20;System&#x20;Administrator&#x20;to&#x20;configure&#x20;global&#x20;security&#x20;settings.&#x20;Some&#x20;of&#x20;the&#x20;settings&#x20;should&#x20;only&#x20;be&#x20;altered&#x20;by&#x20;the&#x20;person&#x20;responsible&#x20;for&#x20;the&#x20;computer.','By&#x20;requiring&#x20;a&#x20;password&#x20;to&#x20;unlock&#x20;system-wide&#x20;System&#x20;Preferences&#x20;the&#x20;risk&#x20;is&#x20;mitigated&#x20;of&#x20;a&#x20;user&#x20;changing&#x20;configurations&#x20;that&#x20;affect&#x20;the&#x20;entire&#x20;system&#x20;and&#x20;requires&#x20;an&#x20;admin&#x20;user&#x20;to&#x20;re-authenticate&#x20;to&#x20;make&#x20;changes.','','The&#x20;authorizationdb&#x20;settings&#x20;cannot&#x20;be&#x20;written&#x20;to&#x20;directly,&#x20;so&#x20;the&#x20;plist&#x20;must&#x20;be&#x20;exported&#x20;out&#x20;to&#x20;temporary&#x20;file.&#x20;Changes&#x20;can&#x20;be&#x20;made&#x20;to&#x20;the&#x20;temporary&#x20;plist,&#x20;then&#x20;imported&#x20;back&#x20;into&#x20;the&#x20;authorizationdb&#x20;settings.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;enable&#x20;that&#x20;an&#x20;administrator&#x20;password&#x20;is&#x20;required&#x20;to&#x20;access&#x20;system-wide&#x20;preferences:&#x20;$&#x20;sudo&#x20;security&#x20;authorizationdb&#x20;read&#x20;system.preferences&#x20;&gt;&#x20;/tmp/system.preferences.plist&#x20;$&#x20;sudo&#x20;defaults&#x20;write&#x20;/tmp/system.preferences.plist&#x20;shared&#x20;-bool&#x20;false&#x20;$&#x20;sudo&#x20;security&#x20;authorizationdb&#x20;write&#x20;system.preferences&#x20;&lt;&#x20;/tmp/system.preferences.plist','[{\"cis\": [\"5.10\"]}, {\"cis_level\": [\"1\"]}]'),(29054,'Ensure&#x20;an&#x20;administrator&#x20;account&#x20;cannot&#x20;login&#x20;to&#x20;another&#x20;user&#039;s&#x20;active&#x20;and&#x20;locked&#x20;session.','macOS&#x20;has&#x20;a&#x20;privilege&#x20;that&#x20;can&#x20;be&#x20;granted&#x20;to&#x20;any&#x20;user&#x20;that&#x20;will&#x20;allow&#x20;that&#x20;user&#x20;to&#x20;unlock&#x20;active&#x20;user&#039;s&#x20;sessions.','Disabling&#x20;the&#x20;admins&#x20;and/or&#x20;user&#039;s&#x20;ability&#x20;to&#x20;log&#x20;into&#x20;another&#x20;user&#039;s&#x20;active&#x20;and&#x20;locked&#x20;session&#x20;prevents&#x20;unauthorized&#x20;persons&#x20;from&#x20;viewing&#x20;potentially&#x20;sensitive&#x20;and/or&#x20;personal&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;a&#x20;user&#x20;logging&#x20;into&#x20;another&#x20;user&#039;s&#x20;active&#x20;and/or&#x20;locked&#x20;session:&#x20;sudo&#x20;security&#x20;authorizationdb&#x20;write&#x20;system.login.screensaver&#x20;use-login-window-ui','[{\"cis\": [\"5.11\"]}, {\"cis_level\": [\"1\"]}]'),(29055,'Ensure&#x20;a&#x20;Custom&#x20;Message&#x20;for&#x20;the&#x20;Login&#x20;Screen&#x20;Is&#x20;Enabled.','An&#x20;access&#x20;warning&#x20;informs&#x20;the&#x20;user&#x20;that&#x20;the&#x20;system&#x20;is&#x20;reserved&#x20;for&#x20;authorized&#x20;use&#x20;only,&#x20;and&#x20;that&#x20;the&#x20;use&#x20;of&#x20;the&#x20;system&#x20;may&#x20;be&#x20;monitored.','An&#x20;access&#x20;warning&#x20;may&#x20;reduce&#x20;a&#x20;casual&#x20;attacker&#039;s&#x20;tendency&#x20;to&#x20;target&#x20;the&#x20;system.&#x20;Access&#x20;warnings&#x20;may&#x20;also&#x20;aid&#x20;in&#x20;the&#x20;prosecution&#x20;of&#x20;an&#x20;attacker&#x20;by&#x20;evincing&#x20;the&#x20;attacker&#039;s&#x20;knowledge&#x20;of&#x20;the&#x20;system&#039;s&#x20;private&#x20;status,&#x20;acceptable&#x20;use&#x20;policy,&#x20;and&#x20;authorization&#x20;requirements.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;a&#x20;custom&#x20;login&#x20;screen&#x20;message:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;LoginwindowText&#x20;&quot;&lt;custom.message&gt;&quot;','[{\"cis\": [\"5.12\"]}, {\"cis_level\": [\"1\"]}]'),(29056,'Ensure&#x20;a&#x20;Login&#x20;Window&#x20;Banner&#x20;Exists.','A&#x20;Login&#x20;window&#x20;banner&#x20;warning&#x20;informs&#x20;the&#x20;user&#x20;that&#x20;the&#x20;system&#x20;is&#x20;reserved&#x20;for&#x20;authorized&#x20;use&#x20;only.&#x20;It&#x20;enforces&#x20;an&#x20;acknowledgment&#x20;by&#x20;the&#x20;user&#x20;that&#x20;they&#x20;have&#x20;been&#x20;informed&#x20;of&#x20;the&#x20;use&#x20;policy&#x20;in&#x20;the&#x20;banner&#x20;if&#x20;required.&#x20;The&#x20;system&#x20;recognizes&#x20;either&#x20;the&#x20;.txt&#x20;and&#x20;the&#x20;.rtf&#x20;formats.','An&#x20;access&#x20;warning&#x20;may&#x20;reduce&#x20;a&#x20;casual&#x20;attacker&#039;s&#x20;tendency&#x20;to&#x20;target&#x20;the&#x20;system.&#x20;Access&#x20;warnings&#x20;may&#x20;also&#x20;aid&#x20;in&#x20;the&#x20;prosecution&#x20;of&#x20;an&#x20;attacker&#x20;by&#x20;evincing&#x20;the&#x20;attacker&#039;s&#x20;knowledge&#x20;of&#x20;the&#x20;system&#039;s&#x20;private&#x20;status,&#x20;acceptable&#x20;use&#x20;policy,&#x20;and&#x20;authorization&#x20;requirements.','','Edit&#x20;&#40;or&#x20;create&#41;&#x20;a&#x20;PolicyBanner.txt&#x20;or&#x20;PolicyBanner.rtf&#x20;file,&#x20;in&#x20;the&#x20;/Library/Security/&#x20;folder,&#x20;to&#x20;include&#x20;the&#x20;required&#x20;login&#x20;window&#x20;banner&#x20;text.','[{\"cis\": [\"5.13\"]}, {\"cis_level\": [\"2\"]}]'),(29057,'Ensure&#x20;Fast&#x20;User&#x20;Switching&#x20;Is&#x20;Disabled.','Fast&#x20;user&#x20;switching&#x20;allows&#x20;a&#x20;person&#x20;to&#x20;quickly&#x20;log&#x20;in&#x20;to&#x20;the&#x20;computer&#x20;with&#x20;a&#x20;different&#x20;account.&#x20;While&#x20;only&#x20;a&#x20;minimal&#x20;security&#x20;risk,&#x20;when&#x20;a&#x20;second&#x20;user&#x20;is&#x20;logged&#x20;in,&#x20;that&#x20;user&#x20;might&#x20;be&#x20;able&#x20;to&#x20;see&#x20;what&#x20;processes&#x20;the&#x20;first&#x20;user&#x20;is&#x20;using,&#x20;or&#x20;possibly&#x20;gain&#x20;other&#x20;information&#x20;about&#x20;the&#x20;first&#x20;user.&#x20;In&#x20;a&#x20;large&#x20;directory&#x20;environment&#x20;where&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;limit&#x20;log&#x20;in&#x20;access&#x20;many&#x20;valid&#x20;users&#x20;can&#x20;login&#x20;to&#x20;other&#x20;user&#039;s&#x20;assigned&#x20;computers.','Fast&#x20;user&#x20;switching&#x20;allows&#x20;multiple&#x20;users&#x20;to&#x20;run&#x20;applications&#x20;simultaneously&#x20;at&#x20;console.&#x20;There&#x20;can&#x20;be&#x20;information&#x20;disclosed&#x20;about&#x20;processes&#x20;running&#x20;under&#x20;a&#x20;different&#x20;user.&#x20;Without&#x20;a&#x20;specific&#x20;configuration&#x20;to&#x20;save&#x20;data&#x20;and&#x20;log&#x20;out&#x20;users&#x20;can&#x20;have&#x20;unsaved&#x20;data&#x20;running&#x20;in&#x20;a&#x20;background&#x20;session&#x20;that&#x20;is&#x20;not&#x20;obvious.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;turn&#x20;fast&#x20;user&#x20;switching&#x20;off:&#x20;sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/.GlobalPreferences&#x20;MultipleSessionEnabled&#x20;-bool&#x20;false','[{\"cis\": [\"5.15\"]}, {\"cis_level\": [\"2\"]}]'),(29058,'Ensure&#x20;Login&#x20;Window&#x20;Displays&#x20;as&#x20;Name&#x20;and&#x20;Password&#x20;Is&#x20;Enabled.','The&#x20;login&#x20;window&#x20;prompts&#x20;a&#x20;user&#x20;for&#x20;his/her&#x20;credentials,&#x20;verifies&#x20;their&#x20;authorization&#x20;level&#x20;and&#x20;then&#x20;allows&#x20;or&#x20;denies&#x20;the&#x20;user&#x20;access&#x20;to&#x20;the&#x20;system.','Prompting&#x20;the&#x20;user&#x20;to&#x20;enter&#x20;both&#x20;their&#x20;username&#x20;and&#x20;password&#x20;makes&#x20;it&#x20;twice&#x20;as&#x20;hard&#x20;for&#x20;unauthorized&#x20;users&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system&#x20;since&#x20;they&#x20;must&#x20;discover&#x20;two&#x20;attributes.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;login&#x20;window&#x20;to&#x20;display&#x20;name&#x20;and&#x20;password:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;SHOWFULLNAME&#x20;-bool&#x20;true','[{\"cis\": [\"6.1.1\"]}, {\"cis_level\": [\"1\"]}]'),(29059,'Ensure&#x20;Show&#x20;Password&#x20;Hints&#x20;Is&#x20;Disabled.','Password&#x20;hints&#x20;are&#x20;user-created&#x20;text&#x20;displayed&#x20;when&#x20;an&#x20;incorrect&#x20;password&#x20;is&#x20;used&#x20;for&#x20;an&#x20;account.','Password&#x20;hints&#x20;make&#x20;it&#x20;easier&#x20;for&#x20;unauthorized&#x20;persons&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;systems&#x20;by&#x20;providing&#x20;information&#x20;to&#x20;anyone&#x20;that&#x20;the&#x20;user&#x20;provided&#x20;to&#x20;assist&#x20;in&#x20;remembering&#x20;the&#x20;password.&#x20;This&#x20;info&#x20;could&#x20;include&#x20;the&#x20;password&#x20;itself&#x20;or&#x20;other&#x20;information&#x20;that&#x20;might&#x20;be&#x20;readily&#x20;discerned&#x20;with&#x20;basic&#x20;knowledge&#x20;of&#x20;the&#x20;end&#x20;user.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;password&#x20;hints:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;RetriesUntilHint&#x20;-int&#x20;0','[{\"cis\": [\"6.1.2\"]}, {\"cis_level\": [\"1\"]}]'),(29060,'Ensure&#x20;Guest&#x20;Account&#x20;Is&#x20;Disabled.','The&#x20;guest&#x20;account&#x20;allows&#x20;users&#x20;access&#x20;to&#x20;the&#x20;system&#x20;without&#x20;having&#x20;to&#x20;create&#x20;an&#x20;account&#x20;or&#x20;password.&#x20;Guest&#x20;users&#x20;are&#x20;unable&#x20;to&#x20;make&#x20;setting&#x20;changes&#x20;cannot&#x20;remotely&#x20;login&#x20;to&#x20;the&#x20;system.&#x20;All&#x20;files,&#x20;caches,&#x20;and&#x20;passwords&#x20;created&#x20;by&#x20;the&#x20;guest&#x20;user&#x20;are&#x20;deleted&#x20;upon&#x20;logging&#x20;out.','Disabling&#x20;the&#x20;guest&#x20;account&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;untrusted&#x20;user&#x20;doing&#x20;basic&#x20;reconnaissance&#x20;and&#x20;possibly&#x20;using&#x20;privilege&#x20;escalation&#x20;attacks&#x20;to&#x20;take&#x20;control&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;the&#x20;guest&#x20;account:&#x20;sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;GuestEnabled&#x20;-bool&#x20;false','[{\"cis\": [\"6.1.3\"]}, {\"cis_level\": [\"1\"]}]'),(29061,'Ensure&#x20;Guest&#x20;Access&#x20;to&#x20;Shared&#x20;Folders&#x20;Is&#x20;Disabled.','Allowing&#x20;guests&#x20;to&#x20;connect&#x20;to&#x20;shared&#x20;folders&#x20;enables&#x20;users&#x20;to&#x20;access&#x20;selected&#x20;shared&#x20;folders&#x20;and&#x20;their&#x20;contents&#x20;from&#x20;different&#x20;computers&#x20;on&#x20;a&#x20;network.','Not&#x20;allowing&#x20;guests&#x20;to&#x20;connect&#x20;to&#x20;shared&#x20;folders&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;untrusted&#x20;user&#x20;doing&#x20;basic&#x20;reconnaissance&#x20;and&#x20;possibly&#x20;use&#x20;privilege&#x20;escalation&#x20;attacks&#x20;to&#x20;take&#x20;control&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;verify&#x20;that&#x20;shared&#x20;folders&#x20;are&#x20;not&#x20;accessible&#x20;to&#x20;guest&#x20;users:&#x20;sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/SystemConfiguration/com.apple.smb.server&#x20;AllowGuestAccess&#x20;-bool&#x20;false','[{\"cis\": [\"6.1.4\"]}, {\"cis_level\": [\"1\"]}]'),(29062,'Ensure&#x20;the&#x20;Guest&#x20;Home&#x20;Folder&#x20;Does&#x20;Not&#x20;Exist.','In&#x20;the&#x20;previous&#x20;two&#x20;controls&#x20;the&#x20;guest&#x20;account&#x20;login&#x20;has&#x20;been&#x20;disabled&#x20;and&#x20;sharing&#x20;to&#x20;guests&#x20;has&#x20;been&#x20;disabled&#x20;as&#x20;well.&#x20;There&#x20;is&#x20;no&#x20;need&#x20;for&#x20;the&#x20;legacy&#x20;Guest&#x20;home&#x20;folder&#x20;to&#x20;remain&#x20;in&#x20;the&#x20;file&#x20;system.&#x20;When&#x20;normal&#x20;user&#x20;accounts&#x20;are&#x20;removed&#x20;you&#x20;have&#x20;the&#x20;option&#x20;to&#x20;archive&#x20;it,&#x20;leave&#x20;it&#x20;in&#x20;place&#x20;or&#x20;delete.&#x20;In&#x20;the&#x20;case&#x20;of&#x20;the&#x20;guest&#x20;folder&#x20;the&#x20;folder&#x20;remains&#x20;in&#x20;place&#x20;without&#x20;a&#x20;GUI&#x20;option&#x20;to&#x20;remove&#x20;it.&#x20;If&#x20;at&#x20;some&#x20;point&#x20;in&#x20;the&#x20;future&#x20;a&#x20;Guest&#x20;account&#x20;is&#x20;needed&#x20;it&#x20;will&#x20;be&#x20;re-created.&#x20;The&#x20;presence&#x20;of&#x20;the&#x20;Guest&#x20;home&#x20;folder&#x20;can&#x20;cause&#x20;automated&#x20;audits&#x20;to&#x20;fail&#x20;when&#x20;looking&#x20;for&#x20;compliant&#x20;settings&#x20;within&#x20;all&#x20;User&#x20;folders&#x20;as&#x20;well.&#x20;Rather&#x20;than&#x20;ignoring&#x20;the&#x20;folder&#039;s&#x20;continued&#x20;existence,&#x20;it&#x20;is&#x20;best&#x20;removed.','The&#x20;Guest&#x20;home&#x20;folders&#x20;are&#x20;unneeded&#x20;after&#x20;the&#x20;Guest&#x20;account&#x20;is&#x20;disabled&#x20;and&#x20;could&#x20;be&#x20;used&#x20;inappropriately.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;Guest&#x20;user&#x20;home&#x20;folder:&#x20;sudo&#x20;/bin/rm&#x20;-R&#x20;/Users/Guest','[{\"cis\": [\"6.1.5\"]}, {\"cis_level\": [\"1\"]}]'),(29063,'Ensure&#x20;Show&#x20;All&#x20;Filename&#x20;Extensions&#x20;Setting&#x20;is&#x20;Enabled.','A&#x20;filename&#x20;extension&#x20;is&#x20;a&#x20;suffix&#x20;added&#x20;to&#x20;a&#x20;base&#x20;filename&#x20;that&#x20;indicates&#x20;the&#x20;base&#x20;filename&#039;s&#x20;file&#x20;format.','Visible&#x20;filename&#x20;extensions&#x20;allow&#x20;the&#x20;user&#x20;to&#x20;identify&#x20;the&#x20;file&#x20;type&#x20;and&#x20;the&#x20;application&#x20;it&#x20;is&#x20;associated&#x20;with&#x20;which&#x20;leads&#x20;to&#x20;quick&#x20;identification&#x20;of&#x20;misrepresented&#x20;malicious&#x20;files.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;displaying&#x20;of&#x20;file&#x20;extensions:&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;/usr/bin/defaults&#x20;write&#x20;/Users/&lt;username&gt;/Library/Preferences/.GlobalPreferences.plist&#x20;AppleShowAllExtensions&#x20;-bool&#x20;true','[{\"cis\": [\"6.2\"]}, {\"cis_level\": [\"1\"]}]'),(29064,'Ensure&#x20;Automatic&#x20;Opening&#x20;of&#x20;Safe&#x20;Files&#x20;in&#x20;Safari&#x20;Is&#x20;Disabled.','Safari&#x20;will&#x20;automatically&#x20;run&#x20;or&#x20;execute&#x20;what&#x20;it&#x20;considers&#x20;safe&#x20;files.&#x20;This&#x20;can&#x20;include&#x20;installers&#x20;and&#x20;other&#x20;files&#x20;that&#x20;execute&#x20;on&#x20;the&#x20;operating&#x20;system.&#x20;Safari&#x20;bases&#x20;file&#x20;safety&#x20;by&#x20;using&#x20;a&#x20;list&#x20;of&#x20;filetypes&#x20;maintained&#x20;by&#x20;Apple.&#x20;The&#x20;list&#x20;of&#x20;files&#x20;include&#x20;text,&#x20;image,&#x20;video&#x20;and&#x20;archive&#x20;formats&#x20;that&#x20;would&#x20;be&#x20;run&#x20;in&#x20;the&#x20;context&#x20;of&#x20;the&#x20;OS&#x20;rather&#x20;than&#x20;the&#x20;browser.','Hackers&#x20;have&#x20;taken&#x20;advantage&#x20;of&#x20;this&#x20;setting&#x20;via&#x20;drive-by&#x20;attacks.&#x20;These&#x20;attacks&#x20;occur&#x20;when&#x20;a&#x20;user&#x20;visits&#x20;a&#x20;legitimate&#x20;website&#x20;that&#x20;has&#x20;been&#x20;corrupted.&#x20;The&#x20;user&#x20;unknowingly&#x20;downloads&#x20;a&#x20;malicious&#x20;file&#x20;either&#x20;by&#x20;closing&#x20;an&#x20;infected&#x20;pop-up&#x20;or&#x20;hovering&#x20;over&#x20;a&#x20;malicious&#x20;banner.&#x20;An&#x20;attacker&#x20;can&#x20;create&#x20;a&#x20;malicious&#x20;file&#x20;that&#x20;will&#x20;fall&#x20;within&#x20;Safari&#039;s&#x20;safe&#x20;file&#x20;list&#x20;that&#x20;will&#x20;download&#x20;and&#x20;execute&#x20;without&#x20;user&#x20;input.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;safe&#x20;files&#x20;from&#x20;not&#x20;opening&#x20;in&#x20;Safari:&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;/usr/bin/defaults&#x20;write&#x20;/Users/&lt;username&gt;/Library/Containers/com.apple.Safari/Data/Library/Preferences/com.apple.Safari&#x20;AutoOpenSafeDownloads&#x20;-bool&#x20;false','[{\"cis\": [\"6.3\"]}, {\"cis_level\": [\"1\"]}]'),(29500,'Ensure&#x20;/tmp&#x20;is&#x20;a&#x20;separate&#x20;partition.','The&#x20;/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Making&#x20;/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hard&#x20;link&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hard&#x20;link&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.&#x20;This&#x20;can&#x20;be&#x20;accomplished&#x20;by&#x20;either&#x20;mounting&#x20;tmpfs&#x20;to&#x20;/tmp,&#x20;or&#x20;creating&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/tmp.','Since&#x20;the&#x20;/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;Running&#x20;out&#x20;of&#x20;/tmp&#x20;space&#x20;is&#x20;a&#x20;problem&#x20;regardless&#x20;of&#x20;what&#x20;kind&#x20;of&#x20;filesystem&#x20;lies&#x20;under&#x20;it,&#x20;but&#x20;in&#x20;a&#x20;configuration&#x20;where&#x20;/tmp&#x20;is&#x20;not&#x20;a&#x20;separate&#x20;file&#x20;system&#x20;it&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available,&#x20;as&#x20;the&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;On&#x20;the&#x20;other&#x20;hand,&#x20;a&#x20;RAM-based&#x20;/tmp&#x20;&#40;as&#x20;with&#x20;tmpfs&#41;&#x20;will&#x20;almost&#x20;certainly&#x20;be&#x20;much&#x20;smaller,&#x20;which&#x20;can&#x20;lead&#x20;to&#x20;applications&#x20;filling&#x20;up&#x20;the&#x20;filesystem&#x20;much&#x20;more&#x20;easily.&#x20;Another&#x20;alternative&#x20;is&#x20;to&#x20;create&#x20;a&#x20;dedicated&#x20;partition&#x20;for&#x20;/tmp&#x20;from&#x20;a&#x20;separate&#x20;volume&#x20;or&#x20;disk.&#x20;One&#x20;of&#x20;the&#x20;downsides&#x20;of&#x20;a&#x20;disk-based&#x20;dedicated&#x20;partition&#x20;is&#x20;that&#x20;it&#x20;will&#x20;be&#x20;slower&#x20;than&#x20;tmpfs&#x20;which&#x20;is&#x20;RAM-based.&#x20;/tmp&#x20;utilizing&#x20;tmpfs&#x20;can&#x20;be&#x20;resized&#x20;using&#x20;the&#x20;size={size}&#x20;parameter&#x20;in&#x20;the&#x20;relevant&#x20;entry&#x20;in&#x20;/etc/fstab.','First&#x20;ensure&#x20;that&#x20;systemd&#x20;is&#x20;correctly&#x20;configured&#x20;to&#x20;ensure&#x20;that&#x20;/tmp&#x20;will&#x20;be&#x20;mounted&#x20;at&#x20;boot&#x20;time.&#x20;#&#x20;systemctl&#x20;unmask&#x20;tmp.mount.&#x20;For&#x20;specific&#x20;configuration&#x20;requirements&#x20;of&#x20;the&#x20;/tmp&#x20;mount&#x20;for&#x20;your&#x20;environment,&#x20;modify&#x20;/etc/fstab&#x20;or&#x20;tmp.mount.&#x20;Example&#x20;of&#x20;/etc/fstab&#x20;configured&#x20;tmpfs&#x20;file&#x20;system&#x20;with&#x20;specific&#x20;mount&#x20;options:&#x20;tmpfs&#x20;/tmp&#x20;tmpfs&#x20;defaults,rw,nosuid,nodev,noexec,relatime,size=2G&#x20;0&#x20;0.&#x20;Example&#x20;of&#x20;tmp.mount&#x20;configured&#x20;tmpfs&#x20;file&#x20;system&#x20;with&#x20;specific&#x20;mount&#x20;options:&#x20;[Unit]&#x20;Description=Temporary&#x20;Directory&#x20;/tmp&#x20;ConditionPathIsSymbolicLink=!/tmp&#x20;DefaultDependencies=no&#x20;Conflicts=umount.target&#x20;Before=local-fs.target&#x20;umount.target&#x20;After=swap.target&#x20;[Mount]&#x20;What=tmpfs&#x20;Where=/tmp&#x20;Type=tmpfs.','[{\"cis\": [\"1.1.2.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29501,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/tmp&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/tmp.','[{\"cis\": [\"1.1.2.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29502,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/tmp&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/tmp.','[{\"cis\": [\"1.1.2.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29503,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/tmp&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/tmp.','[{\"cis\": [\"1.1.2.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29504,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var.','The&#x20;/var&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;daemons&#x20;and&#x20;other&#x20;system&#x20;services&#x20;to&#x20;temporarily&#x20;store&#x20;dynamic&#x20;data.&#x20;Some&#x20;directories&#x20;created&#x20;by&#x20;these&#x20;processes&#x20;may&#x20;be&#x20;world-writable.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/var&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follow.&#x20;-&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion:&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/var&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;In&#x20;addition,&#x20;other&#x20;operations&#x20;on&#x20;the&#x20;system&#x20;could&#x20;fill&#x20;up&#x20;the&#x20;disk&#x20;unrelated&#x20;to&#x20;/var&#x20;and&#x20;cause&#x20;unintended&#x20;behavior&#x20;across&#x20;the&#x20;system&#x20;as&#x20;the&#x20;disk&#x20;is&#x20;full.&#x20;See&#x20;man&#x20;auditd.conf&#x20;for&#x20;details.&#x20;-&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount:&#x20;Configuring&#x20;/var&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behaviour.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;-&#x20;Protection&#x20;from&#x20;exploitation:&#x20;An&#x20;example&#x20;of&#x20;exploiting&#x20;/var&#x20;may&#x20;be&#x20;an&#x20;attacker&#x20;establishing&#x20;a&#x20;hard-link&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hard-link&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.3.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0006\"]}]'),(29505,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var.','','IF&#x20;the&#x20;/var&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var.','[{\"cis\": [\"1.1.3.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}]'),(29506,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;variable&#x20;files&#x20;such&#x20;as&#x20;logs,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var.','','IF&#x20;the&#x20;/var&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var.','[{\"cis\": [\"1.1.3.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}]'),(29507,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/tmp.','The&#x20;/var/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.&#x20;Temporary&#x20;files&#x20;residing&#x20;in&#x20;/var/tmp&#x20;are&#x20;to&#x20;be&#x20;preserved&#x20;between&#x20;reboots.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/var/tmp&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follows.&#x20;-&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion:&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/var/tmp&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;In&#x20;addition,&#x20;other&#x20;operations&#x20;on&#x20;the&#x20;system&#x20;could&#x20;fill&#x20;up&#x20;the&#x20;disk&#x20;unrelated&#x20;to&#x20;/var/tmp&#x20;and&#x20;cause&#x20;the&#x20;potential&#x20;disruption&#x20;to&#x20;daemons&#x20;as&#x20;the&#x20;disk&#x20;is&#x20;full.&#x20;-&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount:&#x20;Configuring&#x20;/var/tmp&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behavior.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;-&#x20;Protection&#x20;from&#x20;exploitation:&#x20;An&#x20;example&#x20;of&#x20;exploiting&#x20;/var/tmp&#x20;may&#x20;be&#x20;an&#x20;attacker&#x20;establishing&#x20;a&#x20;hard-link&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hard-link&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/tmp.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.4.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29508,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/tmp.','','IF&#x20;the&#x20;/var/tmp&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/tmp&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/tmp.','[{\"cis\": [\"1.1.4.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29509,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/tmp.','','IF&#x20;the&#x20;/var/tmp&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/tmp&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/tmp.','[{\"cis\": [\"1.1.4.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29510,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/tmp.','','IF&#x20;the&#x20;/var/tmp&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/tmp&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/tmp.','[{\"cis\": [\"1.1.4.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29511,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log.','The&#x20;/var/log&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;system&#x20;services&#x20;to&#x20;store&#x20;log&#x20;data.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/var/log&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follows.&#x20;-&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion:&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/var/log&#x20;directory&#x20;contains&#x20;log&#x20;files&#x20;which&#x20;can&#x20;grow&#x20;quite&#x20;large,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;-&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount:&#x20;Configuring&#x20;/var/log&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behavior.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;-&#x20;Protection&#x20;of&#x20;log&#x20;data:&#x20;As&#x20;/var/log&#x20;contains&#x20;log&#x20;files,&#x20;care&#x20;should&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;the&#x20;security&#x20;and&#x20;integrity&#x20;of&#x20;the&#x20;data&#x20;and&#x20;mount&#x20;point.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log&#x20;.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.5.1\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"pci_dss_3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29512,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/log&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/log&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/log.','','IF&#x20;the&#x20;/var/log&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log.','[{\"cis\": [\"1.1.5.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29513,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/log&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/log&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;log&#x20;files,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/log.','','IF&#x20;the&#x20;/var/log&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log.','[{\"cis\": [\"1.1.5.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29514,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/log&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/log&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;log&#x20;files,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/log.','','IF&#x20;the&#x20;/var/log&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log.','[{\"cis\": [\"1.1.5.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29515,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log/audit.','The&#x20;auditing&#x20;daemon,&#x20;auditd,&#x20;stores&#x20;log&#x20;data&#x20;in&#x20;the&#x20;/var/log/audit&#x20;directory.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/var/log/audit&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follows.&#x20;-&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion:&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/var/log/audit&#x20;directory&#x20;contains&#x20;the&#x20;audit.log&#x20;file&#x20;which&#x20;can&#x20;grow&#x20;quite&#x20;large,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;In&#x20;addition,&#x20;other&#x20;operations&#x20;on&#x20;the&#x20;system&#x20;could&#x20;fill&#x20;up&#x20;the&#x20;disk&#x20;unrelated&#x20;to&#x20;/var/log/audit&#x20;and&#x20;cause&#x20;auditd&#x20;to&#x20;trigger&#x20;it&#039;s&#x20;space_left_action&#x20;as&#x20;the&#x20;disk&#x20;is&#x20;full.&#x20;See&#x20;man&#x20;auditd.conf&#x20;for&#x20;details.&#x20;-&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount:&#x20;Configuring&#x20;/var/log/audit&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behavior.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;-&#x20;Protection&#x20;of&#x20;audit&#x20;data:&#x20;As&#x20;/var/log/audit&#x20;contains&#x20;audit&#x20;logs,&#x20;care&#x20;should&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;the&#x20;security&#x20;and&#x20;integrity&#x20;of&#x20;the&#x20;data&#x20;and&#x20;mount&#x20;point.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log/audit.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.6.1\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"pci_dss_3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29516,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/log/audit&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/log/audit&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;audit&#x20;logs,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/log/audit.','','IF&#x20;the&#x20;/var/log/audit&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log/audit&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log/audit&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log/audit.','[{\"cis\": [\"1.1.6.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29517,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/log/audit&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/log/audit&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/log/audit.','','IF&#x20;the&#x20;/var/log/audit&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log/audit&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log/audit&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log/audit&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log/audit.','[{\"cis\": [\"1.1.6.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29518,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/log/audit&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/log/audit&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;variable&#x20;files&#x20;such&#x20;as&#x20;logs,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/log/audit.','','IF&#x20;the&#x20;/var/log/audit&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log/audit&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log/audit&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log/audit&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log/audit.','[{\"cis\": [\"1.1.6.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29519,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/home.','The&#x20;/home&#x20;directory&#x20;is&#x20;used&#x20;to&#x20;support&#x20;disk&#x20;storage&#x20;needs&#x20;of&#x20;local&#x20;users.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/home&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follows.&#x20;-&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion:&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/home&#x20;directory&#x20;contains&#x20;user&#x20;generated&#x20;data,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;In&#x20;addition,&#x20;other&#x20;operations&#x20;on&#x20;the&#x20;system&#x20;could&#x20;fill&#x20;up&#x20;the&#x20;disk&#x20;unrelated&#x20;to&#x20;/home&#x20;and&#x20;impact&#x20;all&#x20;local&#x20;users.&#x20;-&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount:&#x20;Configuring&#x20;/home&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;In&#x20;the&#x20;case&#x20;of&#x20;/home&#x20;options&#x20;such&#x20;as&#x20;usrquota/grpquota&#x20;may&#x20;be&#x20;considered&#x20;to&#x20;limit&#x20;the&#x20;impact&#x20;that&#x20;users&#x20;can&#x20;have&#x20;on&#x20;each&#x20;other&#x20;with&#x20;regards&#x20;to&#x20;disk&#x20;resource&#x20;exhaustion.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behavior.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;-&#x20;Protection&#x20;of&#x20;user&#x20;data:&#x20;As&#x20;/home&#x20;contains&#x20;user&#x20;data,&#x20;care&#x20;should&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;the&#x20;security&#x20;and&#x20;integrity&#x20;of&#x20;the&#x20;data&#x20;and&#x20;mount&#x20;point.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/home.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.7.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}]'),(29520,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/home&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/home.','','IF&#x20;the&#x20;/home&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/home&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/home&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,relatime&#x20;0&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/home&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/home.','[{\"cis\": [\"1.1.7.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29521,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/home&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;user&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/home.','','IF&#x20;the&#x20;/home&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/home&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/home&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,relatime&#x20;0&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/home&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/home.','[{\"cis\": [\"1.1.7.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29522,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/dev/shm&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;special&#x20;devices&#x20;in&#x20;/dev/shm&#x20;partitions.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm&#x20;using&#x20;the&#x20;updated&#x20;options&#x20;from&#x20;/etc/fstab:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/dev/shm.','[{\"cis\": [\"1.1.8.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}]'),(29523,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;executing&#x20;programs&#x20;from&#x20;shared&#x20;memory.&#x20;This&#x20;deters&#x20;users&#x20;from&#x20;introducing&#x20;potentially&#x20;malicious&#x20;software&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/dev/shm&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/dev/shm.&#x20;NOTE&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;use&#x20;tmpfs&#x20;as&#x20;the&#x20;device/filesystem&#x20;type&#x20;as&#x20;/dev/shm&#x20;is&#x20;used&#x20;as&#x20;shared&#x20;memory&#x20;space&#x20;by&#x20;applications.','[{\"cis\": [\"1.1.8.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29524,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;introducing&#x20;privileged&#x20;programs&#x20;onto&#x20;the&#x20;system&#x20;and&#x20;allowing&#x20;non-root&#x20;users&#x20;to&#x20;execute&#x20;them.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm&#x20;using&#x20;the&#x20;updated&#x20;options&#x20;from&#x20;/etc/fstab:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/dev/shm.','[{\"cis\": [\"1.1.8.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}]'),(29525,'Disable&#x20;Automounting.','autofs&#x20;allows&#x20;automatic&#x20;mounting&#x20;of&#x20;devices,&#x20;typically&#x20;including&#x20;CD/DVDs&#x20;and&#x20;USB&#x20;drives.','With&#x20;automounting&#x20;enabled&#x20;anyone&#x20;with&#x20;physical&#x20;access&#x20;could&#x20;attach&#x20;a&#x20;USB&#x20;drive&#x20;or&#x20;disc&#x20;and&#x20;have&#x20;its&#x20;contents&#x20;available&#x20;in&#x20;system&#x20;even&#x20;if&#x20;they&#x20;lacked&#x20;permissions&#x20;to&#x20;mount&#x20;it&#x20;themselves.','The&#x20;use&#x20;of&#x20;portable&#x20;hard&#x20;drives&#x20;is&#x20;very&#x20;common&#x20;for&#x20;workstation&#x20;users.&#x20;If&#x20;your&#x20;organization&#x20;allows&#x20;the&#x20;use&#x20;of&#x20;portable&#x20;storage&#x20;or&#x20;media&#x20;on&#x20;workstations&#x20;and&#x20;physical&#x20;access&#x20;controls&#x20;to&#x20;workstations&#x20;is&#x20;considered&#x20;adequate&#x20;there&#x20;is&#x20;little&#x20;value&#x20;add&#x20;in&#x20;turning&#x20;off&#x20;automounting.','If&#x20;there&#x20;are&#x20;no&#x20;other&#x20;packages&#x20;that&#x20;depends&#x20;on&#x20;autofs,&#x20;remove&#x20;the&#x20;package&#x20;with:&#x20;#&#x20;apt&#x20;purge&#x20;autofs&#x20;OR&#x20;if&#x20;there&#x20;are&#x20;dependencies&#x20;on&#x20;the&#x20;autofs&#x20;package:&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;mask&#x20;autofs:&#x20;#&#x20;systemctl&#x20;stop&#x20;autofs&#x20;#&#x20;systemctl&#x20;mask&#x20;autofs.','[{\"cis\": [\"1.1.9\"]}, {\"cis_csc_v8\": [\"10.3\"]}, {\"cis_csc_v7\": [\"8.5\"]}, {\"cmmc_v2.0\": [\"MP.L2-3.8.7\"]}, {\"hipaa\": [\"164.310(d)(1)\"]}, {\"iso_27001-2013\": [\"A.12.2.1\"]}, {\"mitre_techniques\": [\"T1068\", \"T1203\", \"T1211\", \"T1212\"]}]'),(29526,'Ensure&#x20;AIDE&#x20;is&#x20;installed.','AIDE&#x20;takes&#x20;a&#x20;snapshot&#x20;of&#x20;filesystem&#x20;state&#x20;including&#x20;modification&#x20;times,&#x20;permissions,&#x20;and&#x20;file&#x20;hashes&#x20;which&#x20;can&#x20;then&#x20;be&#x20;used&#x20;to&#x20;compare&#x20;against&#x20;the&#x20;current&#x20;state&#x20;of&#x20;the&#x20;filesystem&#x20;to&#x20;detect&#x20;modifications&#x20;to&#x20;the&#x20;system.','By&#x20;monitoring&#x20;the&#x20;filesystem&#x20;state&#x20;compromised&#x20;files&#x20;can&#x20;be&#x20;detected&#x20;to&#x20;prevent&#x20;or&#x20;limit&#x20;the&#x20;exposure&#x20;of&#x20;accidental&#x20;or&#x20;malicious&#x20;misconfigurations&#x20;or&#x20;modified&#x20;binaries.','','Install&#x20;AIDE&#x20;using&#x20;the&#x20;appropriate&#x20;package&#x20;manager&#x20;or&#x20;manual&#x20;installation:&#x20;#&#x20;apt&#x20;install&#x20;aide&#x20;aide-common&#x20;Configure&#x20;AIDE&#x20;as&#x20;appropriate&#x20;for&#x20;your&#x20;environment.&#x20;Consult&#x20;the&#x20;AIDE&#x20;documentation&#x20;for&#x20;options.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;initialize&#x20;AIDE:&#x20;#&#x20;aideinit&#x20;#&#x20;mv&#x20;/var/lib/aide/aide.db.new&#x20;/var/lib/aide/aide.db.','[{\"cis\": [\"1.3.1\"]}, {\"cis_csc_v8\": [\"3.14\"]}, {\"cis_csc_v7\": [\"14.9\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.7\"]}, {\"hipaa\": [\"164.312(b)\", \"164.312(c)(1)\", \"164.312(c)(2)\"]}, {\"pci_dss_3.2.1\": [\"10.2.1\", \"11.5\"]}, {\"pci_dss_4.0\": [\"10.2.1\", \"10.2.1.1\"]}, {\"nist_sp_800-53\": [\"AC-6(9)\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.12.4.3\"]}, {\"mitre_techniques\": [\"T1036\", \"T1036.002\", \"T1036.003\", \"T1036.004\", \"T1036.005\", \"T1565\", \"T1565.001\"]}]'),(29527,'Ensure&#x20;filesystem&#x20;integrity&#x20;is&#x20;regularly&#x20;checked.','Periodic&#x20;checking&#x20;of&#x20;the&#x20;filesystem&#x20;integrity&#x20;is&#x20;needed&#x20;to&#x20;detect&#x20;changes&#x20;to&#x20;the&#x20;filesystem.','Periodic&#x20;file&#x20;checking&#x20;allows&#x20;the&#x20;system&#x20;administrator&#x20;to&#x20;determine&#x20;on&#x20;a&#x20;regular&#x20;basis&#x20;if&#x20;critical&#x20;files&#x20;have&#x20;been&#x20;changed&#x20;in&#x20;an&#x20;unauthorized&#x20;fashion.','','If&#x20;cron&#x20;will&#x20;be&#x20;used&#x20;to&#x20;schedule&#x20;and&#x20;run&#x20;aide&#x20;check:&#x20;Run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;crontab&#x20;-u&#x20;root&#x20;-e&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;crontab:&#x20;0&#x20;5&#x20;*&#x20;*&#x20;*&#x20;/usr/bin/aide.wrapper&#x20;--config&#x20;/etc/aide/aide.conf&#x20;--check&#x20;OR&#x20;If&#x20;aidecheck.service&#x20;and&#x20;aidecheck.timer&#x20;will&#x20;be&#x20;used&#x20;to&#x20;schedule&#x20;and&#x20;run&#x20;aide&#x20;check:&#x20;Create&#x20;or&#x20;edit&#x20;the&#x20;file&#x20;/etc/systemd/system/aidecheck.service&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;[Unit]&#x20;Description=Aide&#x20;Check&#x20;[Service]&#x20;Type=simple&#x20;ExecStart=/usr/bin/aide.wrapper&#x20;--config&#x20;/etc/aide/aide.conf&#x20;--check&#x20;[Install]&#x20;WantedBy=multi-user.target.&#x20;Create&#x20;or&#x20;edit&#x20;the&#x20;file&#x20;/etc/systemd/system/aidecheck.timer&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;[Unit]&#x20;Description=Aide&#x20;check&#x20;every&#x20;day&#x20;at&#x20;5AM&#x20;[Timer]&#x20;OnCalendar=*-*-*&#x20;05:00:00&#x20;Unit=aidecheck.service&#x20;[Install]&#x20;WantedBy=multi-user.target.&#x20;Run&#x20;the&#x20;following&#x20;commands:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/systemd/system/aidecheck.*&#x20;#&#x20;chmod&#x20;0644&#x20;/etc/systemd/system/aidecheck.*&#x20;#&#x20;systemctl&#x20;daemon-reload&#x20;#&#x20;systemctl&#x20;enable&#x20;aidecheck.service&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;aidecheck.timer.','[{\"cis\": [\"1.3.2\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"14.9\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.3\"]}, {\"mitre_techniques\": [\"T1036\", \"T1036.002\", \"T1036.003\", \"T1036.004\", \"T1036.005\", \"T1565\", \"T1565.001\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29528,'Ensure&#x20;bootloader&#x20;password&#x20;is&#x20;set.','Setting&#x20;the&#x20;boot&#x20;loader&#x20;password&#x20;will&#x20;require&#x20;that&#x20;anyone&#x20;rebooting&#x20;the&#x20;system&#x20;must&#x20;enter&#x20;a&#x20;password&#x20;before&#x20;being&#x20;able&#x20;to&#x20;set&#x20;command&#x20;line&#x20;boot&#x20;parameters.','Requiring&#x20;a&#x20;boot&#x20;password&#x20;upon&#x20;execution&#x20;of&#x20;the&#x20;boot&#x20;loader&#x20;will&#x20;prevent&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;entering&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;the&#x20;boot&#x20;partition.&#x20;This&#x20;prevents&#x20;users&#x20;from&#x20;weakening&#x20;security&#x20;&#40;e.g.&#x20;turning&#x20;off&#x20;AppArmor&#x20;at&#x20;boot&#x20;time&#41;.','If&#x20;password&#x20;protection&#x20;is&#x20;enabled,&#x20;only&#x20;the&#x20;designated&#x20;superuser&#x20;can&#x20;edit&#x20;a&#x20;Grub&#x20;2&#x20;menu&#x20;item&#x20;by&#x20;pressing&#x20;&#039;e&#039;&#x20;or&#x20;access&#x20;the&#x20;GRUB&#x20;2&#x20;command&#x20;line&#x20;by&#x20;pressing&#x20;&#039;c&#039;&#x20;If&#x20;GRUB&#x20;2&#x20;is&#x20;set&#x20;up&#x20;to&#x20;boot&#x20;automatically&#x20;to&#x20;a&#x20;password-protected&#x20;menu&#x20;entry&#x20;the&#x20;user&#x20;has&#x20;no&#x20;option&#x20;to&#x20;back&#x20;out&#x20;of&#x20;the&#x20;password&#x20;prompt&#x20;to&#x20;select&#x20;another&#x20;menu&#x20;entry.&#x20;Holding&#x20;the&#x20;SHIFT&#x20;key&#x20;will&#x20;not&#x20;display&#x20;the&#x20;menu&#x20;in&#x20;this&#x20;case.&#x20;The&#x20;user&#x20;must&#x20;enter&#x20;the&#x20;correct&#x20;username&#x20;and&#x20;password.&#x20;If&#x20;unable,&#x20;the&#x20;configuration&#x20;files&#x20;will&#x20;have&#x20;to&#x20;be&#x20;edited&#x20;via&#x20;the&#x20;LiveCD&#x20;or&#x20;other&#x20;means&#x20;to&#x20;fix&#x20;the&#x20;problem&#x20;You&#x20;can&#x20;add&#x20;--unrestricted&#x20;to&#x20;the&#x20;menu&#x20;entries&#x20;to&#x20;allow&#x20;the&#x20;system&#x20;to&#x20;boot&#x20;without&#x20;entering&#x20;a&#x20;password.&#x20;Password&#x20;will&#x20;still&#x20;be&#x20;required&#x20;to&#x20;edit&#x20;menu&#x20;items.&#x20;More&#x20;Information:&#x20;https://help.ubuntu.com/community/Grub2/Passwords.','Create&#x20;an&#x20;encrypted&#x20;password&#x20;with&#x20;grub-mkpasswd-pbkdf2:&#x20;#&#x20;grub-mkpasswd-pbkdf2&#x20;Enter&#x20;password:&#x20;&lt;password&gt;&#x20;Reenter&#x20;password:&#x20;&lt;password&gt;&#x20;PBKDF2&#x20;hash&#x20;of&#x20;your&#x20;password&#x20;is&#x20;&lt;encrypted-password&gt;.&#x20;Add&#x20;the&#x20;following&#x20;into&#x20;a&#x20;custom&#x20;/etc/grub.d&#x20;configuration&#x20;file:&#x20;cat&#x20;&lt;&lt;EOF&#x20;set&#x20;superusers=&quot;&lt;username&gt;&quot;&#x20;password_pbkdf2&#x20;&lt;username&gt;&#x20;&lt;encrypted-password&gt;&#x20;EOF.&#x20;The&#x20;superuser/user&#x20;information&#x20;and&#x20;password&#x20;should&#x20;not&#x20;be&#x20;contained&#x20;in&#x20;the&#x20;/etc/grub.d/00_header&#x20;file&#x20;as&#x20;this&#x20;file&#x20;could&#x20;be&#x20;overwritten&#x20;in&#x20;a&#x20;package&#x20;update.&#x20;If&#x20;there&#x20;is&#x20;a&#x20;requirement&#x20;to&#x20;be&#x20;able&#x20;to&#x20;boot/reboot&#x20;without&#x20;entering&#x20;the&#x20;password,&#x20;edit&#x20;/etc/grub.d/10_linux&#x20;and&#x20;add&#x20;--unrestricted&#x20;to&#x20;the&#x20;line&#x20;CLASS=&#x20;Example:&#x20;CLASS=&quot;--class&#x20;gnu-linux&#x20;--class&#x20;gnu&#x20;--class&#x20;os&#x20;--unrestricted&quot;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub.','[{\"cis\": [\"1.4.1\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1542\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1046\"]}]'),(29529,'Ensure&#x20;permissions&#x20;on&#x20;bootloader&#x20;config&#x20;are&#x20;configured.','The&#x20;grub&#x20;configuration&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;boot&#x20;settings&#x20;and&#x20;passwords&#x20;for&#x20;unlocking&#x20;boot&#x20;options.','Setting&#x20;the&#x20;permissions&#x20;to&#x20;read&#x20;and&#x20;write&#x20;for&#x20;root&#x20;only&#x20;prevents&#x20;non-root&#x20;users&#x20;from&#x20;seeing&#x20;the&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;them.&#x20;Non-root&#x20;users&#x20;who&#x20;read&#x20;the&#x20;boot&#x20;parameters&#x20;may&#x20;be&#x20;able&#x20;to&#x20;identify&#x20;weaknesses&#x20;in&#x20;security&#x20;upon&#x20;boot&#x20;and&#x20;be&#x20;able&#x20;to&#x20;exploit&#x20;them.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;your&#x20;grub&#x20;configuration:&#x20;#&#x20;chown&#x20;root:root&#x20;/boot/grub/grub.cfg&#x20;#&#x20;chmod&#x20;u-wx,go-rwx&#x20;/boot/grub/grub.cfg.','[{\"cis\": [\"1.4.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1542\"]}, {\"mitre_tactics\": [\"TA0005\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29530,'Ensure&#x20;authentication&#x20;required&#x20;for&#x20;single&#x20;user&#x20;mode.','Single&#x20;user&#x20;mode&#x20;is&#x20;used&#x20;for&#x20;recovery&#x20;when&#x20;the&#x20;system&#x20;detects&#x20;an&#x20;issue&#x20;during&#x20;boot&#x20;or&#x20;by&#x20;manual&#x20;selection&#x20;from&#x20;the&#x20;bootloader.','Requiring&#x20;authentication&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;prevents&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;rebooting&#x20;the&#x20;system&#x20;into&#x20;single&#x20;user&#x20;to&#x20;gain&#x20;root&#x20;privileges&#x20;without&#x20;credentials.','','Run&#x20;the&#x20;following&#x20;command&#x20;and&#x20;follow&#x20;the&#x20;prompts&#x20;to&#x20;set&#x20;a&#x20;password&#x20;for&#x20;the&#x20;root&#x20;user:&#x20;#&#x20;passwd&#x20;root.','[{\"cis\": [\"1.4.3\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29531,'Ensure&#x20;prelink&#x20;is&#x20;not&#x20;installed.','prelink&#x20;is&#x20;a&#x20;program&#x20;that&#x20;modifies&#x20;ELF&#x20;shared&#x20;libraries&#x20;and&#x20;ELF&#x20;dynamically&#x20;linked&#x20;binaries&#x20;in&#x20;such&#x20;a&#x20;way&#x20;that&#x20;the&#x20;time&#x20;needed&#x20;for&#x20;the&#x20;dynamic&#x20;linker&#x20;to&#x20;perform&#x20;relocations&#x20;at&#x20;startup&#x20;significantly&#x20;decreases.','The&#x20;prelinking&#x20;feature&#x20;can&#x20;interfere&#x20;with&#x20;the&#x20;operation&#x20;of&#x20;AIDE,&#x20;because&#x20;it&#x20;changes&#x20;binaries.&#x20;Prelinking&#x20;can&#x20;also&#x20;increase&#x20;the&#x20;vulnerability&#x20;of&#x20;the&#x20;system&#x20;if&#x20;a&#x20;malicious&#x20;user&#x20;is&#x20;able&#x20;to&#x20;compromise&#x20;a&#x20;common&#x20;library&#x20;such&#x20;as&#x20;libc.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restore&#x20;binaries&#x20;to&#x20;normal:&#x20;#&#x20;prelink&#x20;-ua&#x20;.&#x20;Uninstall&#x20;prelink&#x20;using&#x20;the&#x20;appropriate&#x20;package&#x20;manager&#x20;or&#x20;manual&#x20;installation:&#x20;#&#x20;apt&#x20;purge&#x20;prelink.','[{\"cis\": [\"1.5.2\"]}, {\"cis_csc_v8\": [\"3.14\"]}, {\"cis_csc_v7\": [\"14.9\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.7\"]}, {\"hipaa\": [\"164.312(b)\", \"164.312(c)(1)\", \"164.312(c)(2)\"]}, {\"pci_dss_3.2.1\": [\"10.2.1\", \"11.5\"]}, {\"pci_dss_4.0\": [\"10.2.1\", \"10.2.1.1\"]}, {\"nist_sp_800-53\": [\"AC-6(9)\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.12.4.3\"]}, {\"mitre_techniques\": [\"T1055\", \"T1055.009\", \"T1065\", \"T1065.001\"]}, {\"mitre_tactics\": [\"TA0002\"]}, {\"mitre_mitigations\": [\"M1050\"]}]'),(29532,'Ensure&#x20;Automatic&#x20;Error&#x20;Reporting&#x20;is&#x20;not&#x20;enabled.','The&#x20;Apport&#x20;Error&#x20;Reporting&#x20;Service&#x20;automatically&#x20;generates&#x20;crash&#x20;reports&#x20;for&#x20;debugging.','Apport&#x20;collects&#x20;potentially&#x20;sensitive&#x20;data,&#x20;such&#x20;as&#x20;core&#x20;dumps,&#x20;stack&#x20;traces,&#x20;and&#x20;log&#x20;files.&#x20;They&#x20;can&#x20;contain&#x20;passwords,&#x20;credit&#x20;card&#x20;numbers,&#x20;serial&#x20;numbers,&#x20;and&#x20;other&#x20;private&#x20;material.','','Edit&#x20;/etc/default/apport&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;the&#x20;enabled&#x20;parameter&#x20;to&#x20;equal&#x20;0:&#x20;enabled=0&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;stop&#x20;and&#x20;disable&#x20;the&#x20;apport&#x20;service&#x20;#&#x20;systemctl&#x20;stop&#x20;apport.service&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;apport.service&#x20;--&#x20;OR&#x20;--&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;apport&#x20;package:&#x20;#&#x20;apt&#x20;purge&#x20;apport.','[{\"cis\": [\"1.5.3\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}]'),(29533,'Ensure&#x20;core&#x20;dumps&#x20;are&#x20;restricted.','A&#x20;core&#x20;dump&#x20;is&#x20;the&#x20;memory&#x20;of&#x20;an&#x20;executable&#x20;program.&#x20;It&#x20;is&#x20;generally&#x20;used&#x20;to&#x20;determine&#x20;why&#x20;a&#x20;program&#x20;aborted.&#x20;It&#x20;can&#x20;also&#x20;be&#x20;used&#x20;to&#x20;glean&#x20;confidential&#x20;information&#x20;from&#x20;a&#x20;core&#x20;file.&#x20;The&#x20;system&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;a&#x20;soft&#x20;limit&#x20;for&#x20;core&#x20;dumps,&#x20;but&#x20;this&#x20;can&#x20;be&#x20;overridden&#x20;by&#x20;the&#x20;user.','Setting&#x20;a&#x20;hard&#x20;limit&#x20;on&#x20;core&#x20;dumps&#x20;prevents&#x20;users&#x20;from&#x20;overriding&#x20;the&#x20;soft&#x20;variable.&#x20;If&#x20;core&#x20;dumps&#x20;are&#x20;required,&#x20;consider&#x20;setting&#x20;limits&#x20;for&#x20;user&#x20;groups&#x20;&#40;see&#x20;limits.conf&#40;5&#41;&#x20;&#41;.&#x20;In&#x20;addition,&#x20;setting&#x20;the&#x20;fs.suid_dumpable&#x20;variable&#x20;to&#x20;0&#x20;will&#x20;prevent&#x20;setuid&#x20;programs&#x20;from&#x20;dumping&#x20;core.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;/etc/security/limits.conf&#x20;or&#x20;a&#x20;/etc/security/limits.d&#47;&#42;&#x20;file:&#x20;*&#x20;hard&#x20;core&#x20;0.&#x20;Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;fs.suid_dumpable&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;fs.suid_dumpable=0.&#x20;IF&#x20;systemd-coredump&#x20;is&#x20;installed:&#x20;edit&#x20;/etc/systemd/coredump.conf&#x20;and&#x20;add/modify&#x20;the&#x20;following&#x20;lines:&#x20;Storage=none&#x20;ProcessSizeMax=0.&#x20;Run&#x20;the&#x20;command:&#x20;systemctl&#x20;daemon-reload.','[{\"cis\": [\"1.5.4\"]}, {\"mitre_techniques\": [\"T1005\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29534,'Ensure&#x20;AppArmor&#x20;is&#x20;installed.','AppArmor&#x20;provides&#x20;Mandatory&#x20;Access&#x20;Controls.','Without&#x20;a&#x20;Mandatory&#x20;Access&#x20;Control&#x20;system&#x20;installed&#x20;only&#x20;the&#x20;default&#x20;Discretionary&#x20;Access&#x20;Control&#x20;system&#x20;will&#x20;be&#x20;available.','','Install&#x20;AppArmor.&#x20;#&#x20;apt&#x20;install&#x20;apparmor&#x20;apparmor-utils.','[{\"cis\": [\"1.6.1.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1068\", \"T1565\", \"T1565.001\", \"T1565.003\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(29535,'Ensure&#x20;AppArmor&#x20;is&#x20;enabled&#x20;in&#x20;the&#x20;bootloader&#x20;configuration.','Configure&#x20;AppArmor&#x20;to&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;and&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;not&#x20;been&#x20;overwritten&#x20;by&#x20;the&#x20;bootloader&#x20;boot&#x20;parameters.&#x20;Note:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.','AppArmor&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;your&#x20;bootloader&#x20;configuration&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;not&#x20;overridden.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;the&#x20;apparmor=1&#x20;and&#x20;security=apparmor&#x20;parameters&#x20;to&#x20;the&#x20;GRUB_CMDLINE_LINUX=&#x20;line&#x20;GRUB_CMDLINE_LINUX=&quot;apparmor=1&#x20;security=apparmor&quot;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub.','[{\"cis\": [\"1.6.1.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1068\", \"T1565\", \"T1565.001\", \"T1565.003\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(29536,'Ensure&#x20;all&#x20;AppArmor&#x20;Profiles&#x20;are&#x20;in&#x20;enforce&#x20;or&#x20;complain&#x20;mode.','AppArmor&#x20;profiles&#x20;define&#x20;what&#x20;resources&#x20;applications&#x20;are&#x20;able&#x20;to&#x20;access.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;any&#x20;policies&#x20;that&#x20;exist&#x20;on&#x20;the&#x20;system&#x20;are&#x20;activated.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;all&#x20;profiles&#x20;to&#x20;enforce&#x20;mode:&#x20;#&#x20;aa-enforce&#x20;/etc/apparmor.d&#47;&#42;&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;all&#x20;profiles&#x20;to&#x20;complain&#x20;mode:&#x20;#&#x20;aa-complain&#x20;/etc/apparmor.d&#47;&#42;&#x20;Note:&#x20;Any&#x20;unconfined&#x20;processes&#x20;may&#x20;need&#x20;to&#x20;have&#x20;a&#x20;profile&#x20;created&#x20;or&#x20;activated&#x20;for&#x20;them&#x20;and&#x20;then&#x20;be&#x20;restarted.','[{\"cis\": [\"1.6.1.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29537,'Ensure&#x20;all&#x20;AppArmor&#x20;Profiles&#x20;are&#x20;enforcing.','AppArmor&#x20;profiles&#x20;define&#x20;what&#x20;resources&#x20;applications&#x20;are&#x20;able&#x20;to&#x20;access.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;any&#x20;policies&#x20;that&#x20;exist&#x20;on&#x20;the&#x20;system&#x20;are&#x20;activated.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;all&#x20;profiles&#x20;to&#x20;enforce&#x20;mode:&#x20;#&#x20;aa-enforce&#x20;/etc/apparmor.d&#47;&#42;&#x20;Note:&#x20;Any&#x20;unconfined&#x20;processes&#x20;may&#x20;need&#x20;to&#x20;have&#x20;a&#x20;profile&#x20;created&#x20;or&#x20;activated&#x20;for&#x20;them&#x20;and&#x20;then&#x20;be&#x20;restarted.','[{\"cis\": [\"1.6.1.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1068\", \"T1565\", \"T1565.001\", \"T1565.003\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29538,'Ensure&#x20;message&#x20;of&#x20;the&#x20;day&#x20;is&#x20;configured&#x20;properly.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;.&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/motd&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;v&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform&#x20;OR&#x20;If&#x20;the&#x20;motd&#x20;is&#x20;not&#x20;used,&#x20;this&#x20;file&#x20;can&#x20;be&#x20;removed.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;motd&#x20;file:&#x20;#&#x20;rm&#x20;/etc/motd.','[{\"cis\": [\"1.7.1\"]}, {\"mitre_techniques\": [\"T1082\", \"T1592\", \"T1592.004\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29539,'Ensure&#x20;local&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;.&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;or&#x20;v&#x20;,&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue.','[{\"cis\": [\"1.7.2\"]}, {\"mitre_techniques\": [\"T1082\", \"T1592\", \"T1592.004\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29540,'Ensure&#x20;remote&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;uname&#x20;-a&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;or&#x20;v&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue.net.','[{\"cis\": [\"1.7.3\"]}, {\"mitre_techniques\": [\"T1018\", \"T1082\", \"T1592\", \"T1592.004\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29541,'Ensure&#x20;permissions&#x20;on&#x20;/etc/motd&#x20;are&#x20;configured.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.','If&#x20;the&#x20;/etc/motd&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/motd:&#x20;#&#x20;chown&#x20;root:root&#x20;$&#40;readlink&#x20;-e&#x20;/etc/motd&#41;&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;$&#40;readlink&#x20;-e&#x20;/etc/motd&#41;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;/etc/motd&#x20;file:&#x20;#&#x20;rm&#x20;/etc/motd.','[{\"cis\": [\"1.7.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29542,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue&#x20;are&#x20;configured.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.','If&#x20;the&#x20;/etc/issue&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;$&#40;readlink&#x20;-e&#x20;/etc/issue&#41;&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;$&#40;readlink&#x20;-e&#x20;/etc/issue&#41;.','[{\"cis\": [\"1.7.5\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29543,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue.net&#x20;are&#x20;configured.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.','If&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue.net&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;$&#40;readlink&#x20;-e&#x20;/etc/issue.net&#41;&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;$&#40;readlink&#x20;-e&#x20;/etc/issue.net&#41;.','[{\"cis\": [\"1.7.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29544,'Ensure&#x20;GNOME&#x20;Display&#x20;Manager&#x20;is&#x20;removed.','The&#x20;GNOME&#x20;Display&#x20;Manager&#x20;&#40;GDM&#41;&#x20;is&#x20;a&#x20;program&#x20;that&#x20;manages&#x20;graphical&#x20;display&#x20;servers&#x20;and&#x20;handles&#x20;graphical&#x20;user&#x20;logins.','If&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','Removing&#x20;the&#x20;GNOME&#x20;Display&#x20;manager&#x20;will&#x20;remove&#x20;the&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;from&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;gdm3:&#x20;#&#x20;apt&#x20;purge&#x20;gdm3.','[{\"cis\": [\"1.8.1\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0002\"]}]'),(29545,'Ensure&#x20;XDCMP&#x20;is&#x20;not&#x20;enabled.','X&#x20;Display&#x20;Manager&#x20;Control&#x20;Protocol&#x20;&#40;XDMCP&#41;&#x20;is&#x20;designed&#x20;to&#x20;provide&#x20;authenticated&#x20;access&#x20;to&#x20;display&#x20;management&#x20;services&#x20;for&#x20;remote&#x20;displays.','XDMCP&#x20;is&#x20;inherently&#x20;insecure.&#x20;XDMCP&#x20;is&#x20;not&#x20;a&#x20;ciphered&#x20;protocol.&#x20;This&#x20;may&#x20;allow&#x20;an&#x20;attacker&#x20;to&#x20;capture&#x20;keystrokes&#x20;entered&#x20;by&#x20;a&#x20;user&#x20;XDMCP&#x20;is&#x20;vulnerable&#x20;to&#x20;man-in-the-middle&#x20;attacks.&#x20;This&#x20;may&#x20;allow&#x20;an&#x20;attacker&#x20;to&#x20;steal&#x20;the&#x20;credentials&#x20;of&#x20;legitimate&#x20;users&#x20;by&#x20;impersonating&#x20;the&#x20;XDMCP&#x20;server.','','Edit&#x20;the&#x20;file&#x20;/etc/gdm3/custom.conf&#x20;and&#x20;remove&#x20;the&#x20;line:&#x20;Enable=true.','[{\"cis\": [\"1.8.10\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1040\", \"T1056\", \"T1056.001\", \"T1557\"]}, {\"mitre_tactics\": [\"TA0002\"]}, {\"mitre_mitigations\": [\"M1050\"]}]'),(29546,'Ensure&#x20;updates,&#x20;patches,&#x20;and&#x20;additional&#x20;security&#x20;software&#x20;are&#x20;installed.','Periodically&#x20;patches&#x20;are&#x20;released&#x20;for&#x20;included&#x20;software&#x20;either&#x20;due&#x20;to&#x20;security&#x20;flaws&#x20;or&#x20;to&#x20;include&#x20;additional&#x20;functionality.','Newer&#x20;patches&#x20;may&#x20;contain&#x20;security&#x20;enhancements&#x20;that&#x20;would&#x20;not&#x20;be&#x20;available&#x20;through&#x20;the&#x20;latest&#x20;full&#x20;update.&#x20;As&#x20;a&#x20;result,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;latest&#x20;software&#x20;patches&#x20;be&#x20;used&#x20;to&#x20;take&#x20;advantage&#x20;of&#x20;the&#x20;latest&#x20;functionality.&#x20;As&#x20;with&#x20;any&#x20;software&#x20;installation,&#x20;organizations&#x20;need&#x20;to&#x20;determine&#x20;if&#x20;a&#x20;given&#x20;update&#x20;meets&#x20;their&#x20;requirements&#x20;and&#x20;verify&#x20;the&#x20;compatibility&#x20;and&#x20;supportability&#x20;of&#x20;any&#x20;additional&#x20;software&#x20;against&#x20;the&#x20;update&#x20;revision&#x20;that&#x20;is&#x20;selected.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;all&#x20;packages&#x20;following&#x20;local&#x20;site&#x20;policy&#x20;guidance&#x20;on&#x20;applying&#x20;updates&#x20;and&#x20;patches:&#x20;#&#x20;apt&#x20;upgrade&#x20;OR&#x20;#&#x20;apt&#x20;dist-upgrade.','[{\"cis\": [\"1.9\"]}, {\"cis_csc_v8\": [\"7.3\"]}, {\"cis_csc_v7\": [\"3.4\", \"3.5\"]}, {\"cmmc_v2.0\": [\"SI.L1-3.14.1\"]}, {\"pci_dss_3.2.1\": [\"6.2\"]}, {\"nist_sp_800-53\": [\"SI-2(2)\"]}, {\"soc_2\": [\"CC7.1\"]}]'),(29547,'Ensure&#x20;chrony&#x20;is&#x20;running&#x20;as&#x20;user&#x20;_chrony.','The&#x20;chrony&#x20;package&#x20;is&#x20;installed&#x20;with&#x20;a&#x20;dedicated&#x20;user&#x20;account&#x20;_chrony.&#x20;This&#x20;account&#x20;is&#x20;granted&#x20;the&#x20;access&#x20;required&#x20;by&#x20;the&#x20;chronyd&#x20;service.','The&#x20;chronyd&#x20;service&#x20;should&#x20;run&#x20;with&#x20;only&#x20;the&#x20;required&#x20;privileges.','','Add&#x20;or&#x20;edit&#x20;the&#x20;user&#x20;line&#x20;to&#x20;/etc/chrony/chrony.conf&#x20;or&#x20;a&#x20;file&#x20;ending&#x20;in&#x20;.conf&#x20;in&#x20;/etc/chrony/conf.d/:&#x20;user&#x20;_chrony&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;chrony&#x20;from&#x20;the&#x20;system:&#x20;#&#x20;apt&#x20;purge&#x20;chrony.','[{\"cis\": [\"2.1.2.2\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_3.2.1\": [\"10.4\"]}, {\"pci_dss_4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}]'),(29548,'Ensure&#x20;chrony&#x20;is&#x20;enabled&#x20;and&#x20;running.','chrony&#x20;is&#x20;a&#x20;daemon&#x20;for&#x20;synchronizing&#x20;the&#x20;system&#x20;clock&#x20;across&#x20;the&#x20;network.','chrony&#x20;needs&#x20;to&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;in&#x20;order&#x20;to&#x20;synchronize&#x20;the&#x20;system&#x20;to&#x20;a&#x20;timeserver.&#x20;Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;and&#x20;to&#x20;ensure&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise&#x20;to&#x20;aid&#x20;in&#x20;forensic&#x20;investigations.','','IF&#x20;chrony&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;commands:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;chrony.service:&#x20;#&#x20;systemctl&#x20;unmask&#x20;chrony.service.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;chrony.service:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;chrony.service&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;chrony:&#x20;#&#x20;apt&#x20;purge&#x20;chrony.','[{\"cis\": [\"2.1.2.3\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_3.2.1\": [\"10.4\"]}, {\"pci_dss_4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}]'),(29549,'Ensure&#x20;systemd-timesyncd&#x20;configured&#x20;with&#x20;authorized&#x20;timeserver.','-&#x20;NTP=&#x20;&gt;&#x20;A&#x20;space-separated&#x20;list&#x20;of&#x20;NTP&#x20;server&#x20;host&#x20;names&#x20;or&#x20;IP&#x20;addresses.&#x20;During&#x20;runtime&#x20;this&#x20;list&#x20;is&#x20;combined&#x20;with&#x20;any&#x20;per-interface&#x20;NTP&#x20;servers&#x20;acquired&#x20;from&#x20;systemd-networkd.service&#40;8&#41;.&#x20;systemd-timesyncd&#x20;will&#x20;contact&#x20;all&#x20;configured&#x20;system&#x20;or&#x20;per-interface&#x20;servers&#x20;in&#x20;turn,&#x20;until&#x20;one&#x20;responds.&#x20;When&#x20;the&#x20;empty&#x20;string&#x20;is&#x20;assigned,&#x20;the&#x20;list&#x20;of&#x20;NTP&#x20;servers&#x20;is&#x20;reset,&#x20;and&#x20;all&#x20;prior&#x20;assignments&#x20;will&#x20;have&#x20;no&#x20;effect.&#x20;This&#x20;setting&#x20;defaults&#x20;to&#x20;an&#x20;empty&#x20;list.&#x20;-&#x20;FallbackNTP=&#x20;&gt;&#x20;A&#x20;space-separated&#x20;list&#x20;of&#x20;NTP&#x20;server&#x20;host&#x20;names&#x20;or&#x20;IP&#x20;addresses&#x20;to&#x20;be&#x20;used&#x20;as&#x20;the&#x20;fallback&#x20;NTP&#x20;servers.&#x20;Any&#x20;per-interface&#x20;NTP&#x20;servers&#x20;obtained&#x20;from&#x20;systemd-networkd.service&#40;8&#41;&#x20;take&#x20;precedence&#x20;over&#x20;this&#x20;setting,&#x20;as&#x20;do&#x20;any&#x20;servers&#x20;set&#x20;via&#x20;NTP=&#x20;above.&#x20;This&#x20;setting&#x20;is&#x20;hence&#x20;only&#x20;relevant&#x20;if&#x20;no&#x20;other&#x20;NTP&#x20;server&#x20;information&#x20;is&#x20;known.&#x20;When&#x20;the&#x20;empty&#x20;string&#x20;is&#x20;assigned,&#x20;the&#x20;list&#x20;of&#x20;NTP&#x20;servers&#x20;is&#x20;reset,&#x20;and&#x20;all&#x20;prior&#x20;assignments&#x20;will&#x20;have&#x20;no&#x20;effect.&#x20;If&#x20;this&#x20;option&#x20;is&#x20;not&#x20;given,&#x20;a&#x20;compiled-in&#x20;list&#x20;of&#x20;NTP&#x20;servers&#x20;is&#x20;used.','Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;and&#x20;to&#x20;ensure&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise&#x20;to&#x20;aid&#x20;in&#x20;forensic&#x20;investigations.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;/etc/systemd/timesyncd.conf.d&#x20;ending&#x20;in&#x20;.conf&#x20;and&#x20;add&#x20;the&#x20;NTP=&#x20;and/or&#x20;FallbackNTP=&#x20;lines&#x20;to&#x20;the&#x20;[Time]&#x20;section:&#x20;Example:&#x20;[Time]&#x20;NTP=time.nist.gov&#x20;#&#x20;Uses&#x20;the&#x20;generic&#x20;name&#x20;for&#x20;NIST&#039;s&#x20;time&#x20;servers&#x20;-AND/OR-&#x20;FallbackNTP=time-a-g.nist.gov&#x20;time-b-g.nist.gov&#x20;time-c-g.nist.gov&#x20;#&#x20;Space&#x20;separated&#x20;list&#x20;of&#x20;NIST&#x20;time&#x20;servers&#x20;Note:&#x20;Servers&#x20;added&#x20;to&#x20;these&#x20;line&#40;s&#41;&#x20;should&#x20;follow&#x20;local&#x20;site&#x20;policy.&#x20;NIST&#x20;servers&#x20;are&#x20;for&#x20;example.&#x20;The&#x20;timesyncd.conf.d&#x20;directory&#x20;may&#x20;need&#x20;to&#x20;be&#x20;created.&#x20;Example&#x20;script:&#x20;The&#x20;following&#x20;example&#x20;script&#x20;will&#x20;create&#x20;the&#x20;systemd-timesyncd&#x20;drop-in&#x20;configuration&#x20;snippet:&#x20;#!/usr/bin/env&#x20;bash&#x20;ntp_ts=&quot;time.nist.gov&quot;&#x20;ntp_fb=&quot;time-a-g.nist.gov&#x20;time-b-g.nist.gov&#x20;time-c-g.nist.gov&quot;&#x20;disfile=&quot;/etc/systemd/timesyncd.conf.d/50-timesyncd.conf&quot;&#x20;if&#x20;!&#x20;find&#x20;/etc/systemd&#x20;-type&#x20;f&#x20;-name&#x20;&#039;*.conf&#039;&#x20;-exec&#x20;grep&#x20;-Ph&#x20;&#039;^h*NTP=H+&#039;&#x20;{}&#x20;+;&#x20;then&#x20;[&#x20;!&#x20;-d&#x20;/etc/systemd/timesyncd.conf.d&#x20;]&#x20;&amp;&amp;&#x20;mkdir&#x20;/etc/systemd/timesyncd.conf.d&#x20;!&#x20;grep&#x20;-Pqs&#x20;&#039;^h*[Time]&#039;&#x20;&quot;$disfile&quot;&#x20;&amp;&amp;&#x20;echo&#x20;&quot;[Time]&quot;&#x20;&gt;&gt;&#x20;&quot;$disfile&quot;&#x20;echo&#x20;&quot;NTP=$ntp_ts&quot;&#x20;&gt;&gt;&#x20;&quot;$disfile&quot;&#x20;fi&#x20;if&#x20;!&#x20;find&#x20;/etc/systemd&#x20;-type&#x20;f&#x20;-name&#x20;&#039;*.conf&#039;&#x20;-exec&#x20;grep&#x20;-Ph&#x20;&#039;^h*FallbackNTP=H+&#039;&#x20;{}&#x20;+;&#x20;then&#x20;[&#x20;!&#x20;-d&#x20;/etc/systemd/timesyncd.conf.d&#x20;]&#x20;&amp;&amp;&#x20;mkdir&#x20;/etc/systemd/timesyncd.conf.d&#x20;!&#x20;grep&#x20;-Pqs&#x20;&#039;^h*[Time]&#039;&#x20;&quot;$disfile&quot;&#x20;&amp;&amp;&#x20;echo&#x20;&quot;[Time]&quot;&#x20;&gt;&gt;&#x20;&quot;$disfile&quot;&#x20;echo&#x20;&quot;FallbackNTP=$ntp_fb&quot;&#x20;&gt;&gt;&#x20;&quot;$disfile&quot;&#x20;fi&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;systemd-timesyncd&#x20;configuration:&#x20;#&#x20;systemctl&#x20;try-reload-or-restart&#x20;systemd-timesyncd&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;systemd-timesyncd:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;systemd-timesyncd.','[{\"cis\": [\"2.1.3.1\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_3.2.1\": [\"10.4\"]}, {\"pci_dss_4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0002\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29550,'Ensure&#x20;systemd-timesyncd&#x20;is&#x20;enabled&#x20;and&#x20;running.','systemd-timesyncd&#x20;is&#x20;a&#x20;daemon&#x20;that&#x20;has&#x20;been&#x20;added&#x20;for&#x20;synchronizing&#x20;the&#x20;system&#x20;clock&#x20;across&#x20;the&#x20;network.','systemd-timesyncd&#x20;needs&#x20;to&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;in&#x20;order&#x20;to&#x20;synchronize&#x20;the&#x20;system&#x20;to&#x20;a&#x20;timeserver.&#x20;Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;and&#x20;to&#x20;ensure&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise&#x20;to&#x20;aid&#x20;in&#x20;forensic&#x20;investigations.','','IF&#x20;systemd-timesyncd&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;commands:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;systemd-timesyncd.service:&#x20;#&#x20;systemctl&#x20;unmask&#x20;systemd-timesyncd.service.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;systemd-timesyncd.service:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;systemd-timesyncd.service&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;systemd-timesyncd:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;systemd-timesyncd.service.','[{\"cis\": [\"2.1.3.2\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_3.2.1\": [\"10.4\"]}, {\"pci_dss_4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}]'),(29551,'Ensure&#x20;ntp&#x20;access&#x20;control&#x20;is&#x20;configured.','ntp&#x20;Access&#x20;Control&#x20;Commands:&#x20;restrict&#x20;address&#x20;[mask&#x20;mask]&#x20;[ippeerlimit&#x20;int]&#x20;[flag&#x20;...].&#x20;The&#x20;address&#x20;argument&#x20;expressed&#x20;in&#x20;dotted-quad&#x20;form&#x20;is&#x20;the&#x20;address&#x20;of&#x20;a&#x20;host&#x20;or&#x20;network.&#x20;Alternatively,&#x20;the&#x20;address&#x20;argument&#x20;can&#x20;be&#x20;a&#x20;valid&#x20;host&#x20;DNS&#x20;name.&#x20;The&#x20;mask&#x20;argument&#x20;expressed&#x20;in&#x20;dotted-quad&#x20;form&#x20;defaults&#x20;to&#x20;255.255.255.255,&#x20;meaning&#x20;that&#x20;the&#x20;address&#x20;is&#x20;treated&#x20;as&#x20;the&#x20;address&#x20;of&#x20;an&#x20;individual&#x20;host.&#x20;A&#x20;default&#x20;entry&#x20;&#40;address&#x20;0.0.0.0,&#x20;mask&#x20;0.0.0.0&#41;&#x20;is&#x20;always&#x20;included&#x20;and&#x20;is&#x20;always&#x20;the&#x20;first&#x20;entry&#x20;in&#x20;the&#x20;list.&#x20;Note:&#x20;the&#x20;text&#x20;string&#x20;default,&#x20;with&#x20;no&#x20;mask&#x20;option,&#x20;may&#x20;be&#x20;used&#x20;to&#x20;indicate&#x20;the&#x20;default&#x20;entry.&#x20;The&#x20;ippeerlimit&#x20;directive&#x20;limits&#x20;the&#x20;number&#x20;of&#x20;peer&#x20;requests&#x20;for&#x20;each&#x20;IP&#x20;to&#x20;int,&#x20;where&#x20;a&#x20;value&#x20;of&#x20;-1&#x20;means&#x20;&quot;unlimited&quot;,&#x20;the&#x20;current&#x20;default.&#x20;A&#x20;value&#x20;of&#x20;0&#x20;means&#x20;&quot;none&quot;.&#x20;There&#x20;would&#x20;usually&#x20;be&#x20;at&#x20;most&#x20;1&#x20;peering&#x20;request&#x20;per&#x20;IP,&#x20;but&#x20;if&#x20;the&#x20;remote&#x20;peering&#x20;requests&#x20;are&#x20;behind&#x20;a&#x20;proxy&#x20;there&#x20;could&#x20;well&#x20;be&#x20;more&#x20;than&#x20;1&#x20;per&#x20;IP.&#x20;In&#x20;the&#x20;current&#x20;implementation,&#x20;flag&#x20;always&#x20;restricts&#x20;access,&#x20;i.e.,&#x20;an&#x20;entry&#x20;with&#x20;no&#x20;flags&#x20;indicates&#x20;that&#x20;free&#x20;access&#x20;to&#x20;the&#x20;server&#x20;is&#x20;to&#x20;be&#x20;given.&#x20;The&#x20;flags&#x20;are&#x20;not&#x20;orthogonal,&#x20;in&#x20;that&#x20;more&#x20;restrictive&#x20;flags&#x20;will&#x20;often&#x20;make&#x20;less&#x20;restrictive&#x20;ones&#x20;redundant.&#x20;The&#x20;flags&#x20;can&#x20;generally&#x20;be&#x20;classed&#x20;into&#x20;two&#x20;categories,&#x20;those&#x20;which&#x20;restrict&#x20;time&#x20;service&#x20;and&#x20;those&#x20;which&#x20;restrict&#x20;informational&#x20;queries&#x20;and&#x20;attempts&#x20;to&#x20;do&#x20;run-time&#x20;reconfiguration&#x20;of&#x20;the&#x20;server.&#x20;One&#x20;or&#x20;more&#x20;of&#x20;the&#x20;following&#x20;flags&#x20;may&#x20;be&#x20;specified:&#x20;-&#x20;kod&#x20;-&#x20;If&#x20;this&#x20;flag&#x20;is&#x20;set&#x20;when&#x20;an&#x20;access&#x20;violation&#x20;occurs,&#x20;a&#x20;kiss-of-death&#x20;&#40;KoD&#41;&#x20;packet&#x20;is&#x20;sent.&#x20;KoD&#x20;packets&#x20;are&#x20;rate&#x20;limited&#x20;to&#x20;no&#x20;more&#x20;than&#x20;one&#x20;per&#x20;second.&#x20;If&#x20;another&#x20;KoD&#x20;packet&#x20;occurs&#x20;within&#x20;one&#x20;second&#x20;after&#x20;the&#x20;last&#x20;one,&#x20;the&#x20;packet&#x20;is&#x20;dropped.&#x20;-&#x20;limited&#x20;-&#x20;Deny&#x20;service&#x20;if&#x20;the&#x20;packet&#x20;spacing&#x20;violates&#x20;the&#x20;lower&#x20;limits&#x20;specified&#x20;in&#x20;the&#x20;discard&#x20;command.&#x20;A&#x20;history&#x20;of&#x20;clients&#x20;is&#x20;kept&#x20;using&#x20;the&#x20;monitoring&#x20;capability&#x20;of&#x20;ntpd.&#x20;Thus,&#x20;monitoring&#x20;is&#x20;always&#x20;active&#x20;as&#x20;long&#x20;as&#x20;there&#x20;is&#x20;a&#x20;restriction&#x20;entry&#x20;with&#x20;the&#x20;limited&#x20;flag.&#x20;-&#x20;lowpriotrap&#x20;-&#x20;Declare&#x20;traps&#x20;set&#x20;by&#x20;matching&#x20;hosts&#x20;to&#x20;be&#x20;low&#x20;priority.&#x20;The&#x20;number&#x20;of&#x20;traps&#x20;a&#x20;server&#x20;can&#x20;maintain&#x20;is&#x20;limited&#x20;&#40;the&#x20;current&#x20;limit&#x20;is&#x20;3&#41;.&#x20;Traps&#x20;are&#x20;usually&#x20;assigned&#x20;on&#x20;a&#x20;first&#x20;come,&#x20;first&#x20;served&#x20;basis,&#x20;with&#x20;later&#x20;trap&#x20;requestors&#x20;being&#x20;denied&#x20;service.&#x20;This&#x20;flag&#x20;modifies&#x20;the&#x20;assignment&#x20;algorithm&#x20;by&#x20;allowing&#x20;low&#x20;priority&#x20;traps&#x20;to&#x20;be&#x20;overridden&#x20;by&#x20;later&#x20;requests&#x20;for&#x20;normal&#x20;priority&#x20;traps.&#x20;-&#x20;noepeer&#x20;-&#x20;Deny&#x20;ephemeral&#x20;peer&#x20;requests,&#x20;even&#x20;if&#x20;they&#x20;come&#x20;from&#x20;an&#x20;authenticated&#x20;source.&#x20;Note&#x20;that&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;a&#x20;symmetric&#x20;key&#x20;for&#x20;authentication&#x20;may&#x20;be&#x20;restricted&#x20;to&#x20;one&#x20;or&#x20;more&#x20;IPs&#x20;or&#x20;subnets&#x20;via&#x20;the&#x20;third&#x20;field&#x20;of&#x20;the&#x20;ntp.keys&#x20;file.&#x20;This&#x20;restriction&#x20;is&#x20;not&#x20;enabled&#x20;by&#x20;default,&#x20;to&#x20;maintain&#x20;backward&#x20;compatibility.&#x20;Expect&#x20;noepeer&#x20;to&#x20;become&#x20;the&#x20;default&#x20;in&#x20;ntp-4.4.&#x20;-&#x20;nomodify&#x20;-&#x20;Deny&#x20;ntpq&#x20;and&#x20;ntpdc&#x20;queries&#x20;which&#x20;attempt&#x20;to&#x20;modify&#x20;the&#x20;state&#x20;of&#x20;the&#x20;server&#x20;&#40;i.e.,&#x20;run&#x20;time&#x20;reconfiguration&#41;.&#x20;Queries&#x20;which&#x20;return&#x20;information&#x20;are&#x20;permitted.&#x20;-&#x20;noquery&#x20;-&#x20;Deny&#x20;ntpq&#x20;and&#x20;ntpdc&#x20;queries.&#x20;Time&#x20;service&#x20;is&#x20;not&#x20;affected.&#x20;-&#x20;nopeer&#x20;-&#x20;Deny&#x20;unauthenticated&#x20;packets&#x20;which&#x20;would&#x20;result&#x20;in&#x20;mobilizing&#x20;a&#x20;new&#x20;association.&#x20;This&#x20;includes&#x20;broadcast&#x20;and&#x20;symmetric&#x20;active&#x20;packets&#x20;when&#x20;a&#x20;configured&#x20;association&#x20;does&#x20;not&#x20;exist.&#x20;It&#x20;also&#x20;includes&#x20;pool&#x20;associations,&#x20;so&#x20;if&#x20;you&#x20;want&#x20;to&#x20;use&#x20;servers&#x20;from&#x20;a&#x20;pool&#x20;directive&#x20;and&#x20;also&#x20;want&#x20;to&#x20;use&#x20;nopeer&#x20;by&#x20;default,&#x20;you&#039;ll&#x20;want&#x20;a&#x20;restrict&#x20;source&#x20;...&#x20;line&#x20;as&#x20;well&#x20;that&#x20;does&#x20;not&#x20;include&#x20;the&#x20;nopeer&#x20;directive.&#x20;-&#x20;noserve&#x20;-&#x20;Deny&#x20;all&#x20;packets&#x20;except&#x20;ntpq&#x20;and&#x20;ntpdc&#x20;queries.&#x20;-&#x20;notrap&#x20;-&#x20;Decline&#x20;to&#x20;provide&#x20;mode&#x20;6&#x20;control&#x20;message&#x20;trap&#x20;service&#x20;to&#x20;matching&#x20;hosts.&#x20;The&#x20;trap&#x20;service&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;ntpq&#x20;control&#x20;message&#x20;protocol&#x20;which&#x20;is&#x20;intended&#x20;for&#x20;use&#x20;by&#x20;remote&#x20;event&#x20;logging&#x20;programs.&#x20;-&#x20;notrust&#x20;-&#x20;Deny&#x20;service&#x20;unless&#x20;the&#x20;packet&#x20;is&#x20;cryptographically&#x20;authenticated.&#x20;-&#x20;ntpport&#x20;-&#x20;This&#x20;is&#x20;actually&#x20;a&#x20;match&#x20;algorithm&#x20;modifier,&#x20;rather&#x20;than&#x20;a&#x20;restriction&#x20;flag.&#x20;Its&#x20;presence&#x20;causes&#x20;the&#x20;restriction&#x20;entry&#x20;to&#x20;be&#x20;matched&#x20;only&#x20;if&#x20;the&#x20;source&#x20;port&#x20;in&#x20;the&#x20;packet&#x20;is&#x20;the&#x20;standard&#x20;NTP&#x20;UDP&#x20;port&#x20;&#40;123&#41;.&#x20;Both&#x20;ntpport&#x20;and&#x20;non-ntpport&#x20;may&#x20;be&#x20;specified.&#x20;The&#x20;ntpport&#x20;is&#x20;considered&#x20;more&#x20;specific&#x20;and&#x20;is&#x20;sorted&#x20;later&#x20;in&#x20;the&#x20;list.','If&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;accurate.','','Add&#x20;or&#x20;edit&#x20;restrict&#x20;lines&#x20;in&#x20;/etc/ntp.conf&#x20;to&#x20;match&#x20;the&#x20;following:&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;restrict&#x20;-6&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ntp&#x20;from&#x20;the&#x20;system:&#x20;#&#x20;apt&#x20;purge&#x20;ntp.','[{\"cis\": [\"2.1.4.1\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_3.2.1\": [\"10.4\"]}, {\"pci_dss_4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}]'),(29552,'Ensure&#x20;ntp&#x20;is&#x20;configured&#x20;with&#x20;authorized&#x20;timeserver.','The&#x20;various&#x20;modes&#x20;are&#x20;determined&#x20;by&#x20;the&#x20;command&#x20;keyword&#x20;and&#x20;the&#x20;type&#x20;of&#x20;the&#x20;required&#x20;IP&#x20;address.&#x20;Addresses&#x20;are&#x20;classed&#x20;by&#x20;type&#x20;as&#x20;&#40;s&#41;&#x20;a&#x20;remote&#x20;server&#x20;or&#x20;peer&#x20;&#40;IPv4&#x20;class&#x20;A,&#x20;B&#x20;and&#x20;C&#41;,&#x20;&#40;b&#41;&#x20;the&#x20;broadcast&#x20;address&#x20;of&#x20;a&#x20;local&#x20;interface,&#x20;&#40;m&#41;&#x20;a&#x20;multicast&#x20;address&#x20;&#40;IPv4&#x20;class&#x20;D&#41;,&#x20;or&#x20;&#40;r&#41;&#x20;a&#x20;reference&#x20;clock&#x20;address&#x20;&#40;127.127.x.x&#41;.&#x20;Note:&#x20;That&#x20;only&#x20;those&#x20;options&#x20;applicable&#x20;to&#x20;each&#x20;command&#x20;are&#x20;listed&#x20;below.&#x20;Use&#x20;of&#x20;options&#x20;not&#x20;listed&#x20;may&#x20;not&#x20;be&#x20;caught&#x20;as&#x20;an&#x20;error,&#x20;but&#x20;may&#x20;result&#x20;in&#x20;some&#x20;weird&#x20;and&#x20;even&#x20;destructive&#x20;behavior.&#x20;If&#x20;the&#x20;Basic&#x20;Socket&#x20;Interface&#x20;Extensions&#x20;for&#x20;IPv6&#x20;&#40;RFC-2553&#41;&#x20;is&#x20;detected,&#x20;support&#x20;for&#x20;the&#x20;IPv6&#x20;address&#x20;family&#x20;is&#x20;generated&#x20;in&#x20;addition&#x20;to&#x20;the&#x20;default&#x20;support&#x20;of&#x20;the&#x20;IPv4&#x20;address&#x20;family.&#x20;In&#x20;a&#x20;few&#x20;cases,&#x20;including&#x20;the&#x20;reslist&#x20;billboard&#x20;generated&#x20;by&#x20;ntpq&#x20;or&#x20;ntpdc,&#x20;IPv6&#x20;addresses&#x20;are&#x20;automatically&#x20;generated.&#x20;IPv6&#x20;addresses&#x20;can&#x20;be&#x20;identified&#x20;by&#x20;the&#x20;presence&#x20;of&#x20;colons&#x20;&quot;:&quot;&#x20;in&#x20;the&#x20;address&#x20;field.&#x20;IPv6&#x20;addresses&#x20;can&#x20;be&#x20;used&#x20;almost&#x20;everywhere&#x20;where&#x20;IPv4&#x20;addresses&#x20;can&#x20;be&#x20;used,&#x20;with&#x20;the&#x20;exception&#x20;of&#x20;reference&#x20;clock&#x20;addresses,&#x20;which&#x20;are&#x20;always&#x20;IPv4.&#x20;Note:&#x20;In&#x20;contexts&#x20;where&#x20;a&#x20;host&#x20;name&#x20;is&#x20;expected,&#x20;a&#x20;-4&#x20;qualifier&#x20;preceding&#x20;the&#x20;host&#x20;name&#x20;forces&#x20;DNS&#x20;resolution&#x20;to&#x20;the&#x20;IPv4&#x20;namespace,&#x20;while&#x20;a&#x20;-6&#x20;qualifier&#x20;forces&#x20;DNS&#x20;resolution&#x20;to&#x20;the&#x20;IPv6&#x20;namespace.&#x20;See&#x20;IPv6&#x20;references&#x20;for&#x20;the&#x20;equivalent&#x20;classes&#x20;for&#x20;that&#x20;address&#x20;family.&#x20;-&#x20;pool&#x20;-&#x20;For&#x20;type&#x20;s&#x20;addresses,&#x20;this&#x20;command&#x20;mobilizes&#x20;a&#x20;persistent&#x20;client&#x20;mode&#x20;association&#x20;with&#x20;a&#x20;number&#x20;of&#x20;remote&#x20;servers.&#x20;In&#x20;this&#x20;mode&#x20;the&#x20;local&#x20;clock&#x20;can&#x20;synchronized&#x20;to&#x20;the&#x20;remote&#x20;server,&#x20;but&#x20;the&#x20;remote&#x20;server&#x20;can&#x20;never&#x20;be&#x20;synchronized&#x20;to&#x20;the&#x20;local&#x20;clock.&#x20;-&#x20;server&#x20;-&#x20;For&#x20;type&#x20;s&#x20;and&#x20;r&#x20;addresses,&#x20;this&#x20;command&#x20;mobilizes&#x20;a&#x20;persistent&#x20;client&#x20;mode&#x20;association&#x20;with&#x20;the&#x20;specified&#x20;remote&#x20;server&#x20;or&#x20;local&#x20;radio&#x20;clock.&#x20;In&#x20;this&#x20;mode&#x20;the&#x20;local&#x20;clock&#x20;can&#x20;synchronized&#x20;to&#x20;the&#x20;remote&#x20;server,&#x20;but&#x20;the&#x20;remote&#x20;server&#x20;can&#x20;never&#x20;be&#x20;synchronized&#x20;to&#x20;the&#x20;local&#x20;clock.&#x20;This&#x20;command&#x20;should&#x20;not&#x20;be&#x20;used&#x20;for&#x20;type&#x20;b&#x20;or&#x20;m&#x20;addresses.','Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;and&#x20;to&#x20;ensure&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise&#x20;to&#x20;aid&#x20;in&#x20;forensic&#x20;investigations.','','Edit&#x20;/etc/ntp.conf&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;as&#x20;appropriate&#x20;according&#x20;to&#x20;local&#x20;site&#x20;policy:&#x20;&lt;[server|pool]&gt;&#x20;&lt;[remote-server|remote-pool]&gt;&#x20;Examples:&#x20;pool&#x20;mode:&#x20;pool&#x20;time.nist.gov&#x20;iburst.&#x20;server&#x20;mode:&#x20;server&#x20;time-a-g.nist.gov&#x20;iburst&#x20;server&#x20;132.163.97.3&#x20;iburst&#x20;server&#x20;time-d-b.nist.gov&#x20;iburst&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;load&#x20;the&#x20;updated&#x20;time&#x20;sources&#x20;into&#x20;ntp&#x20;running&#x20;config:&#x20;#&#x20;systemctl&#x20;restart&#x20;ntp&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ntp&#x20;from&#x20;the&#x20;system:&#x20;#&#x20;apt&#x20;purge&#x20;ntp.','[{\"cis\": [\"2.1.4.2\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_3.2.1\": [\"10.4\"]}, {\"pci_dss_4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1498\", \"T1498.002\", \"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0002\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29553,'Ensure&#x20;ntp&#x20;is&#x20;running&#x20;as&#x20;user&#x20;ntp.','The&#x20;ntp&#x20;package&#x20;is&#x20;installed&#x20;with&#x20;a&#x20;dedicated&#x20;user&#x20;account&#x20;ntp.&#x20;This&#x20;account&#x20;is&#x20;granted&#x20;the&#x20;access&#x20;required&#x20;by&#x20;the&#x20;ntpd&#x20;daemon.&#x20;Note:&#x20;-&#x20;If&#x20;chrony&#x20;or&#x20;systemd-timesyncd&#x20;are&#x20;used,&#x20;ntp&#x20;should&#x20;be&#x20;removed&#x20;and&#x20;this&#x20;section&#x20;skipped.&#x20;-&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system.&#x20;-&#x20;Only&#x20;one&#x20;time&#x20;synchronization&#x20;method&#x20;should&#x20;be&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system.','The&#x20;ntpd&#x20;daemon&#x20;should&#x20;run&#x20;with&#x20;only&#x20;the&#x20;required&#x20;privilege.','','Add&#x20;or&#x20;edit&#x20;the&#x20;following&#x20;line&#x20;in&#x20;/etc/init.d/ntp:&#x20;RUNASUSER=ntp.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;ntp.service:&#x20;#&#x20;systemctl&#x20;restart&#x20;ntp.service&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ntp&#x20;from&#x20;the&#x20;system:&#x20;#&#x20;apt&#x20;purge&#x20;ntp.','[{\"cis\": [\"2.1.4.3\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_3.2.1\": [\"10.4\"]}, {\"pci_dss_4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}]'),(29554,'Ensure&#x20;ntp&#x20;is&#x20;enabled&#x20;and&#x20;running.','ntp&#x20;is&#x20;a&#x20;daemon&#x20;for&#x20;synchronizing&#x20;the&#x20;system&#x20;clock&#x20;across&#x20;the&#x20;network.','ntp&#x20;needs&#x20;to&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;in&#x20;order&#x20;to&#x20;synchronize&#x20;the&#x20;system&#x20;to&#x20;a&#x20;timeserver.&#x20;Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;and&#x20;to&#x20;ensure&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise&#x20;to&#x20;aid&#x20;in&#x20;forensic&#x20;investigations.','','IF&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;commands:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;ntp.service:&#x20;#&#x20;systemctl&#x20;unmask&#x20;ntp.service&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;ntp.service:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;ntp.service&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ntp:&#x20;#&#x20;apt&#x20;purge&#x20;ntp.','[{\"cis\": [\"2.1.4.4\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_3.2.1\": [\"10.4\"]}, {\"pci_dss_4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}]'),(29555,'Ensure&#x20;X&#x20;Window&#x20;System&#x20;is&#x20;not&#x20;installed.','The&#x20;X&#x20;Window&#x20;System&#x20;provides&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;where&#x20;users&#x20;can&#x20;have&#x20;multiple&#x20;windows&#x20;in&#x20;which&#x20;to&#x20;run&#x20;programs&#x20;and&#x20;various&#x20;add&#x20;on.&#x20;The&#x20;X&#x20;Windows&#x20;system&#x20;is&#x20;typically&#x20;used&#x20;on&#x20;workstations&#x20;where&#x20;users&#x20;login,&#x20;but&#x20;not&#x20;on&#x20;servers&#x20;where&#x20;users&#x20;typically&#x20;do&#x20;not&#x20;login.','Unless&#x20;your&#x20;organization&#x20;specifically&#x20;requires&#x20;graphical&#x20;login&#x20;access&#x20;via&#x20;X&#x20;Windows,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','Many&#x20;Linux&#x20;systems&#x20;run&#x20;applications&#x20;which&#x20;require&#x20;a&#x20;Java&#x20;runtime.&#x20;Some&#x20;Linux&#x20;Java&#x20;packages&#x20;have&#x20;a&#x20;dependency&#x20;on&#x20;specific&#x20;X&#x20;Windows&#x20;xorg-x11-fonts.&#x20;One&#x20;workaround&#x20;to&#x20;avoid&#x20;this&#x20;dependency&#x20;is&#x20;to&#x20;use&#x20;the&#x20;&quot;headless&quot;&#x20;Java&#x20;packages&#x20;for&#x20;your&#x20;specific&#x20;Java&#x20;runtime,&#x20;if&#x20;provided&#x20;by&#x20;your&#x20;distribution.','Remove&#x20;the&#x20;X&#x20;Windows&#x20;System&#x20;packages:&#x20;apt&#x20;purge&#x20;xserver-xorg*.','[{\"cis\": [\"2.2.1\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"2.6\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.12.5.1\", \"A.12.6.2\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29556,'Ensure&#x20;Avahi&#x20;Server&#x20;is&#x20;not&#x20;installed.','Avahi&#x20;is&#x20;a&#x20;free&#x20;zeroconf&#x20;implementation,&#x20;including&#x20;a&#x20;system&#x20;for&#x20;multicast&#x20;DNS/DNS-SD&#x20;service&#x20;discovery.&#x20;Avahi&#x20;allows&#x20;programs&#x20;to&#x20;publish&#x20;and&#x20;discover&#x20;services&#x20;and&#x20;hosts&#x20;running&#x20;on&#x20;a&#x20;local&#x20;network&#x20;with&#x20;no&#x20;specific&#x20;configuration.&#x20;For&#x20;example,&#x20;a&#x20;user&#x20;can&#x20;plug&#x20;a&#x20;computer&#x20;into&#x20;a&#x20;network&#x20;and&#x20;Avahi&#x20;automatically&#x20;finds&#x20;printers&#x20;to&#x20;print&#x20;to,&#x20;files&#x20;to&#x20;look&#x20;at&#x20;and&#x20;people&#x20;to&#x20;talk&#x20;to,&#x20;as&#x20;well&#x20;as&#x20;network&#x20;services&#x20;running&#x20;on&#x20;the&#x20;machine.','Automatic&#x20;discovery&#x20;of&#x20;network&#x20;services&#x20;is&#x20;not&#x20;normally&#x20;required&#x20;for&#x20;system&#x20;functionality.&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;remove&#x20;this&#x20;package&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;avahi-daemon:&#x20;#&#x20;systemctl&#x20;stop&#x20;avahi-daaemon.service&#x20;#&#x20;systemctl&#x20;stop&#x20;avahi-daemon.socket&#x20;#&#x20;apt&#x20;purge&#x20;avahi-daemon.','[{\"cis\": [\"2.2.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29557,'Ensure&#x20;CUPS&#x20;is&#x20;not&#x20;installed.','The&#x20;Common&#x20;Unix&#x20;Print&#x20;System&#x20;&#40;CUPS&#41;&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;print&#x20;to&#x20;both&#x20;local&#x20;and&#x20;network&#x20;printers.&#x20;A&#x20;system&#x20;running&#x20;CUPS&#x20;can&#x20;also&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;remote&#x20;systems&#x20;and&#x20;print&#x20;them&#x20;to&#x20;local&#x20;printers.&#x20;It&#x20;also&#x20;provides&#x20;a&#x20;web&#x20;based&#x20;remote&#x20;administration&#x20;capability.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;need&#x20;to&#x20;print&#x20;jobs&#x20;or&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;systems,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;CUPS&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','Removing&#x20;CUPS&#x20;will&#x20;prevent&#x20;printing&#x20;from&#x20;the&#x20;system,&#x20;a&#x20;common&#x20;task&#x20;for&#x20;workstation&#x20;systems.','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;cups:&#x20;#&#x20;apt&#x20;purge&#x20;cups.','[{\"cis\": [\"2.2.3\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29558,'Ensure&#x20;DHCP&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;Dynamic&#x20;Host&#x20;Configuration&#x20;Protocol&#x20;&#40;DHCP&#41;&#x20;is&#x20;a&#x20;service&#x20;that&#x20;allows&#x20;machines&#x20;to&#x20;be&#x20;dynamically&#x20;assigned&#x20;IP&#x20;addresses.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;set&#x20;up&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DHCP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;isc-dhcp-server:&#x20;#&#x20;apt&#x20;purge&#x20;isc-dhcp-server.','[{\"cis\": [\"2.2.4\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29559,'Ensure&#x20;LDAP&#x20;server&#x20;is&#x20;not&#x20;installed.','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;slapd:&#x20;#&#x20;apt&#x20;purge&#x20;slapd.','[{\"cis\": [\"2.2.5\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29560,'Ensure&#x20;NFS&#x20;is&#x20;not&#x20;installed.','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;export&#x20;NFS&#x20;shares,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;nfs-kernel-server&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nfs:&#x20;#&#x20;apt&#x20;purge&#x20;nfs-kernel-server.','[{\"cis\": [\"2.2.6\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}]'),(29561,'Ensure&#x20;DNS&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;Domain&#x20;Name&#x20;System&#x20;&#40;DNS&#41;&#x20;is&#x20;a&#x20;hierarchical&#x20;naming&#x20;system&#x20;that&#x20;maps&#x20;names&#x20;to&#x20;IP&#x20;addresses&#x20;for&#x20;computers,&#x20;services&#x20;and&#x20;other&#x20;resources&#x20;connected&#x20;to&#x20;a&#x20;network.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;designated&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DNS&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;DNS&#x20;server:&#x20;#&#x20;apt&#x20;purge&#x20;bind9.','[{\"cis\": [\"2.2.7\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29562,'Ensure&#x20;FTP&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;FTP&#41;&#x20;provides&#x20;networked&#x20;computers&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;transfer&#x20;files.','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;SFTP&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;vsftpd:&#x20;#&#x20;apt&#x20;purge&#x20;vsftpd.','[{\"cis\": [\"2.2.8\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29563,'Ensure&#x20;HTTP&#x20;server&#x20;is&#x20;not&#x20;installed.','HTTP&#x20;or&#x20;web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;apache:&#x20;#&#x20;apt&#x20;purge&#x20;apache2.','[{\"cis\": [\"2.2.9\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29564,'Ensure&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;are&#x20;not&#x20;installed.','dovecot-imapd&#x20;and&#x20;dovecot-pop3d&#x20;are&#x20;an&#x20;open&#x20;source&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;POP3&#x20;and/or&#x20;IMAP&#x20;servers&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;by&#x20;this&#x20;system,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;dovecot-imapd&#x20;and&#x20;dovecot-pop3d:&#x20;#&#x20;apt&#x20;purge&#x20;dovecot-imapd&#x20;dovecot-pop3d.','[{\"cis\": [\"2.2.10\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29565,'Ensure&#x20;Samba&#x20;is&#x20;not&#x20;installed.','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Server&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.&#x20;Windows&#x20;desktop&#x20;users&#x20;will&#x20;be&#x20;able&#x20;to&#x20;mount&#x20;these&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;as&#x20;letter&#x20;drives&#x20;on&#x20;their&#x20;systems.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;service&#x20;should&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;samba:&#x20;#&#x20;apt&#x20;purge&#x20;samba.','[{\"cis\": [\"2.2.11\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1005\", \"T1039\", \"T1083\", \"T1135\", \"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}]'),(29566,'Ensure&#x20;HTTP&#x20;Proxy&#x20;Server&#x20;is&#x20;not&#x20;installed.','Squid&#x20;is&#x20;a&#x20;standard&#x20;proxy&#x20;server&#x20;used&#x20;in&#x20;many&#x20;distributions&#x20;and&#x20;environments.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;proxy&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;squid:&#x20;#&#x20;apt&#x20;purge&#x20;squid.','[{\"cis\": [\"2.2.12\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29567,'Ensure&#x20;SNMP&#x20;Server&#x20;is&#x20;not&#x20;installed.','Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;is&#x20;a&#x20;widely&#x20;used&#x20;protocol&#x20;for&#x20;monitoring&#x20;the&#x20;health&#x20;and&#x20;welfare&#x20;of&#x20;network&#x20;equipment,&#x20;computer&#x20;equipment&#x20;and&#x20;devices&#x20;like&#x20;UPSs.&#x20;Net-SNMP&#x20;is&#x20;a&#x20;suite&#x20;of&#x20;applications&#x20;used&#x20;to&#x20;implement&#x20;SNMPv1&#x20;&#40;RFC&#x20;1157&#41;,&#x20;SNMPv2&#x20;&#40;RFCs&#x20;1901-1908&#41;,&#x20;and&#x20;SNMPv3&#x20;&#40;RFCs&#x20;3411-3418&#41;&#x20;using&#x20;both&#x20;IPv4&#x20;and&#x20;IPv6.&#x20;Support&#x20;for&#x20;SNMPv2&#x20;classic&#x20;&#40;a.k.a.&#x20;&quot;SNMPv2&#x20;historic&quot;&#x20;-&#x20;RFCs&#x20;1441-1452&#41;&#x20;was&#x20;dropped&#x20;with&#x20;the&#x20;4.0&#x20;release&#x20;of&#x20;the&#x20;UCD-snmp&#x20;package.&#x20;The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;can&#x20;communicate&#x20;using&#x20;SNMPv1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;SNMPv3&#x20;replaces&#x20;the&#x20;simple/clear&#x20;text&#x20;password&#x20;sharing&#x20;used&#x20;in&#x20;SNMPv2&#x20;with&#x20;more&#x20;securely&#x20;encoded&#x20;parameters.&#x20;If&#x20;the&#x20;the&#x20;SNMP&#x20;service&#x20;is&#x20;not&#x20;required,&#x20;the&#x20;net-snmp&#x20;package&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;Note:&#x20;If&#x20;SNMP&#x20;is&#x20;required:&#x20;-&#x20;The&#x20;server&#x20;should&#x20;be&#x20;configured&#x20;for&#x20;SNMP&#x20;v3&#x20;only.&#x20;User&#x20;Authentication&#x20;and&#x20;Message&#x20;Encryption&#x20;should&#x20;be&#x20;configured.&#x20;-&#x20;If&#x20;SNMP&#x20;v2&#x20;is&#x20;absolutely&#x20;necessary,&#x20;modify&#x20;the&#x20;community&#x20;strings&#039;&#x20;values.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;snmp:&#x20;#&#x20;apt&#x20;purge&#x20;snmp.','[{\"cis\": [\"2.2.13\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29568,'Ensure&#x20;NIS&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;&#x20;&#40;formally&#x20;known&#x20;as&#x20;Yellow&#x20;Pages&#41;&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;for&#x20;distributing&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;server&#x20;is&#x20;a&#x20;collection&#x20;of&#x20;programs&#x20;that&#x20;allow&#x20;for&#x20;the&#x20;distribution&#x20;of&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed&#x20;and&#x20;other,&#x20;more&#x20;secure&#x20;services&#x20;be&#x20;used.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nis:&#x20;#&#x20;apt&#x20;purge&#x20;nis.','[{\"cis\": [\"2.2.14\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29569,'Ensure&#x20;mail&#x20;transfer&#x20;agent&#x20;is&#x20;configured&#x20;for&#x20;local-only&#x20;mode.','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','The&#x20;software&#x20;for&#x20;all&#x20;Mail&#x20;Transfer&#x20;Agents&#x20;is&#x20;complex&#x20;and&#x20;most&#x20;have&#x20;a&#x20;long&#x20;history&#x20;of&#x20;security&#x20;issues.&#x20;While&#x20;it&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;system&#x20;can&#x20;process&#x20;local&#x20;mail&#x20;messages,&#x20;it&#x20;is&#x20;not&#x20;necessary&#x20;to&#x20;have&#x20;the&#x20;MTA&#039;s&#x20;daemon&#x20;listening&#x20;on&#x20;a&#x20;port&#x20;unless&#x20;the&#x20;server&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server&#x20;that&#x20;receives&#x20;and&#x20;processes&#x20;mail&#x20;from&#x20;other&#x20;systems.&#x20;Note:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;postfix&#x20;mail&#x20;server.&#x20;Depending&#x20;on&#x20;your&#x20;environment&#x20;you&#x20;may&#x20;have&#x20;an&#x20;alternative&#x20;MTA&#x20;installed&#x20;such&#x20;as&#x20;exim4.&#x20;If&#x20;this&#x20;is&#x20;the&#x20;case&#x20;consult&#x20;the&#x20;documentation&#x20;for&#x20;your&#x20;installed&#x20;MTA&#x20;to&#x20;configure&#x20;the&#x20;recommended&#x20;state.','','Edit&#x20;/etc/postfix/main.cf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;RECEIVING&#x20;MAIL&#x20;section.&#x20;If&#x20;the&#x20;line&#x20;already&#x20;exists,&#x20;change&#x20;it&#x20;to&#x20;look&#x20;like&#x20;the&#x20;line&#x20;below:&#x20;inet_interfaces&#x20;=&#x20;loopback-only.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;postfix:&#x20;#&#x20;systemctl&#x20;restart&#x20;postfix.','[{\"cis\": [\"2.2.15\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1018\", \"T1210\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29570,'Ensure&#x20;rsync&#x20;service&#x20;is&#x20;either&#x20;not&#x20;installed&#x20;or&#x20;masked.','The&#x20;rsync&#x20;service&#x20;can&#x20;be&#x20;used&#x20;to&#x20;synchronize&#x20;files&#x20;between&#x20;systems&#x20;over&#x20;network&#x20;links.','The&#x20;rsync&#x20;service&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.&#x20;The&#x20;rsync&#x20;package&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;area&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;rsync:&#x20;#&#x20;apt&#x20;purge&#x20;rsync&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;rsync:&#x20;#&#x20;systemctl&#x20;stop&#x20;rsync&#x20;#&#x20;systemctl&#x20;mask&#x20;rsync.','[{\"cis\": [\"2.2.16\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1105\", \"T1203\", \"T1210\", \"T1543\", \"T1543.002\", \"T1570\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29571,'Ensure&#x20;NIS&#x20;Client&#x20;is&#x20;not&#x20;installed.','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;,&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;used&#x20;to&#x20;distribute&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;client&#x20;was&#x20;used&#x20;to&#x20;bind&#x20;a&#x20;machine&#x20;to&#x20;an&#x20;NIS&#x20;server&#x20;and&#x20;receive&#x20;the&#x20;distributed&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed.','Many&#x20;insecure&#x20;service&#x20;clients&#x20;are&#x20;used&#x20;as&#x20;troubleshooting&#x20;tools&#x20;and&#x20;in&#x20;testing&#x20;environments.&#x20;Uninstalling&#x20;them&#x20;can&#x20;inhibit&#x20;capability&#x20;to&#x20;test&#x20;and&#x20;troubleshoot.&#x20;If&#x20;they&#x20;are&#x20;required&#x20;it&#x20;is&#x20;advisable&#x20;to&#x20;remove&#x20;the&#x20;clients&#x20;after&#x20;use&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;intentional&#x20;misuse.','Uninstall&#x20;nis:&#x20;#&#x20;apt&#x20;purge&#x20;nis.','[{\"cis\": [\"2.3.1\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"2.6\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.12.5.1\", \"A.12.6.2\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29572,'Ensure&#x20;rsh&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;rsh-client&#x20;package&#x20;contains&#x20;the&#x20;client&#x20;commands&#x20;for&#x20;the&#x20;rsh&#x20;services.','These&#x20;legacy&#x20;clients&#x20;contain&#x20;numerous&#x20;security&#x20;exposures&#x20;and&#x20;have&#x20;been&#x20;replaced&#x20;with&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;package.&#x20;Even&#x20;if&#x20;the&#x20;server&#x20;is&#x20;removed,&#x20;it&#x20;is&#x20;best&#x20;to&#x20;ensure&#x20;the&#x20;clients&#x20;are&#x20;also&#x20;removed&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;inadvertently&#x20;attempting&#x20;to&#x20;use&#x20;these&#x20;commands&#x20;and&#x20;therefore&#x20;exposing&#x20;their&#x20;credentials.&#x20;Note&#x20;that&#x20;removing&#x20;the&#x20;rsh&#x20;package&#x20;removes&#x20;the&#x20;clients&#x20;for&#x20;rsh,&#x20;rcp&#x20;and&#x20;rlogin.','Many&#x20;insecure&#x20;service&#x20;clients&#x20;are&#x20;used&#x20;as&#x20;troubleshooting&#x20;tools&#x20;and&#x20;in&#x20;testing&#x20;environments.&#x20;Uninstalling&#x20;them&#x20;can&#x20;inhibit&#x20;capability&#x20;to&#x20;test&#x20;and&#x20;troubleshoot.&#x20;If&#x20;they&#x20;are&#x20;required&#x20;it&#x20;is&#x20;advisable&#x20;to&#x20;remove&#x20;the&#x20;clients&#x20;after&#x20;use&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;intentional&#x20;misuse.','Uninstall&#x20;rsh:&#x20;#&#x20;apt&#x20;purge&#x20;rsh-client.','[{\"cis\": [\"2.3.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1040\", \"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1041\", \"M1042\"]}]'),(29573,'Ensure&#x20;talk&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;talk&#x20;software&#x20;makes&#x20;it&#x20;possible&#x20;for&#x20;users&#x20;to&#x20;send&#x20;and&#x20;receive&#x20;messages&#x20;across&#x20;systems&#x20;through&#x20;a&#x20;terminal&#x20;session.&#x20;The&#x20;talk&#x20;client,&#x20;which&#x20;allows&#x20;initialization&#x20;of&#x20;talk&#x20;sessions,&#x20;is&#x20;installed&#x20;by&#x20;default.','The&#x20;software&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','Many&#x20;insecure&#x20;service&#x20;clients&#x20;are&#x20;used&#x20;as&#x20;troubleshooting&#x20;tools&#x20;and&#x20;in&#x20;testing&#x20;environments.&#x20;Uninstalling&#x20;them&#x20;can&#x20;inhibit&#x20;capability&#x20;to&#x20;test&#x20;and&#x20;troubleshoot.&#x20;If&#x20;they&#x20;are&#x20;required&#x20;it&#x20;is&#x20;advisable&#x20;to&#x20;remove&#x20;the&#x20;clients&#x20;after&#x20;use&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;intentional&#x20;misuse.','Uninstall&#x20;talk:&#x20;#&#x20;apt&#x20;purge&#x20;talk.','[{\"cis\": [\"2.3.3\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0006\", \"TA0008\"]}, {\"mitre_mitigations\": [\"M1041\", \"M1042\"]}]'),(29574,'Ensure&#x20;telnet&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;telnet&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;client,&#x20;which&#x20;allows&#x20;users&#x20;to&#x20;start&#x20;connections&#x20;to&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security&#x20;and&#x20;is&#x20;included&#x20;in&#x20;most&#x20;Linux&#x20;distributions.','Many&#x20;insecure&#x20;service&#x20;clients&#x20;are&#x20;used&#x20;as&#x20;troubleshooting&#x20;tools&#x20;and&#x20;in&#x20;testing&#x20;environments.&#x20;Uninstalling&#x20;them&#x20;can&#x20;inhibit&#x20;capability&#x20;to&#x20;test&#x20;and&#x20;troubleshoot.&#x20;If&#x20;they&#x20;are&#x20;required&#x20;it&#x20;is&#x20;advisable&#x20;to&#x20;remove&#x20;the&#x20;clients&#x20;after&#x20;use&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;intentional&#x20;misuse.','Uninstall&#x20;telnet:&#x20;#&#x20;apt&#x20;purge&#x20;telnet.','[{\"cis\": [\"2.3.4\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1040\", \"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0006\", \"TA0008\"]}, {\"mitre_mitigations\": [\"M1041\", \"M1042\"]}]'),(29575,'Ensure&#x20;LDAP&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','Removing&#x20;the&#x20;LDAP&#x20;client&#x20;will&#x20;prevent&#x20;or&#x20;inhibit&#x20;using&#x20;LDAP&#x20;for&#x20;authentication&#x20;in&#x20;your&#x20;environment.','Uninstall&#x20;ldap-utils:&#x20;#&#x20;apt&#x20;purge&#x20;ldap-utils.','[{\"cis\": [\"2.3.5\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29576,'Ensure&#x20;RPC&#x20;is&#x20;not&#x20;installed.','Remote&#x20;Procedure&#x20;Call&#x20;&#40;RPC&#41;&#x20;is&#x20;a&#x20;method&#x20;for&#x20;creating&#x20;low&#x20;level&#x20;client&#x20;server&#x20;applications&#x20;across&#x20;different&#x20;system&#x20;architectures.&#x20;It&#x20;requires&#x20;an&#x20;RPC&#x20;compliant&#x20;client&#x20;listening&#x20;on&#x20;a&#x20;network&#x20;port.&#x20;The&#x20;supporting&#x20;package&#x20;is&#x20;rpcbind.','If&#x20;RPC&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;services&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;rpcbind:&#x20;#&#x20;apt&#x20;purge&#x20;rpcbind.','[{\"cis\": [\"2.3.6\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29577,'Ensure&#x20;ufw&#x20;is&#x20;installed.','The&#x20;Uncomplicated&#x20;Firewall&#x20;&#40;ufw&#41;&#x20;is&#x20;a&#x20;frontend&#x20;for&#x20;iptables&#x20;and&#x20;is&#x20;particularly&#x20;well-suited&#x20;for&#x20;host-based&#x20;firewalls.&#x20;ufw&#x20;provides&#x20;a&#x20;framework&#x20;for&#x20;managing&#x20;netfilter,&#x20;as&#x20;well&#x20;as&#x20;a&#x20;command-line&#x20;interface&#x20;for&#x20;manipulating&#x20;the&#x20;firewall.','A&#x20;firewall&#x20;utility&#x20;is&#x20;required&#x20;to&#x20;configure&#x20;the&#x20;Linux&#x20;kernel&#039;s&#x20;netfilter&#x20;framework&#x20;via&#x20;the&#x20;iptables&#x20;or&#x20;nftables&#x20;back-end.&#x20;The&#x20;Linux&#x20;kernel&#039;s&#x20;netfilter&#x20;framework&#x20;host-based&#x20;firewall&#x20;can&#x20;protect&#x20;against&#x20;threats&#x20;originating&#x20;from&#x20;within&#x20;a&#x20;corporate&#x20;network&#x20;to&#x20;include&#x20;malicious&#x20;mobile&#x20;code&#x20;and&#x20;poorly&#x20;configured&#x20;software&#x20;on&#x20;a&#x20;host.&#x20;Note:&#x20;Only&#x20;one&#x20;firewall&#x20;utility&#x20;should&#x20;be&#x20;installed&#x20;and&#x20;configured.&#x20;UFW&#x20;is&#x20;dependent&#x20;on&#x20;the&#x20;iptables&#x20;package.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;Uncomplicated&#x20;Firewall&#x20;&#40;UFW&#41;:&#x20;#&#x20;apt&#x20;install&#x20;ufw.','[{\"cis\": [\"3.5.1.1\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29578,'Ensure&#x20;iptables-persistent&#x20;is&#x20;not&#x20;installed&#x20;with&#x20;ufw.','The&#x20;iptables-persistent&#x20;is&#x20;a&#x20;boot-time&#x20;loader&#x20;for&#x20;netfilter&#x20;rules,&#x20;iptables&#x20;plugin.','Running&#x20;both&#x20;ufw&#x20;and&#x20;the&#x20;services&#x20;included&#x20;in&#x20;the&#x20;iptables-persistent&#x20;package&#x20;may&#x20;lead&#x20;to&#x20;conflict.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;iptables-persistent&#x20;package:&#x20;#&#x20;apt&#x20;purge&#x20;iptables-persistent.','[{\"cis\": [\"3.5.1.2\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29579,'Ensure&#x20;ufw&#x20;service&#x20;is&#x20;enabled.','UncomplicatedFirewall&#x20;&#40;ufw&#41;&#x20;is&#x20;a&#x20;frontend&#x20;for&#x20;iptables.&#x20;ufw&#x20;provides&#x20;a&#x20;framework&#x20;for&#x20;managing&#x20;netfilter,&#x20;as&#x20;well&#x20;as&#x20;a&#x20;command-line&#x20;and&#x20;available&#x20;graphical&#x20;user&#x20;interface&#x20;for&#x20;manipulating&#x20;the&#x20;firewall.&#x20;Notes:&#x20;-&#x20;When&#x20;running&#x20;ufw&#x20;enable&#x20;or&#x20;starting&#x20;ufw&#x20;via&#x20;its&#x20;initscript,&#x20;ufw&#x20;will&#x20;flush&#x20;its&#x20;chains.&#x20;This&#x20;is&#x20;required&#x20;so&#x20;ufw&#x20;can&#x20;maintain&#x20;a&#x20;consistent&#x20;state,&#x20;but&#x20;it&#x20;may&#x20;drop&#x20;existing&#x20;connections&#x20;&#40;eg&#x20;ssh&#41;.&#x20;ufw&#x20;does&#x20;support&#x20;adding&#x20;rules&#x20;before&#x20;enabling&#x20;the&#x20;firewall.&#x20;-&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;before&#x20;running&#x20;ufw&#x20;enable.&#x20;#&#x20;ufw&#x20;allow&#x20;proto&#x20;tcp&#x20;from&#x20;any&#x20;to&#x20;any&#x20;port&#x20;22.&#x20;-&#x20;The&#x20;rules&#x20;will&#x20;still&#x20;be&#x20;flushed,&#x20;but&#x20;the&#x20;ssh&#x20;port&#x20;will&#x20;be&#x20;open&#x20;after&#x20;enabling&#x20;the&#x20;firewall.&#x20;Please&#x20;note&#x20;that&#x20;once&#x20;ufw&#x20;is&#x20;&#039;enabled&#039;,&#x20;ufw&#x20;will&#x20;not&#x20;flush&#x20;the&#x20;chains&#x20;when&#x20;adding&#x20;or&#x20;removing&#x20;rules&#x20;&#40;but&#x20;will&#x20;when&#x20;modifying&#x20;a&#x20;rule&#x20;or&#x20;changing&#x20;the&#x20;default&#x20;policy&#41;.&#x20;-&#x20;By&#x20;default,&#x20;ufw&#x20;will&#x20;prompt&#x20;when&#x20;enabling&#x20;the&#x20;firewall&#x20;while&#x20;running&#x20;under&#x20;ssh.&#x20;This&#x20;can&#x20;be&#x20;disabled&#x20;by&#x20;using&#x20;ufw&#x20;--force&#x20;enable.','The&#x20;ufw&#x20;service&#x20;must&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;in&#x20;order&#x20;for&#x20;ufw&#x20;to&#x20;protect&#x20;the&#x20;system.','Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;the&#x20;ufw&#x20;daemon:&#x20;#&#x20;systemctl&#x20;unmask&#x20;ufw.service.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;the&#x20;ufw&#x20;daemon:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;ufw.service&#x20;active&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;ufw:&#x20;#&#x20;ufw&#x20;enable.','[{\"cis\": [\"3.5.1.3\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29580,'Ensure&#x20;ufw&#x20;loopback&#x20;traffic&#x20;is&#x20;configured.','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#x20;for&#x20;IPv4&#x20;and&#x20;::1/128&#x20;for&#x20;IPv6&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#x20;for&#x20;IPv4&#x20;and&#x20;::1/128&#x20;for&#x20;IPv6&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;ufw&#x20;allow&#x20;in&#x20;on&#x20;lo&#x20;#&#x20;ufw&#x20;allow&#x20;out&#x20;on&#x20;lo&#x20;#&#x20;ufw&#x20;deny&#x20;in&#x20;from&#x20;127.0.0.0/8&#x20;#&#x20;ufw&#x20;deny&#x20;in&#x20;from&#x20;::1.','[{\"cis\": [\"3.5.1.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29581,'Ensure&#x20;ufw&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','A&#x20;default&#x20;deny&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.&#x20;Note:&#x20;Any&#x20;port&#x20;or&#x20;protocol&#x20;without&#x20;a&#x20;explicit&#x20;allow&#x20;before&#x20;the&#x20;default&#x20;deny&#x20;will&#x20;be&#x20;blocked.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','Any&#x20;port&#x20;and&#x20;protocol&#x20;not&#x20;explicitly&#x20;allowed&#x20;will&#x20;be&#x20;blocked.&#x20;The&#x20;following&#x20;rules&#x20;should&#x20;be&#x20;considered&#x20;before&#x20;applying&#x20;the&#x20;default&#x20;deny.&#x20;ufw&#x20;allow&#x20;git,&#x20;ufw&#x20;allow&#x20;in&#x20;http,&#x20;ufw&#x20;allow&#x20;out&#x20;http&#x20;&lt;-&#x20;required&#x20;for&#x20;apt&#x20;to&#x20;connect&#x20;to&#x20;repository,&#x20;ufw&#x20;allow&#x20;in&#x20;https,&#x20;ufw&#x20;allow&#x20;out&#x20;https,&#x20;ufw&#x20;allow&#x20;out&#x20;53,&#x20;ufw&#x20;logging&#x20;on.','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;deny&#x20;policy:&#x20;#&#x20;ufw&#x20;default&#x20;deny&#x20;incoming&#x20;#&#x20;ufw&#x20;default&#x20;deny&#x20;outgoing&#x20;#&#x20;ufw&#x20;default&#x20;deny&#x20;routed.','[{\"cis\": [\"3.5.1.7\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29582,'Ensure&#x20;nftables&#x20;is&#x20;installed.','nftables&#x20;provides&#x20;a&#x20;new&#x20;in-kernel&#x20;packet&#x20;classification&#x20;framework&#x20;that&#x20;is&#x20;based&#x20;on&#x20;a&#x20;network-specific&#x20;Virtual&#x20;Machine&#x20;&#40;VM&#41;&#x20;and&#x20;a&#x20;new&#x20;nft&#x20;userspace&#x20;command&#x20;line&#x20;tool.&#x20;nftables&#x20;reuses&#x20;the&#x20;existing&#x20;Netfilter&#x20;subsystems&#x20;such&#x20;as&#x20;the&#x20;existing&#x20;hook&#x20;infrastructure,&#x20;the&#x20;connection&#x20;tracking&#x20;system,&#x20;NAT,&#x20;userspace&#x20;queuing&#x20;and&#x20;logging&#x20;subsystem.&#x20;Notes:&#x20;-&#x20;nftables&#x20;is&#x20;available&#x20;in&#x20;Linux&#x20;kernel&#x20;3.13&#x20;and&#x20;newer.&#x20;-&#x20;Only&#x20;one&#x20;firewall&#x20;utility&#x20;should&#x20;be&#x20;installed&#x20;and&#x20;configured.&#x20;-&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;the&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.','nftables&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;Linux&#x20;kernel&#x20;that&#x20;can&#x20;protect&#x20;against&#x20;threats&#x20;originating&#x20;from&#x20;within&#x20;a&#x20;corporate&#x20;network&#x20;to&#x20;include&#x20;malicious&#x20;mobile&#x20;code&#x20;and&#x20;poorly&#x20;configured&#x20;software&#x20;on&#x20;a&#x20;host.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;nftables:&#x20;#&#x20;apt&#x20;install&#x20;nftables.','[{\"cis\": [\"3.5.2.1\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29583,'Ensure&#x20;ufw&#x20;is&#x20;uninstalled&#x20;or&#x20;disabled&#x20;with&#x20;nftables.','Uncomplicated&#x20;Firewall&#x20;&#40;UFW&#41;&#x20;is&#x20;a&#x20;program&#x20;for&#x20;managing&#x20;a&#x20;netfilter&#x20;firewall&#x20;designed&#x20;to&#x20;be&#x20;easy&#x20;to&#x20;use.','Running&#x20;both&#x20;the&#x20;nftables&#x20;service&#x20;and&#x20;ufw&#x20;may&#x20;lead&#x20;to&#x20;conflict&#x20;and&#x20;unexpected&#x20;results.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;either&#x20;remove&#x20;ufw&#x20;or&#x20;disable&#x20;ufw.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ufw:&#x20;#&#x20;apt&#x20;purge&#x20;ufw.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;ufw:&#x20;#&#x20;ufw&#x20;disable.','[{\"cis\": [\"3.5.2.2\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29584,'Ensure&#x20;iptables&#x20;are&#x20;flushed&#x20;with&#x20;nftables.','nftables&#x20;is&#x20;a&#x20;replacement&#x20;for&#x20;iptables,&#x20;ip6tables,&#x20;ebtables&#x20;and&#x20;arptables.','It&#x20;is&#x20;possible&#x20;to&#x20;mix&#x20;iptables&#x20;and&#x20;nftables.&#x20;However,&#x20;this&#x20;increases&#x20;complexity&#x20;and&#x20;also&#x20;the&#x20;chance&#x20;to&#x20;introduce&#x20;errors.&#x20;For&#x20;simplicity&#x20;flush&#x20;out&#x20;all&#x20;iptables&#x20;rules,&#x20;and&#x20;ensure&#x20;it&#x20;is&#x20;not&#x20;loaded.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;flush&#x20;iptables:&#x20;For&#x20;iptables:&#x20;#&#x20;iptables&#x20;-F&#x20;For&#x20;ip6tables:&#x20;#&#x20;ip6tables&#x20;-F.','[{\"cis\": [\"3.5.2.3\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29585,'Ensure&#x20;a&#x20;nftables&#x20;table&#x20;exists.','Tables&#x20;hold&#x20;chains.&#x20;Each&#x20;table&#x20;only&#x20;has&#x20;one&#x20;address&#x20;family&#x20;and&#x20;only&#x20;applies&#x20;to&#x20;packets&#x20;of&#x20;this&#x20;family.&#x20;Tables&#x20;can&#x20;have&#x20;one&#x20;of&#x20;five&#x20;families.','nftables&#x20;doesn&#039;t&#x20;have&#x20;any&#x20;default&#x20;tables.&#x20;Without&#x20;a&#x20;table&#x20;being&#x20;build,&#x20;nftables&#x20;will&#x20;not&#x20;filter&#x20;network&#x20;traffic.','Adding&#x20;rules&#x20;to&#x20;a&#x20;running&#x20;nftables&#x20;can&#x20;cause&#x20;loss&#x20;of&#x20;connectivity&#x20;to&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;a&#x20;table&#x20;in&#x20;nftables:&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;Example:&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;filter.','[{\"cis\": [\"3.5.2.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29586,'Ensure&#x20;nftables&#x20;base&#x20;chains&#x20;exist.','Chains&#x20;are&#x20;containers&#x20;for&#x20;rules.&#x20;They&#x20;exist&#x20;in&#x20;two&#x20;kinds,&#x20;base&#x20;chains&#x20;and&#x20;regular&#x20;chains.&#x20;A&#x20;base&#x20;chain&#x20;is&#x20;an&#x20;entry&#x20;point&#x20;for&#x20;packets&#x20;from&#x20;the&#x20;networking&#x20;stack,&#x20;a&#x20;regular&#x20;chain&#x20;may&#x20;be&#x20;used&#x20;as&#x20;jump&#x20;target&#x20;and&#x20;is&#x20;used&#x20;for&#x20;better&#x20;rule&#x20;organization.','If&#x20;a&#x20;base&#x20;chain&#x20;doesn&#039;t&#x20;exist&#x20;with&#x20;a&#x20;hook&#x20;for&#x20;input,&#x20;forward,&#x20;and&#x20;delete,&#x20;packets&#x20;that&#x20;would&#x20;flow&#x20;through&#x20;those&#x20;chains&#x20;will&#x20;not&#x20;be&#x20;touched&#x20;by&#x20;nftables.','If&#x20;configuring&#x20;nftables&#x20;over&#x20;ssh,&#x20;creating&#x20;a&#x20;base&#x20;chain&#x20;with&#x20;a&#x20;policy&#x20;of&#x20;drop&#x20;will&#x20;cause&#x20;loss&#x20;of&#x20;connectivity.&#x20;Ensure&#x20;that&#x20;a&#x20;rule&#x20;allowing&#x20;ssh&#x20;has&#x20;been&#x20;added&#x20;to&#x20;the&#x20;base&#x20;chain&#x20;prior&#x20;to&#x20;setting&#x20;the&#x20;base&#x20;chain&#039;s&#x20;policy&#x20;to&#x20;drop.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;the&#x20;base&#x20;chains:&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;&lt;base&#x20;chain&#x20;name&gt;&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;&lt;&#40;input|forward|output&#41;&gt;&#x20;priority&#x20;0&#x20;;&#x20;}.&#x20;Example:&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;input&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;input&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;forward&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;forward&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;output&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;output&#x20;priority&#x20;0&#x20;;&#x20;}.','[{\"cis\": [\"3.5.2.5\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29587,'Ensure&#x20;nftables&#x20;loopback&#x20;traffic&#x20;is&#x20;configured.','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;input&#x20;iif&#x20;lo&#x20;accept&#x20;#&#x20;nft&#x20;create&#x20;rule&#x20;inet&#x20;filter&#x20;input&#x20;ip&#x20;saddr&#x20;127.0.0.0/8&#x20;counter&#x20;drop.&#x20;IF&#x20;IPv6&#x20;is&#x20;enabled&#x20;on&#x20;the&#x20;system:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;implement&#x20;the&#x20;IPv6&#x20;loopback&#x20;rule:&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;input&#x20;ip6&#x20;saddr&#x20;::1&#x20;counter&#x20;drop.','[{\"cis\": [\"3.5.2.6\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29588,'Ensure&#x20;nftables&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','Base&#x20;chain&#x20;policy&#x20;is&#x20;the&#x20;default&#x20;verdict&#x20;that&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;packets&#x20;reaching&#x20;the&#x20;end&#x20;of&#x20;the&#x20;chain.','There&#x20;are&#x20;two&#x20;policies:&#x20;accept&#x20;&#40;Default&#41;&#x20;and&#x20;drop.&#x20;If&#x20;the&#x20;policy&#x20;is&#x20;set&#x20;to&#x20;accept,&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied&#x20;and&#x20;the&#x20;packet&#x20;will&#x20;continue&#x20;transversing&#x20;the&#x20;network&#x20;stack.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.&#x20;Note:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.','If&#x20;configuring&#x20;nftables&#x20;over&#x20;ssh,&#x20;creating&#x20;a&#x20;base&#x20;chain&#x20;with&#x20;a&#x20;policy&#x20;of&#x20;drop&#x20;will&#x20;cause&#x20;loss&#x20;of&#x20;connectivity.&#x20;Ensure&#x20;that&#x20;a&#x20;rule&#x20;allowing&#x20;ssh&#x20;has&#x20;been&#x20;added&#x20;to&#x20;the&#x20;base&#x20;chain&#x20;prior&#x20;to&#x20;setting&#x20;the&#x20;base&#x20;chain&#039;s&#x20;policy&#x20;to&#x20;drop.','Run&#x20;the&#x20;following&#x20;command&#x20;for&#x20;the&#x20;base&#x20;chains&#x20;with&#x20;the&#x20;input,&#x20;forward,&#x20;and&#x20;output&#x20;hooks&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;nft&#x20;chain&#x20;&lt;table&#x20;family&gt;&#x20;&lt;table&#x20;name&gt;&#x20;&lt;chain&#x20;name&gt;&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}.&#x20;Example:&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;input&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;forward&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;output&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}.','[{\"cis\": [\"3.5.2.8\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29589,'Ensure&#x20;nftables&#x20;service&#x20;is&#x20;enabled.','The&#x20;nftables&#x20;service&#x20;allows&#x20;for&#x20;the&#x20;loading&#x20;of&#x20;nftables&#x20;rulesets&#x20;during&#x20;boot,&#x20;or&#x20;starting&#x20;on&#x20;the&#x20;nftables&#x20;service.','The&#x20;nftables&#x20;service&#x20;restores&#x20;the&#x20;nftables&#x20;rules&#x20;from&#x20;the&#x20;rules&#x20;files&#x20;referenced&#x20;in&#x20;the&#x20;/etc/nftables.conf&#x20;file&#x20;during&#x20;boot&#x20;or&#x20;the&#x20;starting&#x20;of&#x20;the&#x20;nftables&#x20;service.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;nftables&#x20;service:&#x20;#&#x20;systemctl&#x20;enable&#x20;nftables.','[{\"cis\": [\"3.5.2.9\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29590,'Ensure&#x20;iptables&#x20;packages&#x20;are&#x20;installed.','iptables&#x20;is&#x20;a&#x20;utility&#x20;program&#x20;that&#x20;allows&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;configure&#x20;the&#x20;tables&#x20;provided&#x20;by&#x20;the&#x20;Linux&#x20;kernel&#x20;firewall,&#x20;implemented&#x20;as&#x20;different&#x20;Netfilter&#x20;modules,&#x20;and&#x20;the&#x20;chains&#x20;and&#x20;rules&#x20;it&#x20;stores.&#x20;Different&#x20;kernel&#x20;modules&#x20;and&#x20;programs&#x20;are&#x20;used&#x20;for&#x20;different&#x20;protocols;&#x20;iptables&#x20;applies&#x20;to&#x20;IPv4,&#x20;ip6tables&#x20;to&#x20;IPv6,&#x20;arptables&#x20;to&#x20;ARP,&#x20;and&#x20;ebtables&#x20;to&#x20;Ethernet&#x20;frames.','A&#x20;method&#x20;of&#x20;configuring&#x20;and&#x20;maintaining&#x20;firewall&#x20;rules&#x20;is&#x20;necessary&#x20;to&#x20;configure&#x20;a&#x20;Host&#x20;Based&#x20;Firewall.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;iptables&#x20;and&#x20;iptables-persistent&#x20;#&#x20;apt&#x20;install&#x20;iptables&#x20;iptables-persistent.','[{\"cis\": [\"3.5.3.1.1\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29591,'Ensure&#x20;nftables&#x20;is&#x20;not&#x20;installed&#x20;with&#x20;iptables.','nftables&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;Linux&#x20;kernel&#x20;providing&#x20;filtering&#x20;and&#x20;classification&#x20;of&#x20;network&#x20;packets/datagrams/frames&#x20;and&#x20;is&#x20;the&#x20;successor&#x20;to&#x20;iptables.','Running&#x20;both&#x20;iptables&#x20;and&#x20;nftables&#x20;may&#x20;lead&#x20;to&#x20;conflict.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nftables:&#x20;#&#x20;apt&#x20;purge&#x20;nftables.','[{\"cis\": [\"3.5.3.1.2\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}]'),(29592,'Ensure&#x20;ufw&#x20;is&#x20;uninstalled&#x20;or&#x20;disabled&#x20;with&#x20;iptables.','Uncomplicated&#x20;Firewall&#x20;&#40;UFW&#41;&#x20;is&#x20;a&#x20;program&#x20;for&#x20;managing&#x20;a&#x20;netfilter&#x20;firewall&#x20;designed&#x20;to&#x20;be&#x20;easy&#x20;to&#x20;use.&#x20;-&#x20;Uses&#x20;a&#x20;command-line&#x20;interface&#x20;consisting&#x20;of&#x20;a&#x20;small&#x20;number&#x20;of&#x20;simple&#x20;commands.&#x20;-&#x20;Uses&#x20;iptables&#x20;for&#x20;configuration.','Running&#x20;iptables.persistent&#x20;with&#x20;ufw&#x20;enabled&#x20;may&#x20;lead&#x20;to&#x20;conflict&#x20;and&#x20;unexpected&#x20;results.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;either&#x20;remove&#x20;ufw&#x20;or&#x20;stop&#x20;and&#x20;mask&#x20;ufw&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ufw:&#x20;#&#x20;apt&#x20;purge&#x20;ufw&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;ufw:&#x20;#&#x20;ufw&#x20;disable&#x20;#&#x20;systemctl&#x20;stop&#x20;ufw&#x20;#&#x20;systemctl&#x20;mask&#x20;ufw.','[{\"cis\": [\"3.5.3.1.3\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}]'),(29593,'Ensure&#x20;iptables&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.&#x20;Notes:&#x20;-&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.&#x20;-&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;iptables&#x20;-P&#x20;INPUT&#x20;DROP&#x20;#&#x20;iptables&#x20;-P&#x20;OUTPUT&#x20;DROP&#x20;#&#x20;iptables&#x20;-P&#x20;FORWARD&#x20;DROP.','[{\"cis\": [\"3.5.3.2.1\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29594,'Ensure&#x20;iptables&#x20;loopback&#x20;traffic&#x20;is&#x20;configured.','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;.&#x20;Notes:&#x20;-&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.&#x20;-&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-s&#x20;127.0.0.0/8&#x20;-j&#x20;DROP.','[{\"cis\": [\"3.5.3.2.2\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29595,'Ensure&#x20;ip6tables&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.&#x20;Note:&#x20;-&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.&#x20;-&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;ip6tables&#x20;-P&#x20;INPUT&#x20;DROP&#x20;#&#x20;ip6tables&#x20;-P&#x20;OUTPUT&#x20;DROP&#x20;#&#x20;ip6tables&#x20;-P&#x20;FORWARD&#x20;DROP.','[{\"cis\": [\"3.5.3.3.1\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29596,'Ensure&#x20;ip6tables&#x20;loopback&#x20;traffic&#x20;is&#x20;configured.','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;::1&#41;.&#x20;Note:&#x20;-&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.&#x20;-&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;::1&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;ip6tables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-s&#x20;::1&#x20;-j&#x20;DROP.','[{\"cis\": [\"3.5.3.3.2\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29597,'Ensure&#x20;auditd&#x20;is&#x20;installed.','auditd&#x20;is&#x20;the&#x20;userspace&#x20;component&#x20;to&#x20;the&#x20;Linux&#x20;Auditing&#x20;System.&#x20;It&#039;s&#x20;responsible&#x20;for&#x20;writing&#x20;audit&#x20;records&#x20;to&#x20;the&#x20;disk.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;Install&#x20;auditd:&#x20;#&#x20;apt&#x20;install&#x20;auditd&#x20;audispd-plugins.','[{\"cis\": [\"4.1.1.1\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29598,'Ensure&#x20;auditd&#x20;service&#x20;is&#x20;enabled&#x20;and&#x20;active.','Turn&#x20;on&#x20;the&#x20;auditd&#x20;daemon&#x20;to&#x20;record&#x20;system&#x20;events.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;auditd:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;auditd.','[{\"cis\": [\"4.1.1.2\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29599,'Ensure&#x20;auditing&#x20;for&#x20;processes&#x20;that&#x20;start&#x20;prior&#x20;to&#x20;auditd&#x20;is&#x20;enabled.','Configure&#x20;grub2&#x20;so&#x20;that&#x20;processes&#x20;that&#x20;are&#x20;capable&#x20;of&#x20;being&#x20;audited&#x20;can&#x20;be&#x20;audited&#x20;even&#x20;if&#x20;they&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;startup.','Audit&#x20;events&#x20;need&#x20;to&#x20;be&#x20;captured&#x20;on&#x20;processes&#x20;that&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;,&#x20;so&#x20;that&#x20;potential&#x20;malicious&#x20;activity&#x20;cannot&#x20;go&#x20;undetected.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit=1&#x20;to&#x20;GRUB_CMDLINE_LINUX:&#x20;Example:&#x20;GRUB_CMDLINE_LINUX=&quot;audit=1&quot;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub.','[{\"cis\": [\"4.1.1.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29600,'Ensure&#x20;audit_backlog_limit&#x20;is&#x20;sufficient.','In&#x20;the&#x20;kernel-level&#x20;audit&#x20;subsystem,&#x20;a&#x20;socket&#x20;buffer&#x20;queue&#x20;is&#x20;used&#x20;to&#x20;hold&#x20;audit&#x20;events.&#x20;Whenever&#x20;a&#x20;new&#x20;audit&#x20;event&#x20;is&#x20;received,&#x20;it&#x20;is&#x20;logged&#x20;and&#x20;prepared&#x20;to&#x20;be&#x20;added&#x20;to&#x20;this&#x20;queue.&#x20;The&#x20;kernel&#x20;boot&#x20;parameter&#x20;audit_backlog_limit=N,&#x20;with&#x20;N&#x20;representing&#x20;the&#x20;amount&#x20;of&#x20;messages,&#x20;will&#x20;ensure&#x20;that&#x20;a&#x20;queue&#x20;cannot&#x20;grow&#x20;beyond&#x20;a&#x20;certain&#x20;size.&#x20;If&#x20;an&#x20;audit&#x20;event&#x20;is&#x20;logged&#x20;which&#x20;would&#x20;grow&#x20;the&#x20;queue&#x20;beyond&#x20;this&#x20;limit,&#x20;then&#x20;a&#x20;failure&#x20;occurs&#x20;and&#x20;is&#x20;handled&#x20;according&#x20;to&#x20;the&#x20;system&#x20;configuration.','If&#x20;an&#x20;audit&#x20;event&#x20;is&#x20;logged&#x20;which&#x20;would&#x20;grow&#x20;the&#x20;queue&#x20;beyond&#x20;the&#x20;audit_backlog_limit,&#x20;then&#x20;a&#x20;failure&#x20;occurs,&#x20;auditd&#x20;records&#x20;will&#x20;be&#x20;lost,&#x20;and&#x20;potential&#x20;malicious&#x20;activity&#x20;could&#x20;go&#x20;undetected.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit_backlog_limit=N&#x20;to&#x20;GRUB_CMDLINE_LINUX.&#x20;The&#x20;recommended&#x20;size&#x20;for&#x20;N&#x20;is&#x20;8192&#x20;or&#x20;larger.&#x20;Example:&#x20;GRUB_CMDLINE_LINUX=&quot;audit_backlog_limit=8192&quot;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub.','[{\"cis\": [\"4.1.1.4\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29601,'Ensure&#x20;audit&#x20;log&#x20;storage&#x20;size&#x20;is&#x20;configured.','Configure&#x20;the&#x20;maximum&#x20;size&#x20;of&#x20;the&#x20;audit&#x20;log&#x20;file.&#x20;Once&#x20;the&#x20;log&#x20;reaches&#x20;the&#x20;maximum&#x20;size,&#x20;it&#x20;will&#x20;be&#x20;rotated&#x20;and&#x20;a&#x20;new&#x20;log&#x20;file&#x20;will&#x20;be&#x20;started.','It&#x20;is&#x20;important&#x20;that&#x20;an&#x20;appropriate&#x20;size&#x20;is&#x20;determined&#x20;for&#x20;log&#x20;files&#x20;so&#x20;that&#x20;they&#x20;do&#x20;not&#x20;impact&#x20;the&#x20;system&#x20;and&#x20;audit&#x20;data&#x20;is&#x20;not&#x20;lost.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy:&#x20;max_log_file&#x20;=&#x20;&lt;MB&gt;.','[{\"cis\": [\"4.1.2.1\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"pci_dss_3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1053\"]}]'),(29602,'Ensure&#x20;audit&#x20;logs&#x20;are&#x20;not&#x20;automatically&#x20;deleted.','The&#x20;max_log_file_action&#x20;setting&#x20;determines&#x20;how&#x20;to&#x20;handle&#x20;the&#x20;audit&#x20;log&#x20;file&#x20;reaching&#x20;the&#x20;max&#x20;file&#x20;size.&#x20;A&#x20;value&#x20;of&#x20;keep_logs&#x20;will&#x20;rotate&#x20;the&#x20;logs&#x20;but&#x20;never&#x20;delete&#x20;old&#x20;logs.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;benefits&#x20;of&#x20;maintaining&#x20;a&#x20;long&#x20;audit&#x20;history&#x20;exceed&#x20;the&#x20;cost&#x20;of&#x20;storing&#x20;the&#x20;audit&#x20;history.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;max_log_file_action&#x20;=&#x20;keep_logs.','[{\"cis\": [\"4.1.2.2\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"pci_dss_3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1053\"]}]'),(29603,'Ensure&#x20;system&#x20;is&#x20;disabled&#x20;when&#x20;audit&#x20;logs&#x20;are&#x20;full.','The&#x20;auditd&#x20;daemon&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;halt&#x20;the&#x20;system&#x20;when&#x20;the&#x20;audit&#x20;logs&#x20;are&#x20;full.&#x20;The&#x20;admin_space_left_action&#x20;parameter&#x20;tells&#x20;the&#x20;system&#x20;what&#x20;action&#x20;to&#x20;take&#x20;when&#x20;the&#x20;system&#x20;has&#x20;detected&#x20;that&#x20;it&#x20;is&#x20;low&#x20;on&#x20;disk&#x20;space.&#x20;Valid&#x20;values&#x20;are&#x20;ignore,&#x20;syslog,&#x20;suspend,&#x20;single,&#x20;and&#x20;halt.&#x20;-&#x20;ignore,&#x20;the&#x20;audit&#x20;daemon&#x20;does&#x20;nothing.&#x20;-&#x20;Syslog,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;issue&#x20;a&#x20;warning&#x20;to&#x20;syslog.&#x20;-&#x20;Suspend,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;stop&#x20;writing&#x20;records&#x20;to&#x20;the&#x20;disk.&#x20;-&#x20;single,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;put&#x20;the&#x20;computer&#x20;system&#x20;in&#x20;single&#x20;user&#x20;mode.&#x20;-&#x20;halt,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;shutdown&#x20;the&#x20;system.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;risk&#x20;of&#x20;detecting&#x20;unauthorized&#x20;access&#x20;or&#x20;nonrepudiation&#x20;exceeds&#x20;the&#x20;benefit&#x20;of&#x20;the&#x20;system&#039;s&#x20;availability.','If&#x20;the&#x20;admin_space_left_action&#x20;parameter&#x20;is&#x20;set&#x20;to&#x20;halt&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;shutdown&#x20;the&#x20;system&#x20;when&#x20;the&#x20;disk&#x20;partition&#x20;containing&#x20;the&#x20;audit&#x20;logs&#x20;becomes&#x20;full.','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;space_left_action&#x20;=&#x20;email&#x20;action_mail_acct&#x20;=&#x20;root&#x20;set&#x20;admin_space_left_action&#x20;to&#x20;either&#x20;halt&#x20;or&#x20;single&#x20;in&#x20;/etc/audit/auditd.conf.&#x20;Example:&#x20;admin_space_left_action&#x20;=&#x20;halt.','[{\"cis\": [\"4.1.2.3\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.3\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\", \"10.7\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"A1.1\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29604,'Ensure&#x20;changes&#x20;to&#x20;system&#x20;administration&#x20;scope&#x20;&#40;sudoers&#41;&#x20;is&#x20;collected.','Monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrators.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;force&#x20;system&#x20;administrators&#x20;to&#x20;log&#x20;in&#x20;as&#x20;themselves&#x20;first&#x20;and&#x20;then&#x20;use&#x20;the&#x20;sudo&#x20;command&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;it&#x20;is&#x20;possible&#x20;to&#x20;monitor&#x20;changes&#x20;in&#x20;scope.&#x20;The&#x20;file&#x20;/etc/sudoers,&#x20;or&#x20;files&#x20;in&#x20;/etc/sudoers.d,&#x20;will&#x20;be&#x20;written&#x20;to&#x20;when&#x20;the&#x20;file&#40;s&#41;&#x20;or&#x20;related&#x20;attributes&#x20;have&#x20;changed.&#x20;The&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;scope&quot;.','Changes&#x20;in&#x20;the&#x20;/etc/sudoers&#x20;and&#x20;/etc/sudoers.d&#x20;files&#x20;can&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;change&#x20;has&#x20;been&#x20;made&#x20;to&#x20;the&#x20;scope&#x20;of&#x20;system&#x20;administrator&#x20;activity.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrators.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/etc/sudoers&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;-w&#x20;/etc/sudoers.d&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-scope.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;fi.','[{\"cis\": [\"4.1.3.1\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"4.8\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.3\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1047\"]}]'),(29605,'Ensure&#x20;actions&#x20;as&#x20;another&#x20;user&#x20;are&#x20;always&#x20;logged.','sudo&#x20;provides&#x20;users&#x20;with&#x20;temporary&#x20;elevated&#x20;privileges&#x20;to&#x20;perform&#x20;operations,&#x20;either&#x20;as&#x20;the&#x20;superuser&#x20;or&#x20;another&#x20;user.','Creating&#x20;an&#x20;audit&#x20;log&#x20;of&#x20;users&#x20;with&#x20;temporary&#x20;elevated&#x20;privileges&#x20;and&#x20;the&#x20;operation&#40;s&#41;&#x20;they&#x20;performed&#x20;is&#x20;essential&#x20;to&#x20;reporting.&#x20;Administrators&#x20;will&#x20;want&#x20;to&#x20;correlate&#x20;the&#x20;events&#x20;written&#x20;to&#x20;the&#x20;audit&#x20;trail&#x20;with&#x20;the&#x20;records&#x20;written&#x20;to&#x20;sudo&#039;s&#x20;logfile&#x20;to&#x20;verify&#x20;if&#x20;unauthorized&#x20;commands&#x20;have&#x20;been&#x20;executed.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;elevated&#x20;privileges.&#x20;-&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-C&#x20;euid!=uid&#x20;-F&#x20;auid!=unset&#x20;-S&#x20;execve&#x20;-k&#x20;user_emulation&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-C&#x20;euid!=uid&#x20;-F&#x20;auid!=unset&#x20;-S&#x20;execve&#x20;-k&#x20;user_emulation&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-user_emulation.rules&#x20;-&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;-&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.2\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"4.9\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.9.4.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1047\"]}]'),(29606,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;date&#x20;and&#x20;time&#x20;information&#x20;are&#x20;collected.','Capture&#x20;events&#x20;where&#x20;the&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;has&#x20;been&#x20;modified.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;are&#x20;set&#x20;to&#x20;determine&#x20;if&#x20;the;&#x20;-&#x20;adjtimex:&#x20;tune&#x20;kernel&#x20;clock.&#x20;-&#x20;settimeofday:&#x20;set&#x20;time&#x20;using&#x20;timeval&#x20;and&#x20;timezone&#x20;structures.&#x20;-&#x20;stime:&#x20;using&#x20;seconds&#x20;since&#x20;1/1/1970.&#x20;-&#x20;clock_settime:&#x20;allows&#x20;for&#x20;the&#x20;setting&#x20;of&#x20;several&#x20;internal&#x20;clocks&#x20;and&#x20;timers&#x20;system&#x20;calls&#x20;have&#x20;been&#x20;executed.&#x20;Further,&#x20;ensure&#x20;to&#x20;write&#x20;an&#x20;audit&#x20;record&#x20;to&#x20;the&#x20;configured&#x20;audit&#x20;log&#x20;file&#x20;upon&#x20;exit,&#x20;tagging&#x20;the&#x20;records&#x20;with&#x20;a&#x20;unique&#x20;identifier&#x20;such&#x20;as&#x20;&quot;time-change&quot;.','Unexpected&#x20;changes&#x20;in&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;could&#x20;be&#x20;a&#x20;sign&#x20;of&#x20;malicious&#x20;activity&#x20;on&#x20;the&#x20;system.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;events&#x20;that&#x20;modify&#x20;date&#x20;and&#x20;time&#x20;information.&#x20;-&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;adjtimex,settimeofday,clock_settime&#x20;-k&#x20;time-change&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex,settimeofday,clock_settime&#x20;-k&#x20;time-change&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-time-change.rules&#x20;-&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;.Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.&#x20;In&#x20;addition,&#x20;add&#x20;stime&#x20;to&#x20;the&#x20;system&#x20;call&#x20;audit.&#x20;Example:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex,settimeofday,clock_settime,stime&#x20;-k&#x20;time-change.','[{\"cis\": [\"4.1.3.4\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"5.5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.1.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29607,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;network&#x20;environment&#x20;are&#x20;collected.','Record&#x20;changes&#x20;to&#x20;network&#x20;environment&#x20;files&#x20;or&#x20;system&#x20;calls.&#x20;The&#x20;below&#x20;parameters&#x20;monitors&#x20;the&#x20;following&#x20;system&#x20;calls,&#x20;and&#x20;write&#x20;an&#x20;audit&#x20;event&#x20;on&#x20;system&#x20;call&#x20;exit:&#x20;-&#x20;sethostname:&#x20;set&#x20;the&#x20;systems&#x20;host&#x20;name.&#x20;-&#x20;setdomainname:&#x20;set&#x20;the&#x20;systems&#x20;domain&#x20;name.&#x20;The&#x20;files&#x20;being&#x20;monitored&#x20;are:&#x20;&gt;&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;-&#x20;messages&#x20;displayed&#x20;pre-login.&#x20;&gt;&#x20;/etc/hosts&#x20;-&#x20;file&#x20;containing&#x20;host&#x20;names&#x20;and&#x20;associated&#x20;IP&#x20;addresses.&#x20;&gt;&#x20;/etc/networks&#x20;-&#x20;symbolic&#x20;names&#x20;for&#x20;networks.&#x20;&gt;&#x20;/etc/network/&#x20;-&#x20;directory&#x20;containing&#x20;network&#x20;interface&#x20;scripts&#x20;and&#x20;configurations&#x20;files.','Monitoring&#x20;sethostname&#x20;and&#x20;setdomainname&#x20;will&#x20;identify&#x20;potential&#x20;unauthorized&#x20;changes&#x20;to&#x20;host&#x20;and&#x20;domainname&#x20;of&#x20;a&#x20;system.&#x20;The&#x20;changing&#x20;of&#x20;these&#x20;names&#x20;could&#x20;potentially&#x20;break&#x20;security&#x20;parameters&#x20;that&#x20;are&#x20;set&#x20;based&#x20;on&#x20;those&#x20;names.&#x20;The&#x20;/etc/hosts&#x20;file&#x20;is&#x20;monitored&#x20;for&#x20;changes&#x20;that&#x20;can&#x20;indicate&#x20;an&#x20;unauthorized&#x20;intruder&#x20;is&#x20;trying&#x20;to&#x20;change&#x20;machine&#x20;associations&#x20;with&#x20;IP&#x20;addresses&#x20;and&#x20;trick&#x20;users&#x20;and&#x20;processes&#x20;into&#x20;connecting&#x20;to&#x20;unintended&#x20;machines.&#x20;Monitoring&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;is&#x20;important,&#x20;as&#x20;intruders&#x20;could&#x20;put&#x20;disinformation&#x20;into&#x20;those&#x20;files&#x20;and&#x20;trick&#x20;users&#x20;into&#x20;providing&#x20;information&#x20;to&#x20;the&#x20;intruder.&#x20;Monitoring&#x20;/etc/network&#x20;is&#x20;important&#x20;as&#x20;it&#x20;can&#x20;show&#x20;if&#x20;network&#x20;interfaces&#x20;or&#x20;scripts&#x20;are&#x20;being&#x20;modified&#x20;in&#x20;a&#x20;way&#x20;that&#x20;can&#x20;lead&#x20;to&#x20;the&#x20;machine&#x20;becoming&#x20;unavailable&#x20;or&#x20;compromised.&#x20;All&#x20;audit&#x20;records&#x20;should&#x20;have&#x20;a&#x20;relevant&#x20;tag&#x20;associated&#x20;with&#x20;them.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;network&#x20;environment.&#x20;-&#x20;64&#x20;Bit&#x20;systems:&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;sethostname,setdomainname&#x20;-k&#x20;system-locale&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname,setdomainname&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/networks&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/network/&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-system_local.rules&#x20;-&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;-&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.5\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"5.5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.1.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1047\"]}]'),(29608,'Ensure&#x20;unsuccessful&#x20;file&#x20;access&#x20;attempts&#x20;are&#x20;collected.','Monitor&#x20;for&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;access&#x20;files.&#x20;The&#x20;following&#x20;parameters&#x20;are&#x20;associated&#x20;with&#x20;system&#x20;calls&#x20;that&#x20;control&#x20;files:&#x20;-&#x20;creation&#x20;-&#x20;creat.&#x20;-&#x20;opening&#x20;-&#x20;open,&#x20;openat.&#x20;-&#x20;truncation&#x20;-&#x20;truncate,&#x20;ftruncate.&#x20;An&#x20;audit&#x20;log&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;if&#x20;all&#x20;of&#x20;the&#x20;following&#x20;criteria&#x20;is&#x20;met&#x20;for&#x20;the&#x20;user&#x20;when&#x20;trying&#x20;to&#x20;access&#x20;a&#x20;file:&#x20;-&#x20;a&#x20;non-privileged&#x20;user&#x20;&#40;auid&gt;=UID_MIN&#41;.&#x20;-&#x20;is&#x20;not&#x20;a&#x20;Daemon&#x20;event&#x20;&#40;auid=4294967295/unset/-1&#41;.&#x20;-&#x20;if&#x20;the&#x20;system&#x20;call&#x20;returned&#x20;EACCES&#x20;&#40;permission&#x20;denied&#41;&#x20;or&#x20;EPERM&#x20;&#40;some&#x20;other&#x20;permanent&#x20;error&#x20;associated&#x20;with&#x20;the&#x20;specific&#x20;system&#x20;call&#41;.','Failed&#x20;attempts&#x20;to&#x20;open,&#x20;create&#x20;or&#x20;truncate&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;an&#x20;individual&#x20;or&#x20;process&#x20;is&#x20;trying&#x20;to&#x20;gain&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;unsuccessful&#x20;file&#x20;access&#x20;attempts.&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#{&#x20;UID_MIN=$&#40;awk&#x20;&#039;/^s*UID_MIN/{print&#x20;$2}&#039;&#x20;/etc/login.defs&#41;&#x20;[&#x20;-n&#x20;&quot;${UID_MIN}&quot;&#x20;]&#x20;&amp;&amp;&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat,open,openat,truncate,ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;access&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat,open,openat,truncate,ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;access&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat,open,openat,truncate,ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;access&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat,open,openat,truncate,ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;access&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-access.rules&#x20;||&#x20;printf&#x20;&quot;ERROR:&#x20;Variable&#x20;&#039;UID_MIN&#039;&#x20;is&#x20;unset.&#x0a;&quot;&#x20;}&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.7\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"14.9\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.3\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29609,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;user/group&#x20;information&#x20;are&#x20;collected.','Record&#x20;events&#x20;affecting&#x20;the&#x20;modification&#x20;of&#x20;user&#x20;or&#x20;group&#x20;information,&#x20;including&#x20;that&#x20;of&#x20;passwords&#x20;and&#x20;old&#x20;passwords&#x20;if&#x20;in&#x20;use.&#x20;-&#x20;/etc/group:&#x20;system&#x20;groups.&#x20;-&#x20;/etc/passwd:&#x20;system&#x20;users.&#x20;-&#x20;/etc/gshadow:&#x20;encrypted&#x20;password&#x20;for&#x20;each&#x20;group.&#x20;-&#x20;/etc/shadow:&#x20;system&#x20;user&#x20;passwords.&#x20;-&#x20;/etc/security/opasswd:&#x20;storage&#x20;of&#x20;old&#x20;passwords&#x20;if&#x20;the&#x20;relevant&#x20;PAM&#x20;module&#x20;is&#x20;in&#x20;use.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;will&#x20;watch&#x20;the&#x20;files&#x20;to&#x20;see&#x20;if&#x20;they&#x20;have&#x20;been&#x20;opened&#x20;for&#x20;write&#x20;or&#x20;have&#x20;had&#x20;attribute&#x20;changes&#x20;&#40;e.g.&#x20;permissions&#41;&#x20;and&#x20;tag&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;identity&quot;&#x20;in&#x20;the&#x20;audit&#x20;log&#x20;file.','Unexpected&#x20;changes&#x20;to&#x20;these&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;the&#x20;system&#x20;has&#x20;been&#x20;compromised&#x20;and&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;hide&#x20;their&#x20;activities&#x20;or&#x20;compromise&#x20;additional&#x20;accounts.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;events&#x20;that&#x20;modify&#x20;user/group&#x20;information.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/etc/group&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/passwd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/gshadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/shadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/security/opasswd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-identity.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.8\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"4.8\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.3\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1047\"]}]'),(29610,'Ensure&#x20;discretionary&#x20;access&#x20;control&#x20;permission&#x20;modification&#x20;events&#x20;are&#x20;collected.','Monitor&#x20;changes&#x20;to&#x20;file&#x20;permissions,&#x20;attributes,&#x20;ownership&#x20;and&#x20;group.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;for&#x20;system&#x20;calls&#x20;that&#x20;affect&#x20;file&#x20;permissions&#x20;and&#x20;attributes.&#x20;The&#x20;following&#x20;commands&#x20;and&#x20;system&#x20;calls&#x20;effect&#x20;the&#x20;permissions,&#x20;ownership&#x20;and&#x20;various&#x20;attributes&#x20;of&#x20;files:&#x20;chmod,&#x20;fchmod,&#x20;fchmodat,&#x20;chown,&#x20;fchown,&#x20;fchownat,&#x20;lchown,&#x20;setxattr,&#x20;lsetxattr,&#x20;fsetxattr,&#x20;removexattr,&#x20;lremovexattr,&#x20;fremovexattr.&#x20;In&#x20;all&#x20;cases,&#x20;an&#x20;audit&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;for&#x20;non-system&#x20;user&#x20;ids&#x20;and&#x20;will&#x20;ignore&#x20;Daemon&#x20;events.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;perm_mod&quot;.','Monitoring&#x20;for&#x20;changes&#x20;in&#x20;file&#x20;attributes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;activity&#x20;that&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;or&#x20;policy&#x20;violation.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;discretionary&#x20;access&#x20;control&#x20;permission&#x20;modification&#x20;events.&#x20;64&#x20;Bit&#x20;systems:&#x20;Example:&#x20;#{&#x20;UID_MIN=$&#40;awk&#x20;&#039;/^s*UID_MIN/{print&#x20;$2}&#039;&#x20;/etc/login.defs&#41;&#x20;[&#x20;-n&#x20;&quot;${UID_MIN}&quot;&#x20;]&#x20;&amp;&amp;&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chmod,fchmod,fchmodat&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-F&#x20;key=perm_mod&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chown,fchown,lchown,fchownat&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-F&#x20;key=perm_mod&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chmod,fchmod,fchmodat&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-F&#x20;key=perm_mod&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;lchown,fchown,chown,fchownat&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-F&#x20;key=perm_mod&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;setxattr,lsetxattr,fsetxattr,removexattr,lremovexattr,fremovexattr&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-F&#x20;key=perm_mod&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;setxattr,lsetxattr,fsetxattr,removexattr,lremovexattr,fremovexattr&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-F&#x20;key=perm_mod&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-perm_mod.rules&#x20;||&#x20;printf&#x20;&quot;ERROR:&#x20;Variable&#x20;&#039;UID_MIN&#039;&#x20;is&#x20;unset.&#x0a;&quot;&#x20;}&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.&#x20;32&#x20;Bit&#x20;systems&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.9\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"5.5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.1.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29611,'Ensure&#x20;successful&#x20;file&#x20;system&#x20;mounts&#x20;are&#x20;collected.','Monitor&#x20;the&#x20;use&#x20;of&#x20;the&#x20;mount&#x20;system&#x20;call.&#x20;The&#x20;mount&#x20;&#40;and&#x20;umount&#x20;&#41;&#x20;system&#x20;call&#x20;controls&#x20;the&#x20;mounting&#x20;and&#x20;unmounting&#x20;of&#x20;file&#x20;systems.&#x20;The&#x20;parameters&#x20;below&#x20;configure&#x20;the&#x20;system&#x20;to&#x20;create&#x20;an&#x20;audit&#x20;record&#x20;when&#x20;the&#x20;mount&#x20;system&#x20;call&#x20;is&#x20;used&#x20;by&#x20;a&#x20;non-privileged&#x20;user.','It&#x20;is&#x20;highly&#x20;unusual&#x20;for&#x20;a&#x20;non&#x20;privileged&#x20;user&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;to&#x20;the&#x20;system.&#x20;While&#x20;tracking&#x20;mount&#x20;commands&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;evidence&#x20;that&#x20;external&#x20;media&#x20;may&#x20;have&#x20;been&#x20;mounted&#x20;&#40;based&#x20;on&#x20;a&#x20;review&#x20;of&#x20;the&#x20;source&#x20;of&#x20;the&#x20;mount&#x20;and&#x20;confirming&#x20;it&#039;s&#x20;an&#x20;external&#x20;media&#x20;type&#41;,&#x20;it&#x20;does&#x20;not&#x20;conclusively&#x20;indicate&#x20;that&#x20;data&#x20;was&#x20;exported&#x20;to&#x20;the&#x20;media.&#x20;System&#x20;administrators&#x20;who&#x20;wish&#x20;to&#x20;determine&#x20;if&#x20;data&#x20;were&#x20;exported,&#x20;would&#x20;also&#x20;have&#x20;to&#x20;track&#x20;successful&#x20;open,&#x20;creat&#x20;and&#x20;truncate&#x20;system&#x20;calls&#x20;requiring&#x20;write&#x20;access&#x20;to&#x20;a&#x20;file&#x20;under&#x20;the&#x20;mount&#x20;point&#x20;of&#x20;the&#x20;external&#x20;media&#x20;file&#x20;system.&#x20;This&#x20;could&#x20;give&#x20;a&#x20;fair&#x20;indication&#x20;that&#x20;a&#x20;write&#x20;occurred.&#x20;The&#x20;only&#x20;way&#x20;to&#x20;truly&#x20;prove&#x20;it,&#x20;would&#x20;be&#x20;to&#x20;track&#x20;successful&#x20;writes&#x20;to&#x20;the&#x20;external&#x20;media.&#x20;Tracking&#x20;write&#x20;system&#x20;calls&#x20;could&#x20;quickly&#x20;fill&#x20;up&#x20;the&#x20;audit&#x20;log&#x20;and&#x20;is&#x20;not&#x20;recommended.&#x20;Recommendations&#x20;on&#x20;configuration&#x20;options&#x20;to&#x20;track&#x20;data&#x20;export&#x20;to&#x20;media&#x20;is&#x20;beyond&#x20;the&#x20;scope&#x20;of&#x20;this&#x20;document.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;successful&#x20;file&#x20;system&#x20;mounts.&#x20;-&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#&#x20;{&#x20;UID_MIN=$&#40;awk&#x20;&#039;/^s*UID_MIN/{print&#x20;$2}&#039;&#x20;/etc/login.defs&#41;&#x20;[&#x20;-n&#x20;&quot;${UID_MIN}&quot;&#x20;]&#x20;&amp;&amp;&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=$UID_MIN&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;mounts&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=$UID_MIN&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;mounts&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-mounts.rules&#x20;||&#x20;printf&#x20;&quot;ERROR:&#x20;Variable&#x20;&#039;UID_MIN&#039;&#x20;is&#x20;unset.&#x0a;&quot;}&#x20;-&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;-&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.10\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"CM-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0010\"]}, {\"mitre_mitigations\": [\"M1034\"]}]'),(29612,'Ensure&#x20;session&#x20;initiation&#x20;information&#x20;is&#x20;collected.','Monitor&#x20;session&#x20;initiation&#x20;events.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;to&#x20;the&#x20;files&#x20;associated&#x20;with&#x20;session&#x20;events.&#x20;-&#x20;/var/run/utmp:&#x20;tracks&#x20;all&#x20;currently&#x20;logged&#x20;in&#x20;users.&#x20;-&#x20;/var/log/wtmp:&#x20;file&#x20;tracks&#x20;logins,&#x20;logouts,&#x20;shutdown,&#x20;and&#x20;reboot&#x20;events.&#x20;-&#x20;/var/log/btmp:&#x20;keeps&#x20;track&#x20;of&#x20;failed&#x20;login&#x20;attempts&#x20;and&#x20;can&#x20;be&#x20;read&#x20;by&#x20;entering&#x20;the&#x20;command&#x20;/usr/bin/last&#x20;-f&#x20;/var/log/btmp.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;session&quot;.','Monitoring&#x20;these&#x20;files&#x20;for&#x20;changes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;logins&#x20;occurring&#x20;at&#x20;unusual&#x20;hours,&#x20;which&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;&#40;i.e.&#x20;a&#x20;user&#x20;logging&#x20;in&#x20;at&#x20;a&#x20;time&#x20;when&#x20;they&#x20;do&#x20;not&#x20;normally&#x20;log&#x20;in&#41;.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;session&#x20;initiation&#x20;information.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/var/run/utmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;-w&#x20;/var/log/wtmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;-w&#x20;/var/log/btmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-session.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.11\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"4.9\", \"16.13\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3\", \"AU-3(1)\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.9.4.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0001\"]}]'),(29613,'Ensure&#x20;login&#x20;and&#x20;logout&#x20;events&#x20;are&#x20;collected.','Monitor&#x20;login&#x20;and&#x20;logout&#x20;events.&#x20;The&#x20;parameters&#x20;below&#x20;track&#x20;changes&#x20;to&#x20;files&#x20;associated&#x20;with&#x20;login/logout&#x20;events.&#x20;-&#x20;/var/log/lastlog:&#x20;maintain&#x20;records&#x20;of&#x20;the&#x20;last&#x20;time&#x20;a&#x20;user&#x20;successfully&#x20;logged&#x20;in.&#x20;-&#x20;/var/run/faillock:&#x20;directory&#x20;maintains&#x20;records&#x20;of&#x20;login&#x20;failures&#x20;via&#x20;the&#x20;pam_faillock&#x20;module.','Monitoring&#x20;login/logout&#x20;events&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;information&#x20;associated&#x20;with&#x20;brute&#x20;force&#x20;attacks&#x20;against&#x20;user&#x20;logins.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;login&#x20;and&#x20;logout&#x20;events.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/var/log/lastlog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;-w&#x20;/var/run/faillock&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-login.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.12\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"4.9\", \"16.11\", \"16.13\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3\", \"AU-3(1)\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.9.4.2\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0001\"]}]'),(29614,'Ensure&#x20;file&#x20;deletion&#x20;events&#x20;by&#x20;users&#x20;are&#x20;collected.','Monitor&#x20;the&#x20;use&#x20;of&#x20;system&#x20;calls&#x20;associated&#x20;with&#x20;the&#x20;deletion&#x20;or&#x20;renaming&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes.&#x20;This&#x20;configuration&#x20;statement&#x20;sets&#x20;up&#x20;monitoring&#x20;for:&#x20;-&#x20;unlink:&#x20;remove&#x20;a&#x20;file.&#x20;-&#x20;unlinkat:&#x20;remove&#x20;a&#x20;file&#x20;attribute.&#x20;-&#x20;rename:&#x20;rename&#x20;a&#x20;file.&#x20;-&#x20;renameat:&#x20;rename&#x20;a&#x20;file&#x20;attribute&#x20;system&#x20;calls&#x20;and&#x20;tags&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;delete&quot;.','Monitoring&#x20;these&#x20;calls&#x20;from&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;evidence&#x20;that&#x20;inappropriate&#x20;removal&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes&#x20;associated&#x20;with&#x20;protected&#x20;files&#x20;is&#x20;occurring.&#x20;While&#x20;this&#x20;audit&#x20;option&#x20;will&#x20;look&#x20;at&#x20;all&#x20;events,&#x20;system&#x20;administrators&#x20;will&#x20;want&#x20;to&#x20;look&#x20;for&#x20;specific&#x20;privileged&#x20;files&#x20;that&#x20;are&#x20;being&#x20;deleted&#x20;or&#x20;altered.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;file&#x20;deletion&#x20;events&#x20;by&#x20;users.&#x20;-&#x20;64&#x20;Bit&#x20;systems:&#x20;Example:&#x20;#&#x20;{&#x20;UID_MIN=$&#40;awk&#x20;&#039;/^s*UID_MIN/{print&#x20;$2}&#039;&#x20;/etc/login.defs&#41;&#x20;[&#x20;-n&#x20;&quot;${UID_MIN}&quot;&#x20;]&#x20;&amp;&amp;&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;rename,unlink,unlinkat,renameat&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-F&#x20;key=delete&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;rename,unlink,unlinkat,renameat&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-F&#x20;key=delete&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-delete.rules&#x20;||&#x20;printf&#x20;&quot;ERROR:&#x20;Variable&#x20;&#039;UID_MIN&#039;&#x20;is&#x20;unset.&#x0a;&quot;&#x20;}&#x20;-&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;-&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.13\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29615,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;Mandatory&#x20;Access&#x20;Controls&#x20;are&#x20;collected.','Monitor&#x20;AppArmor,&#x20;an&#x20;implementation&#x20;of&#x20;mandatory&#x20;access&#x20;controls.&#x20;The&#x20;parameters&#x20;below&#x20;monitor&#x20;any&#x20;write&#x20;access&#x20;&#40;potential&#x20;additional,&#x20;deletion&#x20;or&#x20;modification&#x20;of&#x20;files&#x20;in&#x20;the&#x20;directory&#41;&#x20;or&#x20;attribute&#x20;changes&#x20;to&#x20;the&#x20;/etc/apparmor/&#x20;and&#x20;/etc/apparmor.d/&#x20;directories.&#x20;Note:&#x20;If&#x20;a&#x20;different&#x20;Mandatory&#x20;Access&#x20;Control&#x20;method&#x20;is&#x20;used,&#x20;changes&#x20;to&#x20;the&#x20;corresponding&#x20;directories&#x20;should&#x20;be&#x20;audited.','Changes&#x20;to&#x20;files&#x20;in&#x20;the&#x20;/etc/apparmor/&#x20;and&#x20;/etc/apparmor.d/&#x20;directories&#x20;could&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;modify&#x20;access&#x20;controls&#x20;and&#x20;change&#x20;security&#x20;contexts,&#x20;leading&#x20;to&#x20;a&#x20;compromise&#x20;of&#x20;the&#x20;system.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;systems&#x20;Mandatory&#x20;Access&#x20;Controls.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/etc/apparmor/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;-w&#x20;/etc/apparmor.d/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-MAC-policy.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.14\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"5.5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.1.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29616,'Ensure&#x20;successful&#x20;and&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;use&#x20;the&#x20;chcon&#x20;command&#x20;are&#x20;recorded.','The&#x20;operating&#x20;system&#x20;must&#x20;generate&#x20;audit&#x20;records&#x20;for&#x20;successful/unsuccessful&#x20;uses&#x20;of&#x20;the&#x20;chcon&#x20;command.','The&#x20;chcon&#x20;command&#x20;is&#x20;used&#x20;to&#x20;change&#x20;file&#x20;security&#x20;context.&#x20;Without&#x20;generating&#x20;audit&#x20;records&#x20;that&#x20;are&#x20;specific&#x20;to&#x20;the&#x20;security&#x20;and&#x20;mission&#x20;needs&#x20;of&#x20;the&#x20;organization,&#x20;it&#x20;would&#x20;be&#x20;difficult&#x20;to&#x20;establish,&#x20;correlate,&#x20;and&#x20;investigate&#x20;the&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident&#x20;or&#x20;identify&#x20;those&#x20;responsible&#x20;for&#x20;one.&#x20;Audit&#x20;records&#x20;can&#x20;be&#x20;generated&#x20;from&#x20;various&#x20;components&#x20;within&#x20;the&#x20;information&#x20;system&#x20;&#40;e.g.,&#x20;module&#x20;or&#x20;policy&#x20;filter&#41;.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;successful&#x20;and&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;use&#x20;the&#x20;chcon&#x20;command.&#x20;-&#x20;64&#x20;Bit&#x20;systems:&#x20;Example:&#x20;#&#x20;{&#x20;UID_MIN=$&#40;awk&#x20;&#039;/^s*UID_MIN/{print&#x20;$2}&#039;&#x20;/etc/login.defs&#41;&#x20;[&#x20;-n&#x20;&quot;${UID_MIN}&quot;&#x20;]&#x20;&amp;&amp;&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;path=/usr/bin/chcon&#x20;-F&#x20;perm=x&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;perm_chng&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-perm_chng.rules&#x20;||&#x20;printf&#x20;&quot;ERROR:Variable&#x20;&#039;UID_MIN&#039;&#x20;is&#x20;unset.&#x0a;&quot;&#x20;}&#x20;-&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;.Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;-&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.15\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}]'),(29617,'Ensure&#x20;successful&#x20;and&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;use&#x20;the&#x20;setfacl&#x20;command&#x20;are&#x20;recorded.','The&#x20;operating&#x20;system&#x20;must&#x20;generate&#x20;audit&#x20;records&#x20;for&#x20;successful/unsuccessful&#x20;uses&#x20;of&#x20;the&#x20;setfacl&#x20;command.','This&#x20;utility&#x20;sets&#x20;Access&#x20;Control&#x20;Lists&#x20;&#40;ACLs&#41;&#x20;of&#x20;files&#x20;and&#x20;directories.&#x20;Without&#x20;generating&#x20;audit&#x20;records&#x20;that&#x20;are&#x20;specific&#x20;to&#x20;the&#x20;security&#x20;and&#x20;mission&#x20;needs&#x20;of&#x20;the&#x20;organization,&#x20;it&#x20;would&#x20;be&#x20;difficult&#x20;to&#x20;establish,&#x20;correlate,&#x20;and&#x20;investigate&#x20;the&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident&#x20;or&#x20;identify&#x20;those&#x20;responsible&#x20;for&#x20;one.&#x20;Audit&#x20;records&#x20;can&#x20;be&#x20;generated&#x20;from&#x20;various&#x20;components&#x20;within&#x20;the&#x20;information&#x20;system&#x20;&#40;e.g.,&#x20;module&#x20;or&#x20;policy&#x20;filter&#41;.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;successful&#x20;and&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;use&#x20;the&#x20;setfacl&#x20;command.&#x20;-&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#&#x20;{&#x20;UID_MIN=$&#40;awk&#x20;&#039;/^s*UID_MIN/{print&#x20;$2}&#039;&#x20;/etc/login.defs&#41;&#x20;[&#x20;-n&#x20;&quot;${UID_MIN}&quot;&#x20;]&#x20;&amp;&amp;&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;path=/usr/bin/setfacl&#x20;-F&#x20;perm=x&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;perm_chng&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-perm_chng.rules&#x20;||&#x20;printf&#x20;&quot;ERROR:Variable&#x20;&#039;UID_MIN&#039;&#x20;is&#x20;unset.&#x0a;&quot;&#x20;}&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;-&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.16\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}]'),(29618,'Ensure&#x20;successful&#x20;and&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;use&#x20;the&#x20;chacl&#x20;command&#x20;are&#x20;recorded.','The&#x20;operating&#x20;system&#x20;must&#x20;generate&#x20;audit&#x20;records&#x20;for&#x20;successful/unsuccessful&#x20;uses&#x20;of&#x20;the&#x20;chacl&#x20;command.&#x20;chacl&#x20;is&#x20;an&#x20;IRIX-compatibility&#x20;command,&#x20;and&#x20;is&#x20;maintained&#x20;for&#x20;those&#x20;users&#x20;who&#x20;are&#x20;familiar&#x20;with&#x20;its&#x20;use&#x20;from&#x20;either&#x20;XFS&#x20;or&#x20;IRIX.','chacl&#x20;changes&#x20;the&#x20;ACL&#40;s&#41;&#x20;for&#x20;a&#x20;file&#x20;or&#x20;directory.&#x20;Without&#x20;generating&#x20;audit&#x20;records&#x20;that&#x20;are&#x20;specific&#x20;to&#x20;the&#x20;security&#x20;and&#x20;mission&#x20;needs&#x20;of&#x20;the&#x20;organization,&#x20;it&#x20;would&#x20;be&#x20;difficult&#x20;to&#x20;establish,&#x20;correlate,&#x20;and&#x20;investigate&#x20;the&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident&#x20;or&#x20;identify&#x20;those&#x20;responsible&#x20;for&#x20;one.&#x20;Audit&#x20;records&#x20;can&#x20;be&#x20;generated&#x20;from&#x20;various&#x20;components&#x20;within&#x20;the&#x20;information&#x20;system&#x20;&#40;e.g.,&#x20;module&#x20;or&#x20;policy&#x20;filter&#41;.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;successful&#x20;and&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;use&#x20;the&#x20;chacl&#x20;command.&#x20;-&#x20;64&#x20;Bit&#x20;systems:&#x20;Example:&#x20;#&#x20;{&#x20;UID_MIN=$&#40;awk&#x20;&#039;/^s*UID_MIN/{print&#x20;$2}&#039;&#x20;/etc/login.defs&#41;&#x20;[&#x20;-n&#x20;&quot;${UID_MIN}&quot;&#x20;]&#x20;&amp;&amp;&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;path=/usr/bin/chacl&#x20;-F&#x20;perm=x&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;perm_chng&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-perm_chng.rules&#x20;||&#x20;printf&#x20;&quot;ERROR:Variable&#x20;&#039;UID_MIN&#039;&#x20;is&#x20;unset.&#x0a;&quot;&#x20;}&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;-&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.17\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}]'),(29619,'Ensure&#x20;successful&#x20;and&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;use&#x20;the&#x20;usermod&#x20;command&#x20;are&#x20;recorded.','The&#x20;operating&#x20;system&#x20;must&#x20;generate&#x20;audit&#x20;records&#x20;for&#x20;successful/unsuccessful&#x20;uses&#x20;of&#x20;the&#x20;usermod&#x20;command.','The&#x20;usermod&#x20;command&#x20;modifies&#x20;the&#x20;system&#x20;account&#x20;files&#x20;to&#x20;reflect&#x20;the&#x20;changes&#x20;that&#x20;are&#x20;specified&#x20;on&#x20;the&#x20;command&#x20;line.&#x20;Without&#x20;generating&#x20;audit&#x20;records&#x20;that&#x20;are&#x20;specific&#x20;to&#x20;the&#x20;security&#x20;and&#x20;mission&#x20;needs&#x20;of&#x20;the&#x20;organization,&#x20;it&#x20;would&#x20;be&#x20;difficult&#x20;to&#x20;establish,&#x20;correlate,&#x20;and&#x20;investigate&#x20;the&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident&#x20;or&#x20;identify&#x20;those&#x20;responsible&#x20;for&#x20;one.&#x20;Audit&#x20;records&#x20;can&#x20;be&#x20;generated&#x20;from&#x20;various&#x20;components&#x20;within&#x20;the&#x20;information&#x20;system&#x20;&#40;e.g.,&#x20;module&#x20;or&#x20;policy&#x20;filter&#41;.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;successful&#x20;and&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;use&#x20;the&#x20;usermod&#x20;command.&#x20;-&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#&#x20;{&#x20;UID_MIN=$&#40;awk&#x20;&#039;/^s*UID_MIN/{print&#x20;$2}&#039;&#x20;/etc/login.defs&#41;&#x20;[&#x20;-n&#x20;&quot;${UID_MIN}&quot;&#x20;]&#x20;&amp;&amp;&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;path=/usr/sbin/usermod&#x20;-F&#x20;perm=x&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;usermod&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-usermod.rules&#x20;||&#x20;printf&#x20;&quot;ERROR:Variable&#x20;&#039;UID_MIN&#039;&#x20;is&#x20;unset.&#x0a;&quot;&#x20;}&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;-&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.18\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}]'),(29620,'Ensure&#x20;kernel&#x20;module&#x20;loading&#x20;unloading&#x20;and&#x20;modification&#x20;is&#x20;collected.','Monitor&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;kernel&#x20;modules.&#x20;All&#x20;the&#x20;loading&#x20;/&#x20;listing&#x20;/&#x20;dependency&#x20;checking&#x20;of&#x20;modules&#x20;is&#x20;done&#x20;by&#x20;kmod&#x20;via&#x20;symbolic&#x20;links.&#x20;The&#x20;following&#x20;system&#x20;calls&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules:&#x20;-&#x20;init_module&#x20;-&#x20;load&#x20;a&#x20;module.&#x20;-&#x20;finit_module&#x20;-&#x20;load&#x20;a&#x20;module&#x20;&#40;used&#x20;when&#x20;the&#x20;overhead&#x20;of&#x20;using&#x20;cryptographically&#x20;signed&#x20;modules&#x20;to&#x20;determine&#x20;the&#x20;authenticity&#x20;of&#x20;a&#x20;module&#x20;can&#x20;be&#x20;avoided&#41;.&#x20;-&#x20;delete_module&#x20;-&#x20;delete&#x20;a&#x20;module.&#x20;-&#x20;create_module&#x20;-&#x20;create&#x20;a&#x20;loadable&#x20;module&#x20;entry.&#x20;-&#x20;query_module&#x20;-&#x20;query&#x20;the&#x20;kernel&#x20;for&#x20;various&#x20;bits&#x20;pertaining&#x20;to&#x20;modules.&#x20;Any&#x20;execution&#x20;of&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;module&#x20;programs&#x20;and&#x20;system&#x20;calls&#x20;will&#x20;trigger&#x20;an&#x20;audit&#x20;record&#x20;with&#x20;an&#x20;identifier&#x20;of&#x20;modules.','Monitoring&#x20;the&#x20;use&#x20;of&#x20;all&#x20;the&#x20;various&#x20;ways&#x20;to&#x20;manipulate&#x20;kernel&#x20;modules&#x20;could&#x20;provide&#x20;system&#x20;administrators&#x20;with&#x20;evidence&#x20;that&#x20;an&#x20;unauthorized&#x20;change&#x20;was&#x20;made&#x20;to&#x20;a&#x20;kernel&#x20;module,&#x20;possibly&#x20;compromising&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.','','Create&#x20;audit&#x20;rules&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;kernel&#x20;module&#x20;modification.&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#&#x20;{&#x20;UID_MIN=$&#40;awk&#x20;&#039;/^s*UID_MIN/{print&#x20;$2}&#039;&#x20;/etc/login.defs&#41;&#x20;[&#x20;-n&#x20;&quot;${UID_MIN}&quot;&#x20;]&#x20;&amp;&amp;&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;init_module,finit_module,delete_module,create_module,query_module&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;kernel_modules&#x20;-a&#x20;always,exit&#x20;-F&#x20;path=/usr/bin/kmod&#x20;-F&#x20;perm=x&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;kernel_modules&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-kernel_modules.rules&#x20;||&#x20;printf&#x20;&quot;ERROR:&#x20;Variable&#x20;&#039;UID_MIN&#039;&#x20;is&#x20;unset.&#x0a;&quot;&#x20;}&#x20;Load&#x20;audit&#x20;rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.19\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1047\"]}]'),(29621,'Ensure&#x20;the&#x20;audit&#x20;configuration&#x20;is&#x20;immutable.','Set&#x20;system&#x20;audit&#x20;so&#x20;that&#x20;audit&#x20;rules&#x20;cannot&#x20;be&#x20;modified&#x20;with&#x20;auditctl.&#x20;Setting&#x20;the&#x20;flag&#x20;&quot;-e&#x20;2&quot;&#x20;forces&#x20;audit&#x20;to&#x20;be&#x20;put&#x20;in&#x20;immutable&#x20;mode.&#x20;Audit&#x20;changes&#x20;can&#x20;only&#x20;be&#x20;made&#x20;on&#x20;system&#x20;reboot.&#x20;Note:&#x20;This&#x20;setting&#x20;will&#x20;require&#x20;the&#x20;system&#x20;to&#x20;be&#x20;rebooted&#x20;to&#x20;update&#x20;the&#x20;active&#x20;auditd&#x20;configuration&#x20;settings.','In&#x20;immutable&#x20;mode,&#x20;unauthorized&#x20;users&#x20;cannot&#x20;execute&#x20;changes&#x20;to&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;potentially&#x20;hide&#x20;malicious&#x20;activity&#x20;and&#x20;then&#x20;put&#x20;the&#x20;audit&#x20;rules&#x20;back.&#x20;Users&#x20;would&#x20;most&#x20;likely&#x20;notice&#x20;a&#x20;system&#x20;reboot&#x20;and&#x20;that&#x20;could&#x20;alert&#x20;administrators&#x20;of&#x20;an&#x20;attempt&#x20;to&#x20;make&#x20;unauthorized&#x20;audit&#x20;changes.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/audit/rules.d/99-finalize.rules&#x20;and&#x20;add&#x20;the&#x20;line&#x20;-e&#x20;2&#x20;at&#x20;the&#x20;end&#x20;of&#x20;the&#x20;file:&#x20;Example:&#x20;#&#x20;printf&#x20;--&#x20;&quot;-e&#x20;2&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/99-finalize.rules&#x20;Load&#x20;audit&#x20;rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.20\"]}, {\"cis_csc_v8\": [\"3.3\", \"8.5\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.3\", \"AC.L2-3.1.5\", \"AU.L2-3.3.1\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\", \"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\", \"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"AU-3\", \"AU-3(1)\", \"MP-2\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29622,'Ensure&#x20;the&#x20;running&#x20;and&#x20;on&#x20;disk&#x20;configuration&#x20;is&#x20;the&#x20;same.','The&#x20;Audit&#x20;system&#x20;have&#x20;both&#x20;on&#x20;disk&#x20;and&#x20;running&#x20;configuration.&#x20;It&#x20;is&#x20;possible&#x20;for&#x20;these&#x20;configuration&#x20;settings&#x20;to&#x20;differ.&#x20;Note:&#x20;Due&#x20;to&#x20;the&#x20;limitations&#x20;of&#x20;augenrules&#x20;and&#x20;auditctl,&#x20;it&#x20;is&#x20;not&#x20;absolutely&#x20;guaranteed&#x20;that&#x20;loading&#x20;the&#x20;rule&#x20;sets&#x20;via&#x20;augenrules&#x20;--load&#x20;will&#x20;result&#x20;in&#x20;all&#x20;rules&#x20;being&#x20;loaded&#x20;or&#x20;even&#x20;that&#x20;the&#x20;user&#x20;will&#x20;be&#x20;informed&#x20;if&#x20;there&#x20;was&#x20;a&#x20;problem&#x20;loading&#x20;the&#x20;rules.','Configuration&#x20;differences&#x20;between&#x20;what&#x20;is&#x20;currently&#x20;running&#x20;and&#x20;what&#x20;is&#x20;on&#x20;disk&#x20;could&#x20;cause&#x20;unexpected&#x20;problems&#x20;or&#x20;may&#x20;give&#x20;a&#x20;false&#x20;impression&#x20;of&#x20;compliance&#x20;requirements.','','If&#x20;the&#x20;rules&#x20;are&#x20;not&#x20;aligned&#x20;across&#x20;all&#x20;three&#x20;&#40;&#41;&#x20;areas,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;merge&#x20;and&#x20;load&#x20;all&#x20;rules:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;echo&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.21\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}]'),(29623,'Ensure&#x20;only&#x20;authorized&#x20;groups&#x20;are&#x20;assigned&#x20;ownership&#x20;of&#x20;audit&#x20;log&#x20;files.','Audit&#x20;log&#x20;files&#x20;contain&#x20;information&#x20;about&#x20;the&#x20;system&#x20;and&#x20;system&#x20;activity.','Access&#x20;to&#x20;audit&#x20;records&#x20;can&#x20;reveal&#x20;system&#x20;and&#x20;configuration&#x20;data&#x20;to&#x20;attackers,&#x20;potentially&#x20;compromising&#x20;its&#x20;confidentiality.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;configure&#x20;the&#x20;audit&#x20;log&#x20;files&#x20;to&#x20;be&#x20;owned&#x20;by&#x20;adm&#x20;group:&#x20;#&#x20;find&#x20;$&#40;dirname&#x20;$&#40;awk&#x20;-F&quot;=&quot;&#x20;&#039;/^s*log_file/&#x20;{print&#x20;$2}&#039;&#x20;/etc/audit/auditd.conf&#x20;|&#x20;xargs&#41;&#41;&#x20;-type&#x20;f&#x20;&#40;&#x20;!&#x20;-group&#x20;adm&#x20;-a&#x20;!&#x20;-group&#x20;root&#x20;&#41;&#x20;-exec&#x20;chgrp&#x20;adm&#x20;{}&#x20;+&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;configure&#x20;the&#x20;audit&#x20;log&#x20;files&#x20;to&#x20;be&#x20;owned&#x20;by&#x20;the&#x20;adm&#x20;group:&#x20;#&#x20;chgrp&#x20;adm&#x20;/var/log/audit/&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;log_group&#x20;parameter&#x20;in&#x20;the&#x20;audit&#x20;configuration&#x20;file&#x20;to&#x20;log_group&#x20;=&#x20;adm:&#x20;#&#x20;sed&#x20;-ri&#x20;&#039;s/^s*#?s*log_groups*=s*S+&#40;s*#.*&#41;?.*$/log_group&#x20;=&#x20;adm1/&#039;&#x20;/etc/audit/auditd.conf&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;the&#x20;audit&#x20;daemon&#x20;to&#x20;reload&#x20;the&#x20;configuration&#x20;file:&#x20;#&#x20;systemctl&#x20;restart&#x20;auditd.','[{\"cis\": [\"4.1.4.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29624,'Ensure&#x20;audit&#x20;configuration&#x20;files&#x20;are&#x20;640&#x20;or&#x20;more&#x20;restrictive.','Audit&#x20;configuration&#x20;files&#x20;control&#x20;auditd&#x20;and&#x20;what&#x20;events&#x20;are&#x20;audited.','Access&#x20;to&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;could&#x20;allow&#x20;unauthorized&#x20;personnel&#x20;to&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events.&#x20;Misconfigured&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events&#x20;or&#x20;impact&#x20;the&#x20;system&#039;s&#x20;performance&#x20;by&#x20;overwhelming&#x20;the&#x20;audit&#x20;log.&#x20;Misconfiguration&#x20;of&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;also&#x20;make&#x20;it&#x20;more&#x20;difficult&#x20;to&#x20;establish&#x20;and&#x20;investigate&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;more&#x20;permissive&#x20;mode&#x20;than&#x20;0640&#x20;from&#x20;the&#x20;audit&#x20;configuration&#x20;files:&#x20;#&#x20;find&#x20;/etc/audit/&#x20;-type&#x20;f&#x20;&#40;&#x20;-name&#x20;&#039;*.conf&#039;&#x20;-o&#x20;-name&#x20;&#039;*.rules&#039;&#x20;&#41;&#x20;-exec&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;{}&#x20;+.','[{\"cis\": [\"4.1.4.5\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29625,'Ensure&#x20;audit&#x20;configuration&#x20;files&#x20;are&#x20;owned&#x20;by&#x20;root.','Audit&#x20;configuration&#x20;files&#x20;control&#x20;auditd&#x20;and&#x20;what&#x20;events&#x20;are&#x20;audited.','Access&#x20;to&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;could&#x20;allow&#x20;unauthorized&#x20;personnel&#x20;to&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events.&#x20;Misconfigured&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events&#x20;or&#x20;impact&#x20;the&#x20;system&#039;s&#x20;performance&#x20;by&#x20;overwhelming&#x20;the&#x20;audit&#x20;log.&#x20;Misconfiguration&#x20;of&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;also&#x20;make&#x20;it&#x20;more&#x20;difficult&#x20;to&#x20;establish&#x20;and&#x20;investigate&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;ownership&#x20;to&#x20;root&#x20;user:&#x20;#&#x20;find&#x20;/etc/audit/&#x20;-type&#x20;f&#x20;&#40;&#x20;-name&#x20;&#039;*.conf&#039;&#x20;-o&#x20;-name&#x20;&#039;*.rules&#039;&#x20;&#41;&#x20;!&#x20;-user&#x20;root&#x20;-exec&#x20;chown&#x20;root&#x20;{}&#x20;+.','[{\"cis\": [\"4.1.4.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29626,'Ensure&#x20;audit&#x20;configuration&#x20;files&#x20;belong&#x20;to&#x20;group&#x20;root.','Audit&#x20;configuration&#x20;files&#x20;control&#x20;auditd&#x20;and&#x20;what&#x20;events&#x20;are&#x20;audited.','Access&#x20;to&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;could&#x20;allow&#x20;unauthorized&#x20;personnel&#x20;to&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events.&#x20;Misconfigured&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events&#x20;or&#x20;impact&#x20;the&#x20;system&#039;s&#x20;performance&#x20;by&#x20;overwhelming&#x20;the&#x20;audit&#x20;log.&#x20;Misconfiguration&#x20;of&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;also&#x20;make&#x20;it&#x20;more&#x20;difficult&#x20;to&#x20;establish&#x20;and&#x20;investigate&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;group&#x20;to&#x20;root:&#x20;#&#x20;find&#x20;/etc/audit/&#x20;-type&#x20;f&#x20;&#40;&#x20;-name&#x20;&#039;*.conf&#039;&#x20;-o&#x20;-name&#x20;&#039;*.rules&#039;&#x20;&#41;&#x20;!&#x20;-group&#x20;root&#x20;-exec&#x20;chgrp&#x20;root&#x20;{}&#x20;+.','[{\"cis\": [\"4.1.4.7\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29627,'Ensure&#x20;audit&#x20;tools&#x20;are&#x20;755&#x20;or&#x20;more&#x20;restrictive.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;audit&#x20;information&#x20;includes&#x20;identifying&#x20;and&#x20;protecting&#x20;the&#x20;tools&#x20;used&#x20;to&#x20;view&#x20;and&#x20;manipulate&#x20;log&#x20;data.&#x20;Protecting&#x20;audit&#x20;tools&#x20;is&#x20;necessary&#x20;to&#x20;prevent&#x20;unauthorized&#x20;operation&#x20;on&#x20;audit&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;more&#x20;permissive&#x20;mode&#x20;from&#x20;the&#x20;audit&#x20;tools:&#x20;#&#x20;chmod&#x20;go-w&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules.','[{\"cis\": [\"4.1.4.8\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29628,'Ensure&#x20;audit&#x20;tools&#x20;are&#x20;owned&#x20;by&#x20;root.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;audit&#x20;information&#x20;includes&#x20;identifying&#x20;and&#x20;protecting&#x20;the&#x20;tools&#x20;used&#x20;to&#x20;view&#x20;and&#x20;manipulate&#x20;log&#x20;data.&#x20;Protecting&#x20;audit&#x20;tools&#x20;is&#x20;necessary&#x20;to&#x20;prevent&#x20;unauthorized&#x20;operation&#x20;on&#x20;audit&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;the&#x20;owner&#x20;of&#x20;the&#x20;audit&#x20;tools&#x20;to&#x20;the&#x20;root&#x20;user:&#x20;#&#x20;chown&#x20;root&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules.','[{\"cis\": [\"4.1.4.9\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29629,'Ensure&#x20;audit&#x20;tools&#x20;belong&#x20;to&#x20;group&#x20;root.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;audit&#x20;information&#x20;includes&#x20;identifying&#x20;and&#x20;protecting&#x20;the&#x20;tools&#x20;used&#x20;to&#x20;view&#x20;and&#x20;manipulate&#x20;log&#x20;data.&#x20;Protecting&#x20;audit&#x20;tools&#x20;is&#x20;necessary&#x20;to&#x20;prevent&#x20;unauthorized&#x20;operation&#x20;on&#x20;audit&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;more&#x20;permissive&#x20;mode&#x20;from&#x20;the&#x20;audit&#x20;tools:&#x20;#&#x20;chmod&#x20;go-w&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;audit&#x20;tools&#x20;to&#x20;root&#x20;user&#x20;and&#x20;group:&#x20;#&#x20;chown&#x20;root:root&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules.','[{\"cis\": [\"4.1.4.10\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29630,'Ensure&#x20;systemd-journal-remote&#x20;is&#x20;installed.','Journald&#x20;&#40;via&#x20;systemd-journal-remote&#41;&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;log&#x20;events&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;enabling&#x20;centralised&#x20;log&#x20;management.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;systemd-journal-remote:&#x20;#&#x20;apt&#x20;install&#x20;systemd-journal-remote.','[{\"cis\": [\"4.2.1.1.1\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(29631,'Ensure&#x20;systemd-journal-remote&#x20;is&#x20;enabled.','Journald&#x20;&#40;via&#x20;systemd-journal-remote&#41;&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;log&#x20;events&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;enabling&#x20;centralised&#x20;log&#x20;management.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;systemd-journal-remote:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;systemd-journal-upload.service.','[{\"cis\": [\"4.2.1.1.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(29632,'Ensure&#x20;journald&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;recieve&#x20;logs&#x20;from&#x20;a&#x20;remote&#x20;client.','Journald&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;acting&#x20;as&#x20;a&#x20;log&#x20;server.&#x20;Clients&#x20;should&#x20;not&#x20;receive&#x20;data&#x20;from&#x20;other&#x20;hosts.&#x20;NOTE:&#x20;-&#x20;The&#x20;same&#x20;package,&#x20;systemd-journal-remote,&#x20;is&#x20;used&#x20;for&#x20;both&#x20;sending&#x20;logs&#x20;to&#x20;remote&#x20;hosts&#x20;and&#x20;receiving&#x20;incoming&#x20;logs.&#x20;-&#x20;With&#x20;regards&#x20;to&#x20;receiving&#x20;logs,&#x20;there&#x20;are&#x20;two&#x20;services;&#x20;systemd-journal-remote.socket&#x20;and&#x20;systemd-journal-remote.service.','If&#x20;a&#x20;client&#x20;is&#x20;configured&#x20;to&#x20;also&#x20;receive&#x20;data,&#x20;thus&#x20;turning&#x20;it&#x20;into&#x20;a&#x20;server,&#x20;the&#x20;client&#x20;system&#x20;is&#x20;acting&#x20;outside&#x20;it&#039;s&#x20;operational&#x20;boundary.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;systemd-journal-remote.socket:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;systemd-journal-remote.socket.','[{\"cis\": [\"4.2.1.1.4\"]}, {\"cis_csc_v8\": [\"4.8\", \"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\", \"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(29633,'Ensure&#x20;journald&#x20;service&#x20;is&#x20;enabled.','Ensure&#x20;that&#x20;the&#x20;systemd-journald&#x20;service&#x20;is&#x20;enabled&#x20;to&#x20;allow&#x20;capturing&#x20;of&#x20;logging&#x20;events.','If&#x20;the&#x20;systemd-journald&#x20;service&#x20;is&#x20;not&#x20;enabled&#x20;to&#x20;start&#x20;on&#x20;boot,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;capture&#x20;logging&#x20;events.','','By&#x20;default&#x20;the&#x20;systemd-journald&#x20;service&#x20;does&#x20;not&#x20;have&#x20;an&#x20;[Install]&#x20;section&#x20;and&#x20;thus&#x20;cannot&#x20;be&#x20;enabled&#x20;/&#x20;disabled.&#x20;It&#x20;is&#x20;meant&#x20;to&#x20;be&#x20;referenced&#x20;as&#x20;Requires&#x20;or&#x20;Wants&#x20;by&#x20;other&#x20;unit&#x20;files.&#x20;As&#x20;such,&#x20;if&#x20;the&#x20;status&#x20;of&#x20;systemd-journald&#x20;is&#x20;not&#x20;static,&#x20;investigate&#x20;why.','[{\"cis\": [\"4.2.1.2\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29634,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;compress&#x20;large&#x20;log&#x20;files.','The&#x20;journald&#x20;system&#x20;includes&#x20;the&#x20;capability&#x20;of&#x20;compressing&#x20;overly&#x20;large&#x20;files&#x20;to&#x20;avoid&#x20;filling&#x20;up&#x20;the&#x20;system&#x20;with&#x20;logs&#x20;or&#x20;making&#x20;the&#x20;logs&#x20;unmanageably&#x20;large.','Uncompressed&#x20;large&#x20;files&#x20;may&#x20;unexpectedly&#x20;fill&#x20;a&#x20;filesystem&#x20;leading&#x20;to&#x20;resource&#x20;unavailability.&#x20;Compressing&#x20;logs&#x20;prior&#x20;to&#x20;write&#x20;can&#x20;prevent&#x20;sudden,&#x20;unexpected&#x20;filesystem&#x20;impacts.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Compress=yes&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;systemd-journald.','[{\"cis\": [\"4.2.1.3\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.3\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"6.4\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\", \"10.7\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"A1.1\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.002\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1053\"]}]'),(29635,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;write&#x20;logfiles&#x20;to&#x20;persistent&#x20;disk.','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Logs&#x20;in&#x20;memory&#x20;will&#x20;be&#x20;lost&#x20;upon&#x20;a&#x20;system&#x20;reboot.&#x20;By&#x20;persisting&#x20;logs&#x20;to&#x20;local&#x20;disk&#x20;on&#x20;the&#x20;server&#x20;they&#x20;are&#x20;protected&#x20;from&#x20;loss&#x20;due&#x20;to&#x20;a&#x20;reboot.','Writing&#x20;log&#x20;data&#x20;to&#x20;disk&#x20;will&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;forensically&#x20;reconstruct&#x20;events&#x20;which&#x20;may&#x20;have&#x20;impacted&#x20;the&#x20;operations&#x20;or&#x20;security&#x20;of&#x20;a&#x20;system&#x20;even&#x20;after&#x20;a&#x20;system&#x20;crash&#x20;or&#x20;reboot.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Storage=persistent&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;systemd-journald.','[{\"cis\": [\"4.2.1.4\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29636,'Ensure&#x20;journald&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;rsyslog.','Data&#x20;from&#x20;journald&#x20;should&#x20;be&#x20;kept&#x20;in&#x20;the&#x20;confines&#x20;of&#x20;the&#x20;service&#x20;and&#x20;not&#x20;forwarded&#x20;on&#x20;to&#x20;other&#x20;services.','IF&#x20;journald&#x20;is&#x20;the&#x20;method&#x20;for&#x20;capturing&#x20;logs,&#x20;all&#x20;logs&#x20;of&#x20;the&#x20;system&#x20;should&#x20;be&#x20;handled&#x20;by&#x20;journald&#x20;and&#x20;not&#x20;forwarded&#x20;to&#x20;other&#x20;logging&#x20;mechanisms.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;ensure&#x20;that&#x20;ForwardToSyslog=yes&#x20;is&#x20;removed.&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;systemd-journald.','[{\"cis\": [\"4.2.1.5\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.9\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"6.5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\", \"10.5.3\", \"10.5.4\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\", \"10.3.3\"]}, {\"nist_sp_800-53\": [\"AU-7\", \"AU-6(3)\"]}, {\"soc_2\": [\"PL1.4\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(29637,'Ensure&#x20;rsyslog&#x20;is&#x20;installed.','The&#x20;rsyslog&#x20;software&#x20;is&#x20;recommended&#x20;in&#x20;environments&#x20;where&#x20;journald&#x20;does&#x20;not&#x20;meet&#x20;operation&#x20;requirements.','The&#x20;security&#x20;enhancements&#x20;of&#x20;rsyslog&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server&#41;&#x20;justify&#x20;installing&#x20;and&#x20;configuring&#x20;the&#x20;package.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;rsyslog:&#x20;#&#x20;apt&#x20;install&#x20;rsyslog.','[{\"cis\": [\"4.2.2.1\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1005\", \"T1070\", \"T1070.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29638,'Ensure&#x20;rsyslog&#x20;service&#x20;is&#x20;enabled.','Once&#x20;the&#x20;rsyslog&#x20;package&#x20;is&#x20;installed,&#x20;ensure&#x20;that&#x20;the&#x20;service&#x20;is&#x20;enabled.','If&#x20;the&#x20;rsyslog&#x20;service&#x20;is&#x20;not&#x20;enabled&#x20;to&#x20;start&#x20;on&#x20;boot,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;capture&#x20;logging&#x20;events.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;rsyslog:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;rsyslog.','[{\"cis\": [\"4.2.2.2\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29639,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;rsyslog.','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Utilities&#x20;exist&#x20;to&#x20;accept&#x20;remote&#x20;export&#x20;of&#x20;journald&#x20;logs,&#x20;however,&#x20;use&#x20;of&#x20;the&#x20;RSyslog&#x20;service&#x20;provides&#x20;a&#x20;consistent&#x20;means&#x20;of&#x20;log&#x20;collection&#x20;and&#x20;export.','IF&#x20;RSyslog&#x20;is&#x20;the&#x20;preferred&#x20;method&#x20;for&#x20;capturing&#x20;logs,&#x20;all&#x20;logs&#x20;of&#x20;the&#x20;system&#x20;should&#x20;be&#x20;sent&#x20;to&#x20;it&#x20;for&#x20;further&#x20;processing.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;ForwardToSyslog=yes&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog.','[{\"cis\": [\"4.2.2.3\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.9\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"6.5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\", \"10.5.3\", \"10.5.4\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\", \"10.3.3\"]}, {\"nist_sp_800-53\": [\"AU-7\", \"AU-6(3)\"]}, {\"soc_2\": [\"PL1.4\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}]'),(29640,'Ensure&#x20;rsyslog&#x20;default&#x20;file&#x20;permissions&#x20;are&#x20;configured.','RSyslog&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','The&#x20;systems&#x20;global&#x20;umask&#x20;could&#x20;override,&#x20;but&#x20;only&#x20;making&#x20;the&#x20;file&#x20;permissions&#x20;stricter,&#x20;what&#x20;is&#x20;configured&#x20;in&#x20;RSyslog&#x20;with&#x20;the&#x20;FileCreateMode&#x20;directive.&#x20;RSyslog&#x20;also&#x20;has&#x20;it&#039;s&#x20;own&#x20;$umask&#x20;directive&#x20;that&#x20;can&#x20;alter&#x20;the&#x20;intended&#x20;file&#x20;creation&#x20;mode.&#x20;In&#x20;addition,&#x20;consideration&#x20;should&#x20;be&#x20;given&#x20;to&#x20;how&#x20;FileCreateMode&#x20;is&#x20;used.&#x20;Thus&#x20;it&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;intended&#x20;file&#x20;creation&#x20;mode&#x20;is&#x20;not&#x20;overridden&#x20;with&#x20;less&#x20;restrictive&#x20;settings&#x20;in&#x20;/etc/rsyslog.conf,&#x20;/etc/rsyslog.d&#47;&#42;conf&#x20;files&#x20;and&#x20;that&#x20;FileCreateMode&#x20;is&#x20;set&#x20;before&#x20;any&#x20;file&#x20;is&#x20;created.','Edit&#x20;either&#x20;/etc/rsyslog.conf&#x20;or&#x20;a&#x20;dedicated&#x20;.conf&#x20;file&#x20;in&#x20;/etc/rsyslog.d/&#x20;and&#x20;set&#x20;$FileCreateMode&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;$FileCreateMode&#x20;0640&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog.','[{\"cis\": [\"4.2.2.4\"]}, {\"cis_csc_v8\": [\"3.3\", \"8.2\"]}, {\"cis_csc_v7\": [\"5.1\", \"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\", \"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\", \"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\", \"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\", \"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\", \"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29641,'Ensure&#x20;rsyslog&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;receive&#x20;logs&#x20;from&#x20;a&#x20;remote&#x20;client.','RSyslog&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;acting&#x20;as&#x20;a&#x20;log&#x20;server.&#x20;Clients&#x20;should&#x20;not&#x20;receive&#x20;data&#x20;from&#x20;other&#x20;hosts.','If&#x20;a&#x20;client&#x20;is&#x20;configured&#x20;to&#x20;also&#x20;receive&#x20;data,&#x20;thus&#x20;turning&#x20;it&#x20;into&#x20;a&#x20;server,&#x20;the&#x20;client&#x20;system&#x20;is&#x20;acting&#x20;outside&#x20;it&#039;s&#x20;operational&#x20;boundary.','','Should&#x20;there&#x20;be&#x20;any&#x20;active&#x20;log&#x20;server&#x20;configuration&#x20;found&#x20;in&#x20;the&#x20;auditing&#x20;section,&#x20;modify&#x20;those&#x20;file&#x20;and&#x20;remove&#x20;the&#x20;specific&#x20;lines&#x20;highlighted&#x20;by&#x20;the&#x20;audit.&#x20;Ensure&#x20;none&#x20;of&#x20;the&#x20;following&#x20;entries&#x20;are&#x20;present&#x20;in&#x20;any&#x20;of&#x20;/etc/rsyslog.conf&#x20;or&#x20;/etc/rsyslog.d&#47;&#42;.conf.&#x20;Old&#x20;format&#x20;$ModLoad&#x20;imtcp&#x20;$InputTCPServerRun&#x20;New&#x20;format&#x20;module&#40;load=&quot;imtcp&quot;&#41;&#x20;input&#40;type=&quot;imtcp&quot;&#x20;port=&quot;514&quot;&#41;&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog.','[{\"cis\": [\"4.2.2.7\"]}, {\"cis_csc_v8\": [\"4.8\", \"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\", \"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.12.4.1\", \"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29642,'Ensure&#x20;cron&#x20;daemon&#x20;is&#x20;enabled&#x20;and&#x20;running.','The&#x20;cron&#x20;daemon&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;batch&#x20;jobs&#x20;on&#x20;the&#x20;system.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','While&#x20;there&#x20;may&#x20;not&#x20;be&#x20;user&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;be&#x20;run&#x20;on&#x20;the&#x20;system,&#x20;the&#x20;system&#x20;does&#x20;have&#x20;maintenance&#x20;jobs&#x20;that&#x20;may&#x20;include&#x20;security&#x20;monitoring&#x20;that&#x20;have&#x20;to&#x20;run,&#x20;and&#x20;cron&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;them.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;cron:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;cron.','[{\"cis\": [\"5.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29643,'Ensure&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;are&#x20;configured.','The&#x20;/etc/crontab&#x20;file&#x20;is&#x20;used&#x20;by&#x20;cron&#x20;to&#x20;control&#x20;its&#x20;own&#x20;jobs.&#x20;The&#x20;commands&#x20;in&#x20;this&#x20;item&#x20;make&#x20;sure&#x20;that&#x20;root&#x20;is&#x20;the&#x20;user&#x20;and&#x20;group&#x20;owner&#x20;of&#x20;the&#x20;file&#x20;and&#x20;that&#x20;only&#x20;the&#x20;owner&#x20;can&#x20;access&#x20;the&#x20;file.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','This&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;what&#x20;system&#x20;jobs&#x20;are&#x20;run&#x20;by&#x20;cron.&#x20;Write&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;unprivileged&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;elevate&#x20;their&#x20;privileges.&#x20;Read&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;gain&#x20;insight&#x20;on&#x20;system&#x20;jobs&#x20;that&#x20;run&#x20;on&#x20;the&#x20;system&#x20;and&#x20;could&#x20;provide&#x20;them&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;unauthorized&#x20;privileged&#x20;access.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/crontab&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/crontab.','[{\"cis\": [\"5.1.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29644,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;are&#x20;configured.','This&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;an&#x20;hourly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.hourly&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.hourly/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.hourly/.','[{\"cis\": [\"5.1.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29645,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;are&#x20;configured.','The&#x20;/etc/cron.daily&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;daily&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.daily&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.daily/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.daily/.','[{\"cis\": [\"5.1.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29646,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;are&#x20;configured.','The&#x20;/etc/cron.weekly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;weekly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.weekly&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.weekly/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.weekly/.','[{\"cis\": [\"5.1.5\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29647,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;are&#x20;configured.','The&#x20;/etc/cron.monthly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;monthly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.monthly&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.monthly/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.monthly/.','[{\"cis\": [\"5.1.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29648,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;are&#x20;configured.','The&#x20;/etc/cron.d&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;in&#x20;a&#x20;similar&#x20;manner&#x20;to&#x20;the&#x20;hourly,&#x20;daily&#x20;weekly&#x20;and&#x20;monthly&#x20;jobs&#x20;from&#x20;/etc/crontab,&#x20;but&#x20;require&#x20;more&#x20;granular&#x20;control&#x20;as&#x20;to&#x20;when&#x20;they&#x20;run.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.d&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.d/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.d/.','[{\"cis\": [\"5.1.7\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29649,'Ensure&#x20;cron&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users.','Configure&#x20;/etc/cron.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;this&#x20;service.&#x20;If&#x20;/etc/cron.allow&#x20;does&#x20;not&#x20;exist,&#x20;then&#x20;/etc/cron.deny&#x20;is&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;this&#x20;file&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;file,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;cron.&#x20;Notes:&#x20;-&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.&#x20;-&#x20;Even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;-&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cron&#x20;jobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny:&#x20;#&#x20;rm&#x20;/etc/cron.deny&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;/etc/cron.allow&#x20;#&#x20;touch&#x20;/etc/cron.allow&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow:&#x20;#&#x20;chmod&#x20;g-wx,o-rwx&#x20;/etc/cron.allow&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.allow.','[{\"cis\": [\"5.1.8\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29650,'Ensure&#x20;at&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users.','Configure&#x20;/etc/at.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;this&#x20;service.&#x20;If&#x20;/etc/at.allow&#x20;does&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.deny&#x20;is&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;this&#x20;file&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at.&#x20;By&#x20;removing&#x20;the&#x20;file,&#x20;only&#x20;users&#x20;in&#x20;/etc/at.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;at.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;at&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;at&#x20;jobs.&#x20;Using&#x20;the&#x20;at.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;at&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/at.deny:&#x20;#&#x20;rm&#x20;/etc/at.deny&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;/etc/at.allow&#x20;#&#x20;touch&#x20;/etc/at.allow&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/at.allow:&#x20;#&#x20;chmod&#x20;g-wx,o-rwx&#x20;/etc/at.allow&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/at.allow.','[{\"cis\": [\"5.1.9\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29651,'Ensure&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config&#x20;are&#x20;configured.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;contains&#x20;configuration&#x20;specifications&#x20;for&#x20;sshd.&#x20;The&#x20;command&#x20;below&#x20;sets&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;file&#x20;to&#x20;root.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/ssh/sshd_config&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/ssh/sshd_config.','[{\"cis\": [\"5.2.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1098\", \"T1098.004\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29652,'Ensure&#x20;SSH&#x20;access&#x20;is&#x20;limited.','There&#x20;are&#x20;several&#x20;options&#x20;available&#x20;to&#x20;limit&#x20;which&#x20;users&#x20;and&#x20;group&#x20;can&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;at&#x20;least&#x20;one&#x20;of&#x20;the&#x20;following&#x20;options&#x20;be&#x20;leveraged:&#x20;-&#x20;AllowUsers:&#x20;&gt;&#x20;The&#x20;AllowUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;only&#x20;allowing&#x20;the&#x20;allowed&#x20;users&#x20;to&#x20;log&#x20;in&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;-&#x20;AllowGroups:&#x20;&gt;&#x20;The&#x20;AllowGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;-&#x20;DenyUsers:&#x20;&gt;&#x20;The&#x20;DenyUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;specifically&#x20;denying&#x20;a&#x20;user&#039;s&#x20;access&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;-&#x20;DenyGroups:&#x20;&gt;&#x20;The&#x20;DenyGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.','Restricting&#x20;which&#x20;users&#x20;can&#x20;remotely&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH&#x20;will&#x20;help&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;users&#x20;access&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;one&#x20;or&#x20;more&#x20;of&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowUsers&#x20;&lt;userlist&gt;&#x20;OR&#x20;AllowGroups&#x20;&lt;grouplist&gt;&#x20;OR&#x20;DenyUsers&#x20;&lt;userlist&gt;&#x20;OR&#x20;DenyGroups&#x20;&lt;grouplist&gt;.','[{\"cis\": [\"5.2.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}, {\"mitre_techniques\": [\"T1021\", \"T1021.004\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29653,'Ensure&#x20;SSH&#x20;LogLevel&#x20;is&#x20;appropriate.','INFO&#x20;level&#x20;is&#x20;the&#x20;basic&#x20;level&#x20;that&#x20;only&#x20;records&#x20;login&#x20;activity&#x20;of&#x20;SSH&#x20;users.&#x20;In&#x20;many&#x20;situations,&#x20;such&#x20;as&#x20;Incident&#x20;Response,&#x20;it&#x20;is&#x20;important&#x20;to&#x20;determine&#x20;when&#x20;a&#x20;particular&#x20;user&#x20;was&#x20;active&#x20;on&#x20;a&#x20;system.&#x20;The&#x20;logout&#x20;record&#x20;can&#x20;eliminate&#x20;those&#x20;users&#x20;who&#x20;disconnected,&#x20;which&#x20;helps&#x20;narrow&#x20;the&#x20;field.&#x20;VERBOSE&#x20;level&#x20;specifies&#x20;that&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;as&#x20;well&#x20;as&#x20;the&#x20;key&#x20;fingerprint&#x20;for&#x20;any&#x20;SSH&#x20;key&#x20;used&#x20;for&#x20;login&#x20;will&#x20;be&#x20;logged.&#x20;This&#x20;information&#x20;is&#x20;important&#x20;for&#x20;SSH&#x20;key&#x20;management,&#x20;especially&#x20;in&#x20;legacy&#x20;environments.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;VERBOSE&#x20;OR&#x20;LogLevel&#x20;INFO.','[{\"cis\": [\"5.2.5\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29654,'Ensure&#x20;SSH&#x20;PAM&#x20;is&#x20;enabled.','The&#x20;UsePAM&#x20;directive&#x20;enables&#x20;the&#x20;Pluggable&#x20;Authentication&#x20;Module&#x20;&#40;PAM&#41;&#x20;interface.&#x20;If&#x20;set&#x20;to&#x20;yes&#x20;this&#x20;will&#x20;enable&#x20;PAM&#x20;authentication&#x20;using&#x20;ChallengeResponseAuthentication&#x20;and&#x20;PasswordAuthentication&#x20;directives&#x20;in&#x20;addition&#x20;to&#x20;PAM&#x20;account&#x20;and&#x20;session&#x20;module&#x20;processing&#x20;for&#x20;all&#x20;authentication&#x20;types.','When&#x20;usePAM&#x20;is&#x20;set&#x20;to&#x20;yes,&#x20;PAM&#x20;runs&#x20;through&#x20;account&#x20;and&#x20;session&#x20;types&#x20;properly.&#x20;This&#x20;is&#x20;important&#x20;if&#x20;you&#x20;want&#x20;to&#x20;restrict&#x20;access&#x20;to&#x20;services&#x20;based&#x20;off&#x20;of&#x20;IP,&#x20;time&#x20;or&#x20;other&#x20;factors&#x20;of&#x20;the&#x20;account.&#x20;Additionally,&#x20;you&#x20;can&#x20;make&#x20;sure&#x20;users&#x20;inherit&#x20;certain&#x20;environment&#x20;variables&#x20;on&#x20;login&#x20;or&#x20;disallow&#x20;access&#x20;to&#x20;the&#x20;server.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;UsePAM&#x20;yes.','[{\"cis\": [\"5.2.6\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_techniques\": [\"T1021\", \"T1021.004\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1035\"]}]'),(29655,'Ensure&#x20;SSH&#x20;root&#x20;login&#x20;is&#x20;disabled.','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;SSH.&#x20;The&#x20;default&#x20;is&#x20;prohibit-password.','Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;system&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root.&#x20;This&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no.','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}, {\"mitre_techniques\": [\"T1021\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29656,'Ensure&#x20;SSH&#x20;HostbasedAuthentication&#x20;is&#x20;disabled.','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts,&#x20;or&#x20;/etc/hosts.equiv,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no.','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"16.3\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29657,'Ensure&#x20;SSH&#x20;PermitEmptyPasswords&#x20;is&#x20;disabled.','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;SSH&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no.','[{\"cis\": [\"5.2.9\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"16.3\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"mitre_techniques\": [\"T1021\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29658,'Ensure&#x20;SSH&#x20;PermitUserEnvironment&#x20;is&#x20;disabled.','The&#x20;PermitUserEnvironment&#x20;option&#x20;allows&#x20;users&#x20;to&#x20;present&#x20;environment&#x20;options&#x20;to&#x20;the&#x20;SSH&#x20;daemon.','Permitting&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;environment&#x20;variables&#x20;through&#x20;the&#x20;SSH&#x20;daemon&#x20;could&#x20;potentially&#x20;allow&#x20;users&#x20;to&#x20;bypass&#x20;security&#x20;controls&#x20;&#40;e.g.&#x20;setting&#x20;an&#x20;execution&#x20;path&#x20;that&#x20;has&#x20;SSH&#x20;executing&#x20;trojan&#039;d&#x20;programs&#41;.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitUserEnvironment&#x20;no.','[{\"cis\": [\"5.2.10\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_techniques\": [\"T1021\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29659,'Ensure&#x20;SSH&#x20;IgnoreRhosts&#x20;is&#x20;enabled.','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthentication&#x20;or&#x20;HostbasedAuthentication.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;SSH.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;IgnoreRhosts&#x20;yes.','[{\"cis\": [\"5.2.11\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(29660,'Ensure&#x20;SSH&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled.','The&#x20;X11Forwarding&#x20;parameter&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;tunnel&#x20;X11&#x20;traffic&#x20;through&#x20;the&#x20;connection&#x20;to&#x20;enable&#x20;remote&#x20;graphic&#x20;connections.','Disable&#x20;X11&#x20;forwarding&#x20;unless&#x20;there&#x20;is&#x20;an&#x20;operational&#x20;requirement&#x20;to&#x20;use&#x20;X11&#x20;applications&#x20;directly.&#x20;There&#x20;is&#x20;a&#x20;small&#x20;risk&#x20;that&#x20;the&#x20;remote&#x20;X11&#x20;servers&#x20;of&#x20;users&#x20;who&#x20;are&#x20;logged&#x20;in&#x20;via&#x20;SSH&#x20;with&#x20;X11&#x20;forwarding&#x20;could&#x20;be&#x20;compromised&#x20;by&#x20;other&#x20;users&#x20;on&#x20;the&#x20;X11&#x20;server.&#x20;Note&#x20;that&#x20;even&#x20;if&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled,&#x20;users&#x20;can&#x20;always&#x20;install&#x20;their&#x20;own&#x20;forwarders.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;X11Forwarding&#x20;no.','[{\"cis\": [\"5.2.12\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1210\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29661,'Ensure&#x20;only&#x20;strong&#x20;Ciphers&#x20;are&#x20;used.','This&#x20;variable&#x20;limits&#x20;the&#x20;ciphers&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.&#x20;Note:&#x20;-&#x20;Some&#x20;organizations&#x20;may&#x20;have&#x20;stricter&#x20;requirements&#x20;for&#x20;approved&#x20;ciphers.&#x20;-&#x20;Ensure&#x20;that&#x20;ciphers&#x20;used&#x20;are&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy.&#x20;-&#x20;The&#x20;only&#x20;&quot;strong&quot;&#x20;ciphers&#x20;currently&#x20;FIPS&#x20;140-2&#x20;compliant&#x20;are:&#x20;aes256-ctr,&#x20;aes192-ctr,&#x20;aes128-ctr.&#x20;-&#x20;Supported&#x20;ciphers&#x20;in&#x20;openSSH&#x20;8.2:&#x20;3des-cbc,&#x20;aes128-cbc,&#x20;aes192-cbc,&#x20;aes256-cbc,&#x20;aes128-ctr,&#x20;aes192-ctr,&#x20;aes256-ctr,&#x20;aes128-gcm@openssh.com,&#x20;aes256-gcm@openssh.com,&#x20;chacha20-poly1305@openssh.com.','Weak&#x20;ciphers&#x20;that&#x20;are&#x20;used&#x20;for&#x20;authentication&#x20;to&#x20;the&#x20;cryptographic&#x20;module&#x20;cannot&#x20;be&#x20;relied&#x20;upon&#x20;to&#x20;provide&#x20;confidentiality&#x20;or&#x20;integrity,&#x20;and&#x20;system&#x20;data&#x20;may&#x20;be&#x20;compromised.&#x20;-&#x20;The&#x20;Triple&#x20;DES&#x20;ciphers,&#x20;as&#x20;used&#x20;in&#x20;SSH,&#x20;have&#x20;a&#x20;birthday&#x20;bound&#x20;of&#x20;approximately&#x20;four&#x20;billion&#x20;blocks,&#x20;which&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;obtain&#x20;clear&#x20;text&#x20;data&#x20;via&#x20;a&#x20;birthday&#x20;attack&#x20;against&#x20;a&#x20;long-duration&#x20;encrypted&#x20;session,&#x20;aka&#x20;a&#x20;&quot;Sweet32&quot;&#x20;attack.&#x20;-&#x20;Error&#x20;handling&#x20;in&#x20;the&#x20;SSH&#x20;protocol;&#x20;Client&#x20;and&#x20;Server,&#x20;when&#x20;using&#x20;a&#x20;block&#x20;cipher&#x20;algorithm&#x20;in&#x20;Cipher&#x20;Block&#x20;Chaining&#x20;&#40;CBC&#41;&#x20;mode,&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;recover&#x20;certain&#x20;plain&#x20;text&#x20;data&#x20;from&#x20;an&#x20;arbitrary&#x20;block&#x20;of&#x20;cipher&#x20;text&#x20;in&#x20;an&#x20;SSH&#x20;session&#x20;via&#x20;unknown&#x20;vectors.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;add/modify&#x20;the&#x20;Ciphers&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;ciphers.&#x20;Example:&#x20;Ciphers&#x20;chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr.','[{\"cis\": [\"5.2.13\"]}, {\"cis_csc_v8\": [\"3.10\"]}, {\"cis_csc_v7\": [\"14.4\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.17\", \"AC.L2-3.1.13\", \"IA.L2-3.5.10\", \"SC.L2-3.13.11\", \"SC.L2-3.13.8\", \"SC.L2-3.13.15\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(1)\", \"164.312(e)(2)(i)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"2.1.1\", \"4.1\", \"4.1.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"2.2.7\", \"4.1.1\", \"4.2.1\", \"4.2.1.2\", \"4.2.2\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"AC-17(2)\", \"SC-8\", \"SC-8(1)\"]}, {\"iso_27001-2013\": [\"A.10.1.1\", \"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1040\", \"T1557\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1041\"]}]'),(29662,'Ensure&#x20;only&#x20;strong&#x20;MAC&#x20;algorithms&#x20;are&#x20;used.','This&#x20;variable&#x20;limits&#x20;the&#x20;types&#x20;of&#x20;MAC&#x20;algorithms&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.&#x20;Notes:&#x20;-&#x20;Some&#x20;organizations&#x20;may&#x20;have&#x20;stricter&#x20;requirements&#x20;for&#x20;approved&#x20;MACs.&#x20;-&#x20;Ensure&#x20;that&#x20;MACs&#x20;used&#x20;are&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy.&#x20;-&#x20;The&#x20;only&#x20;&quot;strong&quot;&#x20;MACs&#x20;currently&#x20;FIPS&#x20;140-2&#x20;approved&#x20;are:&#x20;hmac-sha2-256,&#x20;hmac-sha2-512.&#x20;-&#x20;The&#x20;Supported&#x20;MACs&#x20;are:&#x20;hmac-md5,&#x20;hmac-md5-96,&#x20;hmac-sha1,&#x20;hmac-sha1-96,&#x20;hmac-sha2-256,&#x20;hmac-sha2-512,&#x20;umac-64@openssh.co,&#x20;umac-128@openssh.com,&#x20;hmac-md5-etm@openssh.com,&#x20;hmac-md5-96-etm@openssh.com,&#x20;hmac-sha1-etm@openssh.com,&#x20;hmac-sha1-96-etm@openssh.com,&#x20;hmac-sha2-256-etm@openss.com,&#x20;hmac-sha2-512-etm@openssh.com,&#x20;umac-64-etm@openssh.com,&#x20;umac-128-etm@openssh.com.','MD5&#x20;and&#x20;96-bit&#x20;MAC&#x20;algorithms&#x20;are&#x20;considered&#x20;weak&#x20;and&#x20;have&#x20;been&#x20;shown&#x20;to&#x20;increase&#x20;exploitability&#x20;in&#x20;SSH&#x20;downgrade&#x20;attacks.&#x20;Weak&#x20;algorithms&#x20;continue&#x20;to&#x20;have&#x20;a&#x20;great&#x20;deal&#x20;of&#x20;attention&#x20;as&#x20;a&#x20;weak&#x20;spot&#x20;that&#x20;can&#x20;be&#x20;exploited&#x20;with&#x20;expanded&#x20;computing&#x20;power.&#x20;An&#x20;attacker&#x20;that&#x20;breaks&#x20;the&#x20;algorithm&#x20;could&#x20;take&#x20;advantage&#x20;of&#x20;a&#x20;MiTM&#x20;position&#x20;to&#x20;decrypt&#x20;the&#x20;SSH&#x20;tunnel&#x20;and&#x20;capture&#x20;credentials&#x20;and&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;and&#x20;add/modify&#x20;the&#x20;MACs&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;MACs.Example:&#x20;MACs&#x20;hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256.','[{\"cis\": [\"5.2.14\"]}, {\"cis_csc_v8\": [\"3.10\"]}, {\"cis_csc_v7\": [\"14.4\", \"16.5\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.17\", \"AC.L2-3.1.13\", \"IA.L2-3.5.10\", \"SC.L2-3.13.11\", \"SC.L2-3.13.8\", \"SC.L2-3.13.15\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(1)\", \"164.312(e)(2)(i)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"2.1.1\", \"4.1\", \"4.1.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"2.2.7\", \"4.1.1\", \"4.2.1\", \"4.2.1.2\", \"4.2.2\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"AC-17(2)\", \"SC-8\", \"SC-8(1)\"]}, {\"iso_27001-2013\": [\"A.10.1.1\", \"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1040\", \"T1557\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1041\"]}]'),(29663,'Ensure&#x20;only&#x20;strong&#x20;Key&#x20;Exchange&#x20;algorithms&#x20;are&#x20;used.','Key&#x20;exchange&#x20;is&#x20;any&#x20;method&#x20;in&#x20;cryptography&#x20;by&#x20;which&#x20;cryptographic&#x20;keys&#x20;are&#x20;exchanged&#x20;between&#x20;two&#x20;parties,&#x20;allowing&#x20;use&#x20;of&#x20;a&#x20;cryptographic&#x20;algorithm.&#x20;If&#x20;the&#x20;sender&#x20;and&#x20;receiver&#x20;wish&#x20;to&#x20;exchange&#x20;encrypted&#x20;messages,&#x20;each&#x20;must&#x20;be&#x20;equipped&#x20;to&#x20;encrypt&#x20;messages&#x20;to&#x20;be&#x20;sent&#x20;and&#x20;decrypt&#x20;messages&#x20;received.&#x20;Notes:&#x20;-&#x20;Kex&#x20;algorithms&#x20;have&#x20;a&#x20;higher&#x20;preference&#x20;the&#x20;earlier&#x20;they&#x20;appear&#x20;in&#x20;the&#x20;list.&#x20;-&#x20;Some&#x20;organizations&#x20;may&#x20;have&#x20;stricter&#x20;requirements&#x20;for&#x20;approved&#x20;Key&#x20;exchange&#x20;algorithms.&#x20;-&#x20;Ensure&#x20;that&#x20;Key&#x20;exchange&#x20;algorithms&#x20;used&#x20;are&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy.&#x20;-&#x20;The&#x20;only&#x20;Key&#x20;Exchange&#x20;Algorithms&#x20;currently&#x20;FIPS&#x20;140-2&#x20;approved&#x20;are:&#x20;ecdh-sha2-nistp256,&#x20;ecdh-sha2-nistp384,&#x20;ecdh-sha2-nistp521,&#x20;diffie-hellman-group-exchange-sha256,&#x20;diffie-hellman-group16-sha512,&#x20;diffie-hellman-group18-sha512,&#x20;diffie-hellman-group14-sha256.&#x20;-&#x20;The&#x20;Key&#x20;Exchange&#x20;algorithms&#x20;supported&#x20;by&#x20;OpenSSH&#x20;8.2&#x20;are:&#x20;curve25519-sha256,&#x20;curve25519-sha256@libssh.org,&#x20;diffie-hellman-group1-sha1,&#x20;diffie-hellman-group14-sha1,&#x20;diffie-hellman-group14-sha256,&#x20;diffie-hellman-group16-sha512,&#x20;diffie-hellman-group18-sha512,&#x20;diffie-hellman-group-exchange-sha1,&#x20;diffie-hellman-group-exchange-sha256,&#x20;ecdh-sha2-nistp256,&#x20;ecdh-sha2-nistp384,&#x20;ecdh-sha2-nistp521,&#x20;sntrup4591761x25519-sha512@tinyssh.org.','Key&#x20;exchange&#x20;methods&#x20;that&#x20;are&#x20;considered&#x20;weak&#x20;should&#x20;be&#x20;removed.&#x20;A&#x20;key&#x20;exchange&#x20;method&#x20;may&#x20;be&#x20;weak&#x20;because&#x20;too&#x20;few&#x20;bits&#x20;are&#x20;used,&#x20;or&#x20;the&#x20;hashing&#x20;algorithm&#x20;is&#x20;considered&#x20;too&#x20;weak.&#x20;Using&#x20;weak&#x20;algorithms&#x20;could&#x20;expose&#x20;connections&#x20;to&#x20;man-in-the-middle&#x20;attacks.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;add/modify&#x20;the&#x20;KexAlgorithms&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;key&#x20;exchange&#x20;algorithms&#x20;Example:&#x20;KexAlgorithms&#x20;curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256.','[{\"cis\": [\"5.2.15\"]}, {\"cis_csc_v8\": [\"3.10\"]}, {\"cis_csc_v7\": [\"14.4\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.17\", \"AC.L2-3.1.13\", \"IA.L2-3.5.10\", \"SC.L2-3.13.11\", \"SC.L2-3.13.8\", \"SC.L2-3.13.15\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(1)\", \"164.312(e)(2)(i)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"2.1.1\", \"4.1\", \"4.1.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"2.2.7\", \"4.1.1\", \"4.2.1\", \"4.2.1.2\", \"4.2.2\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"AC-17(2)\", \"SC-8\", \"SC-8(1)\"]}, {\"iso_27001-2013\": [\"A.10.1.1\", \"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1040\", \"T1557\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1041\"]}]'),(29664,'Ensure&#x20;SSH&#x20;AllowTcpForwarding&#x20;is&#x20;disabled.','SSH&#x20;port&#x20;forwarding&#x20;is&#x20;a&#x20;mechanism&#x20;in&#x20;SSH&#x20;for&#x20;tunneling&#x20;application&#x20;ports&#x20;from&#x20;the&#x20;client&#x20;to&#x20;the&#x20;server,&#x20;or&#x20;servers&#x20;to&#x20;clients.&#x20;It&#x20;can&#x20;be&#x20;used&#x20;for&#x20;adding&#x20;encryption&#x20;to&#x20;legacy&#x20;applications,&#x20;going&#x20;through&#x20;firewalls,&#x20;and&#x20;some&#x20;system&#x20;administrators&#x20;and&#x20;IT&#x20;professionals&#x20;use&#x20;it&#x20;for&#x20;opening&#x20;backdoors&#x20;into&#x20;the&#x20;internal&#x20;network&#x20;from&#x20;their&#x20;home&#x20;machines.','Leaving&#x20;port&#x20;forwarding&#x20;enabled&#x20;can&#x20;expose&#x20;the&#x20;organization&#x20;to&#x20;security&#x20;risks&#x20;and&#x20;backdoors.&#x20;SSH&#x20;connections&#x20;are&#x20;protected&#x20;with&#x20;strong&#x20;encryption.&#x20;This&#x20;makes&#x20;their&#x20;contents&#x20;invisible&#x20;to&#x20;most&#x20;deployed&#x20;network&#x20;monitoring&#x20;and&#x20;traffic&#x20;filtering&#x20;solutions.&#x20;This&#x20;invisibility&#x20;carries&#x20;considerable&#x20;risk&#x20;potential&#x20;if&#x20;it&#x20;is&#x20;used&#x20;for&#x20;malicious&#x20;purposes&#x20;such&#x20;as&#x20;data&#x20;exfiltration.&#x20;Cybercriminals&#x20;or&#x20;malware&#x20;could&#x20;exploit&#x20;SSH&#x20;to&#x20;hide&#x20;their&#x20;unauthorized&#x20;communications,&#x20;or&#x20;to&#x20;exfiltrate&#x20;stolen&#x20;data&#x20;from&#x20;the&#x20;target&#x20;network.','SSH&#x20;tunnels&#x20;are&#x20;widely&#x20;used&#x20;in&#x20;many&#x20;corporate&#x20;environments.&#x20;In&#x20;some&#x20;environments&#x20;the&#x20;applications&#x20;themselves&#x20;may&#x20;have&#x20;very&#x20;limited&#x20;native&#x20;support&#x20;for&#x20;security.&#x20;By&#x20;utilizing&#x20;tunneling,&#x20;compliance&#x20;with&#x20;SOX,&#x20;HIPAA,&#x20;PCI-DSS,&#x20;and&#x20;other&#x20;standards&#x20;can&#x20;be&#x20;achieved&#x20;without&#x20;having&#x20;to&#x20;modify&#x20;the&#x20;applications.','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowTcpForwarding&#x20;no.','[{\"cis\": [\"5.2.16\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1048\", \"T1048.002\", \"T1572\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29665,'Ensure&#x20;SSH&#x20;warning&#x20;banner&#x20;is&#x20;configured.','The&#x20;Banner&#x20;parameter&#x20;specifies&#x20;a&#x20;file&#x20;whose&#x20;contents&#x20;must&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;remote&#x20;user&#x20;before&#x20;authentication&#x20;is&#x20;permitted.&#x20;By&#x20;default,&#x20;no&#x20;banner&#x20;is&#x20;displayed.','Banners&#x20;are&#x20;used&#x20;to&#x20;warn&#x20;connecting&#x20;users&#x20;of&#x20;the&#x20;particular&#x20;site&#039;s&#x20;policy&#x20;regarding&#x20;connection.&#x20;Presenting&#x20;a&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;login&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Banner&#x20;/etc/issue.net.','[{\"cis\": [\"5.2.17\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_tactics\": [\"TA0001\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1035\"]}]'),(29666,'Ensure&#x20;SSH&#x20;MaxAuthTries&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less.','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4.','[{\"cis\": [\"5.2.18\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"16.13\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.003\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1036\"]}]'),(29667,'Ensure&#x20;SSH&#x20;MaxStartups&#x20;is&#x20;configured.','The&#x20;MaxStartups&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;to&#x20;the&#x20;SSH&#x20;daemon.','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;pending&#x20;authentication&#x20;connection&#x20;attempts,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxStartups&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxStartups&#x20;10:30:60.','[{\"cis\": [\"5.2.19\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.002\"]}, {\"mitre_tactics\": [\"TA0040\"]}]'),(29668,'Ensure&#x20;SSH&#x20;MaxSessions&#x20;is&#x20;set&#x20;to&#x20;10&#x20;or&#x20;less.','The&#x20;MaxSessions&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;open&#x20;sessions&#x20;permitted&#x20;from&#x20;a&#x20;given&#x20;connection.','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;concurrent&#x20;sessions,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxSessions&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxSessions&#x20;10.','[{\"cis\": [\"5.2.20\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.002\"]}, {\"mitre_tactics\": [\"TA0040\"]}]'),(29669,'Ensure&#x20;SSH&#x20;LoginGraceTime&#x20;is&#x20;set&#x20;to&#x20;one&#x20;minute&#x20;or&#x20;less.','The&#x20;LoginGraceTime&#x20;parameter&#x20;specifies&#x20;the&#x20;time&#x20;allowed&#x20;for&#x20;successful&#x20;authentication&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;The&#x20;longer&#x20;the&#x20;Grace&#x20;period&#x20;is&#x20;the&#x20;more&#x20;open&#x20;unauthenticated&#x20;connections&#x20;can&#x20;exist.&#x20;Like&#x20;other&#x20;session&#x20;controls&#x20;in&#x20;this&#x20;session&#x20;the&#x20;Grace&#x20;Period&#x20;should&#x20;be&#x20;limited&#x20;to&#x20;appropriate&#x20;organizational&#x20;limits&#x20;to&#x20;ensure&#x20;the&#x20;service&#x20;is&#x20;available&#x20;for&#x20;needed&#x20;access.','Setting&#x20;the&#x20;LoginGraceTime&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;It&#x20;will&#x20;also&#x20;limit&#x20;the&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;60&#x20;seconds&#x20;&#40;1&#x20;Minute&#41;,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LoginGraceTime&#x20;60.','[{\"cis\": [\"5.2.21\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.003\", \"T1110.004\", \"T1499\", \"T1499.002\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1036\"]}]'),(29670,'Ensure&#x20;SSH&#x20;Idle&#x20;Timeout&#x20;Interval&#x20;is&#x20;configured.','NOTE:&#x20;To&#x20;clarify,&#x20;the&#x20;two&#x20;settings&#x20;described&#x20;below&#x20;is&#x20;only&#x20;meant&#x20;for&#x20;idle&#x20;connections&#x20;from&#x20;a&#x20;protocol&#x20;perspective&#x20;and&#x20;not&#x20;meant&#x20;to&#x20;check&#x20;if&#x20;the&#x20;user&#x20;is&#x20;active&#x20;or&#x20;not.&#x20;An&#x20;idle&#x20;user&#x20;does&#x20;not&#x20;mean&#x20;an&#x20;idle&#x20;connection.&#x20;SSH&#x20;does&#x20;not&#x20;and&#x20;never&#x20;had,&#x20;intentionally,&#x20;the&#x20;capability&#x20;to&#x20;drop&#x20;idle&#x20;users.&#x20;In&#x20;SSH&#x20;versions&#x20;before&#x20;8.2p1&#x20;there&#x20;was&#x20;a&#x20;bug&#x20;that&#x20;caused&#x20;these&#x20;values&#x20;to&#x20;behave&#x20;in&#x20;such&#x20;a&#x20;manner&#x20;that&#x20;they&#x20;where&#x20;abused&#x20;to&#x20;disconnect&#x20;idle&#x20;users.&#x20;This&#x20;bug&#x20;has&#x20;been&#x20;resolved&#x20;in&#x20;8.2p1&#x20;and&#x20;thus&#x20;it&#x20;can&#x20;no&#x20;longer&#x20;be&#x20;abused&#x20;disconnect&#x20;idle&#x20;users.&#x20;The&#x20;two&#x20;options&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax&#x20;control&#x20;the&#x20;timeout&#x20;of&#x20;SSH&#x20;sessions.&#x20;Taken&#x20;directly&#x20;from&#x20;man&#x20;5&#x20;sshd_config:&#x20;-&#x20;ClientAliveInterval&#x20;Sets&#x20;a&#x20;timeout&#x20;interval&#x20;in&#x20;seconds&#x20;after&#x20;which&#x20;if&#x20;no&#x20;data&#x20;has&#x20;been&#x20;received&#x20;from&#x20;the&#x20;client,&#x20;sshd&#40;8&#41;&#x20;will&#x20;send&#x20;a&#x20;message&#x20;through&#x20;the&#x20;encrypted&#x20;channel&#x20;to&#x20;request&#x20;a&#x20;response&#x20;from&#x20;the&#x20;client.&#x20;The&#x20;default&#x20;is&#x20;0,&#x20;indicating&#x20;that&#x20;these&#x20;messages&#x20;will&#x20;not&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;client.&#x20;-&#x20;ClientAliveCountMax&#x20;Sets&#x20;the&#x20;number&#x20;of&#x20;client&#x20;alive&#x20;messages&#x20;which&#x20;may&#x20;be&#x20;sent&#x20;without&#x20;sshd&#40;8&#41;&#x20;receiving&#x20;any&#x20;messages&#x20;back&#x20;from&#x20;the&#x20;client.&#x20;If&#x20;this&#x20;threshold&#x20;is&#x20;reached&#x20;while&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;being&#x20;sent,&#x20;sshd&#x20;will&#x20;disconnect&#x20;the&#x20;client,&#x20;terminating&#x20;the&#x20;session.&#x20;It&#x20;is&#x20;important&#x20;to&#x20;note&#x20;that&#x20;the&#x20;use&#x20;of&#x20;client&#x20;alive&#x20;messages&#x20;is&#x20;very&#x20;different&#x20;from&#x20;TCPKeepAlive.&#x20;The&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;sent&#x20;through&#x20;the&#x20;encrypted&#x20;channel&#x20;and&#x20;therefore&#x20;will&#x20;not&#x20;be&#x20;spoofable.&#x20;The&#x20;TCP&#x20;keepalive&#x20;option&#x20;en-abled&#x20;by&#x20;TCPKeepAlive&#x20;is&#x20;spoofable.&#x20;The&#x20;client&#x20;alive&#x20;mechanism&#x20;is&#x20;valuable&#x20;when&#x20;the&#x20;client&#x20;or&#x20;server&#x20;depend&#x20;on&#x20;knowing&#x20;when&#x20;a&#x20;connection&#x20;has&#x20;become&#x20;unresponsive.&#x20;The&#x20;default&#x20;value&#x20;is&#x20;3.&#x20;If&#x20;ClientAliveInterval&#x20;is&#x20;set&#x20;to&#x20;15,&#x20;and&#x20;ClientAliveCountMax&#x20;is&#x20;left&#x20;at&#x20;the&#x20;default,&#x20;unresponsive&#x20;SSH&#x20;clients&#x20;will&#x20;be&#x20;disconnected&#x20;after&#x20;approximately&#x20;45&#x20;seconds.&#x20;Setting&#x20;a&#x20;zero&#x20;ClientAliveCountMax&#x20;disables&#x20;connection&#x20;termination.','In&#x20;order&#x20;to&#x20;prevent&#x20;resource&#x20;exhaustion,&#x20;appropriate&#x20;values&#x20;should&#x20;be&#x20;set&#x20;for&#x20;both&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax.&#x20;Specifically,&#x20;looking&#x20;at&#x20;the&#x20;source&#x20;code,&#x20;ClientAliveCountMax&#x20;must&#x20;be&#x20;greater&#x20;than&#x20;zero&#x20;in&#x20;order&#x20;to&#x20;utilize&#x20;the&#x20;ability&#x20;of&#x20;SSH&#x20;to&#x20;drop&#x20;idle&#x20;connections.&#x20;If&#x20;connections&#x20;are&#x20;allowed&#x20;to&#x20;stay&#x20;open&#x20;indefinately,&#x20;this&#x20;can&#x20;potentially&#x20;be&#x20;used&#x20;as&#x20;a&#x20;DDOS&#x20;attack&#x20;or&#x20;simple&#x20;resource&#x20;exhaustion&#x20;could&#x20;occur&#x20;over&#x20;unreliable&#x20;networks.&#x20;The&#x20;example&#x20;set&#x20;here&#x20;is&#x20;a&#x20;45&#x20;second&#x20;timeout.&#x20;Consult&#x20;your&#x20;site&#x20;policy&#x20;for&#x20;network&#x20;timeouts&#x20;and&#x20;apply&#x20;as&#x20;appropriate.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameters&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;Example:&#x20;ClientAliveInterval&#x20;15&#x20;ClientAliveCountMax&#x20;3.','[{\"cis\": [\"5.2.22\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(29671,'Ensure&#x20;sudo&#x20;is&#x20;installed.','sudo&#x20;allows&#x20;a&#x20;permitted&#x20;user&#x20;to&#x20;execute&#x20;a&#x20;command&#x20;as&#x20;the&#x20;superuser&#x20;or&#x20;another&#x20;user,&#x20;as&#x20;specified&#x20;by&#x20;the&#x20;security&#x20;policy.&#x20;The&#x20;invoking&#x20;user&#039;s&#x20;real&#x20;&#40;not&#x20;effective&#41;&#x20;user&#x20;ID&#x20;is&#x20;used&#x20;to&#x20;determine&#x20;the&#x20;user&#x20;name&#x20;with&#x20;which&#x20;to&#x20;query&#x20;the&#x20;security&#x20;policy.','sudo&#x20;supports&#x20;a&#x20;plug-in&#x20;architecture&#x20;for&#x20;security&#x20;policies&#x20;and&#x20;input/output&#x20;logging.&#x20;Third&#x20;parties&#x20;can&#x20;develop&#x20;and&#x20;distribute&#x20;their&#x20;own&#x20;policy&#x20;and&#x20;I/O&#x20;logging&#x20;plug-ins&#x20;to&#x20;work&#x20;seamlessly&#x20;with&#x20;the&#x20;sudo&#x20;front&#x20;end.&#x20;The&#x20;default&#x20;security&#x20;policy&#x20;is&#x20;sudoers,&#x20;which&#x20;is&#x20;configured&#x20;via&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;and&#x20;any&#x20;entries&#x20;in&#x20;/etc/sudoers.d.&#x20;The&#x20;security&#x20;policy&#x20;determines&#x20;what&#x20;privileges,&#x20;if&#x20;any,&#x20;a&#x20;user&#x20;has&#x20;to&#x20;run&#x20;sudo.&#x20;The&#x20;policy&#x20;may&#x20;require&#x20;that&#x20;users&#x20;authenticate&#x20;themselves&#x20;with&#x20;a&#x20;password&#x20;or&#x20;another&#x20;authentication&#x20;mechanism.&#x20;If&#x20;authentication&#x20;is&#x20;required,&#x20;sudo&#x20;will&#x20;exit&#x20;if&#x20;the&#x20;user&#039;s&#x20;password&#x20;is&#x20;not&#x20;entered&#x20;within&#x20;a&#x20;configurable&#x20;time&#x20;limit.&#x20;This&#x20;limit&#x20;is&#x20;policy-specific.','','First&#x20;determine&#x20;is&#x20;LDAP&#x20;functionality&#x20;is&#x20;required.&#x20;If&#x20;so,&#x20;then&#x20;install&#x20;sudo-ldap,&#x20;else&#x20;install&#x20;sudo.&#x20;Example:&#x20;#&#x20;apt&#x20;install&#x20;sudo.','[{\"cis\": [\"5.3.1\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}]'),(29672,'Ensure&#x20;sudo&#x20;commands&#x20;use&#x20;pty.','sudo&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;run&#x20;only&#x20;from&#x20;a&#x20;pseudo&#x20;terminal&#x20;&#40;pseudo-pty&#41;.','Attackers&#x20;can&#x20;run&#x20;a&#x20;malicious&#x20;program&#x20;using&#x20;sudo&#x20;which&#x20;would&#x20;fork&#x20;a&#x20;background&#x20;process&#x20;that&#x20;remains&#x20;even&#x20;when&#x20;the&#x20;main&#x20;program&#x20;has&#x20;finished&#x20;executing.','WARNING:&#x20;Editing&#x20;the&#x20;sudo&#x20;configuration&#x20;incorrectly&#x20;can&#x20;cause&#x20;sudo&#x20;to&#x20;stop&#x20;functioning.&#x20;Always&#x20;use&#x20;visudo&#x20;to&#x20;modify&#x20;sudo&#x20;configuration&#x20;files.','Edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;with&#x20;visudo&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Defaults&#x20;use_pty.','[{\"cis\": [\"5.3.2\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.003\"]}, {\"mitre_tactics\": [\"TA0003\"]}]');
 INSERT INTO `tsca` VALUES (29673,'Ensure&#x20;sudo&#x20;log&#x20;file&#x20;exists.','sudo&#x20;can&#x20;use&#x20;a&#x20;custom&#x20;log&#x20;file.','A&#x20;sudo&#x20;log&#x20;file&#x20;simplifies&#x20;auditing&#x20;of&#x20;sudo&#x20;commands.','WARNING:&#x20;Editing&#x20;the&#x20;sudo&#x20;configuration&#x20;incorrectly&#x20;can&#x20;cause&#x20;sudo&#x20;to&#x20;stop&#x20;functioning.&#x20;Always&#x20;use&#x20;visudo&#x20;to&#x20;modify&#x20;sudo&#x20;configuration&#x20;files.','Edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;or&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Example:&#x20;Defaults&#x20;logfile=&quot;/var/log/sudo.log&quot;.','[{\"cis\": [\"5.3.3\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}]'),(29674,'Ensure&#x20;users&#x20;must&#x20;provide&#x20;password&#x20;for&#x20;privilege&#x20;escalation.','The&#x20;operating&#x20;system&#x20;must&#x20;be&#x20;configured&#x20;so&#x20;that&#x20;users&#x20;must&#x20;provide&#x20;a&#x20;password&#x20;for&#x20;privilege&#x20;escalation.','Without&#x20;&#40;re-&#41;authentication,&#x20;users&#x20;may&#x20;access&#x20;resources&#x20;or&#x20;perform&#x20;tasks&#x20;for&#x20;which&#x20;they&#x20;do&#x20;not&#x20;have&#x20;authorization.&#x20;When&#x20;operating&#x20;systems&#x20;provide&#x20;the&#x20;capability&#x20;to&#x20;escalate&#x20;a&#x20;functional&#x20;capability,&#x20;it&#x20;is&#x20;critical&#x20;the&#x20;user&#x20;&#40;re-&#41;authenticate.','This&#x20;will&#x20;prevent&#x20;automated&#x20;processes&#x20;from&#x20;being&#x20;able&#x20;to&#x20;elevate&#x20;privileges.','Based&#x20;on&#x20;the&#x20;outcome&#x20;of&#x20;the&#x20;audit&#x20;procedure,&#x20;use&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;to&#x20;edit&#x20;the&#x20;relevant&#x20;sudoers&#x20;file.&#x20;Remove&#x20;any&#x20;line&#x20;with&#x20;occurrences&#x20;of&#x20;NOPASSWD&#x20;tags&#x20;in&#x20;the&#x20;file.','[{\"cis\": [\"5.3.4\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}]'),(29675,'Ensure&#x20;re-authentication&#x20;for&#x20;privilege&#x20;escalation&#x20;is&#x20;not&#x20;disabled&#x20;globally.','The&#x20;operating&#x20;system&#x20;must&#x20;be&#x20;configured&#x20;so&#x20;that&#x20;users&#x20;must&#x20;re-authenticate&#x20;for&#x20;privilege&#x20;escalation.','Without&#x20;re-authentication,&#x20;users&#x20;may&#x20;access&#x20;resources&#x20;or&#x20;perform&#x20;tasks&#x20;for&#x20;which&#x20;they&#x20;do&#x20;not&#x20;have&#x20;authorization.&#x20;When&#x20;operating&#x20;systems&#x20;provide&#x20;the&#x20;capability&#x20;to&#x20;escalate&#x20;a&#x20;functional&#x20;capability,&#x20;it&#x20;is&#x20;critical&#x20;the&#x20;user&#x20;re-authenticate.','','Configure&#x20;the&#x20;operating&#x20;system&#x20;to&#x20;require&#x20;users&#x20;to&#x20;reauthenticate&#x20;for&#x20;privilege&#x20;escalation.&#x20;Based&#x20;on&#x20;the&#x20;outcome&#x20;of&#x20;the&#x20;audit&#x20;procedure,&#x20;use&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;to&#x20;edit&#x20;the&#x20;relevant&#x20;sudoers&#x20;file.&#x20;Remove&#x20;any&#x20;occurrences&#x20;of&#x20;!authenticate&#x20;tags&#x20;in&#x20;the&#x20;file&#40;s&#41;.','[{\"cis\": [\"5.3.5\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}]'),(29676,'Ensure&#x20;sudo&#x20;authentication&#x20;timeout&#x20;is&#x20;configured&#x20;correctly.','sudo&#x20;caches&#x20;used&#x20;credentials&#x20;for&#x20;a&#x20;default&#x20;of&#x20;15&#x20;minutes.&#x20;This&#x20;is&#x20;for&#x20;ease&#x20;of&#x20;use&#x20;when&#x20;there&#x20;are&#x20;multiple&#x20;administrative&#x20;tasks&#x20;to&#x20;perform.&#x20;The&#x20;timeout&#x20;can&#x20;be&#x20;modified&#x20;to&#x20;suit&#x20;local&#x20;security&#x20;policies.&#x20;This&#x20;default&#x20;is&#x20;distribution&#x20;specific.&#x20;See&#x20;audit&#x20;section&#x20;for&#x20;further&#x20;information.','Setting&#x20;a&#x20;timeout&#x20;value&#x20;reduces&#x20;the&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;unauthorized&#x20;privileged&#x20;access&#x20;to&#x20;another&#x20;user.','','If&#x20;the&#x20;currently&#x20;configured&#x20;timeout&#x20;is&#x20;larger&#x20;than&#x20;15&#x20;minutes,&#x20;edit&#x20;the&#x20;file&#x20;listed&#x20;in&#x20;the&#x20;audit&#x20;section&#x20;with&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;modify&#x20;the&#x20;entry&#x20;timestamp_timeout=&#x20;to&#x20;15&#x20;minutes&#x20;or&#x20;less&#x20;as&#x20;per&#x20;your&#x20;site&#x20;policy.&#x20;The&#x20;value&#x20;is&#x20;in&#x20;minutes.&#x20;This&#x20;particular&#x20;entry&#x20;may&#x20;appear&#x20;on&#x20;it&#039;s&#x20;own,&#x20;or&#x20;on&#x20;the&#x20;same&#x20;line&#x20;as&#x20;env_reset.&#x20;See&#x20;the&#x20;following&#x20;two&#x20;examples:&#x20;Defaults&#x20;Defaults&#x20;Defaults&#x20;env_reset,&#x20;timestamp_timeout=15&#x20;timestamp_timeout=15&#x20;env_reset.','[{\"cis\": [\"5.3.6\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}]'),(29677,'Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','The&#x20;su&#x20;command&#x20;allows&#x20;a&#x20;user&#x20;to&#x20;run&#x20;a&#x20;command&#x20;or&#x20;shell&#x20;as&#x20;another&#x20;user.&#x20;The&#x20;program&#x20;has&#x20;been&#x20;superseded&#x20;by&#x20;sudo,&#x20;which&#x20;allows&#x20;for&#x20;more&#x20;granular&#x20;control&#x20;over&#x20;privileged&#x20;access.&#x20;Normally,&#x20;the&#x20;su&#x20;command&#x20;can&#x20;be&#x20;executed&#x20;by&#x20;any&#x20;user.&#x20;By&#x20;uncommenting&#x20;the&#x20;pam_wheel.so&#x20;statement&#x20;in&#x20;/etc/pam.d/su,&#x20;the&#x20;su&#x20;command&#x20;will&#x20;only&#x20;allow&#x20;users&#x20;in&#x20;a&#x20;specific&#x20;groups&#x20;to&#x20;execute&#x20;su.&#x20;This&#x20;group&#x20;should&#x20;be&#x20;empty&#x20;to&#x20;reinforce&#x20;the&#x20;use&#x20;of&#x20;sudo&#x20;for&#x20;privileged&#x20;access.','Restricting&#x20;the&#x20;use&#x20;of&#x20;su&#x20;,&#x20;and&#x20;using&#x20;sudo&#x20;in&#x20;its&#x20;place,&#x20;provides&#x20;system&#x20;administrators&#x20;better&#x20;control&#x20;of&#x20;the&#x20;escalation&#x20;of&#x20;user&#x20;privileges&#x20;to&#x20;execute&#x20;privileged&#x20;commands.&#x20;The&#x20;sudo&#x20;utility&#x20;also&#x20;provides&#x20;a&#x20;better&#x20;logging&#x20;and&#x20;audit&#x20;mechanism,&#x20;as&#x20;it&#x20;can&#x20;log&#x20;each&#x20;command&#x20;executed&#x20;via&#x20;sudo&#x20;,&#x20;whereas&#x20;su&#x20;can&#x20;only&#x20;record&#x20;that&#x20;a&#x20;user&#x20;executed&#x20;the&#x20;su&#x20;program.','','Create&#x20;an&#x20;empty&#x20;group&#x20;that&#x20;will&#x20;be&#x20;specified&#x20;for&#x20;use&#x20;of&#x20;the&#x20;su&#x20;command.&#x20;The&#x20;group&#x20;should&#x20;be&#x20;named&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;Example:&#x20;#&#x20;groupadd&#x20;sugroup&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/pam.d/su&#x20;file,&#x20;specifying&#x20;the&#x20;empty&#x20;group:&#x20;auth&#x20;required&#x20;pam_wheel.so&#x20;use_uid&#x20;group=sugroup.','[{\"cis\": [\"5.3.7\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(29678,'Ensure&#x20;password&#x20;creation&#x20;requirements&#x20;are&#x20;configured.','The&#x20;pam_pwquality.so&#x20;module&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more.&#x20;The&#x20;following&#x20;options&#x20;are&#x20;set&#x20;in&#x20;the&#x20;/etc/security/pwquality.conf&#x20;file:&#x20;-&#x20;Password&#x20;Length:&#x20;&gt;&#x20;minlen&#x20;=&#x20;14&#x20;-&#x20;password&#x20;must&#x20;be&#x20;14&#x20;characters&#x20;or&#x20;more.&#x20;-&#x20;Password&#x20;complexity:&#x20;&gt;&#x20;minclass&#x20;=&#x20;4&#x20;-&#x20;The&#x20;minimum&#x20;number&#x20;of&#x20;required&#x20;classes&#x20;of&#x20;characters&#x20;for&#x20;the&#x20;new&#x20;password&#x20;&#40;digits,&#x20;uppercase,&#x20;lowercase,&#x20;others&#41;&#x20;OR&#x20;&gt;&#x20;dcredit&#x20;=&#x20;-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;digit.&#x20;&gt;&#x20;ucredit&#x20;=&#x20;-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;uppercase&#x20;character.&#x20;&gt;&#x20;ocredit&#x20;=&#x20;-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;special&#x20;character.&#x20;&gt;&#x20;lcredit&#x20;=&#x20;-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;lowercase&#x20;character.','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','The&#x20;following&#x20;setting&#x20;is&#x20;a&#x20;recommend&#x20;example&#x20;policy.&#x20;Alter&#x20;these&#x20;values&#x20;to&#x20;conform&#x20;to&#x20;your&#x20;own&#x20;organization&#039;s&#x20;password&#x20;policies.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;the&#x20;pam_pwquality&#x20;module:&#x20;#&#x20;apt&#x20;install&#x20;libpam-pwquality&#x20;Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;password&#x20;length&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minlen&#x20;=&#x20;14&#x20;.Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;.password&#x20;complexity&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;Option&#x20;1&#x20;minclass&#x20;=&#x20;4&#x20;Option&#x20;2&#x20;dcredit&#x20;=&#x20;-1,&#x20;ucredit&#x20;=&#x20;-1,&#x20;ocredit&#x20;=&#x20;-1,&#x20;lcredit&#x20;=&#x20;-1.','[{\"cis\": [\"5.4.1\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.001\", \"T1110.002\", \"T1110.003\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(29679,'Ensure&#x20;lockout&#x20;for&#x20;failed&#x20;password&#x20;attempts&#x20;is&#x20;configured.','Lock&#x20;out&#x20;users&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts.&#x20;The&#x20;first&#x20;sets&#x20;of&#x20;changes&#x20;are&#x20;made&#x20;to&#x20;the&#x20;common&#x20;PAM&#x20;configuration&#x20;files.&#x20;The&#x20;second&#x20;set&#x20;of&#x20;changes&#x20;are&#x20;applied&#x20;to&#x20;the&#x20;program&#x20;specific&#x20;PAM&#x20;configuration&#x20;file.&#x20;The&#x20;second&#x20;set&#x20;of&#x20;changes&#x20;must&#x20;be&#x20;applied&#x20;to&#x20;each&#x20;program&#x20;that&#x20;will&#x20;lock&#x20;out&#x20;users.&#x20;Check&#x20;the&#x20;documentation&#x20;for&#x20;each&#x20;secondary&#x20;program&#x20;for&#x20;instructions&#x20;on&#x20;how&#x20;to&#x20;configure&#x20;them&#x20;to&#x20;work&#x20;with&#x20;PAM.&#x20;All&#x20;configuration&#x20;of&#x20;faillock&#x20;is&#x20;located&#x20;in&#x20;/etc/security/faillock.conf&#x20;and&#x20;well&#x20;commented.&#x20;-&#x20;deny&#x20;&gt;&#x20;Deny&#x20;access&#x20;if&#x20;the&#x20;number&#x20;of&#x20;consecutive&#x20;authentication&#x20;failures&#x20;for&#x20;this&#x20;user&#x20;during&#x20;the&#x20;recent&#x20;interval&#x20;exceeds&#x20;n&#x20;tries.&#x20;-&#x20;fail_interval&#x20;&gt;&#x20;The&#x20;length&#x20;of&#x20;the&#x20;interval,&#x20;in&#x20;seconds,&#x20;during&#x20;which&#x20;the&#x20;consecutive&#x20;authentication&#x20;failures&#x20;must&#x20;happen&#x20;for&#x20;the&#x20;user&#x20;account&#x20;to&#x20;be&#x20;locked&#x20;out.&#x20;-&#x20;unlock_time&#x20;&gt;&#x20;The&#x20;access&#x20;will&#x20;be&#x20;re-enabled&#x20;after&#x20;n&#x20;seconds&#x20;after&#x20;the&#x20;lock&#x20;out.&#x20;The&#x20;value&#x20;0&#x20;has&#x20;the&#x20;same&#x20;meaning&#x20;as&#x20;value&#x20;never&#x20;-&#x20;the&#x20;access&#x20;will&#x20;not&#x20;be&#x20;re-enabled&#x20;without&#x20;resetting&#x20;the&#x20;faillock&#x20;entries&#x20;by&#x20;the&#x20;faillock&#x20;command.&#x20;Set&#x20;the&#x20;lockout&#x20;number&#x20;and&#x20;unlock&#x20;time&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Locking&#x20;out&#x20;user&#x20;IDs&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts&#x20;mitigates&#x20;brute&#x20;force&#x20;password&#x20;attacks&#x20;against&#x20;your&#x20;systems.','It&#x20;is&#x20;critical&#x20;to&#x20;test&#x20;and&#x20;validate&#x20;any&#x20;PAM&#x20;changes&#x20;before&#x20;deploying.&#x20;Any&#x20;misconfiguration&#x20;could&#x20;cause&#x20;the&#x20;system&#x20;to&#x20;be&#x20;inaccessible.','NOTE:&#x20;Pay&#x20;special&#x20;attention&#x20;to&#x20;the&#x20;configuration.&#x20;Incorrect&#x20;configuration&#x20;can&#x20;cause&#x20;system&#x20;lock&#x20;outs.&#x20;This&#x20;is&#x20;example&#x20;configuration.&#x20;You&#x20;configuration&#x20;may&#x20;differ&#x20;based&#x20;on&#x20;previous&#x20;changes&#x20;to&#x20;the&#x20;files.&#x20;Common&#x20;auth:&#x20;Edit&#x20;/etc/pam.d/common-auth&#x20;and&#x20;ensure&#x20;that&#x20;faillock&#x20;is&#x20;configured.&#x20;Note:&#x20;It&#x20;is&#x20;critical&#x20;to&#x20;understand&#x20;each&#x20;line&#x20;and&#x20;the&#x20;relevant&#x20;arguments&#x20;for&#x20;successful&#x20;implementation.&#x20;The&#x20;order&#x20;of&#x20;these&#x20;entries&#x20;is&#x20;very&#x20;specific.&#x20;The&#x20;pam_faillock.so&#x20;lines&#x20;surround&#x20;the&#x20;pam_unix.so&#x20;line.&#x20;The&#x20;comment&#x20;&quot;Added&#x20;to&#x20;enable&#x20;faillock&quot;&#x20;is&#x20;shown&#x20;to&#x20;highlight&#x20;the&#x20;additional&#x20;lines&#x20;and&#x20;their&#x20;order&#x20;in&#x20;the&#x20;file.&#x20;#&#x20;here&#x20;are&#x20;the&#x20;per-package&#x20;modules&#x20;&#40;the&#x20;&quot;Primary&quot;&#x20;block&#41;&#x20;auth&#x20;required&#x20;pam_faillock.so&#x20;preauth&#x20;#&#x20;Added&#x20;to&#x20;enable&#x20;faillock&#x20;auth&#x20;[success=1&#x20;default=ignore]&#x20;pam_unix.so&#x20;nullok&#x20;auth&#x20;[default=die]&#x20;pam_faillock.so&#x20;authfail&#x20;#&#x20;Added&#x20;to&#x20;enable&#x20;faillock&#x20;auth&#x20;sufficient&#x20;pam_faillock.so&#x20;authsucc&#x20;#&#x20;Added&#x20;to&#x20;enable&#x20;faillock&#x20;#&#x20;here&#039;s&#x20;the&#x20;fallback&#x20;if&#x20;no&#x20;module&#x20;succeeds&#x20;auth&#x20;requisite&#x20;pam_deny.so&#x20;#&#x20;prime&#x20;the&#x20;stack&#x20;with&#x20;a&#x20;positive&#x20;return&#x20;value&#x20;if&#x20;there&#x20;isn&#039;t&#x20;one&#x20;already;&#x20;#&#x20;this&#x20;avoids&#x20;us&#x20;returning&#x20;an&#x20;error&#x20;just&#x20;because&#x20;nothing&#x20;sets&#x20;a&#x20;success&#x20;code&#x20;#&#x20;since&#x20;the&#x20;modules&#x20;above&#x20;will&#x20;each&#x20;just&#x20;jump&#x20;around&#x20;auth&#x20;required&#x20;pam_permit.so&#x20;#&#x20;and&#x20;here&#x20;are&#x20;more&#x20;per-package&#x20;modules&#x20;&#40;the&#x20;&quot;Additional&quot;&#x20;block&#41;&#x20;auth&#x20;optional&#x20;pam_cap.so&#x20;#&#x20;end&#x20;of&#x20;pam-auth-update&#x20;config&#x20;Common&#x20;account:&#x20;Edit&#x20;/etc/pam.d/common-account&#x20;and&#x20;ensure&#x20;that&#x20;the&#x20;following&#x20;stanza&#x20;is&#x20;at&#x20;the&#x20;end&#x20;of&#x20;the&#x20;file.&#x20;&gt;&#x20;account&#x20;&gt;&#x20;required&#x20;&gt;&#x20;pam_faillock.so.&#x20;Fail&#x20;lock&#x20;configuration:&#x20;Edit&#x20;/etc/security/faillock.conf&#x20;and&#x20;configure&#x20;it&#x20;per&#x20;your&#x20;site&#x20;policy.&#x20;Example:&#x20;deny&#x20;=&#x20;4&#x20;&gt;&#x20;fail_interval&#x20;=&#x20;900&#x20;&gt;&#x20;unlock&#x20;time&#x20;=&#x20;600.','[{\"cis\": [\"5.4.2\"]}, {\"cis_csc_v8\": [\"6.2\"]}, {\"cis_csc_v7\": [\"16.7\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\"]}, {\"hipaa\": [\"164.308(a)(3)(ii)(C)\"]}, {\"pci_dss_3.2.1\": [\"8.1.3\"]}, {\"pci_dss_4.0\": [\"8.2.4\", \"8.2.5\"]}, {\"nist_sp_800-53\": [\"AC-2(1)\"]}, {\"soc_2\": [\"CC6.2\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.6\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.003\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(29680,'Ensure&#x20;password&#x20;reuse&#x20;is&#x20;limited.','The&#x20;/etc/security/opasswd&#x20;file&#x20;stores&#x20;the&#x20;users&#x20;old&#x20;passwords&#x20;and&#x20;can&#x20;be&#x20;checked&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;are&#x20;not&#x20;recycling&#x20;recent&#x20;passwords.','Forcing&#x20;users&#x20;not&#x20;to&#x20;reuse&#x20;their&#x20;past&#x20;5&#x20;passwords&#x20;make&#x20;it&#x20;less&#x20;likely&#x20;that&#x20;an&#x20;attacker&#x20;will&#x20;be&#x20;able&#x20;to&#x20;guess&#x20;the&#x20;password.','','NOTE:&#x20;Pay&#x20;special&#x20;attention&#x20;to&#x20;the&#x20;configuration.&#x20;Incorrect&#x20;configuration&#x20;can&#x20;cause&#x20;system&#x20;lock&#x20;outs.&#x20;This&#x20;is&#x20;example&#x20;configuration.&#x20;You&#x20;configuration&#x20;may&#x20;differ&#x20;based&#x20;on&#x20;previous&#x20;changes&#x20;to&#x20;the&#x20;files.&#x20;Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;file&#x20;to&#x20;include&#x20;the&#x20;remember=&#x20;option&#x20;of&#x20;5&#x20;or&#x20;more.&#x20;If&#x20;this&#x20;line&#x20;doesn&#039;t&#x20;exist,&#x20;add&#x20;the&#x20;line&#x20;directly&#x20;above&#x20;the&#x20;line:&#x20;password&#x20;[success=1&#x20;default=ignore]&#x20;pam_unix.so&#x20;obscure&#x20;yescrypt:&#x20;Example:&#x20;password&#x20;required&#x20;pam_pwhistory.so&#x20;use_authtok&#x20;remember=5.','[{\"cis\": [\"5.4.3\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.004\"]}]'),(29681,'Ensure&#x20;password&#x20;hashing&#x20;algorithm&#x20;is&#x20;up&#x20;to&#x20;date&#x20;with&#x20;the&#x20;latest&#x20;standards.','The&#x20;commands&#x20;below&#x20;change&#x20;password&#x20;encryption&#x20;to&#x20;yescrypt.&#x20;All&#x20;existing&#x20;accounts&#x20;will&#x20;need&#x20;to&#x20;perform&#x20;a&#x20;password&#x20;change&#x20;to&#x20;upgrade&#x20;the&#x20;stored&#x20;hashes&#x20;to&#x20;the&#x20;new&#x20;algorithm.','The&#x20;yescrypt&#x20;algorithm&#x20;provides&#x20;much&#x20;stronger&#x20;hashing&#x20;than&#x20;previous&#x20;available&#x20;algorithms,&#x20;thus&#x20;providing&#x20;additional&#x20;protection&#x20;to&#x20;the&#x20;system&#x20;by&#x20;increasing&#x20;the&#x20;level&#x20;of&#x20;effort&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;successfully&#x20;determine&#x20;passwords.&#x20;Note:&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','NOTE:&#x20;Pay&#x20;special&#x20;attention&#x20;to&#x20;the&#x20;configuration.&#x20;Incorrect&#x20;configuration&#x20;can&#x20;cause&#x20;system&#x20;lock&#x20;outs.&#x20;This&#x20;is&#x20;example&#x20;configuration.&#x20;You&#x20;configuration&#x20;may&#x20;differ&#x20;based&#x20;on&#x20;previous&#x20;changes&#x20;to&#x20;the&#x20;files.&#x20;PAM&#x20;Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;file&#x20;and&#x20;ensure&#x20;that&#x20;no&#x20;hashing&#x20;algorithm&#x20;option&#x20;for&#x20;pam_unix.so&#x20;is&#x20;set:&#x20;password&#x20;[success=1&#x20;default=ignore]&#x20;try_first_pass&#x20;remember=5&#x20;pam_unix.so&#x20;obscure&#x20;use_authtok&#x20;-&#x20;Login&#x20;definitions:&#x20;Edit&#x20;/etc/login.defs&#x20;and&#x20;ensure&#x20;that&#x20;ENCRYPT_METHOD&#x20;is&#x20;set&#x20;to&#x20;yescrypt.','[{\"cis\": [\"5.4.4\"]}, {\"cis_csc_v8\": [\"3.11\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.19\", \"IA.L2-3.5.10\", \"MP.L2-3.8.1\", \"SC.L2-3.13.11\", \"SC.L2-3.13.16\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"3.4\", \"3.4.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"3.1.1\", \"3.3.2\", \"3.3.3\", \"3.5.1\", \"3.5.1.2\", \"3.5.1.3\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"SC-28\", \"SC-28(1)\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1110\", \"T1110.002\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1041\"]}]'),(29682,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;configured.','The&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;changing&#x20;their&#x20;password&#x20;until&#x20;a&#x20;minimum&#x20;number&#x20;of&#x20;days&#x20;have&#x20;passed&#x20;since&#x20;the&#x20;last&#x20;time&#x20;the&#x20;user&#x20;changed&#x20;their&#x20;password.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;1&#x20;or&#x20;more&#x20;days.','By&#x20;restricting&#x20;the&#x20;frequency&#x20;of&#x20;password&#x20;changes,&#x20;an&#x20;administrator&#x20;can&#x20;prevent&#x20;users&#x20;from&#x20;repeatedly&#x20;changing&#x20;their&#x20;password&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;circumvent&#x20;password&#x20;reuse&#x20;controls.','','Set&#x20;the&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;to&#x20;1&#x20;in&#x20;/etc/login.defs&#x20;:&#x20;PASS_MIN_DAYS&#x20;1&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--mindays&#x20;1&#x20;&lt;user&gt;.','[{\"cis\": [\"5.5.1.1\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.004\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(29683,'Ensure&#x20;password&#x20;expiration&#x20;is&#x20;365&#x20;days&#x20;or&#x20;less.','The&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;force&#x20;passwords&#x20;to&#x20;expire&#x20;once&#x20;they&#x20;reach&#x20;a&#x20;defined&#x20;age.','The&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;leverage&#x20;compromised&#x20;credentials&#x20;or&#x20;successfully&#x20;compromise&#x20;credentials&#x20;via&#x20;an&#x20;online&#x20;brute&#x20;force&#x20;attack&#x20;is&#x20;limited&#x20;by&#x20;the&#x20;age&#x20;of&#x20;the&#x20;password.&#x20;Therefore,&#x20;reducing&#x20;the&#x20;maximum&#x20;age&#x20;of&#x20;a&#x20;password&#x20;also&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;window&#x20;of&#x20;opportunity.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;does&#x20;not&#x20;exceed&#x20;365&#x20;days&#x20;and&#x20;is&#x20;greater&#x20;than&#x20;the&#x20;value&#x20;of&#x20;PASS_MIN_DAYS.','','Set&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;in&#x20;/etc/login.defs&#x20;:&#x20;PASS_MAX_DAYS&#x20;365&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--maxdays&#x20;365&#x20;&lt;user&gt;.','[{\"cis\": [\"5.5.1.2\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.001\", \"T1110.002\", \"T1110.003\", \"T1110.004\"]}]'),(29684,'Ensure&#x20;password&#x20;expiration&#x20;warning&#x20;days&#x20;is&#x20;7&#x20;or&#x20;more.','The&#x20;PASS_WARN_AGE&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;notify&#x20;users&#x20;that&#x20;their&#x20;password&#x20;will&#x20;expire&#x20;in&#x20;a&#x20;defined&#x20;number&#x20;of&#x20;days.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','Providing&#x20;an&#x20;advance&#x20;warning&#x20;that&#x20;a&#x20;password&#x20;will&#x20;be&#x20;expiring&#x20;gives&#x20;users&#x20;time&#x20;to&#x20;think&#x20;of&#x20;a&#x20;secure&#x20;password.&#x20;Users&#x20;caught&#x20;unaware&#x20;may&#x20;choose&#x20;a&#x20;simple&#x20;password&#x20;or&#x20;write&#x20;it&#x20;down&#x20;where&#x20;it&#x20;may&#x20;be&#x20;discovered.','','Set&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs&#x20;:PASS_WARN_AGE&#x20;7&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--warndays&#x20;7&#x20;&lt;user&gt;.','[{\"cis\": [\"5.5.1.3\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(29685,'Ensure&#x20;inactive&#x20;password&#x20;lock&#x20;is&#x20;30&#x20;days&#x20;or&#x20;less.','User&#x20;accounts&#x20;that&#x20;have&#x20;been&#x20;inactive&#x20;for&#x20;over&#x20;a&#x20;given&#x20;period&#x20;of&#x20;time&#x20;can&#x20;be&#x20;automatically&#x20;disabled.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;accounts&#x20;that&#x20;are&#x20;inactive&#x20;for&#x20;30&#x20;days&#x20;after&#x20;password&#x20;expiration&#x20;be&#x20;disabled.','Inactive&#x20;accounts&#x20;pose&#x20;a&#x20;threat&#x20;to&#x20;system&#x20;security&#x20;since&#x20;the&#x20;users&#x20;are&#x20;not&#x20;logging&#x20;in&#x20;to&#x20;notice&#x20;failed&#x20;login&#x20;attempts&#x20;or&#x20;other&#x20;anomalies.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;default&#x20;password&#x20;inactivity&#x20;period&#x20;to&#x20;30&#x20;days:&#x20;#&#x20;useradd&#x20;-D&#x20;-f&#x20;30&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--inactive&#x20;30&#x20;&lt;user&gt;.','[{\"cis\": [\"5.5.1.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.002\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(29686,'Ensure&#x20;default&#x20;group&#x20;for&#x20;the&#x20;root&#x20;account&#x20;is&#x20;GID&#x20;0.','The&#x20;usermod&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;specify&#x20;which&#x20;group&#x20;the&#x20;root&#x20;user&#x20;belongs&#x20;to.&#x20;This&#x20;affects&#x20;permissions&#x20;of&#x20;files&#x20;that&#x20;are&#x20;created&#x20;by&#x20;the&#x20;root&#x20;user.','Using&#x20;GID&#x20;0&#x20;for&#x20;the&#x20;root&#x20;account&#x20;helps&#x20;prevent&#x20;root&#x20;-owned&#x20;files&#x20;from&#x20;accidentally&#x20;becoming&#x20;accessible&#x20;to&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;root&#x20;user&#x20;default&#x20;group&#x20;to&#x20;GID&#x20;0&#x20;:&#x20;#&#x20;usermod&#x20;-g&#x20;0&#x20;root.','[{\"cis\": [\"5.5.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(29687,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd&#x20;are&#x20;configured.','The&#x20;/etc/passwd&#x20;file&#x20;contains&#x20;user&#x20;account&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;utilities&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;utilities&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;excess&#x20;permissions,&#x20;set&#x20;owner,&#x20;and&#x20;set&#x20;group&#x20;on&#x20;/etc/passwd:&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/passwd&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd.','[{\"cis\": [\"6.1.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29688,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd-&#x20;are&#x20;configured.','The&#x20;/etc/passwd-&#x20;file&#x20;contains&#x20;backup&#x20;user&#x20;account&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;excess&#x20;permissions,&#x20;set&#x20;owner,&#x20;and&#x20;set&#x20;group&#x20;on&#x20;/etc/passwd-:&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/passwd-&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd-.','[{\"cis\": [\"6.1.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29689,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group&#x20;are&#x20;configured.','The&#x20;/etc/group&#x20;file&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.&#x20;The&#x20;command&#x20;below&#x20;allows&#x20;read/write&#x20;access&#x20;for&#x20;root&#x20;and&#x20;read&#x20;access&#x20;for&#x20;everyone&#x20;else.','The&#x20;/etc/group&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users,&#x20;but&#x20;needs&#x20;to&#x20;be&#x20;readable&#x20;as&#x20;this&#x20;information&#x20;is&#x20;used&#x20;with&#x20;many&#x20;non-privileged&#x20;programs.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;excess&#x20;permissions,&#x20;set&#x20;owner,&#x20;and&#x20;set&#x20;group&#x20;on&#x20;/etc/group:&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/group&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group.','[{\"cis\": [\"6.1.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29690,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group-&#x20;are&#x20;configured.','The&#x20;/etc/group-&#x20;file&#x20;contains&#x20;a&#x20;backup&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/group-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;excess&#x20;permissions,&#x20;set&#x20;owner,&#x20;and&#x20;set&#x20;group&#x20;on&#x20;/etc/group-:&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/group-&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group-.','[{\"cis\": [\"6.1.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29691,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow&#x20;are&#x20;configured.','The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;user&#x20;accounts.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;of&#x20;/etc/shadow&#x20;to&#x20;root&#x20;and&#x20;group&#x20;to&#x20;either&#x20;root&#x20;or&#x20;shadow:&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/shadow&#x20;-OR-&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;excess&#x20;permissions&#x20;form&#x20;/etc/shadow:&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;/etc/shadow.','[{\"cis\": [\"6.1.5\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29692,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow-&#x20;are&#x20;configured.','The&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;of&#x20;/etc/shadow-&#x20;to&#x20;root&#x20;and&#x20;group&#x20;to&#x20;either&#x20;root&#x20;or&#x20;shadow:&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/shadow-&#x20;-OR-&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow-&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;excess&#x20;permissions&#x20;form&#x20;/etc/shadow-:&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;/etc/shadow-.','[{\"cis\": [\"6.1.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29693,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow&#x20;are&#x20;configured.','The&#x20;/etc/gshadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/gshadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/gshadow&#x20;file&#x20;&#40;such&#x20;as&#x20;group&#x20;administrators&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;group.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;of&#x20;/etc/gshadow&#x20;to&#x20;root&#x20;and&#x20;group&#x20;to&#x20;either&#x20;root&#x20;or&#x20;shadow:&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/gshadow&#x20;-OR-&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;excess&#x20;permissions&#x20;form&#x20;/etc/gshadow:&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;/etc/gshadow.','[{\"cis\": [\"6.1.7\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29694,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;are&#x20;configured.','The&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;of&#x20;/etc/gshadow-&#x20;to&#x20;root&#x20;and&#x20;group&#x20;to&#x20;either&#x20;root&#x20;or&#x20;shadow:&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/gshadow-&#x20;-OR-&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow-&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;excess&#x20;permissions&#x20;form&#x20;/etc/gshadow-:&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;/etc/gshadow-.','[{\"cis\": [\"6.1.8\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29695,'Ensure&#x20;accounts&#x20;in&#x20;/etc/passwd&#x20;use&#x20;shadowed&#x20;passwords.','Local&#x20;accounts&#x20;can&#x20;uses&#x20;shadowed&#x20;passwords.&#x20;With&#x20;shadowed&#x20;passwords,&#x20;The&#x20;passwords&#x20;are&#x20;saved&#x20;in&#x20;shadow&#x20;password&#x20;file,&#x20;/etc/shadow,&#x20;encrypted&#x20;by&#x20;a&#x20;salted&#x20;one-way&#x20;hash.&#x20;Accounts&#x20;with&#x20;a&#x20;shadowed&#x20;password&#x20;have&#x20;an&#x20;x&#x20;in&#x20;the&#x20;second&#x20;field&#x20;in&#x20;/etc/passwd.','The&#x20;/etc/passwd&#x20;file&#x20;also&#x20;contains&#x20;information&#x20;like&#x20;user&#x20;ID&#039;s&#x20;and&#x20;group&#x20;ID&#039;s&#x20;that&#x20;are&#x20;used&#x20;by&#x20;many&#x20;system&#x20;programs.&#x20;Therefore,&#x20;the&#x20;/etc/passwd&#x20;file&#x20;must&#x20;remain&#x20;world&#x20;readable.&#x20;In&#x20;spite&#x20;of&#x20;encoding&#x20;the&#x20;password&#x20;with&#x20;a&#x20;randomly-generated&#x20;one-way&#x20;hash&#x20;function,&#x20;an&#x20;attacker&#x20;could&#x20;still&#x20;break&#x20;the&#x20;system&#x20;if&#x20;they&#x20;got&#x20;access&#x20;to&#x20;the&#x20;/etc/passwd&#x20;file.&#x20;This&#x20;can&#x20;be&#x20;mitigated&#x20;by&#x20;using&#x20;shadowed&#x20;passwords,&#x20;thus&#x20;moving&#x20;the&#x20;passwords&#x20;in&#x20;the&#x20;/etc/passwd&#x20;file&#x20;to&#x20;/etc/shadow.&#x20;The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;set&#x20;so&#x20;only&#x20;root&#x20;will&#x20;be&#x20;able&#x20;to&#x20;read&#x20;and&#x20;write.&#x20;This&#x20;helps&#x20;mitigate&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;encoded&#x20;passwords&#x20;with&#x20;which&#x20;to&#x20;perform&#x20;a&#x20;dictionary&#x20;attack.&#x20;Note:&#x20;-&#x20;All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.&#x20;-&#x20;A&#x20;user&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;second&#x20;field&#x20;in&#x20;/etc/passwd&#x20;allows&#x20;the&#x20;account&#x20;to&#x20;be&#x20;logged&#x20;into&#x20;by&#x20;providing&#x20;only&#x20;the&#x20;username.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;accounts&#x20;to&#x20;use&#x20;shadowed&#x20;passwords:&#x20;#&#x20;sed&#x20;-e&#x20;&#039;s/^&#40;[a-zA-Z0-9_]*&#41;:[^:]*:/1:x:/&#039;&#x20;-i&#x20;/etc/passwd&#x20;Investigate&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for,&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.1\"]}, {\"cis_csc_v8\": [\"3.11\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.19\", \"IA.L2-3.5.10\", \"MP.L2-3.8.1\", \"SC.L2-3.13.11\", \"SC.L2-3.13.16\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"3.4\", \"3.4.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"3.1.1\", \"3.3.2\", \"3.3.3\", \"3.5.1\", \"3.5.1.2\", \"3.5.1.3\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"SC-28\", \"SC-28(1)\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(29696,'Ensure&#x20;/etc/shadow&#x20;password&#x20;fields&#x20;are&#x20;not&#x20;empty.','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;password,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;account&#x20;until&#x20;it&#x20;can&#x20;be&#x20;determined&#x20;why&#x20;it&#x20;does&#x20;not&#x20;have&#x20;a&#x20;password:&#x20;#&#x20;passwd&#x20;-l&#x20;&lt;username&gt;&#x20;Also,&#x20;check&#x20;to&#x20;see&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;investigate&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.2\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(29697,'Ensure&#x20;root&#x20;is&#x20;the&#x20;only&#x20;UID&#x20;0&#x20;account.','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','','Remove&#x20;any&#x20;users&#x20;other&#x20;than&#x20;root&#x20;with&#x20;UID&#x20;0&#x20;or&#x20;assign&#x20;them&#x20;a&#x20;new&#x20;UID&#x20;if&#x20;appropriate.','[{\"cis\": [\"6.2.10\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(30001,'Install&#x20;and&#x20;configure&#x20;HP-UX&#x20;Secure&#x20;Shell.','OpenSSH&#x20;is&#x20;a&#x20;popular&#x20;free&#x20;distribution&#x20;of&#x20;the&#x20;standards-track&#x20;SSH&#x20;protocols&#x20;which&#x20;allows&#x20;secure&#x20;encrypted&#x20;network&#x20;logins&#x20;and&#x20;file&#x20;transfers.&#x20;HP-UX&#x20;Secure&#x20;Shell&#x20;is&#x20;HP&#039;s&#x20;pre-compiled&#x20;and&#x20;supported&#x20;version&#x20;of&#x20;OpenSSH.','Common&#x20;login&#x20;and&#x20;file&#x20;transfer&#x20;services&#x20;such&#x20;as&#x20;telnet,&#x20;FTP,&#x20;rsh,&#x20;rlogin,&#x20;and&#x20;rcp&#x20;use&#x20;insecure,&#x20;clear-text&#x20;protocols&#x20;that&#x20;are&#x20;vulnerable&#x20;to&#x20;attack.&#x20;OpenSSH&#x20;provides&#x20;a&#x20;secure,&#x20;encrypted&#x20;replacement&#x20;for&#x20;these&#x20;services.&#x20;Security&#x20;is&#x20;improved&#x20;by&#x20;further&#x20;constraining&#x20;services&#x20;in&#x20;the&#x20;default&#x20;configuration.','','Perform&#x20;the&#x20;following&#x20;to&#x20;install&#x20;and&#x20;securely&#x20;configure&#x20;Secure&#x20;Shell&#x20;&#40;SSH&#41;&#x20;1.&#x20;Download&#x20;and&#x20;install&#x20;HP-UX&#x20;Secure&#x20;Shell&#x20;if&#x20;not&#x20;already&#x20;installed&#x20;on&#x20;the&#x20;system.&#x20;2.&#x20;Perform&#x20;the&#x20;following&#x20;post-installation&#x20;actions&#x20;to&#x20;secure&#x20;the&#x20;SSH&#x20;service:&#x20;a.&#x20;Change&#x20;to&#x20;the&#x20;/opt/ssh/etc&#x20;directory&#x20;b.&#x20;Open&#x20;sshd_config&#x20;c.&#x20;Set&#x20;the&#x20;Protocol&#x20;token&#x20;to&#x20;2.&#x20;If&#x20;it&#x20;is&#x20;absent,&#x20;add&#x20;and&#x20;set&#x20;it.&#x20;d.&#x20;Set&#x20;the&#x20;X11Forwarding&#x20;token&#x20;to&#x20;yes.&#x20;If&#x20;it&#x20;is&#x20;absent,&#x20;add&#x20;and&#x20;set&#x20;it.&#x20;e.&#x20;Set&#x20;the&#x20;IgnoreRhosts&#x20;token&#x20;to&#x20;yes.&#x20;If&#x20;it&#x20;is&#x20;absent,&#x20;add&#x20;and&#x20;set&#x20;it.&#x20;f.&#x20;Set&#x20;the&#x20;RhostsAuthentication&#x20;token&#x20;to&#x20;no.&#x20;If&#x20;it&#x20;is&#x20;absent,&#x20;add&#x20;and&#x20;set&#x20;it.&#x20;g.&#x20;Set&#x20;the&#x20;RhostsRSAAuthentication&#x20;token&#x20;to&#x20;no.&#x20;If&#x20;it&#x20;is&#x20;absent,&#x20;add&#x20;and&#x20;set&#x20;it.&#x20;h.&#x20;Set&#x20;the&#x20;PermitRootLogin&#x20;token&#x20;to&#x20;no.&#x20;If&#x20;it&#x20;is&#x20;absent,&#x20;add&#x20;and&#x20;set&#x20;it.&#x20;i.&#x20;Set&#x20;the&#x20;PermitEmptyPasswords&#x20;token&#x20;to&#x20;no.&#x20;If&#x20;it&#x20;is&#x20;absent,&#x20;add&#x20;and&#x20;set&#x20;it.&#x20;j.&#x20;Set&#x20;the&#x20;Banner&#x20;token&#x20;to&#x20;/etc/issue.&#x20;If&#x20;it&#x20;is&#x20;absent,&#x20;add&#x20;and&#x20;set&#x20;it.&#x20;k.&#x20;Set&#x20;root&#x20;as&#x20;the&#x20;owner&#x20;of&#x20;sshd_config&#x20;and&#x20;ssh_config.&#x20;l.&#x20;Set&#x20;sys&#x20;as&#x20;the&#x20;group&#x20;owner&#x20;of&#x20;sshd_config&#x20;and&#x20;ssh_config.&#x20;m.&#x20;Restrict&#x20;write&#x20;access&#x20;to&#x20;sshd_config&#x20;and&#x20;ssh_config&#x20;to&#x20;the&#x20;file&#x20;owner.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;13&#x20;|&#x20;P&#x20;a&#x20;g&#x20;e&#x20;cd&#x20;/opt/ssh/etc&#x20;cp&#x20;-p&#x20;sshd_config&#x20;sshd_config.tmp&#x20;awk&#x20;&#039;&#x20;/^Protocol/&#x20;/^IgnoreRhosts/&#x20;/^RhostsAuthentication/&#x20;/^RhostsRSAAuthentication/&#x20;{&#x20;$2&#x20;=&quot;no&quot;&#x20;};&#x20;/&#40;^#|^&#41;PermitRootLogin/&#x20;&#x20;&#x20;&#x20;{&#x20;$1&#x20;=&#x20;&quot;PermitRootLogin&quot;;&#x20;$2&#x20;=&#x20;&quot;no&quot;&#x20;};&#x20;/^PermitEmptyPasswords/&#x20;&#x20;&#x20;&#x20;{&#x20;$2&#x20;=&#x20;&quot;no&quot;&#x20;};&#x20;/^#Banner/&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;{&#x20;$1&#x20;=&#x20;&quot;Banner&quot;;&#x20;$2&#x20;=&#x20;&quot;/etc/issue&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;sshd_config.tmp&#x20;&gt;&#x20;sshd_config&#x20;{&#x20;$2&#x20;=&quot;2&quot;};&#x20;{&#x20;$2&#x20;=&#x20;&quot;yes&quot;&#x20;};&#x20;{&#x20;$2&#x20;=&#x20;&quot;no&quot;&#x20;};&#x20;rm&#x20;-f&#x20;sshd_config.tmp&#x20;chown&#x20;root:sys&#x20;ssh_config&#x20;sshd_config&#x20;chmod&#x20;go-w&#x20;ssh_config&#x20;sshd_config','[{\"cis\": [\"1.1.2\"]}, {\"cis_level\": [\"1\"]}]'),(30002,'Use&#x20;Bastille&#x20;to&#x20;report&#x20;security&#x20;configuration&#x20;state.','Bastille&#x20;is&#x20;a&#x20;security&#x20;hardening,&#x20;lockdown&#x20;tool&#x20;supplied&#x20;with&#x20;HP-UX&#x20;to&#x20;assist&#x20;administrators&#x20;in&#x20;securing&#x20;their&#x20;systems.&#x20;Included&#x20;is&#x20;an&#x20;assessment&#x20;function&#x20;that&#x20;covers&#x20;a&#x20;wide&#x20;range&#x20;of&#x20;lockdown&#x20;items&#x20;including&#x20;most&#x20;all&#x20;items&#x20;in&#x20;this&#x20;Benchmark.&#x20;Bastille&#x20;can&#x20;serve&#x20;as&#x20;a&#x20;reporting&#x20;and&#x20;audit&#x20;tool.&#x20;Appendix&#x20;D&#x20;provides&#x20;a&#x20;mapping&#x20;of&#x20;Benchmark&#x20;items&#x20;to&#x20;related&#x20;Bastille&#x20;configuration&#x20;items.','An&#x20;automated,&#x20;tested,&#x20;and&#x20;vendor&#x20;supported&#x20;reporting&#x20;tool&#x20;such&#x20;as&#x20;Bastille&#x20;is&#x20;more&#x20;efficient&#x20;and&#x20;less&#x20;error-prone&#x20;than&#x20;most&#x20;manual&#x20;or&#x20;custom&#x20;scripted&#x20;methods.','','Run&#x20;Bastille&#x20;to&#x20;create&#x20;an&#x20;assessment&#x20;report&#x20;as&#x20;shown:&#x20;/opt/sec_mgmt/bastille/bin/bastille&#x20;--assessnobrowser','[{\"cis\": [\"1.1.3\"]}]'),(30003,'Disable&#x20;Standard&#x20;Services.','The&#x20;stock&#x20;/etc/inetd.conf&#x20;file&#x20;shipped&#x20;with&#x20;HP-UX&#x20;contains&#x20;many&#x20;services&#x20;which&#x20;are&#x20;rarely&#x20;used,&#x20;or&#x20;which&#x20;have&#x20;more&#x20;secure&#x20;alternatives.&#x20;Indeed,&#x20;after&#x20;enabling&#x20;SSH&#x20;&#40;see&#x20;item&#x20;1.1.2&#41;&#x20;it&#x20;may&#x20;be&#x20;possible&#x20;to&#x20;completely&#x20;do&#x20;away&#x20;with&#x20;all&#x20;inetd-based&#x20;services,&#x20;since&#x20;SSH&#x20;provides&#x20;both&#x20;a&#x20;secure&#x20;login&#x20;mechanism&#x20;and&#x20;a&#x20;means&#x20;of&#x20;transferring&#x20;files&#x20;to&#x20;and&#x20;from&#x20;the&#x20;system.&#x20;The&#x20;steps&#x20;articulated&#x20;in&#x20;the&#x20;Remediation&#x20;section&#x20;will&#x20;disable&#x20;all&#x20;services&#x20;normally&#x20;enabled&#x20;in&#x20;the&#x20;HP-UX&#x20;inetd.conf&#x20;file.&#x20;The&#x20;rest&#x20;of&#x20;the&#x20;actions&#x20;in&#x20;this&#x20;section&#x20;give&#x20;the&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;re-enabling&#x20;certain&#x20;services&mdash;in&#x20;particular,&#x20;the&#x20;services&#x20;that&#x20;are&#x20;disabled&#x20;in&#x20;the&#x20;last&#x20;two&#x20;loops&#x20;in&#x20;the&#x20;Action&#x20;section&#x20;below.','The&#x20;stock&#x20;/etc/inetd.conf&#x20;file&#x20;shipped&#x20;with&#x20;HP-UX&#x20;contains&#x20;services&#x20;that&#x20;are&#x20;rarely&#x20;used&#x20;or&#x20;have&#x20;more&#x20;secure&#x20;alternatives.&#x20;Removing&#x20;these&#x20;from&#x20;inetd&#x20;will&#x20;avoid&#x20;exposure&#x20;to&#x20;possible&#x20;security&#x20;vulnerability&#x20;in&#x20;those&#x20;services.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;standard&#x20;inetd-based&#x20;services:&#x20;1.&#x20;Change&#x20;to&#x20;the&#x20;/etc&#x20;directory&#x20;2.&#x20;Open&#x20;inetd.conf&#x20;3.&#x20;Disable&#x20;the&#x20;following&#x20;services&#x20;by&#x20;adding&#x20;a&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;to&#x20;the&#x20;beginning&#x20;of&#x20;its&#x20;definition:&#x20;a.&#x20;echo&#x20;b.&#x20;discard&#x20;c.&#x20;daytime&#x20;d.&#x20;chargen&#x20;e.&#x20;dtspc&#x20;f.&#x20;exec&#x20;g.&#x20;ntalk&#x20;h.&#x20;finger&#x20;i.&#x20;uucp&#x20;j.&#x20;ident&#x20;k.&#x20;auth&#x20;l.&#x20;instl_boots&#x20;m.&#x20;registrar&#x20;n.&#x20;recserv&#x20;o.&#x20;rpc.rstatd&#x20;p.&#x20;rpc.rusersd&#x20;q.&#x20;rpc.rwalld&#x20;r.&#x20;rpc.sprayd&#x20;s.&#x20;rpc.cmsd&#x20;t.&#x20;kcms_server&#x20;u.&#x20;printer&#x20;v.&#x20;shell&#x20;w.&#x20;login&#x20;h.&#x20;finger&#x20;x.&#x20;telnet&#x20;y.&#x20;ftp&#x20;z.&#x20;tftp&#x20;aa.&#x20;bootps&#x20;bb.&#x20;kshell&#x20;cc.&#x20;klogin&#x20;dd.&#x20;rpc.rquotad&#x20;ee.&#x20;rpc.ttdbserver&#x20;4.&#x20;Save&#x20;inetd.conf.&#x20;5.&#x20;Set&#x20;root&#x20;as&#x20;the&#x20;owner&#x20;of&#x20;inetd.conf.&#x20;6.&#x20;Set&#x20;sys&#x20;as&#x20;the&#x20;group&#x20;owner&#x20;of&#x20;inetd.conf.&#x20;7.&#x20;Restrict&#x20;write&#x20;access&#x20;to&#x20;inetd.conf&#x20;to&#x20;the&#x20;file&#x20;owner.&#x20;8.&#x20;Remove&#x20;the&#x20;executable&#x20;and&#x20;sticky&#x20;bit&#x20;from&#x20;inetd.conf.&#x20;9.&#x20;Invoke&#x20;inetd&#x20;to&#x20;reread&#x20;it&#039;s&#x20;config&#x20;file:&#x20;inetd&#x20;-c&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;cd&#x20;/etc&#x20;for&#x20;svc&#x20;in&#x20;echo&#x20;discard&#x20;daytime&#x20;chargen&#x20;dtspc&#x20;&#x20;exec&#x20;ntalk&#x20;finger&#x20;uucp&#x20;ident&#x20;auth&#x20;&#x20;instl_boots&#x20;registrar&#x20;recserv;&#x20;do&#x20;awk&#x20;&quot;&#40;$1&#x20;==&#x20;&quot;$svc&quot;&#41;&#x20;{&#x20;$1&#x20;=&#x20;&quot;#&quot;&#x20;$1&#x20;};&#x20;{print}&quot;&#x20;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;done&#x20;for&#x20;svc&#x20;in&#x20;rpc.rstatd&#x20;rpc.rusersd&#x20;rpc.rwalld&#x20;&#x20;rpc.sprayd&#x20;rpc.cmsd&#x20;kcms_server;&#x20;do&#x20;awk&#x20;&quot;/&#92;/$svc/&#x20;{&#x20;$1&#x20;=&#x20;&quot;#&quot;&#x20;$1&#x20;};&#x20;{&#x20;print&#x20;}&quot;&#x20;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;done&#x20;for&#x20;svc&#x20;in&#x20;printer&#x20;shell&#x20;login&#x20;telnet&#x20;ftp&#x20;tftp&#x20;&#x20;bootps&#x20;kshell&#x20;klogin;&#x20;do&#x20;awk&#x20;&quot;&#40;$1&#x20;==&#x20;&quot;$svc&quot;&#41;&#x20;{&#x20;$1&#x20;=&#x20;&quot;#&quot;&#x20;$1&#x20;};&#x20;{print}&quot;&#x20;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;done&#x20;for&#x20;svc&#x20;in&#x20;rpc.rquotad&#x20;rpc.ttdbserver;&#x20;do&#x20;awk&#x20;&quot;/^$svc&#92;//&#x20;{&#x20;$1&#x20;=&#x20;&quot;#&quot;&#x20;$1&#x20;};&#x20;{&#x20;print&#x20;}&quot;&#x20;&#x20;/etc/inetd.conf&#x20;&gt;&#x20;/etc/inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;done&#x20;chown&#x20;root:sys&#x20;inetd.conf&#x20;chmod&#x20;go-w,a-xs&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf.new&#x20;inetd&#x20;-c','[{\"cis\": [\"1.2.1\"]}, {\"cis_level\": [\"1\"]}]'),(30004,'Only&#x20;enable&#x20;telnet&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;telnet.&#x20;Telnet&#x20;uses&#x20;an&#x20;unencrypted&#x20;network&#x20;protocol,&#x20;which&#x20;means&#x20;data&#x20;from&#x20;the&#x20;login&#x20;session&#x20;&#40;such&#x20;as&#x20;passwords&#x20;and&#x20;all&#x20;other&#x20;data&#x20;transmitted&#x20;during&#x20;the&#x20;session&#41;&#x20;can&#x20;be&#x20;stolen&#x20;by&#x20;eavesdroppers&#x20;on&#x20;the&#x20;network,&#x20;and&#x20;also&#x20;that&#x20;the&#x20;session&#x20;can&#x20;be&#x20;hijacked&#x20;by&#x20;outsiders&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;remote&#x20;system.&#x20;HP-UX&#x20;Secure&#x20;Shell&#x20;&#40;OpenSSH&#41;&#x20;provides&#x20;an&#x20;encrypted&#x20;alternative&#x20;to&#x20;telnet&#x20;&#40;and&#x20;other&#x20;utilities&#41;&#x20;and&#x20;should&#x20;be&#x20;used&#x20;instead.','There&#x20;is&#x20;a&#x20;mission-critical&#x20;reason&#x20;that&#x20;requires&#x20;users&#x20;to&#x20;access&#x20;the&#x20;system&#x20;via&#x20;telnet&#x20;instead&#x20;of&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;protocol.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;telnet:&#x20;1.&#x20;Open&#x20;/etc/inetd.conf.&#x20;2.&#x20;Delete&#x20;the&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;from&#x20;the&#x20;telnet&#x20;service&#x20;definition.&#x20;3.&#x20;Add&#x20;-b&#x20;/etc/issue&#x20;to&#x20;the&#x20;end&#x20;of&#x20;the&#x20;telnet&#x20;service&#x20;definition.&#x20;This&#x20;will&#x20;cause&#x20;telnet&#x20;to&#x20;display&#x20;the&#x20;contents&#x20;of&#x20;/etc/issue&#x20;to&#x20;users&#x20;attempting&#x20;to&#x20;access&#x20;the&#x20;system&#x20;via&#x20;telnet.&#x20;4.&#x20;Save&#x20;/etc/inetd.conf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;awk&#x20;&#039;/^#telnet/&#x20;{&#x20;$1&#x20;=&#x20;&quot;telnet&quot;&#x20;print&#x20;$0&#x20;&quot;&#x20;-b&#x20;/etc/issue&quot;;&#x20;next}&#x20;{&#x20;print&#x20;}&#x20;&#039;&#x20;inetd.conf&#x20;&gt;&#x20;/etc/inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf.new','[{\"cis\": [\"1.2.2\"]}]'),(30005,'Only&#x20;enable&#x20;FTP&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;ftp.&#x20;Like&#x20;telnet,&#x20;the&#x20;FTP&#x20;protocol&#x20;is&#x20;unencrypted,&#x20;which&#x20;means&#x20;passwords&#x20;and&#x20;other&#x20;data&#x20;transmitted&#x20;during&#x20;the&#x20;session&#x20;can&#x20;be&#x20;captured&#x20;by&#x20;sniffing&#x20;the&#x20;network,&#x20;and&#x20;that&#x20;the&#x20;FTP&#x20;session&#x20;itself&#x20;can&#x20;be&#x20;hijacked&#x20;by&#x20;an&#x20;external&#x20;attacker.&#x20;SSH&#x20;provides&#x20;two&#x20;alternative,&#x20;encrypted&#x20;file&#x20;transfer&#x20;mechanisms,&#x20;scp&#x20;and&#x20;sftp,&#x20;which&#x20;should&#x20;be&#x20;used&#x20;instead&#x20;of&#x20;FTP.&#x20;Even&#x20;if&#x20;FTP&#x20;is&#x20;required&#x20;because&#x20;the&#x20;local&#x20;system&#x20;is&#x20;an&#x20;anonymous&#x20;FTP&#x20;server,&#x20;consider&#x20;requiring&#x20;authenticated&#x20;users&#x20;on&#x20;the&#x20;system&#x20;to&#x20;transfer&#x20;files&#x20;via&#x20;SSH-based&#x20;protocols.&#x20;For&#x20;further&#x20;information&#x20;on&#x20;restricting&#x20;FTP&#x20;access&#x20;to&#x20;the&#x20;system,&#x20;see&#x20;item&#x20;1.6.2&#x20;below.&#x20;Sites&#x20;may&#x20;also&#x20;consider&#x20;augmenting&#x20;the&#x20;&#039;ftpd&#x20;-l&#039;&#x20;below&#x20;with&#x20;&#039;-v&#039;&#x20;&#40;10.x&#x20;and&#x20;11.x&#41;&#x20;or&#x20;&#039;-L&#039;&#x20;&#40;11.x&#x20;only&#41;&#x20;for&#x20;additional&#x20;logging&#x20;of&#x20;FTP&#x20;transactions,&#x20;or&#x20;with&#x20;&#039;-a&#039;&#x20;&#40;11.x&#x20;only&#41;&#x20;for&#x20;fine&#x20;grain&#x20;FTP&#x20;access&#x20;control&#x20;through&#x20;the&#x20;use&#x20;of&#x20;a&#x20;configuration&#x20;file&#x20;-&#x20;see&#x20;the&#x20;ftpd&#40;1M&#41;&#x20;man&#x20;page&#x20;on&#x20;your&#x20;systems&#x20;for&#x20;details.','This&#x20;machine&#x20;serves&#x20;as&#x20;an&#x20;&#40;anonymous&#41;&#x20;FTP&#x20;server&#x20;or&#x20;other&#x20;mission-critical&#x20;role&#x20;where&#x20;data&#x20;must&#x20;be&#x20;transferred&#x20;via&#x20;FTP&#x20;instead&#x20;of&#x20;the&#x20;more&#x20;secure&#x20;alternatives.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;FTP:&#x20;1.&#x20;Open&#x20;/etc/inetd.conf.&#x20;2.&#x20;Delete&#x20;the&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;from&#x20;the&#x20;ftp&#x20;service&#x20;definition.&#x20;3.&#x20;Save&#x20;/etc/inetd.conf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;awk&#x20;&#039;&#x20;/^#ftp/&#x20;{&#x20;$1&#x20;=&#x20;&quot;ftp&quot;;&#x20;print&#x20;$0;&#x20;next}&#x20;{&#x20;print&#x20;}&#x20;&#039;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf.new','[{\"cis\": [\"1.2.3\"]}]'),(30006,'Only&#x20;enable&#x20;rlogin/remsh/rcp&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;rlogin/remsh/rcp.&#x20;SSH&#x20;was&#x20;designed&#x20;to&#x20;be&#x20;a&#x20;drop-in&#x20;replacement&#x20;for&#x20;these&#x20;protocols.&#x20;Given&#x20;the&#x20;wide&#x20;availability&#x20;of&#x20;free&#x20;SSH&#x20;implementations,&#x20;there&#x20;are&#x20;few&#x20;cases&#x20;where&#x20;these&#x20;tools&#x20;cannot&#x20;be&#x20;replaced&#x20;with&#x20;SSH&#x20;&#40;again,&#x20;see&#x20;item&#x20;1.2.1&#x20;-&#x20;Install&#x20;SSH&#41;.','There&#x20;is&#x20;a&#x20;mission-critical&#x20;reason&#x20;to&#x20;use&#x20;rlogin/remsh/rcp&#x20;instead&#x20;of&#x20;the&#x20;more&#x20;secure&#x20;ssh/scp.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;rlogin/remsh/rcp:&#x20;1.&#x20;Open&#x20;/etc/inetd.conf.&#x20;2.&#x20;Delete&#x20;the&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;from&#x20;the&#x20;shell&#x20;and&#x20;login&#x20;service&#x20;definitions.&#x20;3.&#x20;Save&#x20;/etc/inetd.conf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;sed&#x20;&#039;s/^#shell/shell/;&#x20;s/^#login/login/&#039;&#x20;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf.new','[{\"cis\": [\"1.2.4\"]}]'),(30007,'Only&#x20;enable&#x20;TFTP&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;TFTP.&#x20;TFTP&#x20;is&#x20;typically&#x20;used&#x20;for&#x20;network&#x20;booting&#x20;of&#x20;diskless&#x20;workstations,&#x20;X-terminals,&#x20;and&#x20;other&#x20;similar&#x20;devices.&#x20;TFTP&#x20;is&#x20;also&#x20;used&#x20;during&#x20;network&#x20;installs&#x20;of&#x20;systems&#x20;via&#x20;the&#x20;HP-UX&#x20;Ignite&#x20;facility.&#x20;Routers&#x20;and&#x20;other&#x20;network&#x20;devices&#x20;may&#x20;copy&#x20;configuration&#x20;data&#x20;to&#x20;remote&#x20;systems&#x20;via&#x20;TFTP&#x20;for&#x20;backup.','This&#x20;system&#x20;serves&#x20;as&#x20;a&#x20;boot&#x20;server&#x20;or&#x20;has&#x20;other&#x20;mission-critical&#x20;roles&#x20;where&#x20;data&#x20;must&#x20;be&#x20;transferred&#x20;to&#x20;and&#x20;from&#x20;this&#x20;system&#x20;via&#x20;TFTP.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;TFTP:&#x20;1.&#x20;Open&#x20;/etc/inetd.conf.&#x20;2.&#x20;Delete&#x20;the&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;from&#x20;the&#x20;tftp&#x20;service&#x20;definition.&#x20;3.&#x20;Save&#x20;/etc/inetd.conf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;sed&#x20;&#039;s/^#tftp/tftp/&#039;&#x20;inetd.conf&#x20;&gt;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf.new&#x20;mkdir&#x20;-p&#x20;/var/opt/ignite','[{\"cis\": [\"1.2.5\"]}]'),(30008,'Only&#x20;enable&#x20;printer&#x20;service&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;rlpdaemon&#x20;based&#x20;printer&#x20;service.&#x20;rlpdaemon&#x20;provides&#x20;a&#x20;BSD-compatible&#x20;print&#x20;server&#x20;interface.&#x20;Even&#x20;machines&#x20;that&#x20;are&#x20;print&#x20;servers&#x20;may&#x20;wish&#x20;to&#x20;leave&#x20;this&#x20;service&#x20;disabled&#x20;if&#x20;they&#x20;do&#x20;not&#x20;need&#x20;to&#x20;support&#x20;BSD-style&#x20;printing.','This&#x20;machine&#x20;a&#x20;print&#x20;server&#x20;for&#x20;your&#x20;network.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;the&#x20;rlpdaemon&#x20;based&#x20;printer&#x20;service:&#x20;1.&#x20;Open&#x20;/etc/inetd.conf.&#x20;2.&#x20;Delete&#x20;the&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;from&#x20;the&#x20;printer&#x20;definition.&#x20;3.&#x20;Save&#x20;/etc/inetd.conf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;&#x20;sed&#x20;&#039;s/^#printer/printer/&#039;&#x20;inetd.conf&#x20;&gt;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf.new','[{\"cis\": [\"1.2.6\"]}]'),(30009,'Only&#x20;enable&#x20;rquotad&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;rquotad.&#x20;rquotad&#x20;allows&#x20;NFS&#x20;clients&#x20;to&#x20;enforce&#x20;disk&#x20;quotas&#x20;on&#x20;file&#x20;systems&#x20;that&#x20;are&#x20;mounted&#x20;from&#x20;the&#x20;local&#x20;system.&#x20;If&#x20;your&#x20;site&#x20;does&#x20;not&#x20;use&#x20;disk&#x20;quotas,&#x20;then&#x20;you&#x20;may&#x20;leave&#x20;the&#x20;rquotad&#x20;service&#x20;disabled.','This&#x20;system&#x20;an&#x20;NFS&#x20;file&#x20;server&#x20;that&#x20;requires&#x20;the&#x20;use&#x20;of&#x20;disk&#x20;quotas.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;rquotad:&#x20;1.&#x20;Open&#x20;/etc/inetd.conf.&#x20;2.&#x20;Delete&#x20;the&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;from&#x20;the&#x20;rquotad&#x20;definition.&#x20;3.&#x20;Save&#x20;/etc/inetd.conf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;awk&#x20;&#039;&#x20;$6&#x20;~&#x20;//rpc.rquotad$/&#x20;{&#x20;sub&#40;/^#/,&#x20;&quot;&quot;&#41;&#x20;}&#x20;{&#x20;print&#x20;}&#x20;&#039;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf.new','[{\"cis\": [\"1.2.7\"]}]'),(30010,'Only&#x20;enable&#x20;CDE-related&#x20;daemons&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;CDE-related&#x20;daemons.&#x20;The&#x20;rpc.ttdbserver&#x20;service&#x20;supports&#x20;HP&#039;s&#x20;CDE&#x20;windowing&#x20;environment.&#x20;This&#x20;service&#x20;has&#x20;a&#x20;history&#x20;of&#x20;security&#x20;problems.&#x20;Not&#x20;only&#x20;is&#x20;it&#x20;vital&#x20;to&#x20;keep&#x20;up&#x20;to&#x20;date&#x20;on&#x20;vendor&#x20;patches,&#x20;but&#x20;also&#x20;never&#x20;enable&#x20;this&#x20;service&#x20;on&#x20;any&#x20;system&#x20;which&#x20;is&#x20;not&#x20;well&#x20;protected&#x20;by&#x20;a&#x20;complete&#x20;network&#x20;security&#x20;infrastructure&#x20;&#40;including&#x20;network&#x20;and&#x20;host-based&#x20;firewalls,&#x20;packet&#x20;filters,&#x20;and&#x20;intrusion&#x20;detection&#x20;infrastructure&#41;.&#x20;Note&#x20;that&#x20;since&#x20;this&#x20;service&#x20;uses&#x20;ONC&#x20;RPC&#x20;mechanisms,&#x20;it&#x20;is&#x20;important&#x20;that&#x20;the&#x20;system&#039;s&#x20;RPC&#x20;portmapper&#x20;&#40;rpcbind&#41;&#x20;also&#x20;be&#x20;enabled&#x20;when&#x20;this&#x20;service&#x20;is&#x20;turned&#x20;on.','There&#x20;a&#x20;mission-critical&#x20;reason&#x20;to&#x20;run&#x20;a&#x20;CDE&#x20;GUI&#x20;on&#x20;this&#x20;system.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;CDE-related&#x20;daemons:&#x20;1.&#x20;Open&#x20;/etc/inetd.conf.&#x20;2.&#x20;Delete&#x20;the&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;from&#x20;the&#x20;rpc.ttdbserver&#x20;3.&#x20;Save&#x20;/etc/inetd.conf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;awk&#x20;&#039;&#x20;$6&#x20;~&#x20;//rpc.ttdbserver$/&#x20;{&#x20;sub&#40;/^#/,&#x20;&quot;&quot;&#41;&#x20;}&#x20;{&#x20;print&#x20;}&#x20;&#039;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf.new','[{\"cis\": [\"1.2.8\"]}]'),(30011,'Only&#x20;enable&#x20;Kerberos-related&#x20;daemons&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;Kerberos-related&#x20;daemons.&#x20;Kerberized&#x20;rlogin/remsh&#x20;offers&#x20;a&#x20;higher&#x20;degree&#x20;of&#x20;security&#x20;than&#x20;traditional&#x20;rlogin,&#x20;remsh,&#x20;or&#x20;telnet&#x20;by&#x20;eliminating&#x20;many&#x20;clear-text&#x20;password&#x20;exchanges&#x20;from&#x20;the&#x20;network.&#x20;However&#x20;it&#x20;is&#x20;still&#x20;not&#x20;as&#x20;secure&#x20;as&#x20;SSH,&#x20;which&#x20;encrypts&#x20;all&#x20;traffic.&#x20;Given&#x20;the&#x20;wide&#x20;availability&#x20;of&#x20;free&#x20;SSH&#x20;implementations,&#x20;there&#x20;are&#x20;few&#x20;cases&#x20;where&#x20;these&#x20;tools&#x20;cannot&#x20;be&#x20;replaced&#x20;with&#x20;SSH.','The&#x20;Kerberos&#x20;security&#x20;system&#x20;is&#x20;in&#x20;use&#x20;at&#x20;this&#x20;site&#x20;and&#x20;there&#x20;is&#x20;a&#x20;mission-critical&#x20;reason&#x20;that&#x20;requires&#x20;users&#x20;to&#x20;access&#x20;this&#x20;system&#x20;via&#x20;Kerberized&#x20;rlogin/remsh,&#x20;rather&#x20;than&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;protocol.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;Kerberos-related&#x20;daemons:&#x20;1.&#x20;Open&#x20;/etc/inetd.conf.&#x20;2.&#x20;Delete&#x20;the&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;from&#x20;the&#x20;klogin&#x20;definition.&#x20;3.&#x20;Save&#x20;/etc/inetd.conf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;sed&#x20;&#039;s/^#kshell/kshell/;&#x20;s/^#klogin/klogin/&#039;&#x20;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf.new','[{\"cis\": [\"1.2.9\"]}]'),(30012,'Only&#x20;enable&#x20;BOOTP/DHCP&#x20;daemon&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;BOOTP/DHCP&#x20;services.&#x20;BOOTP/DHCP&#x20;is&#x20;a&#x20;popular&#x20;protocol&#x20;for&#x20;dynamically&#x20;assigning&#x20;IP&#x20;addresses&#x20;and&#x20;other&#x20;network&#x20;information&#x20;to&#x20;systems&#x20;on&#x20;the&#x20;network&#x20;&#40;rather&#x20;than&#x20;having&#x20;administrators&#x20;manually&#x20;manage&#x20;this&#x20;information&#x20;on&#x20;each&#x20;host&#41;.&#x20;However,&#x20;if&#x20;this&#x20;system&#x20;is&#x20;not&#x20;a&#x20;BOOTP/DHCP&#x20;server&#x20;for&#x20;the&#x20;network,&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;be&#x20;running&#x20;this&#x20;service.','This&#x20;server&#x20;a&#x20;BOOTP/DHCP&#x20;server&#x20;for&#x20;the&#x20;network.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;BOOTP/DHCP&#x20;services:&#x20;1.&#x20;Open&#x20;/etc/inetd.conf.&#x20;2.&#x20;Delete&#x20;the&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;from&#x20;the&#x20;bootps&#x20;definition.&#x20;3.&#x20;Save&#x20;/etc/inetd.conf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;sed&#x20;&#039;s/^#bootps/bootps/&#039;&#x20;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf','[{\"cis\": [\"1.2.10\"]}]'),(30013,'Disable&#x20;login:&#x20;prompts&#x20;on&#x20;serial&#x20;ports.','Disable&#x20;the&#x20;login:&#x20;prompt&#x20;on&#x20;the&#x20;system&#x20;serial&#x20;devices&#x20;to&#x20;make&#x20;it&#x20;more&#x20;difficult&#x20;for&#x20;unauthorized&#x20;users&#x20;to&#x20;attach&#x20;modems,&#x20;terminals,&#x20;and&#x20;other&#x20;remote&#x20;access&#x20;devices&#x20;to&#x20;these&#x20;ports.','If&#x20;there&#x20;is&#x20;not&#x20;a&#x20;mission-critical&#x20;need&#x20;to&#x20;provide&#x20;login&#x20;capability&#x20;from&#x20;any&#x20;serial&#x20;ports&#x20;&#40;such&#x20;as&#x20;for&#x20;a&#x20;modem&#41;&#x20;then&#x20;disabling&#x20;the&#x20;login:&#x20;prompt&#x20;on&#x20;the&#x20;system&#x20;serial&#x20;devices&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;unauthorized&#x20;access&#x20;via&#x20;these&#x20;ports.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;the&#x20;login:&#x20;prompt&#x20;on&#x20;the&#x20;system&#x20;serial&#x20;devices:&#x20;1.&#x20;Open&#x20;/etc/inittab.&#x20;2.&#x20;Disable&#x20;each&#x20;getty&#x20;instance&#x20;associated&#x20;with&#x20;a&#x20;tty&#x20;device&#x20;by&#x20;adding&#x20;a&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;to&#x20;the&#x20;beginning&#x20;of&#x20;the&#x20;line.&#x20;3.&#x20;Save&#x20;/etc/inittab.*&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;cp&#x20;-p&#x20;/etc/inittab&#x20;/etc/inittab.tmp&#x20;sed&#x20;&#039;s/^[^#].*getty.*tty.*$/#&amp;/&#039;&#x20;&#x20;/etc/inittab.tmp&#x20;&#x20;&gt;&#x20;/etc/inittab&#x20;rm&#x20;-f&#x20;/etc/inittab.tmp&#x20;-&#x20;Note&#x20;that&#x20;this&#x20;action&#x20;may&#x20;safely&#x20;be&#x20;performed&#x20;even&#x20;if&#x20;console&#x20;access&#x20;to&#x20;the&#x20;system&#x20;is&#x20;provided&#x20;via&#x20;the&#x20;serial&#x20;ports,&#x20;as&#x20;the&#x20;line&#x20;in&#x20;the&#x20;/etc/inittab&#x20;file&#x20;that&#x20;corresponds&#x20;to&#x20;the&#x20;console&#x20;does&#x20;not&#x20;match&#x20;the&#x20;supplied&#x20;pattern&#x20;&#40;i.e.,&#x20;it&#x20;doesn&#039;t&#x20;contain&#x20;the&#x20;string&#x20;&#039;tty&#039;&#41;.&#x20;-&#x20;Note&#x20;that&#x20;when&#x20;serial&#x20;port&#x20;connectivity&#x20;is&#x20;needed,&#x20;/etc/dialups&#x20;and&#x20;/etc/d_passwd&#x20;can&#x20;be&#x20;set&#x20;to&#x20;require&#x20;an&#x20;extra&#x20;password&#x20;for&#x20;serial&#x20;port&#x20;access.&#x20;See&#x20;the&#x20;dialups&#40;4&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;-&#x20;Note&#x20;that&#x20;by&#x20;default&#x20;in&#x20;HP-UX&#x20;11i,&#x20;only&#x20;the&#x20;console&#x20;has&#x20;a&#x20;getty&#x20;instance&#x20;running&#x20;on&#x20;it.','[{\"cis\": [\"1.3.1\"]}, {\"cis_level\": [\"1\"]}]'),(30014,'Disable&#x20;NIS/NIS+&#x20;related&#x20;processes,&#x20;if&#x20;possible.','Disable&#x20;NIS/NIS+&#x20;related&#x20;processes.&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;&#x20;is&#x20;a&#x20;distributed&#x20;database&#x20;providing&#x20;centralized&#x20;control&#x20;of&#x20;names,&#x20;addresses,&#x20;services,&#x20;and&#x20;key&#x20;configuration&#x20;files&#x20;throughout&#x20;a&#x20;network&#x20;of&#x20;servers&#x20;and&#x20;clients.&#x20;NIS&#x20;was&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages&#x20;&#40;YP&#41;.&#x20;NIS+&#x20;is&#x20;a&#x20;replacement&#x20;for&#x20;NIS&#x20;services,&#x20;and&#x20;is&#x20;more&#x20;scalable,&#x20;flexible,&#x20;and&#x20;secure.&#x20;It&#x20;adds&#x20;a&#x20;security&#x20;system&#x20;with&#x20;authentication&#x20;and&#x20;authorization&#x20;services&#x20;to&#x20;validate&#x20;users&#x20;on&#x20;the&#x20;network&#x20;and&#x20;to&#x20;determine&#x20;if&#x20;they&#x20;allowed&#x20;to&#x20;access&#x20;or&#x20;modify&#x20;the&#x20;information&#x20;requested.&#x20;However,&#x20;both&#x20;systems&#x20;have&#x20;known&#x20;security&#x20;vulnerabilities,&#x20;and&#x20;have&#x20;been&#x20;an&#x20;entry&#x20;point&#x20;for&#x20;security&#x20;attacks.','Eliminate&#x20;exposure&#x20;to&#x20;NIS/NIS+&#x20;vulnerabilities&#x20;by&#x20;not&#x20;running&#x20;related&#x20;daemons&#x20;on&#x20;hosts&#x20;that&#x20;are&#x20;not&#x20;NIS/NIS+&#x20;servers&#x20;or&#x20;clients.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;the&#x20;startup&#x20;of&#x20;NIS/NIS+&#x20;related&#x20;processes:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NIS_MASTER_SERVER=0&#x20;-p&#x20;NIS_SLAVE_SERVER=0&#x20;&#x20;-p&#x20;NIS_CLIENT=0&#x20;-p&#x20;NISPLUS_SERVER=0&#x20;&#x20;-p&#x20;NISPLUS_CLIENT=0&#x20;/etc/rc.config.d/namesvrs','[{\"cis\": [\"1.3.2\"]}, {\"cis_level\": [\"1\"]}]'),(30015,'Disable&#x20;printer&#x20;daemons,&#x20;if&#x20;possible.','Disable&#x20;printer&#x20;daemons.&#x20;The&#x20;Technical&#x20;Print&#x20;Service&#x20;&#40;TPS&#41;&#x20;is&#x20;a&#x20;printer&#x20;service&#x20;used&#x20;in&#x20;the&#x20;X-Windows&#x20;and/or&#x20;CDE&#x20;environment.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled&#x20;if&#x20;the&#x20;hosting&#x20;system&#x20;does&#x20;not&#x20;participate&#x20;in&#x20;print&#x20;services&#x20;The&#x20;administrator&#x20;may&#x20;wish&#x20;to&#x20;consider&#x20;converting&#x20;to&#x20;the&#x20;LPRng&#x20;print&#x20;system&#x20;&#40;see&#x20;http://www.lprng.org/&#41;&#x20;which&#x20;was&#x20;designed&#x20;with&#x20;security&#x20;in&#x20;mind&#x20;and&#x20;is&#x20;widely&#x20;portable&#x20;across&#x20;many&#x20;different&#x20;Unix&#x20;platforms.&#x20;Note,&#x20;however,&#x20;that&#x20;LPRng&#x20;is&#x20;not&#x20;supported&#x20;by&#x20;Hewlett-Packard.','Disabling&#x20;unused&#x20;services,&#x20;such&#x20;as&#x20;TPS,&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;and&#x20;local&#x20;attack&#x20;surfaces&#x20;of&#x20;the&#x20;hosting&#x20;system.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;printer&#x20;daemons:&#x20;1.&#x20;Set&#x20;the&#x20;LP&#x20;parameter&#x20;to&#x20;zero&#x20;in&#x20;the&#x20;lp&#x20;system&#x20;configuration&#x20;file&#x20;/etc/rc.config.d/lp&#x20;2.&#x20;Set&#x20;the&#x20;XPRINTSERVERS&#x20;parameter&#x20;to&#x20;an&#x20;empty&#x20;string&#x20;in&#x20;the&#x20;tps&#x20;system&#x20;configuration&#x20;file&#x20;/etc/rc.config.d/tps&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;&#x20;ch_rc&#x20;-a&#x20;-p&#x20;XPRINTSERVERS=&quot;&#039;&#039;&quot;&#x20;/etc/rc.config.d/tps&#x20;ch_rc&#x20;-a&#x20;-p&#x20;LP=0&#x20;/etc/rc.config.d/lp','[{\"cis\": [\"1.3.3\"]}, {\"cis_level\": [\"1\"]}]'),(30016,'Disable&#x20;the&#x20;CDE&#x20;GUI&#x20;login,&#x20;if&#x20;possible.','CDE&#x20;stands&#x20;for&#x20;&#039;Common&#x20;Desktop&#x20;Environment,&#039;&#x20;and&#x20;is&#x20;an&#x20;environment&#x20;for&#x20;logging&#x20;on&#x20;to&#x20;and&#x20;interacting&#x20;with&#x20;your&#x20;system&#x20;via&#x20;an&#x20;X-windows&#x20;type&#x20;GUI&#x20;interface&#x20;from&#x20;the&#x20;console.&#x20;Intended&#x20;for&#x20;use&#x20;with&#x20;workstation&#x20;or&#x20;desktop&#x20;systems,&#x20;this&#x20;service&#x20;is&#x20;not&#x20;commonly&#x20;used&#x20;with&#x20;the&#x20;server-class&#x20;systems&#x20;or&#x20;in&#x20;large&#x20;enterprise&#x20;environments.&#x20;The&#x20;X&#x20;Windows-based&#x20;CDE&#x20;GUI&#x20;services&#x20;were&#x20;developed&#x20;with&#x20;a&#x20;different&#x20;set&#x20;of&#x20;security&#x20;expecations&#x20;from&#x20;those&#x20;expected&#x20;in&#x20;many&#x20;enterprise&#x20;deployments,&#x20;and&#x20;have&#x20;had&#x20;a&#x20;history&#x20;of&#x20;security&#x20;issues.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;mission-critical&#x20;need&#x20;for&#x20;a&#x20;CDE&#x20;GUI&#x20;login&#x20;to&#x20;the&#x20;system,&#x20;this&#x20;service&#x20;should&#x20;not&#x20;be&#x20;run&#x20;to&#x20;further&#x20;reduce&#x20;opportunities&#x20;for&#x20;security&#x20;attacks.','The&#x20;X&#x20;Windows-based&#x20;CDE&#x20;GUI&#x20;on&#x20;HP-UX&#x20;systems&#x20;has&#x20;had&#x20;a&#x20;history&#x20;of&#x20;security&#x20;issues,&#x20;and&#x20;should&#x20;be&#x20;disabled&#x20;if&#x20;unused.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;the&#x20;GUI&#x20;login:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;DESKTOP=&quot;&quot;&#x20;/etc/rc.config.d/desktop','[{\"cis\": [\"1.3.4\"]}, {\"cis_level\": [\"1\"]}]'),(30017,'Disable&#x20;email&#x20;server,&#x20;if&#x20;possible.','Disable&#x20;the&#x20;sendmail&#x20;daemon&#x20;to&#x20;avoid&#x20;processing&#x20;incoming&#x20;email.&#x20;It&#x20;is&#x20;possible&#x20;to&#x20;run&#x20;a&#x20;Unix&#x20;system&#x20;with&#x20;the&#x20;Sendmail&#x20;daemon&#x20;disabled&#x20;and&#x20;still&#x20;allow&#x20;users&#x20;on&#x20;that&#x20;system&#x20;to&#x20;send&#x20;email&#x20;out&#x20;from&#x20;that&#x20;machine.&#x20;Running&#x20;Sendmail&#x20;in&#x20;&#039;daemon&#x20;mode&#039;&#x20;&#40;with&#x20;the&#x20;-bd&#x20;command-line&#x20;option&#41;&#x20;is&#x20;only&#x20;required&#x20;on&#x20;machines&#x20;that&#x20;act&#x20;as&#x20;mail&#x20;servers,&#x20;receiving&#x20;and&#x20;processing&#x20;email&#x20;from&#x20;other&#x20;hosts&#x20;on&#x20;the&#x20;network.&#x20;The&#x20;remediation&#x20;below&#x20;will&#x20;result&#x20;in&#x20;a&#x20;machine&#x20;that&#x20;can&#x20;send&#x20;email&#x20;but&#x20;not&#x20;receive&#x20;it.&#x20;-&#x20;Note&#x20;that&#x20;after&#x20;disabling&#x20;the&#x20;-bd&#x20;option&#x20;on&#x20;the&#x20;local&#x20;mail&#x20;server&#x20;on&#x20;systems&#x20;running&#x20;Sendmail&#x20;v8.12&#x20;or&#x20;later&#x20;&#40;8.13&#x20;is&#x20;currently&#x20;shipped&#x20;as&#x20;part&#x20;of&#x20;HP-UX&#x20;11iv3&#41;,&#x20;it&#x20;is&#x20;also&#x20;necessary&#x20;to&#x20;modify&#x20;the&#x20;/etc/mail/submit.cf&#x20;file.&#x20;Find&#x20;the&#x20;line&#x20;that&#x20;reads&#x20;&#039;D{MTAHost}localhost&#039;&#x20;and&#x20;change&#x20;localhost&#x20;to&#x20;the&#x20;name&#x20;of&#x20;some&#x20;other&#x20;local&#x20;mail&#x20;server&#x20;for&#x20;the&#x20;organization.&#x20;This&#x20;will&#x20;cause&#x20;email&#x20;generated&#x20;on&#x20;the&#x20;local&#x20;system&#x20;to&#x20;be&#x20;relayed&#x20;to&#x20;that&#x20;mail&#x20;server&#x20;for&#x20;further&#x20;processing&#x20;and&#x20;delivery.&#x20;-&#x20;Note&#x20;that&#x20;if&#x20;the&#x20;system&#x20;is&#x20;an&#x20;email&#x20;server,&#x20;the&#x20;administrator&#x20;is&#x20;encouraged&#x20;to&#x20;search&#x20;the&#x20;Web&#x20;for&#x20;additional&#x20;documentation&#x20;on&#x20;Sendmail&#x20;security&#x20;issues.','Avoid&#x20;potential&#x20;vulnerabilities&#x20;in&#x20;the&#x20;sendmail&#x20;server&#x20;if&#x20;incoming&#x20;email&#x20;service&#x20;is&#x20;not&#x20;used.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;the&#x20;sendmail&#x20;server:&#x20;1.&#x20;Set&#x20;the&#x20;SENDMAIL_SERVER&#x20;parameter&#x20;to&#x20;zero&#x20;in&#x20;the&#x20;mailservs&#x20;system&#x20;configuration&#x20;file.&#x20;2.&#x20;Setup&#x20;a&#x20;cron&#x20;job&#x20;to&#x20;run&#x20;sendmail&#x20;at&#x20;regular&#x20;intervals&#x20;&#40;e.g.&#x20;every&#x20;hour&#41;&#x20;in&#x20;order&#x20;to&#x20;process&#x20;queued,&#x20;outgoing&#x20;mail.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;SENDMAIL_SERVER=0&#x20;/etc/rc.config.d/mailservs&#x20;cd&#x20;/var/spool/cron/crontabs&#x20;crontab&#x20;-l&#x20;&gt;root.tmp&#x20;echo&#x20;&#039;0&#x20;*&#x20;*&#x20;*&#x20;*&#x20;/usr/lib/sendmail&#x20;-q&#039;&#x20;&gt;&gt;root.tmp&#x20;crontab&#x20;root.tmp&#x20;rm&#x20;-f&#x20;root.tmp','[{\"cis\": [\"1.3.5\"]}, {\"cis_level\": [\"1\"]}]'),(30018,'Disable&#x20;SNMP&#x20;and&#x20;OpenView&#x20;Agents,&#x20;if&#x20;remote&#x20;management&#x20;or&#x20;monitoring&#x20;are&#x20;not&#x20;needed.','Disable&#x20;SNMP&#x20;and&#x20;OpenView&#x20;agents&#x20;if&#x20;they&#x20;are&#x20;not&#x20;needed.&#x20;Note:&#x20;If&#x20;SNMP&#x20;is&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;to&#x20;change&#x20;the&#x20;default&#x20;SNMP&#x20;community&#x20;string&#x20;by&#x20;modifying&#x20;the&#x20;get-community&#x20;and&#x20;set-community&#x20;parameters&#x20;in&#x20;the&#x20;SNMP&#x20;configuration&#x20;file&#x20;/etc/SnmpAgent.d/snmpd.conf.','If&#x20;SNMP&#x20;and&#x20;OpenView&#x20;agents&#x20;are&#x20;not&#x20;needed,&#x20;avoid&#x20;potential&#x20;security&#x20;vulnerabilities&#x20;in&#x20;these&#x20;programs&#x20;by&#x20;disabling&#x20;them.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;the&#x20;SNMP&#x20;and&#x20;OpenView&#x20;Agents:&#x20;cd&#x20;/sbin/rc2.d&#x20;mv&#x20;-f&#x20;S570SnmpFddi&#x20;.NOS570SnmpFddi&#x20;ch_rc&#x20;-a&#x20;-p&#x20;SNMP_HPUNIX_START=0&#x20;&#x20;/etc/rc.config.d/SnmpHpunix&#x20;ch_rc&#x20;-a&#x20;-p&#x20;SNMP_MASTER_START=0&#x20;&#x20;/etc/rc.config.d/SnmpMaster&#x20;ch_rc&#x20;-a&#x20;-p&#x20;SNMP_MIB2_START=0&#x20;&#x20;/etc/rc.config.d/SnmpMib2&#x20;ch_rc&#x20;-a&#x20;-p&#x20;SNMP_TRAPDEST_START=0&#x20;&#x20;/etc/rc.config.d/SnmpTrpDst&#x20;ch_rc&#x20;-a&#x20;-p&#x20;OSPFMIB=0&#x20;&#x20;/etc/rc.config.d/netdaemons&#x20;ch_rc&#x20;-a&#x20;-p&#x20;OPCAGT=0&#x20;&#x20;/etc/rc.config.d/opcagt','[{\"cis\": [\"1.3.6\"]}, {\"cis_level\": [\"1\"]}]'),(30019,'Disable&#x20;rarely&#x20;used&#x20;standard&#x20;boot&#x20;services.','Disable&#x20;other&#x20;standard&#x20;boot&#x20;services.&#x20;Setting&#x20;these&#x20;variables&#x20;in&#x20;the&#x20;/etc/rc.config.d&#x20;configuration&#x20;files&#x20;will&#x20;effectively&#x20;disable&#x20;a&#x20;wide&#x20;variety&#x20;of&#x20;infrequently&#x20;used&#x20;subsystems.&#x20;Variables&#x20;are&#x20;merely&#x20;set&#x20;&#40;rather&#x20;than&#x20;renaming&#x20;or&#x20;removing&#x20;startup&#x20;scripts&#41;&#x20;so&#x20;that&#x20;the&#x20;local&#x20;administrator&#x20;can&#x20;easily&#x20;&quot;restore&quot;&#x20;any&#x20;of&#x20;these&#x20;services&#x20;if&#x20;they&#x20;discover&#x20;a&#x20;mission-critical&#x20;need&#x20;to&#x20;have&#x20;it.&#x20;Additionally,&#x20;HP-UX&#x20;patches&#x20;tend&#x20;to&#x20;supply&#x20;fresh&#x20;copies&#x20;of&#x20;the&#x20;startup&#x20;scripts,&#x20;so&#x20;they&#x20;may&#x20;get&#x20;inadvertently&#x20;re-&#x20;enabled,&#x20;whereas&#x20;setting&#x20;configuration&#x20;variables&#x20;usually&#x20;survives&#x20;patch&#x20;installs.&#x20;Finally,&#x20;setting&#x20;configuration&#x20;variables&#x20;is&#x20;the&#x20;method&#x20;recommended&#x20;and&#x20;supported&#x20;by&#x20;HP.&#x20;Note&#x20;that&#x20;not&#x20;all&#x20;of&#x20;the&#x20;configuration&#x20;files&#x20;listed&#x20;above&#x20;will&#x20;exist&#x20;on&#x20;all&#x20;systems&#x20;&#40;some&#x20;are&#x20;only&#x20;valid&#x20;for&#x20;certain&#x20;releases,&#x20;others&#x20;only&#x20;exist&#x20;if&#x20;certain&#x20;OEM&#x20;vendor&#x20;software&#x20;is&#x20;installed&#41;.&#x20;The&#x20;rest&#x20;of&#x20;the&#x20;actions&#x20;in&#x20;this&#x20;section&#x20;give&#x20;the&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;re-enabling&#x20;certain&#x20;services&#x20;-&#x20;in&#x20;particular,&#x20;the&#x20;services&#x20;that&#x20;are&#x20;disabled&#x20;in&#x20;the&#x20;second&#x20;block&#x20;of&#x20;the&#x20;remediation&#x20;section&#x20;below.&#x20;Rather&#x20;than&#x20;disabling&#x20;and&#x20;then&#x20;re-enabling&#x20;these&#x20;services,&#x20;experienced&#x20;administrators&#x20;may&#x20;wish&#x20;to&#x20;simply&#x20;disable&#x20;only&#x20;those&#x20;services&#x20;that&#x20;they&#x20;know&#x20;are&#x20;unnecessary&#x20;for&#x20;their&#x20;systems.&#x20;Note:&#x20;that&#x20;HP-UX&#x20;11.31&#x20;was&#x20;the&#x20;first&#x20;version&#x20;to&#x20;support&#x20;disablement&#x20;of&#x20;the&#x20;NFS&#x20;core&#x20;services.&#x20;Disablement&#x20;on&#x20;earlier&#x20;versions&#x20;is&#x20;possible&#x20;by&#x20;moving&#x20;/sbin/rc2.d/S400nfs.core&#x20;to&#x20;/sbin/rc2.d/.NOS400nfs.core,&#x20;but&#x20;there&#x20;is&#x20;some&#x20;risk&#x20;of&#x20;system&#x20;instability.','Avoid&#x20;potential&#x20;security&#x20;vulnerabilities&#x20;in&#x20;infrequently&#x20;used&#x20;subsystems&#x20;by&#x20;disabling&#x20;them.','','Perform&#x20;the&#x20;following:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;START_SNAPLUS=0&#x20;-p&#x20;START_SNANODE=0&#x20;&#x20;-p&#x20;START_SNAINETD=0&#x20;/etc/rc.config.d/snaplus2&#x20;ch_rc&#x20;-a&#x20;-p&#x20;MROUTED=0&#x20;-p&#x20;RWHOD=0&#x20;-p&#x20;DDFA=0&#x20;&#x20;-p&#x20;START_RBOOTD=0&#x20;/etc/rc.config.d/netdaemons&#x20;ch_rc&#x20;-a&#x20;-p&#x20;RARPD=0&#x20;-p&#x20;RDPD=0&#x20;/etc/rc.config.d/netconf&#x20;ch_rc&#x20;-a&#x20;-p&#x20;PTYDAEMON_START=0&#x20;/etc/rc.config.d/ptydaemon&#x20;ch_rc&#x20;-a&#x20;-p&#x20;VTDAEMON_START=0&#x20;/etc/rc.config.d/vt&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NAMED=0&#x20;/etc/rc.config.d/namesvrs&#x20;ch_rc&#x20;-a&#x20;-p&#x20;START_I4LMD=0&#x20;/etc/rc.config.d/i4lmd&#x20;ch_rc&#x20;-a&#x20;-p&#x20;RUN_X_FONT_SERVER=0&#x20;/etc/rc.config.d/xfs&#x20;ch_rc&#x20;-a&#x20;-p&#x20;AUDIO_SERVER=0&#x20;/etc/rc.config.d/audio&#x20;ch_rc&#x20;-a&#x20;-p&#x20;SLSD_DAEMON=0&#x20;/etc/rc.config.d/slsd&#x20;ch_rc&#x20;-a&#x20;-p&#x20;RUN_SAMBA=0&#x20;/etc/rc.config.d/samba&#x20;ch_rc&#x20;-a&#x20;-p&#x20;RUN_CIFSCLIENT=0&#x20;&#x20;/etc/rc.config.d/cifsclient&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NFS_SERVER=0&#x20;&#x20;-p&#x20;NFS_CLIENT=0&#x20;/etc/rc.config.d/nfsconf&#x20;ch_rc&#x20;-a&#x20;-p&#x20;HPWS_APACHE_START=0&#x20;/etc/rc.config.d/hpws_apacheconf&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NFS_CORE=0&#x20;/etc/rc.config.d/nfsconf','[{\"cis\": [\"1.3.7\"]}, {\"cis_level\": [\"1\"]}]'),(30020,'Only&#x20;enable&#x20;Windows-compatibility&#x20;server&#x20;processes&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;CIFS&#x20;Server&#x20;&#40;Samba&#41;&#x20;services.&#x20;HP-UX&#x20;11i&#x20;includes&#x20;the&#x20;popular&#x20;Open&#x20;Source&#x20;Samba&#x20;server&#x20;&#40;HP-UX&#x20;CIFS&#x20;Server&#41;&#x20;for&#x20;providing&#x20;file&#x20;and&#x20;print&#x20;services&#x20;to&#x20;Windows-based&#x20;systems.&#x20;This&#x20;allows&#x20;an&#x20;HP-UX&#x20;system&#x20;to&#x20;act&#x20;as&#x20;a&#x20;file&#x20;or&#x20;print&#x20;server&#x20;on&#x20;a&#x20;Windows&#x20;network,&#x20;and&#x20;even&#x20;act&#x20;as&#x20;a&#x20;Domain&#x20;Controller&#x20;&#40;authentication&#x20;server&#41;&#x20;to&#x20;older&#x20;Windows&#x20;operating&#x20;systems.&#x20;However,&#x20;if&#x20;this&#x20;functionality&#x20;is&#x20;not&#x20;required&#x20;by&#x20;the&#x20;site,&#x20;this&#x20;service&#x20;should&#x20;be&#x20;disabled.','This&#x20;machine&#x20;provides&#x20;authentication,&#x20;file&#x20;sharing,&#x20;or&#x20;printer&#x20;sharing&#x20;services&#x20;to&#x20;systems&#x20;running&#x20;Microsoft&#x20;Windows&#x20;operating&#x20;systems.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;CIFS&#x20;Server:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;RUN_SAMBA=1&#x20;/etc/rc.config.d/samba','[{\"cis\": [\"1.3.8\"]}]'),(30021,'Only&#x20;enable&#x20;Windows-compatibility&#x20;client&#x20;processes&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;the&#x20;HP&#x20;CIFS&#x20;Client&#x20;service.','This&#x20;system&#x20;requires&#x20;access&#x20;to&#x20;file&#x20;systems&#x20;from&#x20;remote&#x20;servers&#x20;via&#x20;the&#x20;Windows&#x20;&#40;SMB&#41;&#x20;file&#x20;services.','','Perform&#x20;the&#x20;following:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;RUN_CIFSCLIENT=1&#x20;/etc/rc.config.d/cifsclient','[{\"cis\": [\"1.3.9\"]}]'),(30022,'Only&#x20;enable&#x20;NFS&#x20;server&#x20;processes&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;the&#x20;NFS&#x20;file&#x20;service.&#x20;NFS&#x20;is&#x20;frequently&#x20;exploited&#x20;to&#x20;gain&#x20;unauthorized&#x20;access&#x20;to&#x20;files&#x20;and&#x20;systems.&#x20;Clearly&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;run&#x20;the&#x20;NFS&#x20;server-related&#x20;daemons&#x20;on&#x20;hosts&#x20;that&#x20;are&#x20;not&#x20;NFS&#x20;servers.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;an&#x20;NFS&#x20;server,&#x20;the&#x20;admin&#x20;should&#x20;take&#x20;reasonable&#x20;precautions&#x20;when&#x20;exporting&#x20;file&#x20;systems,&#x20;including&#x20;restricting&#x20;NFS&#x20;access&#x20;to&#x20;a&#x20;specific&#x20;range&#x20;of&#x20;local&#x20;IP&#x20;addresses&#x20;and&#x20;exporting&#x20;file&#x20;systems&#x20;&quot;read-only&quot;&#x20;and&#x20;&quot;nosuid&quot;&#x20;where&#x20;appropriate.&#x20;For&#x20;more&#x20;information&#x20;consult&#x20;the&#x20;exportfs&#40;1M&#41;&#x20;manual&#x20;page.&#x20;Much&#x20;higher&#x20;levels&#x20;of&#x20;security&#x20;can&#x20;be&#x20;achieved&#x20;by&#x20;combining&#x20;NFS&#x20;with&#x20;secure&#x20;RPC&#x20;or&#x20;Kerberos,&#x20;although&#x20;there&#x20;is&#x20;significant&#x20;administrative&#x20;overhead&#x20;involved&#x20;in&#x20;this&#x20;transition.&#x20;Note&#x20;that&#x20;since&#x20;this&#x20;service&#x20;uses&#x20;ONC&#x20;RPC&#x20;mechanisms,&#x20;it&#x20;is&#x20;important&#x20;that&#x20;the&#x20;system&#039;s&#x20;RPC&#x20;portmapper&#x20;&#40;rpcbind&#41;&#x20;also&#x20;be&#x20;enabled&#x20;when&#x20;this&#x20;service&#x20;is&#x20;turned&#x20;on.&#x20;For&#x20;more&#x20;information&#x20;see&#x20;Item&#x20;1.3.12&#x20;below.&#x20;Also,&#x20;note&#x20;that&#x20;some&#x20;releases&#x20;of&#x20;Oracle&#x20;software&#x20;for&#x20;HP-UX&#x20;require&#x20;NFS&#x20;services&#x20;in&#x20;order&#x20;to&#x20;install&#x20;properly.&#x20;Therefore,&#x20;the&#x20;NFS&#x20;server&#x20;process&#x20;may&#x20;need&#x20;to&#x20;be&#x20;started&#x20;by&#x20;hand&#x20;on&#x20;systems&#x20;on&#x20;which&#x20;Oracle&#x20;software&#x20;is&#x20;to&#x20;be&#x20;installed/updated.&#x20;This&#x20;can&#x20;be&#x20;accomplished&#x20;by&#x20;performing&#x20;the&#x20;following:&#x20;1.&#x20;Temporarily&#x20;set&#x20;NFS_SERVER=1,&#x20;/etc/rc.config.d/nfsconf&#x20;2.&#x20;Execute:&#x20;&#x20;/sbin/init.d/nfs.core&#x20;start&#x20;/sbin/init.d/nfs.server&#x20;start&#x20;3.&#x20;Install&#x20;Oracle&#x20;4.&#x20;Stop&#x20;the&#x20;NFS&#x20;services:&#x20;&#x20;/sbin/init.d/nfs.core&#x20;stop&#x20;/sbin/init.d/nfs.server&#x20;stop&#x20;5.&#x20;Disable&#x20;the&#x20;NFS&#x20;services&#x20;by&#x20;resetting&#x20;NFS_SERVER=0,&#x20;NUM_NFSD=0,&#x20;and&#x20;NUM_NFSIOD=0&#x20;in&#x20;/etc/rc.config.d/nfsconf.','This&#x20;machine&#x20;is&#x20;a&#x20;NFS&#x20;file&#x20;server.','','Perform&#x20;the&#x20;following:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NFS_SERVER=1&#x20;/etc/rc.config.d/nfsconf','[{\"cis\": [\"1.3.10\"]}]'),(30023,'Only&#x20;enable&#x20;NFS&#x20;client&#x20;processes&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;the&#x20;NFS&#x20;Client&#x20;service.&#x20;Again,&#x20;unless&#x20;there&#x20;is&#x20;a&#x20;significant&#x20;need&#x20;for&#x20;this&#x20;system&#x20;to&#x20;acquire&#x20;data&#x20;via&#x20;NFS,&#x20;administrators&#x20;should&#x20;disable&#x20;NFS-related&#x20;services.&#x20;Note&#x20;that&#x20;other&#x20;file&#x20;transfer&#x20;schemes&#x20;&#40;such&#x20;as&#x20;rdist&#x20;via&#x20;SSH&#41;&#x20;can&#x20;often&#x20;be&#x20;more&#x20;secure&#x20;than&#x20;NFS&#x20;for&#x20;certain&#x20;applications,&#x20;although&#x20;again&#x20;the&#x20;use&#x20;of&#x20;secure&#x20;RPC&#x20;or&#x20;Kerberos&#x20;can&#x20;significantly&#x20;improve&#x20;NFS&#x20;security.&#x20;Also&#x20;note&#x20;that&#x20;if&#x20;the&#x20;machine&#x20;will&#x20;be&#x20;an&#x20;NFS&#x20;client,&#x20;then&#x20;the&#x20;rpcbind&#x20;process&#x20;must&#x20;be&#x20;running&#x20;&#40;see&#x20;Item&#x20;3.12&#x20;below&#41;.&#x20;-&#x20;Note&#x20;that&#x20;since&#x20;this&#x20;service&#x20;uses&#x20;ONC&#x20;RPC&#x20;mechanisms,&#x20;it&#x20;is&#x20;important&#x20;that&#x20;the&#x20;system&#039;s&#x20;RPC&#x20;portmapper&#x20;&#40;rpcbind&#41;&#x20;also&#x20;be&#x20;enabled&#x20;when&#x20;this&#x20;service&#x20;is&#x20;turned&#x20;on.&#x20;For&#x20;more&#x20;information&#x20;see&#x20;Item&#x20;3.12&#x20;below.','This&#x20;system&#x20;must&#x20;access&#x20;file&#x20;systems&#x20;from&#x20;remote&#x20;servers&#x20;via&#x20;NFS.','','Perform&#x20;the&#x20;following:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NFS_CLIENT=1&#x20;/etc/rc.config.d/nfsconf','[{\"cis\": [\"1.3.11\"]}]'),(30024,'Only&#x20;enable&#x20;RPC-based&#x20;services&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;RPC-based&#x20;services.&#x20;RPC-based&#x20;services&#x20;typically&#x20;use&#x20;very&#x20;weak&#x20;or&#x20;non-existent&#x20;authentication&#x20;and&#x20;yet&#x20;may&#x20;share&#x20;very&#x20;sensitive&#x20;information.&#x20;Unless&#x20;one&#x20;of&#x20;the&#x20;services&#x20;listed&#x20;above&#x20;is&#x20;required&#x20;on&#x20;this&#x20;machine,&#x20;it&#x20;is&#x20;best&#x20;to&#x20;disable&#x20;RPC-based&#x20;tools&#x20;completely.&#x20;If&#x20;you&#x20;are&#x20;unsure&#x20;whether&#x20;or&#x20;not&#x20;a&#x20;particular&#x20;third-party&#x20;application&#x20;requires&#x20;RPC&#x20;services,&#x20;consult&#x20;with&#x20;the&#x20;application&#x20;vendor.&#x20;Note&#x20;that&#x20;disabling&#x20;this&#x20;service&#x20;by&#x20;renaming&#x20;the&#x20;startup&#x20;file&#x20;may&#x20;not&#x20;survive&#x20;the&#x20;install&#x20;of&#x20;RPC-related&#x20;patches.','RPC-based&#x20;services&#x20;are&#x20;used&#x20;such&#x20;as:&#x20;-&#x20;This&#x20;machine&#x20;is&#x20;an&#x20;NFS&#x20;client&#x20;or&#x20;server.&#x20;-&#x20;This&#x20;machine&#x20;is&#x20;an&#x20;NIS&#x20;&#40;YP&#41;&#x20;or&#x20;NIS+&#x20;client&#x20;or&#x20;server.&#x20;-&#x20;This&#x20;machine&#x20;runs&#x20;a&#x20;GUI&#x20;or&#x20;GUI-based&#x20;administration&#x20;tool.&#x20;-&#x20;The&#x20;machine&#x20;runs&#x20;a&#x20;third-party&#x20;software&#x20;application&#x20;which&#x20;is&#x20;dependent&#x20;on&#x20;RPC&#x20;support&#x20;&#40;example:&#x20;FlexLM&#x20;License&#x20;managers&#41;.','','Perform&#x20;the&#x20;following&#x20;for&#x20;11.31&#x20;and&#x20;later:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NFS_CORE=1&#x20;/etc/rc.config.d/nfsconf&#x20;For&#x20;11.23&#x20;and&#x20;prior:&#x20;&#x20;mv&#x20;-f&#x20;/sbin/rc2.d/.NOS400nfs.core&#x20;&#x20;/sbin/rc2.d/400nfs.core','[{\"cis\": [\"1.3.12\"]}]'),(30025,'Only&#x20;enable&#x20;Web&#x20;server&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;the&#x20;Web&#x20;server&#x20;suite.&#x20;Even&#x20;if&#x20;this&#x20;machine&#x20;is&#x20;a&#x20;Web&#x20;server,&#x20;the&#x20;local&#x20;site&#x20;may&#x20;choose&#x20;not&#x20;to&#x20;use&#x20;the&#x20;Web&#x20;server&#x20;provided&#x20;with&#x20;HP-UX&#x20;in&#x20;favor&#x20;of&#x20;a&#x20;locally&#x20;developed&#x20;and&#x20;supported&#x20;Web&#x20;environment.&#x20;If&#x20;the&#x20;machine&#x20;is&#x20;a&#x20;Web&#x20;server,&#x20;the&#x20;administrator&#x20;is&#x20;encouraged&#x20;to&#x20;search&#x20;the&#x20;Web&#x20;for&#x20;additional&#x20;documentation&#x20;on&#x20;Web&#x20;server&#x20;security.&#x20;A&#x20;good&#x20;starting&#x20;point&#x20;is&#x20;http://httpd.apache.org/docs-2.0/misc/security_tips.html.&#x20;Note&#x20;that&#x20;this&#x20;action&#x20;only&#x20;disables&#x20;the&#x20;default&#x20;web&#x20;server&#x20;shipped&#x20;with&#x20;the&#x20;system.&#x20;Other&#x20;webservers&#x20;instances&#x20;may&#x20;still&#x20;be&#x20;running.','There&#x20;is&#x20;a&#x20;mission-critical&#x20;reason&#x20;why&#x20;this&#x20;system&#x20;must&#x20;run&#x20;a&#x20;Web&#x20;server.','','Perform&#x20;the&#x20;following:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NS_FTRACK=1&#x20;/etc/rc.config.d/ns-ftrack&#x20;ch_rc&#x20;-a&#x20;-p&#x20;APACHE_START=1&#x20;/etc/rc.config.d/apacheconf&#x20;ch_rc&#x20;-a&#x20;-p&#x20;HPWS_APACHE32_START=1&#x20;/etc/rc.config.d/hpws_apache32conf&#x20;ch_rc&#x20;-a&#x20;-p&#x20;HPWS_TOMCAT_START=1&#x20;/etc/rc.config.d/hpws_tomcatconf&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NS_FTRACK=1&#x20;/etc/rc.config.d/ns-ftrack&#x20;ch_rc&#x20;-a&#x20;-p&#x20;HPWS_WEBMIN_START=1&#x20;/etc/rc.config.d/hpws_webminconf','[{\"cis\": [\"1.3.13\"]}]'),(30026,'Only&#x20;enable&#x20;BIND&#x20;DNS&#x20;server&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;the&#x20;BIND&#x20;DNS&#x20;service.&#x20;The&#x20;BIND&#x20;DNS&#x20;server,&#x20;or&#x20;named,&#x20;maps&#x20;IP&#x20;addresses&#x20;to&#x20;hostnames&#x20;across&#x20;the&#x20;Internet&#x20;and&#x20;supplies&#x20;these&#x20;services&#x20;to&#x20;other&#x20;hosts&#x20;on&#x20;the&#x20;local&#x20;local&#x20;network.&#x20;Though&#x20;it&#x20;has&#x20;been&#x20;widely&#x20;implemented,&#x20;BIND&#x20;has&#x20;a&#x20;long&#x20;history&#x20;of&#x20;security&#x20;flaws,&#x20;especially&#x20;in&#x20;the&#x20;BIND&#x20;8.x&#x20;release&#x20;tree&#x20;generally&#x20;shipped&#x20;with&#x20;HP-UX&#x20;11.x&#x20;systems.&#x20;Therefore,&#x20;if&#x20;you&#x20;are&#x20;going&#x20;to&#x20;run&#x20;BIND,&#x20;you&#x20;should&#x20;strongly&#x20;consider&#x20;moving&#x20;to&#x20;the&#x20;BIND&#x20;9.x&#x20;release-tree.&#x20;HP&#x20;has&#x20;supported&#x20;BIND&#x20;9&#x20;packages&#x20;available&#x20;from&#x20;http://software.hp.com/portal/swdepot/displayProductInfo.do?productNumber=BIND9.2&#x20;.&#x20;Or&#x20;it&#x20;is&#x20;available&#x20;directly&#x20;from&#x20;the&#x20;Internet&#x20;Software&#x20;Consortium&#x20;&#40;the&#x20;developers&#x20;of&#x20;BIND&#41;,&#x20;whose&#x20;website&#x20;is&#x20;at&#x20;http://www.isc.org.','There&#x20;exists&#x20;a&#x20;mission-critical&#x20;reason&#x20;why&#x20;this&#x20;system&#x20;must&#x20;run&#x20;a&#x20;DNS&#x20;server.','','Perform&#x20;the&#x20;following:&#x20;11.23&#x20;and&#x20;prior:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NAMED=1&#x20;/etc/rc.config.d/namesvrs&#x20;11.31&#x20;and&#x20;later:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NAMED=1&#x20;/etc/rc.config.d/namesvrs_dns','[{\"cis\": [\"1.3.14\"]}]'),(30027,'Enable&#x20;stack&#x20;protection.','Enabling&#x20;stack&#x20;protection&#x20;prevents&#x20;certain&#x20;classes&#x20;of&#x20;buffer&#x20;overflow&#x20;attacks&#x20;and&#x20;is&#x20;a&#x20;significant&#x20;security&#x20;enhancement.&#x20;-&#x20;Note&#x20;that&#x20;HP-UX&#x20;11i&#x20;is&#x20;much&#x20;more&#x20;capable&#x20;in&#x20;this&#x20;and&#x20;other&#x20;security&#x20;areas&#x20;than&#x20;older&#x20;releases;&#x20;therefore,&#x20;administrators&#x20;should&#x20;strongly&#x20;consider&#x20;upgrading&#x20;from&#x20;older&#x20;releases.&#x20;-&#x20;Note&#x20;that&#x20;this&#x20;action&#x20;requires&#x20;a&#x20;subsequent&#x20;reboot&#x20;to&#x20;take&#x20;effect&#x20;in&#x20;some&#x20;versions&#x20;of&#x20;HP-UX.','Buffer&#x20;overflow&#x20;exploits&#x20;have&#x20;been&#x20;the&#x20;basis&#x20;for&#x20;many&#x20;of&#x20;the&#x20;recent&#x20;highly&#x20;publicized&#x20;compromises&#x20;and&#x20;defacements&#x20;of&#x20;large&#x20;numbers&#x20;of&#x20;Internet&#x20;connected&#x20;systems.&#x20;Many&#x20;of&#x20;the&#x20;automated&#x20;tools&#x20;in&#x20;use&#x20;by&#x20;system&#x20;crackers&#x20;exploit&#x20;well-known&#x20;buffer&#x20;overflow&#x20;problems&#x20;in&#x20;vendor-supplied&#x20;and&#x20;third-party&#x20;software.&#x20;Enabling&#x20;stack&#x20;protection&#x20;prevents&#x20;certain&#x20;classes&#x20;of&#x20;buffer&#x20;overflow&#x20;attacks&#x20;and&#x20;is&#x20;a&#x20;significant&#x20;security&#x20;enhancement.','','For&#x20;11i&#x20;v2&#x20;and&#x20;later:&#x20;kctune&#x20;-K&#x20;executable_stack=0&#x20;For&#x20;11i&#x20;v1:&#x20;/usr/sbin/kmtune&#x20;-s&#x20;executable_stack=0&#x20;&amp;&amp;&#x20;mk_kernel&#x20;&amp;&amp;&#x20;kmupdate','[{\"cis\": [\"1.4.1\"]}, {\"cis_level\": [\"1\"]}]'),(30028,'Network&#x20;parameter&#x20;modifications.','Modify&#x20;the&#x20;network&#x20;parameter&#x20;boot&#x20;configuration&#x20;file&#x20;to&#x20;meet&#x20;current&#x20;best&#x20;practices.&#x20;Note:&#x20;HP-UX&#x20;11.11&#x20;systems&#x20;require&#x20;patch&#x20;PHNE_25644&#x20;for&#x20;ndd&#x20;to&#x20;set&#x20;arp_cleanup_interval&#x20;from&#x20;/etc/rc.config.d/nddconf.&#x20;-&#x20;Bastille&#x20;Note:&#x20;Bastille&#x20;performs&#x20;a&#x20;similar&#x20;action&#x20;but&#x20;does&#x20;not&#x20;support&#x20;the&#x20;exact&#x20;same&#x20;changes.','Network&#x20;parameter&#x20;default&#x20;values&#x20;should&#x20;align&#x20;with&#x20;current&#x20;best&#x20;practices&#x20;unless&#x20;there&#x20;is&#x20;a&#x20;specific&#x20;need&#x20;to&#x20;use&#x20;other&#x20;values.','','Perform&#x20;the&#x20;following&#x20;to&#x20;update&#x20;the&#x20;default&#x20;network&#x20;parameter&#x20;values:&#x20;1.&#x20;Change&#x20;to&#x20;the&#x20;/etc/rc.config.d&#x20;directory&#x20;2.&#x20;Open&#x20;nddconf&#x20;and&#x20;review&#x20;the&#x20;comment&#x20;lines&#x20;on&#x20;how&#x20;to&#x20;use&#x20;the&#x20;configuration&#x20;file&#x20;3.&#x20;Set&#x20;each&#x20;of&#x20;the&#x20;following&#x20;network&#x20;parameters&#x20;to&#x20;the&#x20;recommended&#x20;value.&#x20;If&#x20;a&#x20;parameter&#x20;does&#x20;not&#x20;have&#x20;an&#x20;entry&#x20;in&#x20;nddconf&#x20;then&#x20;add&#x20;a&#x20;new&#x20;entry&#x20;to&#x20;the&#x20;end&#x20;of&#x20;the&#x20;file&#x20;while&#x20;properly&#x20;incrementing&#x20;the&#x20;parameter&#x20;index.&#x20;4.&#x20;Save&#x20;nddconf.&#x20;-&#x20;If&#x20;creating&#x20;this&#x20;file&#x20;for&#x20;the&#x20;first&#x20;time:&#x20;1.&#x20;Set&#x20;root&#x20;as&#x20;the&#x20;owner&#x20;of&#x20;nddconf.&#x20;2.&#x20;Set&#x20;sys&#x20;as&#x20;the&#x20;group&#x20;owner&#x20;of&#x20;nddconf.&#x20;3.&#x20;Restrict&#x20;write&#x20;access&#x20;to&#x20;nddconf&#x20;to&#x20;the&#x20;file&#x20;owner.&#x20;4.&#x20;Remove&#x20;the&#x20;executable&#x20;and&#x20;sticky&#x20;bit&#x20;from&#x20;nddconf.&#x20;If&#x20;the&#x20;existing&#x20;nddconf&#x20;file&#x20;contains&#x20;no&#x20;entries,&#x20;then&#x20;the&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;cd&#x20;/etc/rc.config.d&#x20;cat&#x20;&lt;&lt;EOF&#x20;&gt;&#x20;nddconf&#x20;#&#x20;Increase&#x20;size&#x20;of&#x20;half-open&#x20;connection&#x20;queue&#x20;TRANSPORT_NAME[0]=tcp&#x20;NDD_NAME[0]=tcp_syn_rcvd_max&#x20;NDD_VALUE[0]=4096&#x20;#&#x20;Reduce&#x20;timeouts&#x20;on&#x20;ARP&#x20;cache&#x20;TRANSPORT_NAME[1]=arp&#x20;NDD_NAME[1]=arp_cleanup_interval&#x20;NDD_VALUE[1]=60000&#x20;#&#x20;Drop&#x20;source-routed&#x20;packets&#x20;TRANSPORT_NAME[2]=ip&#x20;NDD_NAME[2]=ip_forward_src_routed&#x20;NDD_VALUE[2]=0&#x20;#&#x20;Don&#039;t&#x20;forward&#x20;directed&#x20;broadcasts&#x20;TRANSPORT_NAME[3]=ip&#x20;NDD_NAME[3]=ip_forward_directed_broadcasts&#x20;NDD_VALUE[3]=0&#x20;#&#x20;Don&#039;t&#x20;respond&#x20;to&#x20;unicast&#x20;ICMP&#x20;timestamp&#x20;requests&#x20;TRANSPORT_NAME[4]=ip&#x20;NDD_NAME[4]=ip_respond_to_timestamp&#x20;NDD_VALUE[4]=0&#x20;#&#x20;Don&#039;t&#x20;respond&#x20;to&#x20;broadcast&#x20;ICMP&#x20;tstamp&#x20;reqs&#x20;TRANSPORT_NAME[5]=ip&#x20;NDD_NAME[5]=ip_respond_to_timestamp_broadcast&#x20;NDD_VALUE[5]=0&#x20;#&#x20;Don&#039;t&#x20;respond&#x20;to&#x20;ICMP&#x20;address&#x20;mask&#x20;requests&#x20;TRANSPORT_NAME[6]=ip&#x20;NDD_NAME[6]=ip_respond_to_address_mask_broadcast&#x20;NDD_VALUE[6]=0&#x20;#&#x20;Don‟t&#x20;respond&#x20;to&#x20;broadcast&#x20;echo&#x20;requests&#x20;TRANSPORT_NAME[7]=ip&#x20;NDD_NAME[7]=ip_respond_to_echo_broadcast&#x20;NDD_VALUE[7]=0&#x20;EOF&#x20;chown&#x20;root:sys&#x20;nddconf&#x20;chmod&#x20;go-w,ug-s&#x20;nddconf','[{\"cis\": [\"1.4.2\"]}, {\"cis_level\": [\"1\"]}]'),(30029,'Use&#x20;more&#x20;random&#x20;TCP&#x20;sequence&#x20;numbers.','Generate&#x20;initial&#x20;TCP&#x20;sequence&#x20;numbers&#x20;that&#x20;comply&#x20;with&#x20;RFC1948.&#x20;-&#x20;Note:&#x20;In&#x20;HP-UX&#x20;11i&#x20;v1&#x20;and&#x20;later,&#x20;an&#x20;algorithm&#x20;largely&#x20;compliant&#x20;with&#x20;RFC1948&#x20;is&#x20;already&#x20;used.&#x20;However,&#x20;setting&#x20;the&#x20;isn&#x20;passphrase&#x20;closes&#x20;the&#x20;small&#x20;remaining&#x20;gap,&#x20;and&#x20;adds&#x20;entropy&#x20;to&#x20;the&#x20;seed.','Makes&#x20;remote&#x20;off-net&#x20;session&#x20;hijacking&#x20;attacks&#x20;more&#x20;difficult.','','Perform&#x20;the&#x20;following&#x20;to&#x20;use&#x20;more&#x20;random&#x20;TCP&#x20;sequence&#x20;numbers&#x20;upon&#x20;system&#x20;startup:&#x20;1.&#x20;Create/open&#x20;the&#x20;file&#x20;/sbin/rc2.d/S999tcpisn&#x20;2.&#x20;Add&#x20;the&#x20;following&#x20;line:&#x20;ndd&#x20;-set&#x20;/dev/tcp&#x20;tcp_isn_passprase=&lt;random&#x20;string&gt;&#x20;replacing&#x20;&lt;random&#x20;string&gt;&#x20;with&#x20;a&#x20;string&#x20;of&#x20;random&#x20;characters.&#x20;3.&#x20;Save&#x20;the&#x20;file.&#x20;4.&#x20;Set&#x20;root&#x20;as&#x20;the&#x20;owner&#x20;and&#x20;bin&#x20;as&#x20;the&#x20;group&#x20;owner&#x20;of&#x20;the&#x20;file.&#x20;5.&#x20;Restrict&#x20;write&#x20;access&#x20;to&#x20;the&#x20;file.&#x20;6.&#x20;Set&#x20;the&#x20;execution&#x20;bit&#x20;for&#x20;the&#x20;file.','[{\"cis\": [\"1.4.3\"]}, {\"cis_level\": [\"1\"]}]'),(30030,'Additional&#x20;network&#x20;parameter&#x20;modifications.','Configure&#x20;networking&#x20;to&#x20;NOT&#x20;forward&#x20;TCP/IP&#x20;packets&#x20;between&#x20;multiple&#x20;networks,&#x20;even&#x20;if&#x20;the&#x20;machine&#x20;has&#x20;multiple&#x20;network&#x20;adapters&#x20;connected&#x20;to&#x20;multiple&#x20;networks.','System&#x20;is&#x20;not&#x20;going&#x20;to&#x20;be&#x20;used&#x20;as&#x20;a&#x20;firewall&#x20;or&#x20;gateway&#x20;to&#x20;pass&#x20;network&#x20;traffic&#x20;between&#x20;different&#x20;networks.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;forwarding&#x20;TCP/IP&#x20;packets&#x20;between&#x20;networks:&#x20;1.&#x20;Change&#x20;to&#x20;the&#x20;/etc/rc.config.d&#x20;directory&#x20;2.&#x20;Open&#x20;nddconf&#x20;and&#x20;review&#x20;the&#x20;comment&#x20;lines&#x20;on&#x20;how&#x20;to&#x20;use&#x20;the&#x20;configuration&#x20;file&#x20;3.&#x20;Set&#x20;each&#x20;of&#x20;the&#x20;following&#x20;network&#x20;parameters&#x20;to&#x20;the&#x20;recommended&#x20;value.&#x20;If&#x20;a&#x20;parameter&#x20;does&#x20;not&#x20;have&#x20;an&#x20;entry&#x20;in&#x20;nddconf&#x20;then&#x20;add&#x20;a&#x20;new&#x20;entry&#x20;to&#x20;the&#x20;end&#x20;of&#x20;the&#x20;file&#x20;while&#x20;properly&#x20;incrementing&#x20;the&#x20;parameter&#x20;index.&#x20;4.&#x20;Save&#x20;nddconf.&#x20;If&#x20;creating&#x20;this&#x20;file&#x20;for&#x20;the&#x20;first&#x20;time:&#x20;5.&#x20;Set&#x20;root&#x20;as&#x20;the&#x20;owner&#x20;of&#x20;nddconf.&#x20;6.&#x20;Set&#x20;sys&#x20;as&#x20;the&#x20;group&#x20;owner&#x20;of&#x20;nddconf.&#x20;7.&#x20;Restrict&#x20;write&#x20;access&#x20;to&#x20;nddconf&#x20;to&#x20;the&#x20;file&#x20;owner.&#x20;8.&#x20;Remove&#x20;the&#x20;executable&#x20;and&#x20;sticky&#x20;bit&#x20;from&#x20;nddconf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure&#x20;properly&#x20;if&#x20;used&#x20;as&#x20;a&#x20;follow-on&#x20;from&#x20;the&#x20;script&#x20;in&#x20;item&#x20;1.4.2:&#x20;cat&#x20;&lt;&lt;EOF&#x20;&gt;&gt;&#x20;/etc/rc.config.d/nddconf&#x20;#&#x20;Don‟t&#x20;act&#x20;as&#x20;a&#x20;router&#x20;TRANSPORT_NAME[8]=ip&#x20;NDD_NAME[8]=ip_forwarding&#x20;NDD_VALUE[8]=0&#x20;TRANSPORT_NAME[9]=ip&#x20;NDD_NAME[9]=ip_send_redirects&#x20;NDD_VALUE[9]=0&#x20;EOF','[{\"cis\": [\"1.4.4\"]}, {\"cis_level\": [\"1\"]}]'),(30032,'Enable&#x20;Hidden&#x20;Passwords.','Enable&#x20;hidden&#x20;passwords&#x20;by&#x20;converting&#x20;the&#x20;system&#x20;to&#x20;a&#x20;Trusted&#x20;System&#x20;or&#x20;to&#x20;use&#x20;Shadow&#x20;Passwords.&#x20;-&#x20;Note:&#x20;do&#x20;not&#x20;perform&#x20;this&#x20;if&#x20;the&#x20;system&#x20;runs&#x20;applications&#x20;that&#x20;read&#x20;the&#x20;encrypted&#x20;password&#x20;entries&#x20;in&#x20;/etc/passwd&#x20;directly.','Without&#x20;hidden&#x20;passwords,&#x20;an&#x20;intruder&#x20;could&#x20;use&#x20;any&#x20;user&#039;s&#x20;account&#x20;to&#x20;obtain&#x20;hashed&#x20;passwords&#x20;and&#x20;use&#x20;crack&#x20;or&#x20;similar&#x20;utilities&#x20;to&#x20;find&#x20;easily&#x20;guessed&#x20;passwords.&#x20;Password&#x20;aging&#x20;&#40;covered&#x20;in&#x20;item&#x20;1.8.3&#41;&#x20;ensures&#x20;that&#x20;users&#x20;change&#x20;their&#x20;passwords&#x20;on&#x20;a&#x20;regular&#x20;basis&#x20;and&#x20;helps&#x20;stop&#x20;the&#x20;use&#x20;of&#x20;stolen&#x20;passwords.','','Perform&#x20;one&#x20;of&#x20;the&#x20;following&#x20;to&#x20;convert&#x20;the&#x20;system&#x20;to&#x20;trusted&#x20;mode&#x20;or&#x20;shadowed&#x20;mode:&#x20;A.&#x20;Use&#x20;the&#x20;system&#x20;management&#x20;program&#x20;smh&#x20;or&#x20;sam&#x20;to&#x20;convert&#x20;to&#x20;a&#x20;trusted&#x20;system&#x20;-or-&#x20;B.&#x20;Use&#x20;the&#x20;command&#x20;pwconv&#x20;to&#x20;convert&#x20;to&#x20;shadowed&#x20;passwords.','[{\"cis\": [\"1.6.1\"]}, {\"cis_level\": [\"1\"]}]'),(30033,'Restrict&#x20;users&#x20;who&#x20;can&#x20;access&#x20;to&#x20;FTP.','Configure&#x20;FTP&#x20;to&#x20;prevent&#x20;certain&#x20;users&#x20;from&#x20;accessing&#x20;the&#x20;system&#x20;via&#x20;FTP.&#x20;The&#x20;file&#x20;ftpusers&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;users&#x20;who&#x20;are&#x20;not&#x20;allowed&#x20;to&#x20;access&#x20;the&#x20;system&#x20;via&#x20;FTP.&#x20;Generally,&#x20;only&#x20;normal&#x20;users&#x20;should&#x20;ever&#x20;access&#x20;the&#x20;system&#x20;via&#x20;FTP&#x20;-&#x20;there&#x20;should&#x20;be&#x20;no&#x20;reason&#x20;for&#x20;&#039;system&#039;&#x20;type&#x20;accounts&#x20;to&#x20;be&#x20;transferring&#x20;information&#x20;via&#x20;this&#x20;mechanism.&#x20;Certainly,&#x20;the&#x20;root&#x20;account&#x20;should&#x20;never&#x20;be&#x20;allowed&#x20;to&#x20;transfer&#x20;files&#x20;directly&#x20;via&#x20;FTP.&#x20;-&#x20;Note:&#x20;more&#x20;fine-grained&#x20;FTP&#x20;access&#x20;controls&#x20;can&#x20;be&#x20;placed&#x20;in&#x20;/etc/ftpd/ftpaccess.','Privileged&#x20;users&#x20;such&#x20;as&#x20;root&#x20;and&#x20;other&#x20;&#039;system&#039;&#x20;type&#x20;accounts&#x20;should&#x20;never&#x20;be&#x20;transferring&#x20;information&#x20;via&#x20;such&#x20;an&#x20;insecure&#x20;service&#x20;as&#x20;FTP.','','Perform&#x20;the&#x20;following&#x20;to&#x20;restrict&#x20;default&#x20;priviledged&#x20;users&#x20;from&#x20;access&#x20;to&#x20;FTP:&#x20;1.&#x20;Add&#x20;the&#x20;users&#x20;root&#x20;daemon&#x20;bin&#x20;sys&#x20;adm&#x20;lp&#x20;uucp&#x20;nuucp&#x20;nobody&#x20;hpdb&#x20;useradm&#x20;to&#x20;the&#x20;file&#x20;/etc/ftpd/ftpusers&#x20;&#40;each&#x20;user&#x20;on&#x20;a&#x20;single&#x20;line&#41;.&#x20;2.&#x20;Set&#x20;the&#x20;file&#x20;owner&#x20;and&#x20;group&#x20;owner&#x20;to&#x20;the&#x20;user&#x20;bin.&#x20;3.&#x20;Set&#x20;the&#x20;file&#x20;permissions&#x20;so&#x20;that&#x20;only&#x20;the&#x20;file&#x20;owner&#x20;has&#x20;read&#x20;or&#x20;write&#x20;perms&#x20;and&#x20;no&#x20;user&#x20;has&#x20;execute&#x20;permission&#x20;&#40;600&#41;.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;create&#x20;and&#x20;populate&#x20;the&#x20;ftpusers&#x20;file&#x20;as&#x20;described&#x20;above:&#x20;for&#x20;name&#x20;in&#x20;root&#x20;daemon&#x20;bin&#x20;sys&#x20;adm&#x20;lp&#x20;&#x20;uucp&#x20;nuucp&#x20;nobody&#x20;hpdb&#x20;useradm&#x20;do&#x20;echo&#x20;$name&#x20;done&#x20;&gt;&gt;&#x20;$ftpusers&#x20;sort&#x20;-u&#x20;$ftpusers&#x20;&gt;&#x20;$ftpusers.tmp&#x20;cp&#x20;$ftpusers.tmp&#x20;$ftpusers&#x20;rm&#x20;-f&#x20;$ftpusers.tmp&#x20;chown&#x20;bin:bin&#x20;$ftpusers&#x20;chmod&#x20;600&#x20;$ftpusers','[{\"cis\": [\"1.6.2\"]}, {\"cis_level\": [\"1\"]}]'),(30034,'Prevent&#x20;Syslog&#x20;from&#x20;accepting&#x20;messages&#x20;from&#x20;the&#x20;network.','Prevent&#x20;syslogd&#x20;from&#x20;accepting&#x20;messages&#x20;from&#x20;the&#x20;network.&#x20;By&#x20;default&#x20;the&#x20;system&#x20;logging&#x20;daemon,&#x20;syslogd,&#x20;listens&#x20;for&#x20;log&#x20;messages&#x20;from&#x20;other&#x20;systems&#x20;on&#x20;network&#x20;port&#x20;514/udp.&#x20;Unfortunately,&#x20;the&#x20;protocol&#x20;used&#x20;to&#x20;transfer&#x20;these&#x20;messages&#x20;does&#x20;not&#x20;include&#x20;any&#x20;form&#x20;of&#x20;authentication,&#x20;so&#x20;a&#x20;malicious&#x20;outsider&#x20;could&#x20;simply&#x20;barrage&#x20;the&#x20;local&#x20;system&#039;s&#x20;Syslog&#x20;port&#x20;with&#x20;spurious&#x20;traffic&mdash;either&#x20;as&#x20;a&#x20;denial-of-service&#x20;attack&#x20;on&#x20;the&#x20;system,&#x20;or&#x20;to&#x20;fill&#x20;up&#x20;the&#x20;local&#x20;system&#039;s&#x20;logging&#x20;file&#x20;systems&#x20;so&#x20;that&#x20;subsequent&#x20;attacks&#x20;will&#x20;not&#x20;be&#x20;logged.&#x20;-&#x20;Note:&#x20;Do&#x20;not&#x20;perform&#x20;this&#x20;action&#x20;if&#x20;this&#x20;machine&#x20;is&#x20;a&#x20;log&#x20;server,&#x20;or&#x20;needs&#x20;to&#x20;receive&#x20;Syslog&#x20;messages&#x20;via&#x20;the&#x20;network&#x20;from&#x20;other&#x20;systems.&#x20;-&#x20;Note:&#x20;It&#x20;is&#x20;considered&#x20;good&#x20;practice&#x20;to&#x20;setup&#x20;one&#x20;or&#x20;more&#x20;machines&#x20;as&#x20;central&#x20;&#039;log&#x20;servers&#039;&#x20;to&#x20;aggregate&#x20;log&#x20;traffic&#x20;from&#x20;all&#x20;machines&#x20;at&#x20;a&#x20;site.&#x20;However,&#x20;unless&#x20;a&#x20;system&#x20;is&#x20;set&#x20;up&#x20;to&#x20;be&#x20;one&#x20;of&#x20;these&#x20;&#039;log&#x20;server&#039;&#x20;systems,&#x20;it&#x20;should&#x20;not&#x20;be&#x20;listening&#x20;on&#x20;514/udp&#x20;for&#x20;incoming&#x20;log&#x20;messages.','Disabling&#x20;unused&#x20;network&#x20;services&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surfaces&#x20;of&#x20;the&#x20;hosting&#x20;system.','','Disable&#x20;the&#x20;syslog&#x20;network&#x20;option&#x20;by&#x20;doing&#x20;the&#x20;following:&#x20;1.&#x20;Open&#x20;the&#x20;syslogd&#x20;startup&#x20;configuration&#x20;file&#x20;/etc/rc.config.d/syslogd&#x20;2.&#x20;Add&#x20;the&#x20;parameter&#x20;&quot;-N&quot;&#x20;to&#x20;the&#x20;SYSLOGD_OPTS=&#x20;line&#x20;if&#x20;it&#x20;is&#x20;not&#x20;already&#x20;present&#x20;3.&#x20;Save&#x20;and&#x20;close&#x20;the&#x20;file.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;SYSLOGD_OPTS=&quot;`sh&#x20;-c&#x20;&quot;.&#x20;/etc/rc.config.d/syslogd&#x20;;&#x20;&#x20;echo&#x20;&quot;$SYSLOGD_OPTS&quot;&#039;`&quot;&#x20;if&#x20;[[&#x20;&quot;$SYSLOGD_OPTS&quot;&#x20;=&#x20;*-N*&#x20;]];&#x20;then&#x20;ch_rc&#x20;-a&#x20;-p&#x20;SYSLOGD_OPTS=&quot;-N&#x20;$SYSLOGD_OPTS&quot;&#x20;&#x20;/etc/rc.config.d/syslogd&#x20;fi','[{\"cis\": [\"1.6.3\"]}, {\"cis_level\": [\"1\"]}]'),(30035,'Disable&#x20;XDMCP&#x20;port.','Disable&#x20;the&#x20;XDMCP&#x20;port&#x20;for&#x20;remote&#x20;login&#x20;services.&#x20;The&#x20;standard&#x20;GUI&#x20;login&#x20;provided&#x20;on&#x20;most&#x20;Unix&#x20;systems&#x20;can&#x20;act&#x20;as&#x20;a&#x20;remote&#x20;login&#x20;server&#x20;to&#x20;other&#x20;devices&#x20;&#40;including&#x20;X&#x20;terminals&#x20;and&#x20;other&#x20;workstations&#41;.&#x20;Access&#x20;control&#x20;is&#x20;handled&#x20;via&#x20;the&#x20;Xaccess&#x20;file&mdash;by&#x20;default&#x20;under&#x20;HP-UX,&#x20;this&#x20;file&#x20;allows&#x20;any&#x20;system&#x20;on&#x20;the&#x20;network&#x20;to&#x20;get&#x20;a&#x20;remote&#x20;login&#x20;screen&#x20;from&#x20;the&#x20;local&#x20;system.&#x20;This&#x20;behavior&#x20;can&#x20;be&#x20;overridden&#x20;in&#x20;the&#x20;/etc/dt/config/Xaccess&#x20;file.','XDMCP&#x20;is&#x20;an&#x20;unencrypted&#x20;protocol&#x20;that&#x20;may&#x20;reduce&#x20;the&#x20;confidentiality&#x20;and&#x20;integrity&#x20;of&#x20;data&#x20;that&#x20;traverses&#x20;it.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;the&#x20;XDMCP&#x20;port:&#x20;1.&#x20;Open&#x20;the&#x20;file&#x20;/etc/dt/config/Xconfig.&#x20;If&#x20;it&#x20;does&#x20;not&#x20;exist,&#x20;copy&#x20;it&#x20;from&#x20;/usr/dt/config/Xconfig.&#x20;2.&#x20;Append&#x20;the&#x20;line&#x20;Dtlogin.requestPort:0&#x20;to&#x20;the&#x20;file&#x20;and&#x20;close.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;if&#x20;[&#x20;!&#x20;-f&#x20;/etc/dt/config/Xconfig&#x20;];&#x20;then&#x20;mkdir&#x20;-p&#x20;/etc/dt/config&#x20;cp&#x20;-p&#x20;/usr/dt/config/Xconfig&#x20;/etc/dt/config&#x20;fi&#x20;cd&#x20;/etc/dt/config&#x20;awk&#x20;&#039;/Dtlogin.requestPort:/&#x20;&#x20;{&#x20;print&#x20;&quot;Dtlogin.requestPort:&#x20;0&quot;;&#x20;next&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;Xconfig&#x20;&gt;&#x20;Xconfig.new&#x20;cp&#x20;Xconfig.new&#x20;Xconfig&#x20;rm&#x20;-f&#x20;Xconfig.new','[{\"cis\": [\"1.6.4\"]}, {\"cis_level\": [\"1\"]}]'),(30036,'Set&#x20;default&#x20;locking&#x20;screensaver&#x20;timeout.','The&#x20;default&#x20;timeout&#x20;is&#x20;between&#x20;10&#x20;and&#x20;30&#x20;minutes&#x20;of&#x20;keyboard/mouse&#x20;inactivity&#x20;before&#x20;a&#x20;password-protected&#x20;screen&#x20;saver&#x20;is&#x20;invoked&#x20;by&#x20;the&#x20;CDE&#x20;session&#x20;manager&#x20;depending&#x20;on&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;the&#x20;locale.&#x20;Uniformly&#x20;reduce&#x20;this&#x20;default&#x20;timeout&#x20;value&#x20;to&#x20;10&#x20;minutes&#x20;&#40;this&#x20;setting&#x20;can&#x20;still&#x20;be&#x20;overridden&#x20;by&#x20;individual&#x20;users&#x20;in&#x20;their&#x20;own&#x20;environment.&#41;','Setting&#x20;the&#x20;inactivity&#x20;timer&#x20;to&#x20;a&#x20;low&#x20;value&#x20;will&#x20;reduce&#x20;the&#x20;probability&#x20;of&#x20;a&#x20;malicious&#x20;entity&#x20;compromising&#x20;the&#x20;system&#x20;via&#x20;the&#x20;console.','','Perform&#x20;the&#x20;following&#x20;to&#x20;set&#x20;a&#x20;default&#x20;screensaver&#x20;timeout&#x20;for&#x20;all&#x20;environments:&#x20;1.&#x20;For&#x20;every&#x20;sys.resources&#x20;file&#x20;in&#x20;each&#x20;directory&#x20;in&#x20;/usr/dt/config/&#x20;create&#x20;a&#x20;corresponding&#x20;/etc/dt/config&#47;&#42;/sys.resources&#x20;file&#x20;if&#x20;it&#x20;does&#x20;not&#x20;already&#x20;exist.&#x20;2.&#x20;Append&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;each&#x20;/etc/dt/config&#47;&#42;/sys.resources&#x20;dtsession*saverTimeout:&#x20;10&#x20;dtsession*lockTimeout:&#x20;10&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;for&#x20;file&#x20;in&#x20;/usr/dt/config&#47;&#42;/sys.resources;&#x20;do&#x20;dir=&quot;$&#40;dirname&#x20;&quot;$file&quot;&#x20;|&#x20;sed&#x20;&#039;s|^/usr/|/etc/|&#039;&#41;&quot;&#x20;mkdir&#x20;-p&#x20;&quot;$dir&quot;&#x20;echo&#x20;&#039;dtsession*saverTimeout:&#x20;10&#039;&#x20;&gt;&gt;&quot;$dir/sys.resources&quot;&#x20;echo&#x20;&#039;dtsession*lockTimeout:&#x20;10&#039;&#x20;&gt;&gt;&quot;$dir/sys.resources&quot;&#x20;done','[{\"cis\": [\"1.6.5\"]}, {\"cis_level\": [\"1\"]}]'),(30037,'Configure&#x20;IPFilter&#x20;to&#x20;allow&#x20;only&#x20;select&#x20;communication.','HP-UX&#x20;IPFilter&#x20;&#40;B9901AA&#41;&#x20;is&#x20;a&#x20;stateful&#x20;system&#x20;firewall&#x20;that&#x20;controls&#x20;IP&#x20;packet&#x20;flow&#x20;in&#x20;or&#x20;out&#x20;of&#x20;a&#x20;machine.&#x20;It&#x20;is&#x20;installed&#x20;by&#x20;default&#x20;on&#x20;HP-UX&#x20;11iv2&#x20;&#40;11.23&#41;&#x20;and&#x20;later.&#x20;On&#x20;older&#x20;systems,&#x20;IPFilter&#x20;can&#x20;be&#x20;obtained&#x20;from&#x20;http://www.hp.com/go/ipfilter.&#x20;The&#x20;rules&#x20;below&#x20;will&#x20;work&#x20;in&#x20;an&#x20;otherwise-empty&#x20;ipf.conf&#x20;file,&#x20;or,&#x20;if&#x20;there&#x20;are&#x20;rules&#x20;already&#x20;present,&#x20;it&#x20;will&#x20;block&#x20;all&#x20;that&#x20;were&#x20;not&#x20;passed&#x20;earlier&#x20;in&#x20;the&#x20;ruleset.&#x20;This&#x20;is&#x20;less&#x20;likely&#x20;to&#x20;break&#x20;things,&#x20;but&#x20;will&#x20;allow&#x20;more&#x20;traffic&#x20;through.&#x20;Alternatively,&#x20;you&#x20;can&#x20;instead&#x20;take&#x20;the&#x20;pass&#x20;lines&#x20;below&#x20;&#40;not&#x20;using&#x20;the&#x20;block&#x20;rule&#41;,&#x20;and&#x20;change&#x20;them&#x20;into&#x20;&#039;block&#x20;in&#x20;quick&#039;&#x20;rules,&#x20;and&#x20;place&#x20;those&#x20;at&#x20;the&#x20;top&#x20;of&#x20;the&#x20;file.&#x20;This&#x20;will&#x20;error&#x20;on&#x20;the&#x20;side&#x20;of&#x20;blocking&#x20;traffic.&#x20;See&#x20;ipf&#40;5&#41;&#x20;for&#x20;detail.&#x20;Your&#x20;ruleset&#x20;can&#x20;be&#x20;tested&#x20;using&#x20;ipftest&#40;1&#41;.&#x20;Bastille&#x20;note:&#x20;if&#x20;using&#x20;to&#x20;change&#x20;and&#x20;monitor&#x20;the&#x20;IPFilter&#x20;firewall,&#x20;ensure&#x20;that&#x20;rules&#x20;are&#x20;added&#x20;to&#x20;/etc/opt/sec_mgmt/bastille/ipf.customrules,&#x20;and&#x20;that&#x20;Bastille&#x20;is&#x20;rerun&#x20;with&#x20;the&#x20;last&#x20;config&#x20;file,&#x20;so&#x20;they&#x20;will&#x20;not&#x20;be&#x20;overwritten&#x20;in&#x20;a&#x20;subsequent&#x20;lockdown.','Restricting&#x20;incoming&#x20;network&#x20;traffic&#x20;to&#x20;explicitly&#x20;allowed&#x20;hosts&#x20;will&#x20;help&#x20;prevent&#x20;unauthorized&#x20;access&#x20;the&#x20;system.','','Perform&#x20;the&#x20;following&#x20;to&#x20;add&#x20;enable&#x20;ipfilter&#x20;and&#x20;install&#x20;a&#x20;default&#x20;ruleset&#x20;to&#x20;block&#x20;unauthorized&#x20;incoming&#x20;connections:&#x20;1.&#x20;Enable&#x20;ipfilter:&#x20;ipfilter&#x20;-e&#x20;2.&#x20;Append&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;/etc/opt/ipf/ipf.conf:&#x20;&#x20;block&#x20;in&#x20;all&#x20;pass&#x20;in&#x20;from&#x20;&lt;allowed&#x20;net&gt;/&lt;mask&gt;&#x20;pass&#x20;in&#x20;from&#x20;&lt;allowed&#x20;net&gt;/&lt;mask&gt;&#x20;replacing&#x20;each&#x20;&lt;allowed&#x20;net&gt;/&lt;mask&gt;&#x20;with&#x20;an&#x20;authorized&#x20;IP&#x20;address&#x20;and&#x20;mask.&#x20;3.&#x20;Flush&#x20;the&#x20;old&#x20;rules&#x20;and&#x20;read&#x20;in&#x20;the&#x20;updated&#x20;rules:&#x20;ipf&#x20;-Fa&#x20;-f&#x20;/etc/opt/ipf/ipf.conf&#x20;The&#x20;following&#x20;script&#x20;can&#x20;be&#x20;used&#x20;to&#x20;as&#x20;a&#x20;template&#x20;for&#x20;creating&#x20;your&#x20;own&#x20;script&#x20;to&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;ipfilter&#x20;-e&#x20;cat&#x20;&lt;&lt;EOF&#x20;&gt;&gt;&#x20;/etc/opt/ipf/ipf.conf&#x20;block&#x20;in&#x20;all&#x20;pass&#x20;in&#x20;from&#x20;&lt;allowed&#x20;net&gt;/&lt;mask&gt;&#x20;pass&#x20;in&#x20;from&#x20;&lt;allowed&#x20;net&gt;/&lt;mask&gt;&#x20;EOF&#x20;ipf&#x20;-Fa&#x20;-f&#x20;/etc/opt/ipf/ipf.conf','[{\"cis\": [\"1.6.6\"]}, {\"cis_level\": [\"1\"]}]'),(30038,'Restrict&#x20;at/cron&#x20;to&#x20;authorized&#x20;users.','The&#x20;cron.allow&#x20;and&#x20;at.allow&#x20;files&#x20;are&#x20;a&#x20;list&#x20;of&#x20;users&#x20;who&#x20;are&#x20;allowed&#x20;to&#x20;run&#x20;the&#x20;crontab&#x20;and&#x20;at&#x20;commands&#x20;to&#x20;submit&#x20;jobs&#x20;to&#x20;be&#x20;run&#x20;at&#x20;scheduled&#x20;intervals.&#x20;-&#x20;Note&#x20;that&#x20;even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;cron.allow&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;needs&#x20;the&#x20;ability&#x20;to&#x20;schedule&#x20;jobs.','','Perform&#x20;the&#x20;following&#x20;to&#x20;restrict&#x20;at/cron&#x20;to&#x20;root&#x20;only:&#x20;1.&#x20;Change&#x20;to&#x20;the&#x20;/var/adm/cron&#x20;directory&#x20;2.&#x20;Archive&#x20;or&#x20;delete&#x20;any&#x20;existing&#x20;cron.deny&#x20;and&#x20;at.deny&#x20;files&#x20;3.&#x20;Create&#x20;or&#x20;replace&#x20;the&#x20;cron.allow&#x20;and&#x20;at.allow&#x20;files&#x20;with&#x20;a&#x20;single&#x20;line&#x20;file&#x20;containing&#x20;just&#x20;root&#x20;4.&#x20;Ensure&#x20;that&#x20;the&#x20;files&#x20;are&#x20;owned&#x20;by&#x20;root&#x20;and&#x20;group&#x20;owned&#x20;by&#x20;sys&#x20;5.&#x20;Ensure&#x20;that&#x20;no&#x20;users&#x20;have&#x20;write/execute&#x20;permission&#x20;to&#x20;the&#x20;files,&#x20;and&#x20;that&#x20;only&#x20;root&#x20;has&#x20;read&#x20;access&#x20;to&#x20;the&#x20;files.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedures&#x20;above:&#x20;cd&#x20;/var/adm/cron&#x20;rm&#x20;-f&#x20;cron.deny&#x20;at.deny&#x20;echo&#x20;root&#x20;&gt;cron.allow&#x20;echo&#x20;root&#x20;&gt;at.allow&#x20;chown&#x20;root:sys&#x20;cron.allow&#x20;at.allow&#x20;chmod&#x20;400&#x20;cron.allow&#x20;at.allow','[{\"cis\": [\"1.6.7\"]}, {\"cis_level\": [\"1\"]}]'),(30039,'Restrict&#x20;crontab&#x20;file&#x20;permissions.','The&#x20;system&#x20;crontab&#x20;files&#x20;are&#x20;only&#x20;accessed&#x20;by&#x20;the&#x20;cron&#x20;daemon&#x20;&#40;which&#x20;runs&#x20;with&#x20;superuser&#x20;privileges&#41;&#x20;and&#x20;the&#x20;crontab&#x20;command&#x20;&#40;which&#x20;is&#x20;set-UID&#x20;to&#x20;root&#41;.','Allowing&#x20;unprivileged&#x20;users&#x20;to&#x20;read&#x20;or&#x20;&#40;even&#x20;worse&#41;&#x20;modify&#x20;system&#x20;crontab&#x20;files&#x20;can&#x20;create&#x20;the&#x20;potential&#x20;for&#x20;a&#x20;local&#x20;user&#x20;on&#x20;the&#x20;system&#x20;to&#x20;gain&#x20;elevated&#x20;privileges.','','Perform&#x20;the&#x20;following&#x20;so&#x20;that&#x20;only&#x20;root&#x20;has&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;files:&#x20;1.&#x20;Change&#x20;to&#x20;the&#x20;/var/spool/cron/crontabs&#x20;directory&#x20;2.&#x20;Change&#x20;the&#x20;file&#x20;owner&#x20;to&#x20;root&#x20;and&#x20;file&#x20;group&#x20;owner&#x20;to&#x20;sys&#x20;3.&#x20;Set&#x20;file&#x20;permissions&#x20;so&#x20;that&#x20;only&#x20;root&#x20;has&#x20;access&#x20;to&#x20;the&#x20;files.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;cd&#x20;/var/spool/cron/crontabs&#x20;chown&#x20;root:sys&#x20;*&#x20;chmod&#x20;og-rwx&#x20;*','[{\"cis\": [\"1.6.8\"]}, {\"cis_level\": [\"1\"]}]'),(30040,'Restrict&#x20;root&#x20;logins&#x20;to&#x20;system&#x20;console.','Anonymous&#x20;root&#x20;logins&#x20;should&#x20;never&#x20;be&#x20;allowed&#x20;except&#x20;on&#x20;the&#x20;system&#x20;console&#x20;in&#x20;emergency&#x20;situations.&#x20;At&#x20;all&#x20;other&#x20;times,&#x20;the&#x20;administrator&#x20;should&#x20;access&#x20;the&#x20;system&#x20;via&#x20;an&#x20;unprivileged&#x20;account&#x20;and&#x20;use&#x20;some&#x20;authorized&#x20;mechanism&#x20;to&#x20;gain&#x20;additional&#x20;privilege,&#x20;such&#x20;as&#x20;the&#x20;su&#x20;command,&#x20;the&#x20;freely-available&#x20;sudo&#x20;package&#x20;discussed&#x20;in&#x20;item&#x20;SN.6,&#x20;or&#x20;the&#x20;HP&#x20;Role&#x20;Based&#x20;Authorization&#x20;system&#x20;also&#x20;discussed&#x20;in&#x20;item&#x20;SN.6.&#x20;These&#x20;mechanisms&#x20;provide&#x20;at&#x20;least&#x20;a&#x20;limited&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;problems.','Anonymous&#x20;root&#x20;logins&#x20;do&#x20;not&#x20;provide&#x20;an&#x20;audit&#x20;trail,&#x20;nor&#x20;are&#x20;subject&#x20;to&#x20;additional&#x20;authorization&#x20;provisions.','','Perform&#x20;the&#x20;following&#x20;to&#x20;restrict&#x20;root&#x20;logins&#x20;to&#x20;the&#x20;system&#x20;console&#x20;only:&#x20;1.&#x20;Replace&#x20;the&#x20;file&#x20;/etc/securetty&#x20;with&#x20;a&#x20;single&#x20;line&#x20;file&#x20;containing&#x20;console&#x20;2.&#x20;Change&#x20;the&#x20;file&#x20;owner&#x20;to&#x20;root&#x20;and&#x20;file&#x20;group&#x20;owner&#x20;to&#x20;sys&#x20;3.&#x20;Set&#x20;file&#x20;permissions&#x20;so&#x20;that&#x20;only&#x20;root&#x20;has&#x20;access&#x20;to&#x20;the&#x20;file.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;&#x20;echo&#x20;console&#x20;&gt;&#x20;/etc/securetty&#x20;chown&#x20;root:sys&#x20;/etc/securetty&#x20;chmod&#x20;og-rwx&#x20;/etc/securetty','[{\"cis\": [\"1.6.9\"]}, {\"cis_level\": [\"1\"]}]'),(30041,'Disable&#x20;nobody&#x20;access&#x20;for&#x20;secure&#x20;RPC.','The&#x20;keyserv&#x20;process&#x20;stores&#x20;user&#x20;keys&#x20;that&#x20;are&#x20;utilized&#x20;with&#x20;the&#x20;ONC&#x20;secure&#x20;RPC&#x20;mechanism.&#x20;The&#x20;action&#x20;below&#x20;prevents&#x20;keyserv&#x20;from&#x20;using&#x20;default&#x20;keys&#x20;for&#x20;the&#x20;&quot;nobody&quot;&#x20;user,&#x20;effectively&#x20;stopping&#x20;this&#x20;user&#x20;from&#x20;accessing&#x20;information&#x20;via&#x20;secure&#x20;RPC.','The&#x20;default&#x20;&#039;nobody&#039;&#x20;user&#x20;should&#x20;not&#x20;be&#x20;accessing&#x20;information&#x20;via&#x20;secure&#x20;RPC.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;nobody&#x20;access&#x20;for&#x20;secure&#x20;RPC:&#x20;1.&#x20;Add&#x20;the&#x20;&#039;-d&#039;&#x20;option&#x20;to&#x20;the&#x20;KEYSERV_OPTIONS&#x20;parameter&#x20;in&#x20;the&#x20;system&#x20;startup&#x20;configuration&#x20;file&#x20;/etc/rc.config.d/namesvrs&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;KEYSERV_OPTIONS=&quot;`sh&#x20;-c&#x20;&#039;.&#x20;/etc/rc.config.d/namesvrs&#x20;;&#x20;echo&#x20;&quot;$KEYSERV_OPTIONS&quot;&#039;`&quot;&#x20;ch_rc&#x20;-a&#x20;-p&#x20;KEYSERV_OPTIONS=&quot;-d&#x20;$KEYSERV_OPTIONS&#x20;&quot;&#x20;&#x20;/etc/rc.config.d/namesvrs','[{\"cis\": [\"1.6.11\"]}, {\"cis_level\": [\"1\"]}]'),(30042,'Enable&#x20;kernel-level&#x20;auditing.','If&#x20;inetd&#x20;is&#x20;running,&#x20;it&#x20;is&#x20;a&#x20;good&#x20;idea&#x20;to&#x20;make&#x20;use&#x20;of&#x20;the&#x20;&#039;logging&#039;&#x20;&#40;-l&#41;&#x20;feature&#x20;of&#x20;the&#x20;HP-UX&#x20;inetd&#x20;that&#x20;logs&#x20;information&#x20;about&#x20;the&#x20;source&#x20;of&#x20;any&#x20;network&#x20;connections&#x20;seen&#x20;by&#x20;the&#x20;daemon,&#x20;allowing&#x20;the&#x20;administrator&#x20;&#40;or&#x20;software&#41;&#x20;to&#x20;scan&#x20;the&#x20;logs&#x20;for&#x20;unusual&#x20;activity.&#x20;This&#x20;is&#x20;especially&#x20;powerful&#x20;when&#x20;combined&#x20;with&#x20;the&#x20;access&#x20;control&#x20;capabilities&#x20;accessible&#x20;through&#x20;inetd‟s&#x20;/var/adm/inetd.sec&#x20;configuration&#x20;file.&#x20;This&#x20;information&#x20;is&#x20;logged&#x20;via&#x20;Syslog&#x20;and&#x20;by&#x20;default&#x20;HP-UX&#x20;systemsdeposit&#x20;this&#x20;logging&#x20;information&#x20;in&#x20;var/adm/syslog/syslog.log&#x20;with&#x20;other&#x20;system&#x20;log&#x20;messages.&#x20;Should&#x20;the&#x20;administrator&#x20;wish&#x20;to&#x20;capture&#x20;this&#x20;information&#x20;in&#x20;a&#x20;separate&#x20;file,&#x20;simply&#x20;modify&#x20;/etc/syslog.conf&#x20;to&#x20;log&#x20;daemon.notice&#x20;to&#x20;some&#x20;other&#x20;log&#x20;file&#x20;destination.&#x20;IPFilter,&#x20;which&#x20;comes&#x20;with&#x20;HP-UX,&#x20;can&#x20;log&#x20;inetd&#x20;and&#x20;other&#x20;connections&#x20;or&#x20;attempted&#x20;connections&#x20;with&#x20;its&#x20;&#039;ipmon&#039;&#x20;daemon&#x20;as&#x20;either&#x20;a&#x20;compliment&#x20;or&#x20;alternative&#x20;to&#x20;inetd&#x20;logging.','By&#x20;recording&#x20;key&#x20;system&#x20;events&#x20;in&#x20;log&#x20;files,&#x20;kernel-level&#x20;auditing&#x20;provides&#x20;a&#x20;trail&#x20;to&#x20;detect&#x20;and&#x20;analyze&#x20;security&#x20;breaches.&#x20;Moreover,&#x20;this&#x20;data&#x20;can&#x20;be&#x20;used&#x20;to&#x20;detect&#x20;potential&#x20;security&#x20;weakness,&#x20;and&#x20;also&#x20;serves&#x20;as&#x20;a&#x20;deterrent&#x20;against&#x20;system&#x20;abuses.','','Use&#x20;the&#x20;Systems&#x20;Management&#x20;Homepage&#x20;&#40;SMH&#41;&#x20;facility&#x20;to&#x20;configure&#x20;and&#x20;enable&#x20;the&#x20;type&#x20;and&#x20;level&#x20;of&#x20;auditing&#x20;appropriate&#x20;for&#x20;your&#x20;environment.','[{\"cis\": [\"1.7.1\"]}, {\"cis_level\": [\"1\"]}]'),(30043,'Enable&#x20;logging&#x20;from&#x20;inetd.','If&#x20;inetd&#x20;is&#x20;running,&#x20;it&#x20;is&#x20;a&#x20;good&#x20;idea&#x20;to&#x20;make&#x20;use&#x20;of&#x20;the&#x20;&quot;logging&quot;&#x20;&#40;-l&#41;&#x20;feature&#x20;of&#x20;the&#x20;HP-UX&#x20;inetd&#x20;that&#x20;logs&#x20;information&#x20;about&#x20;the&#x20;source&#x20;of&#x20;any&#x20;network&#x20;connections&#x20;seen&#x20;by&#x20;the&#x20;daemon,&#x20;allowing&#x20;the&#x20;administrator&#x20;&#40;or&#x20;software&#41;&#x20;to&#x20;scan&#x20;the&#x20;logs&#x20;for&#x20;unusual&#x20;activity.&#x20;This&#x20;is&#x20;especially&#x20;powerful&#x20;when&#x20;combined&#x20;with&#x20;the&#x20;access&#x20;control&#x20;capabilities&#x20;accessible&#x20;through&#x20;inetd&#039;s&#x20;/var/adm/inetd.sec&#x20;configuration&#x20;file.&#x20;This&#x20;information&#x20;is&#x20;logged&#x20;via&#x20;Syslog&#x20;and&#x20;by&#x20;default&#x20;HP-UX&#x20;systems&#x20;deposit&#x20;this&#x20;logging&#x20;information&#x20;in&#x20;var/adm/syslog/syslog.log&#x20;with&#x20;other&#x20;system&#x20;log&#x20;messages.&#x20;Should&#x20;the&#x20;administrator&#x20;wish&#x20;to&#x20;capture&#x20;this&#x20;information&#x20;in&#x20;a&#x20;separate&#x20;file,&#x20;simply&#x20;modify&#x20;/etc/syslog.conf&#x20;to&#x20;log&#x20;daemon.notice&#x20;to&#x20;some&#x20;other&#x20;log&#x20;file&#x20;destination.&#x20;IPFilter,&#x20;which&#x20;comes&#x20;with&#x20;HP-UX,&#x20;can&#x20;log&#x20;inetd&#x20;and&#x20;other&#x20;connections&#x20;or&#x20;attempted&#x20;connections&#x20;with&#x20;its&#x20;&quot;ipmon&quot;&#x20;daemon&#x20;as&#x20;either&#x20;a&#x20;compliment&#x20;or&#x20;alternative&#x20;to&#x20;inetd&#x20;logging.','Logging&#x20;information&#x20;about&#x20;the&#x20;source&#x20;of&#x20;inetd&#x20;network&#x20;connections&#x20;assists&#x20;in&#x20;the&#x20;detection&#x20;and&#x20;identification&#x20;of&#x20;unusual&#x20;activity&#x20;that&#x20;may&#x20;be&#x20;associated&#x20;with&#x20;security&#x20;intrusions.','','Perform&#x20;the&#x20;following:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;INETD_ARGS=-l&#x20;/etc/rc.config.d/netdaemons','[{\"cis\": [\"1.7.2\"]}, {\"cis_level\": [\"1\"]}]'),(30045,'Block&#x20;system&#x20;accounts.','Accounts&#x20;that&#x20;are&#x20;not&#x20;being&#x20;used&#x20;by&#x20;regular&#x20;users&#x20;should&#x20;be&#x20;locked.&#x20;Not&#x20;only&#x20;should&#x20;the&#x20;password&#x20;field&#x20;for&#x20;the&#x20;account&#x20;be&#x20;set&#x20;to&#x20;an&#x20;invalid&#x20;string,&#x20;but&#x20;the&#x20;shell&#x20;field&#x20;in&#x20;the&#x20;password&#x20;file&#x20;should&#x20;contain&#x20;an&#x20;invalid&#x20;shell.&#x20;Access&#x20;to&#x20;the&#x20;uucp&#x20;and&#x20;nuucp&#x20;accounts&#x20;is&#x20;only&#x20;needed&#x20;when&#x20;the&#x20;deprecated&#x20;Unix&#x20;to&#x20;Unix&#x20;Copy&#x20;&#40;UUCP&#41;&#x20;service&#x20;is&#x20;in&#x20;use.&#x20;The&#x20;other&#x20;listed&#x20;accounts&#x20;should&#x20;never&#x20;require&#x20;direct&#x20;access.&#x20;The&#x20;actions&#x20;below&#x20;locks&#x20;the&#x20;passwords&#x20;to&#x20;these&#x20;accounts&#x20;&#40;on&#x20;systems&#x20;converted&#x20;to&#x20;Trusted&#x20;Mode&#x20;only&#41;&#x20;and&#x20;sets&#x20;the&#x20;login&#x20;shell&#x20;to&#x20;/bin/false.&#x20;Note&#x20;that&#x20;the&#x20;above&#x20;is&#x20;not&#x20;an&#x20;exhaustive&#x20;list&#x20;of&#x20;possible&#x20;system/application&#x20;accounts&#x20;that&#x20;could&#x20;be&#x20;installed&#x20;on&#x20;the&#x20;system.&#x20;An&#x20;audit&#x20;of&#x20;all&#x20;users&#x20;on&#x20;the&#x20;system&#x20;is&#x20;the&#x20;only&#x20;way&#x20;to&#x20;be&#x20;sure&#x20;that&#x20;only&#x20;authorized&#x20;accounts&#x20;are&#x20;in&#x20;place.','System&#x20;accounts&#x20;are&#x20;not&#x20;used&#x20;by&#x20;regular&#x20;users,&#x20;and&#x20;almost&#x20;never&#x20;require&#x20;direct&#x20;access;&#x20;thus,&#x20;they&#x20;should&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;malicious&#x20;usage.','','Perform&#x20;the&#x20;following&#x20;to&#x20;properly&#x20;lock&#x20;the&#x20;following&#x20;known&#x20;system&#x20;users:&#x20;www&#x20;sys&#x20;smbnull&#x20;iwww&#x20;owww&#x20;sshd&#x20;hpsmh&#x20;named&#x20;uucp&#x20;nuucp&#x20;adm&#x20;daemon&#x20;bin&#x20;lp&#x20;nobody&#x20;noaccess&#x20;hpdb&#x20;useradm&#x20;1.&#x20;Lock&#x20;the&#x20;account:&#x20;passwd&#x20;-l&#x20;&lt;user&gt;&#x20;2.&#x20;Set&#x20;the&#x20;login&#x20;shell&#x20;to&#x20;an&#x20;invalid&#x20;program:&#x20;/usr/sbin/usermod&#x20;-s&#x20;/bin/false&#x20;&lt;user&gt;&#x20;3.&#x20;If&#x20;a&#x20;trusted&#x20;system,&#x20;set&#x20;the&#x20;adminstrator&#x20;lock:&#x20;/usr/lbin/modprpw&#x20;-m&#x20;alock=YES&#x20;&lt;user&gt;&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;for&#x20;user&#x20;in&#x20;www&#x20;sys&#x20;smbnull&#x20;iwww&#x20;owww&#x20;sshd&#x20;&#x20;hpsmh&#x20;named&#x20;uucp&#x20;nuucp&#x20;adm&#x20;daemon&#x20;bin&#x20;lp&#x20;&#x20;nobody&#x20;noaccess&#x20;hpdb&#x20;useradm;&#x20;do&#x20;passwd&#x20;-l&#x20;&quot;$user&quot;&#x20;/usr/sbin/usermod&#x20;-s&#x20;/bin/false&#x20;&quot;$user&quot;&#x20;if&#x20;[[&#x20;-f&#x20;/tcb&#x20;]];&#x20;then&#x20;/usr/lbin/modprpw&#x20;-m&#x20;alock=YES&#x20;&quot;$user&quot;&#x20;fi&#x20;done','[{\"cis\": [\"1.8.1\"]}, {\"cis_level\": [\"1\"]}]'),(30046,'Verify&#x20;that&#x20;there&#x20;are&#x20;no&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;fields.','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password&#x20;at&#x20;all.&#x20;All&#x20;accounts&#x20;should&#x20;have&#x20;strong&#x20;passwords&#x20;or&#x20;should&#x20;be&#x20;locked&#x20;by&#x20;using&#x20;a&#x20;password&#x20;string&#x20;like&#x20;&quot;*&quot;,&#x20;&quot;NP&quot;,&#x20;or&#x20;&quot;*LOCKED*&quot;','User&#x20;accounts&#x20;should&#x20;have&#x20;passwords,&#x20;or&#x20;be&#x20;locked.','','Perform&#x20;the&#x20;following&#x20;to&#x20;ensure&#x20;that&#x20;no&#x20;accounts&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;field:&#x20;1.&#x20;Identify&#x20;all&#x20;user&#x20;accounts&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field:&#x20;logins&#x20;-p&#x20;2.&#x20;Lock&#x20;each&#x20;account:&#x20;passwd&#x20;-l&#x20;&lt;user&gt;&#x20;3.&#x20;If&#x20;a&#x20;trusted&#x20;system,&#x20;set&#x20;the&#x20;administrator&#x20;lock:&#x20;/usr/lbin/modprpw&#x20;-m&#x20;alock=YES&#x20;&lt;user&gt;','[{\"cis\": [\"1.8.2\"]}, {\"cis_level\": [\"1\"]}]'),(30047,'Set&#x20;account&#x20;expiration&#x20;parameters&#x20;on&#x20;active&#x20;accounts.','The&#x20;commands&#x20;below&#x20;will&#x20;set&#x20;all&#x20;active&#x20;accounts&#x20;&#40;except&#x20;the&#x20;root&#x20;account&#41;&#x20;to&#x20;force&#x20;password&#x20;changes&#x20;every&#x20;90&#x20;days&#x20;&#40;91&#x20;days&#x20;when&#x20;not&#x20;running&#x20;in&#x20;HP-UX&#x20;Trusted&#x20;Mode&#41;&#x20;and&#x20;then&#x20;prevent&#x20;password&#x20;changes&#x20;for&#x20;seven&#x20;days&#x20;&#40;one&#x20;week&#41;&#x20;thereafter.&#x20;Users&#x20;will&#x20;begin&#x20;receiving&#x20;warnings&#x20;30&#x20;days&#x20;&#40;28&#x20;days&#x20;when&#x20;not&#x20;running&#x20;in&#x20;HP-UX&#x20;Trusted&#x20;Mode&#41;&#x20;before&#x20;their&#x20;password&#x20;expires.&#x20;Sites&#x20;also&#x20;have&#x20;the&#x20;option&#x20;of&#x20;expiring&#x20;idle&#x20;accounts&#x20;after&#x20;a&#x20;certain&#x20;number&#x20;of&#x20;days&#x20;&#40;see&#x20;the&#x20;on-line&#x20;manual&#x20;page&#x20;for&#x20;the&#x20;usermod&#x20;command,&#x20;particularly&#x20;the&#x20;-f&#x20;option&#41;.&#x20;These&#x20;are&#x20;recommended&#x20;starting&#x20;values,&#x20;but&#x20;sites&#x20;may&#x20;choose&#x20;to&#x20;make&#x20;them&#x20;more&#x20;restrictive&#x20;depending&#x20;on&#x20;local&#x20;policies.','It&#x20;is&#x20;a&#x20;good&#x20;idea&#x20;to&#x20;force&#x20;users&#x20;to&#x20;change&#x20;passwords&#x20;on&#x20;a&#x20;regular&#x20;basis.','','Perform&#x20;the&#x20;following&#x20;to&#x20;set&#x20;password&#x20;expiration&#x20;parameters&#x20;on&#x20;all&#x20;active&#x20;accounts:&#x20;1.&#x20;Identify&#x20;all&#x20;user&#x20;accounts&#x20;excluding&#x20;root&#x20;that&#x20;are&#x20;not&#x20;locked,&#x20;and&#x20;for&#x20;each:&#x20;2.&#x20;Set&#x20;password&#x20;expiration&#x20;parameters&#x20;for&#x20;the&#x20;account&#x20;&#40;logname&#41;&#x20;by&#x20;executing&#x20;the&#x20;following:&#x20;passwd&#x20;-x&#x20;91&#x20;-n&#x20;7&#x20;-w&#x20;28&#x20;&lt;logname&gt;&#x20;for&#x20;trusted&#x20;systems,&#x20;perform&#x20;the&#x20;following:&#x20;/usr/lbin/modprpw&#x20;-m&#x20;exptm=90,mintm=7,expwarn=30&#x20;&lt;logname&gt;&#x20;3.&#x20;Set&#x20;the&#x20;default&#x20;account&#x20;expiration&#x20;parameters&#x20;by&#x20;appending&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;/etc/default/security:&#x20;a.&#x20;PASSWORD_MAXDAYS=91&#x20;b.&#x20;PASSWORD_MINDAYS=7&#x20;c.&#x20;PASSWORD_WARNDAYS=28&#x20;4.&#x20;Set&#x20;the&#x20;default&#x20;parameters&#x20;for&#x20;trusted&#x20;systems&#x20;with:&#x20;/usr/lbin/modprdef&#x20;-m&#x20;exptm=90,mintm=7,expwarn=30&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above.&#x20;logins&#x20;-ox&#x20;&#x20;|&#x20;awk&#x20;-F:&#x20;&#039;&#40;$8&#x20;!=&#x20;&quot;LK&quot;&#x20;&amp;&amp;&#x20;$1&#x20;!=&#x20;&quot;root&quot;&#41;&#x20;{&#x20;print&#x20;$1&#x20;}&#039;&#x20;&#x20;|&#x20;while&#x20;read&#x20;logname;&#x20;do&#x20;passwd&#x20;-x&#x20;91&#x20;-n&#x20;7&#x20;-w&#x20;28&#x20;&quot;$logname&quot;&#x20;/usr/lbin/modprpw&#x20;-m&#x20;exptm=90,mintm=7,expwarn=30&#x20;&#x20;&quot;$logname&quot;&#x20;done&#x20;echo&#x20;PASSWORD_MAXDAYS=91&#x20;&gt;&gt;&#x20;/etc/default/security&#x20;echo&#x20;PASSWORD_MINDAYS=7&#x20;&gt;&gt;&#x20;/etc/default/security&#x20;echo&#x20;PASSWORD_WARNDAYS=28&#x20;&gt;&gt;&#x20;/etc/default/security&#x20;/usr/lbin/modprdef&#x20;-m&#x20;exptm=90,mintm=7,expwarn=30','[{\"cis\": [\"1.8.3\"]}, {\"cis_level\": [\"1\"]}]'),(30048,'Set&#x20;strong&#x20;password&#x20;enforcement&#x20;policies.','The&#x20;policies&#x20;set&#x20;here&#x20;are&#x20;designed&#x20;to&#x20;force&#x20;users&#x20;to&#x20;make&#x20;better&#x20;password&#x20;choices&#x20;when&#x20;changing&#x20;their&#x20;passwords.&#x20;Sites&#x20;often&#x20;have&#x20;differing&#x20;opinions&#x20;on&#x20;the&#x20;optimal&#x20;value&#x20;of&#x20;the&#x20;MIN_PASSWORD_LENGTH&#x20;and&#x20;PASSWORD_HISTORY_DEPTH&#x20;parameters.&#x20;A&#x20;minimum&#x20;password&#x20;length&#x20;of&#x20;seven&#x20;is&#x20;in&#x20;line&#x20;with&#x20;industry&#x20;standards,&#x20;especially&#x20;the&#x20;Payment&#x20;Card&#x20;Industry&#x20;&#40;PCI&#41;&#x20;Security&#x20;Standard;&#x20;however,&#x20;a&#x20;longer&#x20;value&#x20;may&#x20;be&#x20;warranted&#x20;if&#x20;account&#x20;locks&#x20;are&#x20;not&#x20;enabled&#x20;&#40;item&#x20;1.6.10&#41;.&#x20;A&#x20;password&#x20;history&#x20;depth&#x20;of&#x20;ten&#x20;combined&#x20;with&#x20;passwords&#x20;that&#x20;expire&#x20;four&#x20;times&#x20;per&#x20;year&#x20;&#40;item&#x20;1.8.3&#41;&#x20;means&#x20;users&#x20;will&#x20;typically&#x20;not&#x20;re-use&#x20;the&#x20;same&#x20;password&#x20;in&#x20;any&#x20;given&#x20;year.&#x20;Requiring&#x20;an&#x20;upper/lowercase&#x20;and&#x20;special&#x20;character&#x20;password&#x20;will&#x20;dramatically&#x20;increase&#x20;the&#x20;password&#x20;search&#x20;space&#x20;and&#x20;lower&#x20;the&#x20;chances&#x20;for&#x20;brute-force&#x20;attack&#x20;significantly.&#x20;-&#x20;Note:&#x20;these&#x20;settings&#x20;are&#x20;known&#x20;to&#x20;exist&#x20;for&#x20;HP-UX&#x20;11iv2,&#x20;0512&#x20;and&#x20;later.&#x20;The&#x20;man&#x20;page&#x20;for&#x20;security&#40;5&#41;&#x20;will&#x20;indicate&#x20;if&#x20;these&#x20;exist&#x20;on&#x20;your&#x20;particular&#x20;system.&#x20;Be&#x20;sure&#x20;to&#x20;consult&#x20;you&#x20;local&#x20;security&#x20;standards&#x20;before&#x20;adopting&#x20;the&#x20;values&#x20;given&#x20;above.','All&#x20;users&#x20;should&#x20;use&#x20;strong&#x20;passwords.','','Perform&#x20;the&#x20;following&#x20;to&#x20;set&#x20;strong&#x20;password&#x20;enforcement&#x20;policies:&#x20;1.&#x20;Change&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;the&#x20;/etc/default/security&#x20;file&#x20;to&#x20;establish&#x20;default&#x20;password&#x20;policies&#x20;for&#x20;new&#x20;users:&#x20;a.&#x20;MIN_PASSORD_LENGTH=7&#x20;b.&#x20;PASSWORD_HISTORY_DEPTH=10&#x20;c.&#x20;PASSWORD_MIN_UPPER_CASE_CHARS=1&#x20;d.&#x20;PASSWORD_MIN_DIGIT_CHARS=1&#x20;e.&#x20;PASSWORD_MIN_SPECIAL_CHARS=1&#x20;f.&#x20;PASSWORD_MIN_LOWER_CASE_CHARS=1&#x20;2.&#x20;If&#x20;using&#x20;a&#x20;trusted&#x20;system,&#x20;issue&#x20;the&#x20;following&#x20;modprdef&#x20;commands&#x20;to&#x20;disallow&#x20;null&#x20;or&#x20;trivial&#x20;passwords:&#x20;&#x20;modprdef&#x20;-m&#x20;nullpw=NO&#x20;modprdef&#x20;-m&#x20;rstrpw=YES&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;modprdef&#x20;-m&#x20;nullpw=NO&#x20;modprdef&#x20;-m&#x20;rstrpw=YES&#x20;ch_rc&#x20;-a&#x20;-p&#x20;MIN_PASSORD_LENGTH=7&#x20;/etc/default/security&#x20;ch_rc&#x20;-a&#x20;-p&#x20;PASSWORD_HISTORY_DEPTH=10&#x20;&#x20;/etc/default/security&#x20;ch_rc&#x20;-a&#x20;-p&#x20;PASSWORD_MIN_UPPER_CASE_CHARS=1&#x20;&#x20;/etc/default/security&#x20;ch_rc&#x20;-a&#x20;-p&#x20;PASSWORD_MIN_DIGIT_CHARS=1&#x20;&#x20;/etc/default/security&#x20;ch_rc&#x20;-a&#x20;-p&#x20;PASSWORD_MIN_SPECIAL_CHARS=1&#x20;&#x20;/etc/default/security&#x20;ch_rc&#x20;-a&#x20;-p&#x20;PASSWORD_MIN_LOWER_CASE_CHARS=1&#x20;&#x20;/etc/default/security&#x20;modprdef&#x20;-m&#x20;nullpw=NO&#x20;modprdef&#x20;-m&#x20;rstrpw=YES','[{\"cis\": [\"1.8.4\"]}, {\"cis_level\": [\"1\"]}]'),(30049,'Verify&#x20;no&#x20;legacy&#x20;&#039;+&#039;&#x20;entries&#x20;exist&#x20;in&#x20;passwd&#x20;and&#x20;group&#x20;files.','&#039;+&#039;&#x20;entries&#x20;in&#x20;various&#x20;passwd&#x20;and&#x20;group&#x20;files&#x20;served&#x20;as&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;HP-UX&#x20;does&#x20;not&#x20;use&#x20;these&#x20;markers,&#x20;but&#x20;they&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.&#x20;They&#x20;should&#x20;be&#x20;deleted&#x20;if&#x20;they&#x20;exist.','Legacy&#x20;&#039;+&#039;&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;HP-UX&#x20;systems,&#x20;and&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Perform&#x20;the&#x20;following&#x20;to&#x20;remove&#x20;any&#x20;legacy&#x20;&#039;+&#039;&#x20;entries&#x20;in&#x20;passwd&#x20;and&#x20;group&#x20;files:&#x20;1.&#x20;Display&#x20;legacy&#x20;&#039;+&#039;&#x20;entries:&#x20;grep&#x20;&#039;^+:&#039;&#x20;/etc/passwd&#x20;/etc/group&#x20;2.&#x20;Remove&#x20;any&#x20;entries&#x20;found&#x20;from&#x20;the&#x20;passwd&#x20;and&#x20;group&#x20;files.','[{\"cis\": [\"1.8.5\"]}, {\"cis_level\": [\"1\"]}]'),(30050,'No&#x20;&#039;.&#039;&#x20;or&#x20;group/world-writable&#x20;directory&#x20;in&#x20;root&#x20;$PATH.','Remove&#x20;the&#x20;current&#x20;working&#x20;directory&#x20;&#40;&#039;.&#039;&#41;&#x20;or&#x20;other&#x20;world-writable&#x20;directories&#x20;from&#x20;the&#x20;root&#x20;user&#039;s&#x20;execution&#x20;path.&#x20;To&#x20;execute&#x20;a&#x20;file&#x20;in&#x20;the&#x20;current&#x20;directory&#x20;when&#x20;&bdquo;.‟&#x20;is&#x20;not&#x20;in&#x20;the&#x20;$PATH,&#x20;use&#x20;the&#x20;format&#x20;&ldquo;./filename&rdquo;.','Including&#x20;these&#x20;paths&#x20;in&#x20;the&#x20;root&#039;s&#x20;executable&#x20;path&#x20;allows&#x20;an&#x20;attacker&#x20;to&#x20;gain&#x20;superuser&#x20;access&#x20;if&#x20;an&#x20;administrator&#x20;operating&#x20;as&#x20;root&#x20;executes&#x20;a&#x20;Trojan&#x20;horse&#x20;program.','','Remove&#x20;the&#x20;following&#x20;path&#x20;components&#x20;if&#x20;they&#x20;exist&#x20;in&#x20;the&#x20;root&#x20;user&#039;s&#x20;$PATH:&#x20;1.&#x20;current&#x20;working&#x20;directory&#x20;&#40;&#039;.&#039;&#41;&#x20;2.&#x20;empty&#x20;directories&#x20;&#40;&bdquo;::‟&#41;&#x20;3.&#x20;a&#x20;trailing&#x20;path&#x20;seperator&#x20;at&#x20;the&#x20;end&#x20;of&#x20;the&#x20;$PATH&#x20;&#40;&#039;:&#039;&#41;&#x20;4.&#x20;any&#x20;directory&#x20;with&#x20;world&#x20;or&#x20;group&#x20;-write&#x20;permissions&#x20;set','[{\"cis\": [\"1.8.6\"]}, {\"cis_level\": [\"1\"]}]'),(30051,'Secure&#x20;user&#x20;home&#x20;directories.','Remove&#x20;group&#x20;write&#x20;and&#x20;world&#x20;access&#x20;to&#x20;all&#x20;user&#x20;home&#x20;directories.&#x20;While&#x20;the&#x20;modifications&#x20;below&#x20;are&#x20;relatively&#x20;benign,&#x20;making&#x20;global&#x20;modifications&#x20;to&#x20;user&#x20;home&#x20;directories&#x20;without&#x20;alerting&#x20;your&#x20;user&#x20;community&#x20;can&#x20;result&#x20;in&#x20;unexpected&#x20;outages&#x20;and&#x20;unhappy&#x20;users.','Group&#x20;or&#x20;world-writable&#x20;user&#x20;home&#x20;directories&#x20;may&#x20;enable&#x20;malicious&#x20;users&#x20;to&#x20;steal&#x20;or&#x20;modify&#x20;other&#x20;users&#039;&#x20;data&#x20;or&#x20;to&#x20;gain&#x20;another&#x20;user&#039;s&#x20;system&#x20;privileges.','','Perform&#x20;the&#x20;following&#x20;to&#x20;secure&#x20;user&#x20;home&#x20;directories:&#x20;1.&#x20;Identify&#x20;all&#x20;user&#x20;accounts&#x20;excluding&#x20;root&#x20;that&#x20;are&#x20;not&#x20;locked,&#x20;and&#x20;for&#x20;each&#x20;of&#x20;these&#x20;user&#x20;home&#x20;directories:&#x20;2.&#x20;Remove&#x20;group&#x20;write&#x20;permission&#x20;&#40;g-w&#41;&#x20;and&#x20;all&#x20;other&#x20;permissions&#x20;&#40;o-rwx&#41;&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;logins&#x20;-ox&#x20;&#x20;|&#x20;awk&#x20;-F:&#x20;&#039;&#40;$8&#x20;==&#x20;&quot;PS&quot;&#x20;&amp;&amp;&#x20;$1&#x20;!=&#x20;&quot;root&quot;&#41;&#x20;{&#x20;print&#x20;$6&#x20;}&#039;&#x20;&#x20;|&#x20;grep&#x20;/home/&#x20;&#x20;|&#x20;while&#x20;read&#x20;dir&#x20;do&#x20;&#x20;chmod&#x20;g-w,o-rwx&#x20;&quot;$dir&quot;&#x20;done','[{\"cis\": [\"1.8.7\"]}, {\"cis_level\": [\"1\"]}]'),(30052,'No&#x20;user&#x20;dot-files&#x20;should&#x20;be&#x20;group/world&#x20;writable.','Remove&#x20;group&#x20;and&#x20;world&#x20;write&#x20;permissions&#x20;from&#x20;user&#x20;dot-files.&#x20;While&#x20;the&#x20;modifications&#x20;below&#x20;are&#x20;relatively&#x20;benign,&#x20;making&#x20;global&#x20;modifications&#x20;to&#x20;user&#x20;dot-files&#x20;without&#x20;alerting&#x20;your&#x20;user&#x20;community&#x20;can&#x20;result&#x20;in&#x20;unexpected&#x20;outages&#x20;and&#x20;unhappy&#x20;users.','Group&#x20;or&#x20;world-writable&#x20;user&#x20;configuration&#x20;files&#x20;may&#x20;enable&#x20;malicious&#x20;users&#x20;to&#x20;steal&#x20;or&#x20;modify&#x20;other&#x20;users&#039;&#x20;data&#x20;or&#x20;to&#x20;gain&#x20;another&#x20;user&#039;s&#x20;system&#x20;privileges.','','Perform&#x20;the&#x20;following:&#x20;1.&#x20;Identify&#x20;all&#x20;user&#x20;accounts&#x20;excluding&#x20;root&#x20;that&#x20;are&#x20;not&#x20;locked,&#x20;and&#x20;for&#x20;each&#x20;of&#x20;these&#x20;user&#x20;home&#x20;directories:&#x20;2.&#x20;Remove&#x20;group/other&#x20;write&#x20;permissions&#x20;&#40;go-w&#41;&#x20;from&#x20;any&#x20;files&#x20;beginning&#x20;with&#x20;&#039;.&#039;&#x20;The&#x20;following&#x20;script&#x20;performs&#x20;the&#x20;procedure&#x20;above:&#x20;logins&#x20;-ox&#x20;&#x20;|&#x20;awk&#x20;-F:&#x20;&#039;&#40;$8&#x20;==&#x20;&quot;PS&quot;&#41;&#x20;{&#x20;print&#x20;$6&#x20;}&#039;&#x20;&#x20;|&#x20;while&#x20;read&#x20;dir&#x20;do&#x20;ls&#x20;-d&#x20;&quot;$dir/&quot;.[!.]*&#x20;|&#x20;while&#x20;read&#x20;file&#x20;do&#x20;&#x20;if&#x20;[&#x20;!&#x20;-h&#x20;&quot;$file&quot;&#x20;-a&#x20;-f&#x20;&quot;$file&quot;&#x20;]&#x20;then&#x20;chmod&#x20;go-w&#x20;&quot;$file&quot;&#x20;fi&#x20;done&#x20;done','[{\"cis\": [\"1.8.8\"]}, {\"cis_level\": [\"1\"]}]'),(30053,'Remove&#x20;user&#x20;.netrc,&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files.','Remove&#x20;user&#x20;.netrc,&#x20;.rhosts,&#x20;and&#x20;.shosts&#x20;files.&#x20;Note&#x20;that&#x20;making&#x20;global&#x20;modifications&#x20;to&#x20;user&#x20;security&#x20;files&#x20;in&#x20;their&#x20;home&#x20;directories&#x20;without&#x20;alerting&#x20;your&#x20;user&#x20;community&#x20;can&#x20;result&#x20;in&#x20;unexpected&#x20;outages&#x20;and&#x20;unhappy&#x20;users.','.netrc&#x20;files&#x20;may&#x20;contain&#x20;unencrypted&#x20;passwords&#x20;that&#x20;may&#x20;be&#x20;used&#x20;to&#x20;attack&#x20;other&#x20;systems,&#x20;while&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files&#x20;used&#x20;in&#x20;conjunction&#x20;with&#x20;the&#x20;BSD-style&#x20;&ldquo;r-commands&rdquo;&#x20;&#40;rlogin,&#x20;remsh,&#x20;rcp&#41;&#x20;or&#x20;SSH&#x20;implement&#x20;a&#x20;weak&#x20;form&#x20;of&#x20;authentication&#x20;based&#x20;on&#x20;the&#x20;network&#x20;address&#x20;or&#x20;host&#x20;name&#x20;of&#x20;the&#x20;remote&#x20;computer&#x20;&#40;which&#x20;can&#x20;be&#x20;spoofed&#x20;by&#x20;a&#x20;potential&#x20;attacker&#x20;to&#x20;exploit&#x20;the&#x20;local&#x20;system&#41;.','','Perform&#x20;the&#x20;following&#x20;to&#x20;remove&#x20;user&#x20;.netrc,&#x20;.rhosts,&#x20;and&#x20;.shosts&#x20;files.&#x20;1.&#x20;Identify&#x20;all&#x20;user&#x20;accounts,&#x20;and&#x20;for&#x20;each&#x20;existing&#x20;home&#x20;directory:&#x20;2.&#x20;Remove&#x20;.netrc,&#x20;.rhosts,&#x20;and&#x20;.shosts&#x20;files&#x20;The&#x20;following&#x20;script&#x20;performs&#x20;the&#x20;procedure&#x20;above:&#x20;logins&#x20;-ox&#x20;|&#x20;cut&#x20;-f6&#x20;-d:&#x20;|&#x20;while&#x20;read&#x20;h&#x20;do&#x20;for&#x20;file&#x20;in&#x20;&quot;$h/.netrc&quot;&#x20;&quot;$h/.rhosts&quot;&#x20;&quot;$h/.shosts&quot;&#x20;do&#x20;&#x20;if&#x20;[&#x20;-f&#x20;&quot;$file&quot;&#x20;]&#x20;then&#x20;&#x20;echo&#x20;&quot;removing&#x20;$file&quot;&#x20;rm&#x20;-f&#x20;&quot;$file&quot;&#x20;fi&#x20;done&#x20;done','[{\"cis\": [\"1.8.9\"]}, {\"cis_level\": [\"1\"]}]'),(30054,'Set&#x20;default&#x20;umask&#x20;for&#x20;users.','Set&#x20;the&#x20;default&#x20;umask&#x20;to&#x20;077&#x20;so&#x20;that&#x20;files&#x20;created&#x20;by&#x20;users&#x20;will&#x20;not&#x20;be&#x20;readable&#x20;by&#x20;any&#x20;other&#x20;user&#x20;on&#x20;the&#x20;system.&#x20;A&#x20;umask&#x20;of&#x20;027&#x20;would&#x20;make&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;users&#x20;in&#x20;the&#x20;same&#x20;Unix&#x20;group,&#x20;while&#x20;a&#x20;umask&#x20;of&#x20;022&#x20;would&#x20;make&#x20;files&#x20;readable&#x20;by&#x20;every&#x20;user&#x20;on&#x20;the&#x20;system.&#x20;-&#x20;Bastille&#x20;Note:&#x20;sets&#x20;the&#x20;default&#x20;umask,&#x20;but&#x20;uses&#x20;a&#x20;umask&#x20;of&#x20;027&#x20;rather&#x20;than&#x20;the&#x20;077.','Restricting&#x20;access&#x20;to&#x20;files&#x20;and&#x20;directories&#x20;created&#x20;by&#x20;a&#x20;user&#x20;from&#x20;any&#x20;other&#x20;user&#x20;on&#x20;the&#x20;system&#x20;reduces&#x20;the&#x20;possibility&#x20;of&#x20;an&#x20;unauthorized&#x20;account&#x20;accessing&#x20;that&#x20;user&#039;s&#x20;files.&#x20;The&#x20;user&#x20;creating&#x20;the&#x20;file&#x20;has&#x20;the&#x20;discretion&#x20;of&#x20;making&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;others&#x20;via&#x20;the&#x20;chmod&#x20;command.&#x20;Users&#x20;who&#x20;wish&#x20;to&#x20;allow&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;to&#x20;be&#x20;readable&#x20;by&#x20;others&#x20;by&#x20;default&#x20;may&#x20;choose&#x20;a&#x20;different&#x20;default&#x20;umask&#x20;by&#x20;inserting&#x20;the&#x20;umask&#x20;command&#x20;into&#x20;the&#x20;standard&#x20;shell&#x20;configuration&#x20;files&#x20;&#40;.profile,&#x20;.cshrc,&#x20;etc.&#41;&#x20;in&#x20;their&#x20;home&#x20;directories.','','Perform&#x20;the&#x20;following&#x20;to&#x20;set&#x20;a&#x20;default&#x20;umask&#x20;for&#x20;users:&#x20;1.&#x20;Change&#x20;directory&#x20;to&#x20;/etc&#x20;2.&#x20;Append&#x20;the&#x20;line&#x20;umask&#x20;077&#x20;to&#x20;the&#x20;following&#x20;files:&#x20;a.&#x20;profile&#x20;b.&#x20;csh.login&#x20;c.&#x20;d.profile&#x20;d.&#x20;d.login&#x20;3.&#x20;Update&#x20;the&#x20;UMASK&#x20;parameter&#x20;to&#x20;077&#x20;in&#x20;the&#x20;file&#x20;/etc/default/security&#x20;The&#x20;following&#x20;script&#x20;performs&#x20;the&#x20;procedure&#x20;above:&#x20;cd&#x20;/etc&#x20;for&#x20;file&#x20;in&#x20;profile&#x20;csh.login&#x20;d.profile&#x20;d.login&#x20;do&#x20;echo&#x20;umask&#x20;077&#x20;&gt;&gt;&#x20;&quot;$file&quot;&#x20;done&#x20;ch_rc&#x20;-a&#x20;-p&#x20;UMASK=077&#x20;/etc/default/security','[{\"cis\": [\"1.8.10\"]}, {\"cis_level\": [\"1\"]}]'),(30055,'Set&#x20;&#039;mesg&#x20;n&#039;&#x20;as&#x20;default&#x20;for&#x20;all&#x20;users.','Block&#x20;the&#x20;use&#x20;of&#x20;write&#x20;or&#x20;talk&#x20;commands&#x20;to&#x20;contact&#x20;the&#x20;user&#x20;at&#x20;their&#x20;terminal&#x20;in&#x20;order&#x20;to&#x20;slightly&#x20;strengthen&#x20;permissions&#x20;on&#x20;the&#x20;user&#039;s&#x20;tty&#x20;device.&#x20;Note&#x20;that&#x20;this&#x20;setting&#x20;is&#x20;the&#x20;default&#x20;on&#x20;HP-UX&#x20;11i.','Since&#x20;write&#x20;and&#x20;talk&#x20;are&#x20;no&#x20;longer&#x20;widely&#x20;used&#x20;at&#x20;most&#x20;sites,&#x20;the&#x20;incremental&#x20;security&#x20;increase&#x20;is&#x20;worth&#x20;the&#x20;loss&#x20;of&#x20;functionality.','','Perform&#x20;the&#x20;following:&#x20;1.&#x20;Change&#x20;directory&#x20;to&#x20;/etc&#x20;2.&#x20;Append&#x20;the&#x20;line&#x20;mesg&#x20;n&#x20;to&#x20;the&#x20;following&#x20;files:&#x20;a.&#x20;profile&#x20;b.&#x20;csh.login&#x20;c.&#x20;d.profile&#x20;d.&#x20;d.login&#x20;The&#x20;following&#x20;script&#x20;performs&#x20;the&#x20;procedure&#x20;above:&#x20;&#x20;cd&#x20;/etc&#x20;for&#x20;file&#x20;in&#x20;profile&#x20;csh.login&#x20;d.profile&#x20;d.login&#x20;do&#x20;&#x20;echo&#x20;mesg&#x20;n&#x20;&gt;&gt;&#x20;&quot;$file&quot;&#x20;done','[{\"cis\": [\"1.8.11\"]}, {\"cis_level\": [\"1\"]}]'),(30056,'Create&#x20;warning&#x20;banners&#x20;for&#x20;terminal-session&#x20;logins.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;prior&#x20;to&#x20;the&#x20;login&#x20;prompt&#x20;on&#x20;the&#x20;system&#039;s&#x20;console&#x20;and&#x20;serial&#x20;devices,&#x20;as&#x20;well&#x20;as&#x20;for&#x20;remote&#x20;terminal-session&#x20;logins&#x20;such&#x20;as&#x20;through&#x20;SSH&#x20;or&#x20;Telnet.&#x20;&#x20;/etc/motd&#x20;is&#x20;generally&#x20;displayed&#x20;after&#x20;all&#x20;successful&#x20;logins,&#x20;no&#x20;matter&#x20;where&#x20;the&#x20;user&#x20;is&#x20;logging&#x20;in&#x20;from,&#x20;but&#x20;is&#x20;thought&#x20;to&#x20;be&#x20;less&#x20;useful&#x20;because&#x20;it&#x20;only&#x20;provides&#x20;notification&#x20;to&#x20;the&#x20;user&#x20;after&#x20;the&#x20;machine&#x20;has&#x20;been&#x20;accessed.','Presenting&#x20;some&#x20;sort&#x20;of&#x20;statutory&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;logon&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.&#x20;Changing&#x20;some&#x20;of&#x20;these&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;hiding&#x20;OS&#x20;version&#x20;information&#x20;and&#x20;other&#x20;detailed&#x20;system&#x20;information&#x20;from&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;attacks&#x20;at&#x20;a&#x20;system.','','Perform&#x20;the&#x20;following&#x20;to&#x20;create&#x20;warning&#x20;banners&#x20;for&#x20;terminal-session&#x20;logins:&#x20;1.&#x20;Compose&#x20;a&#x20;default&#x20;banner&#x20;text&#x20;string&#x20;2.&#x20;Append&#x20;this&#x20;string&#x20;to&#x20;the&#x20;files&#x20;&#x20;/etc/motd&#x20;and&#x20;/etc/motd&#x20;3.&#x20;Change&#x20;the&#x20;owner&#x20;to&#x20;root&#x20;and&#x20;group&#x20;owner&#x20;to&#x20;sys&#x20;&#x20;for&#x20;the&#x20;file&#x20;/etc/motd&#x20;4.&#x20;Change&#x20;the&#x20;owner&#x20;to&#x20;root&#x20;and&#x20;group&#x20;owner&#x20;to&#x20;root&#x20;for&#x20;the&#x20;file&#x20;/etc/issue&#x20;5.&#x20;Change&#x20;file&#x20;permissions&#x20;to&#x20;&#40;644&#41;&#x20;for&#x20;the&#x20;files&#x20;/etc/motd&#x20;and&#x20;/etc/issue','[{\"cis\": [\"1.9.1\"]}, {\"cis_level\": [\"1\"]}]'),(30057,'Create&#x20;warning&#x20;banners&#x20;for&#x20;GUI&#x20;logins.','The&#x20;standard&#x20;graphical&#x20;login&#x20;program&#x20;for&#x20;HP-UX&#x20;requires&#x20;the&#x20;user&#x20;to&#x20;enter&#x20;their&#x20;username&#x20;in&#x20;one&#x20;dialog&#x20;box&#x20;and&#x20;their&#x20;password&#x20;in&#x20;a&#x20;second&#x20;separate&#x20;dialog.&#x20;The&#x20;commands&#x20;below&#x20;set&#x20;the&#x20;warning&#x20;message&#x20;on&#x20;both&#x20;to&#x20;be&#x20;the&#x20;same&#x20;message,&#x20;but&#x20;the&#x20;site&#x20;has&#x20;the&#x20;option&#x20;of&#x20;using&#x20;different&#x20;messages&#x20;on&#x20;each&#x20;screen.&#x20;The&#x20;Dtlogin*greeting.labelString&#x20;is&#x20;the&#x20;message&#x20;for&#x20;the&#x20;first&#x20;dialog&#x20;where&#x20;the&#x20;user&#x20;is&#x20;prompted&#x20;for&#x20;their&#x20;username,&#x20;and&#x20;.perslabelString&#x20;is&#x20;the&#x20;message&#x20;on&#x20;the&#x20;second&#x20;dialog&#x20;box.&#x20;Note&#x20;that&#x20;system&#x20;administrators&#x20;may&#x20;wish&#x20;to&#x20;consult&#x20;with&#x20;their&#x20;site&rsquo;s&#x20;legal&#x20;council&#x20;about&#x20;the&#x20;specifics&#x20;of&#x20;any&#x20;warning&#x20;banners.','Presenting&#x20;some&#x20;sort&#x20;of&#x20;statutory&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;logon&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.&#x20;Changing&#x20;some&#x20;of&#x20;these&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;hiding&#x20;OS&#x20;version&#x20;information&#x20;and&#x20;other&#x20;detailed&#x20;system&#x20;information&#x20;from&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;attacks&#x20;at&#x20;a&#x20;system.','','Perform&#x20;the&#x20;following&#x20;to&#x20;install&#x20;default&#x20;warning&#x20;banners&#x20;for&#x20;GUI&#x20;logins:&#x20;1.&#x20;Create&#x20;a&#x20;default&#x20;banner&#x20;text&#x20;string&#x20;&#40;$banner&#41;&#x20;2.&#x20;For&#x20;each&#x20;directory&#x20;in&#x20;/usr/dt/config&#x20;that&#x20;contains&#x20;a&#x20;Xresources&#x20;file,&#x20;copy&#x20;that&#x20;Xresources&#x20;file&#x20;into&#x20;a&#x20;corresponding&#x20;directory&#x20;in&#x20;/etc/dt/config&#x20;&#40;creating&#x20;the&#x20;directory&#x20;if&#x20;needed&#41;&#x20;3.&#x20;Append&#x20;the&#x20;following&#x20;lines&#x20;&#40;replacing&#x20;$banner&#x20;with&#x20;the&#x20;string&#x20;in&#x20;step&#x20;1&#41;&#x20;to&#x20;each&#x20;/etc/dt/config&#47;&#42;/Xresources&#x20;file:&#x20;a.&#x20;Dtlogin*greeting.labelString:&#x20;$banner&#x20;b.&#x20;Dtlogin*greeting.persLabelString:&#x20;$banner&#x20;4.&#x20;Change&#x20;the&#x20;owner&#x20;to&#x20;root&#x20;and&#x20;group&#x20;owner&#x20;to&#x20;sys&#x20;for&#x20;each&#x20;Xresource&#x20;file&#x20;5.&#x20;Change&#x20;the&#x20;file&#x20;permissions&#x20;to&#x20;644&#x20;for&#x20;each&#x20;Xresource&#x20;file&#x20;The&#x20;following&#x20;script&#x20;performs&#x20;the&#x20;procedure&#x20;above:&#x20;banner=&quot;Authorized&#x20;users&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;for&#x20;file&#x20;in&#x20;/usr/dt/config&#47;&#42;/Xresources;&#x20;do&#x20;dir=&quot;$&#40;dirname&#x20;&quot;$file&quot;&#x20;|&#x20;sed&#x20;&#039;s|^/usr/|/etc/|&#039;&#41;&quot;&#x20;mkdir&#x20;-p&#x20;&quot;$dir&quot;&#x20;if&#x20;[&#x20;!&#x20;-f&#x20;&quot;$dir/Xresources&quot;&#x20;];&#x20;then&#x20;cp&#x20;-p&#x20;&quot;$file&quot;&#x20;&quot;$dir/Xresources&quot;&#x20;fi&#x20;echo&#x20;&quot;Dtlogin*greeting.labelString:&#x20;$banner&quot;&#x20;&#x20;&gt;&gt;&#x20;&quot;$dir/Xresources&quot;&#x20;echo&#x20;&quot;Dtlogin*greeting.persLabelString:&#x20;$banner&quot;&#x20;&#x20;&gt;&gt;&#x20;&quot;$dir/Xresources&quot;&#x20;done&#x20;chown&#x20;root:sys&#x20;/etc/dt/config&#47;&#42;/Xresources&#x20;chmod&#x20;644&#x20;/etc/dt/config&#47;&#42;/Xresources','[{\"cis\": [\"1.9.2\"]}, {\"cis_level\": [\"1\"]}]'),(30058,'Create&#x20;warning&#x20;banners&#x20;for&#x20;FTP&#x20;daemon.','The&#x20;FTP&#x20;daemon&#x20;in&#x20;HP-UX&#x20;11&#x20;is&#x20;based&#x20;on&#x20;the&#x20;popular&#x20;Washington&#x20;University&#x20;FTP&#x20;daemon&#x20;&#40;WU-FTPD&#41;,&#x20;which&#x20;is&#x20;an&#x20;Open&#x20;Source&#x20;program&#x20;widely&#x20;distributed&#x20;on&#x20;the&#x20;Internet.&#x20;Note&#x20;that&#x20;this&#x20;setting&#x20;has&#x20;no&#x20;effect&#x20;if&#x20;the&#x20;FTP&#x20;daemon&#x20;remains&#x20;de-activated&#x20;from&#x20;item&#x20;1.2.1.','Presenting&#x20;some&#x20;sort&#x20;of&#x20;statutory&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;logon&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.&#x20;Changing&#x20;some&#x20;of&#x20;these&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;hiding&#x20;OS&#x20;version&#x20;information&#x20;and&#x20;other&#x20;detailed&#x20;system&#x20;information&#x20;from&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;attacks&#x20;at&#x20;a&#x20;system.','','Perform&#x20;the&#x20;following&#x20;to&#x20;install&#x20;a&#x20;default&#x20;warning&#x20;banner&#x20;for&#x20;the&#x20;FTP&#x20;daemon:&#x20;1.&#x20;Ensure&#x20;that&#x20;an&#x20;appropriate&#x20;warning&#x20;message&#x20;exists&#x20;in&#x20;the&#x20;/etc/issue&#x20;file&#x20;.&#x20;2.&#x20;Append&#x20;the&#x20;line&#x20;&quot;banner&#x20;/etc/issue&quot;&#x20;to&#x20;the&#x20;file&#x20;/etc/ftpd/ftpaccess&#x20;3.&#x20;Change&#x20;file&#x20;permissions&#x20;to&#x20;600&#x20;for&#x20;/etc/ftpd/ftpaccess&#x20;4.&#x20;Change&#x20;owner&#x20;to&#x20;root&#x20;and&#x20;group&#x20;owner&#x20;to&#x20;sys&#x20;for&#x20;both&#x20;/etc/ftpd&#x20;and&#x20;/etc/ftpd/ftpaccess&#x20;The&#x20;following&#x20;script&#x20;performs&#x20;the&#x20;procedure&#x20;above:&#x20;if&#x20;[&#x20;-d&#x20;/etc/ftpd&#x20;];&#x20;then&#x20;echo&#x20;&quot;banner&#x20;/etc/issue&quot;&#x20;&gt;&gt;/etc/ftpd/ftpaccess&#x20;chmod&#x20;600&#x20;/etc/ftpd/ftpaccess&#x20;chown&#x20;root:sys&#x20;/etc/ftpd&#x20;/etc/ftpd/ftpaccess&#x20;fi','[{\"cis\": [\"1.9.3\"]}, {\"cis_level\": [\"1\"]}]'),(30131,'Resolve&#x20;&#039;unowned&#039;&#x20;files&#x20;and&#x20;directories.','Evaluate&#x20;ownership&#x20;of&#x20;any&#x20;files&#x20;that&#x20;are&#x20;not&#x20;owned&#x20;by&#x20;a&#x20;locally&#x20;defined&#x20;user,&#x20;and&#x20;consider&#x20;reassignment&#x20;to&#x20;an&#x20;active&#x20;user.','Sometimes&#x20;when&#x20;administrators&#x20;delete&#x20;users&#x20;from&#x20;the&#x20;system&#x20;they&#x20;neglect&#x20;to&#x20;remove&#x20;all&#x20;files&#x20;owned&#x20;by&#x20;those&#x20;users&#x20;from&#x20;the&#x20;system.&#x20;A&#x20;new&#x20;user&#x20;who&#x20;is&#x20;assigned&#x20;the&#x20;deleted&#x20;user&#039;s&#x20;user&#x20;ID&#x20;or&#x20;group&#x20;ID&#x20;may&#x20;then&#x20;end&#x20;up&#x20;&#039;owning&#039;&#x20;these&#x20;files,&#x20;and&#x20;thus&#x20;have&#x20;more&#x20;access&#x20;on&#x20;the&#x20;system&#x20;than&#x20;was&#x20;intended.&#x20;It&#x20;is&#x20;a&#x20;good&#x20;idea&#x20;to&#x20;locate&#x20;files&#x20;that&#x20;are&#x20;owned&#x20;by&#x20;users&#x20;or&#x20;groups&#x20;not&#x20;listed&#x20;in&#x20;the&#x20;system&#x20;configuration&#x20;files,&#x20;and&#x20;make&#x20;sure&#x20;to&#x20;reset&#x20;the&#x20;ownership&#x20;of&#x20;these&#x20;files&#x20;to&#x20;some&#x20;active&#x20;user&#x20;on&#x20;the&#x20;system&#x20;&#40;in&#x20;this&#x20;example,&#x20;&#039;bin&#039;&#41;&#x20;as&#x20;appropriate.','','Perform&#x20;the&#x20;following&#x20;to&#x20;identify&#x20;&quot;unowned&quot;&#x20;files&#x20;and&#x20;directories,&#x20;and&#x20;consider&#x20;resetting&#x20;ownership&#x20;to&#x20;a&#x20;default&#x20;owner&#x20;and&#x20;restricting&#x20;access&#x20;permissions:&#x20;1.&#x20;Locate&#x20;all&#x20;local&#x20;files&#x20;that&#x20;are&#x20;owned&#x20;by&#x20;users&#x20;or&#x20;groups&#x20;not&#x20;listed&#x20;in&#x20;the&#x20;system&#x20;configuration&#x20;files.&#x20;find&#x20;/&#x20;&#40;&#x20;-nouser&#x20;-o&#x20;-nogroup&#x20;&#41;&#x20;2.&#x20;Consider&#x20;resetting&#x20;user&#x20;and&#x20;group&#x20;ownership&#x20;of&#x20;these&#x20;files&#x20;to&#x20;a&#x20;default&#x20;active&#x20;user&#x20;&#40;e.g.&#x20;bin&#41;&#x20;chown&#x20;bin:bin&#x20;&lt;filename&gt;&#x20;3.&#x20;Consider&#x20;restricting&#x20;world-write&#x20;permissions,&#x20;and&#x20;removing&#x20;any&#x20;SUID/SGID&#x20;bits&#x20;on&#x20;these&#x20;files.&#x20;chmod&#x20;ug-s,o-w&#x20;&lt;filename&gt;&#x20;-&#x20;Note:&#x20;there&#x20;is&#x20;no&#x20;reason&#x20;for&#x20;an&#x20;application&#x20;to&#x20;require&#x20;an&#x20;unowned&#x20;file,&#x20;so&#x20;these&#x20;changes&#x20;should&#x20;be&#x20;application-safe.','[{\"cis\": [\"1.5.3\"]}, {\"cis_level\": [\"1\"]}]'),(30144,'Turn&#x20;on&#x20;additional&#x20;logging&#x20;for&#x20;FTP&#x20;daemon.','If&#x20;the&#x20;FTP&#x20;daemon&#x20;is&#x20;left&#x20;on,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;command&#x20;logging&#x20;&#40;-L&#41;&#x20;and&#x20;connection&#x20;logging&#x20;&#40;-l&#41;&#x20;flags&#x20;also&#x20;be&#x20;enabled&#x20;to&#x20;track&#x20;FTP&#x20;activity&#x20;on&#x20;the&#x20;system,&#x20;allowing&#x20;the&#x20;administrator&#x20;&#40;or&#x20;software&#41;&#x20;to&#x20;scan&#x20;the&#x20;logs&#x20;for&#x20;unusual&#x20;activity.&#x20;This&#x20;is&#x20;especially&#x20;powerful&#x20;when&#x20;combined&#x20;with&#x20;the&#x20;access&#x20;control&#x20;capabilities&#x20;accessible&#x20;through&#x20;inetd&#039;s&#x20;/var/adm/inetd.sec&#x20;configuration&#x20;file.&#x20;Note&#x20;that&#x20;this&#x20;setting&#x20;has&#x20;no&#x20;effect&#x20;if&#x20;the&#x20;FTP&#x20;daemon&#x20;remains&#x20;de-activated&#x20;from&#x20;item&#x20;2.1.&#x20;Also&#x20;note&#x20;that&#x20;enabling&#x20;command&#x20;logging&#x20;on&#x20;the&#x20;FTP&#x20;daemon&#x20;&#40;HP-UX&#x20;11.x&#x20;only&#41;&#x20;can&#x20;cause&#x20;user&#x20;passwords&#x20;to&#x20;appear&#x20;in&#x20;clear-text&#x20;form&#x20;in&#x20;the&#x20;system&#x20;logs,&#x20;if&#x20;the&#x20;user&#x20;accidentally&#x20;types&#x20;their&#x20;password&#x20;at&#x20;the&#x20;username&#x20;prompt.&#x20;Information&#x20;about&#x20;FTP&#x20;sessions&#x20;will&#x20;be&#x20;logged&#x20;to&#x20;Syslog&#x20;and&#x20;by&#x20;default&#x20;HP-UX&#x20;systems&#x20;deposit&#x20;this&#x20;logging&#x20;information&#x20;in&#x20;/var/adm/syslog/syslog.log&#x20;with&#x20;other&#x20;system&#x20;log&#x20;messages.&#x20;Should&#x20;the&#x20;administrator&#x20;wish&#x20;to&#x20;capture&#x20;this&#x20;information&#x20;in&#x20;a&#x20;separate&#x20;file,&#x20;simply&#x20;modify&#x20;/etc/syslog.conf&#x20;to&#x20;log&#x20;daemon.notice&#x20;to&#x20;some&#x20;other&#x20;log&#x20;file&#x20;destination.','Logging&#x20;information&#x20;about&#x20;the&#x20;source&#x20;of&#x20;ftp&#x20;network&#x20;connections&#x20;assists&#x20;in&#x20;the&#x20;detection&#x20;and&#x20;identification&#x20;of&#x20;unusual&#x20;activity&#x20;that&#x20;may&#x20;be&#x20;associated&#x20;with&#x20;security&#x20;intrusions.','','Perform&#x20;the&#x20;following&#x20;to&#x20;enable&#x20;logging&#x20;for&#x20;the&#x20;FTP&#x20;daemon:&#x20;1.&#x20;Change&#x20;directory&#x20;to&#x20;/etc.&#x20;2.&#x20;Open&#x20;the&#x20;inetd.conf&#x20;file&#x20;and&#x20;locate&#x20;the&#x20;ftpd&#x20;configuration&#x20;entry&#x20;line.&#x20;3.&#x20;Add&#x20;the&#x20;&quot;-L&quot;&#x20;and&#x20;&quot;-l&quot;&#x20;flags&#x20;to&#x20;the&#x20;ftpd&#x20;entry&#x20;if&#x20;not&#x20;already&#x20;present.&#x20;4.&#x20;Save&#x20;and&#x20;close&#x20;file.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;cd&#x20;/etc&#x20;awk&#x20;&#039;/^ftpd/&#x20;&amp;&amp;&#x20;!/-L/&#x20;{&#x20;$NF&#x20;=&#x20;$NF&#x20;&quot;&#x20;-L&quot;&#x20;}&#x20;/^ftpd/&#x20;&amp;&amp;&#x20;!/-l/&#x20;{&#x20;$NF&#x20;=&#x20;$NF&#x20;&quot;&#x20;-l&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.tmp&#x20;cp&#x20;inetd.conf.tmp&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;inetd.conf.tmp','[{\"cis\": [\"1.7.3\"]}, {\"cis_level\": [\"1\"]}]'),(31000,'Ensure&#x20;All&#x20;Apple-provided&#x20;Software&#x20;Is&#x20;Current.','Software&#x20;vendors&#x20;release&#x20;security&#x20;patches&#x20;and&#x20;software&#x20;updates&#x20;for&#x20;their&#x20;products&#x20;when&#x20;security&#x20;vulnerabilities&#x20;are&#x20;discovered.&#x20;There&#x20;is&#x20;no&#x20;simple&#x20;way&#x20;to&#x20;complete&#x20;this&#x20;action&#x20;without&#x20;a&#x20;network&#x20;connection&#x20;to&#x20;an&#x20;Apple&#x20;software&#x20;repository.&#x20;Please&#x20;ensure&#x20;appropriate&#x20;access&#x20;for&#x20;this&#x20;control.&#x20;This&#x20;check&#x20;is&#x20;only&#x20;for&#x20;what&#x20;Apple&#x20;provides&#x20;through&#x20;software&#x20;update.&#x20;Software&#x20;updates&#x20;should&#x20;be&#x20;run&#x20;at&#x20;minimum&#x20;every&#x20;30&#x20;days.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;verify&#x20;when&#x20;software&#x20;update&#x20;was&#x20;previously&#x20;run:&#x20;$&#x20;/usr/bin/sudo&#x20;defaults&#x20;read&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;|&#x20;grep&#x20;-e&#x20;LastFullSuccessfulDate.&#x20;The&#x20;response&#x20;should&#x20;be&#x20;in&#x20;the&#x20;last&#x20;30&#x20;days&#x20;&#40;Example&#41;:&#x20;LastFullSuccessfulDate&#x20;=&#x20;&quot;2020-07-30&#x20;12:45:25&#x20;+0000&quot;;.','It&#x20;is&#x20;important&#x20;that&#x20;these&#x20;updates&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;prevent&#x20;unauthorized&#x20;persons&#x20;from&#x20;exploiting&#x20;the&#x20;identified&#x20;vulnerabilities.','Missing&#x20;patches&#x20;can&#x20;lead&#x20;to&#x20;more&#x20;exploit&#x20;opportunities.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;to&#x20;install&#x20;all&#x20;available&#x20;software&#x20;updates:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Software&#x20;Update&#x20;4.&#x20;Select&#x20;Update&#x20;All&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;verify&#x20;what&#x20;packages&#x20;need&#x20;to&#x20;be&#x20;installed:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/softwareupdate&#x20;-l&#x20;The&#x20;output&#x20;will&#x20;include&#x20;the&#x20;following:&#x20;Software&#x20;Update&#x20;found&#x20;the&#x20;following&#x20;new&#x20;or&#x20;updated&#x20;software:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;all&#x20;the&#x20;packages&#x20;that&#x20;need&#x20;to&#x20;be&#x20;updated:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/softwareupdate&#x20;-i&#x20;-a&#x20;-R&#x20;Or&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;individual&#x20;packages:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/softwareupdate&#x20;-i&#x20;&#039;&lt;package&#x20;name&gt;&#039;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/softwareupdate&#x20;-l&#x20;Software&#x20;Update&#x20;Tool&#x20;Finding&#x20;available&#x20;software&#x20;Software&#x20;Update&#x20;found&#x20;the&#x20;following&#x20;new&#x20;or&#x20;updated&#x20;software:&#x20;*&#x20;iTunesX-12.8.2&#x20;iTunes&#x20;&#40;12.8.2&#41;,&#x20;273614K&#x20;[recommended]&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/softwareupdate&#x20;-i&#x20;&#039;iTunesX-12.8.2&#039;&#x20;Software&#x20;Update&#x20;Tool&#x20;Downloaded&#x20;iTunes&#x20;Installing&#x20;iTunes&#x20;Done&#x20;with&#x20;iTunes&#x20;Done.','[{\"cis\": [\"1.1\"]}, {\"cis_csc_v8\": [\"7.3\", \"7.4\"]}, {\"cis_csc_v7\": [\"3.4\", \"3.5\"]}, {\"cmmc_v2.0\": [\"SI.L1-3.14.1\"]}, {\"mitre_techniques\": [\"T1017\", \"T1019\", \"T1031\", \"T1034\", \"T1038\", \"T1044\", \"T1053\", \"T1068\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1078\", \"T1081\", \"T1088\", \"T1100\", \"T1103\", \"T1114\", \"T1137\", \"T1138\", \"T1145\", \"T1161\", \"T1176\", \"T1189\", \"T1190\", \"T1195\", \"T1210\", \"T1211\", \"T1212\", \"T1213\", \"T1214\", \"T1482\", \"T1484\", \"T1495\", \"T1505\", \"T1525\", \"T1527\", \"T1528\", \"T1530\"]}, {\"nist_sp_800-53\": [\"SI-2(2)\"]}, {\"pci_dss_v3.2.1\": [\"6.2\"]}, {\"soc_2\": [\"CC7.1\"]}]'),(31001,'Ensure&#x20;Auto&#x20;Update&#x20;Is&#x20;Enabled.','Auto&#x20;Update&#x20;verifies&#x20;that&#x20;your&#x20;system&#x20;has&#x20;the&#x20;newest&#x20;security&#x20;patches&#x20;and&#x20;software&#x20;updates.&#x20;If&#x20;&quot;Automatically&#x20;check&#x20;for&#x20;updates&quot;&#x20;is&#x20;not&#x20;selected,&#x20;background&#x20;updates&#x20;for&#x20;new&#x20;malware&#x20;definition&#x20;files&#x20;from&#x20;Apple&#x20;for&#x20;XProtect&#x20;and&#x20;Gatekeeper&#x20;will&#x20;not&#x20;occur.&#x20;http://macops.ca/os-x-admins-your-clients-are-not-getting-background-security-updates/&#x20;https://derflounder.wordpress.com/2014/12/17/forcing-xprotect-blacklist-updates-on-mavericks-and-yosemite/.','It&#x20;is&#x20;important&#x20;that&#x20;a&#x20;system&#x20;has&#x20;the&#x20;newest&#x20;updates&#x20;applied&#x20;so&#x20;as&#x20;to&#x20;prevent&#x20;unauthorized&#x20;persons&#x20;from&#x20;exploiting&#x20;identified&#x20;vulnerabilities.','Without&#x20;automatic&#x20;update,&#x20;updates&#x20;may&#x20;not&#x20;be&#x20;made&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;and&#x20;the&#x20;system&#x20;will&#x20;be&#x20;exposed&#x20;to&#x20;additional&#x20;risk.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;steps&#x20;following&#x20;to&#x20;enable&#x20;the&#x20;system&#x20;to&#x20;automatically&#x20;check&#x20;for&#x20;updates:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Software&#x20;Update&#x20;4.&#x20;Select&#x20;the&#x20;i&#x20;5.&#x20;Set&#x20;Check&#x20;for&#x20;updates&#x20;to&#x20;enabled&#x20;6.&#x20;Select&#x20;Done&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;auto&#x20;update:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;AutomaticCheckEnabled&#x20;-bool&#x20;true&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.SoftwareUpdate&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;AutomaticCheckEnabled&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"1.2\"]}, {\"cis_csc_v8\": [\"7.3\", \"7.4\"]}, {\"cis_csc_v7\": [\"3.4\", \"3.5\"]}, {\"cmmc_v2.0\": [\"SI.L1-3.14.1\"]}, {\"nist_sp_800-53\": [\"SI-2(2)\"]}, {\"pci_dss_v3.2.1\": [\"6.2\"]}, {\"soc_2\": [\"CC7.1\"]}, {\"mitre_techniques\": [\"T1103\", \"T1017\", \"T1138\", \"T1189\", \"T1190\", \"T1212\", \"T1211\", \"T1068\", \"T1210\", \"T1495\", \"T1137\", \"T1075\", \"T1195\", \"T1019\", \"T1072\", \"T1100\", \"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\"]}]'),(31002,'Ensure&#x20;Download&#x20;New&#x20;Updates&#x20;When&#x20;Available&#x20;Is&#x20;Enabled.','In&#x20;the&#x20;GUI,&#x20;both&#x20;&quot;Install&#x20;macOS&#x20;updates&quot;&#x20;and&#x20;&quot;Install&#x20;app&#x20;updates&#x20;from&#x20;the&#x20;App&#x20;Store&quot;&#x20;are&#x20;dependent&#x20;on&#x20;whether&#x20;&quot;Download&#x20;new&#x20;updates&#x20;when&#x20;available&quot;&#x20;is&#x20;selected.','It&#x20;is&#x20;important&#x20;that&#x20;a&#x20;system&#x20;has&#x20;the&#x20;newest&#x20;updates&#x20;downloaded&#x20;so&#x20;that&#x20;they&#x20;can&#x20;be&#x20;applied.','If&#x20;&quot;Download&#x20;new&#x20;updates&#x20;when&#x20;available&quot;&#x20;is&#x20;not&#x20;selected,&#x20;updates&#x20;may&#x20;not&#x20;be&#x20;made&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;and&#x20;the&#x20;system&#x20;will&#x20;be&#x20;exposed&#x20;to&#x20;additional&#x20;risk.','Perform&#x20;the&#x20;following&#x20;to&#x20;enable&#x20;the&#x20;system&#x20;to&#x20;automatically&#x20;check&#x20;for&#x20;updates:&#x20;Graphical&#x20;Method:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Software&#x20;Update&#x20;4.&#x20;Select&#x20;the&#x20;i&#x20;5.&#x20;Set&#x20;Download&#x20;new&#x20;updates&#x20;when&#x20;available&#x20;to&#x20;enabled&#x20;6.&#x20;Select&#x20;Done&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;auto&#x20;update:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;AutomaticDownload&#x20;-bool&#x20;true&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.SoftwareUpdate&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;AutomaticDownload&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"1.3\"]}, {\"cis_csc_v8\": [\"7.3\", \"7.4\"]}, {\"cis_csc_v7\": [\"3.4\", \"3.5\"]}, {\"cmmc_v2.0\": [\"SI.L1-3.14.1\"]}, {\"nist_sp_800-53\": [\"SI-2(2)\"]}, {\"pci_dss_v3.2.1\": [\"6.2\"]}, {\"soc_2\": [\"CC7.1\"]}, {\"mitre_techniques\": [\"T1103\", \"T1017\", \"T1138\", \"T1189\", \"T1190\", \"T1212\", \"T1211\", \"T1068\", \"T1210\", \"T1495\", \"T1137\", \"T1075\", \"T1195\", \"T1019\", \"T1072\", \"T1100\", \"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\"]}]'),(31003,'Ensure&#x20;Install&#x20;of&#x20;macOS&#x20;Updates&#x20;Is&#x20;Enabled.','Ensure&#x20;that&#x20;macOS&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;This&#x20;setting&#x20;enables&#x20;macOS&#x20;updates&#x20;to&#x20;be&#x20;automatically&#x20;installed.&#x20;Some&#x20;environments&#x20;will&#x20;want&#x20;to&#x20;approve&#x20;and&#x20;test&#x20;updates&#x20;before&#x20;they&#x20;are&#x20;delivered.&#x20;It&#x20;is&#x20;best&#x20;practice&#x20;to&#x20;test&#x20;first&#x20;where&#x20;updates&#x20;can&#x20;and&#x20;have&#x20;caused&#x20;disruptions&#x20;to&#x20;operations.&#x20;Automatic&#x20;updates&#x20;should&#x20;be&#x20;turned&#x20;off&#x20;where&#x20;changes&#x20;are&#x20;tightly&#x20;controlled&#x20;and&#x20;there&#x20;are&#x20;mature&#x20;testing&#x20;and&#x20;approval&#x20;processes.&#x20;Automatic&#x20;updates&#x20;should&#x20;not&#x20;be&#x20;turned&#x20;off&#x20;simply&#x20;to&#x20;allow&#x20;the&#x20;administrator&#x20;to&#x20;contact&#x20;users&#x20;in&#x20;order&#x20;to&#x20;verify&#x20;installation.&#x20;A&#x20;dependable,&#x20;repeatable&#x20;process&#x20;involving&#x20;a&#x20;patch&#x20;agent&#x20;or&#x20;remote&#x20;management&#x20;tool&#x20;should&#x20;be&#x20;in&#x20;place&#x20;before&#x20;auto-updates&#x20;are&#x20;turned&#x20;off.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited.','Unpatched&#x20;software&#x20;may&#x20;be&#x20;exploited.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;macOS&#x20;updates&#x20;to&#x20;run&#x20;automatically:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Software&#x20;Update&#x20;4.&#x20;Select&#x20;the&#x20;i&#x20;5.&#x20;Set&#x20;Install&#x20;macOS&#x20;updates&#x20;to&#x20;enabled&#x20;6.&#x20;Select&#x20;Done&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;to&#x20;enable&#x20;automatic&#x20;checking&#x20;and&#x20;installing&#x20;of&#x20;macOS&#x20;updates:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;AutomaticallyInstallMacOSUpdates&#x20;-bool&#x20;TRUE&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.SoftwareUpdate&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;AutomaticallyInstallMacOSUpdates&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"1.4\"]}, {\"cis_csc_v8\": [\"7.3\", \"7.4\"]}, {\"cis_csc_v7\": [\"3.4\", \"3.5\"]}, {\"cmmc_v2.0\": [\"SI.L1-3.14.1\"]}, {\"nist_sp_800-53\": [\"SI-2(2)\"]}, {\"pci_dss_v3.2.1\": [\"6.2\"]}, {\"soc_2\": [\"CC7.1\"]}, {\"mitre_techniques\": [\"T1103\", \"T1017\", \"T1138\", \"T1189\", \"T1190\", \"T1212\", \"T1211\", \"T1068\", \"T1210\", \"T1495\", \"T1137\", \"T1075\", \"T1195\", \"T1019\", \"T1072\", \"T1100\", \"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\"]}]'),(31004,'Ensure&#x20;Install&#x20;Application&#x20;Updates&#x20;from&#x20;the&#x20;App&#x20;Store&#x20;Is&#x20;Enabled.','Ensure&#x20;that&#x20;application&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;These&#x20;updates&#x20;do&#x20;not&#x20;require&#x20;reboots&#x20;or&#x20;administrator&#x20;privileges&#x20;for&#x20;end&#x20;users.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited.','Unpatched&#x20;software&#x20;may&#x20;be&#x20;exploited.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;App&#x20;Store&#x20;updates&#x20;to&#x20;install&#x20;automatically:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Software&#x20;Update&#x20;4.&#x20;Select&#x20;the&#x20;i&#x20;5.&#x20;Set&#x20;Install&#x20;application&#x20;updates&#x20;from&#x20;the&#x20;App&#x20;Store&#x20;to&#x20;enabled&#x20;6.&#x20;Select&#x20;Done&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;turn&#x20;on&#x20;App&#x20;Store&#x20;auto&#x20;updating:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.commerce&#x20;AutoUpdate&#x20;-bool&#x20;TRUE&#x20;Note:&#x20;This&#x20;remediation&#x20;requires&#x20;a&#x20;log&#x20;out&#x20;and&#x20;log&#x20;in&#x20;to&#x20;show&#x20;in&#x20;the&#x20;GUI.&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.SoftwareUpdate&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;AutomaticallyInstallAppUpdates&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"1.5\"]}, {\"cis_csc_v8\": [\"7.3\", \"7.4\"]}, {\"cis_csc_v7\": [\"3.4\", \"3.5\"]}, {\"cmmc_v2.0\": [\"SI.L1-3.14.1\"]}, {\"nist_sp_800-53\": [\"SI-2(2)\"]}, {\"pci_dss_v3.2.1\": [\"6.2\"]}, {\"soc_2\": [\"CC7.1\"]}, {\"mitre_techniques\": [\"T1103\", \"T1017\", \"T1138\", \"T1189\", \"T1190\", \"T1212\", \"T1211\", \"T1068\", \"T1210\", \"T1495\", \"T1137\", \"T1075\", \"T1195\", \"T1019\", \"T1072\", \"T1100\", \"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\"]}]'),(31005,'Ensure&#x20;Install&#x20;Security&#x20;Responses&#x20;and&#x20;System&#x20;Files&#x20;Is&#x20;Enabled.','Ensure&#x20;that&#x20;system&#x20;and&#x20;security&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;This&#x20;setting&#x20;enables&#x20;definition&#x20;updates&#x20;for&#x20;XProtect&#x20;and&#x20;Gatekeeper.&#x20;With&#x20;this&#x20;setting&#x20;in&#x20;place,&#x20;new&#x20;malware&#x20;and&#x20;adware&#x20;that&#x20;Apple&#x20;has&#x20;added&#x20;to&#x20;the&#x20;list&#x20;of&#x20;malware&#x20;or&#x20;untrusted&#x20;software&#x20;will&#x20;not&#x20;execute.&#x20;These&#x20;updates&#x20;do&#x20;not&#x20;require&#x20;reboots&#x20;or&#x20;end&#x20;user&#x20;admin&#x20;rights.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited.','Unpatched&#x20;software&#x20;may&#x20;be&#x20;exploited.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;system&#x20;data&#x20;files&#x20;and&#x20;security&#x20;updates&#x20;to&#x20;install&#x20;automatically:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Software&#x20;Update&#x20;4.&#x20;Select&#x20;the&#x20;i&#x20;5.&#x20;Set&#x20;Install&#x20;Security&#x20;Responses&#x20;and&#x20;System&#x20;files&#x20;to&#x20;enabled&#x20;6.&#x20;Select&#x20;Done&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;enable&#x20;automatic&#x20;checking&#x20;of&#x20;system&#x20;data&#x20;files&#x20;and&#x20;security&#x20;updates:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;ConfigDataInstall&#x20;-bool&#x20;true&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;CriticalUpdateInstall&#x20;-bool&#x20;true&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.SoftwareUpdate&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;ConfigDataInstall&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;&#x20;4.&#x20;The&#x20;key&#x20;to&#x20;also&#x20;include&#x20;is&#x20;CriticalUpdateInstall&#x20;5.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"1.6\"]}, {\"cis_csc_v8\": [\"7.3\", \"7.4\", \"7.7\"]}, {\"cis_csc_v7\": [\"3.4\", \"3.5\"]}, {\"cmmc_v2.0\": [\"CA.L2-3.12.2\", \"RA.L2-3.11.3\", \"SI.L1-3.14.1\"]}, {\"nist_sp_800-53\": [\"SI-2(2)\"]}, {\"pci_dss_v3.2.1\": [\"6.2\"]}, {\"pci_dss_v4.0\": [\"11.3.1\", \"11.3.2\", \"11.3.2.1\"]}, {\"soc_2\": [\"CC7.1\"]}, {\"mitre_techniques\": [\"T1103\", \"T1017\", \"T1138\", \"T1189\", \"T1190\", \"T1212\", \"T1211\", \"T1068\", \"T1210\", \"T1495\", \"T1137\", \"T1075\", \"T1195\", \"T1019\", \"T1072\", \"T1100\", \"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\"]}]'),(31006,'Ensure&#x20;Software&#x20;Update&#x20;Deferment&#x20;Is&#x20;Less&#x20;Than&#x20;or&#x20;Equal&#x20;to&#x20;30&#x20;Days.','Apple&#x20;provides&#x20;the&#x20;capability&#x20;to&#x20;manage&#x20;software&#x20;updates&#x20;on&#x20;Apple&#x20;devices&#x20;through&#x20;mobile&#x20;device&#x20;management.&#x20;Part&#x20;of&#x20;those&#x20;capabilities&#x20;permit&#x20;organizations&#x20;to&#x20;defer&#x20;software&#x20;updates&#x20;and&#x20;allow&#x20;for&#x20;testing.&#x20;Many&#x20;organizations&#x20;have&#x20;specialized&#x20;software&#x20;and&#x20;configurations&#x20;that&#x20;may&#x20;be&#x20;negatively&#x20;impacted&#x20;by&#x20;Apple&#x20;updates.&#x20;If&#x20;software&#x20;updates&#x20;are&#x20;deferred,&#x20;they&#x20;should&#x20;not&#x20;be&#x20;deferred&#x20;for&#x20;more&#x20;than&#x20;30&#x20;days.&#x20;This&#x20;control&#x20;only&#x20;verifies&#x20;that&#x20;deferred&#x20;software&#x20;updates&#x20;are&#x20;not&#x20;deferred&#x20;for&#x20;more&#x20;than&#x20;30&#x20;days.','Apple&#x20;software&#x20;updates&#x20;almost&#x20;always&#x20;include&#x20;security&#x20;updates.&#x20;Attackers&#x20;evaluate&#x20;updates&#x20;to&#x20;create&#x20;exploit&#x20;code&#x20;in&#x20;order&#x20;to&#x20;attack&#x20;unpatched&#x20;systems.&#x20;The&#x20;longer&#x20;a&#x20;system&#x20;remains&#x20;unpatched,&#x20;the&#x20;greater&#x20;an&#x20;exploit&#x20;possibility&#x20;exists&#x20;in&#x20;which&#x20;there&#x20;are&#x20;publicly&#x20;reported&#x20;vulnerabilities.','Some&#x20;organizations&#x20;may&#x20;need&#x20;more&#x20;than&#x20;30&#x20;days&#x20;to&#x20;evaluate&#x20;the&#x20;impact&#x20;of&#x20;software&#x20;updates.','Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.applicationaccess&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;enforcedSoftwareUpdateDelay&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;integer&gt;&lt;1-30&gt;&lt;/integer&gt;.','[{\"cis\": [\"1.7\"]}, {\"cis_csc_v8\": [\"7.3\", \"7.4\"]}, {\"cis_csc_v7\": [\"3.4\", \"3.5\"]}, {\"cmmc_v2.0\": [\"SI.L1-3.14.1\"]}, {\"nist_sp_800-53\": [\"SI-2(2)\"]}, {\"pci_dss_v3.2.1\": [\"6.2\"]}, {\"soc_2\": [\"CC7.1\"]}, {\"mitre_techniques\": [\"T1103\", \"T1017\", \"T1138\", \"T1189\", \"T1190\", \"T1212\", \"T1211\", \"T1068\", \"T1210\", \"T1495\", \"T1137\", \"T1075\", \"T1195\", \"T1019\", \"T1072\", \"T1100\", \"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\"]}]'),(31007,'Ensure&#x20;Firewall&#x20;Is&#x20;Enabled.','A&#x20;firewall&#x20;is&#x20;a&#x20;piece&#x20;of&#x20;software&#x20;that&#x20;blocks&#x20;unwanted&#x20;incoming&#x20;connections&#x20;to&#x20;a&#x20;system.&#x20;Apple&#x20;has&#x20;posted&#x20;general&#x20;documentation&#x20;about&#x20;the&#x20;application&#x20;firewall:.','A&#x20;firewall&#x20;minimizes&#x20;the&#x20;threat&#x20;of&#x20;unauthorized&#x20;users&#x20;gaining&#x20;access&#x20;to&#x20;your&#x20;system&#x20;while&#x20;connected&#x20;to&#x20;a&#x20;network&#x20;or&#x20;the&#x20;Internet.','The&#x20;firewall&#x20;may&#x20;block&#x20;legitimate&#x20;traffic.&#x20;Applications&#x20;that&#x20;are&#x20;unsigned&#x20;will&#x20;require&#x20;special&#x20;handling.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;turn&#x20;the&#x20;firewall&#x20;on:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Network&#x20;3.&#x20;Select&#x20;Firewall&#x20;4.&#x20;Set&#x20;Firewall&#x20;to&#x20;enabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;firewall:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.alf&#x20;globalstate&#x20;-int&#x20;&lt;value&gt;&#x20;For&#x20;the&#x20;&lt;value&gt;,&#x20;use&#x20;either&#x20;1,&#x20;specific&#x20;services,&#x20;or&#x20;2,&#x20;essential&#x20;services&#x20;only.&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.security.firewall&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;EnableFirewall&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"2.2.1\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.5\", \"13.1\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.4\", \"9.5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L1-3.1.20\", \"AU.L2-3.3.5\", \"AU.L2-3.3.6\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\", \"SI.L2-3.14.3\", \"SI.L2-3.14.7\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"iso_27001-2013\": [\"A.13.1.1\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"AU-6(1)\", \"AU-7\", \"CM-7(1)\", \"CM-9\", \"IR-4(1)\", \"SA-10\", \"SC-7(5)\", \"SI-4(2)\", \"SI-4(5)\"]}, {\"pci_dss_v3.2.1\": [\"1.1.4\", \"1.4\", \"10.5.3\", \"10.6.1\", \"11.5\", \"2.2\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"10.7\", \"10.7.1\", \"10.7.2\", \"10.7.3\", \"11.5\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC6.6\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(31008,'Ensure&#x20;Firewall&#x20;Stealth&#x20;Mode&#x20;Is&#x20;Enabled.','While&#x20;in&#x20;Stealth&#x20;mode,&#x20;the&#x20;computer&#x20;will&#x20;not&#x20;respond&#x20;to&#x20;unsolicited&#x20;probes,&#x20;dropping&#x20;that&#x20;traffic.','Stealth&#x20;mode&#x20;on&#x20;the&#x20;firewall&#x20;minimizes&#x20;the&#x20;threat&#x20;of&#x20;system&#x20;discovery&#x20;tools&#x20;while&#x20;connected&#x20;to&#x20;a&#x20;network&#x20;or&#x20;the&#x20;Internet.','Traditional&#x20;network&#x20;discovery&#x20;tools&#x20;like&#x20;ping&#x20;will&#x20;not&#x20;succeed.&#x20;Other&#x20;network&#x20;tools&#x20;that&#x20;measure&#x20;activity&#x20;and&#x20;approved&#x20;applications&#x20;will&#x20;work&#x20;as&#x20;expected.&#x20;This&#x20;control&#x20;aligns&#x20;with&#x20;the&#x20;primary&#x20;macOS&#x20;use&#x20;case&#x20;of&#x20;a&#x20;laptop&#x20;that&#x20;is&#x20;often&#x20;connected&#x20;to&#x20;untrusted&#x20;networks&#x20;where&#x20;host&#x20;segregation&#x20;may&#x20;be&#x20;non-existent.&#x20;In&#x20;that&#x20;use&#x20;case,&#x20;hiding&#x20;from&#x20;the&#x20;other&#x20;inmates&#x20;is&#x20;likely&#x20;more&#x20;than&#x20;desirable.&#x20;In&#x20;use&#x20;cases&#x20;where&#x20;use&#x20;is&#x20;only&#x20;on&#x20;trusted&#x20;LANs&#x20;with&#x20;static&#x20;IP&#x20;addresses,&#x20;stealth&#x20;mode&#x20;may&#x20;not&#x20;be&#x20;desirable.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;firewall&#x20;stealth&#x20;mode:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Network&#x20;3.&#x20;Select&#x20;Firewall&#x20;4.&#x20;Select&#x20;Options...&#x20;5.&#x20;Set&#x20;Enabled&#x20;stealth&#x20;mode&#x20;to&#x20;enabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;stealth&#x20;mode:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/libexec/ApplicationFirewall/socketfilterfw&#x20;--setstealthmode&#x20;on&#x20;Stealth&#x20;mode&#x20;enabled&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.security.firewall&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;EnableStealthMode&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;&#x20;Note:&#x20;This&#x20;key&#x20;must&#x20;be&#x20;set&#x20;in&#x20;the&#x20;same&#x20;configuration&#x20;profile&#x20;with&#x20;EnableFirewall&#x20;set&#x20;to&#x20;&lt;true/&gt;.&#x20;If&#x20;it&#x20;is&#x20;set&#x20;in&#x20;its&#x20;own&#x20;configuration&#x20;profile,&#x20;it&#x20;will&#x20;fail.','[{\"cis\": [\"2.2.2\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.5\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L1-3.1.20\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\", \"SC-7(5)\"]}, {\"pci_dss_v3.2.1\": [\"1.1.4\", \"1.1.6\", \"1.2.1\", \"1.4\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31009,'Ensure&#x20;Set&#x20;Time&#x20;and&#x20;Date&#x20;Automatically&#x20;Is&#x20;Enabled.','Correct&#x20;date&#x20;and&#x20;time&#x20;settings&#x20;are&#x20;required&#x20;for&#x20;authentication&#x20;protocols,&#x20;file&#x20;creation,&#x20;modification&#x20;dates,&#x20;and&#x20;log&#x20;entries.&#x20;Note:&#x20;If&#x20;your&#x20;organization&#x20;has&#x20;internal&#x20;time&#x20;servers,&#x20;enter&#x20;them&#x20;here.&#x20;Enterprise&#x20;mobile&#x20;devices&#x20;may&#x20;need&#x20;to&#x20;use&#x20;a&#x20;mix&#x20;of&#x20;internal&#x20;and&#x20;external&#x20;time&#x20;servers.&#x20;If&#x20;multiple&#x20;servers&#x20;are&#x20;required,&#x20;use&#x20;the&#x20;Date&#x20;&amp;&#x20;Time&#x20;System&#x20;Preference&#x20;with&#x20;each&#x20;server&#x20;separated&#x20;by&#x20;a&#x20;space.&#x20;Additional&#x20;Note:&#x20;The&#x20;default&#x20;Apple&#x20;time&#x20;server&#x20;is&#x20;time.apple.com.&#x20;Variations&#x20;include&#x20;time.euro.apple.com.&#x20;While&#x20;it&#x20;is&#x20;certainly&#x20;more&#x20;efficient&#x20;to&#x20;use&#x20;internal&#x20;time&#x20;servers,&#x20;there&#x20;is&#x20;no&#x20;reason&#x20;to&#x20;block&#x20;access&#x20;to&#x20;global&#x20;Apple&#x20;time&#x20;servers&#x20;or&#x20;to&#x20;add&#x20;a&#x20;time.apple.com&#x20;alias&#x20;to&#x20;internal&#x20;DNS&#x20;records.&#x20;There&#x20;are&#x20;no&#x20;reports&#x20;that&#x20;Apple&#x20;gathers&#x20;any&#x20;information&#x20;from&#x20;NTP&#x20;synchronization,&#x20;as&#x20;the&#x20;computers&#x20;already&#x20;phone&#x20;home&#x20;to&#x20;Apple&#x20;for&#x20;Apple&#x20;services&#x20;including&#x20;iCloud&#x20;use&#x20;and&#x20;software&#x20;updates.&#x20;Best&#x20;practice&#x20;is&#x20;to&#x20;allow&#x20;DNS&#x20;resolution&#x20;to&#x20;an&#x20;authoritative&#x20;time&#x20;service&#x20;for&#x20;time.apple.com,&#x20;preferably&#x20;to&#x20;connect&#x20;to&#x20;Apple&#x20;servers,&#x20;but&#x20;local&#x20;servers&#x20;are&#x20;acceptable&#x20;as&#x20;well.','Kerberos&#x20;may&#x20;not&#x20;operate&#x20;correctly&#x20;if&#x20;the&#x20;time&#x20;on&#x20;the&#x20;Mac&#x20;is&#x20;off&#x20;by&#x20;more&#x20;than&#x20;5&#x20;minutes.&#x20;This&#x20;in&#x20;turn&#x20;can&#x20;affect&#x20;Apple&#039;s&#x20;single&#x20;sign-on&#x20;feature,&#x20;Active&#x20;Directory&#x20;logons,&#x20;and&#x20;other&#x20;features.','The&#x20;timed&#x20;service&#x20;will&#x20;periodically&#x20;synchronize&#x20;with&#x20;named&#x20;time&#x20;servers&#x20;and&#x20;will&#x20;make&#x20;the&#x20;computer&#x20;time&#x20;more&#x20;accurate.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;to&#x20;enable&#x20;the&#x20;date&#x20;and&#x20;time&#x20;to&#x20;be&#x20;set&#x20;automatically:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Date&#x20;&amp;&#x20;Time&#x20;4.&#x20;Set&#x20;Set&#x20;time&#x20;and&#x20;date&#x20;automatically&#x20;to&#x20;enabled&#x20;Note:&#x20;By&#x20;default,&#x20;the&#x20;operating&#x20;system&#x20;will&#x20;use&#x20;time.apple.com&#x20;as&#x20;the&#x20;time&#x20;server.&#x20;You&#x20;can&#x20;change&#x20;to&#x20;any&#x20;time&#x20;server&#x20;that&#x20;meets&#x20;your&#x20;organization&#039;s&#x20;requirements.&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;enable&#x20;the&#x20;date&#x20;and&#x20;time&#x20;setting&#x20;automatically:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-setnetworktimeserver&#x20;&lt;your.time.server&gt;&#x20;setNetworkTimeServer:&#x20;&lt;your.time.server&gt;&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-setusingnetworktime&#x20;on&#x20;setUsingNetworkTime:&#x20;On&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-setnetworktimeserver&#x20;time.apple.com&#x20;setNetworkTimeServer:&#x20;time.apple.com&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-setusingnetworktime&#x20;on&#x20;setUsingNetworkTime:&#x20;On&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;if&#x20;you&#x20;have&#x20;not&#x20;set,&#x20;or&#x20;need&#x20;to&#x20;set,&#x20;a&#x20;new&#x20;time&#x20;zone:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-listtimezones&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-settimezone&#x20;&lt;selected&#x20;time&#x20;zone&gt;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-listtimezones&#x20;Time&#x20;Zones:&#x20;Africa/Abidjan&#x20;Africa/Accra&#x20;Africa/Addis_Ababa&#x20;...&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-settimezone&#x20;America/New_York&#x20;Set&#x20;TimeZone:&#x20;America/New_York.','[{\"cis\": [\"2.3.2.1\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"pci_dss_v3.2.1\": [\"10.4\"]}, {\"pci_dss_v4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}]'),(31010,'Ensure&#x20;Time&#x20;Is&#x20;Set&#x20;Within&#x20;Appropriate&#x20;Limits.','Correct&#x20;date&#x20;and&#x20;time&#x20;settings&#x20;are&#x20;required&#x20;for&#x20;authentication&#x20;protocols,&#x20;file&#x20;creation,&#x20;modification&#x20;dates&#x20;and&#x20;log&#x20;entries.&#x20;Ensure&#x20;that&#x20;time&#x20;on&#x20;the&#x20;computer&#x20;is&#x20;within&#x20;acceptable&#x20;limits.&#x20;Truly&#x20;accurate&#x20;time&#x20;is&#x20;measured&#x20;within&#x20;milliseconds.&#x20;For&#x20;this&#x20;audit,&#x20;a&#x20;drift&#x20;under&#x20;four&#x20;and&#x20;a&#x20;half&#x20;minutes&#x20;passes&#x20;the&#x20;control&#x20;check.&#x20;Since&#x20;Kerberos&#x20;is&#x20;one&#x20;of&#x20;the&#x20;important&#x20;features&#x20;of&#x20;macOS&#x20;integration&#x20;into&#x20;Directory&#x20;systems,&#x20;the&#x20;guidance&#x20;here&#x20;is&#x20;to&#x20;warn&#x20;you&#x20;before&#x20;there&#x20;could&#x20;be&#x20;an&#x20;impact&#x20;to&#x20;operations.&#x20;From&#x20;the&#x20;perspective&#x20;of&#x20;accurate&#x20;time,&#x20;this&#x20;check&#x20;is&#x20;not&#x20;strict,&#x20;so&#x20;it&#x20;may&#x20;be&#x20;too&#x20;great&#x20;for&#x20;your&#x20;organization.&#x20;Your&#x20;organization&#x20;can&#x20;adjust&#x20;to&#x20;a&#x20;smaller&#x20;offset&#x20;value&#x20;as&#x20;needed.&#x20;If&#x20;there&#x20;are&#x20;consistent&#x20;drift&#x20;issues&#x20;on&#x20;the&#x20;OS,&#x20;some&#x20;of&#x20;the&#x20;most&#x20;common&#x20;drift&#x20;issues&#x20;should&#x20;be&#x20;investigated:&#x20;-&#x20;The&#x20;chosen&#x20;time&#x20;server&#x20;is&#x20;not&#x20;reachable&#x20;based&#x20;on&#x20;network&#x20;firewall&#x20;rules&#x20;on&#x20;the&#x20;current&#x20;network&#x20;-&#x20;The&#x20;computer&#x20;is&#x20;offline&#x20;often&#x20;and&#x20;the&#x20;battery&#x20;drains,&#x20;and&#x20;the&#x20;network&#x20;is&#x20;not&#x20;immediately&#x20;available&#x20;-&#x20;The&#x20;chosen&#x20;time&#x20;server&#x20;is&#x20;a&#x20;special&#x20;internal&#x20;or&#x20;non-public&#x20;time&#x20;server&#x20;that&#x20;does&#x20;not&#x20;provide&#x20;a&#x20;reliable&#x20;time&#x20;source&#x20;Note:&#x20;ntpdate&#x20;has&#x20;been&#x20;deprecated&#x20;with&#x20;10.14.&#x20;sntp&#x20;replaces&#x20;that&#x20;command.','Kerberos&#x20;may&#x20;not&#x20;operate&#x20;correctly&#x20;if&#x20;the&#x20;time&#x20;on&#x20;the&#x20;Mac&#x20;is&#x20;off&#x20;by&#x20;more&#x20;than&#x20;5&#x20;minutes.&#x20;This&#x20;in&#x20;turn&#x20;can&#x20;affect&#x20;Apple&#039;s&#x20;single&#x20;sign-on&#x20;feature,&#x20;Active&#x20;Directory&#x20;logons,&#x20;and&#x20;other&#x20;features.&#x20;Audit&#x20;check&#x20;is&#x20;for&#x20;more&#x20;than&#x20;4&#x20;minutes&#x20;and&#x20;30&#x20;seconds&#x20;ahead&#x20;or&#x20;behind.','Accurate&#x20;time&#x20;is&#x20;required&#x20;for&#x20;many&#x20;computer&#x20;functions.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;ensure&#x20;your&#x20;time&#x20;is&#x20;set&#x20;within&#x20;an&#x20;appropriate&#x20;limit:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-getnetworktimeserver&#x20;The&#x20;output&#x20;will&#x20;include&#x20;Network&#x20;Time&#x20;Server:&#x20;and&#x20;the&#x20;name&#x20;of&#x20;your&#x20;time&#x20;server&#x20;example:&#x20;Network&#x20;Time&#x20;Server:&#x20;time.apple.com.&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/sntp&#x20;-sS&#x20;&lt;your.time.server&gt;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-getnetworktimeserver&#x20;Network&#x20;Time&#x20;Server:&#x20;time.apple.com&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/sntp&#x20;-sS&#x20;time.apple.com.','[{\"cis\": [\"2.3.2.2\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"pci_dss_v3.2.1\": [\"10.4\"]}, {\"pci_dss_v4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}]'),(31011,'Ensure&#x20;DVD&#x20;or&#x20;CD&#x20;Sharing&#x20;Is&#x20;Disabled.','DVD&#x20;or&#x20;CD&#x20;Sharing&#x20;allows&#x20;users&#x20;to&#x20;remotely&#x20;access&#x20;the&#x20;system&#039;s&#x20;optical&#x20;drive.&#x20;While&#x20;Apple&#x20;does&#x20;not&#x20;ship&#x20;Macs&#x20;with&#x20;built-in&#x20;optical&#x20;drives&#x20;any&#x20;longer,&#x20;external&#x20;optical&#x20;drives&#x20;are&#x20;still&#x20;recognized&#x20;when&#x20;they&#x20;are&#x20;connected.&#x20;In&#x20;testing,&#x20;the&#x20;sharing&#x20;of&#x20;an&#x20;external&#x20;optical&#x20;drive&#x20;persists&#x20;when&#x20;a&#x20;drive&#x20;is&#x20;reconnected.','Disabling&#x20;DVD&#x20;or&#x20;CD&#x20;Sharing&#x20;minimizes&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;using&#x20;the&#x20;optical&#x20;drive&#x20;as&#x20;a&#x20;vector&#x20;for&#x20;attack&#x20;and&#x20;exposure&#x20;of&#x20;sensitive&#x20;data.','Many&#x20;Apple&#x20;devices&#x20;are&#x20;now&#x20;sold&#x20;without&#x20;optical&#x20;drives,&#x20;however&#x20;drive&#x20;sharing&#x20;may&#x20;be&#x20;needed&#x20;for&#x20;legacy&#x20;optical&#x20;media.&#x20;The&#x20;media&#x20;should&#x20;be&#x20;explicitly&#x20;re-shared&#x20;as&#x20;needed&#x20;rather&#x20;than&#x20;using&#x20;a&#x20;persistent&#x20;share.&#x20;Optical&#x20;drives&#x20;should&#x20;not&#x20;be&#x20;used&#x20;for&#x20;long-term&#x20;storage.&#x20;To&#x20;store&#x20;necessary&#x20;data&#x20;from&#x20;an&#x20;optical&#x20;drive&#x20;it&#x20;should&#x20;be&#x20;copied&#x20;to&#x20;another&#x20;form&#x20;of&#x20;external&#x20;storage.&#x20;Optionally,&#x20;an&#x20;image&#x20;can&#x20;be&#x20;made&#x20;of&#x20;the&#x20;optical&#x20;drive&#x20;so&#x20;that&#x20;it&#x20;is&#x20;stored&#x20;in&#x20;its&#x20;original&#x20;form&#x20;on&#x20;another&#x20;form&#x20;of&#x20;external&#x20;storage.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;DVD&#x20;or&#x20;CD&#x20;Sharing:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Sharing&#x20;4.&#x20;Set&#x20;DVD&#x20;or&#x20;CD&#x20;sharing&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;DVD&#x20;or&#x20;CD&#x20;Sharing:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/launchctl&#x20;disable&#x20;system/com.apple.ODSAgent&#x20;Note:&#x20;If&#x20;using&#x20;the&#x20;Terminal&#x20;method,&#x20;the&#x20;GUI&#x20;will&#x20;still&#x20;show&#x20;the&#x20;service&#x20;checked&#x20;until&#x20;after&#x20;a&#x20;reboot.','[{\"cis\": [\"2.3.3.1\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31012,'Ensure&#x20;Screen&#x20;Sharing&#x20;Is&#x20;Disabled.','Screen&#x20;Sharing&#x20;allows&#x20;a&#x20;computer&#x20;to&#x20;connect&#x20;to&#x20;another&#x20;computer&#x20;on&#x20;a&#x20;network&#x20;and&#x20;display&#x20;the&#x20;computer&#039;s&#x20;screen.&#x20;While&#x20;sharing&#x20;the&#x20;computer&#039;s&#x20;screen,&#x20;the&#x20;user&#x20;can&#x20;control&#x20;what&#x20;happens&#x20;on&#x20;that&#x20;computer,&#x20;such&#x20;as&#x20;opening&#x20;documents&#x20;or&#x20;applications,&#x20;opening,&#x20;moving,&#x20;or&#x20;closing&#x20;windows,&#x20;and&#x20;even&#x20;shutting&#x20;down&#x20;the&#x20;computer.&#x20;While&#x20;mature&#x20;administration&#x20;and&#x20;management&#x20;does&#x20;not&#x20;use&#x20;graphical&#x20;connections&#x20;for&#x20;standard&#x20;maintenance,&#x20;most&#x20;help&#x20;desks&#x20;have&#x20;capabilities&#x20;to&#x20;assist&#x20;users&#x20;in&#x20;performing&#x20;their&#x20;work&#x20;when&#x20;they&#x20;have&#x20;technical&#x20;issues&#x20;and&#x20;need&#x20;support.&#x20;Help&#x20;desks&#x20;use&#x20;graphical&#x20;remote&#x20;tools&#x20;to&#x20;understand&#x20;what&#x20;the&#x20;user&#x20;sees&#x20;and&#x20;assist&#x20;them&#x20;so&#x20;they&#x20;can&#x20;get&#x20;back&#x20;to&#x20;work.&#x20;For&#x20;MacOS,&#x20;some&#x20;of&#x20;these&#x20;remote&#x20;capabilities&#x20;can&#x20;use&#x20;Apple&#039;s&#x20;OS&#x20;tools.&#x20;Control&#x20;is&#x20;therefore&#x20;not&#x20;meant&#x20;to&#x20;prohibit&#x20;the&#x20;use&#x20;of&#x20;a&#x20;just-in-time&#x20;graphical&#x20;view&#x20;from&#x20;authorized&#x20;personnel&#x20;with&#x20;authentication&#x20;controls.&#x20;Sharing&#x20;should&#x20;not&#x20;be&#x20;enabled&#x20;except&#x20;in&#x20;narrow&#x20;windows&#x20;when&#x20;help&#x20;desk&#x20;support&#x20;is&#x20;required.','Disabling&#x20;Screen&#x20;Sharing&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;remote&#x20;connections&#x20;being&#x20;made&#x20;without&#x20;the&#x20;user&#x20;of&#x20;the&#x20;console&#x20;knowing&#x20;that&#x20;they&#x20;are&#x20;sharing&#x20;the&#x20;computer.','Help&#x20;desks&#x20;may&#x20;require&#x20;the&#x20;periodic&#x20;use&#x20;of&#x20;a&#x20;graphical&#x20;connection&#x20;mechanism&#x20;to&#x20;assist&#x20;users.&#x20;Any&#x20;support&#x20;that&#x20;relies&#x20;on&#x20;native&#x20;MacOS&#x20;components&#x20;will&#x20;not&#x20;work&#x20;unless&#x20;a&#x20;scripted&#x20;solution&#x20;to&#x20;enable&#x20;and&#x20;disable&#x20;sharing&#x20;as&#x20;neccessary.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;Screen&#x20;Sharing:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Sharing&#x20;4.&#x20;Set&#x20;Screen&#x20;Sharing&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;turn&#x20;off&#x20;Screen&#x20;Sharing:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/launchctl&#x20;disable&#x20;system/com.apple.screensharing.','[{\"cis\": [\"2.3.3.2\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31013,'Ensure&#x20;File&#x20;Sharing&#x20;Is&#x20;Disabled.','File&#x20;sharing&#x20;from&#x20;a&#x20;user&#x20;workstation&#x20;creates&#x20;additional&#x20;risks,&#x20;such&#x20;as:&#x20;-&#x20;Open&#x20;ports&#x20;are&#x20;created&#x20;that&#x20;can&#x20;be&#x20;probed&#x20;and&#x20;attacked&#x20;-&#x20;Passwords&#x20;are&#x20;attached&#x20;to&#x20;user&#x20;accounts&#x20;for&#x20;access&#x20;that&#x20;may&#x20;be&#x20;exposed&#x20;and&#x20;endanger&#x20;other&#x20;parts&#x20;of&#x20;the&#x20;organizational&#x20;environment,&#x20;including&#x20;directory&#x20;accounts&#x20;Increased&#x20;complexity&#x20;makes&#x20;security&#x20;more&#x20;difficult&#x20;and&#x20;may&#x20;expose&#x20;additional&#x20;attack&#x20;vectors&#x20;-&#x20;Apple&#039;s&#x20;File&#x20;Sharing&#x20;uses&#x20;the&#x20;Server&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol&#x20;to&#x20;share&#x20;to&#x20;other&#x20;computers&#x20;that&#x20;can&#x20;mount&#x20;SMB&#x20;shares.&#x20;This&#x20;includes&#x20;other&#x20;macOS&#x20;computers.&#x20;Apple&#x20;warns&#x20;that&#x20;SMB&#x20;sharing&#x20;stored&#x20;passwords&#x20;is&#x20;less&#x20;secure,&#x20;and&#x20;anyone&#x20;with&#x20;system&#x20;access&#x20;can&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;password&#x20;for&#x20;that&#x20;account.&#x20;When&#x20;sharing&#x20;with&#x20;SMB,&#x20;each&#x20;user&#x20;accessing&#x20;the&#x20;Mac&#x20;must&#x20;have&#x20;SMB&#x20;enabled.&#x20;Storing&#x20;passwords,&#x20;especially&#x20;copies&#x20;of&#x20;valid&#x20;directory&#x20;passwords,&#x20;decrease&#x20;security&#x20;for&#x20;the&#x20;directory&#x20;account&#x20;and&#x20;should&#x20;not&#x20;be&#x20;used.','By&#x20;disabling&#x20;File&#x20;Sharing,&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;and&#x20;risk&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;files&#x20;stored&#x20;on&#x20;the&#x20;system&#x20;is&#x20;reduced.','File&#x20;Sharing&#x20;can&#x20;be&#x20;used&#x20;to&#x20;share&#x20;documents&#x20;with&#x20;other&#x20;users,&#x20;but&#x20;hardened&#x20;servers&#x20;should&#x20;be&#x20;used&#x20;rather&#x20;than&#x20;user&#x20;endpoints.&#x20;Turning&#x20;on&#x20;File&#x20;Sharing&#x20;increases&#x20;the&#x20;visibility&#x20;and&#x20;attack&#x20;surface&#x20;of&#x20;a&#x20;system&#x20;unnecessarily.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;File&#x20;Sharing:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Sharing&#x20;4.&#x20;Set&#x20;File&#x20;Sharing&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;File&#x20;Sharing:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/launchctl&#x20;disable&#x20;system/com.apple.smbd.','[{\"cis\": [\"2.3.3.3\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\", \"5.4\"]}, {\"cis_csc_v7\": [\"4.3\", \"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.3\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\", \"A.9.2.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\", \"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\", \"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31014,'Ensure&#x20;Printer&#x20;Sharing&#x20;Is&#x20;Disabled.','By&#x20;enabling&#x20;Printer&#x20;Sharing,&#x20;the&#x20;computer&#x20;is&#x20;set&#x20;up&#x20;as&#x20;a&#x20;print&#x20;server&#x20;to&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;computers.&#x20;Dedicated&#x20;print&#x20;servers&#x20;or&#x20;direct&#x20;IP&#x20;printing&#x20;should&#x20;be&#x20;used&#x20;instead.','Disabling&#x20;Printer&#x20;Sharing&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;attackers&#x20;attempting&#x20;to&#x20;exploit&#x20;the&#x20;print&#x20;server&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system.','','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;Printer&#x20;Sharing:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Sharing&#x20;4.&#x20;Set&#x20;Printer&#x20;Sharing&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Printer&#x20;Sharing:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/cupsctl&#x20;--no-share-printers.','[{\"cis\": [\"2.3.3.4\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31015,'Ensure&#x20;Remote&#x20;Login&#x20;Is&#x20;Disabled.','Remote&#x20;Login&#x20;allows&#x20;an&#x20;interactive&#x20;terminal&#x20;connection&#x20;to&#x20;a&#x20;computer.','Disabling&#x20;Remote&#x20;Login&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;unauthorized&#x20;person&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;system&#x20;via&#x20;Secure&#x20;Shell&#x20;&#40;SSH&#41;.&#x20;While&#x20;SSH&#x20;is&#x20;an&#x20;industry&#x20;standard&#x20;to&#x20;connect&#x20;to&#x20;posix&#x20;servers,&#x20;the&#x20;scope&#x20;of&#x20;the&#x20;benchmark&#x20;is&#x20;for&#x20;Apple&#x20;macOS&#x20;clients,&#x20;not&#x20;servers.&#x20;macOS&#x20;does&#x20;have&#x20;an&#x20;IP-based&#x20;firewall&#x20;available&#x20;&#40;pf,&#x20;ipfw&#x20;has&#x20;been&#x20;deprecated&#41;&#x20;that&#x20;is&#x20;not&#x20;enabled&#x20;or&#x20;configured.&#x20;There&#x20;are&#x20;more&#x20;details&#x20;and&#x20;links&#x20;in&#x20;the&#x20;Network&#x20;sub-section.&#x20;macOS&#x20;no&#x20;longer&#x20;has&#x20;TCP&#x20;Wrappers&#x20;support&#x20;built&#x20;in&#x20;and&#x20;does&#x20;not&#x20;have&#x20;strong&#x20;Brute-Force&#x20;password&#x20;guessing&#x20;mitigations,&#x20;or&#x20;frequent&#x20;patching&#x20;of&#x20;openssh&#x20;by&#x20;Apple.&#x20;Since&#x20;most&#x20;macOS&#x20;computers&#x20;are&#x20;mobile&#x20;workstations,&#x20;managing&#x20;IP-based&#x20;firewall&#x20;rules&#x20;on&#x20;mobile&#x20;devices&#x20;can&#x20;be&#x20;very&#x20;resource&#x20;intensive.&#x20;All&#x20;of&#x20;these&#x20;factors&#x20;can&#x20;be&#x20;parts&#x20;of&#x20;running&#x20;a&#x20;hardened&#x20;SSH&#x20;server.','The&#x20;SSH&#x20;server&#x20;built&#x20;into&#x20;macOS&#x20;should&#x20;not&#x20;be&#x20;enabled&#x20;on&#x20;a&#x20;standard&#x20;user&#x20;computer,&#x20;particularly&#x20;one&#x20;that&#x20;changes&#x20;locations&#x20;and&#x20;IP&#x20;addresses.&#x20;A&#x20;standard&#x20;user&#x20;that&#x20;runs&#x20;local&#x20;applications,&#x20;including&#x20;email,&#x20;web&#x20;browser,&#x20;and&#x20;productivity&#x20;tools,&#x20;should&#x20;not&#x20;use&#x20;the&#x20;same&#x20;device&#x20;as&#x20;a&#x20;server.&#x20;There&#x20;are&#x20;Enterprise&#x20;management&#x20;toolsets&#x20;that&#x20;do&#x20;utilize&#x20;SSH.&#x20;If&#x20;they&#x20;are&#x20;in&#x20;use,&#x20;the&#x20;computer&#x20;should&#x20;be&#x20;locked&#x20;down&#x20;to&#x20;only&#x20;respond&#x20;to&#x20;known,&#x20;trusted&#x20;IP&#x20;addresses&#x20;and&#x20;appropriate&#x20;administrator&#x20;service&#x20;accounts.&#x20;For&#x20;macOS&#x20;computers&#x20;that&#x20;are&#x20;being&#x20;used&#x20;for&#x20;specialized&#x20;functions,&#x20;there&#x20;are&#x20;several&#x20;options&#x20;to&#x20;harden&#x20;the&#x20;SSH&#x20;server&#x20;to&#x20;protect&#x20;against&#x20;unauthorized&#x20;access&#x20;including&#x20;brute&#x20;force&#x20;attacks.&#x20;There&#x20;are&#x20;some&#x20;basic&#x20;criteria&#x20;that&#x20;need&#x20;to&#x20;be&#x20;considered:&#x20;-&#x20;Do&#x20;not&#x20;open&#x20;an&#x20;SSH&#x20;server&#x20;to&#x20;the&#x20;internet&#x20;without&#x20;controls&#x20;in&#x20;place&#x20;to&#x20;mitigate&#x20;SSH&#x20;brute&#x20;force&#x20;attacks.&#x20;This&#x20;is&#x20;particularly&#x20;important&#x20;for&#x20;systems&#x20;bound&#x20;to&#x20;Directory&#x20;environments.&#x20;It&#x20;is&#x20;great&#x20;to&#x20;have&#x20;controls&#x20;in&#x20;place&#x20;to&#x20;protect&#x20;the&#x20;system,&#x20;but&#x20;if&#x20;they&#x20;trigger&#x20;after&#x20;the&#x20;user&#x20;is&#x20;already&#x20;locked&#x20;out&#x20;of&#x20;their&#x20;account,&#x20;they&#x20;are&#x20;not&#x20;optimal.&#x20;If&#x20;authorization&#x20;happens&#x20;after&#x20;authentication,&#x20;directory&#x20;accounts&#x20;for&#x20;users&#x20;that&#x20;don&#039;t&#x20;even&#x20;use&#x20;the&#x20;system&#x20;can&#x20;be&#x20;locked&#x20;out.&#x20;-&#x20;Do&#x20;not&#x20;use&#x20;SSH&#x20;key&#x20;pairs&#x20;when&#x20;there&#x20;is&#x20;no&#x20;insight&#x20;to&#x20;the&#x20;security&#x20;on&#x20;the&#x20;client&#x20;system&#x20;that&#x20;will&#x20;authenticate&#x20;into&#x20;the&#x20;server&#x20;with&#x20;a&#x20;private&#x20;key.&#x20;If&#x20;an&#x20;attacker&#x20;gets&#x20;access&#x20;to&#x20;the&#x20;remote&#x20;system&#x20;and&#x20;can&#x20;find&#x20;the&#x20;key,&#x20;they&#x20;may&#x20;not&#x20;need&#x20;a&#x20;password&#x20;or&#x20;a&#x20;key&#x20;logger&#x20;to&#x20;access&#x20;the&#x20;SSH&#x20;server.&#x20;-&#x20;Detailed&#x20;instructions&#x20;on&#x20;hardening&#x20;an&#x20;SSH&#x20;server,&#x20;if&#x20;needed,&#x20;are&#x20;available&#x20;in&#x20;the&#x20;CIS&#x20;Linux&#x20;Benchmarks,&#x20;but&#x20;it&#x20;is&#x20;beyond&#x20;the&#x20;scope&#x20;of&#x20;this&#x20;benchmark.','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;Remote&#x20;Login:&#x20;Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;Remote&#x20;Login:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Sharing&#x20;4.&#x20;Set&#x20;Remote&#x20;Login&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Remote&#x20;Login:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-setremotelogin&#x20;off&#x20;Do&#x20;you&#x20;really&#x20;want&#x20;to&#x20;turn&#x20;remote&#x20;login&#x20;off?&#x20;If&#x20;you&#x20;do,&#x20;you&#x20;will&#x20;lose&#x20;this&#x20;connection&#x20;and&#x20;can&#x20;only&#x20;turn&#x20;it&#x20;back&#x20;on&#x20;locally&#x20;at&#x20;the&#x20;server&#x20;&#40;yes/no&#41;?&#x20;Entering&#x20;yes&#x20;will&#x20;disable&#x20;remote&#x20;login.','[{\"cis\": [\"2.3.3.5\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31016,'Ensure&#x20;Remote&#x20;Management&#x20;Is&#x20;Disabled.','Remote&#x20;Management&#x20;is&#x20;the&#x20;client&#x20;portion&#x20;of&#x20;Apple&#x20;Remote&#x20;Desktop&#x20;&#40;ARD&#41;.&#x20;Remote&#x20;Management&#x20;can&#x20;be&#x20;used&#x20;by&#x20;remote&#x20;administrators&#x20;to&#x20;view&#x20;the&#x20;current&#x20;screen,&#x20;install&#x20;software,&#x20;report&#x20;on,&#x20;and&#x20;generally&#x20;manage&#x20;client&#x20;Macs.&#x20;The&#x20;screen&#x20;sharing&#x20;options&#x20;in&#x20;Remote&#x20;Management&#x20;are&#x20;identical&#x20;to&#x20;those&#x20;in&#x20;the&#x20;Screen&#x20;Sharing&#x20;section.&#x20;In&#x20;fact,&#x20;only&#x20;one&#x20;of&#x20;the&#x20;two&#x20;can&#x20;be&#x20;configured.&#x20;If&#x20;Remote&#x20;Management&#x20;is&#x20;used,&#x20;refer&#x20;to&#x20;the&#x20;Screen&#x20;Sharing&#x20;section&#x20;above&#x20;on&#x20;issues&#x20;regard&#x20;screen&#x20;sharing.&#x20;Remote&#x20;Management&#x20;should&#x20;only&#x20;be&#x20;enabled&#x20;when&#x20;a&#x20;Directory&#x20;is&#x20;in&#x20;place&#x20;to&#x20;manage&#x20;the&#x20;accounts&#x20;with&#x20;access.&#x20;Computers&#x20;will&#x20;be&#x20;available&#x20;on&#x20;port&#x20;5900&#x20;on&#x20;a&#x20;macOS&#x20;System&#x20;and&#x20;could&#x20;accept&#x20;connections&#x20;from&#x20;untrusted&#x20;hosts&#x20;depending&#x20;on&#x20;the&#x20;configuration,&#x20;which&#x20;is&#x20;a&#x20;major&#x20;concern&#x20;for&#x20;mobile&#x20;systems.&#x20;As&#x20;with&#x20;other&#x20;sharing&#x20;options,&#x20;an&#x20;open&#x20;port&#x20;even&#x20;for&#x20;authorized&#x20;management&#x20;functions&#x20;can&#x20;be&#x20;attacked,&#x20;and&#x20;both&#x20;unauthorized&#x20;access&#x20;and&#x20;Denial-of-Service&#x20;vulnerabilities&#x20;could&#x20;be&#x20;exploited.&#x20;If&#x20;remote&#x20;management&#x20;is&#x20;required,&#x20;the&#x20;pf&#x20;firewall&#x20;should&#x20;restrict&#x20;access&#x20;only&#x20;to&#x20;known,&#x20;trusted&#x20;management&#x20;consoles.&#x20;Remote&#x20;management&#x20;should&#x20;not&#x20;be&#x20;used&#x20;across&#x20;the&#x20;Internet&#x20;without&#x20;the&#x20;use&#x20;of&#x20;a&#x20;VPN&#x20;tunnel.','Remote&#x20;Management&#x20;should&#x20;only&#x20;be&#x20;enabled&#x20;on&#x20;trusted&#x20;networks&#x20;with&#x20;strong&#x20;user&#x20;controls&#x20;present&#x20;in&#x20;a&#x20;Directory&#x20;system.&#x20;Mobile&#x20;devices&#x20;without&#x20;strict&#x20;controls&#x20;are&#x20;vulnerable&#x20;to&#x20;exploit&#x20;and&#x20;monitoring.','Many&#x20;organizations&#x20;utilize&#x20;ARD&#x20;for&#x20;client&#x20;management.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;Remote&#x20;Management:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Sharing&#x20;4.&#x20;Set&#x20;Remote&#x20;Management&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Remote&#x20;Management:&#x20;$&#x20;/usr/bin/sudo&#x20;/System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources&#x20;/kickstart&#x20;-deactivate&#x20;-stop&#x20;Starting...&#x20;Removed&#x20;preference&#x20;to&#x20;start&#x20;ARD&#x20;after&#x20;reboot.&#x20;Done.','[{\"cis\": [\"2.3.3.6\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\", \"5.4\"]}, {\"cis_csc_v7\": [\"4.3\", \"9.2\", \"14.3\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.3\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\", \"A.13.1.3\", \"A.9.2.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1035\", \"T1047\", \"T1051\", \"T1053\", \"T1055\", \"T1067\", \"T1072\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1084\", \"T1086\", \"T1088\", \"T1097\", \"T1098\", \"T1100\", \"T1133\", \"T1134\", \"T1136\", \"T1169\", \"T1175\", \"T1176\", \"T1184\", \"T1190\", \"T1200\", \"T1206\", \"T1208\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1495\", \"T1501\", \"T1505\", \"T1525\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\", \"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\", \"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31017,'Ensure&#x20;Remote&#x20;Apple&#x20;Events&#x20;Is&#x20;Disabled.','Apple&#x20;Events&#x20;is&#x20;a&#x20;technology&#x20;that&#x20;allows&#x20;one&#x20;program&#x20;to&#x20;communicate&#x20;with&#x20;other&#x20;programs.&#x20;Remote&#x20;Apple&#x20;Events&#x20;allows&#x20;a&#x20;program&#x20;on&#x20;one&#x20;computer&#x20;to&#x20;communicate&#x20;with&#x20;a&#x20;program&#x20;on&#x20;a&#x20;different&#x20;computer.','Disabling&#x20;Remote&#x20;Apple&#x20;Events&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;unauthorized&#x20;program&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;system.','With&#x20;remote&#x20;Apple&#x20;events&#x20;turned&#x20;on,&#x20;an&#x20;AppleScript&#x20;program&#x20;running&#x20;on&#x20;another&#x20;Mac&#x20;can&#x20;interact&#x20;with&#x20;the&#x20;local&#x20;computer.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;Remote&#x20;Apple&#x20;Events:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Sharing&#x20;4.&#x20;Set&#x20;Remote&#x20;Apple&#x20;Events&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;Remote&#x20;Apple&#x20;Events&#x20;to&#x20;Off:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-setremoteappleevents&#x20;off&#x20;setremoteappleevents:&#x20;Off.','[{\"cis\": [\"2.3.3.7\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31018,'Ensure&#x20;Internet&#x20;Sharing&#x20;Is&#x20;Disabled.','Internet&#x20;Sharing&#x20;uses&#x20;the&#x20;open&#x20;source&#x20;natd&#x20;process&#x20;to&#x20;share&#x20;an&#x20;internet&#x20;connection&#x20;with&#x20;other&#x20;computers&#x20;and&#x20;devices&#x20;on&#x20;a&#x20;local&#x20;network.&#x20;This&#x20;allows&#x20;the&#x20;Mac&#x20;to&#x20;function&#x20;as&#x20;a&#x20;router&#x20;and&#x20;share&#x20;the&#x20;connection&#x20;to&#x20;other,&#x20;possibly&#x20;unauthorized,&#x20;devices.','Disabling&#x20;Internet&#x20;Sharing&#x20;reduces&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','Internet&#x20;Sharing&#x20;allows&#x20;the&#x20;computer&#x20;to&#x20;function&#x20;as&#x20;a&#x20;router&#x20;and&#x20;other&#x20;computers&#x20;to&#x20;use&#x20;it&#x20;for&#x20;access.&#x20;This&#x20;can&#x20;expose&#x20;both&#x20;the&#x20;computer&#x20;itself&#x20;and&#x20;the&#x20;networks&#x20;it&#x20;is&#x20;accessing&#x20;to&#x20;unacceptable&#x20;access&#x20;from&#x20;unapproved&#x20;devices.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;Internet&#x20;Sharing:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Sharing&#x20;4.&#x20;Set&#x20;Internet&#x20;Sharing&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;turn&#x20;off&#x20;Internet&#x20;Sharing:&#x20;$&#x20;usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/SystemConfiguration/com.apple.nat&#x20;NAT&#x20;-dict&#x20;Enabled&#x20;-int&#x20;0&#x20;Note:&#x20;Using&#x20;the&#x20;Terminal&#x20;Method&#x20;will&#x20;not&#x20;be&#x20;reflected&#x20;in&#x20;the&#x20;GUI,&#x20;but&#x20;will&#x20;disable&#x20;the&#x20;underlying&#x20;service.&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.MCX&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;forceInternetSharingOff&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"2.3.3.8\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31019,'Ensure&#x20;Content&#x20;Caching&#x20;Is&#x20;Disabled.','Starting&#x20;with&#x20;10.13&#x20;&#40;macOS&#x20;High&#x20;Sierra&#41;,&#x20;Apple&#x20;introduced&#x20;a&#x20;service&#x20;to&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;deploy&#x20;data&#x20;from&#x20;Apple,&#x20;including&#x20;software&#x20;updates,&#x20;where&#x20;there&#x20;are&#x20;bandwidth&#x20;constraints&#x20;to&#x20;the&#x20;Internet&#x20;and&#x20;fewer&#x20;constraints&#x20;or&#x20;greater&#x20;bandwidth&#x20;exist&#x20;on&#x20;the&#x20;local&#x20;subnet.&#x20;This&#x20;capability&#x20;can&#x20;be&#x20;very&#x20;valuable&#x20;for&#x20;organizations&#x20;that&#x20;have&#x20;throttled&#x20;and&#x20;possibly&#x20;metered&#x20;Internet&#x20;connections.&#x20;In&#x20;heterogeneous&#x20;enterprise&#x20;networks&#x20;with&#x20;multiple&#x20;subnets,&#x20;the&#x20;effectiveness&#x20;of&#x20;this&#x20;capability&#x20;would&#x20;be&#x20;determined&#x20;by&#x20;how&#x20;many&#x20;Macs&#x20;were&#x20;on&#x20;each&#x20;subnet&#x20;at&#x20;the&#x20;time&#x20;new,&#x20;large&#x20;updates&#x20;were&#x20;made&#x20;available&#x20;upstream.&#x20;This&#x20;capability&#x20;requires&#x20;the&#x20;use&#x20;of&#x20;mac&#x20;OS&#x20;clients&#x20;as&#x20;P2P&#x20;nodes&#x20;for&#x20;updated&#x20;Apple&#x20;content.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;business&#x20;requirement&#x20;to&#x20;manage&#x20;operational&#x20;Internet&#x20;connectivity&#x20;and&#x20;bandwidth&#x20;user&#x20;endpoints&#x20;should&#x20;not&#x20;store&#x20;content&#x20;and&#x20;act&#x20;as&#x20;a&#x20;cluster&#x20;to&#x20;provision&#x20;data.&#x20;Content&#x20;types&#x20;supported&#x20;by&#x20;Content&#x20;Caching&#x20;in&#x20;macOS.','The&#x20;main&#x20;use&#x20;case&#x20;for&#x20;Mac&#x20;computers&#x20;is&#x20;as&#x20;mobile&#x20;user&#x20;endpoints.&#x20;P2P&#x20;sharing&#x20;services&#x20;should&#x20;not&#x20;be&#x20;enabled&#x20;on&#x20;laptops&#x20;that&#x20;are&#x20;using&#x20;untrusted&#x20;networks.&#x20;Content&#x20;Caching&#x20;can&#x20;allow&#x20;a&#x20;computer&#x20;to&#x20;be&#x20;a&#x20;server&#x20;for&#x20;local&#x20;nodes&#x20;on&#x20;an&#x20;untrusted&#x20;network.&#x20;While&#x20;there&#x20;are&#x20;certainly&#x20;logical&#x20;controls&#x20;that&#x20;could&#x20;be&#x20;used&#x20;to&#x20;mitigate&#x20;risk,&#x20;they&#x20;add&#x20;to&#x20;the&#x20;management&#x20;complexity.&#x20;Since&#x20;the&#x20;value&#x20;of&#x20;the&#x20;service&#x20;is&#x20;in&#x20;specific&#x20;use&#x20;cases&#x20;organizations&#x20;with&#x20;the&#x20;use&#x20;case&#x20;described&#x20;above&#x20;can&#x20;accept&#x20;risk&#x20;as&#x20;necessary.','This&#x20;setting&#x20;will&#x20;adversely&#x20;affect&#x20;bandwidth&#x20;usage&#x20;between&#x20;local&#x20;subnets&#x20;and&#x20;the&#x20;Internet.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;Content&#x20;Caching:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Sharing&#x20;4.&#x20;Set&#x20;Content&#x20;Caching&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Content&#x20;Caching:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/AssetCacheManagerUtil&#x20;deactivate&#x20;The&#x20;output&#x20;will&#x20;include&#x20;Content&#x20;caching&#x20;deactivated&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.applicationaccess&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;allowContentCaching&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;false/&gt;.','[{\"cis\": [\"2.3.3.9\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1015\", \"T1051\", \"T1076\", \"T1133\", \"T1200\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(31020,'Ensure&#x20;Backup&#x20;Automatically&#x20;is&#x20;Enabled&#x20;If&#x20;Time&#x20;Machine&#x20;Is&#x20;Enabled.','Backup&#x20;solutions&#x20;are&#x20;only&#x20;effective&#x20;if&#x20;the&#x20;backups&#x20;run&#x20;on&#x20;a&#x20;regular&#x20;basis.&#x20;The&#x20;time&#x20;to&#x20;check&#x20;for&#x20;backups&#x20;is&#x20;before&#x20;the&#x20;hard&#x20;drive&#x20;fails&#x20;or&#x20;the&#x20;computer&#x20;goes&#x20;missing.&#x20;In&#x20;order&#x20;to&#x20;simplify&#x20;the&#x20;user&#x20;experience&#x20;so&#x20;that&#x20;backups&#x20;are&#x20;more&#x20;likely&#x20;to&#x20;occur,&#x20;Time&#x20;Machine&#x20;should&#x20;be&#x20;on&#x20;and&#x20;set&#x20;to&#x20;Back&#x20;Up&#x20;Automatically&#x20;whenever&#x20;the&#x20;target&#x20;volume&#x20;is&#x20;available.&#x20;Operational&#x20;staff&#x20;should&#x20;ensure&#x20;that&#x20;backups&#x20;complete&#x20;on&#x20;a&#x20;regular&#x20;basis&#x20;and&#x20;the&#x20;backups&#x20;are&#x20;tested&#x20;to&#x20;ensure&#x20;that&#x20;file&#x20;restoration&#x20;from&#x20;backup&#x20;is&#x20;possible&#x20;when&#x20;needed.&#x20;Backup&#x20;dates&#x20;are&#x20;available&#x20;even&#x20;when&#x20;the&#x20;target&#x20;volume&#x20;is&#x20;not&#x20;available&#x20;in&#x20;the&#x20;Time&#x20;Machine&#x20;plist.&#x20;SnapshotDates&#x20;=&#x20;&#40;&#x20;&quot;2012-08-20&#x20;12:10:22&#x20;+0000&quot;,&#x20;&quot;2013-02-03&#x20;23:43:22&#x20;+0000&quot;,&#x20;&quot;2014-02-19&#x20;21:37:21&#x20;+0000&quot;,&#x20;&quot;2015-02-22&#x20;13:07:25&#x20;+0000&quot;,&#x20;&quot;2016-08-20&#x20;14:07:14&#x20;+0000&quot;&#x20;When&#x20;the&#x20;backup&#x20;volume&#x20;is&#x20;connected&#x20;to&#x20;the&#x20;computer&#x20;more&#x20;extensive&#x20;information&#x20;is&#x20;available&#x20;through&#x20;tmutil.&#x20;See&#x20;man&#x20;tmutil.','Backups&#x20;should&#x20;automatically&#x20;run&#x20;whenever&#x20;the&#x20;backup&#x20;drive&#x20;is&#x20;available.','The&#x20;backup&#x20;will&#x20;run&#x20;periodically&#x20;in&#x20;the&#x20;background&#x20;and&#x20;could&#x20;have&#x20;user&#x20;impact&#x20;while&#x20;running.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;Time&#x20;Machine&#x20;automatic&#x20;backup:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Time&#x20;Machine&#x20;4.&#x20;Select&#x20;Options...&#x20;5.&#x20;Set&#x20;Back&#x20;up&#x20;frequency&#x20;to&#x20;Automatically&#x20;&lt;every&#x20;hour/every&#x20;day/every&#x20;week&gt;&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;automatic&#x20;backups&#x20;if&#x20;Time&#x20;Machine&#x20;is&#x20;enabled:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.TimeMachine.plist&#x20;AutoBackup&#x20;-bool&#x20;true&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.TimeMachine&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;Forced&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to:&#x20;&lt;array&gt;&#x20;&lt;dict&gt;&#x20;&lt;key&gt;mcx_preference_settings&lt;/key&gt;&#x20;&lt;dict&gt;&#x20;&lt;key&gt;AutoBackup&lt;/key&gt;&#x20;&lt;true/&gt;&#x20;&lt;/dict&gt;&#x20;&lt;/dict&gt;&#x20;&lt;/array&gt;.','[{\"cis\": [\"2.3.4.1\"]}, {\"cis_csc_v8\": [\"11.2\"]}, {\"cis_csc_v7\": [\"10.1\"]}, {\"hipaa\": [\"164.308(a)(7)(ii)(A)\"]}, {\"iso_27001-2013\": [\"A.12.3.1\"]}, {\"mitre_techniques\": [\"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1490\", \"T1491\"]}, {\"pci_dss_v3.2.1\": [\"12.10.1\"]}]'),(31021,'Ensure&#x20;Time&#x20;Machine&#x20;Volumes&#x20;Are&#x20;Encrypted&#x20;If&#x20;Time&#x20;Machine&#x20;Is&#x20;Enabled.','One&#x20;of&#x20;the&#x20;most&#x20;important&#x20;security&#x20;tools&#x20;for&#x20;data&#x20;protection&#x20;on&#x20;macOS&#x20;is&#x20;FileVault.&#x20;With&#x20;encryption&#x20;in&#x20;place&#x20;it&#x20;makes&#x20;it&#x20;difficult&#x20;for&#x20;an&#x20;outside&#x20;party&#x20;to&#x20;access&#x20;your&#x20;data&#x20;if&#x20;they&#x20;get&#x20;physical&#x20;possession&#x20;of&#x20;the&#x20;computer.&#x20;One&#x20;very&#x20;large&#x20;weakness&#x20;in&#x20;data&#x20;protection&#x20;with&#x20;FileVault&#x20;is&#x20;the&#x20;level&#x20;of&#x20;protection&#x20;on&#x20;backup&#x20;volumes.&#x20;If&#x20;the&#x20;internal&#x20;drive&#x20;is&#x20;encrypted&#x20;but&#x20;the&#x20;external&#x20;backup&#x20;volume&#x20;that&#x20;goes&#x20;home&#x20;in&#x20;the&#x20;same&#x20;laptop&#x20;bag&#x20;is&#x20;not&#x20;it&#x20;is&#x20;self-defeating.&#x20;Apple&#x20;tries&#x20;to&#x20;make&#x20;this&#x20;mistake&#x20;easily&#x20;avoided&#x20;by&#x20;providing&#x20;a&#x20;checkbox&#x20;to&#x20;enable&#x20;encryption&#x20;when&#x20;setting-up&#x20;a&#x20;Time&#x20;Machine&#x20;backup.&#x20;Using&#x20;this&#x20;option&#x20;does&#x20;require&#x20;some&#x20;password&#x20;management,&#x20;particularly&#x20;if&#x20;a&#x20;large&#x20;drive&#x20;is&#x20;used&#x20;with&#x20;multiple&#x20;computers.&#x20;A&#x20;unique&#x20;complex&#x20;password&#x20;to&#x20;unlock&#x20;the&#x20;drive&#x20;can&#x20;be&#x20;stored&#x20;in&#x20;keychains&#x20;on&#x20;multiple&#x20;systems&#x20;for&#x20;ease&#x20;of&#x20;use.&#x20;While&#x20;some&#x20;portable&#x20;drives&#x20;may&#x20;contain&#x20;non-sensitive&#x20;data&#x20;and&#x20;encryption&#x20;may&#x20;make&#x20;interoperability&#x20;with&#x20;other&#x20;systems&#x20;difficult&#x20;backup&#x20;volumes&#x20;should&#x20;be&#x20;protected&#x20;just&#x20;like&#x20;boot&#x20;volumes.','Backup&#x20;volumes&#x20;need&#x20;to&#x20;be&#x20;encrypted.','','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;encryption&#x20;on&#x20;the&#x20;Time&#x20;Machine&#x20;drive:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Time&#x20;Machine&#x20;4.&#x20;Select&#x20;the&#x20;unencrypted&#x20;drive&#x20;5.&#x20;Select&#x20;-&#x20;to&#x20;forget&#x20;that&#x20;drive&#x20;as&#x20;a&#x20;destination&#x20;6.&#x20;Select&#x20;+&#x20;to&#x20;add&#x20;a&#x20;different&#x20;drive&#x20;as&#x20;the&#x20;destination&#x20;7.&#x20;Select&#x20;Set&#x20;Up&#x20;Disk...&#x20;8.&#x20;Set&#x20;Encrypt&#x20;Backup&#x20;to&#x20;enabled&#x20;9.&#x20;Enter&#x20;a&#x20;password&#x20;in&#x20;the&#x20;New&#x20;Password&#x20;and&#x20;the&#x20;same&#x20;password&#x20;in&#x20;the&#x20;Re-enter&#x20;Password&#x20;fields&#x20;10.&#x20;A&#x20;password&#x20;hint&#x20;is&#x20;required,&#x20;but&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;you&#x20;do&#x20;not&#x20;use&#x20;any&#x20;identifying&#x20;information&#x20;for&#x20;the&#x20;password&#x20;Note:&#x20;In&#x20;macOS&#x20;12.0&#x20;Monterey&#x20;and&#x20;previous,&#x20;the&#x20;existing&#x20;Time&#x20;Machine&#x20;drive&#x20;could&#x20;have&#x20;encryption&#x20;added&#x20;without&#x20;formatting&#x20;it.&#x20;This&#x20;is&#x20;no&#x20;longer&#x20;possible&#x20;in&#x20;macOS&#x20;13.0&#x20;Ventura.&#x20;If&#x20;you&#x20;with&#x20;to&#x20;keep&#x20;previous&#x20;backups&#x20;from&#x20;the&#x20;unencrypted&#x20;volume,&#x20;you&#x20;will&#x20;need&#x20;to&#x20;manually&#x20;move&#x20;those&#x20;files&#x20;over&#x20;to&#x20;the&#x20;new&#x20;encrypted&#x20;drive.','[{\"cis\": [\"2.3.4.2\"]}, {\"cis_csc_v8\": [\"3.6\", \"3.11\", \"11.3\"]}, {\"cis_csc_v7\": [\"10.4\", \"13.6\", \"14.8\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.19\", \"IA.L2-3.5.10\", \"MP.L2-3.8.1\", \"MP.L2-3.8.9\", \"SC.L2-3.13.11\", \"SC.L2-3.13.16\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(2)(ii)\"]}, {\"iso_27001-2013\": [\"A.10.1.1\", \"A.12.3.1\", \"A.6.2.1\"]}, {\"mitre_techniques\": [\"T1040\", \"T1070\", \"T1072\", \"T1114\", \"T1119\", \"T1145\", \"T1208\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1490\", \"T1491\", \"T1492\", \"T1493\", \"T1527\", \"T1530\"]}, {\"nist_sp_800-53\": [\"CP-9(8)\", \"SC-28\", \"SC-28(1)\"]}, {\"pci_dss_v3.2.1\": [\"3.4\", \"3.4.1\", \"8.2.1\", \"9.5\", \"9.5.1\"]}, {\"pci_dss_v4.0\": [\"3.1.1\", \"3.3.2\", \"3.3.3\", \"3.5.1\", \"3.5.1.2\", \"3.5.1.3\", \"8.3.2\"]}, {\"soc_2\": [\"A1.2\", \"CC6.1\", \"CC6.4\", \"CC6.7\"]}]'),(31022,'Ensure&#x20;Location&#x20;Services&#x20;Is&#x20;Enabled.','macOS&#x20;uses&#x20;location&#x20;information&#x20;gathered&#x20;through&#x20;local&#x20;Wi-Fi&#x20;networks&#x20;to&#x20;enable&#x20;applications&#x20;to&#x20;supply&#x20;relevant&#x20;information&#x20;to&#x20;users.&#x20;With&#x20;the&#x20;operating&#x20;system&#x20;verifying&#x20;the&#x20;location,&#x20;users&#x20;do&#x20;not&#x20;need&#x20;to&#x20;change&#x20;the&#x20;time&#x20;or&#x20;the&#x20;time&#x20;zone.&#x20;The&#x20;computer&#x20;will&#x20;change&#x20;them&#x20;based&#x20;on&#x20;the&#x20;user&#039;s&#x20;location.&#x20;They&#x20;do&#x20;not&#x20;need&#x20;to&#x20;specify&#x20;their&#x20;location&#x20;for&#x20;weather&#x20;or&#x20;travel&#x20;times,&#x20;and&#x20;they&#x20;will&#x20;receive&#x20;alerts&#x20;on&#x20;travel&#x20;times&#x20;to&#x20;meetings&#x20;and&#x20;appointment&#x20;where&#x20;location&#x20;information&#x20;is&#x20;supplied.&#x20;Location&#x20;Services&#x20;simplify&#x20;some&#x20;processes&#x20;with&#x20;mobile&#x20;computers,&#x20;such&#x20;as&#x20;asset&#x20;management&#x20;and&#x20;time&#x20;or&#x20;log&#x20;management.&#x20;There&#x20;are&#x20;some&#x20;use&#x20;cases&#x20;where&#x20;it&#x20;is&#x20;important&#x20;that&#x20;the&#x20;computer&#x20;not&#x20;be&#x20;able&#x20;to&#x20;report&#x20;its&#x20;exact&#x20;location.&#x20;While&#x20;the&#x20;general&#x20;use&#x20;case&#x20;is&#x20;to&#x20;enable&#x20;Location&#x20;Services,&#x20;it&#x20;should&#x20;not&#x20;be&#x20;allowed&#x20;if&#x20;the&#x20;physical&#x20;location&#x20;of&#x20;the&#x20;computer&#x20;and&#x20;the&#x20;user&#x20;should&#x20;not&#x20;be&#x20;public&#x20;knowledge.','Location&#x20;Services&#x20;are&#x20;helpful&#x20;in&#x20;most&#x20;use&#x20;cases&#x20;and&#x20;can&#x20;simplify&#x20;log&#x20;and&#x20;time&#x20;management&#x20;where&#x20;computers&#x20;change&#x20;time&#x20;zones.','','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;Location&#x20;Services:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Privacy&#x20;&amp;&#x20;Security&#x20;3.&#x20;Select&#x20;Location&#x20;Services&#x20;4.&#x20;Set&#x20;Location&#x20;Services&#x20;to&#x20;enabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;Location&#x20;Services:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/launchctl&#x20;load&#x20;-w&#x20;/System/Library/LaunchDaemons/com.apple.locationd.plist&#x20;If&#x20;the&#x20;com.apple.locationd.plist&#x20;outputs&#x20;0,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;also&#x20;ensure&#x20;Location&#x20;Services&#x20;is&#x20;running:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/var/db/locationd/Library/Preferences/ByHost/com.apple.locationd&#x20;LocationServicesEnabled&#x20;-bool&#x20;false&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/launchctl&#x20;kickstart&#x20;-k&#x20;system/com.apple.locationd&#x20;Note:&#x20;In&#x20;some&#x20;use&#x20;cases,&#x20;organizations&#x20;may&#x20;not&#x20;want&#x20;Location&#x20;Services&#x20;running.&#x20;To&#x20;disable&#x20;Location&#x20;Services,&#x20;System&#x20;Integrity&#x20;Protection&#x20;must&#x20;be&#x20;disabled.','[{\"cis\": [\"2.6.1.1\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31023,'Ensure&#x20;Location&#x20;Services&#x20;Is&#x20;in&#x20;the&#x20;Menu&#x20;Bar.','This&#x20;setting&#x20;provides&#x20;the&#x20;user&#x20;to&#x20;understand&#x20;the&#x20;current&#x20;status&#x20;of&#x20;Location&#x20;Services&#x20;and&#x20;which&#x20;applications&#x20;are&#x20;using&#x20;it.','Apple&#x20;has&#x20;fully&#x20;integrated&#x20;location&#x20;services&#x20;into&#x20;macOS.&#x20;Where&#x20;the&#x20;computer&#x20;is&#x20;currently&#x20;located&#x20;is&#x20;used&#x20;for&#x20;Timezones,&#x20;weather,&#x20;travel&#x20;times,&#x20;geolocation,&#x20;&quot;Find&#x20;my&#x20;Mac&quot;&#x20;and&#x20;advertising&#x20;services.&#x20;This&#x20;benchmark&#x20;recommends&#x20;that&#x20;location&#x20;services&#x20;are&#x20;enabled&#x20;for&#x20;most&#x20;users.&#x20;Many&#x20;users&#x20;may&#x20;have&#x20;occasions&#x20;when&#x20;they&#x20;do&#x20;not&#x20;want&#x20;to&#x20;share&#x20;their&#x20;current&#x20;locations,&#x20;some&#x20;users&#x20;may&#x20;need&#x20;to&#x20;rarely&#x20;share&#x20;their&#x20;locations.&#x20;The&#x20;immediate&#x20;availability&#x20;of&#x20;Location&#x20;Services&#x20;in&#x20;the&#x20;menu&#x20;bar&#x20;provides&#x20;easy&#x20;access&#x20;to&#x20;the&#x20;current&#x20;status,&#x20;which&#x20;applications&#x20;are&#x20;using&#x20;the&#x20;service&#x20;and&#x20;a&#x20;quick&#x20;shortcut&#x20;to&#x20;making&#x20;changes.&#x20;This&#x20;setting&#x20;provides&#x20;better&#x20;user&#x20;control&#x20;in&#x20;managing&#x20;user&#x20;privacy.','Users&#x20;may&#x20;be&#x20;provided&#x20;visibility&#x20;to&#x20;a&#x20;setting&#x20;they&#x20;cannot&#x20;control&#x20;if&#x20;organizations&#x20;control&#x20;Location&#x20;Services&#x20;globally&#x20;by&#x20;policy.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;set&#x20;whether&#x20;the&#x20;location&#x20;services&#x20;icon&#x20;is&#x20;in&#x20;the&#x20;menu&#x20;bar:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Privacy&#x20;&amp;&#x20;Security&#x20;3.&#x20;Select&#x20;Location&#x20;Services&#x20;4.&#x20;Select&#x20;Details...&#x20;5.&#x20;Set&#x20;Show&#x20;location&#x20;icon&#x20;in&#x20;menu&#x20;bar&#x20;when&#x20;System&#x20;Services&#x20;request&#x20;your&#x20;location&#x20;to&#x20;your&#x20;organization&#039;s&#x20;parameters&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;option&#x20;of&#x20;the&#x20;location&#x20;services&#x20;icon&#x20;being&#x20;in&#x20;the&#x20;menu&#x20;bar:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.locationmenu.plist&#x20;ShowSystemServices&#x20;-bool&#x20;&lt;true/false&gt;.','[{\"cis\": [\"2.6.1.2\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31024,'Ensure&#x20;Gatekeeper&#x20;Is&#x20;Enabled.','Gatekeeper&#x20;is&#x20;Apple&#039;s&#x20;application&#x20;that&#x20;utilizes&#x20;allowlisting&#x20;to&#x20;restrict&#x20;downloaded&#x20;applications&#x20;from&#x20;launching.&#x20;It&#x20;functions&#x20;as&#x20;a&#x20;control&#x20;to&#x20;limit&#x20;applications&#x20;from&#x20;unverified&#x20;sources&#x20;from&#x20;running&#x20;without&#x20;authorization.&#x20;In&#x20;an&#x20;update&#x20;to&#x20;Gatekeeper&#x20;in&#x20;macOS&#x20;13&#x20;Ventura,&#x20;Gatekeeper&#x20;checks&#x20;every&#x20;application&#x20;on&#x20;every&#x20;launch,&#x20;not&#x20;just&#x20;quarantined&#x20;apps.','Disallowing&#x20;unsigned&#x20;software&#x20;will&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;unauthorized&#x20;or&#x20;malicious&#x20;applications&#x20;from&#x20;running&#x20;on&#x20;the&#x20;system.','','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;Gatekeeper:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Privacy&#x20;&amp;&#x20;Security&#x20;3.&#x20;Set&#x20;&#039;Allow&#x20;apps&#x20;downloaded&#x20;from&#039;&#x20;to&#x20;&#039;App&#x20;Store&#x20;and&#x20;identified&#x20;developers&#039;&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;Gatekeeper&#x20;to&#x20;allow&#x20;applications&#x20;from&#x20;App&#x20;Store&#x20;and&#x20;identified&#x20;developers:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/spctl&#x20;--master-enable&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.systempolicy.control&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;AllowIdentifiedDevelopers&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;&#x20;4.&#x20;The&#x20;key&#x20;to&#x20;also&#x20;include&#x20;is&#x20;EnableAssessment&#x20;5.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"2.6.4\"]}, {\"cis_csc_v8\": [\"10.1\", \"10.2\", \"10.5\"]}, {\"cis_csc_v7\": [\"8.2\", \"8.4\"]}, {\"cmmc_v2.0\": [\"SI.L1-3.14.2\", \"SI.L1-3.14.4\"]}, {\"hipaa\": [\"164.308(a)(5)(ii)(B)\"]}, {\"iso_27001-2013\": [\"A.12.2.1\"]}, {\"mitre_techniques\": [\"T1017\", \"T1019\", \"T1027\", \"T1045\", \"T1068\", \"T1072\", \"T1073\", \"T1075\", \"T1091\", \"T1100\", \"T1103\", \"T1137\", \"T1138\", \"T1189\", \"T1190\", \"T1193\", \"T1194\", \"T1195\", \"T1200\", \"T1210\", \"T1211\", \"T1212\", \"T1215\", \"T1221\", \"T1495\"]}, {\"nist_sp_800-53\": [\"SI-16\"]}, {\"pci_dss_v3.2.1\": [\"1.4\", \"11.4\", \"5.1\", \"5.1.1\", \"5.2\"]}, {\"pci_dss_v4.0\": [\"5.1.1\", \"5.2.1\", \"5.2.2\", \"5.3.1\", \"5.3.2\"]}, {\"soc_2\": [\"CC6.8\"]}]'),(31025,'Ensure&#x20;FileVault&#x20;Is&#x20;Enabled.','FileVault&#x20;secures&#x20;a&#x20;system&#039;s&#x20;data&#x20;by&#x20;automatically&#x20;encrypting&#x20;its&#x20;boot&#x20;volume&#x20;and&#x20;requiring&#x20;a&#x20;password&#x20;or&#x20;recovery&#x20;key&#x20;to&#x20;access&#x20;it.&#x20;FileVault&#x20;should&#x20;be&#x20;used&#x20;with&#x20;a&#x20;saved&#x20;escrow&#x20;key&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;owner&#x20;can&#x20;decrypt&#x20;their&#x20;data&#x20;if&#x20;the&#x20;password&#x20;is&#x20;lost.&#x20;FileVault&#x20;may&#x20;also&#x20;be&#x20;enabled&#x20;using&#x20;command&#x20;line&#x20;using&#x20;the&#x20;fdesetup&#x20;command.&#x20;To&#x20;use&#x20;this&#x20;functionality,&#x20;consult&#x20;the&#x20;Der&#x20;Flounder&#x20;blog&#x20;for&#x20;more&#x20;details&#x20;&#40;see&#x20;link&#x20;below&#x20;under&#x20;References&#41;.','Encrypting&#x20;sensitive&#x20;data&#x20;minimizes&#x20;the&#x20;likelihood&#x20;of&#x20;unauthorized&#x20;users&#x20;gaining&#x20;access&#x20;to&#x20;it.','Mounting&#x20;a&#x20;FileVault&#x20;encrypted&#x20;volume&#x20;from&#x20;an&#x20;alternate&#x20;boot&#x20;source&#x20;will&#x20;require&#x20;a&#x20;valid&#x20;password&#x20;to&#x20;decrypt&#x20;it.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;FileVault:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Security&#x20;&amp;&#x20;Privacy&#x20;3.&#x20;Select&#x20;Turn&#x20;On...&#x20;Note:&#x20;This&#x20;will&#x20;allow&#x20;you&#x20;to&#x20;create&#x20;a&#x20;recovery&#x20;key&#x20;for&#x20;FileVault.&#x20;Keep&#x20;the&#x20;key&#x20;saved&#x20;securely&#x20;in&#x20;case&#x20;it&#x20;is&#x20;needed&#x20;at&#x20;a&#x20;later&#x20;date.&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.MCX&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;dontAllowFDEDisable&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;&#x20;Note:&#x20;This&#x20;profile&#x20;is&#x20;required&#x20;to&#x20;pass&#x20;the&#x20;audit.','[{\"cis\": [\"2.6.5\"]}, {\"cis_csc_v8\": [\"3.6\", \"3.11\"]}, {\"cis_csc_v7\": [\"13.6\", \"14.8\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.19\", \"IA.L2-3.5.10\", \"MP.L2-3.8.1\", \"SC.L2-3.13.11\", \"SC.L2-3.13.16\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(2)(ii)\"]}, {\"iso_27001-2013\": [\"A.10.1.1\", \"A.6.2.1\"]}, {\"mitre_techniques\": [\"T1040\", \"T1070\", \"T1072\", \"T1114\", \"T1119\", \"T1145\", \"T1208\", \"T1492\", \"T1493\", \"T1527\", \"T1530\"]}, {\"nist_sp_800-53\": [\"SC-28\", \"SC-28(1)\"]}, {\"pci_dss_v3.2.1\": [\"3.4\", \"3.4.1\", \"8.2.1\"]}, {\"pci_dss_v4.0\": [\"3.1.1\", \"3.3.2\", \"3.3.3\", \"3.5.1\", \"3.5.1.2\", \"3.5.1.3\", \"8.3.2\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(31026,'Ensure&#x20;an&#x20;Administrator&#x20;Password&#x20;Is&#x20;Required&#x20;to&#x20;Access&#x20;System-Wide&#x20;Preferences.','System&#x20;Preferences&#x20;controls&#x20;system&#x20;and&#x20;user&#x20;settings&#x20;on&#x20;a&#x20;macOS&#x20;Computer.&#x20;System&#x20;Preferences&#x20;allows&#x20;the&#x20;user&#x20;to&#x20;tailor&#x20;their&#x20;experience&#x20;on&#x20;the&#x20;computer&#x20;as&#x20;well&#x20;as&#x20;allowing&#x20;the&#x20;System&#x20;Administrator&#x20;to&#x20;configure&#x20;global&#x20;security&#x20;settings.&#x20;Some&#x20;of&#x20;the&#x20;settings&#x20;should&#x20;only&#x20;be&#x20;altered&#x20;by&#x20;the&#x20;person&#x20;responsible&#x20;for&#x20;the&#x20;computer.','By&#x20;requiring&#x20;a&#x20;password&#x20;to&#x20;unlock&#x20;system-wide&#x20;System&#x20;Preferences,&#x20;the&#x20;risk&#x20;is&#x20;mitigated&#x20;of&#x20;a&#x20;user&#x20;changing&#x20;configurations&#x20;that&#x20;affect&#x20;the&#x20;entire&#x20;system&#x20;and&#x20;requires&#x20;an&#x20;admin&#x20;user&#x20;to&#x20;re-authenticate&#x20;to&#x20;make&#x20;changes.','Users&#x20;will&#x20;need&#x20;to&#x20;enter&#x20;their&#x20;password&#x20;to&#x20;unlock&#x20;some&#x20;additional&#x20;preference&#x20;panes&#x20;that&#x20;are&#x20;unlocked&#x20;by&#x20;default&#x20;like&#x20;Network,&#x20;Startup&#x20;and&#x20;Printers&#x20;&amp;&#x20;Scanners.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;verify&#x20;that&#x20;an&#x20;administrator&#x20;password&#x20;is&#x20;required&#x20;to&#x20;access&#x20;system-wide&#x20;preferences:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Privacy&#x20;&amp;&#x20;Security&#x20;3.&#x20;Select&#x20;Advanced&#x20;4.&#x20;Set&#x20;Require&#x20;an&#x20;administrator&#x20;password&#x20;to&#x20;access&#x20;system-wide&#x20;settings&#x20;to&#x20;enabled.&#x20;Terminal&#x20;Method:&#x20;The&#x20;authorizationdb&#x20;settings&#x20;cannot&#x20;be&#x20;written&#x20;to&#x20;directly,&#x20;so&#x20;the&#x20;plist&#x20;must&#x20;be&#x20;exported&#x20;out&#x20;to&#x20;temporary&#x20;file.&#x20;Changes&#x20;can&#x20;be&#x20;made&#x20;to&#x20;the&#x20;temporary&#x20;plist,&#x20;then&#x20;imported&#x20;back&#x20;into&#x20;the&#x20;authorizationdb&#x20;settings.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;enable&#x20;that&#x20;an&#x20;administrator&#x20;password&#x20;is&#x20;required&#x20;to&#x20;access&#x20;system-wide&#x20;preferences:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/security&#x20;authorizationdb&#x20;read&#x20;system.preferences&#x20;&gt;&#x20;/tmp/system.preferences.plist&#x20;YES&#x20;&#40;0&#41;&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/tmp/system.preferences.plist&#x20;shared&#x20;-bool&#x20;false&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/security&#x20;authorizationdb&#x20;write&#x20;system.preferences&#x20;&lt;&#x20;/tmp/system.preferences.plist&#x20;YES&#x20;&#40;0&#41;.','[{\"cis\": [\"2.6.7\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\"]}, {\"iso_27001-2013\": [\"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"11.5\", \"2.2\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(31027,'Ensure&#x20;Power&#x20;Nap&#x20;Is&#x20;Disabled&#x20;for&#x20;Intel&#x20;Macs.','Power&#x20;Nap&#x20;allows&#x20;the&#x20;system&#x20;to&#x20;stay&#x20;in&#x20;low&#x20;power&#x20;mode,&#x20;especially&#x20;while&#x20;on&#x20;battery&#x20;power,&#x20;and&#x20;periodically&#x20;connect&#x20;to&#x20;previously&#x20;known&#x20;networks&#x20;with&#x20;stored&#x20;credentials&#x20;for&#x20;user&#x20;applications&#x20;to&#x20;phone&#x20;home&#x20;and&#x20;get&#x20;updates.&#x20;This&#x20;capability&#x20;requires&#x20;FileVault&#x20;to&#x20;remain&#x20;unlocked&#x20;and&#x20;the&#x20;use&#x20;of&#x20;previously&#x20;joined&#x20;networks&#x20;to&#x20;be&#x20;risk&#x20;accepted&#x20;based&#x20;on&#x20;the&#x20;SSID&#x20;without&#x20;user&#x20;input.&#x20;This&#x20;control&#x20;has&#x20;been&#x20;updated&#x20;to&#x20;check&#x20;the&#x20;status&#x20;on&#x20;both&#x20;battery&#x20;and&#x20;AC&#x20;Power.&#x20;The&#x20;presence&#x20;of&#x20;an&#x20;electrical&#x20;outlet&#x20;does&#x20;not&#x20;completely&#x20;correlate&#x20;with&#x20;logical&#x20;and&#x20;physical&#x20;security&#x20;of&#x20;the&#x20;device&#x20;or&#x20;available&#x20;networks.','Disabling&#x20;this&#x20;feature&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;remotely&#x20;waking&#x20;the&#x20;system&#x20;and&#x20;gaining&#x20;access.&#x20;The&#x20;use&#x20;of&#x20;Power&#x20;Nap&#x20;adds&#x20;to&#x20;the&#x20;risk&#x20;of&#x20;compromised&#x20;physical&#x20;and&#x20;logical&#x20;security.&#x20;The&#x20;user&#x20;should&#x20;be&#x20;able&#x20;to&#x20;decrypt&#x20;FileVault&#x20;and&#x20;have&#x20;the&#x20;applications&#x20;download&#x20;what&#x20;is&#x20;required&#x20;when&#x20;the&#x20;computer&#x20;is&#x20;actively&#x20;used.&#x20;The&#x20;control&#x20;to&#x20;prevent&#x20;computer&#x20;sleep&#x20;has&#x20;been&#x20;retired&#x20;for&#x20;this&#x20;version&#x20;of&#x20;the&#x20;Benchmark.&#x20;Forcing&#x20;the&#x20;computer&#x20;to&#x20;stay&#x20;on&#x20;and&#x20;use&#x20;energy&#x20;in&#x20;case&#x20;a&#x20;management&#x20;push&#x20;is&#x20;needed&#x20;is&#x20;contrary&#x20;to&#x20;most&#x20;current&#x20;management&#x20;processes.&#x20;Only&#x20;keep&#x20;computers&#x20;unslept&#x20;if&#x20;after&#x20;hours&#x20;pushes&#x20;are&#x20;required&#x20;on&#x20;closed&#x20;LANs.','Power&#x20;Nap&#x20;exists&#x20;for&#x20;unattended&#x20;user&#x20;application&#x20;updates&#x20;like&#x20;email&#x20;and&#x20;social&#x20;media&#x20;clients.&#x20;With&#x20;Power&#x20;Nap&#x20;disabled,&#x20;the&#x20;computer&#x20;will&#x20;not&#x20;wake&#x20;and&#x20;reconnect&#x20;to&#x20;known&#x20;wireless&#x20;SSIDs&#x20;intermittently&#x20;when&#x20;slept.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;Power&#x20;Nap:&#x20;Desktop&#x20;Instructions:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Energy&#x20;Saver&#x20;3.&#x20;Set&#x20;Power&#x20;Nap&#x20;to&#x20;disabled&#x20;4.&#x20;Select&#x20;UPS&#x20;&#40;if&#x20;applicable&#41;&#x20;5.&#x20;Set&#x20;Power&#x20;Nap&#x20;to&#x20;disabled&#x20;Laptop&#x20;Instructions:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Battery&#x20;3.&#x20;Select&#x20;Power&#x20;Adapter&#x20;&#40;for&#x20;laptops&#x20;only&#41;&#x20;4.&#x20;Set&#x20;Power&#x20;Nap&#x20;to&#x20;disabled&#x20;5.&#x20;Select&#x20;Battery&#x20;6.&#x20;Set&#x20;Power&#x20;Nap&#x20;to&#x20;disabled&#x20;7.&#x20;Select&#x20;UPS&#x20;&#40;if&#x20;applicable&#41;&#x20;8.&#x20;Set&#x20;Power&#x20;Nap&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Power&#x20;Nap:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pmset&#x20;-a&#x20;powernap&#x20;0.','[{\"cis\": [\"2.9.1\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31028,'Ensure&#x20;Wake&#x20;for&#x20;Network&#x20;Access&#x20;Is&#x20;Disabled.','This&#x20;feature&#x20;allows&#x20;the&#x20;computer&#x20;to&#x20;take&#x20;action&#x20;when&#x20;the&#x20;user&#x20;is&#x20;not&#x20;present&#x20;and&#x20;the&#x20;computer&#x20;is&#x20;in&#x20;energy&#x20;saving&#x20;mode.&#x20;These&#x20;tools&#x20;require&#x20;FileVault&#x20;to&#x20;remain&#x20;unlocked&#x20;and&#x20;fully&#x20;rejoin&#x20;known&#x20;networks.&#x20;This&#x20;macOS&#x20;feature&#x20;is&#x20;meant&#x20;to&#x20;allow&#x20;the&#x20;computer&#x20;to&#x20;resume&#x20;activity&#x20;as&#x20;needed&#x20;regardless&#x20;of&#x20;physical&#x20;security&#x20;controls.&#x20;This&#x20;feature&#x20;allows&#x20;other&#x20;users&#x20;to&#x20;be&#x20;able&#x20;to&#x20;access&#x20;your&#x20;computer&#039;s&#x20;shared&#x20;resources,&#x20;such&#x20;as&#x20;shared&#x20;printers&#x20;or&#x20;Apple&#x20;Music&#x20;playlists,&#x20;even&#x20;when&#x20;your&#x20;computer&#x20;is&#x20;in&#x20;sleep&#x20;mode.&#x20;In&#x20;a&#x20;closed&#x20;network&#x20;when&#x20;only&#x20;authorized&#x20;devices&#x20;could&#x20;wake&#x20;a&#x20;computer,&#x20;it&#x20;could&#x20;be&#x20;valuable&#x20;to&#x20;wake&#x20;computers&#x20;in&#x20;order&#x20;to&#x20;do&#x20;management&#x20;push&#x20;activity.&#x20;Where&#x20;mobile&#x20;workstations&#x20;and&#x20;agents&#x20;exist,&#x20;the&#x20;device&#x20;will&#x20;more&#x20;likely&#x20;check&#x20;in&#x20;to&#x20;receive&#x20;updates&#x20;when&#x20;already&#x20;awake.&#x20;Mobile&#x20;devices&#x20;should&#x20;not&#x20;be&#x20;listening&#x20;for&#x20;signals&#x20;on&#x20;any&#x20;unmanaged&#x20;network&#x20;or&#x20;where&#x20;untrusted&#x20;devices&#x20;exist&#x20;that&#x20;could&#x20;send&#x20;wake&#x20;signals.','Disabling&#x20;this&#x20;feature&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;remotely&#x20;waking&#x20;the&#x20;system&#x20;and&#x20;gaining&#x20;access.','Management&#x20;programs&#x20;like&#x20;Apple&#x20;Remote&#x20;Desktop&#x20;Administrator&#x20;use&#x20;wake-on-LAN&#x20;to&#x20;connect&#x20;with&#x20;computers.&#x20;If&#x20;turned&#x20;off,&#x20;such&#x20;management&#x20;programs&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;wake&#x20;a&#x20;computer&#x20;over&#x20;the&#x20;LAN.&#x20;If&#x20;the&#x20;wake-on-LAN&#x20;feature&#x20;is&#x20;needed,&#x20;do&#x20;not&#x20;turn&#x20;off&#x20;this&#x20;feature.&#x20;The&#x20;control&#x20;to&#x20;prevent&#x20;computer&#x20;sleep&#x20;has&#x20;been&#x20;retired&#x20;for&#x20;this&#x20;version&#x20;of&#x20;the&#x20;Benchmark.&#x20;Forcing&#x20;the&#x20;computer&#x20;to&#x20;stay&#x20;on&#x20;and&#x20;use&#x20;energy&#x20;in&#x20;case&#x20;a&#x20;management&#x20;push&#x20;is&#x20;needed&#x20;is&#x20;contrary&#x20;to&#x20;most&#x20;current&#x20;management&#x20;processes.&#x20;Only&#x20;keep&#x20;computers&#x20;unslept&#x20;if&#x20;after&#x20;hours&#x20;pushes&#x20;are&#x20;required&#x20;on&#x20;closed&#x20;LANs.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;Wake&#x20;for&#x20;network&#x20;access:&#x20;Desktop&#x20;Instructions:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Energy&#x20;Saver&#x20;3.&#x20;Set&#x20;Wake&#x20;for&#x20;network&#x20;access&#x20;to&#x20;disabled&#x20;Laptop&#x20;Instructions:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Battery&#x20;3.&#x20;Select&#x20;Options...&#x20;4.&#x20;Set&#x20;Wake&#x20;for&#x20;network&#x20;access&#x20;to&#x20;Never&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Wake&#x20;for&#x20;network&#x20;access:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pmset&#x20;-a&#x20;womp&#x20;0&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.MCX&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;com.apple.EnergySaver.desktop.ACPower&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to:&#x20;&lt;dict&gt;&#x20;&lt;key&gt;Wake&#x20;On&#x20;LAN&lt;/key&gt;&#x20;&lt;integer&gt;0&lt;/integer&gt;&#x20;&lt;key&gt;Wake&#x20;On&#x20;Modem&#x20;Ring&lt;/key&gt;&#x20;&lt;integer&gt;0&lt;/integer&gt;&#x20;&lt;/dict&gt;&#x20;4.&#x20;The&#x20;key&#x20;to&#x20;also&#x20;include&#x20;is&#x20;com.apple.EnergySaver.portable.ACPower&#x20;5.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to:&#x20;&lt;dict&gt;&#x20;&lt;key&gt;Wake&#x20;On&#x20;LAN&lt;/key&gt;&#x20;&lt;integer&gt;0&lt;/integer&gt;&#x20;&lt;key&gt;Wake&#x20;On&#x20;Modem&#x20;Ring&lt;/key&gt;&#x20;&lt;integer&gt;0&lt;/integer&gt;&#x20;&lt;/dict&gt;&#x20;6.&#x20;The&#x20;key&#x20;to&#x20;also&#x20;include&#x20;is&#x20;com.apple.EnergySaver.portable.BatteryPower&#x20;7.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to:&#x20;&lt;dict&gt;&#x20;&lt;key&gt;Wake&#x20;On&#x20;LAN&lt;/key&gt;&#x20;&lt;integer&gt;0&lt;/integer&gt;&#x20;&lt;key&gt;Wake&#x20;On&#x20;Modem&#x20;Ring&lt;/key&gt;&#x20;&lt;integer&gt;0&lt;/integer&gt;&#x20;&lt;/dict&gt;&#x20;Note:&#x20;Both&#x20;Wake&#x20;on&#x20;LAN&#x20;and&#x20;Wake&#x20;on&#x20;Modem&#x20;Ring&#x20;need&#x20;to&#x20;be&#x20;set.&#x20;Only&#x20;setting&#x20;Wake&#x20;On&#x20;LAN&#x20;will&#x20;allow&#x20;the&#x20;profile&#x20;to&#x20;install&#x20;but&#x20;not&#x20;set&#x20;any&#x20;settings.&#x20;This&#x20;profile&#x20;will&#x20;only&#x20;apply&#x20;the&#x20;setting&#x20;at&#x20;installation&#x20;and&#x20;is&#x20;not&#x20;sticky.','[{\"cis\": [\"2.9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1015\", \"T1051\", \"T1076\", \"T1133\", \"T1200\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(31029,'Ensure&#x20;a&#x20;Password&#x20;is&#x20;Required&#x20;to&#x20;Wake&#x20;the&#x20;Computer&#x20;From&#x20;Sleep&#x20;or&#x20;Screen&#x20;Saver&#x20;Is&#x20;Enabled.','Sleep&#x20;and&#x20;screen&#x20;saver&#x20;modes&#x20;are&#x20;low&#x20;power&#x20;modes&#x20;that&#x20;reduce&#x20;electrical&#x20;consumption&#x20;while&#x20;the&#x20;system&#x20;is&#x20;not&#x20;in&#x20;use.','Prompting&#x20;for&#x20;a&#x20;password&#x20;when&#x20;waking&#x20;from&#x20;sleep&#x20;or&#x20;screen&#x20;saver&#x20;mode&#x20;mitigates&#x20;the&#x20;threat&#x20;of&#x20;an&#x20;unauthorized&#x20;person&#x20;gaining&#x20;access&#x20;to&#x20;a&#x20;system&#x20;in&#x20;the&#x20;user&#039;s&#x20;absence.','Without&#x20;a&#x20;screenlock&#x20;in&#x20;place&#x20;anyone&#x20;with&#x20;physical&#x20;access&#x20;to&#x20;the&#x20;computer&#x20;would&#x20;be&#x20;logged&#x20;in&#x20;and&#x20;able&#x20;to&#x20;use&#x20;the&#x20;active&#x20;user&#039;s&#x20;session.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;a&#x20;password&#x20;for&#x20;unlock&#x20;after&#x20;a&#x20;screen&#x20;saver&#x20;begins&#x20;or&#x20;after&#x20;sleep:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Lock&#x20;Screen&#x20;3.&#x20;Set&#x20;Require&#x20;password&#x20;after&#x20;screensaver&#x20;begins&#x20;or&#x20;display&#x20;is&#x20;turned&#x20;off&#x20;to&#x20;either&#x20;After&#x20;0&#x20;seconds&#x20;or&#x20;After&#x20;5&#x20;seconds&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;require&#x20;a&#x20;password&#x20;to&#x20;unlock&#x20;the&#x20;computer&#x20;after&#x20;the&#x20;screen&#x20;saver&#x20;engages&#x20;or&#x20;the&#x20;computer&#x20;sleeps:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/sysadminctl&#x20;-screenLock&#x20;immediate&#x20;-password&#x20;&lt;administrator&#x20;password&gt;&#x20;or&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/sysadminctl&#x20;-screenLock&#x20;5&#x20;seconds&#x20;-password&#x20;&lt;administrator&#x20;password&gt;&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.screensaver&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;askForPassword&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;&#x20;4.&#x20;The&#x20;key&#x20;to&#x20;also&#x20;include&#x20;is&#x20;askForPasswordDelay&#x20;5.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;integer&gt;&lt;0,5&gt;&lt;/integer&gt;.','[{\"cis\": [\"2.10.2\"]}, {\"cis_csc_v8\": [\"4.7\"]}, {\"cis_csc_v7\": [\"4.2\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1017\", \"T1019\", \"T1028\", \"T1035\", \"T1047\", \"T1051\", \"T1053\", \"T1055\", \"T1067\", \"T1072\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1084\", \"T1086\", \"T1088\", \"T1097\", \"T1098\", \"T1100\", \"T1134\", \"T1136\", \"T1169\", \"T1175\", \"T1184\", \"T1190\", \"T1206\", \"T1208\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1495\", \"T1501\", \"T1505\", \"T1525\"]}, {\"pci_dss_v3.2.1\": [\"2.1\", \"2.1.1\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \"2.3.1\"]}, {\"soc_2\": [\"CC6.3\"]}]'),(31030,'Ensure&#x20;a&#x20;Custom&#x20;Message&#x20;for&#x20;the&#x20;Login&#x20;Screen&#x20;Is&#x20;Enabled.','An&#x20;access&#x20;warning&#x20;informs&#x20;the&#x20;user&#x20;that&#x20;the&#x20;system&#x20;is&#x20;reserved&#x20;for&#x20;authorized&#x20;use&#x20;only,&#x20;and&#x20;that&#x20;the&#x20;use&#x20;of&#x20;the&#x20;system&#x20;may&#x20;be&#x20;monitored.','An&#x20;access&#x20;warning&#x20;may&#x20;reduce&#x20;a&#x20;casual&#x20;attacker&#039;s&#x20;tendency&#x20;to&#x20;target&#x20;the&#x20;system.&#x20;Access&#x20;warnings&#x20;may&#x20;also&#x20;aid&#x20;in&#x20;the&#x20;prosecution&#x20;of&#x20;an&#x20;attacker&#x20;by&#x20;evincing&#x20;the&#x20;attacker&#039;s&#x20;knowledge&#x20;of&#x20;the&#x20;system&#039;s&#x20;private&#x20;status,&#x20;acceptable&#x20;use&#x20;policy,&#x20;and&#x20;authorization&#x20;requirements.','If&#x20;users&#x20;are&#x20;not&#x20;informed&#x20;of&#x20;their&#x20;responsibilities,&#x20;unapproved&#x20;activities&#x20;may&#x20;occur.&#x20;Users&#x20;that&#x20;are&#x20;not&#x20;approved&#x20;for&#x20;access&#x20;may&#x20;take&#x20;the&#x20;lack&#x20;of&#x20;a&#x20;warning&#x20;banner&#x20;as&#x20;implied&#x20;consent&#x20;to&#x20;access.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;a&#x20;login&#x20;banner&#x20;set&#x20;to&#x20;your&#x20;organization&#039;s&#x20;required&#x20;text:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Lock&#x20;Screen&#x20;3.&#x20;Set&#x20;Show&#x20;message&#x20;when&#x20;locked&#x20;to&#x20;enabled&#x20;4.&#x20;Select&#x20;Set&#x20;5.&#x20;Insert&#x20;text&#x20;in&#x20;the&#x20;Set&#x20;a&#x20;message&#x20;to&#x20;appear&#x20;on&#x20;the&#x20;lock&#x20;screen&#x20;that&#x20;matches&#x20;your&#x20;organization&#039;s&#x20;required&#x20;text&#x20;6.&#x20;Select&#x20;Done&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;a&#x20;custom&#x20;login&#x20;screen&#x20;message:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;LoginwindowText&#x20;&quot;&lt;custom&#x20;message&gt;&quot;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;LoginwindowText&#x20;&quot;Center&#x20;for&#x20;Internet&#x20;Security&#x20;Test&#x20;Message&quot;&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.loginwindow&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;LoginwindowText&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;string&gt;&lt;Your&#x20;organization&#039;s&#x20;required&#x20;text&gt;&lt;/string&gt;.','[{\"cis\": [\"2.10.3\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\"]}, {\"iso_27001-2013\": [\"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"11.5\", \"2.2\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(31031,'Ensure&#x20;Login&#x20;Window&#x20;Displays&#x20;as&#x20;Name&#x20;and&#x20;Password&#x20;Is&#x20;Enabled.','The&#x20;login&#x20;window&#x20;prompts&#x20;a&#x20;user&#x20;for&#x20;his/her&#x20;credentials,&#x20;verifies&#x20;their&#x20;authorization&#x20;level,&#x20;and&#x20;then&#x20;allows&#x20;or&#x20;denies&#x20;the&#x20;user&#x20;access&#x20;to&#x20;the&#x20;system.','Prompting&#x20;the&#x20;user&#x20;to&#x20;enter&#x20;both&#x20;their&#x20;username&#x20;and&#x20;password&#x20;makes&#x20;it&#x20;twice&#x20;as&#x20;hard&#x20;for&#x20;unauthorized&#x20;users&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system&#x20;since&#x20;they&#x20;must&#x20;discover&#x20;two&#x20;attributes.','','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;ensure&#x20;the&#x20;login&#x20;window&#x20;display&#x20;name&#x20;and&#x20;password:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Lock&#x20;Screen&#x20;3.&#x20;Set&#x20;&#039;Login&#x20;window&#x20;showstoName&#x20;and&#x20;Password`&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;login&#x20;window&#x20;to&#x20;display&#x20;name&#x20;and&#x20;password:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;SHOWFULLNAME&#x20;-bool&#x20;true&#x20;Note:&#x20;The&#x20;GUI&#x20;will&#x20;not&#x20;display&#x20;the&#x20;updated&#x20;setting&#x20;until&#x20;the&#x20;current&#x20;user&#40;s&#41;&#x20;logs&#x20;out.&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.loginwindow&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;SHOWFULLNAME&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"2.10.4\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\"]}, {\"iso_27001-2013\": [\"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"11.5\", \"2.2\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(31032,'Ensure&#x20;Show&#x20;Password&#x20;Hints&#x20;Is&#x20;Disabled.','Password&#x20;hints&#x20;are&#x20;user-created&#x20;text&#x20;displayed&#x20;when&#x20;an&#x20;incorrect&#x20;password&#x20;is&#x20;used&#x20;for&#x20;an&#x20;account.','Password&#x20;hints&#x20;make&#x20;it&#x20;easier&#x20;for&#x20;unauthorized&#x20;persons&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;systems&#x20;by&#x20;displaying&#x20;information&#x20;provided&#x20;by&#x20;the&#x20;user&#x20;to&#x20;assist&#x20;in&#x20;remembering&#x20;the&#x20;password.&#x20;This&#x20;info&#x20;could&#x20;include&#x20;the&#x20;password&#x20;itself&#x20;or&#x20;other&#x20;information&#x20;that&#x20;might&#x20;be&#x20;readily&#x20;discerned&#x20;with&#x20;basic&#x20;knowledge&#x20;of&#x20;the&#x20;end&#x20;user.','The&#x20;user&#x20;can&#x20;set&#x20;the&#x20;hint&#x20;to&#x20;any&#x20;value,&#x20;including&#x20;the&#x20;password&#x20;itself&#x20;or&#x20;clues&#x20;that&#x20;allow&#x20;trivial&#x20;social&#x20;engineering&#x20;attacks.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;password&#x20;hints&#x20;from&#x20;being&#x20;shown:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Lock&#x20;Screen&#x20;3.&#x20;Set&#x20;&#039;Show&#x20;password&#x20;hints`&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;password&#x20;hints:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;RetriesUntilHint&#x20;-int&#x20;0&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.loginwindow&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;RetriesUntilHint&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;integer&gt;0&lt;/integer&gt;.','[{\"cis\": [\"2.10.5\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\"]}, {\"iso_27001-2013\": [\"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"11.5\", \"2.2\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(31033,'Ensure&#x20;Users&#039;&#x20;Accounts&#x20;Do&#x20;Not&#x20;Have&#x20;a&#x20;Password&#x20;Hint.','Password&#x20;hints&#x20;help&#x20;the&#x20;user&#x20;recall&#x20;their&#x20;passwords&#x20;for&#x20;various&#x20;systems&#x20;and/or&#x20;accounts.&#x20;In&#x20;most&#x20;cases,&#x20;password&#x20;hints&#x20;are&#x20;simple&#x20;and&#x20;closely&#x20;related&#x20;to&#x20;the&#x20;user&#039;s&#x20;password.','Password&#x20;hints&#x20;that&#x20;are&#x20;closely&#x20;related&#x20;to&#x20;the&#x20;user&#039;s&#x20;password&#x20;are&#x20;a&#x20;security&#x20;vulnerability,&#x20;especially&#x20;in&#x20;the&#x20;social&#x20;media&#x20;age.&#x20;Unauthorized&#x20;users&#x20;are&#x20;more&#x20;likely&#x20;to&#x20;guess&#x20;a&#x20;user&#039;s&#x20;password&#x20;if&#x20;there&#x20;is&#x20;a&#x20;password&#x20;hint.&#x20;The&#x20;password&#x20;hint&#x20;is&#x20;very&#x20;susceptible&#x20;to&#x20;social&#x20;engineering&#x20;attacks&#x20;and&#x20;information&#x20;exposure&#x20;on&#x20;social&#x20;media&#x20;networks.','','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;remove&#x20;a&#x20;user&#039;s&#x20;password&#x20;hint:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Touch&#x20;ID&#x20;&amp;&#x20;Passwords&#x20;&#40;or&#x20;Login&#x20;Password&#x20;on&#x20;non-Touch&#x20;ID&#x20;Macs&#41;&#x20;3.&#x20;Select&#x20;Change...&#x20;4.&#x20;Change&#x20;the&#x20;password&#x20;and&#x20;ensure&#x20;that&#x20;no&#x20;text&#x20;is&#x20;entered&#x20;in&#x20;the&#x20;Password&#x20;hint&#x20;box&#x20;Note:&#x20;This&#x20;will&#x20;only&#x20;change&#x20;the&#x20;currently&#x20;logged-in&#x20;user&#039;s&#x20;password,&#x20;and&#x20;not&#x20;any&#x20;others&#x20;that&#x20;are&#x20;not&#x20;compliant&#x20;on&#x20;the&#x20;Mac.&#x20;Use&#x20;the&#x20;terminal&#x20;method&#x20;if&#x20;multiple&#x20;users&#x20;are&#x20;not&#x20;in&#x20;compliance.&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;a&#x20;user&#039;s&#x20;password&#x20;hint:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/dscl&#x20;.&#x20;-list&#x20;/Users&#x20;hint&#x20;.&#x20;-delete&#x20;/Users/&lt;username&gt;&#x20;hint&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/dscl&#x20;.&#x20;-list&#x20;/Users&#x20;hint&#x20;.&#x20;-delete&#x20;/Users/firstuser&#x20;hint&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/dscl&#x20;.&#x20;-list&#x20;/Users&#x20;hint&#x20;.&#x20;-delete&#x20;/Users/seconduser&#x20;hint.','[{\"cis\": [\"2.11.1\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1017\", \"T1019\", \"T1028\", \"T1035\", \"T1047\", \"T1051\", \"T1053\", \"T1055\", \"T1067\", \"T1072\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1084\", \"T1086\", \"T1088\", \"T1097\", \"T1098\", \"T1100\", \"T1134\", \"T1136\", \"T1169\", \"T1175\", \"T1184\", \"T1190\", \"T1206\", \"T1208\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1495\", \"T1501\", \"T1505\", \"T1525\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(31034,'Ensure&#x20;Guest&#x20;Account&#x20;Is&#x20;Disabled.','The&#x20;guest&#x20;account&#x20;allows&#x20;users&#x20;access&#x20;to&#x20;the&#x20;system&#x20;without&#x20;having&#x20;to&#x20;create&#x20;an&#x20;account&#x20;or&#x20;password.&#x20;Guest&#x20;users&#x20;are&#x20;unable&#x20;to&#x20;make&#x20;setting&#x20;changes&#x20;and&#x20;cannot&#x20;remotely&#x20;login&#x20;to&#x20;the&#x20;system.&#x20;All&#x20;files,&#x20;caches,&#x20;and&#x20;passwords&#x20;created&#x20;by&#x20;the&#x20;guest&#x20;user&#x20;are&#x20;deleted&#x20;upon&#x20;logging&#x20;out.','Disabling&#x20;the&#x20;guest&#x20;account&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;untrusted&#x20;user&#x20;doing&#x20;basic&#x20;reconnaissance&#x20;and&#x20;possibly&#x20;using&#x20;privilege&#x20;escalation&#x20;attacks&#x20;to&#x20;take&#x20;control&#x20;of&#x20;the&#x20;system.','A&#x20;guest&#x20;user&#x20;can&#x20;use&#x20;that&#x20;access&#x20;to&#x20;find&#x20;out&#x20;additional&#x20;information&#x20;about&#x20;the&#x20;system&#x20;and&#x20;might&#x20;be&#x20;able&#x20;to&#x20;use&#x20;privilege&#x20;escalation&#x20;vulnerabilities&#x20;to&#x20;establish&#x20;greater&#x20;access.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;guest&#x20;account&#x20;availability:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Users&#x20;&amp;&#x20;Groups&#x20;3.&#x20;Select&#x20;the&#x20;i&#x20;next&#x20;to&#x20;the&#x20;Guest&#x20;User&#x20;4.&#x20;Set&#x20;Allow&#x20;guests&#x20;to&#x20;log&#x20;in&#x20;to&#x20;this&#x20;computer&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;the&#x20;guest&#x20;account:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;GuestEnabled&#x20;-bool&#x20;false&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.MCX&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;DisableGuestAccount&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"2.12.1\"]}, {\"cis_csc_v8\": [\"5.2\", \"6.2\", \"6.8\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.4\", \"AC.L2-3.1.5\", \"IA.L2-3.5.7\", \"SC.L2-3.13.3\"]}, {\"hipaa\": [\"164.308(a)(3)(ii)(B)\", \"164.308(a)(3)(ii)(C)\", \"164.308(a)(4)(i)\", \"164.308(a)(4)(ii)(C)\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1017\", \"T1019\", \"T1028\", \"T1035\", \"T1047\", \"T1051\", \"T1053\", \"T1055\", \"T1067\", \"T1072\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1084\", \"T1086\", \"T1088\", \"T1097\", \"T1098\", \"T1100\", \"T1134\", \"T1136\", \"T1169\", \"T1175\", \"T1184\", \"T1190\", \"T1206\", \"T1208\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1495\", \"T1501\", \"T1505\", \"T1525\"]}, {\"nist_sp_800-53\": [\"AC-2(1)\", \"AC-5\", \"AC-6\", \"AC-6(1)\", \"AC-6(7)\", \"AU-9(4)\"]}, {\"pci_dss_v3.2.1\": [\"8.1.3\"]}, {\"pci_dss_v4.0\": [\"10.3.1\", \"2.2.2\", \"7.1\", \"7.1.1\", \"7.2\", \"7.2.1\", \"7.2.2\", \"7.2.4\", \"7.2.6\", \"7.3\", \"7.3.1\", \"7.3.2\", \"8.2.4\", \"8.2.5\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\", \"CC6.2\", \"CC6.3\"]}]'),(31035,'Ensure&#x20;Guest&#x20;Access&#x20;to&#x20;Shared&#x20;Folders&#x20;Is&#x20;Disabled.','Allowing&#x20;guests&#x20;to&#x20;connect&#x20;to&#x20;shared&#x20;folders&#x20;enables&#x20;users&#x20;to&#x20;access&#x20;selected&#x20;shared&#x20;folders&#x20;and&#x20;their&#x20;contents&#x20;from&#x20;different&#x20;computers&#x20;on&#x20;a&#x20;network.','Not&#x20;allowing&#x20;guests&#x20;to&#x20;connect&#x20;to&#x20;shared&#x20;folders&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;untrusted&#x20;user&#x20;doing&#x20;basic&#x20;reconnaissance&#x20;and&#x20;possibly&#x20;use&#x20;privilege&#x20;escalation&#x20;attacks&#x20;to&#x20;take&#x20;control&#x20;of&#x20;the&#x20;system.','Unauthorized&#x20;users&#x20;could&#x20;access&#x20;shared&#x20;files&#x20;on&#x20;the&#x20;system.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;no&#x20;longer&#x20;allow&#x20;guest&#x20;user&#x20;access&#x20;to&#x20;shared&#x20;folders:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Users&#x20;&amp;&#x20;Groups&#x20;3.&#x20;Select&#x20;the&#x20;i&#x20;next&#x20;to&#x20;the&#x20;Guest&#x20;User&#x20;4.&#x20;Set&#x20;Allow&#x20;guests&#x20;to&#x20;connect&#x20;to&#x20;shared&#x20;folders&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;verify&#x20;that&#x20;shared&#x20;folders&#x20;are&#x20;not&#x20;accessible&#x20;to&#x20;guest&#x20;users:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/sysadminctl&#x20;-smbGuestAccess&#x20;off.','[{\"cis\": [\"2.12.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.3\", \"AC.L2-3.1.5\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1004\", \"T1015\", \"T1021\", \"T1023\", \"T1031\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1050\", \"T1051\", \"T1053\", \"T1054\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1089\", \"T1096\", \"T1097\", \"T1133\", \"T1134\", \"T1145\", \"T1146\", \"T1150\", \"T1152\", \"T1156\", \"T1157\", \"T1159\", \"T1160\", \"T1162\", \"T1163\", \"T1165\", \"T1168\", \"T1169\", \"T1184\", \"T1185\", \"T1196\", \"T1197\", \"T1198\", \"T1200\", \"T1209\", \"T1213\", \"T1484\", \"T1489\", \"T1492\", \"T1494\", \"T1501\", \"T1504\", \"T1528\", \"T1530\", \"T1537\", \"T1538\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(31036,'Ensure&#x20;Automatic&#x20;Login&#x20;Is&#x20;Disabled.','The&#x20;automatic&#x20;login&#x20;feature&#x20;saves&#x20;a&#x20;user&#039;s&#x20;system&#x20;access&#x20;credentials&#x20;and&#x20;bypasses&#x20;the&#x20;login&#x20;screen.&#x20;Instead,&#x20;the&#x20;system&#x20;automatically&#x20;loads&#x20;to&#x20;the&#x20;user&#039;s&#x20;desktop&#x20;screen.','Disabling&#x20;automatic&#x20;login&#x20;decreases&#x20;the&#x20;likelihood&#x20;of&#x20;an&#x20;unauthorized&#x20;person&#x20;gaining&#x20;access&#x20;to&#x20;a&#x20;system.','If&#x20;automatic&#x20;login&#x20;is&#x20;not&#x20;disabled,&#x20;an&#x20;unauthorized&#x20;user&#x20;could&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system&#x20;without&#x20;supplying&#x20;any&#x20;credentials.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;set&#x20;automatic&#x20;login&#x20;to&#x20;off:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Users&#x20;&amp;&#x20;Groups&#x20;3.&#x20;Set&#x20;Automatic&#x20;login&#x20;in&#x20;as...&#x20;to&#x20;Off&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;automatic&#x20;login:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;delete&#x20;/Library/Preferences/com.apple.loginwindow&#x20;autoLoginUser&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.loginwindow&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;com.apple.login.mcx.DisableAutoLoginClient&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;&#x20;Note:&#x20;If&#x20;both&#x20;the&#x20;profile&#x20;is&#x20;enabled&#x20;and&#x20;a&#x20;user&#x20;is&#x20;set&#x20;to&#x20;autologin,&#x20;the&#x20;profile&#x20;will&#x20;take&#x20;precedent.&#x20;In&#x20;this&#x20;case,&#x20;the&#x20;graphical&#x20;or&#x20;terminal&#x20;remediation&#x20;method&#x20;should&#x20;also&#x20;be&#x20;applied&#x20;in&#x20;case&#x20;the&#x20;profile&#x20;is&#x20;ever&#x20;removed.','[{\"cis\": [\"2.12.3\"]}, {\"cis_csc_v8\": [\"4.7\"]}, {\"cis_csc_v7\": [\"4.2\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1017\", \"T1019\", \"T1028\", \"T1035\", \"T1047\", \"T1051\", \"T1053\", \"T1055\", \"T1067\", \"T1072\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1084\", \"T1086\", \"T1088\", \"T1097\", \"T1098\", \"T1100\", \"T1134\", \"T1136\", \"T1169\", \"T1175\", \"T1184\", \"T1190\", \"T1206\", \"T1208\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1495\", \"T1501\", \"T1505\", \"T1525\"]}, {\"pci_dss_v3.2.1\": [\"2.1\", \"2.1.1\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \"2.3.1\"]}, {\"soc_2\": [\"CC6.3\"]}]'),(31037,'Ensure&#x20;Security&#x20;Auditing&#x20;Is&#x20;Enabled.','macOS&#039;s&#x20;audit&#x20;facility,&#x20;auditd,&#x20;receives&#x20;notifications&#x20;from&#x20;the&#x20;kernel&#x20;when&#x20;certain&#x20;system&#x20;calls,&#x20;such&#x20;as&#x20;open,&#x20;fork,&#x20;and&#x20;exit,&#x20;are&#x20;made.&#x20;These&#x20;notifications&#x20;are&#x20;captured&#x20;and&#x20;written&#x20;to&#x20;an&#x20;audit&#x20;log.','Logs&#x20;generated&#x20;by&#x20;auditd&#x20;may&#x20;be&#x20;useful&#x20;when&#x20;investigating&#x20;a&#x20;security&#x20;incident&#x20;as&#x20;they&#x20;may&#x20;help&#x20;reveal&#x20;the&#x20;vulnerable&#x20;application&#x20;and&#x20;the&#x20;actions&#x20;taken&#x20;by&#x20;a&#x20;malicious&#x20;actor.','','Terminal&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;to&#x20;enable&#x20;security&#x20;auditing:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;load&#x20;auditd:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/launchctl&#x20;load&#x20;-w&#x20;/System/Library/LaunchDaemons/com.apple.auditd.plist.','[{\"cis\": [\"3.1\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.5\"]}, {\"cis_csc_v7\": [\"4.9\", \"6.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"iso_27001-2013\": [\"A.12.4.1\", \"A.9.4.2\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"pci_dss_v3.2.1\": [\"10.1\", \"10.2\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_v4.0\": [\"10.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\", \"5.3.4\", \"6.4.1\", \"6.4.2\", \"9.4.5\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"mitre_techniques\": [\"T1110\", \"T1134\", \"T1098\", \"T1017\", \"T1067\", \"T1088\", \"T1175\", \"T1136\", \"T1003\", \"T1214\", \"T1190\", \"T1210\", \"T1495\", \"T1525\", \"T1208\", \"T1215\", \"T1075\", \"T1097\", \"T1086\", \"T1055\", \"T1076\", \"T1053\", \"T1505\", \"T1035\", \"T1051\", \"T1218\", \"T1184\", \"T1169\", \"T1206\", \"T1019\", \"T1501\", \"T1072\", \"T1078\", \"T1100\", \"T1077\", \"T1047\", \"T1084\", \"T1028\", \"T1156\", \"T1146\", \"T1196\", \"T1081\", \"T1530\", \"T1089\", \"T1073\", \"T1157\", \"T1054\", \"T1070\", \"T1037\", \"T1036\", \"T1096\", \"T1034\", \"T1150\", \"T1504\", \"T1145\", \"T1494\", \"T1489\", \"T1198\", \"T1165\", \"T1492\", \"T1080\", \"T1209\"]}]'),(31038,'Ensure&#x20;Security&#x20;Auditing&#x20;Flags&#x20;For&#x20;User-Attributable&#x20;Events&#x20;Are&#x20;Configured&#x20;Per&#x20;Local&#x20;Organizational&#x20;Requirements.','Auditing&#x20;is&#x20;the&#x20;capture&#x20;and&#x20;maintenance&#x20;of&#x20;information&#x20;about&#x20;security-related&#x20;events.&#x20;Auditable&#x20;events&#x20;often&#x20;depend&#x20;on&#x20;differing&#x20;organizational&#x20;requirements.','Maintaining&#x20;an&#x20;audit&#x20;trail&#x20;of&#x20;system&#x20;activity&#x20;logs&#x20;can&#x20;help&#x20;identify&#x20;configuration&#x20;errors,&#x20;troubleshoot&#x20;service&#x20;disruptions,&#x20;and&#x20;analyze&#x20;compromises&#x20;or&#x20;attacks&#x20;that&#x20;have&#x20;occurred,&#x20;have&#x20;begun,&#x20;or&#x20;are&#x20;about&#x20;to&#x20;begin.&#x20;Audit&#x20;logs&#x20;are&#x20;necessary&#x20;to&#x20;provide&#x20;a&#x20;trail&#x20;of&#x20;evidence&#x20;in&#x20;case&#x20;the&#x20;system&#x20;or&#x20;network&#x20;is&#x20;compromised.&#x20;Depending&#x20;on&#x20;the&#x20;governing&#x20;authority,&#x20;organizations&#x20;can&#x20;have&#x20;vastly&#x20;different&#x20;auditing&#x20;requirements.&#x20;In&#x20;this&#x20;control&#x20;we&#x20;have&#x20;selected&#x20;a&#x20;minimal&#x20;set&#x20;of&#x20;audit&#x20;flags&#x20;that&#x20;should&#x20;be&#x20;a&#x20;part&#x20;of&#x20;any&#x20;organizational&#x20;requirements.&#x20;The&#x20;flags&#x20;selected&#x20;below&#x20;may&#x20;not&#x20;adequately&#x20;meet&#x20;organizational&#x20;requirements&#x20;for&#x20;users&#x20;of&#x20;this&#x20;benchmark.&#x20;The&#x20;auditing&#x20;checks&#x20;for&#x20;the&#x20;flags&#x20;proposed&#x20;here&#x20;will&#x20;not&#x20;impact&#x20;additional&#x20;flags&#x20;that&#x20;are&#x20;selected.','','Terminal&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;to&#x20;set&#x20;the&#x20;required&#x20;Security&#x20;Auditing&#x20;Flags:&#x20;Edit&#x20;the&#x20;/etc/security/audit_control&#x20;file&#x20;and&#x20;add&#x20;-fm,&#x20;ad,&#x20;-ex,&#x20;aa,&#x20;-fr,&#x20;lo,&#x20;and&#x20;-fw&#x20;to&#x20;flags.&#x20;You&#x20;can&#x20;also&#x20;substitute&#x20;-all&#x20;for&#x20;-fm,&#x20;-ex,&#x20;-fr,&#x20;and&#x20;-fw.','[{\"cis\": [\"3.2\"]}, {\"cis_csc_v8\": [\"3.14\", \"8.2\", \"8.5\"]}, {\"cis_csc_v7\": [\"6.2\", \"14.9\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.7\", \"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\", \"164.312(c)(1)\", \"164.312(c)(2)\"]}, {\"iso_27001-2013\": [\"A.12.4.1\", \"A.12.4.3\"]}, {\"nist_sp_800-53\": [\"AC-6(9)\", \"AU-3(1)\", \"AU-7\"]}, {\"pci_dss_v3.2.1\": [\"10.1\", \"10.2\", \"10.2.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\", \"11.5\"]}, {\"pci_dss_v4.0\": [\"10.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\", \"5.3.4\", \"6.4.1\", \"6.4.2\", \"9.4.5\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\", \"CC7.2\"]}]'),(31039,'Ensure&#x20;install.log&#x20;Is&#x20;Retained&#x20;for&#x20;365&#x20;or&#x20;More&#x20;Days&#x20;and&#x20;No&#x20;Maximum&#x20;Size.','macOS&#x20;writes&#x20;information&#x20;pertaining&#x20;to&#x20;system-related&#x20;events&#x20;to&#x20;the&#x20;file&#x20;/var/log/install.log&#x20;and&#x20;has&#x20;a&#x20;configurable&#x20;retention&#x20;policy&#x20;for&#x20;this&#x20;file.&#x20;The&#x20;default&#x20;logging&#x20;setting&#x20;limits&#x20;the&#x20;file&#x20;size&#x20;of&#x20;the&#x20;logs&#x20;and&#x20;the&#x20;maximum&#x20;size&#x20;for&#x20;all&#x20;logs.&#x20;The&#x20;default&#x20;allows&#x20;for&#x20;an&#x20;errant&#x20;application&#x20;to&#x20;fill&#x20;the&#x20;log&#x20;files&#x20;and&#x20;does&#x20;not&#x20;enforce&#x20;sufficient&#x20;log&#x20;retention.&#x20;The&#x20;Benchmark&#x20;recommends&#x20;a&#x20;value&#x20;based&#x20;on&#x20;standard&#x20;use&#x20;cases.&#x20;The&#x20;value&#x20;should&#x20;align&#x20;with&#x20;local&#x20;requirements&#x20;within&#x20;the&#x20;organization.&#x20;The&#x20;default&#x20;value&#x20;has&#x20;an&#x20;&quot;all_max&quot;&#x20;file&#x20;limitation,&#x20;no&#x20;reference&#x20;to&#x20;a&#x20;minimum&#x20;retention,&#x20;and&#x20;a&#x20;less&#x20;precise&#x20;rotation&#x20;argument.&#x20;The&#x20;all_max&#x20;flag&#x20;control&#x20;will&#x20;remove&#x20;old&#x20;log&#x20;entries&#x20;based&#x20;only&#x20;on&#x20;the&#x20;size&#x20;of&#x20;the&#x20;log&#x20;files.&#x20;Log&#x20;size&#x20;can&#x20;vary&#x20;widely&#x20;depending&#x20;on&#x20;how&#x20;verbose&#x20;installing&#x20;applications&#x20;are&#x20;in&#x20;their&#x20;log&#x20;entries.&#x20;The&#x20;decision&#x20;here&#x20;is&#x20;to&#x20;ensure&#x20;that&#x20;logs&#x20;go&#x20;back&#x20;a&#x20;year,&#x20;and&#x20;depending&#x20;on&#x20;the&#x20;applications&#x20;a&#x20;size&#x20;restriction&#x20;could&#x20;compromise&#x20;the&#x20;ability&#x20;to&#x20;store&#x20;a&#x20;full&#x20;year.&#x20;While&#x20;this&#x20;Benchmark&#x20;is&#x20;not&#x20;scoring&#x20;for&#x20;a&#x20;rotation&#x20;flag,&#x20;the&#x20;default&#x20;rotation&#x20;is&#x20;sequential&#x20;rather&#x20;than&#x20;using&#x20;a&#x20;timestamp.&#x20;Auditors&#x20;may&#x20;prefer&#x20;timestamps&#x20;in&#x20;order&#x20;to&#x20;simply&#x20;review&#x20;specific&#x20;dates&#x20;where&#x20;event&#x20;information&#x20;is&#x20;desired.&#x20;Please&#x20;review&#x20;the&#x20;File&#x20;Rotation&#x20;section&#x20;in&#x20;the&#x20;man&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;man&#x20;asl.conf&#x20;-&#x20;The&#x20;maximum&#x20;file&#x20;size&#x20;limitation&#x20;string&#x20;should&#x20;be&#x20;removed&#x20;&quot;all_max=&quot;&#x20;-&#x20;An&#x20;organization&#x20;appropriate&#x20;retention&#x20;should&#x20;be&#x20;added&#x20;&quot;ttl=&quot;&#x20;-&#x20;The&#x20;rotation&#x20;should&#x20;be&#x20;set&#x20;with&#x20;timestamps&#x20;&quot;rotate=utc&quot;&#x20;or&#x20;&quot;rotate=local&quot;.','Archiving&#x20;and&#x20;retaining&#x20;install.log&#x20;for&#x20;at&#x20;least&#x20;a&#x20;year&#x20;is&#x20;beneficial&#x20;in&#x20;the&#x20;event&#x20;of&#x20;an&#x20;incident&#x20;as&#x20;it&#x20;will&#x20;allow&#x20;the&#x20;user&#x20;to&#x20;view&#x20;the&#x20;various&#x20;changes&#x20;to&#x20;the&#x20;system&#x20;along&#x20;with&#x20;the&#x20;date&#x20;and&#x20;time&#x20;they&#x20;occurred.','Without&#x20;log&#x20;files&#x20;system&#x20;maintenance&#x20;and&#x20;security&#x20;forensics&#x20;cannot&#x20;be&#x20;properly&#x20;performed.','Terminal&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;to&#x20;ensure&#x20;that&#x20;install&#x20;logs&#x20;are&#x20;retained&#x20;for&#x20;at&#x20;least&#x20;365&#x20;days:&#x20;Edit&#x20;the&#x20;/etc/asl/com.apple.install&#x20;file&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;ttl&#x20;value&#x20;to&#x20;365&#x20;or&#x20;greater&#x20;on&#x20;the&#x20;file&#x20;line.&#x20;Also,&#x20;remove&#x20;the&#x20;all_max=&#x20;setting&#x20;and&#x20;value&#x20;from&#x20;the&#x20;file&#x20;line.','[{\"cis\": [\"3.3\"]}, {\"cis_csc_v8\": [\"8.1\", \"8.3\"]}, {\"cis_csc_v7\": [\"6.4\", \"6.7\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"iso_27001-2013\": [\"A.12.4.1\", \"A.12.4.3\"]}, {\"pci_dss_v3.2.1\": [\"10.7\"]}, {\"pci_dss_v4.0\": [\"10.1\", \"10.1.1\"]}, {\"soc_2\": [\"A1.1\"]}]'),(31040,'Ensure&#x20;Security&#x20;Auditing&#x20;Retention&#x20;Is&#x20;Enabled.','The&#x20;macOS&#x20;audit&#x20;capability&#x20;contains&#x20;important&#x20;information&#x20;to&#x20;investigate&#x20;security&#x20;or&#x20;operational&#x20;issues.&#x20;This&#x20;resource&#x20;is&#x20;only&#x20;completely&#x20;useful&#x20;if&#x20;it&#x20;is&#x20;retained&#x20;long&#x20;enough&#x20;to&#x20;allow&#x20;technical&#x20;staff&#x20;to&#x20;find&#x20;the&#x20;root&#x20;cause&#x20;of&#x20;anomalies&#x20;in&#x20;the&#x20;records.&#x20;Retention&#x20;can&#x20;be&#x20;set&#x20;to&#x20;respect&#x20;both&#x20;size&#x20;and&#x20;longevity.&#x20;To&#x20;retain&#x20;as&#x20;much&#x20;as&#x20;possible&#x20;under&#x20;a&#x20;certain&#x20;size,&#x20;the&#x20;recommendation&#x20;is&#x20;to&#x20;use&#x20;the&#x20;following:&#x20;expire-after:60d&#x20;OR&#x20;5G&#x20;This&#x20;recomendation&#x20;is&#x20;based&#x20;on&#x20;minimum&#x20;storage&#x20;for&#x20;review&#x20;and&#x20;investigation.&#x20;When&#x20;a&#x20;third&#x20;party&#x20;tool&#x20;is&#x20;in&#x20;use&#x20;to&#x20;allow&#x20;remote&#x20;logging&#x20;or&#x20;the&#x20;store&#x20;and&#x20;forwarding&#x20;of&#x20;logs,&#x20;this&#x20;local&#x20;storage&#x20;requirement&#x20;is&#x20;not&#x20;required.','The&#x20;audit&#x20;records&#x20;need&#x20;to&#x20;be&#x20;retained&#x20;long&#x20;enough&#x20;to&#x20;be&#x20;reviewed&#x20;as&#x20;necessary.','The&#x20;recommendation&#x20;is&#x20;that&#x20;at&#x20;least&#x20;60&#x20;days&#x20;or&#x20;5&#x20;gigabytes&#x20;of&#x20;audit&#x20;records&#x20;are&#x20;retained.&#x20;Systems&#x20;that&#x20;have&#x20;very&#x20;little&#x20;remaining&#x20;disk&#x20;space&#x20;may&#x20;have&#x20;issues&#x20;retaining&#x20;sufficient&#x20;data.','Terminal&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;to&#x20;set&#x20;the&#x20;audit&#x20;retention&#x20;length:&#x20;Edit&#x20;the&#x20;/etc/security/audit_control&#x20;file&#x20;so&#x20;that&#x20;expire-after:&#x20;is&#x20;at&#x20;least&#x20;60d&#x20;OR&#x20;5G.','[{\"cis\": [\"3.4\"]}, {\"cis_csc_v8\": [\"8.1\", \"8.3\"]}, {\"cis_csc_v7\": [\"6.4\", \"6.7\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"iso_27001-2013\": [\"A.12.4.1\", \"A.12.4.3\"]}, {\"pci_dss_v3.2.1\": [\"10.7\"]}, {\"pci_dss_v4.0\": [\"10.1\", \"10.1.1\"]}, {\"soc_2\": [\"A1.1\"]}]'),(31041,'Ensure&#x20;Bonjour&#x20;Advertising&#x20;Services&#x20;Is&#x20;Disabled.','Bonjour&#x20;is&#x20;an&#x20;auto-discovery&#x20;mechanism&#x20;for&#x20;TCP/IP&#x20;devices&#x20;which&#x20;enumerate&#x20;devices&#x20;and&#x20;services&#x20;within&#x20;a&#x20;local&#x20;subnet.&#x20;DNS&#x20;on&#x20;macOS&#x20;is&#x20;integrated&#x20;with&#x20;Bonjour&#x20;and&#x20;should&#x20;not&#x20;be&#x20;turned&#x20;off,&#x20;but&#x20;the&#x20;Bonjour&#x20;advertising&#x20;service&#x20;can&#x20;be&#x20;disabled.','Bonjour&#x20;can&#x20;simplify&#x20;device&#x20;discovery&#x20;from&#x20;an&#x20;internal&#x20;rogue&#x20;or&#x20;compromised&#x20;host.&#x20;An&#x20;attacker&#x20;could&#x20;use&#x20;Bonjour&#039;s&#x20;multicast&#x20;DNS&#x20;feature&#x20;to&#x20;discover&#x20;a&#x20;vulnerable&#x20;or&#x20;poorly-configured&#x20;service&#x20;or&#x20;additional&#x20;information&#x20;to&#x20;aid&#x20;a&#x20;targeted&#x20;attack.&#x20;Implementing&#x20;this&#x20;control&#x20;disables&#x20;the&#x20;continuous&#x20;broadcasting&#x20;of&#x20;&quot;I&#039;m&#x20;here!&quot;&#x20;messages.&#x20;Typical&#x20;end-user&#x20;endpoints&#x20;should&#x20;not&#x20;have&#x20;to&#x20;advertise&#x20;services&#x20;to&#x20;other&#x20;computers.&#x20;This&#x20;setting&#x20;does&#x20;not&#x20;stop&#x20;the&#x20;computer&#x20;from&#x20;sending&#x20;out&#x20;service&#x20;discovery&#x20;messages&#x20;when&#x20;looking&#x20;for&#x20;services&#x20;on&#x20;an&#x20;internal&#x20;subnet,&#x20;if&#x20;the&#x20;computer&#x20;is&#x20;looking&#x20;for&#x20;a&#x20;printer&#x20;or&#x20;server&#x20;and&#x20;using&#x20;service&#x20;discovery.&#x20;To&#x20;block&#x20;all&#x20;Bonjour&#x20;traffic&#x20;except&#x20;to&#x20;approved&#x20;devices,&#x20;the&#x20;pf&#x20;or&#x20;other&#x20;firewall&#x20;would&#x20;be&#x20;needed.','Some&#x20;applications,&#x20;like&#x20;Final&#x20;Cut&#x20;Studio&#x20;and&#x20;AirPort&#x20;Base&#x20;Station&#x20;management,&#x20;may&#x20;not&#x20;operate&#x20;properly&#x20;if&#x20;the&#x20;mDNSResponder&#x20;is&#x20;turned&#x20;off.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Bonjour&#x20;Advertising&#x20;services:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.mDNSResponder.plist&#x20;NoMulticastAdvertisements&#x20;-bool&#x20;true&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.mDNSResponder&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;NoMulticastAdvertisements.','[{\"cis\": [\"4.1\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31042,'Ensure&#x20;HTTP&#x20;Server&#x20;Is&#x20;Disabled.','macOS&#x20;used&#x20;to&#x20;have&#x20;a&#x20;graphical&#x20;front-end&#x20;to&#x20;the&#x20;embedded&#x20;Apache&#x20;web&#x20;server&#x20;in&#x20;the&#x20;Operating&#x20;System.&#x20;Personal&#x20;web&#x20;sharing&#x20;could&#x20;be&#x20;enabled&#x20;to&#x20;allow&#x20;someone&#x20;on&#x20;another&#x20;computer&#x20;to&#x20;download&#x20;files&#x20;or&#x20;information&#x20;from&#x20;the&#x20;user&#039;s&#x20;computer.&#x20;Personal&#x20;web&#x20;sharing&#x20;from&#x20;a&#x20;user&#x20;endpoint&#x20;has&#x20;long&#x20;been&#x20;considered&#x20;questionable,&#x20;and&#x20;Apple&#x20;has&#x20;removed&#x20;that&#x20;capability&#x20;from&#x20;the&#x20;GUI.&#x20;Apache,&#x20;however,&#x20;is&#x20;still&#x20;part&#x20;of&#x20;the&#x20;Operating&#x20;System&#x20;and&#x20;can&#x20;be&#x20;easily&#x20;turned&#x20;on&#x20;to&#x20;share&#x20;files&#x20;and&#x20;provide&#x20;remote&#x20;connectivity&#x20;to&#x20;an&#x20;end-user&#x20;computer.&#x20;Web&#x20;sharing&#x20;should&#x20;only&#x20;be&#x20;done&#x20;through&#x20;hardened&#x20;web&#x20;servers&#x20;and&#x20;appropriate&#x20;cloud&#x20;services.','Web&#x20;serving&#x20;should&#x20;not&#x20;be&#x20;done&#x20;from&#x20;a&#x20;user&#x20;desktop.&#x20;Dedicated&#x20;webservers&#x20;or&#x20;appropriate&#x20;cloud&#x20;storage&#x20;should&#x20;be&#x20;used.&#x20;Open&#x20;ports&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;exploit&#x20;the&#x20;computer.','The&#x20;web&#x20;server&#x20;is&#x20;both&#x20;a&#x20;point&#x20;of&#x20;attack&#x20;for&#x20;the&#x20;system&#x20;and&#x20;a&#x20;means&#x20;for&#x20;unauthorized&#x20;file&#x20;transfers.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;the&#x20;HTTP&#x20;server&#x20;services:&#x20;$&#x20;sudo&#x20;/usr/bin/sudo&#x20;/bin/launchctl&#x20;unload&#x20;-w&#x20;/System/Library/LaunchDaemons/org.apache.httpd.plist.','[{\"cis\": [\"4.2\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31043,'Ensure&#x20;NFS&#x20;Server&#x20;Is&#x20;Disabled.','macOS&#x20;can&#x20;act&#x20;as&#x20;an&#x20;NFS&#x20;fileserver.&#x20;NFS&#x20;sharing&#x20;could&#x20;be&#x20;enabled&#x20;to&#x20;allow&#x20;someone&#x20;on&#x20;another&#x20;computer&#x20;to&#x20;mount&#x20;shares&#x20;and&#x20;gain&#x20;access&#x20;to&#x20;information&#x20;from&#x20;the&#x20;user&#039;s&#x20;computer.&#x20;File&#x20;sharing&#x20;from&#x20;a&#x20;user&#x20;endpoint&#x20;has&#x20;long&#x20;been&#x20;considered&#x20;questionable,&#x20;and&#x20;Apple&#x20;has&#x20;removed&#x20;that&#x20;capability&#x20;from&#x20;the&#x20;GUI.&#x20;NFSD&#x20;is&#x20;still&#x20;part&#x20;of&#x20;the&#x20;Operating&#x20;System&#x20;and&#x20;can&#x20;be&#x20;easily&#x20;turned&#x20;on&#x20;to&#x20;export&#x20;shares&#x20;and&#x20;provide&#x20;remote&#x20;connectivity&#x20;to&#x20;an&#x20;end-user&#x20;computer.&#x20;The&#x20;etc/exports&#x20;file&#x20;contains&#x20;the&#x20;list&#x20;of&#x20;NFS&#x20;shared&#x20;directories.&#x20;If&#x20;the&#x20;file&#x20;exists,&#x20;it&#x20;is&#x20;likely&#x20;that&#x20;NFS&#x20;sharing&#x20;has&#x20;been&#x20;enabled&#x20;in&#x20;the&#x20;past&#x20;or&#x20;may&#x20;be&#x20;available&#x20;periodically.&#x20;As&#x20;an&#x20;additional&#x20;check,&#x20;the&#x20;audit&#x20;verifies&#x20;that&#x20;there&#x20;is&#x20;no&#x20;/etc/exports&#x20;file.','File&#x20;serving&#x20;should&#x20;not&#x20;be&#x20;done&#x20;from&#x20;a&#x20;user&#x20;desktop.&#x20;Dedicated&#x20;servers&#x20;should&#x20;be&#x20;used.&#x20;Open&#x20;ports&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;exploit&#x20;the&#x20;computer.','The&#x20;nfs&#x20;server&#x20;is&#x20;both&#x20;a&#x20;point&#x20;of&#x20;attack&#x20;for&#x20;the&#x20;system&#x20;and&#x20;a&#x20;means&#x20;for&#x20;unauthorized&#x20;file&#x20;transfers.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;the&#x20;nfsd&#x20;fileserver&#x20;services:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/launchctl&#x20;disable&#x20;system/com.apple.nfsd&#x20;Remove&#x20;the&#x20;exported&#x20;Directory&#x20;listing.&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/rm&#x20;/etc/exports.','[{\"cis\": [\"4.3\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31044,'Ensure&#x20;Home&#x20;Folders&#x20;Are&#x20;Secure.','By&#x20;default,&#x20;macOS&#x20;allows&#x20;all&#x20;valid&#x20;users&#x20;into&#x20;the&#x20;top&#x20;level&#x20;of&#x20;every&#x20;other&#x20;user&#039;s&#x20;home&#x20;folder&#x20;and&#x20;restricts&#x20;access&#x20;to&#x20;the&#x20;Apple&#x20;default&#x20;folders&#x20;within.&#x20;Another&#x20;user&#x20;on&#x20;the&#x20;same&#x20;system&#x20;can&#x20;see&#x20;you&#x20;have&#x20;a&#x20;&quot;Documents&quot;&#x20;folder&#x20;but&#x20;cannot&#x20;see&#x20;inside&#x20;it.&#x20;This&#x20;configuration&#x20;does&#x20;work&#x20;for&#x20;personal&#x20;file&#x20;sharing&#x20;but&#x20;can&#x20;expose&#x20;user&#x20;files&#x20;to&#x20;standard&#x20;accounts&#x20;on&#x20;the&#x20;system.&#x20;The&#x20;best&#x20;parallel&#x20;for&#x20;Enterprise&#x20;environments&#x20;is&#x20;that&#x20;everyone&#x20;who&#x20;has&#x20;a&#x20;Dropbox&#x20;account&#x20;can&#x20;see&#x20;everything&#x20;that&#x20;is&#x20;at&#x20;the&#x20;top&#x20;level&#x20;but&#x20;can&#039;t&#x20;see&#x20;your&#x20;pictures.&#x20;Similarly&#x20;with&#x20;macOS,&#x20;users&#x20;can&#x20;see&#x20;into&#x20;every&#x20;new&#x20;Directory&#x20;that&#x20;is&#x20;created&#x20;because&#x20;of&#x20;the&#x20;default&#x20;permissions.&#x20;Home&#x20;folders&#x20;should&#x20;be&#x20;restricted&#x20;to&#x20;access&#x20;only&#x20;by&#x20;the&#x20;user.&#x20;Sharing&#x20;should&#x20;be&#x20;used&#x20;on&#x20;dedicated&#x20;servers&#x20;or&#x20;cloud&#x20;instances&#x20;that&#x20;are&#x20;managing&#x20;access&#x20;controls.&#x20;Some&#x20;environments&#x20;may&#x20;encounter&#x20;problems&#x20;if&#x20;execute&#x20;rights&#x20;are&#x20;removed&#x20;as&#x20;well&#x20;as&#x20;read&#x20;and&#x20;write.&#x20;Either&#x20;no&#x20;access&#x20;or&#x20;execute&#x20;only&#x20;for&#x20;group&#x20;or&#x20;others&#x20;is&#x20;acceptable.','Allowing&#x20;all&#x20;users&#x20;to&#x20;view&#x20;the&#x20;top&#x20;level&#x20;of&#x20;all&#x20;networked&#x20;users&#039;&#x20;home&#x20;folder&#x20;may&#x20;not&#x20;be&#x20;desirable&#x20;since&#x20;it&#x20;may&#x20;lead&#x20;to&#x20;the&#x20;revelation&#x20;of&#x20;sensitive&#x20;information.','If&#x20;implemented,&#x20;users&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;use&#x20;the&#x20;&quot;Public&quot;&#x20;folders&#x20;in&#x20;other&#x20;users&#039;&#x20;home&#x20;folders.&#x20;&quot;Public&quot;&#x20;folders&#x20;with&#x20;appropriate&#x20;permissions&#x20;would&#x20;need&#x20;to&#x20;be&#x20;set&#x20;up&#x20;in&#x20;the&#x20;/Shared&#x20;folder.','Terminal&#x20;Method:&#x20;For&#x20;each&#x20;user,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;secure&#x20;all&#x20;home&#x20;folders:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/chmod&#x20;-R&#x20;og-rwx&#x20;/Users/&lt;username&gt;&#x20;Alternately,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;if&#x20;there&#x20;needs&#x20;to&#x20;be&#x20;executable&#x20;access&#x20;for&#x20;a&#x20;home&#x20;folder:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/chmod&#x20;-R&#x20;og-rw&#x20;/Users/&lt;username&gt;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/chmod&#x20;-R&#x20;og-rw&#x20;/Users/thirduser/&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/chmod&#x20;-R&#x20;og-rwx&#x20;/Users/fourthuser/&#x20;#&#x20;/bin/ls&#x20;-l&#x20;/Users/&#x20;total&#x20;0&#x20;drwxr-xr-x+&#x20;12&#x20;Guest&#x20;_guest&#x20;384&#x20;24&#x20;Jul&#x20;13:42&#x20;Guest&#x20;drwxrwxrwt&#x20;4&#x20;root&#x20;wheel&#x20;128&#x20;22&#x20;Jul&#x20;11:00&#x20;Shared&#x20;drwx--x--x+&#x20;18&#x20;firstuser&#x20;staff&#x20;576&#x20;10&#x20;Aug&#x20;14:36&#x20;firstuser&#x20;drwx--x--x+&#x20;15&#x20;seconduser&#x20;staff&#x20;480&#x20;10&#x20;Aug&#x20;09:16&#x20;seconduser&#x20;drwx--x--x+&#x20;11&#x20;thirduser&#x20;staff&#x20;352&#x20;10&#x20;Aug&#x20;14:53&#x20;thirduser&#x20;drwx------+&#x20;11&#x20;fourthuser&#x20;staff&#x20;352&#x20;10&#x20;Aug&#x20;14:53&#x20;fourthuser.','[{\"cis\": [\"5.1.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.3\", \"AC.L2-3.1.5\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1004\", \"T1015\", \"T1021\", \"T1023\", \"T1031\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1050\", \"T1051\", \"T1053\", \"T1054\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1089\", \"T1096\", \"T1097\", \"T1133\", \"T1134\", \"T1145\", \"T1146\", \"T1150\", \"T1152\", \"T1156\", \"T1157\", \"T1159\", \"T1160\", \"T1162\", \"T1163\", \"T1165\", \"T1168\", \"T1169\", \"T1184\", \"T1185\", \"T1196\", \"T1197\", \"T1198\", \"T1200\", \"T1209\", \"T1213\", \"T1484\", \"T1489\", \"T1492\", \"T1494\", \"T1501\", \"T1504\", \"T1528\", \"T1530\", \"T1537\", \"T1538\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(31045,'Ensure&#x20;System&#x20;Integrity&#x20;Protection&#x20;Status&#x20;&#40;SIP&#41;&#x20;Is&#x20;Enabled.','System&#x20;Integrity&#x20;Protection&#x20;is&#x20;a&#x20;security&#x20;feature&#x20;introduced&#x20;in&#x20;OS&#x20;X&#x20;10.11&#x20;El&#x20;Capitan.&#x20;System&#x20;Integrity&#x20;Protection&#x20;restricts&#x20;access&#x20;to&#x20;System&#x20;domain&#x20;locations&#x20;and&#x20;restricts&#x20;runtime&#x20;attachment&#x20;to&#x20;system&#x20;processes.&#x20;Any&#x20;attempt&#x20;to&#x20;inspect&#x20;or&#x20;attach&#x20;to&#x20;a&#x20;system&#x20;process&#x20;will&#x20;fail.&#x20;Kernel&#x20;Extensions&#x20;are&#x20;now&#x20;restricted&#x20;to&#x20;/Library/Extensions&#x20;and&#x20;are&#x20;required&#x20;to&#x20;be&#x20;signed&#x20;with&#x20;a&#x20;Developer&#x20;ID.','Running&#x20;without&#x20;System&#x20;Integrity&#x20;Protection&#x20;on&#x20;a&#x20;production&#x20;system&#x20;runs&#x20;the&#x20;risk&#x20;of&#x20;the&#x20;modification&#x20;of&#x20;system&#x20;binaries&#x20;or&#x20;code&#x20;injection&#x20;of&#x20;system&#x20;processes&#x20;that&#x20;would&#x20;otherwise&#x20;be&#x20;protected&#x20;by&#x20;SIP.','System&#x20;binaries&#x20;and&#x20;processes&#x20;could&#x20;become&#x20;compromised.','Terminal&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;System&#x20;Integrity&#x20;Protection:&#x20;1.&#x20;Reboot&#x20;into&#x20;the&#x20;Recovery&#x20;Partition&#x20;&#40;reboot&#x20;and&#x20;hold&#x20;down&#x20;Command&#x20;+&#x20;R&#41;&#x20;2.&#x20;Select&#x20;Utilities&#x20;3.&#x20;Select&#x20;Terminal&#x20;4.&#x20;Run&#x20;the&#x20;following&#x20;command:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/csrutil&#x20;enable&#x20;Successfully&#x20;enabled&#x20;System&#x20;Integrity&#x20;Protection.&#x20;Please&#x20;restart&#x20;the&#x20;machine&#x20;for&#x20;the&#x20;changes&#x20;to&#x20;take&#x20;effect.&#x20;5.&#x20;Reboot&#x20;the&#x20;computer&#x20;Note:&#x20;You&#x20;should&#x20;research&#x20;why&#x20;the&#x20;system&#x20;had&#x20;SIP&#x20;disabled.&#x20;It&#x20;might&#x20;be&#x20;a&#x20;better&#x20;option&#x20;to&#x20;erase&#x20;the&#x20;Mac&#x20;and&#x20;reinstall&#x20;the&#x20;operating&#x20;system.&#x20;That&#x20;is&#x20;at&#x20;your&#x20;discretion.&#x20;Note:&#x20;You&#x20;cannot&#x20;enable&#x20;System&#x20;Integrity&#x20;Protection&#x20;from&#x20;the&#x20;booted&#x20;operating&#x20;system.&#x20;If&#x20;the&#x20;remediation&#x20;is&#x20;attempted&#x20;in&#x20;the&#x20;booted&#x20;OS&#x20;and&#x20;not&#x20;the&#x20;Recovery&#x20;Partition&#x20;the&#x20;output&#x20;will&#x20;give&#x20;the&#x20;error&#x20;csrutil:&#x20;failed&#x20;to&#x20;modify&#x20;system&#x20;integrity&#x20;configuration.&#x20;This&#x20;tool&#x20;needs&#x20;to&#x20;be&#x20;executed&#x20;from&#x20;the&#x20;Recovery&#x20;OS.','[{\"cis\": [\"5.1.2\"]}, {\"cis_csc_v8\": [\"2.3\", \"2.6\", \"10.5\"]}, {\"cis_csc_v7\": [\"2.6\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.9\"]}, {\"iso_27001-2013\": [\"A.12.5.1\", \"A.12.6.2\"]}, {\"nist_sp_800-53\": [\"CM-10\", \"CM-7(1)\", \"CM-7(2)\", \"CM-8(3)\", \"SI-16\"]}, {\"pci_dss_v3.2.1\": [\"1.4\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"12.3.4\", \"2.2.4\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.8\", \"CC7.1\"]}, {\"mitre_techniques\": [\"T1191\", \"T1092\", \"T1175\", \"T1173\", \"T1519\", \"T1052\", \"T1210\", \"T1133\", \"T1118\", \"T1171\", \"T1170\", \"T1046\", \"T1137\", \"T1086\", \"T1164\", \"T1121\", \"T1076\", \"T1091\", \"T1180\", \"T1064\", \"T1184\", \"T1221\", \"T1127\", \"T1028\"]}]'),(31046,'Ensure&#x20;Apple&#x20;Mobile&#x20;File&#x20;Integrity&#x20;&#40;AMFI&#41;&#x20;Is&#x20;Enabled.','Apple&#x20;Mobile&#x20;File&#x20;Integrity&#x20;&#40;AMFI&#41;&#x20;was&#x20;first&#x20;released&#x20;in&#x20;macOS&#x20;10.12.&#x20;The&#x20;daemon&#x20;and&#x20;service&#x20;block&#x20;attempts&#x20;to&#x20;run&#x20;unsigned&#x20;code.&#x20;AMFI&#x20;uses&#x20;lanchd,&#x20;code&#x20;signatures,&#x20;certificates,&#x20;entitlements,&#x20;and&#x20;provisioning&#x20;profiles&#x20;to&#x20;create&#x20;a&#x20;filtered&#x20;entitlement&#x20;dictionary&#x20;for&#x20;an&#x20;app.&#x20;AMFI&#x20;is&#x20;the&#x20;macOS&#x20;kernel&#x20;module&#x20;that&#x20;enforces&#x20;code-signing&#x20;and&#x20;library&#x20;validation.','Apple&#x20;Mobile&#x20;File&#x20;Integrity&#x20;validates&#x20;that&#x20;application&#x20;code&#x20;is&#x20;validated.','Applications&#x20;could&#x20;be&#x20;compromised&#x20;with&#x20;malicious&#x20;code.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;Apple&#x20;Mobile&#x20;File&#x20;Integrity&#x20;service:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/nvram&#x20;boot-args=&quot;&quot;.','[{\"cis\": [\"5.1.3\"]}, {\"cis_csc_v8\": [\"2.3\", \"2.6\"]}, {\"cis_csc_v7\": [\"2.6\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.9\"]}, {\"iso_27001-2013\": [\"A.12.5.1\", \"A.12.6.2\"]}, {\"nist_sp_800-53\": [\"CM-10\", \"CM-7(1)\", \"CM-7(2)\", \"CM-8(3)\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"12.3.4\", \"2.2.4\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.1\"]}, {\"mitre_techniques\": [\"T1191\", \"T1092\", \"T1175\", \"T1173\", \"T1519\", \"T1052\", \"T1210\", \"T1133\", \"T1118\", \"T1171\", \"T1170\", \"T1046\", \"T1137\", \"T1086\", \"T1164\", \"T1121\", \"T1076\", \"T1091\", \"T1180\", \"T1064\", \"T1184\", \"T1221\", \"T1127\", \"T1028\"]}]'),(31047,'Ensure&#x20;Sealed&#x20;System&#x20;Volume&#x20;&#40;SSV&#41;&#x20;Is&#x20;Enabled.','Sealed&#x20;System&#x20;Volume&#x20;is&#x20;a&#x20;security&#x20;feature&#x20;introduced&#x20;in&#x20;macOS&#x20;11.0&#x20;Big&#x20;Sur.&#x20;During&#x20;system&#x20;installation,&#x20;a&#x20;SHA-256&#x20;cryptographic&#x20;hash&#x20;is&#x20;calculated&#x20;for&#x20;all&#x20;immutable&#x20;system&#x20;files&#x20;and&#x20;stored&#x20;in&#x20;a&#x20;Merkle&#x20;tree&#x20;which&#x20;itself&#x20;is&#x20;hashed&#x20;as&#x20;the&#x20;Seal.&#x20;Both&#x20;are&#x20;stored&#x20;in&#x20;the&#x20;metadata&#x20;of&#x20;the&#x20;snapshot&#x20;created&#x20;of&#x20;the&#x20;System&#x20;volume.&#x20;The&#x20;seal&#x20;is&#x20;verified&#x20;by&#x20;the&#x20;boot&#x20;loader&#x20;at&#x20;startup.&#x20;macOS&#x20;will&#x20;not&#x20;boot&#x20;if&#x20;system&#x20;files&#x20;have&#x20;been&#x20;tampered&#x20;with.&#x20;If&#x20;validation&#x20;fails,&#x20;the&#x20;user&#x20;will&#x20;be&#x20;instructed&#x20;to&#x20;reinstall&#x20;the&#x20;operating&#x20;system.&#x20;During&#x20;read&#x20;operations&#x20;for&#x20;files&#x20;located&#x20;in&#x20;the&#x20;Sealed&#x20;System&#x20;Volume,&#x20;a&#x20;hash&#x20;is&#x20;calculated&#x20;and&#x20;compared&#x20;to&#x20;the&#x20;value&#x20;stored&#x20;in&#x20;the&#x20;Merkle&#x20;tree.','Running&#x20;without&#x20;Sealed&#x20;System&#x20;Volume&#x20;on&#x20;a&#x20;production&#x20;system&#x20;could&#x20;run&#x20;the&#x20;risk&#x20;of&#x20;Apple&#x20;software&#x20;that&#x20;integrates&#x20;directly&#x20;with&#x20;macOS&#x20;being&#x20;modified.','Apple&#x20;Software&#x20;that&#x20;integrates&#x20;with&#x20;the&#x20;operating&#x20;system&#x20;could&#x20;become&#x20;compromised.','If&#x20;SSV&#x20;has&#x20;been&#x20;disabled,&#x20;assume&#x20;that&#x20;the&#x20;operating&#x20;system&#x20;has&#x20;been&#x20;compromised.&#x20;Back&#x20;up&#x20;any&#x20;files,&#x20;and&#x20;do&#x20;a&#x20;clean&#x20;install&#x20;to&#x20;a&#x20;known&#x20;good&#x20;Operating&#x20;System.','[{\"cis\": [\"5.1.4\"]}, {\"cis_csc_v8\": [\"3.6\", \"3.11\"]}, {\"cis_csc_v7\": [\"13.6\", \"14.8\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.19\", \"IA.L2-3.5.10\", \"MP.L2-3.8.1\", \"SC.L2-3.13.11\", \"SC.L2-3.13.16\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(2)(ii)\"]}, {\"iso_27001-2013\": [\"A.10.1.1\", \"A.6.2.1\"]}, {\"nist_sp_800-53\": [\"SC-28\", \"SC-28(1)\"]}, {\"pci_dss_v3.2.1\": [\"3.4\", \"3.4.1\", \"8.2.1\"]}, {\"pci_dss_v4.0\": [\"3.1.1\", \"3.3.2\", \"3.3.3\", \"3.5.1\", \"3.5.1.2\", \"3.5.1.3\", \"8.3.2\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"mitre_techniques\": [\"T1527\", \"T1119\", \"T1530\", \"T1114\", \"T1070\", \"T1208\", \"T1040\", \"T1145\", \"T1492\", \"T1493\", \"T1072\"]}]'),(31048,'Ensure&#x20;Password&#x20;Account&#x20;Lockout&#x20;Threshold&#x20;Is&#x20;Configured.','The&#x20;account&#x20;lockout&#x20;threshold&#x20;specifies&#x20;the&#x20;amount&#x20;of&#x20;times&#x20;a&#x20;user&#x20;can&#x20;enter&#x20;an&#x20;incorrect&#x20;password&#x20;before&#x20;a&#x20;lockout&#x20;will&#x20;occur.&#x20;Ensure&#x20;that&#x20;a&#x20;lockout&#x20;threshold&#x20;is&#x20;part&#x20;of&#x20;the&#x20;password&#x20;policy&#x20;on&#x20;the&#x20;computer.','The&#x20;account&#x20;lockout&#x20;feature&#x20;mitigates&#x20;brute-force&#x20;password&#x20;attacks&#x20;on&#x20;the&#x20;system.','The&#x20;number&#x20;of&#x20;incorrect&#x20;log&#x20;on&#x20;attempts&#x20;should&#x20;be&#x20;reasonably&#x20;small&#x20;to&#x20;minimize&#x20;the&#x20;possibility&#x20;of&#x20;a&#x20;successful&#x20;password&#x20;attack,&#x20;while&#x20;allowing&#x20;for&#x20;honest&#x20;errors&#x20;made&#x20;during&#x20;a&#x20;normal&#x20;user&#x20;log&#x20;on.&#x20;The&#x20;locked&#x20;account&#x20;will&#x20;auto-unlock&#x20;after&#x20;a&#x20;few&#x20;minutes&#x20;when&#x20;bad&#x20;password&#x20;attempts&#x20;stop.&#x20;The&#x20;computer&#x20;will&#x20;accept&#x20;the&#x20;still-valid&#x20;password&#x20;if&#x20;remembered&#x20;or&#x20;recovered.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;failed&#x20;login&#x20;attempts&#x20;to&#x20;less&#x20;than&#x20;or&#x20;equal&#x20;to&#x20;5:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;maxFailedLoginAttempts=&lt;value=&lt;5&gt;&quot;&#x20;Note:&#x20;When&#x20;the&#x20;account&#x20;lockout&#x20;threshold&#x20;is&#x20;set&#x20;with&#x20;pwpolicy,&#x20;it&#x20;will&#x20;also&#x20;set&#x20;a&#x20;reset&#x20;value&#x20;to&#x20;policyAttributeMinutesUntilFailedAuthenticationReset&#x20;that&#x20;defaults&#x20;to&#x20;1&#x20;minute.&#x20;You&#x20;can&#x20;change&#x20;this&#x20;value&#x20;with&#x20;the&#x20;command:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;policyAttributeMinutesUntilFailedAuthenticationReset=&lt;value&#x20;in&#x20;minutes&gt;&quot;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;maxFailedLoginAttempts=5&quot;&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;policyAttributeMinutesUntilFailedAuthenticationReset=10&quot;&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.mobiledevice.passwordpolicy&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;maxFailedAttempts&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;integer&gt;&lt;value&lt;=5&gt;&lt;/integer&gt;&#x20;Note:&#x20;When&#x20;setting&#x20;the&#x20;lockout&#x20;threshold&#x20;with&#x20;a&#x20;mobile&#x20;configuration&#x20;profile&#x20;there&#x20;is&#x20;no&#x20;default&#x20;reset&#x20;to&#x20;the&#x20;lockout.&#x20;To&#x20;set&#x20;the&#x20;reset&#x20;value&#x20;use&#x20;the&#x20;key&#x20;autoEnableInSeconds&#x20;and&#x20;set&#x20;the&#x20;key&#x20;to&#x20;&lt;integer&gt;&lt;value&#x20;in&#x20;seconds&gt;&lt;/integer&gt;.&#x20;Note:&#x20;The&#x20;profile&#x20;method&#x20;is&#x20;the&#x20;preferred&#x20;method&#x20;for&#x20;setting&#x20;password&#x20;policy&#x20;since&#x20;-&#x20;setglobalpolicy&#x20;in&#x20;pwpolicy&#x20;is&#x20;deprecated&#x20;and&#x20;will&#x20;likely&#x20;be&#x20;removed&#x20;in&#x20;a&#x20;future&#x20;macOS&#x20;release.','[{\"cis\": [\"5.2.1\"]}, {\"cis_csc_v8\": [\"6.2\"]}, {\"cis_csc_v7\": [\"16.7\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\"]}, {\"hipaa\": [\"164.308(a)(3)(ii)(C)\"]}, {\"iso_27001-2013\": [\"A.9.2.6\"]}, {\"nist_sp_800-53\": [\"AC-2(1)\"]}, {\"pci_dss_v3.2.1\": [\"8.1.3\"]}, {\"pci_dss_v4.0\": [\"8.2.4\", \"8.2.5\"]}, {\"soc_2\": [\"CC6.2\", \"CC6.3\"]}, {\"mitre_techniques\": [\"T1134\", \"T1197\", \"T1538\", \"T1530\", \"T1213\", \"T1089\", \"T1157\", \"T1044\", \"T1484\", \"T1054\", \"T1159\", \"T1160\", \"T1152\", \"T1168\", \"T1162\", \"T1185\", \"T1031\", \"T1050\", \"T1075\", \"T1097\", \"T1034\", \"T1163\", \"T1076\", \"T1021\", \"T1053\", \"T1489\", \"T1051\", \"T1023\", \"T1165\", \"T1528\", \"T1501\", \"T1072\", \"T1537\", \"T1078\", \"T1047\", \"T1084\", \"T1004\"]}]'),(31049,'Ensure&#x20;Password&#x20;Minimum&#x20;Length&#x20;Is&#x20;Configured.','A&#x20;minimum&#x20;password&#x20;length&#x20;is&#x20;the&#x20;fewest&#x20;number&#x20;of&#x20;characters&#x20;a&#x20;password&#x20;can&#x20;contain&#x20;to&#x20;meet&#x20;a&#x20;system&#039;s&#x20;requirements.&#x20;Ensure&#x20;that&#x20;a&#x20;minimum&#x20;of&#x20;a&#x20;15-character&#x20;password&#x20;is&#x20;part&#x20;of&#x20;the&#x20;password&#x20;policy&#x20;on&#x20;the&#x20;computer.&#x20;Where&#x20;the&#x20;confidentiality&#x20;of&#x20;encrypted&#x20;information&#x20;in&#x20;FileVault&#x20;is&#x20;more&#x20;of&#x20;a&#x20;concern,&#x20;requiring&#x20;a&#x20;longer&#x20;password&#x20;or&#x20;passphrase&#x20;may&#x20;be&#x20;sufficient&#x20;rather&#x20;than&#x20;imposing&#x20;additional&#x20;complexity&#x20;requirements&#x20;that&#x20;may&#x20;be&#x20;self-defeating.','Information&#x20;systems&#x20;that&#x20;are&#x20;not&#x20;protected&#x20;with&#x20;strong&#x20;password&#x20;schemes&#x20;including&#x20;passwords&#x20;of&#x20;minimum&#x20;length&#x20;provide&#x20;a&#x20;greater&#x20;opportunity&#x20;for&#x20;attackers&#x20;to&#x20;crack&#x20;the&#x20;password&#x20;and&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system.','Short&#x20;passwords&#x20;can&#x20;be&#x20;easily&#x20;attacked.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;password&#x20;length&#x20;to&#x20;greater&#x20;than&#x20;or&#x20;equal&#x20;to&#x20;15:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;minChars=&lt;value&gt;=15&gt;&quot;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;minChars=15&quot;&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.mobiledevice.passwordpolicy&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;minLength&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;integer&gt;&lt;value&gt;=15&gt;&lt;/integer&gt;&#x20;Note:&#x20;The&#x20;profile&#x20;method&#x20;is&#x20;the&#x20;preferred&#x20;method&#x20;for&#x20;setting&#x20;password&#x20;policy&#x20;since&#x20;-&#x20;setglobalpolicy&#x20;in&#x20;pwpolicy&#x20;is&#x20;deprecated&#x20;and&#x20;will&#x20;likely&#x20;be&#x20;removed&#x20;in&#x20;a&#x20;future&#x20;macOS&#x20;release.','[{\"cis\": [\"5.2.2\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"mitre_techniques\": [\"T1134\", \"T1098\", \"T1017\", \"T1067\", \"T1088\", \"T1175\", \"T1136\", \"T1003\", \"T1214\", \"T1190\", \"T1210\", \"T1495\", \"T1525\", \"T1208\", \"T1215\", \"T1075\", \"T1097\", \"T1086\", \"T1055\", \"T1076\", \"T1053\", \"T1505\", \"T1035\", \"T1051\", \"T1218\", \"T1184\", \"T1169\", \"T1206\", \"T1019\", \"T1501\", \"T1072\", \"T1078\", \"T1100\", \"T1077\", \"T1047\", \"T1084\", \"T1028\"]}]'),(31050,'Ensure&#x20;Complex&#x20;Password&#x20;Must&#x20;Contain&#x20;Alphabetic&#x20;Characters&#x20;Is&#x20;Configured.','Complex&#x20;passwords&#x20;contain&#x20;one&#x20;character&#x20;from&#x20;each&#x20;of&#x20;the&#x20;following&#x20;classes:&#x20;English&#x20;uppercase&#x20;letters,&#x20;English&#x20;lowercase&#x20;letters,&#x20;Westernized&#x20;Arabic&#x20;numerals,&#x20;and&#x20;non-alphanumeric&#x20;characters.&#x20;Ensure&#x20;that&#x20;an&#x20;Alphabetic&#x20;character&#x20;is&#x20;part&#x20;of&#x20;the&#x20;password&#x20;policy&#x20;on&#x20;the&#x20;computer.','The&#x20;more&#x20;complex&#x20;a&#x20;password,&#x20;the&#x20;more&#x20;resistant&#x20;it&#x20;will&#x20;be&#x20;against&#x20;persons&#x20;seeking&#x20;unauthorized&#x20;access&#x20;to&#x20;a&#x20;system.','Password&#x20;policy&#x20;should&#x20;be&#x20;in&#x20;effect&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;exposed&#x20;services&#x20;being&#x20;compromised&#x20;easily&#x20;through&#x20;dictionary&#x20;attacks&#x20;or&#x20;other&#x20;social&#x20;engineering&#x20;attempts.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;that&#x20;passwords&#x20;must&#x20;contain&#x20;at&#x20;least&#x20;one&#x20;letter:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;-&#x20;setaccountpolicies&#x20;&quot;requiresAlpha=&lt;value&gt;=1&gt;&quot;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;requiresAlpha=1&quot;&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.mobiledevice.passwordpolicy&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;requireAlphanumeric&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;&#x20;Note:&#x20;This&#x20;profile&#x20;sets&#x20;a&#x20;requirement&#x20;of&#x20;both&#x20;an&#x20;alphabetical&#x20;and&#x20;a&#x20;numeric&#x20;character.&#x20;Note:&#x20;The&#x20;profile&#x20;method&#x20;is&#x20;the&#x20;preferred&#x20;method&#x20;for&#x20;setting&#x20;password&#x20;policy&#x20;since&#x20;-&#x20;setglobalpolicy&#x20;in&#x20;pwpolicy&#x20;is&#x20;deprecated&#x20;and&#x20;will&#x20;likely&#x20;be&#x20;removed&#x20;in&#x20;a&#x20;future&#x20;macOS&#x20;release.','[{\"cis\": [\"5.2.3\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1017\", \"T1019\", \"T1028\", \"T1035\", \"T1047\", \"T1051\", \"T1053\", \"T1055\", \"T1067\", \"T1072\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1084\", \"T1086\", \"T1088\", \"T1097\", \"T1098\", \"T1100\", \"T1134\", \"T1136\", \"T1169\", \"T1175\", \"T1184\", \"T1190\", \"T1206\", \"T1208\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1495\", \"T1501\", \"T1505\", \"T1525\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(31051,'Ensure&#x20;Complex&#x20;Password&#x20;Must&#x20;Contain&#x20;Numeric&#x20;Character&#x20;Is&#x20;Configured.','Complex&#x20;passwords&#x20;contain&#x20;one&#x20;character&#x20;from&#x20;each&#x20;of&#x20;the&#x20;following&#x20;classes:&#x20;English&#x20;uppercase&#x20;letters,&#x20;English&#x20;lowercase&#x20;letters,&#x20;Westernized&#x20;Arabic&#x20;numerals,&#x20;and&#x20;non-alphanumeric&#x20;characters.&#x20;Ensure&#x20;that&#x20;a&#x20;number&#x20;or&#x20;numeric&#x20;value&#x20;is&#x20;part&#x20;of&#x20;the&#x20;password&#x20;policy&#x20;on&#x20;the&#x20;computer.','The&#x20;more&#x20;complex&#x20;a&#x20;password,&#x20;the&#x20;more&#x20;resistant&#x20;it&#x20;will&#x20;be&#x20;against&#x20;persons&#x20;seeking&#x20;unauthorized&#x20;access&#x20;to&#x20;a&#x20;system.','Password&#x20;policy&#x20;should&#x20;be&#x20;in&#x20;effect&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;exposed&#x20;services&#x20;being&#x20;compromised&#x20;easily&#x20;through&#x20;dictionary&#x20;attacks&#x20;or&#x20;other&#x20;social&#x20;engineering&#x20;attempts.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;passwords&#x20;to&#x20;require&#x20;at&#x20;least&#x20;one&#x20;number:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;-&#x20;setaccountpolicies&#x20;&quot;requiresNumeric=&lt;value&gt;=1&gt;&quot;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;requiresNumeric=2&quot;&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.mobiledevice.passwordpolicy&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;requireAlphanumeric&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;&#x20;Note:&#x20;This&#x20;profile&#x20;sets&#x20;a&#x20;requirement&#x20;of&#x20;both&#x20;an&#x20;alphabetical&#x20;and&#x20;a&#x20;numeric&#x20;character.&#x20;Note:&#x20;The&#x20;profile&#x20;method&#x20;is&#x20;the&#x20;preferred&#x20;method&#x20;for&#x20;setting&#x20;password&#x20;policy&#x20;since&#x20;-&#x20;setglobalpolicy&#x20;in&#x20;pwpolicy&#x20;is&#x20;deprecated&#x20;and&#x20;will&#x20;likely&#x20;be&#x20;removed&#x20;in&#x20;a&#x20;future&#x20;macOS&#x20;release.','[{\"cis\": [\"5.2.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1017\", \"T1019\", \"T1028\", \"T1035\", \"T1047\", \"T1051\", \"T1053\", \"T1055\", \"T1067\", \"T1072\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1084\", \"T1086\", \"T1088\", \"T1097\", \"T1098\", \"T1100\", \"T1134\", \"T1136\", \"T1169\", \"T1175\", \"T1184\", \"T1190\", \"T1206\", \"T1208\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1495\", \"T1501\", \"T1505\", \"T1525\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(31052,'Ensure&#x20;Complex&#x20;Password&#x20;Must&#x20;Contain&#x20;Uppercase&#x20;and&#x20;Lowercase&#x20;Characters&#x20;Is&#x20;Configured.','Complex&#x20;passwords&#x20;contain&#x20;one&#x20;character&#x20;from&#x20;each&#x20;of&#x20;the&#x20;following&#x20;classes:&#x20;English&#x20;uppercase&#x20;letters,&#x20;English&#x20;lowercase&#x20;letters,&#x20;Westernized&#x20;Arabic&#x20;numerals,&#x20;and&#x20;non-alphanumeric&#x20;characters.&#x20;Ensure&#x20;that&#x20;both&#x20;uppercase&#x20;and&#x20;lowercase&#x20;letters&#x20;are&#x20;part&#x20;of&#x20;the&#x20;password&#x20;policy&#x20;on&#x20;the&#x20;computer.','The&#x20;more&#x20;complex&#x20;a&#x20;password,&#x20;the&#x20;more&#x20;resistant&#x20;it&#x20;will&#x20;be&#x20;against&#x20;persons&#x20;seeking&#x20;unauthorized&#x20;access&#x20;to&#x20;a&#x20;system.','Password&#x20;policy&#x20;should&#x20;be&#x20;in&#x20;effect&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;exposed&#x20;services&#x20;being&#x20;compromised&#x20;easily&#x20;through&#x20;dictionary&#x20;attacks&#x20;or&#x20;other&#x20;social&#x20;engineering&#x20;attempts.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;passwords&#x20;to&#x20;require&#x20;at&#x20;upper&#x20;and&#x20;lower&#x20;case&#x20;letter:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;requiresMixedCase=&lt;value&gt;=1&gt;&quot;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;requiresMixedCase=1&quot;.','[{\"cis\": [\"5.2.6\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1017\", \"T1019\", \"T1028\", \"T1035\", \"T1047\", \"T1051\", \"T1053\", \"T1055\", \"T1067\", \"T1072\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1084\", \"T1086\", \"T1088\", \"T1097\", \"T1098\", \"T1100\", \"T1134\", \"T1136\", \"T1169\", \"T1175\", \"T1184\", \"T1190\", \"T1206\", \"T1208\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1495\", \"T1501\", \"T1505\", \"T1525\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(31053,'Ensure&#x20;Password&#x20;Age&#x20;Is&#x20;Configured.','Over&#x20;time,&#x20;passwords&#x20;can&#x20;be&#x20;captured&#x20;by&#x20;third&#x20;parties&#x20;through&#x20;mistakes,&#x20;phishing&#x20;attacks,&#x20;third-party&#x20;breaches,&#x20;or&#x20;merely&#x20;brute-force&#x20;attacks.&#x20;To&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;exposure&#x20;and&#x20;to&#x20;decrease&#x20;the&#x20;incentives&#x20;of&#x20;password&#x20;reuse&#x20;&#40;passwords&#x20;that&#x20;are&#x20;not&#x20;forced&#x20;to&#x20;be&#x20;changed&#x20;periodically&#x20;generally&#x20;are&#x20;not&#x20;ever&#x20;changed&#41;,&#x20;users&#x20;should&#x20;reset&#x20;passwords&#x20;periodically.&#x20;This&#x20;control&#x20;uses&#x20;365&#x20;days&#x20;as&#x20;the&#x20;acceptable&#x20;value.&#x20;Some&#x20;organizations&#x20;may&#x20;be&#x20;more&#x20;or&#x20;less&#x20;restrictive.&#x20;This&#x20;control&#x20;mainly&#x20;exists&#x20;to&#x20;mitigate&#x20;against&#x20;password&#x20;reuse&#x20;of&#x20;the&#x20;macOS&#x20;account&#x20;password&#x20;in&#x20;other&#x20;realms&#x20;that&#x20;may&#x20;be&#x20;more&#x20;prone&#x20;to&#x20;compromise.&#x20;Attackers&#x20;take&#x20;advantage&#x20;of&#x20;exposed&#x20;information&#x20;to&#x20;attack&#x20;other&#x20;accounts.','Passwords&#x20;should&#x20;be&#x20;changed&#x20;periodically&#x20;to&#x20;reduce&#x20;exposure.','Required&#x20;password&#x20;changes&#x20;will&#x20;lead&#x20;to&#x20;some&#x20;locked&#x20;computers&#x20;requiring&#x20;admin&#x20;assistance.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;require&#x20;that&#x20;passwords&#x20;expire&#x20;after&#x20;at&#x20;most&#x20;365&#x20;days:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;maxMinutesUntilChangePassword=&lt;value&lt;=525600&gt;&quot;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;maxMinutesUntilChangePassword=43200&quot;&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.mobiledevice.passwordpolicy&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;maxPINAgeInDays&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;integer&gt;&lt;value&gt;=365&gt;&lt;/integer&gt;&#x20;Note:&#x20;The&#x20;profile&#x20;method&#x20;is&#x20;the&#x20;preferred&#x20;method&#x20;for&#x20;setting&#x20;password&#x20;policy&#x20;since&#x20;-&#x20;setglobalpolicy&#x20;in&#x20;pwpolicy&#x20;is&#x20;deprecated&#x20;and&#x20;will&#x20;likely&#x20;be&#x20;removed&#x20;in&#x20;a&#x20;future&#x20;macOS&#x20;release.','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc_v8\": [\"5.3\"]}, {\"cis_csc_v7\": [\"16.9\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.6\"]}, {\"nist_sp_800-53\": [\"AC-2(3)\"]}, {\"pci_dss_v3.2.1\": [\"8.1.4\"]}, {\"pci_dss_v4.0\": [\"8.3.7\"]}, {\"mitre_techniques\": [\"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\", \"T1134\", \"T1197\", \"T1538\", \"T1089\", \"T1157\", \"T1054\", \"T1159\", \"T1160\", \"T1152\", \"T1168\", \"T1162\", \"T1185\", \"T1050\", \"T1075\", \"T1097\", \"T1163\", \"T1021\", \"T1489\", \"T1051\", \"T1023\", \"T1165\", \"T1501\", \"T1072\", \"T1537\", \"T1047\", \"T1084\", \"T1004\"]}]'),(31054,'Ensure&#x20;Password&#x20;History&#x20;Is&#x20;Configured.','Over&#x20;time,&#x20;passwords&#x20;can&#x20;be&#x20;captured&#x20;by&#x20;third&#x20;parties&#x20;through&#x20;mistakes,&#x20;phishing&#x20;attacks,&#x20;third-party&#x20;breaches,&#x20;or&#x20;merely&#x20;brute-force&#x20;attacks.&#x20;To&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;exposure&#x20;and&#x20;to&#x20;decrease&#x20;the&#x20;incentives&#x20;of&#x20;password&#x20;reuse&#x20;&#40;passwords&#x20;that&#x20;are&#x20;not&#x20;forced&#x20;to&#x20;be&#x20;changed&#x20;periodically&#x20;generally&#x20;are&#x20;not&#x20;ever&#x20;changed&#41;,&#x20;users&#x20;must&#x20;reset&#x20;passwords&#x20;periodically.&#x20;This&#x20;control&#x20;ensures&#x20;that&#x20;previous&#x20;passwords&#x20;are&#x20;not&#x20;reused&#x20;immediately&#x20;by&#x20;keeping&#x20;a&#x20;history&#x20;of&#x20;previous&#x20;password&#x20;hashes.&#x20;Ensure&#x20;that&#x20;password&#x20;history&#x20;checks&#x20;are&#x20;part&#x20;of&#x20;the&#x20;password&#x20;policy&#x20;on&#x20;the&#x20;computer.&#x20;This&#x20;control&#x20;checks&#x20;whether&#x20;a&#x20;new&#x20;password&#x20;is&#x20;different&#x20;than&#x20;the&#x20;previous&#x20;15.&#x20;The&#x20;latest&#x20;NIST&#x20;guidance&#x20;based&#x20;on&#x20;exploit&#x20;research&#x20;referenced&#x20;in&#x20;this&#x20;section&#x20;details&#x20;how&#x20;one&#x20;of&#x20;the&#x20;greatest&#x20;risks&#x20;is&#x20;password&#x20;exposure&#x20;rather&#x20;than&#x20;password&#x20;cracking.&#x20;Passwords&#x20;should&#x20;be&#x20;changed&#x20;to&#x20;a&#x20;new&#x20;unique&#x20;value&#x20;whenever&#x20;a&#x20;password&#x20;might&#x20;have&#x20;been&#x20;exposed&#x20;to&#x20;anyone&#x20;other&#x20;than&#x20;the&#x20;account&#x20;holder.&#x20;Attackers&#x20;have&#x20;maintained&#x20;persistent&#x20;control&#x20;based&#x20;on&#x20;predictable&#x20;password&#x20;change&#x20;patterns&#x20;and&#x20;substantially&#x20;different&#x20;patterns&#x20;should&#x20;be&#x20;used&#x20;in&#x20;case&#x20;of&#x20;a&#x20;leak.','Old&#x20;passwords&#x20;should&#x20;not&#x20;be&#x20;reused.','Required&#x20;password&#x20;changes&#x20;will&#x20;lead&#x20;to&#x20;some&#x20;locked&#x20;computers&#x20;requiring&#x20;admin&#x20;assistance.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;require&#x20;that&#x20;the&#x20;password&#x20;must&#x20;to&#x20;be&#x20;different&#x20;from&#x20;at&#x20;least&#x20;the&#x20;last&#x20;15&#x20;passwords:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;usingHistory=&lt;value&gt;=15&gt;&quot;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;usingHistory=15&quot;&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.mobiledevice.passwordpolicy&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;pinHistory&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;integer&gt;&lt;value&gt;=15&gt;&lt;/integer&gt;&#x20;Note:&#x20;The&#x20;profile&#x20;method&#x20;is&#x20;the&#x20;preferred&#x20;method&#x20;for&#x20;setting&#x20;password&#x20;policy&#x20;since&#x20;-&#x20;setglobalpolicy&#x20;in&#x20;pwpolicy&#x20;is&#x20;deprecated&#x20;and&#x20;will&#x20;likely&#x20;be&#x20;removed&#x20;in&#x20;a&#x20;future&#x20;macOS&#x20;release.','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"mitre_techniques\": [\"T1134\", \"T1098\", \"T1017\", \"T1067\", \"T1088\", \"T1175\", \"T1136\", \"T1003\", \"T1214\", \"T1190\", \"T1210\", \"T1495\", \"T1525\", \"T1208\", \"T1215\", \"T1075\", \"T1097\", \"T1086\", \"T1055\", \"T1076\", \"T1053\", \"T1505\", \"T1035\", \"T1051\", \"T1218\", \"T1184\", \"T1169\", \"T1206\", \"T1019\", \"T1501\", \"T1072\", \"T1078\", \"T1100\", \"T1077\", \"T1047\", \"T1084\", \"T1028\"]}]'),(31055,'Ensure&#x20;the&#x20;Sudo&#x20;Timeout&#x20;Period&#x20;Is&#x20;Set&#x20;to&#x20;Zero.','The&#x20;sudo&#x20;command&#x20;allows&#x20;the&#x20;user&#x20;to&#x20;run&#x20;programs&#x20;as&#x20;the&#x20;root&#x20;user.&#x20;Working&#x20;as&#x20;the&#x20;root&#x20;user&#x20;allows&#x20;the&#x20;user&#x20;an&#x20;extremely&#x20;high&#x20;level&#x20;of&#x20;configurability&#x20;within&#x20;the&#x20;system.&#x20;This&#x20;control,&#x20;along&#x20;with&#x20;the&#x20;control&#x20;to&#x20;use&#x20;a&#x20;separate&#x20;timestamp&#x20;for&#x20;each&#x20;tty,&#x20;limits&#x20;the&#x20;window&#x20;where&#x20;an&#x20;unauthorized&#x20;user,&#x20;process,&#x20;or&#x20;attacker&#x20;could&#x20;utilize&#x20;legitimate&#x20;credentials&#x20;that&#x20;are&#x20;valid&#x20;for&#x20;longer&#x20;than&#x20;required.','The&#x20;sudo&#x20;command&#x20;stays&#x20;logged&#x20;in&#x20;as&#x20;the&#x20;root&#x20;user&#x20;for&#x20;five&#x20;minutes&#x20;before&#x20;timing&#x20;out&#x20;and&#x20;re-requesting&#x20;a&#x20;password.&#x20;This&#x20;five-minute&#x20;window&#x20;should&#x20;be&#x20;eliminated&#x20;since&#x20;it&#x20;leaves&#x20;the&#x20;system&#x20;extremely&#x20;vulnerable.&#x20;This&#x20;is&#x20;especially&#x20;true&#x20;if&#x20;an&#x20;exploit&#x20;were&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system,&#x20;since&#x20;they&#x20;would&#x20;be&#x20;able&#x20;to&#x20;make&#x20;changes&#x20;as&#x20;a&#x20;root&#x20;user.','This&#x20;control&#x20;has&#x20;a&#x20;serious&#x20;impact&#x20;where&#x20;users&#x20;often&#x20;have&#x20;to&#x20;use&#x20;sudo.&#x20;It&#x20;is&#x20;even&#x20;more&#x20;of&#x20;an&#x20;impact&#x20;where&#x20;users&#x20;have&#x20;to&#x20;use&#x20;sudo&#x20;multiple&#x20;times&#x20;in&#x20;quick&#x20;succession&#x20;as&#x20;part&#x20;of&#x20;normal&#x20;work&#x20;processes.&#x20;Organizations&#x20;with&#x20;that&#x20;common&#x20;use&#x20;case&#x20;will&#x20;likely&#x20;find&#x20;this&#x20;control&#x20;too&#x20;onerous&#x20;and&#x20;are&#x20;better&#x20;to&#x20;accept&#x20;the&#x20;risk&#x20;of&#x20;not&#x20;requiring&#x20;a&#x20;0&#x20;grace&#x20;period.&#x20;In&#x20;some&#x20;ways&#x20;the&#x20;use&#x20;of&#x20;sudo&#x20;-s,&#x20;which&#x20;is&#x20;undesirable,&#x20;is&#x20;better&#x20;than&#x20;a&#x20;long&#x20;grace&#x20;period&#x20;since&#x20;that&#x20;use&#x20;does&#x20;change&#x20;the&#x20;hash&#x20;to&#x20;show&#x20;that&#x20;it&#x20;is&#x20;a&#x20;root&#x20;shell&#x20;rather&#x20;than&#x20;a&#x20;normal&#x20;shell&#x20;where&#x20;sudo&#x20;commands&#x20;will&#x20;be&#x20;implemented&#x20;without&#x20;a&#x20;password.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;edit&#x20;the&#x20;sudo&#x20;settings:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/visudo&#x20;-f&#x20;/etc/sudoers.d/&lt;configuration&#x20;file&#x20;name&gt;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/visudo&#x20;-f&#x20;/etc/sudoers.d/10_cissudoconfiguration&#x20;Note:&#x20;Unlike&#x20;other&#x20;Unix&#x20;and/or&#x20;Linux&#x20;distros,&#x20;macOS&#x20;will&#x20;ignore&#x20;configuration&#x20;files&#x20;in&#x20;the&#x20;sudoers.d&#x20;folder&#x20;that&#x20;contain&#x20;a&#x20;.&#x20;so&#x20;do&#x20;not&#x20;add&#x20;a&#x20;file&#x20;extension&#x20;to&#x20;the&#x20;configuration&#x20;file.&#x20;Add&#x20;the&#x20;line&#x20;Defaults&#x20;timestamp_timeout=0&#x20;to&#x20;the&#x20;configuration&#x20;file.&#x20;If&#x20;/etc/sudoers.d/&#x20;is&#x20;not&#x20;owned&#x20;by&#x20;root&#x20;or&#x20;in&#x20;the&#x20;wheel&#x20;group,&#x20;run&#x20;the&#x20;following&#x20;to&#x20;change&#x20;ownership&#x20;and&#x20;group:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/chown&#x20;-R&#x20;root:wheel&#x20;/etc/security/sudoers.d/.','[{\"cis\": [\"5.4\"]}, {\"cis_csc_v8\": [\"4.3\"]}, {\"cis_csc_v7\": [\"16.11\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.10\", \"AC.L2-3.1.11\"]}, {\"hipaa\": [\"164.312(a)(2)(iii)\"]}, {\"nist_sp_800-53\": [\"AC-11\", \"AC-11(1)\", \"AC-12\", \"AC-2(5)\"]}, {\"iso_27001-2013\": [\"A.8.1.3\"]}, {\"pci_dss_v3.2.1\": [\"8.1.8\"]}, {\"pci_dss_v4.0\": [\"8.2.8\"]}, {\"mitre_techniques\": [\"T1110\", \"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\"]}]'),(31056,'Ensure&#x20;a&#x20;Separate&#x20;Timestamp&#x20;Is&#x20;Enabled&#x20;for&#x20;Each&#x20;User/tty&#x20;Combo.','Using&#x20;tty&#x20;tickets&#x20;ensures&#x20;that&#x20;a&#x20;user&#x20;must&#x20;enter&#x20;the&#x20;sudo&#x20;password&#x20;in&#x20;each&#x20;Terminal&#x20;session.&#x20;With&#x20;sudo&#x20;versions&#x20;1.8&#x20;and&#x20;higher,&#x20;introduced&#x20;in&#x20;10.12,&#x20;the&#x20;default&#x20;value&#x20;is&#x20;to&#x20;have&#x20;tty&#x20;tickets&#x20;for&#x20;each&#x20;interface&#x20;so&#x20;that&#x20;root&#x20;access&#x20;is&#x20;limited&#x20;to&#x20;a&#x20;specific&#x20;terminal.&#x20;The&#x20;default&#x20;configuration&#x20;can&#x20;be&#x20;overwritten&#x20;or&#x20;not&#x20;configured&#x20;correctly&#x20;on&#x20;earlier&#x20;versions&#x20;of&#x20;macOS.','In&#x20;combination&#x20;with&#x20;removing&#x20;the&#x20;sudo&#x20;timeout&#x20;grace&#x20;period,&#x20;a&#x20;further&#x20;mitigation&#x20;should&#x20;be&#x20;in&#x20;place&#x20;to&#x20;reduce&#x20;the&#x20;possibility&#x20;of&#x20;a&#x20;background&#x20;process&#x20;using&#x20;elevated&#x20;rights&#x20;when&#x20;a&#x20;user&#x20;elevates&#x20;to&#x20;root&#x20;in&#x20;an&#x20;explicit&#x20;context&#x20;or&#x20;tty.&#x20;Additional&#x20;mitigation&#x20;should&#x20;be&#x20;in&#x20;place&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;privilege&#x20;escalation&#x20;of&#x20;background&#x20;processes.','This&#x20;control&#x20;should&#x20;have&#x20;no&#x20;user&#x20;impact.&#x20;Developers&#x20;or&#x20;installers&#x20;may&#x20;have&#x20;issues&#x20;if&#x20;background&#x20;processes&#x20;are&#x20;spawned&#x20;with&#x20;different&#x20;interfaces&#x20;than&#x20;where&#x20;sudo&#x20;was&#x20;executed.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;edit&#x20;the&#x20;sudo&#x20;settings:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/visudo&#x20;-f&#x20;/etc/sudoers.d/&lt;configuration&#x20;file&#x20;name&gt;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/visudo&#x20;-f&#x20;/etc/sudoers.d/10_cissudoconfiguration&#x20;Note:&#x20;Unlike&#x20;other&#x20;Unix&#x20;and/or&#x20;Linux&#x20;distros,&#x20;macOS&#x20;will&#x20;ignore&#x20;configuration&#x20;files&#x20;in&#x20;the&#x20;sudoers.d&#x20;folder&#x20;that&#x20;contain&#x20;a&#x20;.&#x20;so&#x20;do&#x20;not&#x20;add&#x20;a&#x20;file&#x20;extension&#x20;to&#x20;the&#x20;configuration&#x20;file.&#x20;Add&#x20;the&#x20;line&#x20;Defaults&#x20;timestamp_type=tty&#x20;to&#x20;the&#x20;configuration&#x20;file.&#x20;Note:&#x20;The&#x20;Defaults&#x20;timestamp_type=tty&#x20;line&#x20;can&#x20;be&#x20;added&#x20;to&#x20;an&#x20;existing&#x20;configuration&#x20;file&#x20;or&#x20;a&#x20;new&#x20;one.&#x20;That&#x20;will&#x20;depend&#x20;on&#x20;your&#x20;organization&#039;s&#x20;preference&#x20;and&#x20;works&#x20;either&#x20;way.','[{\"cis\": [\"5.5\"]}, {\"cis_csc_v8\": [\"4.3\"]}, {\"cis_csc_v7\": [\"16.11\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.10\", \"AC.L2-3.1.11\"]}, {\"hipaa\": [\"164.312(a)(2)(iii)\"]}, {\"nist_sp_800-53\": [\"AC-11\", \"AC-11(1)\", \"AC-12\", \"AC-2(5)\"]}, {\"iso_27001-2013\": [\"A.8.1.3\"]}, {\"pci_dss_v3.2.1\": [\"8.1.8\"]}, {\"pci_dss_v4.0\": [\"8.2.8\"]}, {\"mitre_techniques\": [\"T1110\", \"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\"]}]'),(31057,'Ensure&#x20;the&#x20;&quot;root&quot;&#x20;Account&#x20;Is&#x20;Disabled.','The&#x20;root&#x20;account&#x20;is&#x20;a&#x20;superuser&#x20;account&#x20;that&#x20;has&#x20;access&#x20;privileges&#x20;to&#x20;perform&#x20;any&#x20;actions&#x20;and&#x20;read/write&#x20;to&#x20;any&#x20;file&#x20;on&#x20;the&#x20;computer.&#x20;With&#x20;some&#x20;versions&#x20;of&#x20;Linux,&#x20;the&#x20;system&#x20;administrator&#x20;may&#x20;commonly&#x20;use&#x20;the&#x20;root&#x20;account&#x20;to&#x20;perform&#x20;administrative&#x20;functions.','Enabling&#x20;and&#x20;using&#x20;the&#x20;root&#x20;account&#x20;puts&#x20;the&#x20;system&#x20;at&#x20;risk&#x20;since&#x20;any&#x20;successful&#x20;exploit&#x20;or&#x20;mistake&#x20;while&#x20;the&#x20;root&#x20;account&#x20;is&#x20;in&#x20;use&#x20;could&#x20;have&#x20;unlimited&#x20;access&#x20;privileges&#x20;within&#x20;the&#x20;system.&#x20;Using&#x20;the&#x20;sudo&#x20;command&#x20;allows&#x20;users&#x20;to&#x20;perform&#x20;functions&#x20;as&#x20;a&#x20;root&#x20;user&#x20;while&#x20;limiting&#x20;and&#x20;password&#x20;protecting&#x20;the&#x20;access&#x20;privileges.&#x20;By&#x20;default&#x20;the&#x20;root&#x20;account&#x20;is&#x20;not&#x20;enabled&#x20;on&#x20;a&#x20;macOS&#x20;computer.&#x20;An&#x20;administrator&#x20;can&#x20;escalate&#x20;privileges&#x20;using&#x20;the&#x20;sudo&#x20;command&#x20;&#40;use&#x20;-s&#x20;or&#x20;-i&#x20;to&#x20;get&#x20;a&#x20;root&#x20;shell&#41;.','Some&#x20;legacy&#x20;POSIX&#x20;software&#x20;might&#x20;expect&#x20;an&#x20;available&#x20;root&#x20;account.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;root&#x20;user&#x20;is&#x20;disabled:&#x20;1.&#x20;Open&#x20;/System/Library/CoreServices/Applications/Directory&#x20;Utility&#x20;2.&#x20;Click&#x20;the&#x20;lock&#x20;icon&#x20;to&#x20;unlock&#x20;the&#x20;service&#x20;3.&#x20;Click&#x20;Edit&#x20;in&#x20;the&#x20;menu&#x20;bar&#x20;4.&#x20;Click&#x20;Disable&#x20;Root&#x20;User&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;the&#x20;root&#x20;user:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/dsenableroot&#x20;-d&#x20;username&#x20;=&#x20;root&#x20;user&#x20;password:.','[{\"cis\": [\"5.6\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"mitre_techniques\": [\"T1176\", \"T1501\", \"T1134\", \"T1098\", \"T1017\", \"T1067\", \"T1088\", \"T1175\", \"T1136\", \"T1003\", \"T1214\", \"T1190\", \"T1210\", \"T1495\", \"T1525\", \"T1208\", \"T1215\", \"T1075\", \"T1097\", \"T1086\", \"T1055\", \"T1076\", \"T1053\", \"T1505\", \"T1035\", \"T1051\", \"T1218\", \"T1184\", \"T1169\", \"T1206\", \"T1019\", \"T1072\", \"T1078\", \"T1100\", \"T1077\", \"T1047\", \"T1084\", \"T1028\"]}]'),(31058,'Ensure&#x20;an&#x20;Administrator&#x20;Account&#x20;Cannot&#x20;Login&#x20;to&#x20;Another&#x20;User&#039;s&#x20;Active&#x20;and&#x20;Locked&#x20;Session.','macOS&#x20;has&#x20;a&#x20;privilege&#x20;that&#x20;can&#x20;be&#x20;granted&#x20;to&#x20;any&#x20;user&#x20;that&#x20;will&#x20;allow&#x20;that&#x20;user&#x20;to&#x20;unlock&#x20;active&#x20;user&#039;s&#x20;sessions.','Disabling&#x20;the&#x20;administrator&#039;s&#x20;and/or&#x20;user&#039;s&#x20;ability&#x20;to&#x20;log&#x20;into&#x20;another&#x20;user&#039;s&#x20;active&#x20;and&#x20;locked&#x20;session&#x20;prevents&#x20;unauthorized&#x20;persons&#x20;from&#x20;viewing&#x20;potentially&#x20;sensitive&#x20;and/or&#x20;personal&#x20;information.','While&#x20;Fast&#x20;user&#x20;switching&#x20;is&#x20;a&#x20;workaround&#x20;for&#x20;some&#x20;lab&#x20;environments,&#x20;especially&#x20;where&#x20;there&#x20;is&#x20;even&#x20;less&#x20;of&#x20;an&#x20;expectation&#x20;of&#x20;privacy,&#x20;this&#x20;setting&#x20;change&#x20;may&#x20;impact&#x20;some&#x20;maintenance&#x20;workflows.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;a&#x20;user&#x20;logging&#x20;into&#x20;another&#x20;user&#039;s&#x20;active&#x20;and/or&#x20;locked&#x20;session:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/security&#x20;authorizationdb&#x20;write&#x20;system.login.screensaver&#x20;use-login-window-ui&#x20;YES&#x20;&#40;0&#41;.','[{\"cis\": [\"5.7\"]}, {\"cis_csc_v8\": [\"4.3\"]}, {\"cis_csc_v7\": [\"16.11\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.10\", \"AC.L2-3.1.11\"]}, {\"hipaa\": [\"164.312(a)(2)(iii)\"]}, {\"nist_sp_800-53\": [\"AC-11\", \"AC-11(1)\", \"AC-12\", \"AC-2(5)\"]}, {\"iso_27001-2013\": [\"A.8.1.3\"]}, {\"pci_dss_v3.2.1\": [\"8.1.8\"]}, {\"pci_dss_v4.0\": [\"8.2.8\"]}, {\"mitre_techniques\": [\"T1110\", \"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\"]}]'),(31059,'Ensure&#x20;a&#x20;Login&#x20;Window&#x20;Banner&#x20;Exists.','A&#x20;Login&#x20;window&#x20;banner&#x20;warning&#x20;informs&#x20;the&#x20;user&#x20;that&#x20;the&#x20;system&#x20;is&#x20;reserved&#x20;for&#x20;authorized&#x20;use&#x20;only.&#x20;It&#x20;enforces&#x20;an&#x20;acknowledgment&#x20;by&#x20;the&#x20;user&#x20;that&#x20;they&#x20;have&#x20;been&#x20;informed&#x20;of&#x20;the&#x20;use&#x20;policy&#x20;in&#x20;the&#x20;banner&#x20;if&#x20;required.&#x20;The&#x20;system&#x20;recognizes&#x20;either&#x20;the&#x20;.txt&#x20;and&#x20;the&#x20;.rtf&#x20;formats.','An&#x20;access&#x20;warning&#x20;may&#x20;reduce&#x20;a&#x20;casual&#x20;attacker&#039;s&#x20;tendency&#x20;to&#x20;target&#x20;the&#x20;system.&#x20;Access&#x20;warnings&#x20;may&#x20;also&#x20;aid&#x20;in&#x20;the&#x20;prosecution&#x20;of&#x20;an&#x20;attacker&#x20;by&#x20;evincing&#x20;the&#x20;attacker&#039;s&#x20;knowledge&#x20;of&#x20;the&#x20;system&#039;s&#x20;private&#x20;status,&#x20;acceptable&#x20;use&#x20;policy,&#x20;and&#x20;authorization&#x20;requirements.','Users&#x20;will&#x20;have&#x20;to&#x20;click&#x20;on&#x20;the&#x20;window&#x20;with&#x20;the&#x20;Login&#x20;text&#x20;before&#x20;logging&#x20;into&#x20;the&#x20;computer.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;create&#x20;or&#x20;edit&#x20;the&#x20;login&#x20;window&#x20;text&#x20;and&#x20;set&#x20;the&#x20;proper&#x20;permissions:&#x20;Edit&#x20;&#40;or&#x20;create&#41;&#x20;a&#x20;PolicyBanner.txt&#x20;or&#x20;PolicyBanner.rtf&#x20;file,&#x20;in&#x20;the&#x20;/Library/Security/&#x20;folder,&#x20;to&#x20;include&#x20;the&#x20;required&#x20;login&#x20;window&#x20;banner&#x20;text.&#x20;Perform&#x20;the&#x20;following&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;the&#x20;policy&#x20;banner&#x20;file:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/chown&#x20;o+r&#x20;/Library/Security/PolicyBanner.txt&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/chown&#x20;o+r&#x20;/Library/Security/PolicyBanner.rtf&#x20;Note:&#x20;If&#x20;your&#x20;organization&#x20;uses&#x20;an&#x20;.rtfd&#x20;file&#x20;to&#x20;set&#x20;the&#x20;policy&#x20;banner,&#x20;run&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/chown&#x20;-R&#x20;o+rx&#x20;/Library/Security/PolicyBanner.rtfd&#x20;to&#x20;update&#x20;the&#x20;permissions.','[{\"cis\": [\"5.8\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\"]}, {\"iso_27001-2013\": [\"A.14.2.5\", \"A.8.1.3\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"11.5\", \"2.2\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"mitre_techniques\": [\"T1110\", \"T1003\", \"T1081\", \"T1097\", \"T1178\", \"T1072\", \"T1067\", \"T1495\", \"T1019\", \"T1177\", \"T1485\", \"T1486\", \"T1491\", \"T1488\", \"T1487\", \"T1490\", \"T1146\", \"T1148\", \"T1015\", \"T1133\", \"T1200\", \"T1076\", \"T1051\", \"T1176\", \"T1501\", \"T1087\", \"T1098\", \"T1139\", \"T1197\", \"T1092\", \"T1136\", \"T1011\", \"T1147\", \"T1130\", \"T1174\", \"T1053\", \"T1166\", \"T1206\", \"T1503\", \"T1214\", \"T1187\", \"T1208\", \"T1142\", \"T1075\", \"T1201\", \"T1145\", \"T1184\", \"T1537\", \"T1078\", \"T1077\", \"T1134\", \"T1017\", \"T1088\", \"T1175\", \"T1190\", \"T1210\", \"T1525\", \"T1215\", \"T1086\", \"T1055\", \"T1505\", \"T1035\", \"T1218\", \"T1169\", \"T1100\", \"T1047\", \"T1084\", \"T1028\", \"T1156\", \"T1196\", \"T1530\", \"T1089\", \"T1073\", \"T1157\", \"T1054\", \"T1070\", \"T1037\", \"T1036\", \"T1096\", \"T1034\", \"T1150\", \"T1504\", \"T1494\", \"T1489\", \"T1198\", \"T1165\", \"T1492\", \"T1080\", \"T1209\", \"T1112\", \"T1058\", \"T1173\", \"T1137\", \"T1539\", \"T1535\", \"T1506\", \"T1138\", \"T1044\", \"T1199\"]}]'),(31060,'Ensure&#x20;the&#x20;Guest&#x20;Home&#x20;Folder&#x20;Does&#x20;Not&#x20;Exist.','In&#x20;the&#x20;previous&#x20;two&#x20;controls,&#x20;the&#x20;guest&#x20;account&#x20;login&#x20;has&#x20;been&#x20;disabled&#x20;and&#x20;sharing&#x20;to&#x20;guests&#x20;has&#x20;been&#x20;disabled,&#x20;as&#x20;well.&#x20;There&#x20;is&#x20;no&#x20;need&#x20;for&#x20;the&#x20;legacy&#x20;Guest&#x20;home&#x20;folder&#x20;to&#x20;remain&#x20;in&#x20;the&#x20;file&#x20;system.&#x20;When&#x20;normal&#x20;user&#x20;accounts&#x20;are&#x20;removed,&#x20;you&#x20;have&#x20;the&#x20;option&#x20;to&#x20;archive&#x20;it,&#x20;leave&#x20;it&#x20;in&#x20;place,&#x20;or&#x20;delete.&#x20;In&#x20;the&#x20;case&#x20;of&#x20;the&#x20;guest&#x20;folder,&#x20;the&#x20;folder&#x20;remains&#x20;in&#x20;place&#x20;without&#x20;a&#x20;GUI&#x20;option&#x20;to&#x20;remove&#x20;it.&#x20;If&#x20;at&#x20;some&#x20;point&#x20;in&#x20;the&#x20;future&#x20;a&#x20;Guest&#x20;account&#x20;is&#x20;needed,&#x20;it&#x20;will&#x20;be&#x20;re-created.&#x20;The&#x20;presence&#x20;of&#x20;the&#x20;Guest&#x20;home&#x20;folder&#x20;can&#x20;cause&#x20;automated&#x20;audits&#x20;to&#x20;fail&#x20;when&#x20;looking&#x20;for&#x20;compliant&#x20;settings&#x20;within&#x20;all&#x20;User&#x20;folders,&#x20;as&#x20;well.&#x20;Rather&#x20;than&#x20;ignoring&#x20;the&#x20;folder&#039;s&#x20;continued&#x20;existence,&#x20;it&#x20;is&#x20;best&#x20;removed.','The&#x20;Guest&#x20;home&#x20;folders&#x20;are&#x20;unneeded&#x20;after&#x20;the&#x20;Guest&#x20;account&#x20;is&#x20;disabled&#x20;and&#x20;could&#x20;be&#x20;used&#x20;inappropriately.','The&#x20;Guest&#x20;account&#x20;should&#x20;not&#x20;be&#x20;necessary&#x20;after&#x20;it&#x20;is&#x20;disabled,&#x20;and&#x20;it&#x20;will&#x20;be&#x20;automatically&#x20;re-created&#x20;if&#x20;the&#x20;Guest&#x20;account&#x20;is&#x20;re-enabled.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;Guest&#x20;user&#x20;home&#x20;folder:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/rm&#x20;-R&#x20;/Users/Guest.','[{\"cis\": [\"5.10\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\"]}, {\"iso_27001-2013\": [\"A.14.2.5\", \"A.8.1.3\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"11.5\", \"2.2\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"mitre_techniques\": [\"T1110\", \"T1003\", \"T1081\", \"T1097\", \"T1178\", \"T1072\", \"T1067\", \"T1495\", \"T1019\", \"T1177\", \"T1485\", \"T1486\", \"T1491\", \"T1488\", \"T1487\", \"T1490\", \"T1146\", \"T1148\", \"T1015\", \"T1133\", \"T1200\", \"T1076\", \"T1051\", \"T1176\", \"T1501\", \"T1087\", \"T1098\", \"T1139\", \"T1197\", \"T1092\", \"T1136\", \"T1011\", \"T1147\", \"T1130\", \"T1174\", \"T1053\", \"T1166\", \"T1206\", \"T1503\", \"T1214\", \"T1187\", \"T1208\", \"T1142\", \"T1075\", \"T1201\", \"T1145\", \"T1184\", \"T1537\", \"T1078\", \"T1077\", \"T1134\", \"T1017\", \"T1088\", \"T1175\", \"T1190\", \"T1210\", \"T1525\", \"T1215\", \"T1086\", \"T1055\", \"T1505\", \"T1035\", \"T1218\", \"T1169\", \"T1100\", \"T1047\", \"T1084\", \"T1028\", \"T1156\", \"T1196\", \"T1530\", \"T1089\", \"T1073\", \"T1157\", \"T1054\", \"T1070\", \"T1037\", \"T1036\", \"T1096\", \"T1034\", \"T1150\", \"T1504\", \"T1494\", \"T1489\", \"T1198\", \"T1165\", \"T1492\", \"T1080\", \"T1209\", \"T1112\", \"T1058\", \"T1173\", \"T1137\", \"T1539\", \"T1535\", \"T1506\", \"T1138\", \"T1044\", \"T1199\"]}]');
 
-INSERT INTO `tmodule_inventory` (`id_module_inventory`, `id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) VALUES (41,1,'Security','Hardening&#x20;plugin&#x20;for&#x20;security&#x20;compliance&#x20;analysis','','ID;STATUS','',0,2);
 
-INSERT INTO `tmodule_inventory` (`id_module_inventory`, `id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) VALUES (42,9,'Security','Hardening&#x20;plugin&#x20;for&#x20;security&#x20;compliance&#x20;analysis','','ID;STATUS','',0,2);
+SET @tmodule_name = 'CPU';
+SET @tmodule_description = 'CPU';
+SET @id_os = 2;
+
+INSERT INTO tmodule_inventory (`id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) 
+SELECT * FROM (SELECT @id_os id_os, @tmodule_name name, @tmodule_description description, '' interpreter, 'Brand;Clock;Model' data_format, '' code, '0' block_mode, 2 script_mode) AS tmp 
+WHERE NOT EXISTS (SELECT name, description FROM tmodule_inventory WHERE name = @tmodule_name and description = @tmodule_description and id_os = @id_os);
+
+SET @tmodule_name = 'RAM';
+SET @tmodule_description = 'RAM';
+SET @id_os = 2;
+
+INSERT INTO tmodule_inventory (`id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) 
+SELECT * FROM (SELECT @id_os id_os, @tmodule_name name, @tmodule_description description, '' interpreter, 'Size' data_format, '' code, '0' block_mode, 2 script_mode) AS tmp 
+WHERE NOT EXISTS (SELECT name, description FROM tmodule_inventory WHERE name = @tmodule_name and description = @tmodule_description and id_os = @id_os);
+
+SET @tmodule_name = 'NIC';
+SET @tmodule_description = 'NIC';
+SET @id_os = 2;
+
+INSERT INTO tmodule_inventory (`id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) 
+SELECT * FROM (SELECT @id_os id_os, @tmodule_name name, @tmodule_description description, '' interpreter, 'NIC;Mac;Speed' data_format, '' code, '0' block_mode, 2 script_mode) AS tmp 
+WHERE NOT EXISTS (SELECT name, description FROM tmodule_inventory WHERE name = @tmodule_name and description = @tmodule_description and id_os = @id_os);
+
+SET @tmodule_name = 'Software';
+SET @tmodule_description = 'Software';
+SET @id_os = 2;
+
+INSERT INTO tmodule_inventory (`id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) 
+SELECT * FROM (SELECT @id_os id_os, @tmodule_name name, @tmodule_description description, '' interpreter, 'PKGINST;VERSION;NAME' data_format, '' code, '0' block_mode, 2 script_mode) AS tmp 
+WHERE NOT EXISTS (SELECT name, description FROM tmodule_inventory WHERE name = @tmodule_name and description = @tmodule_description and id_os = @id_os);
+
+SET @tmodule_name = 'Security';
+SET @tmodule_description = 'Hardening&#x20;plugin&#x20;for&#x20;security&#x20;compliance&#x20;analysis';
+SET @id_os = 1;
+
+INSERT INTO tmodule_inventory (`id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`)
+SELECT * FROM (SELECT @id_os id_os, @tmodule_name name, @tmodule_description description, '' interpreter, 'ID:STATUS' data_format, '' code, '0' block_mode, 2 script_mode) AS tmp 
+WHERE NOT EXISTS (SELECT name, description FROM tmodule_inventory WHERE name = @tmodule_name and description = @tmodule_description and id_os = @id_os);
+
+SET @tmodule_name = 'Security';
+SET @tmodule_description = 'Hardening&#x20;plugin&#x20;for&#x20;security&#x20;compliance&#x20;analysis';
+SET @id_os = 9;
+
+INSERT INTO tmodule_inventory (`id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`)
+SELECT * FROM (SELECT @id_os id_os, @tmodule_name name, @tmodule_description description, '' interpreter, 'ID:STATUS' data_format, '' code, '0' block_mode, 2 script_mode) AS tmp 
+WHERE NOT EXISTS (SELECT name, description FROM tmodule_inventory WHERE name = @tmodule_name and description = @tmodule_description and id_os = @id_os);
 
 UPDATE tconfig
    SET value = ''

From a3ce979b39e71cf54b4524b06a4e795ab5e99aff Mon Sep 17 00:00:00 2001
From: Jonathan <jonathan.leon@pandorafms.com>
Date: Wed, 18 Oct 2023 09:13:00 +0200
Subject: [PATCH 2/3] Revert "#12256 remove id and check duplicate before
 insert"

This reverts commit 75b035261ff0f8fcec9e243742d1104732d70609.
---
 pandora_console/extras/mr/65.sql | 57 ++++++--------------------------
 1 file changed, 10 insertions(+), 47 deletions(-)

diff --git a/pandora_console/extras/mr/65.sql b/pandora_console/extras/mr/65.sql
index 451f4822ae..290c9a3972 100644
--- a/pandora_console/extras/mr/65.sql
+++ b/pandora_console/extras/mr/65.sql
@@ -78,6 +78,14 @@ ALTER TABLE `tmetaconsole_agent` ADD COLUMN `disabled_by_downtime` TINYINT NOT N
 
 DELETE FROM tconfig WHERE token = 'refr';
 
+INSERT INTO `tmodule_inventory` (`id_module_inventory`, `id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) VALUES (37,2,'CPU','CPU','','Brand;Clock;Model','',0,2);
+
+INSERT INTO `tmodule_inventory` (`id_module_inventory`, `id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) VALUES (38,2,'RAM','RAM','','Size','',0,2);
+
+INSERT INTO `tmodule_inventory` (`id_module_inventory`, `id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) VALUES (39,2,'NIC','NIC','','NIC;Mac;Speed','',0,2);
+
+INSERT INTO `tmodule_inventory` (`id_module_inventory`, `id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) VALUES (40,2,'Software','Software','','PKGINST;VERSION;NAME','',0,2);
+
 ALTER TABLE `treport_content`  ADD COLUMN `period_range` INT NULL DEFAULT 0 AFTER `period`;
 
 CREATE TABLE IF NOT EXISTS `tevent_comment` (
@@ -209,54 +217,9 @@ INSERT INTO `tsca` VALUES (26339,'Ensure&#x20;&#039;Do&#x20;not&#x20;allow&#x20;
 INSERT INTO `tsca` VALUES (28058,'Ensure&#x20;VSFTP&#x20;Server&#x20;is&#x20;not&#x20;installed.','FTP&#x20;&#40;File&#x20;Transfer&#x20;Protocol&#41;&#x20;is&#x20;a&#x20;traditional&#x20;and&#x20;widely&#x20;used&#x20;standard&#x20;tool&#x20;for&#x20;transferring&#x20;files&#x20;between&#x20;a&#x20;server&#x20;and&#x20;clients&#x20;over&#x20;a&#x20;network,&#x20;especially&#x20;where&#x20;no&#x20;authentication&#x20;is&#x20;necessary&#x20;&#40;permits&#x20;anonymous&#x20;users&#x20;to&#x20;connect&#x20;to&#x20;a&#x20;server&#41;.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;vsftpd:&#x20;#&#x20;dnf&#x20;remove&#x20;vsftpd.','[{\"cis\": [\"2.2.6\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28059,'Ensure&#x20;TFTP&#x20;Server&#x20;is&#x20;not&#x20;installed.','Trivial&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;TFTP&#41;&#x20;is&#x20;a&#x20;simple&#x20;protocol&#x20;for&#x20;exchanging&#x20;files&#x20;between&#x20;two&#x20;TCP/IP&#x20;machines.&#x20;TFTP&#x20;servers&#x20;allow&#x20;connections&#x20;from&#x20;a&#x20;TFTP&#x20;Client&#x20;for&#x20;sending&#x20;and&#x20;receiving&#x20;files.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;TFTP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.&#x20;TFTP&#x20;does&#x20;not&#x20;have&#x20;built-in&#x20;encryption,&#x20;access&#x20;control&#x20;or&#x20;authentication.&#x20;This&#x20;makes&#x20;it&#x20;very&#x20;easy&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;exploit&#x20;TFTP&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;files.','TFTP&#x20;is&#x20;often&#x20;used&#x20;to&#x20;provide&#x20;files&#x20;for&#x20;network&#x20;booting&#x20;such&#x20;as&#x20;for&#x20;PXE&#x20;based&#x20;installation&#x20;of&#x20;servers.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;tftp-server:&#x20;#&#x20;dnf&#x20;remove&#x20;tftp-server.','[{\"cis\": [\"2.2.7\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28060,'Ensure&#x20;a&#x20;web&#x20;server&#x20;is&#x20;not&#x20;installed.','Web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;packages&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.&#x20;Note:&#x20;Several&#x20;http&#x20;servers&#x20;exist.&#x20;They&#x20;should&#x20;also&#x20;be&#x20;audited,&#x20;and&#x20;removed,&#x20;if&#x20;not&#x20;required.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;httpd&#x20;and&#x20;nginx:&#x20;#&#x20;dnf&#x20;remove&#x20;httpd&#x20;nginx.','[{\"cis\": [\"2.2.8\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28061,'Ensure&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;is&#x20;not&#x20;installed.','dovecot&#x20;is&#x20;an&#x20;open&#x20;source&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;POP3&#x20;and/or&#x20;IMAP&#x20;servers&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;by&#x20;this&#x20;system,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.&#x20;Note:&#x20;Several&#x20;IMAP/POP3&#x20;servers&#x20;exist&#x20;and&#x20;can&#x20;use&#x20;other&#x20;service&#x20;names.&#x20;These&#x20;should&#x20;also&#x20;be&#x20;audited&#x20;and&#x20;the&#x20;packages&#x20;removed&#x20;if&#x20;not&#x20;required.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;dovecot&#x20;and&#x20;cyrus-imapd:&#x20;#&#x20;dnf&#x20;remove&#x20;dovecot&#x20;cyrus-imapd.','[{\"cis\": [\"2.2.9\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28062,'Ensure&#x20;Samba&#x20;is&#x20;not&#x20;installed.','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Server&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.&#x20;Windows&#x20;desktop&#x20;users&#x20;will&#x20;be&#x20;able&#x20;to&#x20;mount&#x20;these&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;as&#x20;letter&#x20;drives&#x20;on&#x20;their&#x20;systems.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;package&#x20;can&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;samba:&#x20;#&#x20;dnf&#x20;remove&#x20;samba.','[{\"cis\": [\"2.2.10\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1005\", \"T1039\", \"T1083\", \"T1135\", \"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28063,'Ensure&#x20;HTTP&#x20;Proxy&#x20;Server&#x20;is&#x20;not&#x20;installed.','Squid&#x20;is&#x20;a&#x20;standard&#x20;proxy&#x20;server&#x20;used&#x20;in&#x20;many&#x20;distributions&#x20;and&#x20;environments.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;set&#x20;up&#x20;to&#x20;act&#x20;as&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.&#x20;Note:&#x20;Several&#x20;HTTP&#x20;proxy&#x20;servers&#x20;exist.&#x20;These&#x20;should&#x20;be&#x20;checked&#x20;and&#x20;removed&#x20;unless&#x20;required.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;squid&#x20;package:&#x20;#&#x20;dnf&#x20;remove&#x20;squid.','[{\"cis\": [\"2.2.11\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28064,'Ensure&#x20;net-snmp&#x20;is&#x20;not&#x20;installed.','Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;is&#x20;a&#x20;widely&#x20;used&#x20;protocol&#x20;for&#x20;monitoring&#x20;the&#x20;health&#x20;and&#x20;welfare&#x20;of&#x20;network&#x20;equipment,&#x20;computer&#x20;equipment&#x20;and&#x20;devices&#x20;like&#x20;UPSs.&#x20;Net-SNMP&#x20;is&#x20;a&#x20;suite&#x20;of&#x20;applications&#x20;used&#x20;to&#x20;implement&#x20;SNMPv1&#x20;&#40;RFC&#x20;1157&#41;,&#x20;SNMPv2&#x20;&#40;RFCs&#x20;1901-1908&#41;,&#x20;and&#x20;SNMPv3&#x20;&#40;RFCs&#x20;3411-3418&#41;&#x20;using&#x20;both&#x20;IPv4&#x20;and&#x20;IPv6.&#x20;Support&#x20;for&#x20;SNMPv2&#x20;classic&#x20;&#40;a.k.a.&#x20;&quot;SNMPv2&#x20;historic&quot;&#x20;-&#x20;RFCs&#x20;1441-1452&#41;&#x20;was&#x20;dropped&#x20;with&#x20;the&#x20;4.0&#x20;release&#x20;of&#x20;the&#x20;UCD-snmp&#x20;package.&#x20;The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;can&#x20;communicate&#x20;using&#x20;SNMPv1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;SNMPv3&#x20;replaces&#x20;the&#x20;simple/clear&#x20;text&#x20;password&#x20;sharing&#x20;used&#x20;in&#x20;SNMPv2&#x20;with&#x20;more&#x20;securely&#x20;encoded&#x20;parameters.&#x20;If&#x20;the&#x20;the&#x20;SNMP&#x20;service&#x20;is&#x20;not&#x20;required,&#x20;the&#x20;net-snmp&#x20;package&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;Note:&#x20;If&#x20;SNMP&#x20;is&#x20;required:&#x20;-&#x20;The&#x20;server&#x20;should&#x20;be&#x20;configured&#x20;for&#x20;SNMP&#x20;v3&#x20;only.&#x20;User&#x20;Authentication&#x20;and&#x20;Message&#x20;Encryption&#x20;should&#x20;be&#x20;configured.&#x20;-&#x20;If&#x20;SNMP&#x20;v2&#x20;is&#x20;absolutely&#x20;necessary,&#x20;modify&#x20;the&#x20;community&#x20;strings&#039;&#x20;values.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;net-snmpd:&#x20;#&#x20;dnf&#x20;remove&#x20;net-snmp.','[{\"cis\": [\"2.2.12\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"2.6\", \"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.12.5.1\", \"A.12.6.2\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28065,'Ensure&#x20;telnet-server&#x20;is&#x20;not&#x20;installed.','The&#x20;telnet-server&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;daemon,&#x20;which&#x20;accepts&#x20;connections&#x20;from&#x20;users&#x20;from&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;a&#x20;user&#x20;with&#x20;access&#x20;to&#x20;sniff&#x20;network&#x20;traffic&#x20;the&#x20;ability&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;telnet-server&#x20;package:&#x20;#&#x20;dnf&#x20;remove&#x20;telnet-server.','[{\"cis\": [\"2.2.13\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"2.6\", \"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.12.5.1\", \"A.12.6.2\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28066,'Ensure&#x20;dnsmasq&#x20;is&#x20;not&#x20;installed.','dnsmasq&#x20;is&#x20;a&#x20;lightweight&#x20;tool&#x20;that&#x20;provides&#x20;DNS&#x20;caching,&#x20;DNS&#x20;forwarding&#x20;and&#x20;DHCP&#x20;&#40;Dynamic&#x20;Host&#x20;Configuration&#x20;Protocol&#41;&#x20;services.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;designated&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DNS&#x20;caching,&#x20;DNS&#x20;forwarding&#x20;and/or&#x20;DHCP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;dnsmasq:&#x20;#&#x20;dnf&#x20;remove&#x20;dnsmasq.','[{\"cis\": [\"2.2.14\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28067,'Ensure&#x20;mail&#x20;transfer&#x20;agent&#x20;is&#x20;configured&#x20;for&#x20;local-only&#x20;mode.','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','The&#x20;software&#x20;for&#x20;all&#x20;Mail&#x20;Transfer&#x20;Agents&#x20;is&#x20;complex&#x20;and&#x20;most&#x20;have&#x20;a&#x20;long&#x20;history&#x20;of&#x20;security&#x20;issues.&#x20;While&#x20;it&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;system&#x20;can&#x20;process&#x20;local&#x20;mail&#x20;messages,&#x20;it&#x20;is&#x20;not&#x20;necessary&#x20;to&#x20;have&#x20;the&#x20;MTA&#039;s&#x20;daemon&#x20;listening&#x20;on&#x20;a&#x20;port&#x20;unless&#x20;the&#x20;server&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server&#x20;that&#x20;receives&#x20;and&#x20;processes&#x20;mail&#x20;from&#x20;other&#x20;systems.&#x20;Note:&#x20;-&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;postfix&#x20;mail&#x20;server.&#x20;-&#x20;Depending&#x20;on&#x20;your&#x20;environment&#x20;you&#x20;may&#x20;have&#x20;an&#x20;alternative&#x20;MTA&#x20;installed&#x20;such&#x20;as&#x20;sendmail.&#x20;If&#x20;this&#x20;is&#x20;the&#x20;case&#x20;consult&#x20;the&#x20;documentation&#x20;for&#x20;your&#x20;installed&#x20;MTA&#x20;to&#x20;configure&#x20;the&#x20;recommended&#x20;state.','','Edit&#x20;/etc/postfix/main.cf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;RECEIVING&#x20;MAIL&#x20;section.&#x20;If&#x20;the&#x20;line&#x20;already&#x20;exists,&#x20;change&#x20;it&#x20;to&#x20;look&#x20;like&#x20;the&#x20;line&#x20;below:&#x20;inet_interfaces&#x20;=&#x20;loopback-only.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;postfix:&#x20;#&#x20;systemctl&#x20;restart&#x20;postfix.','[{\"cis\": [\"2.2.15\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1018\", \"T1210\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28068,'Ensure&#x20;nfs-utils&#x20;is&#x20;not&#x20;installed&#x20;or&#x20;the&#x20;nfs-server&#x20;service&#x20;is&#x20;masked.','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;require&#x20;network&#x20;shares,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;nfs-utils&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','Many&#x20;of&#x20;the&#x20;libvirt&#x20;packages&#x20;used&#x20;by&#x20;Enterprise&#x20;Linux&#x20;virtualization&#x20;are&#x20;dependent&#x20;on&#x20;the&#x20;nfs-utils&#x20;package.&#x20;If&#x20;the&#x20;nfs-utils&#x20;package&#x20;is&#x20;required&#x20;as&#x20;a&#x20;dependency,&#x20;the&#x20;nfs-server&#x20;service&#x20;should&#x20;be&#x20;disabled&#x20;and&#x20;masked&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nfs-utils:&#x20;#&#x20;dnf&#x20;remove&#x20;nfs-utils&#x20;OR&#x20;If&#x20;the&#x20;nfs-utils&#x20;package&#x20;is&#x20;required&#x20;as&#x20;a&#x20;dependency,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;the&#x20;nfs-server&#x20;service:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;nfs-server.','[{\"cis\": [\"2.2.16\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1005\", \"T1039\", \"T1083\", \"T1135\", \"T1210\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28069,'Ensure&#x20;rpcbind&#x20;is&#x20;not&#x20;installed&#x20;or&#x20;the&#x20;rpcbind&#x20;services&#x20;are&#x20;masked.','The&#x20;rpcbind&#x20;utility&#x20;maps&#x20;RPC&#x20;services&#x20;to&#x20;the&#x20;ports&#x20;on&#x20;which&#x20;they&#x20;listen.&#x20;RPC&#x20;processes&#x20;notify&#x20;rpcbind&#x20;when&#x20;they&#x20;start,&#x20;registering&#x20;the&#x20;ports&#x20;they&#x20;are&#x20;listening&#x20;on&#x20;and&#x20;the&#x20;RPC&#x20;program&#x20;numbers&#x20;they&#x20;expect&#x20;to&#x20;serve.&#x20;The&#x20;client&#x20;system&#x20;then&#x20;contacts&#x20;rpcbind&#x20;on&#x20;the&#x20;server&#x20;with&#x20;a&#x20;particular&#x20;RPC&#x20;program&#x20;number.&#x20;The&#x20;rpcbind&#x20;service&#x20;redirects&#x20;the&#x20;client&#x20;to&#x20;the&#x20;proper&#x20;port&#x20;number&#x20;so&#x20;it&#x20;can&#x20;communicate&#x20;with&#x20;the&#x20;requested&#x20;service.&#x20;Portmapper&#x20;is&#x20;an&#x20;RPC&#x20;service,&#x20;which&#x20;always&#x20;listens&#x20;on&#x20;tcp&#x20;and&#x20;udp&#x20;111,&#x20;and&#x20;is&#x20;used&#x20;to&#x20;map&#x20;other&#x20;RPC&#x20;services&#x20;&#40;such&#x20;as&#x20;nfs,&#x20;nlockmgr,&#x20;quotad,&#x20;mountd,&#x20;etc.&#41;&#x20;to&#x20;their&#x20;corresponding&#x20;port&#x20;number&#x20;on&#x20;the&#x20;server.&#x20;When&#x20;a&#x20;remote&#x20;host&#x20;makes&#x20;an&#x20;RPC&#x20;call&#x20;to&#x20;that&#x20;server,&#x20;it&#x20;first&#x20;consults&#x20;with&#x20;portmap&#x20;to&#x20;determine&#x20;where&#x20;the&#x20;RPC&#x20;server&#x20;is&#x20;listening.','A&#x20;small&#x20;request&#x20;&#40;~82&#x20;bytes&#x20;via&#x20;UDP&#41;&#x20;sent&#x20;to&#x20;the&#x20;Portmapper&#x20;generates&#x20;a&#x20;large&#x20;response&#x20;&#40;7x&#x20;to&#x20;28x&#x20;amplification&#41;,&#x20;which&#x20;makes&#x20;it&#x20;a&#x20;suitable&#x20;tool&#x20;for&#x20;DDoS&#x20;attacks.&#x20;If&#x20;rpcbind&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;rpcbind&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','Many&#x20;of&#x20;the&#x20;libvirt&#x20;packages&#x20;used&#x20;by&#x20;Enterprise&#x20;Linux&#x20;virtualization,&#x20;and&#x20;the&#x20;nfs-utils&#x20;package&#x20;used&#x20;for&#x20;The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;,&#x20;are&#x20;dependent&#x20;on&#x20;the&#x20;rpcbind&#x20;package.&#x20;If&#x20;the&#x20;rpcbind&#x20;package&#x20;is&#x20;required&#x20;as&#x20;a&#x20;dependency,&#x20;the&#x20;services&#x20;rpcbind.service&#x20;and&#x20;rpcbind.socket&#x20;should&#x20;be&#x20;stopped&#x20;and&#x20;masked&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;rpcbind:&#x20;#&#x20;dnf&#x20;remove&#x20;rpcbind&#x20;OR&#x20;If&#x20;the&#x20;rpcbind&#x20;package&#x20;is&#x20;required&#x20;as&#x20;a&#x20;dependency,&#x20;run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;the&#x20;rpcbind.service&#x20;and&#x20;rpcbind.socket&#x20;systemd&#x20;units:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;rpcbind.service&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;rpcbind.socket.','[{\"cis\": [\"2.2.17\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1498\", \"T1498.002\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28070,'Ensure&#x20;rsync-daemon&#x20;is&#x20;not&#x20;installed&#x20;or&#x20;the&#x20;rsyncd&#x20;service&#x20;is&#x20;masked.','The&#x20;rsyncd&#x20;service&#x20;can&#x20;be&#x20;used&#x20;to&#x20;synchronize&#x20;files&#x20;between&#x20;systems&#x20;over&#x20;network&#x20;links.','Unless&#x20;required,&#x20;the&#x20;rsync-daemon&#x20;package&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;area&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;rsyncd&#x20;service&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.&#x20;Note:&#x20;If&#x20;a&#x20;required&#x20;dependency&#x20;exists&#x20;for&#x20;the&#x20;rsync-daemon&#x20;package,&#x20;but&#x20;the&#x20;rsyncd&#x20;service&#x20;is&#x20;not&#x20;required,&#x20;the&#x20;service&#x20;should&#x20;be&#x20;masked.','There&#x20;are&#x20;packages&#x20;that&#x20;are&#x20;dependent&#x20;on&#x20;the&#x20;rsync&#x20;package.&#x20;If&#x20;the&#x20;rsync&#x20;package&#x20;is&#x20;removed,&#x20;these&#x20;packages&#x20;will&#x20;be&#x20;removed&#x20;as&#x20;well.&#x20;Before&#x20;removing&#x20;the&#x20;rsync-daemon&#x20;package,&#x20;review&#x20;any&#x20;dependent&#x20;packages&#x20;to&#x20;determine&#x20;if&#x20;they&#x20;are&#x20;required&#x20;on&#x20;the&#x20;system.&#x20;If&#x20;a&#x20;dependent&#x20;package&#x20;is&#x20;required,&#x20;mask&#x20;the&#x20;rsyncd&#x20;service&#x20;and&#x20;leave&#x20;the&#x20;rsync-daemon&#x20;package&#x20;installed.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;rsync&#x20;package:&#x20;#&#x20;dnf&#x20;remove&#x20;rsync-daemon&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;mask&#x20;the&#x20;rsyncd&#x20;service:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;rsyncd.','[{\"cis\": [\"2.2.18\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1105\", \"T1203\", \"T1210\", \"T1543\", \"T1543.002\", \"T1570\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28071,'Ensure&#x20;telnet&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;telnet&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;client,&#x20;which&#x20;allows&#x20;users&#x20;to&#x20;start&#x20;connections&#x20;to&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security&#x20;and&#x20;is&#x20;included&#x20;in&#x20;most&#x20;Linux&#x20;distributions.','Many&#x20;insecure&#x20;service&#x20;clients&#x20;are&#x20;used&#x20;as&#x20;troubleshooting&#x20;tools&#x20;and&#x20;in&#x20;testing&#x20;environments.&#x20;Uninstalling&#x20;them&#x20;can&#x20;inhibit&#x20;capability&#x20;to&#x20;test&#x20;and&#x20;troubleshoot.&#x20;If&#x20;they&#x20;are&#x20;required&#x20;it&#x20;is&#x20;advisable&#x20;to&#x20;remove&#x20;the&#x20;clients&#x20;after&#x20;use&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;intentional&#x20;misuse.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;telnet&#x20;package:&#x20;#&#x20;dnf&#x20;remove&#x20;telnet.','[{\"cis\": [\"2.3.1\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"2.6\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.12.5.1\", \"A.12.6.2\"]}, {\"mitre_techniques\": [\"T1040\", \"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0006\", \"TA0008\"]}, {\"mitre_mitigations\": [\"M1041\", \"M1042\"]}]'),(28072,'Ensure&#x20;LDAP&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','Removing&#x20;the&#x20;LDAP&#x20;client&#x20;will&#x20;prevent&#x20;or&#x20;inhibit&#x20;using&#x20;LDAP&#x20;for&#x20;authentication&#x20;in&#x20;your&#x20;environment.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;openldap-clients&#x20;package:&#x20;#&#x20;dnf&#x20;remove&#x20;openldap-clients.','[{\"cis\": [\"2.3.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"2.6\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.12.5.1\", \"A.12.6.2\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28073,'Ensure&#x20;TFTP&#x20;client&#x20;is&#x20;not&#x20;installed.','Trivial&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;TFTP&#41;&#x20;is&#x20;a&#x20;simple&#x20;protocol&#x20;for&#x20;exchanging&#x20;files&#x20;between&#x20;two&#x20;TCP/IP&#x20;machines.&#x20;TFTP&#x20;servers&#x20;allow&#x20;connections&#x20;from&#x20;a&#x20;TFTP&#x20;Client&#x20;for&#x20;sending&#x20;and&#x20;receiving&#x20;files.','TFTP&#x20;does&#x20;not&#x20;have&#x20;built-in&#x20;encryption,&#x20;access&#x20;control&#x20;or&#x20;authentication.&#x20;This&#x20;makes&#x20;it&#x20;very&#x20;easy&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;exploit&#x20;TFTP&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;files.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;tftp:&#x20;#&#x20;dnf&#x20;remove&#x20;tftp.','[{\"cis\": [\"2.3.3\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28074,'Ensure&#x20;FTP&#x20;client&#x20;is&#x20;not&#x20;installed.','FTP&#x20;&#40;File&#x20;Transfer&#x20;Protocol&#41;&#x20;is&#x20;a&#x20;traditional&#x20;and&#x20;widely&#x20;used&#x20;standard&#x20;tool&#x20;for&#x20;transferring&#x20;files&#x20;between&#x20;a&#x20;server&#x20;and&#x20;clients&#x20;over&#x20;a&#x20;network,&#x20;especially&#x20;where&#x20;no&#x20;authentication&#x20;is&#x20;necessary&#x20;&#40;permits&#x20;anonymous&#x20;users&#x20;to&#x20;connect&#x20;to&#x20;a&#x20;server&#41;.','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;SFTP&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ftp:&#x20;#&#x20;dnf&#x20;remove&#x20;ftp.','[{\"cis\": [\"2.3.4\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28075,'Ensure&#x20;nftables&#x20;is&#x20;installed.','nftables&#x20;provides&#x20;a&#x20;new&#x20;in-kernel&#x20;packet&#x20;classification&#x20;framework&#x20;that&#x20;is&#x20;based&#x20;on&#x20;a&#x20;network-specific&#x20;Virtual&#x20;Machine&#x20;&#40;VM&#41;&#x20;and&#x20;a&#x20;new&#x20;nft&#x20;userspace&#x20;command&#x20;line&#x20;tool.&#x20;nftables&#x20;reuses&#x20;the&#x20;existing&#x20;Netfilter&#x20;subsystems&#x20;such&#x20;as&#x20;the&#x20;existing&#x20;hook&#x20;infrastructure,&#x20;the&#x20;connection&#x20;tracking&#x20;system,&#x20;NAT,&#x20;userspace&#x20;queuing&#x20;and&#x20;logging&#x20;subsystem.','nftables&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;Linux&#x20;kernel&#x20;that&#x20;can&#x20;protect&#x20;against&#x20;threats&#x20;originating&#x20;from&#x20;within&#x20;a&#x20;corporate&#x20;network&#x20;to&#x20;include&#x20;malicious&#x20;mobile&#x20;code&#x20;and&#x20;poorly&#x20;configured&#x20;software&#x20;on&#x20;a&#x20;host.','Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;the&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;nftables&#x20;#&#x20;dnf&#x20;install&#x20;nftables.','[{\"cis\": [\"3.4.1.1\"]}, {\"cis_csc_v8\": [\"4.4\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"nist_sp_800-53\": [\"CA-9\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(28076,'Ensure&#x20;at&#x20;least&#x20;one&#x20;nftables&#x20;table&#x20;exists.','Tables&#x20;hold&#x20;chains.&#x20;Each&#x20;table&#x20;only&#x20;has&#x20;one&#x20;address&#x20;family&#x20;and&#x20;only&#x20;applies&#x20;to&#x20;packets&#x20;of&#x20;this&#x20;family.&#x20;Tables&#x20;can&#x20;have&#x20;one&#x20;of&#x20;five&#x20;families.','Without&#x20;a&#x20;table,&#x20;nftables&#x20;will&#x20;not&#x20;filter&#x20;network&#x20;traffic.','Adding&#x20;or&#x20;modifying&#x20;firewall&#x20;rules&#x20;can&#x20;cause&#x20;loss&#x20;of&#x20;connectivity&#x20;to&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;a&#x20;table&#x20;in&#x20;nftables&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;Example&#x20;if&#x20;FirewallD&#x20;is&#x20;not&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system:&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;filter&#x20;Note:&#x20;FirewallD&#x20;uses&#x20;the&#x20;table&#x20;inet&#x20;firewalld&#x20;NFTables&#x20;table&#x20;that&#x20;is&#x20;created&#x20;when&#x20;FirewallD&#x20;is&#x20;installed.','[{\"cis\": [\"3.4.2.2\"]}, {\"cis_csc_v8\": [\"4.4\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"nist_sp_800-53\": [\"CA-9\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}]'),(28077,'Ensure&#x20;nftables&#x20;base&#x20;chains&#x20;exist.','Chains&#x20;are&#x20;containers&#x20;for&#x20;rules.&#x20;They&#x20;exist&#x20;in&#x20;two&#x20;kinds,&#x20;base&#x20;chains&#x20;and&#x20;regular&#x20;chains.&#x20;A&#x20;base&#x20;chain&#x20;is&#x20;an&#x20;entry&#x20;point&#x20;for&#x20;packets&#x20;from&#x20;the&#x20;networking&#x20;stack,&#x20;a&#x20;regular&#x20;chain&#x20;may&#x20;be&#x20;used&#x20;as&#x20;jump&#x20;target&#x20;and&#x20;is&#x20;used&#x20;for&#x20;better&#x20;rule&#x20;organization.','If&#x20;a&#x20;base&#x20;chain&#x20;doesn&#039;t&#x20;exist&#x20;with&#x20;a&#x20;hook&#x20;for&#x20;input,&#x20;forward,&#x20;and&#x20;delete,&#x20;packets&#x20;that&#x20;would&#x20;flow&#x20;through&#x20;those&#x20;chains&#x20;will&#x20;not&#x20;be&#x20;touched&#x20;by&#x20;nftables.','If&#x20;configuring&#x20;over&#x20;ssh,&#x20;creating&#x20;a&#x20;base&#x20;chain&#x20;with&#x20;a&#x20;policy&#x20;of&#x20;drop&#x20;will&#x20;cause&#x20;loss&#x20;of&#x20;connectivity.&#x20;Ensure&#x20;that&#x20;a&#x20;rule&#x20;allowing&#x20;ssh&#x20;has&#x20;been&#x20;added&#x20;to&#x20;the&#x20;base&#x20;chain&#x20;prior&#x20;to&#x20;setting&#x20;the&#x20;base&#x20;chain&#039;s&#x20;policy&#x20;to&#x20;drop.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;the&#x20;base&#x20;chains:&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;&lt;base&#x20;chain&#x20;name&gt;&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;&lt;&#40;input|forward|output&#41;&gt;&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;Example:&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;input&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;input&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;forward&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;forward&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;output&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;output&#x20;priority&#x20;0&#x20;;&#x20;}.','[{\"cis\": [\"3.4.2.3\"]}, {\"cis_csc_v8\": [\"4.4\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"nist_sp_800-53\": [\"CA-9\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}]'),(28078,'Ensure&#x20;nftables&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','Base&#x20;chain&#x20;policy&#x20;is&#x20;the&#x20;default&#x20;verdict&#x20;that&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;packets&#x20;reaching&#x20;the&#x20;end&#x20;of&#x20;the&#x20;chain.','There&#x20;are&#x20;two&#x20;policies:&#x20;accept&#x20;&#40;Default&#41;&#x20;and&#x20;drop.&#x20;If&#x20;the&#x20;policy&#x20;is&#x20;set&#x20;to&#x20;accept,&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied&#x20;and&#x20;the&#x20;packet&#x20;will&#x20;continue&#x20;traversing&#x20;the&#x20;network&#x20;stack.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;explicitly&#x20;permit&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;deny&#x20;unacceptable&#x20;usage.&#x20;Note:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;the&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.','If&#x20;configuring&#x20;nftables&#x20;over&#x20;ssh,&#x20;creating&#x20;a&#x20;base&#x20;chain&#x20;with&#x20;a&#x20;policy&#x20;of&#x20;drop&#x20;will&#x20;cause&#x20;loss&#x20;of&#x20;connectivity.&#x20;Ensure&#x20;that&#x20;a&#x20;rule&#x20;allowing&#x20;ssh&#x20;has&#x20;been&#x20;added&#x20;to&#x20;the&#x20;base&#x20;chain&#x20;prior&#x20;to&#x20;setting&#x20;the&#x20;base&#x20;chain&#039;s&#x20;policy&#x20;to&#x20;drop.','If&#x20;NFTables&#x20;utility&#x20;is&#x20;in&#x20;use&#x20;on&#x20;your&#x20;system:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;for&#x20;the&#x20;base&#x20;chains&#x20;with&#x20;the&#x20;input,&#x20;forward,&#x20;and&#x20;output&#x20;hooks&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;nft&#x20;chain&#x20;&lt;table&#x20;family&gt;&#x20;&lt;table&#x20;name&gt;&#x20;&lt;chain&#x20;name&gt;&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;Example:&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;input&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;forward&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}.','[{\"cis\": [\"3.4.2.7\"]}, {\"cis_csc_v8\": [\"4.4\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"nist_sp_800-53\": [\"CA-9\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}]'),(28079,'Ensure&#x20;auditd&#x20;is&#x20;installed.','auditd&#x20;is&#x20;the&#x20;userspace&#x20;component&#x20;to&#x20;the&#x20;Linux&#x20;Auditing&#x20;System.&#x20;It&#039;s&#x20;responsible&#x20;for&#x20;writing&#x20;audit&#x20;records&#x20;to&#x20;the&#x20;disk.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;Install&#x20;auditd:&#x20;#&#x20;dnf&#x20;install&#x20;audit.','[{\"cis\": [\"4.1.1.1\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.5\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"nist_sp_800-53\": [\"AU-2\", \"AU-3\", \"AU-3(1)\", \"AU-12\", \"SI-5\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\", \"9.4.5\", \"10.2\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28080,'Ensure&#x20;auditing&#x20;for&#x20;processes&#x20;that&#x20;start&#x20;prior&#x20;to&#x20;auditd&#x20;is&#x20;enabled.','Configure&#x20;grub2&#x20;so&#x20;that&#x20;processes&#x20;that&#x20;are&#x20;capable&#x20;of&#x20;being&#x20;audited&#x20;can&#x20;be&#x20;audited&#x20;even&#x20;if&#x20;they&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;startup.','Audit&#x20;events&#x20;need&#x20;to&#x20;be&#x20;captured&#x20;on&#x20;processes&#x20;that&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd,&#x20;so&#x20;that&#x20;potential&#x20;malicious&#x20;activity&#x20;cannot&#x20;go&#x20;undetected.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration&#x20;with&#x20;audit=1:&#x20;#&#x20;grubby&#x20;--update-kernel&#x20;ALL&#x20;--args&#x20;&#039;audit=1&#039;.','[{\"cis\": [\"4.1.1.2\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28081,'Ensure&#x20;audit_backlog_limit&#x20;is&#x20;sufficient.','The&#x20;backlog&#x20;limit&#x20;has&#x20;a&#x20;default&#x20;setting&#x20;of&#x20;64.','During&#x20;boot&#x20;if&#x20;audit=1,&#x20;then&#x20;the&#x20;backlog&#x20;will&#x20;hold&#x20;64&#x20;records.&#x20;If&#x20;more&#x20;that&#x20;64&#x20;records&#x20;are&#x20;created&#x20;during&#x20;boot,&#x20;auditd&#x20;records&#x20;will&#x20;be&#x20;lost&#x20;and&#x20;potential&#x20;malicious&#x20;activity&#x20;could&#x20;go&#x20;undetected.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;add&#x20;audit_backlog_limit=&lt;BACKLOG&#x20;SIZE&gt;&#x20;to&#x20;GRUB_CMDLINE_LINUX:&#x20;#&#x20;grubby&#x20;--update-kernel&#x20;ALL&#x20;--args&#x20;&#039;audit_backlog_limit=&lt;BACKLOG&#x20;SIZE&gt;&#039;&#x20;Example:&#x20;#&#x20;grubby&#x20;--update-kernel&#x20;ALL&#x20;--args&#x20;&#039;audit_backlog_limit=8192&#039;.','[{\"cis\": [\"4.1.1.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"nist_sp_800-53\": [\"AU-2\", \"AU-12\", \"SI-5\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28082,'Ensure&#x20;auditd&#x20;service&#x20;is&#x20;enabled.','Turn&#x20;on&#x20;the&#x20;auditd&#x20;daemon&#x20;to&#x20;record&#x20;system&#x20;events.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;auditd:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;auditd.','[{\"cis\": [\"4.1.1.4\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"nist_sp_800-53\": [\"AU-2\", \"AU-12\", \"SI-5\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28083,'Ensure&#x20;audit&#x20;log&#x20;storage&#x20;size&#x20;is&#x20;configured.','Configure&#x20;the&#x20;maximum&#x20;size&#x20;of&#x20;the&#x20;audit&#x20;log&#x20;file.&#x20;Once&#x20;the&#x20;log&#x20;reaches&#x20;the&#x20;maximum&#x20;size,&#x20;it&#x20;will&#x20;be&#x20;rotated&#x20;and&#x20;a&#x20;new&#x20;log&#x20;file&#x20;will&#x20;be&#x20;started.','It&#x20;is&#x20;important&#x20;that&#x20;an&#x20;appropriate&#x20;size&#x20;is&#x20;determined&#x20;for&#x20;log&#x20;files&#x20;so&#x20;that&#x20;they&#x20;do&#x20;not&#x20;impact&#x20;the&#x20;system&#x20;and&#x20;audit&#x20;data&#x20;is&#x20;not&#x20;lost.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy:&#x20;max_log_file&#x20;=&#x20;&lt;MB&gt;.','[{\"cis\": [\"4.1.2.1\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"nist_sp_800-53\": [\"AU-8\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"pci_dss_3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1053\"]}]'),(28084,'Ensure&#x20;audit&#x20;logs&#x20;are&#x20;not&#x20;automatically&#x20;deleted.','The&#x20;max_log_file_action&#x20;setting&#x20;determines&#x20;how&#x20;to&#x20;handle&#x20;the&#x20;audit&#x20;log&#x20;file&#x20;reaching&#x20;the&#x20;max&#x20;file&#x20;size.&#x20;A&#x20;value&#x20;of&#x20;keep_logs&#x20;will&#x20;rotate&#x20;the&#x20;logs&#x20;but&#x20;never&#x20;delete&#x20;old&#x20;logs.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;benefits&#x20;of&#x20;maintaining&#x20;a&#x20;long&#x20;audit&#x20;history&#x20;exceed&#x20;the&#x20;cost&#x20;of&#x20;storing&#x20;the&#x20;audit&#x20;history.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;max_log_file_action&#x20;=&#x20;keep_logs.','[{\"cis\": [\"4.1.2.2\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"nist_sp_800-53\": [\"AU-8\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"pci_dss_3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28085,'Ensure&#x20;system&#x20;is&#x20;disabled&#x20;when&#x20;audit&#x20;logs&#x20;are&#x20;full.','The&#x20;auditd&#x20;daemon&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;halt&#x20;the&#x20;system&#x20;when&#x20;the&#x20;audit&#x20;logs&#x20;are&#x20;full.&#x20;The&#x20;admin_space_left_action&#x20;parameter&#x20;tells&#x20;the&#x20;system&#x20;what&#x20;action&#x20;to&#x20;take&#x20;when&#x20;the&#x20;system&#x20;has&#x20;detected&#x20;that&#x20;it&#x20;is&#x20;low&#x20;on&#x20;disk&#x20;space.&#x20;Valid&#x20;values&#x20;are&#x20;ignore,&#x20;syslog,&#x20;suspend,&#x20;single,&#x20;and&#x20;halt.&#x20;-&#x20;ignore,&#x20;the&#x20;audit&#x20;daemon&#x20;does&#x20;nothing&#x20;-&#x20;Syslog,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;issue&#x20;a&#x20;warning&#x20;to&#x20;syslog&#x20;-&#x20;Suspend,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;stop&#x20;writing&#x20;records&#x20;to&#x20;the&#x20;disk&#x20;-&#x20;single,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;put&#x20;the&#x20;computer&#x20;system&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;-&#x20;halt,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;shutdown&#x20;the&#x20;system.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;risk&#x20;of&#x20;detecting&#x20;unauthorized&#x20;access&#x20;or&#x20;nonrepudiation&#x20;exceeds&#x20;the&#x20;benefit&#x20;of&#x20;the&#x20;system&#039;s&#x20;availability.','If&#x20;the&#x20;admin_space_left_action&#x20;parameter&#x20;is&#x20;set&#x20;to&#x20;halt&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;shutdown&#x20;the&#x20;system&#x20;when&#x20;the&#x20;disk&#x20;partition&#x20;containing&#x20;the&#x20;audit&#x20;logs&#x20;becomes&#x20;full.','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;space_left_action&#x20;=&#x20;email&#x20;action_mail_acct&#x20;=&#x20;root.&#x20;set&#x20;admin_space_left_action&#x20;to&#x20;either&#x20;halt&#x20;or&#x20;single&#x20;in&#x20;/etc/audit/auditd.conf.&#x20;Example:&#x20;admin_space_left_action&#x20;=&#x20;halt.','[{\"cis\": [\"4.1.2.3\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.3\"]}, {\"nist_sp_800-53\": [\"AU-2\", \"AU-8\", \"AU-12\", \"SI-5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\", \"10.7\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"soc_2\": [\"A1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28086,'Ensure&#x20;changes&#x20;to&#x20;system&#x20;administration&#x20;scope&#x20;&#40;sudoers&#41;&#x20;is&#x20;collected.','Monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrators.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;force&#x20;system&#x20;administrators&#x20;to&#x20;log&#x20;in&#x20;as&#x20;themselves&#x20;first&#x20;and&#x20;then&#x20;use&#x20;the&#x20;sudo&#x20;command&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;it&#x20;is&#x20;possible&#x20;to&#x20;monitor&#x20;changes&#x20;in&#x20;scope.&#x20;The&#x20;file&#x20;/etc/sudoers,&#x20;or&#x20;files&#x20;in&#x20;/etc/sudoers.d,&#x20;will&#x20;be&#x20;written&#x20;to&#x20;when&#x20;the&#x20;file&#40;s&#41;&#x20;or&#x20;related&#x20;attributes&#x20;have&#x20;changed.&#x20;The&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;scope&quot;.','Changes&#x20;in&#x20;the&#x20;/etc/sudoers&#x20;and&#x20;/etc/sudoers.d&#x20;files&#x20;can&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;change&#x20;has&#x20;been&#x20;made&#x20;to&#x20;the&#x20;scope&#x20;of&#x20;system&#x20;administrator&#x20;activity.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrators.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/etc/sudoers&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;-w&#x20;/etc/sudoers.d&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-scope.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.1\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"4.8\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1047\"]}]'),(28087,'Ensure&#x20;the&#x20;audit&#x20;configuration&#x20;is&#x20;immutable.','Set&#x20;system&#x20;audit&#x20;so&#x20;that&#x20;audit&#x20;rules&#x20;cannot&#x20;be&#x20;modified&#x20;with&#x20;auditctl.&#x20;Setting&#x20;the&#x20;flag&#x20;&quot;-e&#x20;2&quot;&#x20;forces&#x20;audit&#x20;to&#x20;be&#x20;put&#x20;in&#x20;immutable&#x20;mode.&#x20;Audit&#x20;changes&#x20;can&#x20;only&#x20;be&#x20;made&#x20;on&#x20;system&#x20;reboot.&#x20;Note:&#x20;This&#x20;setting&#x20;will&#x20;require&#x20;the&#x20;system&#x20;to&#x20;be&#x20;rebooted&#x20;to&#x20;update&#x20;the&#x20;active&#x20;auditd&#x20;configuration&#x20;settings.','In&#x20;immutable&#x20;mode,&#x20;unauthorized&#x20;users&#x20;cannot&#x20;execute&#x20;changes&#x20;to&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;potentially&#x20;hide&#x20;malicious&#x20;activity&#x20;and&#x20;then&#x20;put&#x20;the&#x20;audit&#x20;rules&#x20;back.&#x20;Users&#x20;would&#x20;most&#x20;likely&#x20;notice&#x20;a&#x20;system&#x20;reboot&#x20;and&#x20;that&#x20;could&#x20;alert&#x20;administrators&#x20;of&#x20;an&#x20;attempt&#x20;to&#x20;make&#x20;unauthorized&#x20;audit&#x20;changes.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/audit/rules.d/99-finalize.rules&#x20;and&#x20;add&#x20;the&#x20;line&#x20;-e&#x20;2&#x20;at&#x20;the&#x20;end&#x20;of&#x20;the&#x20;file:&#x20;Example:&#x20;#&#x20;printf&#x20;--&#x20;&quot;-e&#x20;2&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/99-finalize.rules&#x20;Load&#x20;audit&#x20;rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.20\"]}, {\"cis_csc_v8\": [\"3.3\", \"8.5\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"AU-3\", \"AU-3(1)\", \"MP-2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\", \"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\", \"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\", \"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\", \"CC7.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28088,'Ensure&#x20;the&#x20;running&#x20;and&#x20;on&#x20;disk&#x20;configuration&#x20;is&#x20;the&#x20;same.','The&#x20;Audit&#x20;system&#x20;have&#x20;both&#x20;on&#x20;disk&#x20;and&#x20;running&#x20;configuration.&#x20;It&#x20;is&#x20;possible&#x20;for&#x20;these&#x20;configuration&#x20;settings&#x20;to&#x20;differ.&#x20;Note:&#x20;Due&#x20;to&#x20;the&#x20;limitations&#x20;of&#x20;augenrules&#x20;and&#x20;auditctl,&#x20;it&#x20;is&#x20;not&#x20;absolutely&#x20;guaranteed&#x20;that&#x20;loading&#x20;the&#x20;rule&#x20;sets&#x20;via&#x20;augenrules&#x20;--load&#x20;will&#x20;result&#x20;in&#x20;all&#x20;rules&#x20;being&#x20;loaded&#x20;or&#x20;even&#x20;that&#x20;the&#x20;user&#x20;will&#x20;be&#x20;informed&#x20;if&#x20;there&#x20;was&#x20;a&#x20;problem&#x20;loading&#x20;the&#x20;rules.','Configuration&#x20;differences&#x20;between&#x20;what&#x20;is&#x20;currently&#x20;running&#x20;and&#x20;what&#x20;is&#x20;on&#x20;disk&#x20;could&#x20;cause&#x20;unexpected&#x20;problems&#x20;or&#x20;may&#x20;give&#x20;a&#x20;false&#x20;impression&#x20;of&#x20;compliance&#x20;requirements.','','If&#x20;the&#x20;rules&#x20;are&#x20;not&#x20;aligned&#x20;across&#x20;all&#x20;three&#x20;&#40;&#41;&#x20;areas,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;merge&#x20;and&#x20;load&#x20;all&#x20;rules:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;echo&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.21\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"6.3\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28089,'Ensure&#x20;audit&#x20;tools&#x20;are&#x20;755&#x20;or&#x20;more&#x20;restrictive.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;audit&#x20;information&#x20;includes&#x20;identifying&#x20;and&#x20;protecting&#x20;the&#x20;tools&#x20;used&#x20;to&#x20;view&#x20;and&#x20;manipulate&#x20;log&#x20;data.&#x20;Protecting&#x20;audit&#x20;tools&#x20;is&#x20;necessary&#x20;to&#x20;prevent&#x20;unauthorized&#x20;operation&#x20;on&#x20;audit&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;more&#x20;permissive&#x20;mode&#x20;from&#x20;the&#x20;audit&#x20;tools:&#x20;#&#x20;chmod&#x20;go-w&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules.','[{\"cis\": [\"4.1.4.8\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(28090,'Ensure&#x20;audit&#x20;tools&#x20;are&#x20;owned&#x20;by&#x20;root.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;audit&#x20;information&#x20;includes&#x20;identifying&#x20;and&#x20;protecting&#x20;the&#x20;tools&#x20;used&#x20;to&#x20;view&#x20;and&#x20;manipulate&#x20;log&#x20;data.&#x20;Protecting&#x20;audit&#x20;tools&#x20;is&#x20;necessary&#x20;to&#x20;prevent&#x20;unauthorized&#x20;operation&#x20;on&#x20;audit&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;the&#x20;owner&#x20;of&#x20;the&#x20;audit&#x20;tools&#x20;to&#x20;the&#x20;root&#x20;user:&#x20;#&#x20;chown&#x20;root&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules.','[{\"cis\": [\"4.1.4.9\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(28091,'Ensure&#x20;audit&#x20;tools&#x20;belong&#x20;to&#x20;group&#x20;root.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;audit&#x20;information&#x20;includes&#x20;identifying&#x20;and&#x20;protecting&#x20;the&#x20;tools&#x20;used&#x20;to&#x20;view&#x20;and&#x20;manipulate&#x20;log&#x20;data.&#x20;Protecting&#x20;audit&#x20;tools&#x20;is&#x20;necessary&#x20;to&#x20;prevent&#x20;unauthorized&#x20;operation&#x20;on&#x20;audit&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;more&#x20;permissive&#x20;mode&#x20;from&#x20;the&#x20;audit&#x20;tools:&#x20;#&#x20;chmod&#x20;go-w&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;audit&#x20;tools&#x20;to&#x20;root&#x20;user&#x20;and&#x20;group:&#x20;#&#x20;chown&#x20;root:root&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules.','[{\"cis\": [\"4.1.4.10\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(28092,'Ensure&#x20;rsyslog&#x20;is&#x20;installed.','The&#x20;rsyslog&#x20;software&#x20;is&#x20;recommended&#x20;in&#x20;environments&#x20;where&#x20;journald&#x20;does&#x20;not&#x20;meet&#x20;operation&#x20;requirements.','The&#x20;security&#x20;enhancements&#x20;of&#x20;rsyslog&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server&#41;&#x20;justify&#x20;installing&#x20;and&#x20;configuring&#x20;the&#x20;package.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;rsyslog:&#x20;#&#x20;dnf&#x20;install&#x20;rsyslog.','[{\"cis\": [\"4.2.1.1\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"nist_sp_800-53\": [\"AU-2\", \"AU-12\", \"SI-5\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"mitre_techniques\": [\"T1005\", \"T1070\", \"T1070.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28093,'Ensure&#x20;rsyslog&#x20;service&#x20;is&#x20;enabled.','Once&#x20;the&#x20;rsyslog&#x20;package&#x20;is&#x20;installed,&#x20;ensure&#x20;that&#x20;the&#x20;service&#x20;is&#x20;enabled.','If&#x20;the&#x20;rsyslog&#x20;service&#x20;is&#x20;not&#x20;enabled&#x20;to&#x20;start&#x20;on&#x20;boot,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;capture&#x20;logging&#x20;events.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;rsyslog:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;rsyslog.','[{\"cis\": [\"4.2.1.2\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"nist_sp_800-53\": [\"AU-2\", \"AU-12\", \"SI-5\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1211\", \"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28094,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;rsyslog.','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Utilities&#x20;exist&#x20;to&#x20;accept&#x20;remote&#x20;export&#x20;of&#x20;journald&#x20;logs,&#x20;however,&#x20;use&#x20;of&#x20;the&#x20;RSyslog&#x20;service&#x20;provides&#x20;a&#x20;consistent&#x20;means&#x20;of&#x20;log&#x20;collection&#x20;and&#x20;export.','IF&#x20;RSyslog&#x20;is&#x20;the&#x20;preferred&#x20;method&#x20;for&#x20;capturing&#x20;logs,&#x20;all&#x20;logs&#x20;of&#x20;the&#x20;system&#x20;should&#x20;be&#x20;sent&#x20;to&#x20;it&#x20;for&#x20;further&#x20;processing.&#x20;Note:&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;rsyslog&#x20;is&#x20;the&#x20;chosen&#x20;method&#x20;for&#x20;client&#x20;side&#x20;logging.&#x20;Do&#x20;not&#x20;apply&#x20;this&#x20;recommendation&#x20;if&#x20;journald&#x20;is&#x20;used.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;ForwardToSyslog=yes&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog.','[{\"cis\": [\"4.2.1.3\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.9\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"6.5\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"AU-2\", \"AU-4\", \"AU-12\", \"MP-2\", \"SI-5\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\", \"10.5.3\", \"10.5.4\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\", \"10.3.3\"]}, {\"soc_2\": [\"PL1.4\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\", \"T1565\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(28095,'Ensure&#x20;rsyslog&#x20;default&#x20;file&#x20;permissions&#x20;configured.','Rsyslog&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','The&#x20;systems&#x20;global&#x20;umask&#x20;could&#x20;override,&#x20;but&#x20;only&#x20;making&#x20;the&#x20;file&#x20;permissions&#x20;stricter,&#x20;what&#x20;is&#x20;configured&#x20;in&#x20;RSyslog&#x20;with&#x20;the&#x20;FileCreateMode&#x20;directive.&#x20;RSyslog&#x20;also&#x20;has&#x20;its&#x20;own&#x20;$umask&#x20;directive&#x20;that&#x20;can&#x20;alter&#x20;the&#x20;intended&#x20;file&#x20;creation&#x20;mode.&#x20;In&#x20;addition,&#x20;consideration&#x20;should&#x20;be&#x20;given&#x20;to&#x20;how&#x20;FileCreateMode&#x20;is&#x20;used.&#x20;Thus&#x20;it&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;intended&#x20;file&#x20;creation&#x20;mode&#x20;is&#x20;not&#x20;overridden&#x20;with&#x20;less&#x20;restrictive&#x20;settings&#x20;in&#x20;/etc/rsyslog.conf,&#x20;/etc/rsyslog.d&#47;&#42;conf&#x20;files&#x20;and&#x20;that&#x20;FileCreateMode&#x20;is&#x20;set&#x20;before&#x20;any&#x20;file&#x20;is&#x20;created.','Edit&#x20;either&#x20;/etc/rsyslog.conf&#x20;or&#x20;a&#x20;dedicated&#x20;.conf&#x20;file&#x20;in&#x20;/etc/rsyslog.d/&#x20;and&#x20;set&#x20;$FileCreateMode&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;$FileCreateMode&#x20;0640&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog.','[{\"cis\": [\"4.2.1.4\"]}, {\"cis_csc_v8\": [\"3.3\", \"8.2\"]}, {\"cis_csc_v7\": [\"5.1\", \"6.2\", \"6.3\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"AU-2\", \"AU-4\", \"AU-12\", \"MP-2\", \"SI-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\", \"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\", \"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\", \"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\", \"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(28096,'Ensure&#x20;rsyslog&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host.','RSyslog&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;log&#x20;events&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;enabling&#x20;centralized&#x20;log&#x20;management.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Edit&#x20;the&#x20;/etc/rsyslog.conf&#x20;and&#x20;/etc/rsyslog.d&#47;&#42;.conf&#x20;files&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;&#40;where&#x20;loghost.example.com&#x20;is&#x20;the&#x20;name&#x20;of&#x20;your&#x20;central&#x20;log&#x20;host&#41;.&#x20;The&#x20;target&#x20;directive&#x20;may&#x20;either&#x20;be&#x20;a&#x20;fully&#x20;qualified&#x20;domain&#x20;name&#x20;or&#x20;an&#x20;IP&#x20;address.&#x20;*.*&#x20;action&#40;type=&quot;omfwd&quot;&#x20;target=&quot;192.168.2.100&quot;&#x20;port=&quot;514&quot;&#x20;protocol=&quot;tcp&quot;&#x20;action.resumeRetryCount=&quot;100&quot;&#x20;queue.type=&quot;LinkedList&quot;&#x20;queue.size=&quot;1000&quot;&#41;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;rsyslogd&#x20;configuration:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog.','[{\"cis\": [\"4.2.1.6\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(28097,'Ensure&#x20;rsyslog&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;receive&#x20;logs&#x20;from&#x20;a&#x20;remote&#x20;client.','RSyslog&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;acting&#x20;as&#x20;a&#x20;log&#x20;server.&#x20;Clients&#x20;should&#x20;not&#x20;receive&#x20;data&#x20;from&#x20;other&#x20;hosts.','If&#x20;a&#x20;client&#x20;is&#x20;configured&#x20;to&#x20;also&#x20;receive&#x20;data,&#x20;thus&#x20;turning&#x20;it&#x20;into&#x20;a&#x20;server,&#x20;the&#x20;client&#x20;system&#x20;is&#x20;acting&#x20;outside&#x20;it&#039;s&#x20;operational&#x20;boundary.','','Should&#x20;there&#x20;be&#x20;any&#x20;active&#x20;log&#x20;server&#x20;configuration&#x20;found&#x20;in&#x20;the&#x20;auditing&#x20;section,&#x20;modify&#x20;those&#x20;files&#x20;and&#x20;remove&#x20;the&#x20;specific&#x20;lines&#x20;highlighted&#x20;by&#x20;the&#x20;audit.&#x20;Ensure&#x20;none&#x20;of&#x20;the&#x20;following&#x20;entries&#x20;are&#x20;present&#x20;in&#x20;any&#x20;of&#x20;/etc/rsyslog.conf&#x20;or&#x20;/etc/rsyslog.d&#47;&#42;.conf.&#x20;New&#x20;format:&#x20;module&#40;load=&quot;imtcp&quot;&#41;&#x20;input&#40;type=&quot;imtcp&quot;&#x20;port=&quot;514&quot;&#41;&#x20;-OR-&#x20;Old&#x20;format:&#x20;$ModLoad&#x20;imtcp&#x20;$InputTCPServerRun&#x20;-&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog.','[{\"cis\": [\"4.2.1.7\"]}, {\"cis_csc_v8\": [\"4.8\", \"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"9.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\", \"A.13.1.3\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\", \"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\", \"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(28098,'Ensure&#x20;systemd-journal-remote&#x20;is&#x20;installed.','Journald&#x20;&#40;via&#x20;systemd-journal-remote&#41;&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;log&#x20;events&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;enabling&#x20;centralized&#x20;log&#x20;management.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;systemd-journal-remote:&#x20;#&#x20;dnf&#x20;install&#x20;systemd-journal-remote.','[{\"cis\": [\"4.2.2.1.1\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"nist_sp_800-53\": [\"AU-2\", \"AU-12\", \"SI-5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(28099,'Ensure&#x20;systemd-journal-remote&#x20;is&#x20;enabled.','Journald&#x20;&#40;via&#x20;systemd-journal-remote&#41;&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;log&#x20;events&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;enabling&#x20;centralized&#x20;log&#x20;management.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;systemd-journal-remote:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;systemd-journal-upload.service.','[{\"cis\": [\"4.2.2.1.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"nist_sp_800-53\": [\"AU-2\", \"AU-12\", \"CM-7\", \"SI-5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(28100,'Ensure&#x20;journald&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;receive&#x20;logs&#x20;from&#x20;a&#x20;remote&#x20;client.','Journald&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;acting&#x20;as&#x20;a&#x20;log&#x20;server.&#x20;Clients&#x20;should&#x20;not&#x20;receive&#x20;data&#x20;from&#x20;other&#x20;hosts.&#x20;NOTE:&#x20;-&#x20;The&#x20;same&#x20;package,&#x20;systemd-journal-remote,&#x20;is&#x20;used&#x20;for&#x20;both&#x20;sending&#x20;logs&#x20;to&#x20;remote&#x20;hosts&#x20;and&#x20;receiving&#x20;incoming&#x20;logs.&#x20;-&#x20;With&#x20;regards&#x20;to&#x20;receiving&#x20;logs,&#x20;there&#x20;are&#x20;two&#x20;services;&#x20;systemd-journal-&#x20;remote.socket&#x20;and&#x20;systemd-journal-remote.service.','If&#x20;a&#x20;client&#x20;is&#x20;configured&#x20;to&#x20;also&#x20;receive&#x20;data,&#x20;thus&#x20;turning&#x20;it&#x20;into&#x20;a&#x20;server,&#x20;the&#x20;client&#x20;system&#x20;is&#x20;acting&#x20;outside&#x20;it&#039;s&#x20;operational&#x20;boundary.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;systemd-journal-remote.socket:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;systemd-journal-remote.socket.','[{\"cis\": [\"4.2.2.1.4\"]}, {\"cis_csc_v8\": [\"4.8\", \"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"9.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\", \"A.13.1.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\", \"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\", \"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(28101,'Ensure&#x20;journald&#x20;service&#x20;is&#x20;enabled.','Ensure&#x20;that&#x20;the&#x20;systemd-journald&#x20;service&#x20;is&#x20;enabled&#x20;to&#x20;allow&#x20;capturing&#x20;of&#x20;logging&#x20;events.','If&#x20;the&#x20;systemd-journald&#x20;service&#x20;is&#x20;not&#x20;enabled&#x20;to&#x20;start&#x20;on&#x20;boot,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;capture&#x20;logging&#x20;events.','','By&#x20;default&#x20;the&#x20;systemd-journald&#x20;service&#x20;does&#x20;not&#x20;have&#x20;an&#x20;[Install]&#x20;section&#x20;and&#x20;thus&#x20;cannot&#x20;be&#x20;enabled&#x20;/&#x20;disabled.&#x20;It&#x20;is&#x20;meant&#x20;to&#x20;be&#x20;referenced&#x20;as&#x20;Requires&#x20;or&#x20;Wants&#x20;by&#x20;other&#x20;unit&#x20;files.&#x20;As&#x20;such,&#x20;if&#x20;the&#x20;status&#x20;of&#x20;systemd-journald&#x20;is&#x20;not&#x20;static,&#x20;investigate&#x20;why.','[{\"cis\": [\"4.2.2.2\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(28102,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;compress&#x20;large&#x20;log&#x20;files.','The&#x20;journald&#x20;system&#x20;includes&#x20;the&#x20;capability&#x20;of&#x20;compressing&#x20;overly&#x20;large&#x20;files&#x20;to&#x20;avoid&#x20;filling&#x20;up&#x20;the&#x20;system&#x20;with&#x20;logs&#x20;or&#x20;making&#x20;the&#x20;logs&#x20;unmanageably&#x20;large.','Uncompressed&#x20;large&#x20;files&#x20;may&#x20;unexpectedly&#x20;fill&#x20;a&#x20;filesystem&#x20;leading&#x20;to&#x20;resource&#x20;unavailability.&#x20;Compressing&#x20;logs&#x20;prior&#x20;to&#x20;write&#x20;can&#x20;prevent&#x20;sudden,&#x20;unexpected&#x20;filesystem&#x20;impacts.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Compress=yes&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;systemd-journald.service.','[{\"cis\": [\"4.2.2.3\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.3\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"6.4\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\", \"10.7\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"A1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1053\"]}]'),(28103,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;write&#x20;logfiles&#x20;to&#x20;persistent&#x20;disk.','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Logs&#x20;in&#x20;memory&#x20;will&#x20;be&#x20;lost&#x20;upon&#x20;a&#x20;system&#x20;reboot.&#x20;By&#x20;persisting&#x20;logs&#x20;to&#x20;local&#x20;disk&#x20;on&#x20;the&#x20;server&#x20;they&#x20;are&#x20;protected&#x20;from&#x20;loss&#x20;due&#x20;to&#x20;a&#x20;reboot.','Writing&#x20;log&#x20;data&#x20;to&#x20;disk&#x20;will&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;forensically&#x20;reconstruct&#x20;events&#x20;which&#x20;may&#x20;have&#x20;impacted&#x20;the&#x20;operations&#x20;or&#x20;security&#x20;of&#x20;a&#x20;system&#x20;even&#x20;after&#x20;a&#x20;system&#x20;crash&#x20;or&#x20;reboot.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Storage=persistent&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;systemd-journald.service.','[{\"cis\": [\"4.2.2.4\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28104,'Ensure&#x20;journald&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;rsyslog.','Data&#x20;from&#x20;journald&#x20;should&#x20;be&#x20;kept&#x20;in&#x20;the&#x20;confines&#x20;of&#x20;the&#x20;service&#x20;and&#x20;not&#x20;forwarded&#x20;on&#x20;to&#x20;other&#x20;services.','IF&#x20;journald&#x20;is&#x20;the&#x20;method&#x20;for&#x20;capturing&#x20;logs,&#x20;all&#x20;logs&#x20;of&#x20;the&#x20;system&#x20;should&#x20;be&#x20;handled&#x20;by&#x20;journald&#x20;and&#x20;not&#x20;forwarded&#x20;to&#x20;other&#x20;logging&#x20;mechanisms.&#x20;Note:&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;journald&#x20;is&#x20;the&#x20;chosen&#x20;method&#x20;for&#x20;client&#x20;side&#x20;logging.&#x20;Do&#x20;not&#x20;apply&#x20;this&#x20;recommendation&#x20;if&#x20;rsyslog&#x20;is&#x20;used.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;ensure&#x20;that&#x20;ForwardToSyslog=yes&#x20;is&#x20;removed.&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;systemd-journald.service.','[{\"cis\": [\"4.2.2.5\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.9\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"6.5\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\", \"10.5.3\", \"10.5.4\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\", \"10.3.3\"]}, {\"nist_sp_800-53\": [\"AU-7\", \"AU-6(3)\"]}, {\"soc_2\": [\"PL1.4\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\", \"T1565\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(28105,'Ensure&#x20;cron&#x20;daemon&#x20;is&#x20;enabled.','The&#x20;cron&#x20;daemon&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;batch&#x20;jobs&#x20;on&#x20;the&#x20;system.','While&#x20;there&#x20;may&#x20;not&#x20;be&#x20;user&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;be&#x20;run&#x20;on&#x20;the&#x20;system,&#x20;the&#x20;system&#x20;does&#x20;have&#x20;maintenance&#x20;jobs&#x20;that&#x20;may&#x20;include&#x20;security&#x20;monitoring&#x20;that&#x20;have&#x20;to&#x20;run,&#x20;and&#x20;cron&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;them.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;cron&#x20;:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;crond.','[{\"cis\": [\"5.1.1\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(28106,'Ensure&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;are&#x20;configured.','The&#x20;/etc/crontab&#x20;file&#x20;is&#x20;used&#x20;by&#x20;cron&#x20;to&#x20;control&#x20;its&#x20;own&#x20;jobs.&#x20;The&#x20;commands&#x20;in&#x20;this&#x20;item&#x20;make&#x20;sure&#x20;that&#x20;root&#x20;is&#x20;the&#x20;user&#x20;and&#x20;group&#x20;owner&#x20;of&#x20;the&#x20;file&#x20;and&#x20;that&#x20;only&#x20;the&#x20;owner&#x20;can&#x20;access&#x20;the&#x20;file.','This&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;what&#x20;system&#x20;jobs&#x20;are&#x20;run&#x20;by&#x20;cron.&#x20;Write&#x20;access&#x20;to&#x20;this&#x20;file&#x20;could&#x20;provide&#x20;unprivileged&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;elevate&#x20;their&#x20;privileges.&#x20;Read&#x20;access&#x20;to&#x20;this&#x20;file&#x20;could&#x20;provide&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;gain&#x20;insight&#x20;on&#x20;system&#x20;jobs&#x20;that&#x20;run&#x20;on&#x20;the&#x20;system&#x20;and&#x20;could&#x20;provide&#x20;them&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;unauthorized&#x20;privileged&#x20;access.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/crontab&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/crontab.','[{\"cis\": [\"5.1.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(28107,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;are&#x20;configured.','This&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;an&#x20;hourly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.hourly&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.hourly.','[{\"cis\": [\"5.1.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(28108,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;are&#x20;configured.','The&#x20;/etc/cron.daily&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;daily&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.daily&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.daily.','[{\"cis\": [\"5.1.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(28109,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;are&#x20;configured.','The&#x20;/etc/cron.weekly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;weekly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.weekly&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.weekly.','[{\"cis\": [\"5.1.5\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(28110,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;are&#x20;configured.','The&#x20;/etc/cron.monthly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;monthly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.monthly&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.monthly.','[{\"cis\": [\"5.1.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(28111,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;are&#x20;configured.','The&#x20;/etc/cron.d&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;in&#x20;a&#x20;similar&#x20;manner&#x20;to&#x20;the&#x20;hourly,&#x20;daily,&#x20;weekly&#x20;and&#x20;monthly&#x20;jobs&#x20;from&#x20;/etc/crontab&#x20;,&#x20;but&#x20;require&#x20;more&#x20;granular&#x20;control&#x20;as&#x20;to&#x20;when&#x20;they&#x20;run.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.d&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.d.','[{\"cis\": [\"5.1.7\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(28112,'Ensure&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config&#x20;are&#x20;configured.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;contains&#x20;configuration&#x20;specifications&#x20;for&#x20;sshd.&#x20;The&#x20;command&#x20;below&#x20;sets&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;file&#x20;to&#x20;root.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/ssh/sshd_config&#x20;#&#x20;chmod&#x20;u-x,go-rwx&#x20;/etc/ssh/sshd_config.','[{\"cis\": [\"5.2.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1098\", \"T1098.004\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28113,'Ensure&#x20;SSH&#x20;access&#x20;is&#x20;limited.','There&#x20;are&#x20;several&#x20;options&#x20;available&#x20;to&#x20;limit&#x20;which&#x20;users&#x20;and&#x20;group&#x20;can&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;at&#x20;least&#x20;one&#x20;of&#x20;the&#x20;following&#x20;options&#x20;be&#x20;leveraged:&#x20;-&#x20;AllowUsers:&#x20;The&#x20;AllowUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;only&#x20;allowing&#x20;the&#x20;allowed&#x20;users&#x20;to&#x20;log&#x20;in&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;-&#x20;AllowGroups:&#x20;The&#x20;AllowGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;-&#x20;DenyUsers:&#x20;The&#x20;DenyUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;specifically&#x20;denying&#x20;a&#x20;user&#039;s&#x20;access&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;-&#x20;DenyGroups:&#x20;The&#x20;DenyGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.','Restricting&#x20;which&#x20;users&#x20;can&#x20;remotely&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH&#x20;will&#x20;help&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;users&#x20;access&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;one&#x20;or&#x20;more&#x20;of&#x20;the&#x20;parameters&#x20;as&#x20;follows:&#x20;AllowUsers&#x20;&lt;userlist&gt;&#x20;OR&#x20;AllowGroups&#x20;&lt;grouplist&gt;&#x20;OR&#x20;DenyUsers&#x20;&lt;userlist&gt;&#x20;OR&#x20;DenyGroups&#x20;&lt;grouplist&gt;.','[{\"cis\": [\"5.2.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}, {\"mitre_techniques\": [\"T1021\", \"T1021.004\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(28114,'Ensure&#x20;SSH&#x20;LogLevel&#x20;is&#x20;appropriate.','INFO&#x20;level&#x20;is&#x20;the&#x20;basic&#x20;level&#x20;that&#x20;only&#x20;records&#x20;login&#x20;activity&#x20;of&#x20;SSH&#x20;users.&#x20;In&#x20;many&#x20;situations,&#x20;such&#x20;as&#x20;Incident&#x20;Response,&#x20;it&#x20;is&#x20;important&#x20;to&#x20;determine&#x20;when&#x20;a&#x20;particular&#x20;user&#x20;was&#x20;active&#x20;on&#x20;a&#x20;system.&#x20;The&#x20;logout&#x20;record&#x20;can&#x20;eliminate&#x20;those&#x20;users&#x20;who&#x20;disconnected,&#x20;which&#x20;helps&#x20;narrow&#x20;the&#x20;field.&#x20;VERBOSE&#x20;level&#x20;specifies&#x20;that&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;as&#x20;well&#x20;as&#x20;the&#x20;key&#x20;fingerprint&#x20;for&#x20;any&#x20;SSH&#x20;key&#x20;used&#x20;for&#x20;login&#x20;will&#x20;be&#x20;logged.&#x20;This&#x20;information&#x20;is&#x20;important&#x20;for&#x20;SSH&#x20;key&#x20;management,&#x20;especially&#x20;in&#x20;legacy&#x20;environments.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;VERBOSE&#x20;OR&#x20;LogLevel&#x20;INFO.','[{\"cis\": [\"5.2.5\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"nist_sp_800-53\": [\"AU-2\", \"AU-12\", \"SI-5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(28115,'Ensure&#x20;SSH&#x20;PAM&#x20;is&#x20;enabled.','UsePAM&#x20;Enables&#x20;the&#x20;Pluggable&#x20;Authentication&#x20;Module&#x20;interface.&#x20;If&#x20;set&#x20;to&#x20;&#039;yes&#039;&#x20;this&#x20;will&#x20;enable&#x20;PAM&#x20;authentication&#x20;using&#x20;ChallengeResponseAuthentication&#x20;and&#x20;PasswordAuthentication&#x20;in&#x20;addition&#x20;to&#x20;PAM&#x20;account&#x20;and&#x20;session&#x20;module&#x20;processing&#x20;for&#x20;all&#x20;authentication&#x20;types.','When&#x20;usePAM&#x20;is&#x20;set&#x20;to&#x20;yes,&#x20;PAM&#x20;runs&#x20;through&#x20;account&#x20;and&#x20;session&#x20;types&#x20;properly.&#x20;This&#x20;is&#x20;important&#x20;if&#x20;you&#x20;want&#x20;to&#x20;restrict&#x20;access&#x20;to&#x20;services&#x20;based&#x20;off&#x20;of&#x20;IP,&#x20;time&#x20;or&#x20;other&#x20;factors&#x20;of&#x20;the&#x20;account.&#x20;Additionally,&#x20;you&#x20;can&#x20;make&#x20;sure&#x20;users&#x20;inherit&#x20;certain&#x20;environment&#x20;variables&#x20;on&#x20;login&#x20;or&#x20;disallow&#x20;access&#x20;to&#x20;the&#x20;server.','If&#x20;UsePAM&#x20;is&#x20;enabled,&#x20;you&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;run&#x20;sshd&#40;8&#41;&#x20;as&#x20;a&#x20;non-root&#x20;user.','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;UsePAM&#x20;yes.','[{\"cis\": [\"5.2.6\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_techniques\": [\"T1021\", \"T1021.004\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1035\"]}]'),(28116,'Ensure&#x20;SSH&#x20;root&#x20;login&#x20;is&#x20;disabled.','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;ssh.&#x20;The&#x20;default&#x20;is&#x20;no.','Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;system&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root&#x20;via&#x20;sudo&#x20;or&#x20;su.&#x20;This&#x20;in&#x20;turn&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no.','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}, {\"mitre_techniques\": [\"T1078\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(28117,'Ensure&#x20;SSH&#x20;HostbasedAuthentication&#x20;is&#x20;disabled.','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts&#x20;,&#x20;or&#x20;/etc/hosts.equiv,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.&#x20;This&#x20;option&#x20;only&#x20;applies&#x20;to&#x20;SSH&#x20;Protocol&#x20;Version&#x20;2.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no.','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"16.3\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28118,'Ensure&#x20;SSH&#x20;PermitEmptyPasswords&#x20;is&#x20;disabled.','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;SSH&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no.','[{\"cis\": [\"5.2.9\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"16.3\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"mitre_techniques\": [\"T1021\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28119,'Ensure&#x20;SSH&#x20;PermitUserEnvironment&#x20;is&#x20;disabled.','The&#x20;PermitUserEnvironment&#x20;option&#x20;allows&#x20;users&#x20;to&#x20;present&#x20;environment&#x20;options&#x20;to&#x20;the&#x20;ssh&#x20;daemon.','Permitting&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;environment&#x20;variables&#x20;through&#x20;the&#x20;SSH&#x20;daemon&#x20;could&#x20;potentially&#x20;allow&#x20;users&#x20;to&#x20;bypass&#x20;security&#x20;controls&#x20;&#40;e.g.&#x20;setting&#x20;an&#x20;execution&#x20;path&#x20;that&#x20;has&#x20;ssh&#x20;executing&#x20;trojan&#039;d&#x20;programs&#41;.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitUserEnvironment&#x20;no.','[{\"cis\": [\"5.2.10\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"mitre_techniques\": [\"T1021\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28120,'Ensure&#x20;SSH&#x20;IgnoreRhosts&#x20;is&#x20;enabled.','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthentication&#x20;or&#x20;HostbasedAuthentication.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;ssh.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;IgnoreRhosts&#x20;yes.','[{\"cis\": [\"5.2.11\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(28121,'Ensure&#x20;SSH&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled.','The&#x20;X11Forwarding&#x20;parameter&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;tunnel&#x20;X11&#x20;traffic&#x20;through&#x20;the&#x20;connection&#x20;to&#x20;enable&#x20;remote&#x20;graphic&#x20;connections.','Disable&#x20;X11&#x20;forwarding&#x20;unless&#x20;there&#x20;is&#x20;an&#x20;operational&#x20;requirement&#x20;to&#x20;use&#x20;X11&#x20;applications&#x20;directly.&#x20;There&#x20;is&#x20;a&#x20;small&#x20;risk&#x20;that&#x20;the&#x20;remote&#x20;X11&#x20;servers&#x20;of&#x20;users&#x20;who&#x20;are&#x20;logged&#x20;in&#x20;via&#x20;SSH&#x20;with&#x20;X11&#x20;forwarding&#x20;could&#x20;be&#x20;compromised&#x20;by&#x20;other&#x20;users&#x20;on&#x20;the&#x20;X11&#x20;server.&#x20;Note&#x20;that&#x20;even&#x20;if&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled,&#x20;users&#x20;can&#x20;always&#x20;install&#x20;their&#x20;own&#x20;forwarders.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;X11Forwarding&#x20;no.','[{\"cis\": [\"5.2.12\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-7\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1210\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28122,'Ensure&#x20;SSH&#x20;AllowTcpForwarding&#x20;is&#x20;disabled.','SSH&#x20;port&#x20;forwarding&#x20;is&#x20;a&#x20;mechanism&#x20;in&#x20;SSH&#x20;for&#x20;tunneling&#x20;application&#x20;ports&#x20;from&#x20;the&#x20;client&#x20;to&#x20;the&#x20;server,&#x20;or&#x20;servers&#x20;to&#x20;clients.&#x20;It&#x20;can&#x20;be&#x20;used&#x20;for&#x20;adding&#x20;encryption&#x20;to&#x20;legacy&#x20;applications,&#x20;going&#x20;through&#x20;firewalls,&#x20;and&#x20;some&#x20;system&#x20;administrators&#x20;and&#x20;IT&#x20;professionals&#x20;use&#x20;it&#x20;for&#x20;opening&#x20;backdoors&#x20;into&#x20;the&#x20;internal&#x20;network&#x20;from&#x20;their&#x20;home&#x20;machines.','Leaving&#x20;port&#x20;forwarding&#x20;enabled&#x20;can&#x20;expose&#x20;the&#x20;organization&#x20;to&#x20;security&#x20;risks&#x20;and&#x20;back-doors.&#x20;SSH&#x20;connections&#x20;are&#x20;protected&#x20;with&#x20;strong&#x20;encryption.&#x20;This&#x20;makes&#x20;their&#x20;contents&#x20;invisible&#x20;to&#x20;most&#x20;deployed&#x20;network&#x20;monitoring&#x20;and&#x20;traffic&#x20;filtering&#x20;solutions.&#x20;This&#x20;invisibility&#x20;carries&#x20;considerable&#x20;risk&#x20;potential&#x20;if&#x20;it&#x20;is&#x20;used&#x20;for&#x20;malicious&#x20;purposes&#x20;such&#x20;as&#x20;data&#x20;exfiltration.&#x20;Cybercriminals&#x20;or&#x20;malware&#x20;could&#x20;exploit&#x20;SSH&#x20;to&#x20;hide&#x20;their&#x20;unauthorized&#x20;communications,&#x20;or&#x20;to&#x20;exfiltrate&#x20;stolen&#x20;data&#x20;from&#x20;the&#x20;target&#x20;network.','SSH&#x20;tunnels&#x20;are&#x20;widely&#x20;used&#x20;in&#x20;many&#x20;corporate&#x20;environments&#x20;that&#x20;employ&#x20;mainframe&#x20;systems&#x20;as&#x20;their&#x20;application&#x20;backends.&#x20;In&#x20;those&#x20;environments&#x20;the&#x20;applications&#x20;themselves&#x20;may&#x20;have&#x20;very&#x20;limited&#x20;native&#x20;support&#x20;for&#x20;security.&#x20;By&#x20;utilizing&#x20;tunneling,&#x20;compliance&#x20;with&#x20;SOX,&#x20;HIPAA,&#x20;PCI-DSS,&#x20;and&#x20;other&#x20;standards&#x20;can&#x20;be&#x20;achieved&#x20;without&#x20;having&#x20;to&#x20;modify&#x20;the&#x20;applications.','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowTcpForwarding&#x20;no.','[{\"cis\": [\"5.2.13\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1048\", \"T1048.002\", \"T1572\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(28123,'Ensure&#x20;system-wide&#x20;crypto&#x20;policy&#x20;is&#x20;not&#x20;over-ridden.','System-wide&#x20;Crypto&#x20;policy&#x20;can&#x20;be&#x20;over-ridden&#x20;or&#x20;opted&#x20;out&#x20;of&#x20;for&#x20;openSSH.','Over-riding&#x20;or&#x20;opting&#x20;out&#x20;of&#x20;the&#x20;system-wide&#x20;crypto&#x20;policy&#x20;could&#x20;allow&#x20;for&#x20;the&#x20;use&#x20;of&#x20;less&#x20;secure&#x20;Ciphers,&#x20;MACs,&#x20;KexAlgorithms&#x20;and&#x20;GSSAPIKexAlgorithm.','','Run&#x20;the&#x20;following&#x20;commands:&#x20;#&#x20;sed&#x20;-ri&#x20;&quot;s/^s*&#40;CRYPTO_POLICYs*=.*&#41;$/#&#x20;1/&quot;&#x20;/etc/sysconfig/sshd;&#x20;#&#x20;systemctl&#x20;reload&#x20;sshd.','[{\"cis\": [\"5.2.14\"]}, {\"cis_csc_v8\": [\"3.10\"]}, {\"cis_csc_v7\": [\"14.4\"]}, {\"nist_sp_800-53\": [\"SC-8\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.17\", \"AC.L2-3.1.13\", \"IA.L2-3.5.10\", \"SC.L2-3.13.11\", \"SC.L2-3.13.8\", \"SC.L2-3.13.15\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(1)\", \"164.312(e)(2)(i)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"2.1.1\", \"4.1\", \"4.1.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"2.2.7\", \"4.1.1\", \"4.2.1\", \"4.2.1.2\", \"4.2.2\", \"8.3.2\"]}, {\"iso_27001-2013\": [\"A.13.1.1\", \"A.10.1.1\"]}]'),(28124,'Ensure&#x20;SSH&#x20;warning&#x20;banner&#x20;is&#x20;configured.','The&#x20;Banner&#x20;parameter&#x20;specifies&#x20;a&#x20;file&#x20;whose&#x20;contents&#x20;must&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;remote&#x20;user&#x20;before&#x20;authentication&#x20;is&#x20;permitted.&#x20;By&#x20;default,&#x20;no&#x20;banner&#x20;is&#x20;displayed.','Banners&#x20;are&#x20;used&#x20;to&#x20;warn&#x20;connecting&#x20;users&#x20;of&#x20;the&#x20;particular&#x20;site&#039;s&#x20;policy&#x20;regarding&#x20;connection.&#x20;Presenting&#x20;a&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;login&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Banner&#x20;/etc/issue.net.','[{\"cis\": [\"5.2.15\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_tactics\": [\"TA0001\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1035\"]}]'),(28125,'Ensure&#x20;SSH&#x20;MaxAuthTries&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less.','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4.','[{\"cis\": [\"5.2.16\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"16.13\"]}, {\"nist_sp_800-53\": [\"AU-3\", \"AU-3(1)\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.003\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1036\"]}]'),(28126,'Ensure&#x20;SSH&#x20;MaxStartups&#x20;is&#x20;configured.','The&#x20;MaxStartups&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;to&#x20;the&#x20;SSH&#x20;daemon.','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;pending&#x20;authentication&#x20;connection&#x20;attempts,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxStartups&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxStartups&#x20;10:30:60.','[{\"cis\": [\"5.2.17\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.002\"]}, {\"mitre_tactics\": [\"TA0040\"]}]'),(28127,'Ensure&#x20;SSH&#x20;MaxSessions&#x20;is&#x20;set&#x20;to&#x20;10&#x20;or&#x20;less.','The&#x20;MaxSessions&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;open&#x20;sessions&#x20;permitted&#x20;from&#x20;a&#x20;given&#x20;connection.','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;concurrent&#x20;sessions,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxSessions&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxSessions&#x20;10.','[{\"cis\": [\"5.2.18\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.002\"]}, {\"mitre_tactics\": [\"TA0040\"]}]'),(28128,'Ensure&#x20;SSH&#x20;LoginGraceTime&#x20;is&#x20;set&#x20;to&#x20;one&#x20;minute&#x20;or&#x20;less.','The&#x20;LoginGraceTime&#x20;parameter&#x20;specifies&#x20;the&#x20;time&#x20;allowed&#x20;for&#x20;successful&#x20;authentication&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;The&#x20;longer&#x20;the&#x20;Grace&#x20;period&#x20;is&#x20;the&#x20;more&#x20;open&#x20;unauthenticated&#x20;connections&#x20;can&#x20;exist.&#x20;Like&#x20;other&#x20;session&#x20;controls&#x20;in&#x20;this&#x20;session&#x20;the&#x20;Grace&#x20;Period&#x20;should&#x20;be&#x20;limited&#x20;to&#x20;appropriate&#x20;organizational&#x20;limits&#x20;to&#x20;ensure&#x20;the&#x20;service&#x20;is&#x20;available&#x20;for&#x20;needed&#x20;access.','Setting&#x20;the&#x20;LoginGraceTime&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;It&#x20;will&#x20;also&#x20;limit&#x20;the&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;60&#x20;seconds&#x20;&#40;1&#x20;Minute&#41;,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LoginGraceTime&#x20;60.','[{\"cis\": [\"5.2.19\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.003\", \"T1110.004\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1036\"]}]'),(28129,'Ensure&#x20;SSH&#x20;Idle&#x20;Timeout&#x20;Interval&#x20;is&#x20;configured.','NOTE:&#x20;To&#x20;clarify,&#x20;the&#x20;two&#x20;settings&#x20;described&#x20;below&#x20;are&#x20;only&#x20;meant&#x20;for&#x20;idle&#x20;connections&#x20;from&#x20;a&#x20;protocol&#x20;perspective&#x20;and&#x20;not&#x20;meant&#x20;to&#x20;check&#x20;if&#x20;the&#x20;user&#x20;is&#x20;active&#x20;or&#x20;not.&#x20;An&#x20;idle&#x20;user&#x20;does&#x20;not&#x20;mean&#x20;an&#x20;idle&#x20;connection.&#x20;SSH&#x20;does&#x20;not,&#x20;and&#x20;never&#x20;had,&#x20;intentionally&#x20;the&#x20;capability&#x20;to&#x20;drop&#x20;idle&#x20;users.&#x20;In&#x20;SSH&#x20;versions&#x20;before&#x20;8.2p1&#x20;there&#x20;was&#x20;a&#x20;bug&#x20;that&#x20;caused&#x20;these&#x20;values&#x20;to&#x20;behave&#x20;in&#x20;such&#x20;a&#x20;manner&#x20;that&#x20;they&#x20;were&#x20;abused&#x20;to&#x20;disconnect&#x20;idle&#x20;users.&#x20;This&#x20;bug&#x20;has&#x20;been&#x20;resolved&#x20;in&#x20;8.2p1&#x20;and&#x20;thus&#x20;may&#x20;no&#x20;longer&#x20;be&#x20;abused&#x20;disconnect&#x20;idle&#x20;users.&#x20;The&#x20;two&#x20;options&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax&#x20;control&#x20;the&#x20;timeout&#x20;of&#x20;SSH&#x20;sessions.&#x20;Taken&#x20;directly&#x20;from&#x20;man&#x20;5&#x20;sshd_config:&#x20;-&#x20;ClientAliveInterval&#x20;Sets&#x20;a&#x20;timeout&#x20;interval&#x20;in&#x20;seconds&#x20;after&#x20;which&#x20;if&#x20;no&#x20;data&#x20;has&#x20;been&#x20;received&#x20;from&#x20;the&#x20;client,&#x20;sshd&#40;8&#41;&#x20;will&#x20;send&#x20;a&#x20;message&#x20;through&#x20;the&#x20;encrypted&#x20;channel&#x20;to&#x20;request&#x20;a&#x20;response&#x20;from&#x20;the&#x20;client.&#x20;The&#x20;default&#x20;is&#x20;0,&#x20;indicating&#x20;that&#x20;these&#x20;messages&#x20;will&#x20;not&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;client.&#x20;-&#x20;ClientAliveCountMax&#x20;Sets&#x20;the&#x20;number&#x20;of&#x20;client&#x20;alive&#x20;messages&#x20;which&#x20;may&#x20;be&#x20;sent&#x20;without&#x20;sshd&#40;8&#41;&#x20;receiving&#x20;any&#x20;messages&#x20;back&#x20;from&#x20;the&#x20;client.&#x20;If&#x20;this&#x20;threshold&#x20;is&#x20;reached&#x20;while&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;being&#x20;sent,&#x20;sshd&#x20;will&#x20;disconnect&#x20;the&#x20;client,&#x20;terminating&#x20;the&#x20;session.&#x20;It&#x20;is&#x20;important&#x20;to&#x20;note&#x20;that&#x20;the&#x20;use&#x20;of&#x20;client&#x20;alive&#x20;messages&#x20;is&#x20;very&#x20;different&#x20;from&#x20;TCPKeepAlive.&#x20;The&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;sent&#x20;through&#x20;the&#x20;encrypted&#x20;channel&#x20;and&#x20;therefore&#x20;will&#x20;not&#x20;be&#x20;spoofable.&#x20;The&#x20;TCP&#x20;keepalive&#x20;option&#x20;enabled&#x20;by&#x20;TCPKeepAlive&#x20;is&#x20;spoofable.&#x20;The&#x20;client&#x20;alive&#x20;mechanism&#x20;is&#x20;valuable&#x20;when&#x20;the&#x20;client&#x20;or&#x20;server&#x20;depend&#x20;on&#x20;knowing&#x20;when&#x20;a&#x20;connection&#x20;has&#x20;become&#x20;unresponsive.&#x20;The&#x20;default&#x20;value&#x20;is&#x20;3.&#x20;If&#x20;ClientAliveInterval&#x20;is&#x20;set&#x20;to&#x20;15,&#x20;and&#x20;ClientAliveCountMax&#x20;is&#x20;left&#x20;at&#x20;the&#x20;default,&#x20;unresponsive&#x20;SSH&#x20;clients&#x20;will&#x20;be&#x20;disconnected&#x20;after&#x20;approximately&#x20;45&#x20;seconds.&#x20;Setting&#x20;a&#x20;zero&#x20;ClientAliveCountMax&#x20;disables&#x20;connection&#x20;termination.','In&#x20;order&#x20;to&#x20;prevent&#x20;resource&#x20;exhaustion,&#x20;appropriate&#x20;values&#x20;should&#x20;be&#x20;set&#x20;for&#x20;both&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax.&#x20;Specifically,&#x20;looking&#x20;at&#x20;the&#x20;source&#x20;code,&#x20;ClientAliveCountMax&#x20;must&#x20;be&#x20;greater&#x20;than&#x20;zero&#x20;in&#x20;order&#x20;to&#x20;utilize&#x20;the&#x20;ability&#x20;of&#x20;SSH&#x20;to&#x20;drop&#x20;idle&#x20;connections.&#x20;If&#x20;connections&#x20;are&#x20;allowed&#x20;to&#x20;stay&#x20;open&#x20;indefinitely,&#x20;this&#x20;can&#x20;potentially&#x20;be&#x20;used&#x20;as&#x20;a&#x20;DDOS&#x20;attack&#x20;or&#x20;simple&#x20;resource&#x20;exhaustion&#x20;could&#x20;occur&#x20;over&#x20;unreliable&#x20;networks.&#x20;The&#x20;example&#x20;set&#x20;here&#x20;is&#x20;a&#x20;45&#x20;second&#x20;timeout.&#x20;Consult&#x20;your&#x20;site&#x20;policy&#x20;for&#x20;network&#x20;timeouts&#x20;and&#x20;apply&#x20;as&#x20;appropriate.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameters&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;Example:&#x20;ClientAliveInterval&#x20;15&#x20;ClientAliveCountMax&#x20;3.','[{\"cis\": [\"5.2.20\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(28130,'Ensure&#x20;sudo&#x20;is&#x20;installed.','sudo&#x20;allows&#x20;a&#x20;permitted&#x20;user&#x20;to&#x20;execute&#x20;a&#x20;command&#x20;as&#x20;the&#x20;superuser&#x20;or&#x20;another&#x20;user,&#x20;as&#x20;specified&#x20;by&#x20;the&#x20;security&#x20;policy.&#x20;The&#x20;invoking&#x20;user&#039;s&#x20;real&#x20;&#40;not&#x20;effective&#41;&#x20;user&#x20;ID&#x20;is&#x20;used&#x20;to&#x20;determine&#x20;the&#x20;user&#x20;name&#x20;with&#x20;which&#x20;to&#x20;query&#x20;the&#x20;security&#x20;policy.','sudo&#x20;supports&#x20;a&#x20;plug-in&#x20;architecture&#x20;for&#x20;security&#x20;policies&#x20;and&#x20;input/output&#x20;logging.&#x20;Third&#x20;parties&#x20;can&#x20;develop&#x20;and&#x20;distribute&#x20;their&#x20;own&#x20;policy&#x20;and&#x20;I/O&#x20;logging&#x20;plug-ins&#x20;to&#x20;work&#x20;seamlessly&#x20;with&#x20;the&#x20;sudo&#x20;front&#x20;end.&#x20;The&#x20;default&#x20;security&#x20;policy&#x20;is&#x20;sudoers,&#x20;which&#x20;is&#x20;configured&#x20;via&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;and&#x20;any&#x20;entries&#x20;in&#x20;/etc/sudoers.d.&#x20;The&#x20;security&#x20;policy&#x20;determines&#x20;what&#x20;privileges,&#x20;if&#x20;any,&#x20;a&#x20;user&#x20;has&#x20;to&#x20;run&#x20;sudo.&#x20;The&#x20;policy&#x20;may&#x20;require&#x20;that&#x20;users&#x20;authenticate&#x20;themselves&#x20;with&#x20;a&#x20;password&#x20;or&#x20;another&#x20;authentication&#x20;mechanism.&#x20;If&#x20;authentication&#x20;is&#x20;required,&#x20;sudo&#x20;will&#x20;exit&#x20;if&#x20;the&#x20;user&#039;s&#x20;password&#x20;is&#x20;not&#x20;entered&#x20;within&#x20;a&#x20;configurable&#x20;time&#x20;limit.&#x20;This&#x20;limit&#x20;is&#x20;policy-specific.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;sudo.&#x20;#&#x20;dnf&#x20;install&#x20;sudo.','[{\"cis\": [\"5.3.1\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}]'),(28131,'Ensure&#x20;sudo&#x20;commands&#x20;use&#x20;pty.','sudo&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;run&#x20;only&#x20;from&#x20;a&#x20;pseudo&#x20;terminal&#x20;&#40;pseudo-pty&#41;.','Attackers&#x20;can&#x20;run&#x20;a&#x20;malicious&#x20;program&#x20;using&#x20;sudo&#x20;which&#x20;would&#x20;fork&#x20;a&#x20;background&#x20;process&#x20;that&#x20;remains&#x20;even&#x20;when&#x20;the&#x20;main&#x20;program&#x20;has&#x20;finished&#x20;executing.','WARNING:&#x20;Editing&#x20;the&#x20;sudo&#x20;configuration&#x20;incorrectly&#x20;can&#x20;cause&#x20;sudo&#x20;to&#x20;stop&#x20;functioning.&#x20;Always&#x20;use&#x20;visudo&#x20;to&#x20;modify&#x20;sudo&#x20;configuration&#x20;files.','Edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;with&#x20;visudo&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;-f&#x20;&lt;PATH_TO_FILE&gt;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Defaults&#x20;use_pty.','[{\"cis\": [\"5.3.2\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.003\", \"T1548\", \"T1548.003\"]}, {\"mitre_tactics\": [\"TA0001\", \"TA0003\"]}, {\"mitre_mitigations\": [\"M1026\", \"M1038\"]}]'),(28132,'Ensure&#x20;sudo&#x20;log&#x20;file&#x20;exists.','sudo&#x20;can&#x20;use&#x20;a&#x20;custom&#x20;log&#x20;file.','A&#x20;sudo&#x20;log&#x20;file&#x20;simplifies&#x20;auditing&#x20;of&#x20;sudo&#x20;commands.','WARNING:&#x20;Editing&#x20;the&#x20;sudo&#x20;configuration&#x20;incorrectly&#x20;can&#x20;cause&#x20;sudo&#x20;to&#x20;stop&#x20;functioning.&#x20;Always&#x20;use&#x20;visudo&#x20;to&#x20;modify&#x20;sudo&#x20;configuration&#x20;files.&#x20;Creation&#x20;of&#x20;additional&#x20;log&#x20;files&#x20;can&#x20;cause&#x20;disk&#x20;space&#x20;exhaustion&#x20;if&#x20;not&#x20;correctly&#x20;managed.&#x20;You&#x20;should&#x20;configure&#x20;logrotate&#x20;to&#x20;manage&#x20;the&#x20;sudo&#x20;log&#x20;in&#x20;accordance&#x20;with&#x20;your&#x20;local&#x20;policy.','Edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;or&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Defaults&#x20;logfile=&quot;&lt;PATH&#x20;TO&#x20;CUSTOM&#x20;LOG&#x20;FILE&gt;&quot;&#x20;Example:&#x20;Defaults&#x20;logfile=&quot;/var/log/sudo.log&quot;.','[{\"cis\": [\"5.3.3\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"6.3\"]}, {\"nist_sp_800-53\": [\"AU-3\", \"AU-3(1)\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(28133,'Ensure&#x20;users&#x20;must&#x20;provide&#x20;password&#x20;for&#x20;escalation.','The&#x20;operating&#x20;system&#x20;must&#x20;be&#x20;configured&#x20;so&#x20;that&#x20;users&#x20;must&#x20;provide&#x20;a&#x20;password&#x20;for&#x20;privilege&#x20;escalation.','Without&#x20;re-authentication,&#x20;users&#x20;may&#x20;access&#x20;resources&#x20;or&#x20;perform&#x20;tasks&#x20;for&#x20;which&#x20;they&#x20;do&#x20;not&#x20;have&#x20;authorization.&#x20;When&#x20;operating&#x20;systems&#x20;provide&#x20;the&#x20;capability&#x20;to&#x20;escalate&#x20;a&#x20;functional&#x20;capability,&#x20;it&#x20;is&#x20;critical&#x20;the&#x20;user&#x20;re-authenticate.','This&#x20;will&#x20;prevent&#x20;automated&#x20;processes&#x20;from&#x20;being&#x20;able&#x20;to&#x20;elevate&#x20;privileges.&#x20;To&#x20;include&#x20;Ansible&#x20;and&#x20;AWS&#x20;builds.','Based&#x20;on&#x20;the&#x20;outcome&#x20;of&#x20;the&#x20;audit&#x20;procedure,&#x20;use&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;to&#x20;edit&#x20;the&#x20;relevant&#x20;sudoers&#x20;file.&#x20;Remove&#x20;any&#x20;line&#x20;with&#x20;occurrences&#x20;of&#x20;NOPASSWD&#x20;tags&#x20;in&#x20;the&#x20;file.','[{\"cis\": [\"5.3.4\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}]'),(28134,'Ensure&#x20;re-authentication&#x20;for&#x20;privilege&#x20;escalation&#x20;is&#x20;not&#x20;disabled&#x20;globally.','The&#x20;operating&#x20;system&#x20;must&#x20;be&#x20;configured&#x20;so&#x20;that&#x20;users&#x20;must&#x20;re-authenticate&#x20;for&#x20;privilege&#x20;escalation.','Without&#x20;re-authentication,&#x20;users&#x20;may&#x20;access&#x20;resources&#x20;or&#x20;perform&#x20;tasks&#x20;for&#x20;which&#x20;they&#x20;do&#x20;not&#x20;have&#x20;authorization.&#x20;When&#x20;operating&#x20;systems&#x20;provide&#x20;the&#x20;capability&#x20;to&#x20;escalate&#x20;a&#x20;functional&#x20;capability,&#x20;it&#x20;is&#x20;critical&#x20;the&#x20;user&#x20;re-authenticate.','','Configure&#x20;the&#x20;operating&#x20;system&#x20;to&#x20;require&#x20;users&#x20;to&#x20;reauthenticate&#x20;for&#x20;privilege&#x20;escalation.&#x20;Based&#x20;on&#x20;the&#x20;outcome&#x20;of&#x20;the&#x20;audit&#x20;procedure,&#x20;use&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;to&#x20;edit&#x20;the&#x20;relevant&#x20;sudoers&#x20;file.&#x20;Remove&#x20;any&#x20;occurrences&#x20;of&#x20;!authenticate&#x20;tags&#x20;in&#x20;the&#x20;file&#40;s&#41;.','[{\"cis\": [\"5.3.5\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}]'),(28135,'Ensure&#x20;sudo&#x20;authentication&#x20;timeout&#x20;is&#x20;configured&#x20;correctly.','sudo&#x20;caches&#x20;used&#x20;credentials&#x20;for&#x20;a&#x20;default&#x20;of&#x20;5&#x20;minutes.&#x20;This&#x20;is&#x20;for&#x20;ease&#x20;of&#x20;use&#x20;when&#x20;there&#x20;are&#x20;multiple&#x20;administrative&#x20;tasks&#x20;to&#x20;perform.&#x20;The&#x20;timeout&#x20;can&#x20;be&#x20;modified&#x20;to&#x20;suit&#x20;local&#x20;security&#x20;policies.','Setting&#x20;a&#x20;timeout&#x20;value&#x20;reduces&#x20;the&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;unauthorized&#x20;privileged&#x20;access&#x20;to&#x20;another&#x20;user.','','If&#x20;the&#x20;currently&#x20;configured&#x20;timeout&#x20;is&#x20;larger&#x20;than&#x20;15&#x20;minutes,&#x20;edit&#x20;the&#x20;file&#x20;listed&#x20;in&#x20;the&#x20;audit&#x20;section&#x20;with&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;modify&#x20;the&#x20;entry&#x20;timestamp_timeout=&#x20;to&#x20;15&#x20;minutes&#x20;or&#x20;less&#x20;as&#x20;per&#x20;your&#x20;site&#x20;policy.&#x20;The&#x20;value&#x20;is&#x20;in&#x20;minutes.&#x20;This&#x20;particular&#x20;entry&#x20;may&#x20;appear&#x20;on&#x20;its&#x20;own,&#x20;or&#x20;on&#x20;the&#x20;same&#x20;line&#x20;as&#x20;env_reset.&#x20;See&#x20;the&#x20;following&#x20;two&#x20;examples:&#x20;Defaults&#x20;env_reset,&#x20;timestamp_timeout=15&#x20;Defaults&#x20;timestamp_timeout=15&#x20;Defaults&#x20;env_reset.','[{\"cis\": [\"5.3.6\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}]'),(28136,'Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','The&#x20;su&#x20;command&#x20;allows&#x20;a&#x20;user&#x20;to&#x20;run&#x20;a&#x20;command&#x20;or&#x20;shell&#x20;as&#x20;another&#x20;user.&#x20;The&#x20;program&#x20;has&#x20;been&#x20;superseded&#x20;by&#x20;sudo,&#x20;which&#x20;allows&#x20;for&#x20;more&#x20;granular&#x20;control&#x20;over&#x20;privileged&#x20;access.&#x20;Normally,&#x20;the&#x20;su&#x20;command&#x20;can&#x20;be&#x20;executed&#x20;by&#x20;any&#x20;user.&#x20;By&#x20;uncommenting&#x20;the&#x20;pam_wheel.so&#x20;statement&#x20;in&#x20;/etc/pam.d/su,&#x20;the&#x20;su&#x20;command&#x20;will&#x20;only&#x20;allow&#x20;users&#x20;in&#x20;a&#x20;specific&#x20;groups&#x20;to&#x20;execute&#x20;su.&#x20;This&#x20;group&#x20;should&#x20;be&#x20;empty&#x20;to&#x20;reinforce&#x20;the&#x20;use&#x20;of&#x20;sudo&#x20;for&#x20;privileged&#x20;access.','Restricting&#x20;the&#x20;use&#x20;of&#x20;su,&#x20;and&#x20;using&#x20;sudo&#x20;in&#x20;its&#x20;place,&#x20;provides&#x20;system&#x20;administrators&#x20;better&#x20;control&#x20;of&#x20;the&#x20;escalation&#x20;of&#x20;user&#x20;privileges&#x20;to&#x20;execute&#x20;privileged&#x20;commands.&#x20;The&#x20;sudo&#x20;utility&#x20;also&#x20;provides&#x20;a&#x20;better&#x20;logging&#x20;and&#x20;audit&#x20;mechanism,&#x20;as&#x20;it&#x20;can&#x20;log&#x20;each&#x20;command&#x20;executed&#x20;via&#x20;sudo,&#x20;whereas&#x20;su&#x20;can&#x20;only&#x20;record&#x20;that&#x20;a&#x20;user&#x20;executed&#x20;the&#x20;su&#x20;program.','','Create&#x20;an&#x20;empty&#x20;group&#x20;that&#x20;will&#x20;be&#x20;specified&#x20;for&#x20;use&#x20;of&#x20;the&#x20;su&#x20;command.&#x20;The&#x20;group&#x20;should&#x20;be&#x20;named&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;Example:&#x20;#&#x20;groupadd&#x20;sugroup.&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/pam.d/su&#x20;file,&#x20;specifying&#x20;the&#x20;empty&#x20;group:&#x20;auth&#x20;required&#x20;pam_wheel.so&#x20;use_uid&#x20;group=sugroup.','[{\"cis\": [\"5.3.7\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_techniques\": [\"T1078\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(28137,'Ensure&#x20;custom&#x20;authselect&#x20;profile&#x20;is&#x20;used.','A&#x20;custom&#x20;profile&#x20;can&#x20;be&#x20;created&#x20;by&#x20;copying&#x20;and&#x20;customizing&#x20;one&#x20;of&#x20;the&#x20;default&#x20;profiles.&#x20;The&#x20;default&#x20;profiles&#x20;include:&#x20;sssd,&#x20;winbind,&#x20;or&#x20;the&#x20;nis.&#x20;This&#x20;profile&#x20;can&#x20;then&#x20;be&#x20;customized&#x20;to&#x20;follow&#x20;site&#x20;specific&#x20;requirements.&#x20;You&#x20;can&#x20;select&#x20;a&#x20;profile&#x20;for&#x20;the&#x20;authselect&#x20;utility&#x20;for&#x20;a&#x20;specific&#x20;host.&#x20;The&#x20;profile&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;every&#x20;user&#x20;logging&#x20;into&#x20;the&#x20;host.','A&#x20;custom&#x20;profile&#x20;is&#x20;required&#x20;to&#x20;customize&#x20;many&#x20;of&#x20;the&#x20;pam&#x20;options.&#x20;When&#x20;you&#x20;deploy&#x20;a&#x20;profile,&#x20;the&#x20;profile&#x20;is&#x20;applied&#x20;to&#x20;every&#x20;user&#x20;logging&#x20;into&#x20;the&#x20;given&#x20;host.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;a&#x20;custom&#x20;authselect&#x20;profile:&#x20;#&#x20;authselect&#x20;create-profile&#x20;&lt;custom-profile&#x20;name&gt;&#x20;&lt;options&gt;&#x20;Example:&#x20;#&#x20;authselect&#x20;create-profile&#x20;custom-profile&#x20;-b&#x20;sssd&#x20;--symlink-meta&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;select&#x20;a&#x20;custom&#x20;authselect&#x20;profile:&#x20;#&#x20;authselect&#x20;select&#x20;custom/&lt;CUSTOM&#x20;PROFILE&#x20;NAME&gt;&#x20;{with-&lt;OPTIONS&gt;}&#x20;Example:&#x20;#&#x20;authselect&#x20;select&#x20;custom/custom-profile&#x20;with-sudo&#x20;with-faillock&#x20;without-nullok.','[{\"cis\": [\"5.4.1\"]}, {\"cis_csc_v8\": [\"16.2\"]}, {\"cis_csc_v7\": [\"16.7\"]}, {\"cmmc_v2.0\": [\"SI.L1-3.14.1\"]}, {\"pci_dss_3.2.1\": [\"6.3.2\"]}, {\"pci_dss_4.0\": [\"6.3.1\"]}, {\"iso_27001-2013\": [\"A.9.2.6\"]}]'),(28138,'Ensure&#x20;authselect&#x20;includes&#x20;with-faillock.','The&#x20;pam_faillock.so&#x20;module&#x20;maintains&#x20;a&#x20;list&#x20;of&#x20;failed&#x20;authentication&#x20;attempts&#x20;per&#x20;user&#x20;during&#x20;a&#x20;specified&#x20;interval&#x20;and&#x20;locks&#x20;the&#x20;account&#x20;in&#x20;case&#x20;there&#x20;were&#x20;more&#x20;than&#x20;the&#x20;configured&#x20;number&#x20;of&#x20;consecutive&#x20;failed&#x20;authentications&#x20;&#40;this&#x20;is&#x20;defined&#x20;by&#x20;the&#x20;deny&#x20;parameter&#x20;in&#x20;the&#x20;faillock&#x20;configuration&#41;.&#x20;It&#x20;stores&#x20;the&#x20;failure&#x20;records&#x20;into&#x20;per-user&#x20;files&#x20;in&#x20;the&#x20;tally&#x20;directory.','Locking&#x20;out&#x20;user&#x20;IDs&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts&#x20;mitigates&#x20;brute&#x20;force&#x20;password&#x20;attacks&#x20;against&#x20;your&#x20;systems.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;include&#x20;the&#x20;with-faillock&#x20;option&#x20;to&#x20;the&#x20;current&#x20;authselect&#x20;profile:&#x20;#&#x20;authselect&#x20;enable-feature&#x20;with-faillock&#x20;#&#x20;authselect&#x20;apply-changes.','[{\"cis\": [\"5.4.2\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"16.7\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.9.2.6\"]}]'),(28139,'Ensure&#x20;password&#x20;creation&#x20;requirements&#x20;are&#x20;configured.','The&#x20;pam_pwquality.so&#x20;module&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more.&#x20;The&#x20;following&#x20;are&#x20;definitions&#x20;of&#x20;the&#x20;pam_pwquality.so&#x20;options.&#x20;-&#x20;try_first_pass&#x20;-&#x20;retrieve&#x20;the&#x20;password&#x20;from&#x20;a&#x20;previous&#x20;stacked&#x20;PAM&#x20;module.&#x20;If&#x20;not&#x20;available,&#x20;then&#x20;prompt&#x20;the&#x20;user&#x20;for&#x20;a&#x20;password.&#x20;-&#x20;retry=3&#x20;-&#x20;Allow&#x20;3&#x20;tries&#x20;before&#x20;sending&#x20;back&#x20;a&#x20;failure.&#x20;-&#x20;minlen=14&#x20;-&#x20;password&#x20;must&#x20;be&#x20;14&#x20;characters&#x20;or&#x20;more.&#x20;Either&#x20;of&#x20;the&#x20;following&#x20;can&#x20;be&#x20;used&#x20;to&#x20;enforce&#x20;complex&#x20;passwords:&#x20;-&#x20;minclass=4&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;four&#x20;classes&#x20;of&#x20;characters&#x20;for&#x20;the&#x20;new&#x20;password.&#x20;OR&#x20;-&#x20;dcredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;digit.&#x20;-&#x20;ucredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;uppercase&#x20;character.&#x20;-&#x20;ocredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;special&#x20;character.&#x20;-&#x20;lcredit=-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;lowercase&#x20;character.&#x20;-&#x20;The&#x20;settings&#x20;shown&#x20;above&#x20;are&#x20;one&#x20;possible&#x20;policy.&#x20;Alter&#x20;these&#x20;values&#x20;to&#x20;conform&#x20;to&#x20;your&#x20;own&#x20;organization&#039;s&#x20;password&#x20;policies.','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;password&#x20;length&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minlen&#x20;=&#x20;14&#x20;Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;password&#x20;complexity&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minclass&#x20;=&#x20;4&#x20;OR&#x20;dcredit&#x20;=&#x20;-1&#x20;ucredit&#x20;=&#x20;-1&#x20;ocredit&#x20;=&#x20;-1&#x20;lcredit&#x20;=&#x20;-1.&#x20;Run&#x20;the&#x20;following&#x20;script&#x20;to&#x20;update&#x20;the&#x20;system-auth&#x20;and&#x20;password-auth&#x20;files:&#x20;#!/usr/bin/env&#x20;bash&#x20;for&#x20;fn&#x20;in&#x20;system-auth&#x20;password-auth;&#x20;do&#x20;file=&quot;/etc/authselect/$&#40;head&#x20;-1&#x20;/etc/authselect/authselect.conf&#x20;|&#x20;grep&#x20;&#039;custom/&#039;&#41;/$fn&quot;&#x20;if&#x20;!&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+requisiteh+pam_pwquality.so&#40;h+[^#&#x0a;&#x0d;]+&#41;?h+.*enforce_for_r&#x20;oot&#x08;.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;sed&#x20;-ri&#x20;&#039;s/^s*&#40;passwords+requisites+pam_pwquality.sos+&#41;&#40;.*&#41;$/12&#x20;enforce_for_root/&#039;&#x20;&quot;$file&quot;&#x20;fi&#x20;if&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+requisiteh+pam_pwquality.so&#40;h+[^#&#x0a;&#x0d;]+&#41;?h+retry=&#40;[4-9]|[1-9][0-9]+&#41;&#x08;.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;sed&#x20;-ri&#x20;&#039;/pwquality/s/retry=S+/retry=3/&#039;&#x20;&quot;$file&quot;&#x20;elif&#x20;!&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+requisiteh+pam_pwquality.so&#40;h+[^#&#x0a;&#x0d;]+&#41;?h+retry=d+&#x08;.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;sed&#x20;-ri&#x20;&#039;s/^s*&#40;passwords+requisites+pam_pwquality.sos+&#41;&#40;.*&#41;$/12&#x20;retry=3/&#039;&#x20;&quot;$file&quot;&#x20;fi&#x20;done&#x20;authselect&#x20;apply-changes.','[{\"cis\": [\"5.5.1\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.002\", \"T1110.003\", \"T1178.001\", \"T1178.002\", \"T1178.003\", \"T1178.004\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(28140,'Ensure&#x20;lockout&#x20;for&#x20;failed&#x20;password&#x20;attempts&#x20;is&#x20;configured.','Lock&#x20;out&#x20;users&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts.&#x20;-&#x20;deny=&lt;n&gt;&#x20;-&#x20;Number&#x20;of&#x20;attempts&#x20;before&#x20;the&#x20;account&#x20;is&#x20;locked.&#x20;-&#x20;unlock_time=&lt;n&gt;&#x20;-&#x20;Time&#x20;in&#x20;seconds&#x20;before&#x20;the&#x20;account&#x20;is&#x20;unlocked.&#x20;Note:&#x20;The&#x20;maximum&#x20;configurable&#x20;value&#x20;for&#x20;unlock_time&#x20;is&#x20;604800.','Locking&#x20;out&#x20;user&#x20;IDs&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts&#x20;mitigates&#x20;brute&#x20;force&#x20;password&#x20;attacks&#x20;against&#x20;your&#x20;systems.','Use&#x20;of&#x20;unlock_time=0&#x20;may&#x20;allow&#x20;an&#x20;attacker&#x20;to&#x20;cause&#x20;denial&#x20;of&#x20;service&#x20;to&#x20;legitimate&#x20;users.','Set&#x20;password&#x20;lockouts&#x20;and&#x20;unlock&#x20;times&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy.&#x20;deny&#x20;should&#x20;be&#x20;greater&#x20;than&#x20;0&#x20;and&#x20;no&#x20;greater&#x20;than&#x20;5.&#x20;unlock_time&#x20;should&#x20;be&#x20;0&#x20;&#40;never&#41;,&#x20;or&#x20;900&#x20;seconds&#x20;or&#x20;greater.&#x20;Edit&#x20;/etc/security/faillock.conf&#x20;and&#x20;update&#x20;or&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;deny&#x20;=&#x20;5&#x20;unlock_time&#x20;=&#x20;900.','[{\"cis\": [\"5.5.2\"]}, {\"cis_csc_v8\": [\"6.2\"]}, {\"cis_csc_v7\": [\"16.7\"]}, {\"nist_sp_800-53\": [\"AC-2(1)\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\"]}, {\"hipaa\": [\"164.308(a)(3)(ii)(C)\"]}, {\"pci_dss_3.2.1\": [\"8.1.3\"]}, {\"pci_dss_4.0\": [\"8.2.4\", \"8.2.5\"]}, {\"soc_2\": [\"CC6.2\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.6\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.003\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(28141,'Ensure&#x20;password&#x20;reuse&#x20;is&#x20;limited.','The&#x20;/etc/security/opasswd&#x20;file&#x20;stores&#x20;the&#x20;users&#039;&#x20;old&#x20;passwords&#x20;and&#x20;can&#x20;be&#x20;checked&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;are&#x20;not&#x20;recycling&#x20;recent&#x20;passwords.&#x20;remember=&lt;5&gt;&#x20;-&#x20;Number&#x20;of&#x20;old&#x20;passwords&#x20;to&#x20;remember.','Forcing&#x20;users&#x20;not&#x20;to&#x20;reuse&#x20;their&#x20;past&#x20;5&#x20;passwords&#x20;make&#x20;it&#x20;less&#x20;likely&#x20;that&#x20;an&#x20;attacker&#x20;will&#x20;be&#x20;able&#x20;to&#x20;guess&#x20;the&#x20;password.&#x20;Note:&#x20;These&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Set&#x20;remembered&#x20;password&#x20;history&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy.&#x20;Run&#x20;the&#x20;following&#x20;script&#x20;to&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;pam_pwhistory.so&#x20;and&#x20;pam_unix.so&#x20;lines&#x20;to&#x20;include&#x20;the&#x20;remember&#x20;option:&#x20;#!/usr/bin/env&#x20;bash&#x20;{&#x20;file=&quot;/etc/authselect/$&#40;head&#x20;-1&#x20;/etc/authselect/authselect.conf&#x20;|&#x20;grep&#x20;&#039;custom/&#039;&#41;/system-auth&quot;&#x20;if&#x20;!&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+&#40;requisite|required|sufficient&#41;h+pam_pwhistory.soh+&#40;[^#&#x0a;&#x0d;]+h+&#41;?remember=&#40;[5-9]|[1-9][0-9]+&#41;&#x08;.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;if&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+&#40;requisite|required|sufficient&#41;h+pam_pwhistory.soh+&#40;[^#&#x0a;&#x0d;]+h+&#41;?remember=d+&#x08;.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;sed&#x20;-ri&#x20;&#039;s/^s*&#40;passwords+&#40;requisite|required|sufficient&#41;s+pam_pwhistory.sos+&#40;[^#&#x0a;&#x0d;]+s+&#41;?&#41;&#40;remember=S+s*&#41;&#40;s+.*&#41;?$/1&#x20;remember=5&#x20;5/&#039;&#x20;$file&#x20;elif&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+&#40;requisite|required|sufficient&#41;h+pam_pwhistory.soh+&#40;[^#&#x0a;&#x0d;]+h+&#41;?.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;sed&#x20;-ri&#x20;&#039;/^s*passwords+&#40;requisite|required|sufficient&#41;s+pam_pwhistory.so/&#x20;s/$/&#x20;remember=5/&#039;&#x20;$file&#x20;else&#x20;sed&#x20;-ri&#x20;&#039;/^s*passwords+&#40;requisite|required|sufficient&#41;s+pam_unix.so/i&#x20;password&#x20;required&#x20;pam_pwhistory.so&#x20;remember=5&#x20;use_authtok&#039;&#x20;$file&#x20;fi&#x20;fi&#x20;if&#x20;!&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+&#40;requisite|required|sufficient&#41;h+pam_unix.soh+&#40;[^#&#x0a;&#x0d;]+h+&#41;?remember=&#40;[5-9]|[1-9][0-9]+&#41;&#x08;.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;if&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+&#40;requisite|required|sufficient&#41;h+pam_unix.soh+&#40;[^#&#x0a;&#x0d;]+h&#x20;+&#41;?remember=d+&#x08;.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;sed&#x20;-ri&#x20;&#039;s/^s*&#40;passwords+&#40;requisite|required|sufficient&#41;s+pam_unix.sos+&#40;[^#&#x0a;&#x0d;]&#x20;+s+&#41;?&#41;&#40;remember=S+s*&#41;&#40;s+.*&#41;?$/1&#x20;remember=5&#x20;5/&#039;&#x20;$file&#x20;else&#x20;sed&#x20;-ri&#x20;&#039;/^s*passwords+&#40;requisite|required|sufficient&#41;s+pam_unix.so/&#x20;s/$/&#x20;remember=5/&#039;&#x20;$file&#x20;fi&#x20;fi&#x20;authselect&#x20;apply-changes&#x20;}.','[{\"cis\": [\"5.5.3\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"nist_sp_800-53\": [\"IA-5(1)\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.004\"]}]'),(28142,'Ensure&#x20;password&#x20;hashing&#x20;algorithm&#x20;is&#x20;SHA-512&#x20;or&#x20;yescrypt.','A&#x20;cryptographic&#x20;hash&#x20;function&#x20;converts&#x20;an&#x20;arbitrary-length&#x20;input&#x20;into&#x20;a&#x20;fixed&#x20;length&#x20;output.&#x20;Password&#x20;hashing&#x20;performs&#x20;a&#x20;one-way&#x20;transformation&#x20;of&#x20;a&#x20;password,&#x20;turning&#x20;the&#x20;password&#x20;into&#x20;another&#x20;string,&#x20;called&#x20;the&#x20;hashed&#x20;password.','The&#x20;SHA-512&#x20;algorithm&#x20;provides&#x20;stronger&#x20;hashing&#x20;than&#x20;other&#x20;hashing&#x20;algorithms&#x20;used&#x20;for&#x20;password&#x20;hashing&#x20;with&#x20;Linux,&#x20;providing&#x20;additional&#x20;protection&#x20;to&#x20;the&#x20;system&#x20;by&#x20;increasing&#x20;the&#x20;level&#x20;of&#x20;effort&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;successfully&#x20;determine&#x20;passwords.&#x20;Note:&#x20;These&#x20;changes&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','Set&#x20;password&#x20;hashing&#x20;algorithm&#x20;to&#x20;sha512.&#x20;Edit&#x20;/etc/libuser.conf&#x20;and&#x20;edit&#x20;of&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;crypt_style&#x20;=&#x20;sha512&#x20;Edit&#x20;/etc/login.defs&#x20;and&#x20;edit&#x20;or&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;ENCRYPT_METHOD&#x20;SHA512&#x20;Run&#x20;the&#x20;following&#x20;script&#x20;to&#x20;configure&#x20;pam_unix.so&#x20;to&#x20;use&#x20;the&#x20;sha512&#x20;hashing&#x20;algorithm:&#x20;#!/usr/bin/env&#x20;bash&#x20;for&#x20;fn&#x20;in&#x20;system-auth&#x20;password-auth;&#x20;do&#x20;file=&quot;/etc/authselect/$&#40;head&#x20;-1&#x20;/etc/authselect/authselect.conf&#x20;|&#x20;grep&#x20;&#039;custom/&#039;&#41;/$fn&quot;&#x20;if&#x20;!&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+&#40;requisite|required|sufficient&#41;h+pam_unix.so&#40;h+[^#&#x0a;&#x0d;]+&#41;?&#x20;h+sha512&#x08;.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;if&#x20;grep&#x20;-Pq&#x20;--&#x20;&#039;^h*passwordh+&#40;requisite|required|sufficient&#41;h+pam_unix.so&#40;h+[^#&#x0a;&#x0d;]+&#41;?&#x20;h+&#40;md5|blowfish|bigcrypt|sha256&#41;&#x08;.*$&#039;&#x20;&quot;$file&quot;;&#x20;then&#x20;sed&#x20;-ri&#x20;&#039;s/&#40;md5|blowfish|bigcrypt|sha256&#41;/sha512/&#039;&#x20;&quot;$file&quot;&#x20;else&#x20;sed&#x20;-ri&#x20;&#039;s/&#40;^s*passwords+&#40;requisite|required|sufficient&#41;s+pam_unix.sos+&#41;&#40;.*&#41;$/1s&#x20;ha512&#x20;3/&#039;&#x20;$file&#x20;fi&#x20;fi&#x20;done&#x20;authselect&#x20;apply-changes&#x20;Note:&#x20;This&#x20;only&#x20;effects&#x20;local&#x20;users&#x20;and&#x20;passwords&#x20;created&#x20;after&#x20;updating&#x20;the&#x20;files&#x20;to&#x20;use&#x20;sha512.&#x20;If&#x20;it&#x20;is&#x20;determined&#x20;that&#x20;the&#x20;password&#x20;algorithm&#x20;being&#x20;used&#x20;is&#x20;not&#x20;SHA-512,&#x20;once&#x20;it&#x20;is&#x20;changed,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;all&#x20;user&#x20;ID&#039;s&#x20;be&#x20;immediately&#x20;expired&#x20;and&#x20;forced&#x20;to&#x20;change&#x20;their&#x20;passwords&#x20;on&#x20;next&#x20;login.','[{\"cis\": [\"5.5.4\"]}, {\"cis_csc_v8\": [\"3.11\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"nist_sp_800-53\": [\"IA-5(1)\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.19\", \"IA.L2-3.5.10\", \"MP.L2-3.8.1\", \"SC.L2-3.13.11\", \"SC.L2-3.13.16\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"3.4\", \"3.4.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"3.1.1\", \"3.3.2\", \"3.3.3\", \"3.5.1\", \"3.5.1.2\", \"3.5.1.3\", \"8.3.2\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1110\", \"T1110.002\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1041\"]}]'),(28143,'Ensure&#x20;password&#x20;expiration&#x20;is&#x20;365&#x20;days&#x20;or&#x20;less.','The&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;force&#x20;passwords&#x20;to&#x20;expire&#x20;once&#x20;they&#x20;reach&#x20;a&#x20;defined&#x20;age.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;less&#x20;than&#x20;or&#x20;equal&#x20;to&#x20;365&#x20;days.','The&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;leverage&#x20;compromised&#x20;credentials&#x20;or&#x20;successfully&#x20;compromise&#x20;credentials&#x20;via&#x20;an&#x20;online&#x20;brute&#x20;force&#x20;attack&#x20;is&#x20;limited&#x20;by&#x20;the&#x20;age&#x20;of&#x20;the&#x20;password.&#x20;Therefore,&#x20;reducing&#x20;the&#x20;maximum&#x20;age&#x20;of&#x20;a&#x20;password&#x20;also&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;window&#x20;of&#x20;opportunity.','','Set&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;in&#x20;/etc/login.defs&#x20;:&#x20;PASS_MAX_DAYS&#x20;365&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--maxdays&#x20;365&#x20;&lt;user&gt;.','[{\"cis\": [\"5.6.1.1\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.001\", \"T1110.002\", \"T1110.003\", \"T1110.004\"]}]'),(28144,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;configured.','The&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;changing&#x20;their&#x20;password&#x20;until&#x20;a&#x20;minimum&#x20;number&#x20;of&#x20;days&#x20;have&#x20;passed&#x20;since&#x20;the&#x20;last&#x20;time&#x20;the&#x20;user&#x20;changed&#x20;their&#x20;password.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;1&#x20;or&#x20;more&#x20;days.','By&#x20;restricting&#x20;the&#x20;frequency&#x20;of&#x20;password&#x20;changes,&#x20;an&#x20;administrator&#x20;can&#x20;prevent&#x20;users&#x20;from&#x20;repeatedly&#x20;changing&#x20;their&#x20;password&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;circumvent&#x20;password&#x20;reuse&#x20;controls.','','Set&#x20;the&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;to&#x20;1&#x20;in&#x20;/etc/login.defs:&#x20;PASS_MIN_DAYS&#x20;1&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--mindays&#x20;1&#x20;&lt;user&gt;.','[{\"cis\": [\"5.6.1.2\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110.004\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(28145,'Ensure&#x20;password&#x20;expiration&#x20;warning&#x20;days&#x20;is&#x20;7&#x20;or&#x20;more.','The&#x20;PASS_WARN_AGE&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;notify&#x20;users&#x20;that&#x20;their&#x20;password&#x20;will&#x20;expire&#x20;in&#x20;a&#x20;defined&#x20;number&#x20;of&#x20;days.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','Providing&#x20;an&#x20;advance&#x20;warning&#x20;that&#x20;a&#x20;password&#x20;will&#x20;be&#x20;expiring&#x20;gives&#x20;users&#x20;time&#x20;to&#x20;think&#x20;of&#x20;a&#x20;secure&#x20;password.&#x20;Users&#x20;caught&#x20;unaware&#x20;may&#x20;choose&#x20;a&#x20;simple&#x20;password&#x20;or&#x20;write&#x20;it&#x20;down&#x20;where&#x20;it&#x20;may&#x20;be&#x20;discovered.','','Set&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs:&#x20;PASS_WARN_AGE&#x20;7&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--warndays&#x20;7&#x20;&lt;user&gt;.','[{\"cis\": [\"5.6.1.3\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(28146,'Ensure&#x20;inactive&#x20;password&#x20;lock&#x20;is&#x20;30&#x20;days&#x20;or&#x20;less.','User&#x20;accounts&#x20;that&#x20;have&#x20;been&#x20;inactive&#x20;for&#x20;over&#x20;a&#x20;given&#x20;period&#x20;of&#x20;time&#x20;can&#x20;be&#x20;automatically&#x20;disabled.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;accounts&#x20;that&#x20;are&#x20;inactive&#x20;for&#x20;30&#x20;days&#x20;after&#x20;password&#x20;expiration&#x20;be&#x20;disabled.','Inactive&#x20;accounts&#x20;pose&#x20;a&#x20;threat&#x20;to&#x20;system&#x20;security&#x20;since&#x20;the&#x20;users&#x20;are&#x20;not&#x20;logging&#x20;in&#x20;to&#x20;notice&#x20;failed&#x20;login&#x20;attempts&#x20;or&#x20;other&#x20;anomalies.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;default&#x20;password&#x20;inactivity&#x20;period&#x20;to&#x20;30&#x20;days:&#x20;useradd&#x20;-D&#x20;-f&#x20;30&#x20;and&#x20;modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;chage&#x20;--inactive&#x20;30&#x20;&lt;user&gt;.','[{\"cis\": [\"5.6.1.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.002\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(28147,'Ensure&#x20;default&#x20;group&#x20;for&#x20;the&#x20;root&#x20;account&#x20;is&#x20;GID&#x20;0.','The&#x20;usermod&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;specify&#x20;which&#x20;group&#x20;the&#x20;root&#x20;account&#x20;belongs&#x20;to.&#x20;This&#x20;affects&#x20;permissions&#x20;of&#x20;files&#x20;that&#x20;are&#x20;created&#x20;by&#x20;the&#x20;root&#x20;account.','Using&#x20;GID&#x20;0&#x20;for&#x20;the&#x20;root&#x20;account&#x20;helps&#x20;prevent&#x20;root&#x20;-owned&#x20;files&#x20;from&#x20;accidentally&#x20;becoming&#x20;accessible&#x20;to&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;root&#x20;account&#x20;default&#x20;group&#x20;to&#x20;GID&#x20;0&#x20;:&#x20;#&#x20;usermod&#x20;-g&#x20;0&#x20;root.','[{\"cis\": [\"5.6.4\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"nist_sp_800-53\": [\"CM-1\", \"CM-2\", \"CM-6\", \"CM-7\", \"IA-5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(28148,'Ensure&#x20;root&#x20;password&#x20;is&#x20;set.','There&#x20;are&#x20;a&#x20;number&#x20;of&#x20;methods&#x20;to&#x20;access&#x20;the&#x20;root&#x20;account&#x20;directly.&#x20;Without&#x20;a&#x20;password&#x20;set&#x20;any&#x20;user&#x20;would&#x20;be&#x20;able&#x20;to&#x20;gain&#x20;access&#x20;and&#x20;thus&#x20;control&#x20;over&#x20;the&#x20;entire&#x20;system.','Access&#x20;to&#x20;root&#x20;should&#x20;be&#x20;secured&#x20;at&#x20;all&#x20;times.','If&#x20;there&#x20;are&#x20;any&#x20;automated&#x20;processes&#x20;that&#x20;relies&#x20;on&#x20;access&#x20;to&#x20;the&#x20;root&#x20;account&#x20;without&#x20;authentication,&#x20;they&#x20;will&#x20;fail&#x20;after&#x20;remediation.','Set&#x20;the&#x20;root&#x20;password&#x20;with:&#x20;#&#x20;passwd&#x20;root.','[{\"cis\": [\"5.6.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"mitre_techniques\": [\"T1078\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(28149,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd&#x20;are&#x20;configured.','The&#x20;/etc/passwd&#x20;file&#x20;contains&#x20;user&#x20;account&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;utilities&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;utilities&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;excess&#x20;permissions,&#x20;set&#x20;owner,&#x20;and&#x20;set&#x20;group&#x20;on&#x20;/etc/passwd:&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/passwd&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd.','[{\"cis\": [\"6.1.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28150,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd-&#x20;are&#x20;configured.','The&#x20;/etc/passwd-&#x20;file&#x20;contains&#x20;backup&#x20;user&#x20;account&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;excess&#x20;permissions,&#x20;set&#x20;owner,&#x20;and&#x20;set&#x20;group&#x20;on&#x20;/etc/passwd-:&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/passwd-&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd-.','[{\"cis\": [\"6.1.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28151,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group&#x20;are&#x20;configured.','The&#x20;/etc/group&#x20;file&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.&#x20;The&#x20;command&#x20;below&#x20;allows&#x20;read/write&#x20;access&#x20;for&#x20;root&#x20;and&#x20;read&#x20;access&#x20;for&#x20;everyone&#x20;else.','The&#x20;/etc/group&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users,&#x20;but&#x20;needs&#x20;to&#x20;be&#x20;readable&#x20;as&#x20;this&#x20;information&#x20;is&#x20;used&#x20;with&#x20;many&#x20;non-privileged&#x20;programs.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;excess&#x20;permissions,&#x20;set&#x20;owner,&#x20;and&#x20;set&#x20;group&#x20;on&#x20;/etc/group:&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/group&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group.','[{\"cis\": [\"6.1.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28152,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group-&#x20;are&#x20;configured.','The&#x20;/etc/group-&#x20;file&#x20;contains&#x20;a&#x20;backup&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/group-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;excess&#x20;permissions,&#x20;set&#x20;owner,&#x20;and&#x20;set&#x20;group&#x20;on&#x20;/etc/group-:&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/group-&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group-.','[{\"cis\": [\"6.1.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28153,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow&#x20;are&#x20;configured.','The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;user&#x20;accounts.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;mode,&#x20;owner,&#x20;and&#x20;group&#x20;on&#x20;/etc/shadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow&#x20;#&#x20;chmod&#x20;0000&#x20;/etc/shadow.','[{\"cis\": [\"6.1.5\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28154,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow-&#x20;are&#x20;configured.','The&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;mode,&#x20;owner,&#x20;and&#x20;group&#x20;on&#x20;/etc/shadow-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow-&#x20;#&#x20;chmod&#x20;0000&#x20;/etc/shadow-.','[{\"cis\": [\"6.1.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28155,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow&#x20;are&#x20;configured.','The&#x20;/etc/gshadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/gshadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/gshadow&#x20;file&#x20;&#40;such&#x20;as&#x20;group&#x20;administrators&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;group.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;mode,&#x20;owner,&#x20;and&#x20;group&#x20;on&#x20;/etc/gshadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow&#x20;#&#x20;chmod&#x20;0000&#x20;/etc/gshadow.','[{\"cis\": [\"6.1.7\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28156,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;are&#x20;configured.','The&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;mode,&#x20;owner,&#x20;and&#x20;group&#x20;on&#x20;/etc/gshadow-:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow-&#x20;#&#x20;chmod&#x20;0000&#x20;/etc/gshadow-.','[{\"cis\": [\"6.1.8\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(28157,'Ensure&#x20;accounts&#x20;in&#x20;/etc/passwd&#x20;use&#x20;shadowed&#x20;passwords.','Local&#x20;accounts&#x20;can&#x20;uses&#x20;shadowed&#x20;passwords.&#x20;With&#x20;shadowed&#x20;passwords,&#x20;the&#x20;passwords&#x20;are&#x20;saved&#x20;in&#x20;shadow&#x20;password&#x20;file,&#x20;/etc/shadow,&#x20;encrypted&#x20;by&#x20;a&#x20;salted&#x20;one-way&#x20;hash.&#x20;Accounts&#x20;with&#x20;a&#x20;shadowed&#x20;password&#x20;have&#x20;an&#x20;x&#x20;in&#x20;the&#x20;second&#x20;field&#x20;in&#x20;/etc/passwd.','The&#x20;/etc/passwd&#x20;file&#x20;also&#x20;contains&#x20;information&#x20;like&#x20;user&#x20;ID&#039;s&#x20;and&#x20;group&#x20;ID&#039;s&#x20;that&#x20;are&#x20;used&#x20;by&#x20;many&#x20;system&#x20;programs.&#x20;Therefore,&#x20;the&#x20;/etc/passwd&#x20;file&#x20;must&#x20;remain&#x20;world&#x20;readable.&#x20;In&#x20;spite&#x20;of&#x20;encoding&#x20;the&#x20;password&#x20;with&#x20;a&#x20;randomly-generated&#x20;one-way&#x20;hash&#x20;function,&#x20;an&#x20;attacker&#x20;could&#x20;still&#x20;break&#x20;the&#x20;system&#x20;if&#x20;they&#x20;got&#x20;access&#x20;to&#x20;the&#x20;/etc/passwd&#x20;file.&#x20;This&#x20;can&#x20;be&#x20;mitigated&#x20;by&#x20;using&#x20;shadowed&#x20;passwords,&#x20;thus&#x20;moving&#x20;the&#x20;passwords&#x20;in&#x20;the&#x20;/etc/passwd&#x20;file&#x20;to&#x20;/etc/shadow.&#x20;The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;set&#x20;so&#x20;only&#x20;root&#x20;will&#x20;be&#x20;able&#x20;to&#x20;read&#x20;and&#x20;write.&#x20;This&#x20;helps&#x20;mitigate&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;encoded&#x20;passwords&#x20;with&#x20;which&#x20;to&#x20;perform&#x20;a&#x20;dictionary&#x20;attack.&#x20;Note:&#x20;-&#x20;All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.&#x20;-&#x20;A&#x20;user&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;second&#x20;field&#x20;in&#x20;/etc/passwd&#x20;allows&#x20;the&#x20;account&#x20;to&#x20;be&#x20;logged&#x20;into&#x20;by&#x20;providing&#x20;only&#x20;the&#x20;username.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;accounts&#x20;to&#x20;use&#x20;shadowed&#x20;passwords:&#x20;#&#x20;sed&#x20;-e&#x20;&#039;s/^&#40;[a-zA-Z0-9_]*&#41;:[^:]*:/1:x:/&#039;&#x20;-i&#x20;/etc/passwd&#x20;Investigate&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for,&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.1\"]}, {\"cis_csc_v8\": [\"3.11\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.19\", \"IA.L2-3.5.10\", \"MP.L2-3.8.1\", \"SC.L2-3.13.11\", \"SC.L2-3.13.16\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"3.4\", \"3.4.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"3.1.1\", \"3.3.2\", \"3.3.3\", \"3.5.1\", \"3.5.1.2\", \"3.5.1.3\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"SC-28\", \"SC-28(1)\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(28158,'Ensure&#x20;/etc/shadow&#x20;password&#x20;fields&#x20;are&#x20;not&#x20;empty.','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;password,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;account&#x20;until&#x20;it&#x20;can&#x20;be&#x20;determined&#x20;why&#x20;it&#x20;does&#x20;not&#x20;have&#x20;a&#x20;password:&#x20;passwd&#x20;-l&#x20;&lt;username&gt;.&#x20;Also,&#x20;check&#x20;to&#x20;see&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;investigate&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.2\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(28159,'Ensure&#x20;root&#x20;is&#x20;the&#x20;only&#x20;UID&#x20;0&#x20;account.','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','','Remove&#x20;any&#x20;users&#x20;other&#x20;than&#x20;root&#x20;with&#x20;UID&#x20;0&#x20;or&#x20;assign&#x20;them&#x20;a&#x20;new&#x20;UID&#x20;if&#x20;appropriate.','[{\"cis\": [\"6.2.9\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(28500,'Ensure&#x20;/tmp&#x20;is&#x20;a&#x20;separate&#x20;partition.','The&#x20;/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Making&#x20;/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hard&#x20;link&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hard&#x20;link&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.&#x20;This&#x20;can&#x20;be&#x20;accomplished&#x20;by&#x20;either&#x20;mounting&#x20;tmpfs&#x20;to&#x20;/tmp,&#x20;or&#x20;creating&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/tmp.','Since&#x20;the&#x20;/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;Running&#x20;out&#x20;of&#x20;/tmp&#x20;space&#x20;is&#x20;a&#x20;problem&#x20;regardless&#x20;of&#x20;what&#x20;kind&#x20;of&#x20;filesystem&#x20;lies&#x20;under&#x20;it,&#x20;but&#x20;in&#x20;a&#x20;configuration&#x20;where&#x20;/tmp&#x20;is&#x20;not&#x20;a&#x20;separate&#x20;file&#x20;system&#x20;it&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available,&#x20;as&#x20;the&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;On&#x20;the&#x20;other&#x20;hand,&#x20;a&#x20;RAM-based&#x20;/tmp&#x20;&#40;as&#x20;with&#x20;tmpfs&#41;&#x20;will&#x20;almost&#x20;certainly&#x20;be&#x20;much&#x20;smaller,&#x20;which&#x20;can&#x20;lead&#x20;to&#x20;applications&#x20;filling&#x20;up&#x20;the&#x20;filesystem&#x20;much&#x20;more&#x20;easily.&#x20;Another&#x20;alternative&#x20;is&#x20;to&#x20;create&#x20;a&#x20;dedicated&#x20;partition&#x20;for&#x20;/tmp&#x20;from&#x20;a&#x20;separate&#x20;volume&#x20;or&#x20;disk.&#x20;One&#x20;of&#x20;the&#x20;downsides&#x20;of&#x20;a&#x20;disk-based&#x20;dedicated&#x20;partition&#x20;is&#x20;that&#x20;it&#x20;will&#x20;be&#x20;slower&#x20;than&#x20;tmpfs&#x20;which&#x20;is&#x20;RAM-based.&#x20;/tmp&#x20;utilizing&#x20;tmpfs&#x20;can&#x20;be&#x20;resized&#x20;using&#x20;the&#x20;size={size}&#x20;parameter&#x20;in&#x20;the&#x20;relevant&#x20;entry&#x20;in&#x20;/etc/fstab.','First&#x20;ensure&#x20;that&#x20;systemd&#x20;is&#x20;correctly&#x20;configured&#x20;to&#x20;ensure&#x20;that&#x20;/tmp&#x20;will&#x20;be&#x20;mounted&#x20;at&#x20;boot&#x20;time.&#x20;#&#x20;systemctl&#x20;unmask&#x20;tmp.mount&#x20;For&#x20;specific&#x20;configuration&#x20;requirements&#x20;of&#x20;the&#x20;/tmp&#x20;mount&#x20;for&#x20;your&#x20;environment,&#x20;modify&#x20;/etc/fstab&#x20;or&#x20;tmp.mount.&#x20;Example&#x20;of&#x20;/etc/fstab&#x20;configured&#x20;tmpfs&#x20;file&#x20;system&#x20;with&#x20;specific&#x20;mount&#x20;options:&#x20;tmpfs&#x20;0&#x20;/tmp&#x20;tmpfs&#x20;defaults,rw,nosuid,nodev,noexec,relatime,size=2G&#x20;0&#x20;Example&#x20;of&#x20;tmp.mount&#x20;configured&#x20;tmpfs&#x20;file&#x20;system&#x20;with&#x20;specific&#x20;mount&#x20;options:&#x20;[Unit]&#x20;Description=Temporary&#x20;Directory&#x20;/tmp&#x20;ConditionPathIsSymbolicLink=!/tmp&#x20;DefaultDependencies=no&#x20;Conflicts=umount.target&#x20;Before=local-fs.target&#x20;umount.target&#x20;After=swap.target&#x20;[Mount]&#x20;What=tmpfs&#x20;Where=/tmp&#x20;Type=tmpfs.','[{\"cis\": [\"1.1.2.1\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28501,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/tmp&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/tmp.','[{\"cis\": [\"1.1.2.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28502,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/tmp&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/tmp.','[{\"cis\": [\"1.1.2.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28503,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/tmp&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/tmp.','[{\"cis\": [\"1.1.2.4\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28504,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var.','The&#x20;/var&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;daemons&#x20;and&#x20;other&#x20;system&#x20;services&#x20;to&#x20;temporarily&#x20;store&#x20;dynamic&#x20;data.&#x20;Some&#x20;directories&#x20;created&#x20;by&#x20;these&#x20;processes&#x20;may&#x20;be&#x20;world-writable.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/var&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follow.&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/var&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;In&#x20;addition,&#x20;other&#x20;operations&#x20;on&#x20;the&#x20;system&#x20;could&#x20;fill&#x20;up&#x20;the&#x20;disk&#x20;unrelated&#x20;to&#x20;/var&#x20;and&#x20;cause&#x20;unintended&#x20;behavior&#x20;across&#x20;the&#x20;system&#x20;as&#x20;the&#x20;disk&#x20;is&#x20;full.&#x20;See&#x20;man&#x20;auditd.conf&#x20;for&#x20;details.&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount&#x20;Configuring&#x20;/var&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behaviour.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;Protection&#x20;from&#x20;exploitation&#x20;An&#x20;example&#x20;of&#x20;exploiting&#x20;/var&#x20;may&#x20;be&#x20;an&#x20;attacker&#x20;establishing&#x20;a&#x20;hard-link&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hardlink&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.3.1\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28505,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var.','','IF&#x20;the&#x20;/var&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var.','[{\"cis\": [\"1.1.3.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28506,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;variable&#x20;files&#x20;such&#x20;as&#x20;logs,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var.','','IF&#x20;the&#x20;/var&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var.','[{\"cis\": [\"1.1.3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28507,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/tmp.','The&#x20;/var/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.&#x20;Temporary&#x20;file&#x20;residing&#x20;in&#x20;/var/tmp&#x20;is&#x20;to&#x20;be&#x20;preserved&#x20;between&#x20;reboots.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/var/tmp&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follow.&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/var/tmp&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;In&#x20;addition,&#x20;other&#x20;operations&#x20;on&#x20;the&#x20;system&#x20;could&#x20;fill&#x20;up&#x20;the&#x20;disk&#x20;unrelated&#x20;to&#x20;/var/tmp&#x20;and&#x20;cause&#x20;the&#x20;potential&#x20;disruption&#x20;to&#x20;daemons&#x20;as&#x20;the&#x20;disk&#x20;is&#x20;full.&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount&#x20;Configuring&#x20;/var/tmp&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behavior.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;Protection&#x20;from&#x20;exploitation&#x20;An&#x20;example&#x20;of&#x20;exploiting&#x20;/var/tmp&#x20;may&#x20;be&#x20;an&#x20;attacker&#x20;establishing&#x20;a&#x20;hard-link&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hard-link&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/tmp.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.4.1\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28508,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/tmp.','','IF&#x20;the&#x20;/var/tmp&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/tmp&#x20;0&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/tmp.','[{\"cis\": [\"1.1.4.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28509,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/tmp.','','IF&#x20;the&#x20;/var/tmp&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/tmp&#x20;0&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/tmp.','[{\"cis\": [\"1.1.4.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28510,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/tmp.','','IF&#x20;the&#x20;/var/tmp&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/tmp&#x20;0&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/tmp.','[{\"cis\": [\"1.1.4.4\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28511,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log.','The&#x20;/var/log&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;system&#x20;services&#x20;to&#x20;store&#x20;log&#x20;data.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/var/log&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follow.&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/var/log&#x20;directory&#x20;contain&#x20;the&#x20;log&#x20;files&#x20;that&#x20;can&#x20;grow&#x20;quite&#x20;large,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount&#x20;Configuring&#x20;/var/log&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behavior.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;Protection&#x20;of&#x20;log&#x20;data&#x20;As&#x20;/var/log&#x20;contains&#x20;log&#x20;files,&#x20;care&#x20;should&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;the&#x20;security&#x20;and&#x20;integrity&#x20;of&#x20;the&#x20;data&#x20;and&#x20;mount&#x20;point.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log&#x20;.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.5.1\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"pci_dss_v3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}]'),(28512,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/log&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/log&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/log.','','IF&#x20;the&#x20;/var/log&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log.','[{\"cis\": [\"1.1.5.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28513,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/log&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/log&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;log&#x20;files,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/log.','','IF&#x20;the&#x20;/var/log&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log.','[{\"cis\": [\"1.1.5.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28514,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/log&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/log&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;log&#x20;files,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/log.','','IF&#x20;the&#x20;/var/log&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log.','[{\"cis\": [\"1.1.5.4\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28515,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log/audit.','The&#x20;auditing&#x20;daemon,&#x20;auditd,&#x20;stores&#x20;log&#x20;data&#x20;in&#x20;the&#x20;/var/log/audit&#x20;directory.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/var/log/audit&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follow.&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/var/log/audit&#x20;directory&#x20;contain&#x20;the&#x20;audit.log&#x20;file&#x20;that&#x20;can&#x20;grow&#x20;quite&#x20;large,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;In&#x20;addition,&#x20;other&#x20;operations&#x20;on&#x20;the&#x20;system&#x20;could&#x20;fill&#x20;up&#x20;the&#x20;disk&#x20;unrelated&#x20;to&#x20;/var/log/audit&#x20;and&#x20;cause&#x20;auditd&#x20;to&#x20;trigger&#x20;it&#039;s&#x20;space_left_action&#x20;as&#x20;the&#x20;disk&#x20;is&#x20;full.&#x20;See&#x20;man&#x20;auditd.conf&#x20;for&#x20;details.&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount&#x20;Configuring&#x20;/var/log/audit&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behavior.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;Protection&#x20;of&#x20;audit&#x20;data&#x20;As&#x20;/var/log/audit&#x20;contains&#x20;audit&#x20;logs,&#x20;care&#x20;should&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;the&#x20;security&#x20;and&#x20;integrity&#x20;of&#x20;the&#x20;data&#x20;and&#x20;mount&#x20;point.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log/audit.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.6.1\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"pci_dss_v3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}]'),(28516,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/log/audit&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/log/audit&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;audit&#x20;logs,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/log/audit.','','IF&#x20;the&#x20;/var/log/audit&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log/audit&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log/audit&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log/audit.','[{\"cis\": [\"1.1.6.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28517,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/log/audit&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/log/audit&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/log/audit.','','IF&#x20;the&#x20;/var/log/audit&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log/audit&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log/audit&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log/audit&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log/audit.','[{\"cis\": [\"1.1.6.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28518,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/log/audit&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/log/audit&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;variable&#x20;files&#x20;such&#x20;as&#x20;logs,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/log/audit.','','IF&#x20;the&#x20;/var/log/audit&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log/audit&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log/audit&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log/audit&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log/audit.','[{\"cis\": [\"1.1.6.4\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28519,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/home.','The&#x20;/home&#x20;directory&#x20;is&#x20;used&#x20;to&#x20;support&#x20;disk&#x20;storage&#x20;needs&#x20;of&#x20;local&#x20;users.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/home&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follow.&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/home&#x20;directory&#x20;contains&#x20;user&#x20;generated&#x20;data,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;In&#x20;addition,&#x20;other&#x20;operations&#x20;on&#x20;the&#x20;system&#x20;could&#x20;fill&#x20;up&#x20;the&#x20;disk&#x20;unrelated&#x20;to&#x20;/home&#x20;and&#x20;impact&#x20;all&#x20;local&#x20;users.&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount&#x20;Configuring&#x20;/home&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;In&#x20;the&#x20;case&#x20;of&#x20;/home&#x20;options&#x20;such&#x20;as&#x20;usrquota/grpquota&#x20;may&#x20;be&#x20;considered&#x20;to&#x20;limit&#x20;the&#x20;impact&#x20;that&#x20;users&#x20;can&#x20;have&#x20;on&#x20;each&#x20;other&#x20;with&#x20;regards&#x20;to&#x20;disk&#x20;resource&#x20;exhaustion.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behavior.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;Protection&#x20;of&#x20;user&#x20;data&#x20;As&#x20;/home&#x20;contains&#x20;user&#x20;data,&#x20;care&#x20;should&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;the&#x20;security&#x20;and&#x20;integrity&#x20;of&#x20;the&#x20;data&#x20;and&#x20;mount&#x20;point.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/home.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.7.1\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28520,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/home&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var.','','IF&#x20;the&#x20;/home&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/home&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/home&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/home&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/home.','[{\"cis\": [\"1.1.7.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28521,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/home&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;user&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/home.','','IF&#x20;the&#x20;/home&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/home&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/home&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/home&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/home.','[{\"cis\": [\"1.1.7.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28522,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/dev/shm&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;special&#x20;devices&#x20;in&#x20;/dev/shm&#x20;partitions.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm&#x20;using&#x20;the&#x20;updated&#x20;options&#x20;from&#x20;/etc/fstab:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/dev/shm&#x20;Additional&#x20;Information:&#x20;Some&#x20;distributions&#x20;mount&#x20;/dev/shm&#x20;through&#x20;other&#x20;means&#x20;and&#x20;require&#x20;/dev/shm&#x20;to&#x20;be&#x20;added&#x20;to&#x20;/etc/fstab&#x20;even&#x20;though&#x20;it&#x20;is&#x20;already&#x20;being&#x20;mounted&#x20;on&#x20;boot.&#x20;Others&#x20;may&#x20;configure&#x20;/dev/shm&#x20;in&#x20;other&#x20;locations&#x20;and&#x20;may&#x20;override&#x20;/etc/fstab&#x20;configuration.&#x20;Consult&#x20;the&#x20;documentation&#x20;appropriate&#x20;for&#x20;your&#x20;distribution.','[{\"cis\": [\"1.1.8.1\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28523,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;executing&#x20;programs&#x20;from&#x20;shared&#x20;memory.&#x20;This&#x20;deters&#x20;users&#x20;from&#x20;introducing&#x20;potentially&#x20;malicious&#x20;software&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/dev/shm&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/dev/shm&#x20;NOTE&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;use&#x20;tmpfs&#x20;as&#x20;the&#x20;device/filesystem&#x20;type&#x20;as&#x20;/dev/shm&#x20;is&#x20;used&#x20;as&#x20;shared&#x20;memory&#x20;space&#x20;by&#x20;applications.','[{\"cis\": [\"1.1.8.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28524,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;introducing&#x20;privileged&#x20;programs&#x20;onto&#x20;the&#x20;system&#x20;and&#x20;allowing&#x20;non-root&#x20;users&#x20;to&#x20;execute&#x20;them.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm&#x20;using&#x20;the&#x20;updated&#x20;options&#x20;from&#x20;/etc/fstab:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/dev/shm&#x20;Additional&#x20;Information:&#x20;Some&#x20;distributions&#x20;mount&#x20;/dev/shm&#x20;through&#x20;other&#x20;means&#x20;and&#x20;require&#x20;/dev/shm&#x20;to&#x20;be&#x20;added&#x20;to&#x20;/etc/fstab&#x20;even&#x20;though&#x20;it&#x20;is&#x20;already&#x20;being&#x20;mounted&#x20;on&#x20;boot.&#x20;Others&#x20;may&#x20;configure&#x20;/dev/shm&#x20;in&#x20;other&#x20;locations&#x20;and&#x20;may&#x20;override&#x20;/etc/fstab&#x20;configuration.&#x20;Consult&#x20;the&#x20;documentation&#x20;appropriate&#x20;for&#x20;your&#x20;distribution.','[{\"cis\": [\"1.1.8.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28525,'Disable&#x20;Automounting.','autofs&#x20;allows&#x20;automatic&#x20;mounting&#x20;of&#x20;devices,&#x20;typically&#x20;including&#x20;CD/DVDs&#x20;and&#x20;USB&#x20;drives.','With&#x20;automounting&#x20;enabled&#x20;anyone&#x20;with&#x20;physical&#x20;access&#x20;could&#x20;attach&#x20;a&#x20;USB&#x20;drive&#x20;or&#x20;disc&#x20;and&#x20;have&#x20;its&#x20;contents&#x20;available&#x20;in&#x20;system&#x20;even&#x20;if&#x20;they&#x20;lacked&#x20;permissions&#x20;to&#x20;mount&#x20;it&#x20;themselves.','The&#x20;use&#x20;of&#x20;portable&#x20;hard&#x20;drives&#x20;is&#x20;very&#x20;common&#x20;for&#x20;workstation&#x20;users.&#x20;If&#x20;your&#x20;organization&#x20;allows&#x20;the&#x20;use&#x20;of&#x20;portable&#x20;storage&#x20;or&#x20;media&#x20;on&#x20;workstations&#x20;and&#x20;physical&#x20;access&#x20;controls&#x20;to&#x20;workstations&#x20;is&#x20;considered&#x20;adequate&#x20;there&#x20;is&#x20;little&#x20;value&#x20;add&#x20;in&#x20;turning&#x20;off&#x20;automounting.','If&#x20;there&#x20;are&#x20;no&#x20;other&#x20;packages&#x20;that&#x20;depends&#x20;on&#x20;autofs,&#x20;remove&#x20;the&#x20;package&#x20;with:&#x20;#&#x20;apt&#x20;purge&#x20;autofs&#x20;OR&#x20;if&#x20;there&#x20;are&#x20;dependencies&#x20;on&#x20;the&#x20;autofs&#x20;package:&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;mask&#x20;autofs:&#x20;#&#x20;systemctl&#x20;stop&#x20;autofs&#x20;#&#x20;systemctl&#x20;mask&#x20;autofs&#x20;Additional&#x20;Information:&#x20;This&#x20;control&#x20;should&#x20;align&#x20;with&#x20;the&#x20;tolerance&#x20;of&#x20;the&#x20;use&#x20;of&#x20;portable&#x20;drives&#x20;and&#x20;optical&#x20;media&#x20;in&#x20;the&#x20;organization.&#x20;On&#x20;a&#x20;server&#x20;requiring&#x20;an&#x20;admin&#x20;to&#x20;manually&#x20;mount&#x20;media&#x20;can&#x20;be&#x20;part&#x20;of&#x20;defense-in-depth&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;unapproved&#x20;software&#x20;or&#x20;information&#x20;being&#x20;introduced&#x20;or&#x20;proprietary&#x20;software&#x20;or&#x20;information&#x20;being&#x20;exfiltrated.&#x20;If&#x20;admins&#x20;commonly&#x20;use&#x20;flash&#x20;drives&#x20;and&#x20;Server&#x20;access&#x20;has&#x20;sufficient&#x20;physical&#x20;controls,&#x20;requiring&#x20;manual&#x20;mounting&#x20;may&#x20;not&#x20;increase&#x20;security.','[{\"cis\": [\"1.1.9\"]}, {\"cis_csc_v7\": [\"8.5\"]}, {\"cis_csc_v8\": [\"10.3\"]}, {\"mitre_techniques\": [\"T1068\", \"T1203\", \"T1211\", \"T1212\"]}, {\"cmmc_v2.0\": [\"MP.L2-3.8.7\"]}, {\"hipaa\": [\"164.310(d)(1)\"]}]'),(28526,'Ensure&#x20;AIDE&#x20;is&#x20;installed.','AIDE&#x20;takes&#x20;a&#x20;snapshot&#x20;of&#x20;filesystem&#x20;state&#x20;including&#x20;modification&#x20;times,&#x20;permissions,&#x20;and&#x20;file&#x20;hashes&#x20;which&#x20;can&#x20;then&#x20;be&#x20;used&#x20;to&#x20;compare&#x20;against&#x20;the&#x20;current&#x20;state&#x20;of&#x20;the&#x20;filesystem&#x20;to&#x20;detect&#x20;modifications&#x20;to&#x20;the&#x20;system.','By&#x20;monitoring&#x20;the&#x20;filesystem&#x20;state&#x20;compromised&#x20;files&#x20;can&#x20;be&#x20;detected&#x20;to&#x20;prevent&#x20;or&#x20;limit&#x20;the&#x20;exposure&#x20;of&#x20;accidental&#x20;or&#x20;malicious&#x20;misconfigurations&#x20;or&#x20;modified&#x20;binaries.','','Install&#x20;AIDE&#x20;using&#x20;the&#x20;appropriate&#x20;package&#x20;manager&#x20;or&#x20;manual&#x20;installation:&#x20;#&#x20;apt&#x20;install&#x20;aide&#x20;aide-common&#x20;Configure&#x20;AIDE&#x20;as&#x20;appropriate&#x20;for&#x20;your&#x20;environment.&#x20;Consult&#x20;the&#x20;AIDE&#x20;documentation&#x20;for&#x20;options.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;initialize&#x20;AIDE:&#x20;#&#x20;aideinit&#x20;#&#x20;mv&#x20;/var/lib/aide/aide.db.new&#x20;/var/lib/aide/aide.db&#x20;Additional&#x20;Information:&#x20;The&#x20;prelinking&#x20;feature&#x20;can&#x20;interfere&#x20;with&#x20;AIDE&#x20;because&#x20;it&#x20;alters&#x20;binaries&#x20;to&#x20;speed&#x20;up&#x20;their&#x20;start&#x20;up&#x20;times.&#x20;Run&#x20;prelink&#x20;-ua&#x20;to&#x20;restore&#x20;the&#x20;binaries&#x20;to&#x20;their&#x20;prelinked&#x20;state,&#x20;thus&#x20;avoiding&#x20;false&#x20;positives&#x20;from&#x20;AIDE.','[{\"cis\": [\"1.3.1\"]}, {\"cis_csc_v7\": [\"14.9\"]}, {\"cis_csc_v8\": [\"3.14\"]}, {\"mitre_techniques\": [\"T1036\", \"T1036.002\", \"T1036.003\", \"T1036.004\", \"T1036.005\", \"T1565\", \"T1565.001\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.7\"]}, {\"hipaa\": [\"164.312(b)\", \"164.312(c)(1)\", \"164.312(c)(2)\"]}, {\"pci_dss_v3.2.1\": [\"10.2.1\", \"11.5\"]}, {\"pci_dss_v4.0\": [\"10.2.1\", \"10.2.1.1\"]}, {\"nist_sp_800-53\": [\"AC-6(9)\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28527,'Ensure&#x20;bootloader&#x20;password&#x20;is&#x20;set.','Setting&#x20;the&#x20;boot&#x20;loader&#x20;password&#x20;will&#x20;require&#x20;that&#x20;anyone&#x20;rebooting&#x20;the&#x20;system&#x20;must&#x20;enter&#x20;a&#x20;password&#x20;before&#x20;being&#x20;able&#x20;to&#x20;set&#x20;command&#x20;line&#x20;boot&#x20;parameters.','Requiring&#x20;a&#x20;boot&#x20;password&#x20;upon&#x20;execution&#x20;of&#x20;the&#x20;boot&#x20;loader&#x20;will&#x20;prevent&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;entering&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;the&#x20;boot&#x20;partition.&#x20;This&#x20;prevents&#x20;users&#x20;from&#x20;weakening&#x20;security&#x20;&#40;e.g.&#x20;turning&#x20;off&#x20;AppArmor&#x20;at&#x20;boot&#x20;time&#41;.','If&#x20;password&#x20;protection&#x20;is&#x20;enabled,&#x20;only&#x20;the&#x20;designated&#x20;superuser&#x20;can&#x20;edit&#x20;a&#x20;Grub&#x20;2&#x20;menu&#x20;item&#x20;by&#x20;pressing&#x20;&quot;e&quot;&#x20;or&#x20;access&#x20;the&#x20;GRUB&#x20;2&#x20;command&#x20;line&#x20;by&#x20;pressing&#x20;&quot;c&quot;&#x20;If&#x20;GRUB&#x20;2&#x20;is&#x20;set&#x20;up&#x20;to&#x20;boot&#x20;automatically&#x20;to&#x20;a&#x20;password-protected&#x20;menu&#x20;entry&#x20;the&#x20;user&#x20;has&#x20;no&#x20;option&#x20;to&#x20;back&#x20;out&#x20;of&#x20;the&#x20;password&#x20;prompt&#x20;to&#x20;select&#x20;another&#x20;menu&#x20;entry.&#x20;Holding&#x20;the&#x20;SHIFT&#x20;key&#x20;will&#x20;not&#x20;display&#x20;the&#x20;menu&#x20;in&#x20;this&#x20;case.&#x20;The&#x20;user&#x20;must&#x20;enter&#x20;the&#x20;correct&#x20;username&#x20;and&#x20;password.&#x20;If&#x20;unable,&#x20;the&#x20;configuration&#x20;files&#x20;will&#x20;have&#x20;to&#x20;be&#x20;edited&#x20;via&#x20;the&#x20;LiveCD&#x20;or&#x20;other&#x20;means&#x20;to&#x20;fix&#x20;the&#x20;problem&#x20;You&#x20;can&#x20;add&#x20;--unrestricted&#x20;to&#x20;the&#x20;menu&#x20;entries&#x20;to&#x20;allow&#x20;the&#x20;system&#x20;to&#x20;boot&#x20;without&#x20;entering&#x20;a&#x20;password.&#x20;Password&#x20;will&#x20;still&#x20;be&#x20;required&#x20;to&#x20;edit&#x20;menu&#x20;items.&#x20;More&#x20;Information:&#x20;https://help.ubuntu.com/community/Grub2/Passwords.','Create&#x20;an&#x20;encrypted&#x20;password&#x20;with&#x20;grub-mkpasswd-pbkdf2:&#x20;#&#x20;grub-mkpasswd-pbkdf2&#x20;Enter&#x20;password:&#x20;&lt;password&gt;&#x20;Reenter&#x20;password:&#x20;&lt;password&gt;&#x20;PBKDF2&#x20;hash&#x20;of&#x20;your&#x20;password&#x20;is&#x20;&lt;encrypted-password&gt;&#x20;Add&#x20;the&#x20;following&#x20;into&#x20;a&#x20;custom&#x20;/etc/grub.d&#x20;configuration&#x20;file:&#x20;cat&#x20;&lt;&lt;EOF&#x20;set&#x20;superusers=&quot;&lt;username&gt;&quot;&#x20;password_pbkdf2&#x20;&lt;username&gt;&#x20;&lt;encrypted-password&gt;&#x20;EOF&#x20;The&#x20;superuser/user&#x20;information&#x20;and&#x20;password&#x20;should&#x20;not&#x20;be&#x20;contained&#x20;in&#x20;the&#x20;/etc/grub.d/00_header&#x20;file&#x20;as&#x20;this&#x20;file&#x20;could&#x20;be&#x20;overwritten&#x20;in&#x20;a&#x20;package&#x20;update.&#x20;If&#x20;there&#x20;is&#x20;a&#x20;requirement&#x20;to&#x20;be&#x20;able&#x20;to&#x20;boot/reboot&#x20;without&#x20;entering&#x20;the&#x20;password,&#x20;edit&#x20;/etc/grub.d/10_linux&#x20;and&#x20;add&#x20;--unrestricted&#x20;to&#x20;the&#x20;line&#x20;CLASS=&#x20;Example:&#x20;CLASS=&quot;--class&#x20;gnu-linux&#x20;--class&#x20;gnu&#x20;--class&#x20;os&#x20;--unrestricted&quot;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub&#x20;Default&#x20;Value:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.&#x20;Replace&#x20;/boot/grub/grub.cfg&#x20;with&#x20;the&#x20;appropriate&#x20;grub&#x20;configuration&#x20;file&#x20;for&#x20;your&#x20;environment.','[{\"cis\": [\"1.4.1\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"mitre_techniques\": [\"T1542\"]}, {\"mitre_tactics\": [\"T1542\"]}, {\"mitre_mitigations\": [\"M1046\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \" 8.3.5\", \" 8.3.6\", \" 8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28528,'Ensure&#x20;permissions&#x20;on&#x20;bootloader&#x20;config&#x20;are&#x20;configured.','The&#x20;grub&#x20;configuration&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;boot&#x20;settings&#x20;and&#x20;passwords&#x20;for&#x20;unlocking&#x20;boot&#x20;options.','Setting&#x20;the&#x20;permissions&#x20;to&#x20;read&#x20;and&#x20;write&#x20;for&#x20;root&#x20;only&#x20;prevents&#x20;non-root&#x20;users&#x20;from&#x20;seeing&#x20;the&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;them.&#x20;Non-root&#x20;users&#x20;who&#x20;read&#x20;the&#x20;boot&#x20;parameters&#x20;may&#x20;be&#x20;able&#x20;to&#x20;identify&#x20;weaknesses&#x20;in&#x20;security&#x20;upon&#x20;boot&#x20;and&#x20;be&#x20;able&#x20;to&#x20;exploit&#x20;them.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;your&#x20;grub&#x20;configuration:&#x20;#&#x20;chown&#x20;root:root&#x20;/boot/grub/grub.cfg&#x20;#&#x20;chmod&#x20;u-wx,go-rwx&#x20;/boot/grub/grub.cfg&#x20;Additional&#x20;Information:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.&#x20;Replace&#x20;/boot/grub/grub.cfg&#x20;with&#x20;the&#x20;appropriate&#x20;grub&#x20;configuration&#x20;file&#x20;for&#x20;your&#x20;environment.','[{\"cis\": [\"1.4.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1542\"]}, {\"mitre_tactics\": [\"TA0005\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \" AC.L1-3.1.2\", \" AC.L2-3.1.5\", \" AC.L2-3.1.3\", \" MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \" 164.308(a)(3)(ii)(A)\", \" 164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \" 7.1.1\", \" 7.1.2\", \" 7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \" 7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \" AC-6\"]}, {\"soc_2\": [\"CC5.2\", \" CC6.1\"]}]'),(28529,'Ensure&#x20;authentication&#x20;required&#x20;for&#x20;single&#x20;user&#x20;mode.','Single&#x20;user&#x20;mode&#x20;is&#x20;used&#x20;for&#x20;recovery&#x20;when&#x20;the&#x20;system&#x20;detects&#x20;an&#x20;issue&#x20;during&#x20;boot&#x20;or&#x20;by&#x20;manual&#x20;selection&#x20;from&#x20;the&#x20;bootloader.','Requiring&#x20;authentication&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;prevents&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;rebooting&#x20;the&#x20;system&#x20;into&#x20;single&#x20;user&#x20;to&#x20;gain&#x20;root&#x20;privileges&#x20;without&#x20;credentials.','','Run&#x20;the&#x20;following&#x20;command&#x20;and&#x20;follow&#x20;the&#x20;prompts&#x20;to&#x20;set&#x20;a&#x20;password&#x20;for&#x20;the&#x20;root&#x20;user:&#x20;#&#x20;passwd&#x20;root.','[{\"cis\": [\"1.4.3\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \" 8.3.5\", \" 8.3.6\", \" 8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28530,'Ensure&#x20;prelink&#x20;is&#x20;not&#x20;installed.','prelink&#x20;is&#x20;a&#x20;program&#x20;that&#x20;modifies&#x20;ELF&#x20;shared&#x20;libraries&#x20;and&#x20;ELF&#x20;dynamically&#x20;linked&#x20;binaries&#x20;in&#x20;such&#x20;a&#x20;way&#x20;that&#x20;the&#x20;time&#x20;needed&#x20;for&#x20;the&#x20;dynamic&#x20;linker&#x20;to&#x20;perform&#x20;relocations&#x20;at&#x20;startup&#x20;significantly&#x20;decreases.','The&#x20;prelinking&#x20;feature&#x20;can&#x20;interfere&#x20;with&#x20;the&#x20;operation&#x20;of&#x20;AIDE,&#x20;because&#x20;it&#x20;changes&#x20;binaries.&#x20;Prelinking&#x20;can&#x20;also&#x20;increase&#x20;the&#x20;vulnerability&#x20;of&#x20;the&#x20;system&#x20;if&#x20;a&#x20;malicious&#x20;user&#x20;is&#x20;able&#x20;to&#x20;compromise&#x20;a&#x20;common&#x20;library&#x20;such&#x20;as&#x20;libc.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restore&#x20;binaries&#x20;to&#x20;normal:&#x20;#&#x20;prelink&#x20;-ua&#x20;Uninstall&#x20;prelink&#x20;using&#x20;the&#x20;appropriate&#x20;package&#x20;manager&#x20;or&#x20;manual&#x20;installation:&#x20;#&#x20;apt&#x20;purge&#x20;prelink.','[{\"cis\": [\"1.5.2\"]}, {\"cis_csc_v7\": [\"14.9\"]}, {\"cis_csc_v8\": [\"3.14\"]}, {\"mitre_techniques\": [\"T1055\", \"T1055.009\", \"T1065\", \"T1065.001\"]}, {\"mitre_tactics\": [\"TA0002\"]}, {\"mitre_mitigations\": [\"M1050\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.7\"]}, {\"hipaa\": [\"164.312(b)\", \" 164.312(c)(1)\", \" 164.312(c)(2)\"]}, {\"pci_dss_v3.2.1\": [\"10.2.1\", \" 11.5\"]}, {\"pci_dss_v4.0\": [\"10.2.1\", \" 10.2.1.1\"]}, {\"nist_sp_800-53\": [\"AC-6(9)\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28531,'Ensure&#x20;Automatic&#x20;Error&#x20;Reporting&#x20;is&#x20;not&#x20;enabled.','The&#x20;Apport&#x20;Error&#x20;Reporting&#x20;Service&#x20;automatically&#x20;generates&#x20;crash&#x20;reports&#x20;for&#x20;debugging.','Apport&#x20;collects&#x20;potentially&#x20;sensitive&#x20;data,&#x20;such&#x20;as&#x20;core&#x20;dumps,&#x20;stack&#x20;traces,&#x20;and&#x20;log&#x20;files.&#x20;They&#x20;can&#x20;contain&#x20;passwords,&#x20;credit&#x20;card&#x20;numbers,&#x20;serial&#x20;numbers,&#x20;and&#x20;other&#x20;private&#x20;material.','','Edit&#x20;/etc/default/apport&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;the&#x20;enabled&#x20;parameter&#x20;to&#x20;equal&#x20;0:&#x20;enabled=0&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;stop&#x20;and&#x20;disable&#x20;the&#x20;apport&#x20;service&#x20;#&#x20;systemctl&#x20;stop&#x20;apport.service&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;apport.service&#x20;--&#x20;OR&#x20;-Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;apport&#x20;package:&#x20;#&#x20;apt&#x20;purge&#x20;apport&#x20;Default&#x20;Value:&#x20;enabled=1.','[{\"cis\": [\"1.5.3\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \" CM.L2-3.4.8\", \" SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \" 1.2.1\", \" 2.2.2\", \" 2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \" 2.2.4\", \" 6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \" CC6.6\"]}]'),(28532,'Ensure&#x20;core&#x20;dumps&#x20;are&#x20;restricted.','A&#x20;core&#x20;dump&#x20;is&#x20;the&#x20;memory&#x20;of&#x20;an&#x20;executable&#x20;program.&#x20;It&#x20;is&#x20;generally&#x20;used&#x20;to&#x20;determine&#x20;why&#x20;a&#x20;program&#x20;aborted.&#x20;It&#x20;can&#x20;also&#x20;be&#x20;used&#x20;to&#x20;glean&#x20;confidential&#x20;information&#x20;from&#x20;a&#x20;core&#x20;file.&#x20;The&#x20;system&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;a&#x20;soft&#x20;limit&#x20;for&#x20;core&#x20;dumps,&#x20;but&#x20;this&#x20;can&#x20;be&#x20;overridden&#x20;by&#x20;the&#x20;user.','Setting&#x20;a&#x20;hard&#x20;limit&#x20;on&#x20;core&#x20;dumps&#x20;prevents&#x20;users&#x20;from&#x20;overriding&#x20;the&#x20;soft&#x20;variable.&#x20;If&#x20;core&#x20;dumps&#x20;are&#x20;required,&#x20;consider&#x20;setting&#x20;limits&#x20;for&#x20;user&#x20;groups&#x20;&#40;see&#x20;limits.conf&#40;5&#41;&#x20;&#41;.&#x20;In&#x20;addition,&#x20;setting&#x20;the&#x20;fs.suid_dumpable&#x20;variable&#x20;to&#x20;0&#x20;will&#x20;prevent&#x20;setuid&#x20;programs&#x20;from&#x20;dumping&#x20;core.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;/etc/security/limits.conf&#x20;or&#x20;a&#x20;/etc/security/limits.d&#47;&#42;&#x20;file:&#x20;*&#x20;hard&#x20;core&#x20;0&#x20;Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;fs.suid_dumpable&#x20;=&#x20;0&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;fs.suid_dumpable=0&#x20;IF&#x20;systemd-coredump&#x20;is&#x20;installed:&#x20;edit&#x20;/etc/systemd/coredump.conf&#x20;and&#x20;add/modify&#x20;the&#x20;following&#x20;lines:&#x20;Storage=none&#x20;ProcessSizeMax=0&#x20;Run&#x20;the&#x20;command:&#x20;systemctl&#x20;daemon-reload','[{\"cis\": [\"1.5.4\"]}, {\"mitre_techniques\": [\"T1005\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(28533,'Ensure&#x20;AppArmor&#x20;is&#x20;installed.','AppArmor&#x20;provides&#x20;Mandatory&#x20;Access&#x20;Controls.','Without&#x20;a&#x20;Mandatory&#x20;Access&#x20;Control&#x20;system&#x20;installed&#x20;only&#x20;the&#x20;default&#x20;Discretionary&#x20;Access&#x20;Control&#x20;system&#x20;will&#x20;be&#x20;available.','','Install&#x20;AppArmor.&#x20;#&#x20;apt&#x20;install&#x20;apparmor.','[{\"cis\": [\"1.6.1.1\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1068\", \"T1565\", \"T1565.001\", \"T1565.003\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1026\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \" AC.L1-3.1.2\", \" AC.L2-3.1.5\", \" AC.L2-3.1.3\", \" MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \" 164.308(a)(3)(ii)(A)\", \" 164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \" 7.1.1\", \" 7.1.2\", \" 7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \" 7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \" AC-6\"]}, {\"soc_2\": [\"CC5.2\", \" CC6.1\"]}]'),(28534,'Ensure&#x20;AppArmor&#x20;is&#x20;enabled&#x20;in&#x20;the&#x20;bootloader&#x20;configuration.','Configure&#x20;AppArmor&#x20;to&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;and&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;not&#x20;been&#x20;overwritten&#x20;by&#x20;the&#x20;bootloader&#x20;boot&#x20;parameters.&#x20;Note:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.','AppArmor&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;your&#x20;bootloader&#x20;configuration&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;not&#x20;overridden.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;the&#x20;apparmor=1&#x20;and&#x20;security=apparmor&#x20;parameters&#x20;to&#x20;the&#x20;GRUB_CMDLINE_LINUX=&#x20;line&#x20;GRUB_CMDLINE_LINUX=&quot;apparmor=1&#x20;security=apparmor&quot;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub.','[{\"cis\": [\"1.6.1.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1068\", \"T1565\", \"T1565.001\", \"T1565.003\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1026\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28535,'Ensure&#x20;all&#x20;AppArmor&#x20;Profiles&#x20;are&#x20;in&#x20;enforce&#x20;or&#x20;complain&#x20;mode.','AppArmor&#x20;profiles&#x20;define&#x20;what&#x20;resources&#x20;applications&#x20;are&#x20;able&#x20;to&#x20;access.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;any&#x20;policies&#x20;that&#x20;exist&#x20;on&#x20;the&#x20;system&#x20;are&#x20;activated.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;all&#x20;profiles&#x20;to&#x20;enforce&#x20;mode:&#x20;#&#x20;aa-enforce&#x20;/etc/apparmor.d&#47;&#42;&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;all&#x20;profiles&#x20;to&#x20;complain&#x20;mode:&#x20;#&#x20;aa-complain&#x20;/etc/apparmor.d&#47;&#42;&#x20;Note:&#x20;Any&#x20;unconfined&#x20;processes&#x20;may&#x20;need&#x20;to&#x20;have&#x20;a&#x20;profile&#x20;created&#x20;or&#x20;activated&#x20;for&#x20;them&#x20;and&#x20;then&#x20;be&#x20;restarted.','[{\"cis\": [\"1.6.1.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28536,'Ensure&#x20;all&#x20;AppArmor&#x20;Profiles&#x20;are&#x20;enforcing.','AppArmor&#x20;profiles&#x20;define&#x20;what&#x20;resources&#x20;applications&#x20;are&#x20;able&#x20;to&#x20;access.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;any&#x20;policies&#x20;that&#x20;exist&#x20;on&#x20;the&#x20;system&#x20;are&#x20;activated.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;all&#x20;profiles&#x20;to&#x20;enforce&#x20;mode:&#x20;#&#x20;aa-enforce&#x20;/etc/apparmor.d&#47;&#42;&#x20;Note:&#x20;Any&#x20;unconfined&#x20;processes&#x20;may&#x20;need&#x20;to&#x20;have&#x20;a&#x20;profile&#x20;created&#x20;or&#x20;activated&#x20;for&#x20;them&#x20;and&#x20;then&#x20;be&#x20;restarted.','[{\"cis\": [\"1.6.1.4\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1068\", \"T1565\", \"T1565.001\", \"T1565.003\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28537,'Ensure&#x20;message&#x20;of&#x20;the&#x20;day&#x20;is&#x20;configured&#x20;properly.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/motd&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;v&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform&#x20;OR&#x20;if&#x20;the&#x20;motd&#x20;is&#x20;not&#x20;used,&#x20;this&#x20;file&#x20;can&#x20;be&#x20;removed.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;motd&#x20;file:&#x20;#&#x20;rm&#x20;/etc/motd','[{\"cis\": [\"1.7.1\"]}, {\"mitre_techniques\": [\"T1082\", \"T1592\", \"T1592.004\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(28538,'Ensure&#x20;local&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version&#x20;-&#x20;or&#x20;the&#x20;operating&#x20;system&#039;s&#x20;name.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;v&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue.','[{\"cis\": [\"1.7.2\"]}, {\"mitre_techniques\": [\"T1082\", \"T1592\", \"T1592.004\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(28539,'Ensure&#x20;remote&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;v&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue','[{\"cis\": [\"1.7.3\"]}, {\"mitre_techniques\": [\"T1018\", \"T1082\", \"T1592\", \"T1592.004\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(28540,'Ensure&#x20;permissions&#x20;on&#x20;/etc/motd&#x20;are&#x20;configured.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.','If&#x20;the&#x20;/etc/motd&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/motd&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;$&#40;readlink&#x20;-e&#x20;/etc/motd&#41;&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;$&#40;readlink&#x20;-e&#x20;/etc/motd&#41;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;/etc/motd&#x20;file:&#x20;#&#x20;rm&#x20;/etc/motd','[{\"cis\": [\"1.7.4\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28541,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue&#x20;are&#x20;configured.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.','If&#x20;the&#x20;/etc/issue&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;$&#40;readlink&#x20;-e&#x20;/etc/issue&#41;&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;$&#40;readlink&#x20;-e&#x20;/etc/issue&#41;&#x20;Default&#x20;Value:&#x20;Access:&#x20;&#40;0644/-rw-r--r--&#41;&#x20;Uid:&#x20;&#40;&#x20;0/&#x20;root&#41;&#x20;Gid:&#x20;&#40;&#x20;0/&#x20;root&#41;.','[{\"cis\": [\"1.7.5\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28542,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue.net&#x20;are&#x20;configured.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.','If&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue.net&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;$&#40;readlink&#x20;-e&#x20;/etc/issue.net&#41;&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;$&#40;readlink&#x20;-e&#x20;/etc/issue.net&#41;','[{\"cis\": [\"1.7.6\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28543,'Ensure&#x20;GNOME&#x20;Display&#x20;Manager&#x20;is&#x20;removed.','The&#x20;GNOME&#x20;Display&#x20;Manager&#x20;&#40;GDM&#41;&#x20;is&#x20;a&#x20;program&#x20;that&#x20;manages&#x20;graphical&#x20;display&#x20;servers&#x20;and&#x20;handles&#x20;graphical&#x20;user&#x20;logins.','If&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','Removing&#x20;the&#x20;GNOME&#x20;Display&#x20;manager&#x20;will&#x20;remove&#x20;the&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;from&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;gdm3:&#x20;#&#x20;apt&#x20;purge&#x20;gdm3.','[{\"cis\": [\"1.8.1\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0002\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28544,'Ensure&#x20;XDCMP&#x20;is&#x20;not&#x20;enabled.','X&#x20;Display&#x20;Manager&#x20;Control&#x20;Protocol&#x20;&#40;XDMCP&#41;&#x20;is&#x20;designed&#x20;to&#x20;provide&#x20;authenticated&#x20;access&#x20;to&#x20;display&#x20;management&#x20;services&#x20;for&#x20;remote&#x20;displays.','XDMCP&#x20;is&#x20;inherently&#x20;insecure.&#x20;XDMCP&#x20;is&#x20;not&#x20;a&#x20;ciphered&#x20;protocol.&#x20;This&#x20;may&#x20;allow&#x20;an&#x20;attacker&#x20;to&#x20;capture&#x20;keystrokes&#x20;entered&#x20;by&#x20;a&#x20;user&#x20;XDMCP&#x20;is&#x20;vulnerable&#x20;to&#x20;man-in-the-middle&#x20;attacks.&#x20;This&#x20;may&#x20;allow&#x20;an&#x20;attacker&#x20;to&#x20;steal&#x20;the&#x20;credentials&#x20;of&#x20;legitimate&#x20;users&#x20;by&#x20;impersonating&#x20;the&#x20;XDMCP&#x20;server.','','Edit&#x20;the&#x20;file&#x20;/etc/gdm3/custom.conf&#x20;and&#x20;remove&#x20;the&#x20;line:&#x20;Enable=true&#x20;Default&#x20;Value:&#x20;false&#x20;&#40;This&#x20;is&#x20;denoted&#x20;by&#x20;no&#x20;Enabled=&#x20;entry&#x20;in&#x20;the&#x20;file&#x20;/etc/gdm3/custom.conf&#x20;in&#x20;the&#x20;[xdmcp]&#x20;section.','[{\"cis\": [\"1.8.10\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1040\", \"T1056\", \"T1056.001\", \"T1557\"]}, {\"mitre_tactics\": [\"TA0002\"]}, {\"mitre_mitigations\": [\"M1050\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28545,'Ensure&#x20;chrony&#x20;is&#x20;running&#x20;as&#x20;user&#x20;_chrony.','The&#x20;chrony&#x20;package&#x20;is&#x20;installed&#x20;with&#x20;a&#x20;dedicated&#x20;user&#x20;account&#x20;_chrony.&#x20;This&#x20;account&#x20;is&#x20;granted&#x20;the&#x20;access&#x20;required&#x20;by&#x20;the&#x20;chronyd&#x20;service.','The&#x20;chronyd&#x20;service&#x20;should&#x20;run&#x20;with&#x20;only&#x20;the&#x20;required&#x20;privileges.','','Add&#x20;or&#x20;edit&#x20;the&#x20;user&#x20;line&#x20;to&#x20;/etc/chrony/chrony.conf&#x20;or&#x20;a&#x20;file&#x20;ending&#x20;in&#x20;.conf&#x20;in&#x20;/etc/chrony/conf.d/:&#x20;user&#x20;_chrony&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;chrony&#x20;from&#x20;the&#x20;system:&#x20;#&#x20;apt&#x20;purge&#x20;chrony','[{\"cis\": [\"2.1.2.2\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_v3.2.1\": [\"10.4\"]}, {\"pci_dss_v4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}]'),(28546,'Ensure&#x20;chrony&#x20;is&#x20;enabled&#x20;and&#x20;running.','chrony&#x20;is&#x20;a&#x20;daemon&#x20;for&#x20;synchronizing&#x20;the&#x20;system&#x20;clock&#x20;across&#x20;the&#x20;network.','chrony&#x20;needs&#x20;to&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;in&#x20;order&#x20;to&#x20;synchronize&#x20;the&#x20;system&#x20;to&#x20;a&#x20;timeserver.&#x20;Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;and&#x20;to&#x20;ensure&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise&#x20;to&#x20;aid&#x20;in&#x20;forensic&#x20;investigations.','','IF&#x20;chrony&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;commands:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;chrony.service:&#x20;#&#x20;systemctl&#x20;unmask&#x20;chrony.service&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;chrony.service:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;chrony.service&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;chrony:&#x20;#&#x20;apt&#x20;purge&#x20;chrony.','[{\"cis\": [\"2.1.2.3\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_v3.2.1\": [\"10.4\"]}, {\"pci_dss_v4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}]'),(28547,'Ensure&#x20;systemd-timesyncd&#x20;is&#x20;enabled&#x20;and&#x20;running.','systemd-timesyncd&#x20;is&#x20;a&#x20;daemon&#x20;that&#x20;has&#x20;been&#x20;added&#x20;for&#x20;synchronizing&#x20;the&#x20;system&#x20;clock&#x20;across&#x20;the&#x20;network.','systemd-timesyncd&#x20;needs&#x20;to&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;in&#x20;order&#x20;to&#x20;synchronize&#x20;the&#x20;system&#x20;to&#x20;a&#x20;timeserver.&#x20;Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;and&#x20;to&#x20;ensure&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise&#x20;to&#x20;aid&#x20;in&#x20;forensic&#x20;investigations.','','IF&#x20;systemd-timesyncd&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;commands:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;systemd-timesyncd.service:&#x20;#&#x20;systemctl&#x20;unmask&#x20;systemd-timesyncd.service&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;systemd-timesyncd.service:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;systemd-timesyncd.service&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;systemd-timesyncd:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;systemd-timesyncd.service','[{\"cis\": [\"2.1.3.2\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_v3.2.1\": [\"10.4\"]}, {\"pci_dss_v4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}]'),(28548,'Ensure&#x20;ntp&#x20;access&#x20;control&#x20;is&#x20;configured.','ntp&#x20;Access&#x20;Control&#x20;Commands:&#x20;restrict&#x20;address&#x20;[mask&#x20;mask]&#x20;[ippeerlimit&#x20;int]&#x20;[flag&#x20;...]&#x20;The&#x20;address&#x20;argument&#x20;expressed&#x20;in&#x20;dotted-quad&#x20;form&#x20;is&#x20;the&#x20;address&#x20;of&#x20;a&#x20;host&#x20;or&#x20;network.&#x20;Alternatively,&#x20;the&#x20;address&#x20;argument&#x20;can&#x20;be&#x20;a&#x20;valid&#x20;host&#x20;DNS&#x20;name.&#x20;The&#x20;mask&#x20;argument&#x20;expressed&#x20;in&#x20;dotted-quad&#x20;form&#x20;defaults&#x20;to&#x20;255.255.255.255,&#x20;meaning&#x20;that&#x20;the&#x20;address&#x20;is&#x20;treated&#x20;as&#x20;the&#x20;address&#x20;of&#x20;an&#x20;individual&#x20;host.&#x20;A&#x20;default&#x20;entry&#x20;&#40;address&#x20;0.0.0.0,&#x20;mask&#x20;0.0.0.0&#41;&#x20;is&#x20;always&#x20;included&#x20;and&#x20;is&#x20;always&#x20;the&#x20;first&#x20;entry&#x20;in&#x20;the&#x20;list.&#x20;Note:&#x20;the&#x20;text&#x20;string&#x20;default,&#x20;with&#x20;no&#x20;mask&#x20;option,&#x20;may&#x20;be&#x20;used&#x20;to&#x20;indicate&#x20;the&#x20;default&#x20;entry.&#x20;The&#x20;ippeerlimit&#x20;directive&#x20;limits&#x20;the&#x20;number&#x20;of&#x20;peer&#x20;requests&#x20;for&#x20;each&#x20;IP&#x20;to&#x20;int,&#x20;where&#x20;a&#x20;value&#x20;of&#x20;-1&#x20;means&#x20;&quot;unlimited&quot;,&#x20;the&#x20;current&#x20;default.&#x20;A&#x20;value&#x20;of&#x20;0&#x20;means&#x20;&quot;none&quot;.&#x20;There&#x20;would&#x20;usually&#x20;be&#x20;at&#x20;most&#x20;1&#x20;peering&#x20;request&#x20;per&#x20;IP,&#x20;but&#x20;if&#x20;the&#x20;remote&#x20;peering&#x20;requests&#x20;are&#x20;behind&#x20;a&#x20;proxy&#x20;there&#x20;could&#x20;well&#x20;be&#x20;more&#x20;than&#x20;1&#x20;per&#x20;IP.&#x20;In&#x20;the&#x20;current&#x20;implementation,&#x20;flag&#x20;always&#x20;restricts&#x20;access,&#x20;i.e.,&#x20;an&#x20;entry&#x20;with&#x20;no&#x20;flags&#x20;indicates&#x20;that&#x20;free&#x20;access&#x20;to&#x20;the&#x20;server&#x20;is&#x20;to&#x20;be&#x20;given.&#x20;The&#x20;flags&#x20;are&#x20;not&#x20;orthogonal,&#x20;in&#x20;that&#x20;more&#x20;restrictive&#x20;flags&#x20;will&#x20;often&#x20;make&#x20;less&#x20;restrictive&#x20;ones&#x20;redundant.&#x20;The&#x20;flags&#x20;can&#x20;generally&#x20;be&#x20;classed&#x20;into&#x20;two&#x20;categories,&#x20;those&#x20;which&#x20;restrict&#x20;time&#x20;service&#x20;and&#x20;those&#x20;which&#x20;restrict&#x20;informational&#x20;queries&#x20;and&#x20;attempts&#x20;to&#x20;do&#x20;run-time&#x20;reconfiguration&#x20;of&#x20;the&#x20;server.&#x20;One&#x20;or&#x20;more&#x20;of&#x20;the&#x20;following&#x20;flags&#x20;may&#x20;be&#x20;specified:&#x20;kod&#x20;-&#x20;If&#x20;this&#x20;flag&#x20;is&#x20;set&#x20;when&#x20;an&#x20;access&#x20;violation&#x20;occurs,&#x20;a&#x20;kiss-o&#039;-death&#x20;&#40;KoD&#41;&#x20;packet&#x20;is&#x20;sent.&#x20;KoD&#x20;packets&#x20;are&#x20;rate&#x20;limited&#x20;to&#x20;no&#x20;more&#x20;than&#x20;one&#x20;per&#x20;second.&#x20;If&#x20;another&#x20;KoD&#x20;packet&#x20;occurs&#x20;within&#x20;one&#x20;second&#x20;after&#x20;the&#x20;last&#x20;one,&#x20;the&#x20;packet&#x20;is&#x20;dropped.&#x20;limited&#x20;-&#x20;Deny&#x20;service&#x20;if&#x20;the&#x20;packet&#x20;spacing&#x20;violates&#x20;the&#x20;lower&#x20;limits&#x20;specified&#x20;in&#x20;the&#x20;discard&#x20;command.&#x20;A&#x20;history&#x20;of&#x20;clients&#x20;is&#x20;kept&#x20;using&#x20;the&#x20;monitoring&#x20;capability&#x20;of&#x20;ntpd.&#x20;Thus,&#x20;monitoring&#x20;is&#x20;always&#x20;active&#x20;as&#x20;long&#x20;as&#x20;there&#x20;is&#x20;a&#x20;restriction&#x20;entry&#x20;with&#x20;the&#x20;limited&#x20;flag.&#x20;lowpriotrap&#x20;-&#x20;Declare&#x20;traps&#x20;set&#x20;by&#x20;matching&#x20;hosts&#x20;to&#x20;be&#x20;low&#x20;priority.&#x20;The&#x20;number&#x20;of&#x20;traps&#x20;a&#x20;server&#x20;can&#x20;maintain&#x20;is&#x20;limited&#x20;&#40;the&#x20;current&#x20;limit&#x20;is&#x20;3&#41;.&#x20;Traps&#x20;are&#x20;usually&#x20;assigned&#x20;on&#x20;a&#x20;first&#x20;come,&#x20;first&#x20;served&#x20;basis,&#x20;with&#x20;later&#x20;trap&#x20;requestors&#x20;being&#x20;denied&#x20;service.&#x20;This&#x20;flag&#x20;modifies&#x20;the&#x20;assignment&#x20;algorithm&#x20;by&#x20;allowing&#x20;low&#x20;priority&#x20;traps&#x20;to&#x20;be&#x20;overridden&#x20;by&#x20;later&#x20;requests&#x20;for&#x20;normal&#x20;priority&#x20;traps.&#x20;noepeer&#x20;-&#x20;Deny&#x20;ephemeral&#x20;peer&#x20;requests,&#x20;even&#x20;if&#x20;they&#x20;come&#x20;from&#x20;an&#x20;authenticated&#x20;source.&#x20;Note&#x20;that&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;a&#x20;symmetric&#x20;key&#x20;for&#x20;authentication&#x20;may&#x20;be&#x20;restricted&#x20;to&#x20;one&#x20;or&#x20;more&#x20;IPs&#x20;or&#x20;subnets&#x20;via&#x20;the&#x20;third&#x20;field&#x20;of&#x20;the&#x20;ntp.keys&#x20;file.&#x20;This&#x20;restriction&#x20;is&#x20;not&#x20;enabled&#x20;by&#x20;default,&#x20;to&#x20;maintain&#x20;backward&#x20;compatibility.&#x20;Expect&#x20;noepeer&#x20;to&#x20;become&#x20;the&#x20;default&#x20;in&#x20;ntp-4.4.&#x20;nomodify&#x20;-&#x20;Deny&#x20;ntpq&#x20;and&#x20;ntpdc&#x20;queries&#x20;which&#x20;attempt&#x20;to&#x20;modify&#x20;the&#x20;state&#x20;of&#x20;the&#x20;server&#x20;&#40;i.e.,&#x20;run&#x20;time&#x20;reconfiguration&#41;.&#x20;Queries&#x20;which&#x20;return&#x20;information&#x20;are&#x20;permitted.&#x20;noquery&#x20;-&#x20;Deny&#x20;ntpq&#x20;and&#x20;ntpdc&#x20;queries.&#x20;Time&#x20;service&#x20;is&#x20;not&#x20;affected.&#x20;nopeer&#x20;-&#x20;Deny&#x20;unauthenticated&#x20;packets&#x20;which&#x20;would&#x20;result&#x20;in&#x20;mobilizing&#x20;a&#x20;new&#x20;association.&#x20;This&#x20;includes&#x20;broadcast&#x20;and&#x20;symmetric&#x20;active&#x20;packets&#x20;when&#x20;a&#x20;configured&#x20;association&#x20;does&#x20;not&#x20;exist.&#x20;It&#x20;also&#x20;includes&#x20;pool&#x20;associations,&#x20;so&#x20;if&#x20;you&#x20;want&#x20;to&#x20;use&#x20;servers&#x20;from&#x20;a&#x20;pool&#x20;directive&#x20;and&#x20;also&#x20;want&#x20;to&#x20;use&#x20;nopeer&#x20;by&#x20;default,&#x20;you&#039;ll&#x20;want&#x20;a&#x20;restrict&#x20;source&#x20;...&#x20;line&#x20;as&#x20;well&#x20;that&#x20;does&#x20;not&#x20;include&#x20;the&#x20;nopeer&#x20;directive.&#x20;noserve&#x20;-&#x20;Deny&#x20;all&#x20;packets&#x20;except&#x20;ntpq&#x20;and&#x20;ntpdc&#x20;queries.&#x20;notrap&#x20;-&#x20;Decline&#x20;to&#x20;provide&#x20;mode&#x20;6&#x20;control&#x20;message&#x20;trap&#x20;service&#x20;to&#x20;matching&#x20;hosts.&#x20;The&#x20;trap&#x20;service&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;ntpq&#x20;control&#x20;message&#x20;protocol&#x20;which&#x20;is&#x20;intended&#x20;for&#x20;use&#x20;by&#x20;remote&#x20;event&#x20;logging&#x20;programs.&#x20;notrust&#x20;-&#x20;Deny&#x20;service&#x20;unless&#x20;the&#x20;packet&#x20;is&#x20;cryptographically&#x20;authenticated.&#x20;ntpport&#x20;-&#x20;This&#x20;is&#x20;actually&#x20;a&#x20;match&#x20;algorithm&#x20;modifier,&#x20;rather&#x20;than&#x20;a&#x20;restriction&#x20;flag.&#x20;Its&#x20;presence&#x20;causes&#x20;the&#x20;restriction&#x20;entry&#x20;to&#x20;be&#x20;matched&#x20;only&#x20;if&#x20;the&#x20;source&#x20;port&#x20;in&#x20;the&#x20;packet&#x20;is&#x20;the&#x20;standard&#x20;NTP&#x20;UDP&#x20;port&#x20;&#40;123&#41;.&#x20;Both&#x20;ntpport&#x20;and&#x20;nonntpport&#x20;may&#x20;be&#x20;specified.&#x20;The&#x20;ntpport&#x20;is&#x20;considered&#x20;more&#x20;specific&#x20;and&#x20;is&#x20;sorted&#x20;later&#x20;in&#x20;the&#x20;list.','If&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;accurate.','','Add&#x20;or&#x20;edit&#x20;restrict&#x20;lines&#x20;in&#x20;/etc/ntp.conf&#x20;to&#x20;match&#x20;the&#x20;following:&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;restrict&#x20;-6&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ntp&#x20;from&#x20;the&#x20;system:&#x20;#&#x20;apt&#x20;purge&#x20;ntp&#x20;Default&#x20;Value:&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;notrap&#x20;nomodify&#x20;nopeer&#x20;noquery&#x20;limited&#x20;restrict&#x20;-6&#x20;default&#x20;kod&#x20;notrap&#x20;nomodify&#x20;nopeer&#x20;noquery&#x20;limited.','[{\"cis\": [\"2.1.4.1\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_v3.2.1\": [\"10.4\"]}, {\"pci_dss_v4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}]'),(28549,'Ensure&#x20;ntp&#x20;is&#x20;running&#x20;as&#x20;user&#x20;ntp.','The&#x20;ntp&#x20;package&#x20;is&#x20;installed&#x20;with&#x20;a&#x20;dedicated&#x20;user&#x20;account&#x20;ntp.&#x20;This&#x20;account&#x20;is&#x20;granted&#x20;the&#x20;access&#x20;required&#x20;by&#x20;the&#x20;ntpd&#x20;daemon&#x20;Note:&#x20;If&#x20;chrony&#x20;or&#x20;systemd-timesyncd&#x20;are&#x20;used,&#x20;ntp&#x20;should&#x20;be&#x20;removed&#x20;and&#x20;this&#x20;section&#x20;skipped&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system&#x20;Only&#x20;one&#x20;time&#x20;synchronization&#x20;method&#x20;should&#x20;be&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system.','The&#x20;ntpd&#x20;daemon&#x20;should&#x20;run&#x20;with&#x20;only&#x20;the&#x20;required&#x20;privilege.','','Add&#x20;or&#x20;edit&#x20;the&#x20;following&#x20;line&#x20;in&#x20;/etc/init.d/ntp:&#x20;RUNASUSER=ntp&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;ntp.servocee:&#x20;#&#x20;systemctl&#x20;restart&#x20;ntp.service&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ntp&#x20;from&#x20;the&#x20;system:&#x20;#&#x20;apt&#x20;purge&#x20;ntp&#x20;Default&#x20;Value:&#x20;user&#x20;ntp.','[{\"cis\": [\"2.1.4.3\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_v3.2.1\": [\"10.4\"]}, {\"pci_dss_v4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}]'),(28550,'Ensure&#x20;ntp&#x20;is&#x20;enabled&#x20;and&#x20;running.','ntp&#x20;is&#x20;a&#x20;daemon&#x20;for&#x20;synchronizing&#x20;the&#x20;system&#x20;clock&#x20;across&#x20;the&#x20;network.','ntp&#x20;needs&#x20;to&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;in&#x20;order&#x20;to&#x20;synchronize&#x20;the&#x20;system&#x20;to&#x20;a&#x20;timeserver.&#x20;Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;and&#x20;to&#x20;ensure&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise&#x20;to&#x20;aid&#x20;in&#x20;forensic&#x20;investigations.','','IF&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;commands:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;ntp.service:&#x20;#&#x20;systemctl&#x20;unmask&#x20;ntp.service&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;ntp.service:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;ntp.service&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ntp:&#x20;#&#x20;apt&#x20;purge&#x20;ntp.','[{\"cis\": [\"2.1.4.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_v3.2.1\": [\"10.4\"]}, {\"pci_dss_v4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}]'),(28551,'Ensure&#x20;X&#x20;Window&#x20;System&#x20;is&#x20;not&#x20;installed.','The&#x20;X&#x20;Window&#x20;System&#x20;provides&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;where&#x20;users&#x20;can&#x20;have&#x20;multiple&#x20;windows&#x20;in&#x20;which&#x20;to&#x20;run&#x20;programs&#x20;and&#x20;various&#x20;add&#x20;on.&#x20;The&#x20;X&#x20;Windows&#x20;system&#x20;is&#x20;typically&#x20;used&#x20;on&#x20;workstations&#x20;where&#x20;users&#x20;login,&#x20;but&#x20;not&#x20;on&#x20;servers&#x20;where&#x20;users&#x20;typically&#x20;do&#x20;not&#x20;login.','Unless&#x20;your&#x20;organization&#x20;specifically&#x20;requires&#x20;graphical&#x20;login&#x20;access&#x20;via&#x20;X&#x20;Windows,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','Many&#x20;Linux&#x20;systems&#x20;run&#x20;applications&#x20;which&#x20;require&#x20;a&#x20;Java&#x20;runtime.&#x20;Some&#x20;Linux&#x20;Java&#x20;packages&#x20;have&#x20;a&#x20;dependency&#x20;on&#x20;specific&#x20;X&#x20;Windows&#x20;xorg-x11-fonts.&#x20;One&#x20;workaround&#x20;to&#x20;avoid&#x20;this&#x20;dependency&#x20;is&#x20;to&#x20;use&#x20;the&#x20;&quot;headless&quot;&#x20;Java&#x20;packages&#x20;for&#x20;your&#x20;specific&#x20;Java&#x20;runtime,&#x20;if&#x20;provided&#x20;by&#x20;your&#x20;distribution.','Remove&#x20;the&#x20;X&#x20;Windows&#x20;System&#x20;packages:&#x20;apt&#x20;purge&#x20;xserver-xorg*','[{\"cis\": [\"2.2.1\"]}, {\"cis_csc_v7\": [\"2.6\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28552,'Ensure&#x20;Avahi&#x20;Server&#x20;is&#x20;not&#x20;installed.','Avahi&#x20;is&#x20;a&#x20;free&#x20;zeroconf&#x20;implementation,&#x20;including&#x20;a&#x20;system&#x20;for&#x20;multicast&#x20;DNS/DNS-SD&#x20;service&#x20;discovery.&#x20;Avahi&#x20;allows&#x20;programs&#x20;to&#x20;publish&#x20;and&#x20;discover&#x20;services&#x20;and&#x20;hosts&#x20;running&#x20;on&#x20;a&#x20;local&#x20;network&#x20;with&#x20;no&#x20;specific&#x20;configuration.&#x20;For&#x20;example,&#x20;a&#x20;user&#x20;can&#x20;plug&#x20;a&#x20;computer&#x20;into&#x20;a&#x20;network&#x20;and&#x20;Avahi&#x20;automatically&#x20;finds&#x20;printers&#x20;to&#x20;print&#x20;to,&#x20;files&#x20;to&#x20;look&#x20;at&#x20;and&#x20;people&#x20;to&#x20;talk&#x20;to,&#x20;as&#x20;well&#x20;as&#x20;network&#x20;services&#x20;running&#x20;on&#x20;the&#x20;machine.','Automatic&#x20;discovery&#x20;of&#x20;network&#x20;services&#x20;is&#x20;not&#x20;normally&#x20;required&#x20;for&#x20;system&#x20;functionality.&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;remove&#x20;this&#x20;package&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;avahi-daemon:&#x20;#&#x20;systemctl&#x20;stop&#x20;avahi-daaemon.service&#x20;#&#x20;systemctl&#x20;stop&#x20;avahi-daemon.socket&#x20;#&#x20;apt&#x20;purge&#x20;avahi-daemon.','[{\"cis\": [\"2.2.2\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28553,'Ensure&#x20;CUPS&#x20;is&#x20;not&#x20;installed.','The&#x20;Common&#x20;Unix&#x20;Print&#x20;System&#x20;&#40;CUPS&#41;&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;print&#x20;to&#x20;both&#x20;local&#x20;and&#x20;network&#x20;printers.&#x20;A&#x20;system&#x20;running&#x20;CUPS&#x20;can&#x20;also&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;remote&#x20;systems&#x20;and&#x20;print&#x20;them&#x20;to&#x20;local&#x20;printers.&#x20;It&#x20;also&#x20;provides&#x20;a&#x20;web&#x20;based&#x20;remote&#x20;administration&#x20;capability.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;need&#x20;to&#x20;print&#x20;jobs&#x20;or&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;systems,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;CUPS&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','Removing&#x20;CUPS&#x20;will&#x20;prevent&#x20;printing&#x20;from&#x20;the&#x20;system,&#x20;a&#x20;common&#x20;task&#x20;for&#x20;workstation&#x20;systems.','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;cups&#x20;:&#x20;#&#x20;apt&#x20;purge&#x20;cups','[{\"cis\": [\"2.2.3\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28554,'Ensure&#x20;DHCP&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;Dynamic&#x20;Host&#x20;Configuration&#x20;Protocol&#x20;&#40;DHCP&#41;&#x20;is&#x20;a&#x20;service&#x20;that&#x20;allows&#x20;machines&#x20;to&#x20;be&#x20;dynamically&#x20;assigned&#x20;IP&#x20;addresses.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;set&#x20;up&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DHCP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;isc-dhcp-server:&#x20;#&#x20;apt&#x20;purge&#x20;isc-dhcp-server.','[{\"cis\": [\"2.2.4\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28555,'Ensure&#x20;LDAP&#x20;server&#x20;is&#x20;not&#x20;installed.','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;slapd:&#x20;#&#x20;apt&#x20;purge&#x20;slapd','[{\"cis\": [\"2.2.5\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28556,'Ensure&#x20;NFS&#x20;is&#x20;not&#x20;installed.','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;export&#x20;NFS&#x20;shares&#x20;or&#x20;act&#x20;as&#x20;an&#x20;NFS&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;these&#x20;services&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nfs:&#x20;#&#x20;apt&#x20;purge&#x20;nfs-kernel-server.','[{\"cis\": [\"2.2.6\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28557,'Ensure&#x20;DNS&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;Domain&#x20;Name&#x20;System&#x20;&#40;DNS&#41;&#x20;is&#x20;a&#x20;hierarchical&#x20;naming&#x20;system&#x20;that&#x20;maps&#x20;names&#x20;to&#x20;IP&#x20;addresses&#x20;for&#x20;computers,&#x20;services&#x20;and&#x20;other&#x20;resources&#x20;connected&#x20;to&#x20;a&#x20;network.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;designated&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DNS&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;DNS&#x20;server:&#x20;#&#x20;apt&#x20;purge&#x20;bind9','[{\"cis\": [\"2.2.7\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28558,'Ensure&#x20;FTP&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;FTP&#41;&#x20;provides&#x20;networked&#x20;computers&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;transfer&#x20;files.','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;SFTP&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;vsftpd:&#x20;#&#x20;apt&#x20;purge&#x20;vsftpd&#x20;Additional&#x20;Information:&#x20;Additional&#x20;FTP&#x20;servers&#x20;also&#x20;exist&#x20;and&#x20;should&#x20;be&#x20;audited.','[{\"cis\": [\"2.2.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28559,'Ensure&#x20;HTTP&#x20;server&#x20;is&#x20;not&#x20;installed.','HTTP&#x20;or&#x20;web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;apache:&#x20;#&#x20;apt&#x20;purge&#x20;apache2&#x20;Additional&#x20;Information:&#x20;Several&#x20;httpd&#x20;servers&#x20;exist&#x20;and&#x20;can&#x20;use&#x20;other&#x20;service&#x20;names.&#x20;apache2&#x20;and&#x20;nginx&#x20;are&#x20;example&#x20;services&#x20;that&#x20;provide&#x20;an&#x20;HTTP&#x20;server.&#x20;These&#x20;and&#x20;other&#x20;services&#x20;should&#x20;also&#x20;be&#x20;audited','[{\"cis\": [\"2.2.9\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28560,'Ensure&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;are&#x20;not&#x20;installed.','dovecot-imapd&#x20;and&#x20;dovecot-pop3d&#x20;are&#x20;an&#x20;open&#x20;source&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;POP3&#x20;and/or&#x20;IMAP&#x20;servers&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;by&#x20;this&#x20;system,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;dovecot-imapd&#x20;and&#x20;dovecot-pop3d:&#x20;#&#x20;apt&#x20;purge&#x20;dovecot-imapd&#x20;dovecot-pop3d&#x20;Additional&#x20;Information:&#x20;Several&#x20;IMAP/POP3&#x20;servers&#x20;exist&#x20;and&#x20;can&#x20;use&#x20;other&#x20;service&#x20;names.&#x20;courier-imap&#x20;and&#x20;cyrus-imap&#x20;are&#x20;example&#x20;services&#x20;that&#x20;provide&#x20;a&#x20;mail&#x20;server.&#x20;These&#x20;and&#x20;other&#x20;services&#x20;should&#x20;also&#x20;be&#x20;audited.','[{\"cis\": [\"2.2.10\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28561,'Ensure&#x20;Samba&#x20;is&#x20;not&#x20;installed.','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Server&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.&#x20;Windows&#x20;desktop&#x20;users&#x20;will&#x20;be&#x20;able&#x20;to&#x20;mount&#x20;these&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;as&#x20;letter&#x20;drives&#x20;on&#x20;their&#x20;systems.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;service&#x20;should&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;samba:&#x20;#&#x20;apt&#x20;purge&#x20;samba.','[{\"cis\": [\"2.2.11\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28562,'Ensure&#x20;HTTP&#x20;Proxy&#x20;Server&#x20;is&#x20;not&#x20;installed.','Squid&#x20;is&#x20;a&#x20;standard&#x20;proxy&#x20;server&#x20;used&#x20;in&#x20;many&#x20;distributions&#x20;and&#x20;environments.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;proxy&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;squid:&#x20;#&#x20;apt&#x20;purge&#x20;squid&#x20;Additional&#x20;Information:&#x20;Several&#x20;HTTP&#x20;proxy&#x20;servers&#x20;exist.&#x20;These&#x20;and&#x20;other&#x20;services&#x20;should&#x20;be&#x20;checked.','[{\"cis\": [\"2.2.12\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28563,'Ensure&#x20;SNMP&#x20;Server&#x20;is&#x20;not&#x20;installed.','Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;is&#x20;a&#x20;widely&#x20;used&#x20;protocol&#x20;for&#x20;monitoring&#x20;the&#x20;health&#x20;and&#x20;welfare&#x20;of&#x20;network&#x20;equipment,&#x20;computer&#x20;equipment&#x20;and&#x20;devices&#x20;like&#x20;UPSs.&#x20;Net-SNMP&#x20;is&#x20;a&#x20;suite&#x20;of&#x20;applications&#x20;used&#x20;to&#x20;implement&#x20;SNMPv1&#x20;&#40;RFC&#x20;1157&#41;,&#x20;SNMPv2&#x20;&#40;RFCs&#x20;1901-1908&#41;,&#x20;and&#x20;SNMPv3&#x20;&#40;RFCs&#x20;3411-3418&#41;&#x20;using&#x20;both&#x20;IPv4&#x20;and&#x20;IPv6.&#x20;Support&#x20;for&#x20;SNMPv2&#x20;classic&#x20;&#40;a.k.a.&#x20;&quot;SNMPv2&#x20;historic&quot;&#x20;-&#x20;RFCs&#x20;1441-1452&#41;&#x20;was&#x20;dropped&#x20;with&#x20;the&#x20;4.0&#x20;release&#x20;of&#x20;the&#x20;UCD-snmp&#x20;package.&#x20;The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;can&#x20;communicate&#x20;using&#x20;SNMPv1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;SNMPv3&#x20;replaces&#x20;the&#x20;simple/clear&#x20;text&#x20;password&#x20;sharing&#x20;used&#x20;in&#x20;SNMPv2&#x20;with&#x20;more&#x20;securely&#x20;encoded&#x20;parameters.&#x20;If&#x20;the&#x20;the&#x20;SNMP&#x20;service&#x20;is&#x20;not&#x20;required,&#x20;the&#x20;net-snmp&#x20;package&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;Note:&#x20;If&#x20;SNMP&#x20;is&#x20;required:&#x20;The&#x20;server&#x20;should&#x20;be&#x20;configured&#x20;for&#x20;SNMP&#x20;v3&#x20;only.&#x20;User&#x20;Authentication&#x20;and&#x20;Message&#x20;Encryption&#x20;should&#x20;be&#x20;configured.&#x20;If&#x20;SNMP&#x20;v2&#x20;is&#x20;absolutely&#x20;necessary,&#x20;modify&#x20;the&#x20;community&#x20;strings&#039;&#x20;values.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;snmp:&#x20;#&#x20;apt&#x20;purge&#x20;snmp.','[{\"cis\": [\"2.2.13\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \" CM.L2-3.4.8\", \" SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \" 1.2.1\", \" 2.2.2\", \" 2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \" 2.2.4\", \" 6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \" CC6.6\"]}]'),(28564,'Ensure&#x20;NIS&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;&#x20;&#40;formally&#x20;known&#x20;as&#x20;Yellow&#x20;Pages&#41;&#x20;is&#x20;a&#x20;clientserver&#x20;directory&#x20;service&#x20;protocol&#x20;for&#x20;distributing&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;server&#x20;is&#x20;a&#x20;collection&#x20;of&#x20;programs&#x20;that&#x20;allow&#x20;for&#x20;the&#x20;distribution&#x20;of&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed&#x20;and&#x20;other,&#x20;more&#x20;secure&#x20;services&#x20;be&#x20;used.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nis:&#x20;#&#x20;apt&#x20;purge&#x20;nis.','[{\"cis\": [\"2.2.14\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \" CM.L2-3.4.8\", \" SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \" 1.2.1\", \" 2.2.2\", \" 2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \" 2.2.4\", \" 6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \" CC6.6\"]}]'),(28565,'Ensure&#x20;mail&#x20;transfer&#x20;agent&#x20;is&#x20;configured&#x20;for&#x20;local-only&#x20;mode.','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','The&#x20;software&#x20;for&#x20;all&#x20;Mail&#x20;Transfer&#x20;Agents&#x20;is&#x20;complex&#x20;and&#x20;most&#x20;have&#x20;a&#x20;long&#x20;history&#x20;of&#x20;security&#x20;issues.&#x20;While&#x20;it&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;system&#x20;can&#x20;process&#x20;local&#x20;mail&#x20;messages,&#x20;it&#x20;is&#x20;not&#x20;necessary&#x20;to&#x20;have&#x20;the&#x20;MTA&#039;s&#x20;daemon&#x20;listening&#x20;on&#x20;a&#x20;port&#x20;unless&#x20;the&#x20;server&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server&#x20;that&#x20;receives&#x20;and&#x20;processes&#x20;mail&#x20;from&#x20;other&#x20;systems.&#x20;Note:&#x20;-&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;postfix&#x20;mail&#x20;server.&#x20;-&#x20;Depending&#x20;on&#x20;your&#x20;environment&#x20;you&#x20;may&#x20;have&#x20;an&#x20;alternative&#x20;MTA&#x20;installed&#x20;such&#x20;as&#x20;exim4.&#x20;If&#x20;this&#x20;is&#x20;the&#x20;case&#x20;consult&#x20;the&#x20;documentation&#x20;for&#x20;your&#x20;installed&#x20;MTA&#x20;to&#x20;configure&#x20;the&#x20;recommended&#x20;state.','','Edit&#x20;/etc/postfix/main.cf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;RECEIVING&#x20;MAIL&#x20;section.&#x20;If&#x20;the&#x20;line&#x20;already&#x20;exists,&#x20;change&#x20;it&#x20;to&#x20;look&#x20;like&#x20;the&#x20;line&#x20;below:&#x20;inet_interfaces&#x20;=&#x20;loopback-only&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;postfix:&#x20;#&#x20;systemctl&#x20;restart&#x20;postfix.','[{\"cis\": [\"2.2.15\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1018\", \"T1210\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \" CM.L2-3.4.8\", \" SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \" 1.2.1\", \" 2.2.2\", \" 2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \" 2.2.4\", \" 6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \" CC6.6\"]}]'),(28566,'Ensure&#x20;rsync&#x20;service&#x20;is&#x20;either&#x20;not&#x20;installed&#x20;or&#x20;masked.','The&#x20;rsync&#x20;service&#x20;can&#x20;be&#x20;used&#x20;to&#x20;synchronize&#x20;files&#x20;between&#x20;systems&#x20;over&#x20;network&#x20;links.','The&#x20;rsync&#x20;service&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.&#x20;The&#x20;rsync&#x20;package&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;area&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;rsync:&#x20;#&#x20;apt&#x20;purge&#x20;rsync&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;rsync:&#x20;#&#x20;systemctl&#x20;stop&#x20;rsync&#x20;#&#x20;systemctl&#x20;mask&#x20;rsync.','[{\"cis\": [\"2.2.16\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1105\", \"T1203\", \"T1210\", \"T1543\", \"T1543.002\", \"1570\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \" CM.L2-3.4.8\", \" SC.L2-3.13.6\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \" 1.2.1\", \" 2.2.2\", \" 2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \" 2.2.4\", \" 6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \" CC6.6\"]}]'),(28567,'Ensure&#x20;NIS&#x20;Client&#x20;is&#x20;not&#x20;installed.','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;,&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;clientserver&#x20;directory&#x20;service&#x20;protocol&#x20;used&#x20;to&#x20;distribute&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;client&#x20;was&#x20;used&#x20;to&#x20;bind&#x20;a&#x20;machine&#x20;to&#x20;an&#x20;NIS&#x20;server&#x20;and&#x20;receive&#x20;the&#x20;distributed&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed.','Many&#x20;insecure&#x20;service&#x20;clients&#x20;are&#x20;used&#x20;as&#x20;troubleshooting&#x20;tools&#x20;and&#x20;in&#x20;testing&#x20;environments.&#x20;Uninstalling&#x20;them&#x20;can&#x20;inhibit&#x20;capability&#x20;to&#x20;test&#x20;and&#x20;troubleshoot.&#x20;If&#x20;they&#x20;are&#x20;required&#x20;it&#x20;is&#x20;advisable&#x20;to&#x20;remove&#x20;the&#x20;clients&#x20;after&#x20;use&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;intentional&#x20;misuse.','Uninstall&#x20;nis:&#x20;#&#x20;apt&#x20;purge&#x20;nis','[{\"cis\": [\"2.3.1\"]}, {\"cis_csc_v7\": [\"2.6\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28568,'Ensure&#x20;rsh&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;rsh-client&#x20;package&#x20;contains&#x20;the&#x20;client&#x20;commands&#x20;for&#x20;the&#x20;rsh&#x20;services.','These&#x20;legacy&#x20;clients&#x20;contain&#x20;numerous&#x20;security&#x20;exposures&#x20;and&#x20;have&#x20;been&#x20;replaced&#x20;with&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;package.&#x20;Even&#x20;if&#x20;the&#x20;server&#x20;is&#x20;removed,&#x20;it&#x20;is&#x20;best&#x20;to&#x20;ensure&#x20;the&#x20;clients&#x20;are&#x20;also&#x20;removed&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;inadvertently&#x20;attempting&#x20;to&#x20;use&#x20;these&#x20;commands&#x20;and&#x20;therefore&#x20;exposing&#x20;their&#x20;credentials.&#x20;Note&#x20;that&#x20;removing&#x20;the&#x20;rsh&#x20;package&#x20;removes&#x20;the&#x20;clients&#x20;for&#x20;rsh,&#x20;rcp&#x20;and&#x20;rlogin.','Many&#x20;insecure&#x20;service&#x20;clients&#x20;are&#x20;used&#x20;as&#x20;troubleshooting&#x20;tools&#x20;and&#x20;in&#x20;testing&#x20;environments.&#x20;Uninstalling&#x20;them&#x20;can&#x20;inhibit&#x20;capability&#x20;to&#x20;test&#x20;and&#x20;troubleshoot.&#x20;If&#x20;they&#x20;are&#x20;required&#x20;it&#x20;is&#x20;advisable&#x20;to&#x20;remove&#x20;the&#x20;clients&#x20;after&#x20;use&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;intentional&#x20;misuse.','Uninstall&#x20;rsh:&#x20;#&#x20;apt&#x20;purge&#x20;rsh-client','[{\"cis\": [\"2.3.2\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1040\", \"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1041\", \"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28569,'Ensure&#x20;talk&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;talk&#x20;software&#x20;makes&#x20;it&#x20;possible&#x20;for&#x20;users&#x20;to&#x20;send&#x20;and&#x20;receive&#x20;messages&#x20;across&#x20;systems&#x20;through&#x20;a&#x20;terminal&#x20;session.&#x20;The&#x20;talk&#x20;client,&#x20;which&#x20;allows&#x20;initialization&#x20;of&#x20;talk&#x20;sessions,&#x20;is&#x20;installed&#x20;by&#x20;default.','The&#x20;software&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','Many&#x20;insecure&#x20;service&#x20;clients&#x20;are&#x20;used&#x20;as&#x20;troubleshooting&#x20;tools&#x20;and&#x20;in&#x20;testing&#x20;environments.&#x20;Uninstalling&#x20;them&#x20;can&#x20;inhibit&#x20;capability&#x20;to&#x20;test&#x20;and&#x20;troubleshoot.&#x20;If&#x20;they&#x20;are&#x20;required&#x20;it&#x20;is&#x20;advisable&#x20;to&#x20;remove&#x20;the&#x20;clients&#x20;after&#x20;use&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;intentional&#x20;misuse.','Uninstall&#x20;talk:&#x20;#&#x20;apt&#x20;purge&#x20;talk','[{\"cis\": [\"2.3.3\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0006\", \"TA0008\"]}, {\"mitre_mitigations\": [\"M1041\", \"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28570,'Ensure&#x20;telnet&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;telnet&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;client,&#x20;which&#x20;allows&#x20;users&#x20;to&#x20;start&#x20;connections&#x20;to&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security&#x20;and&#x20;is&#x20;included&#x20;in&#x20;most&#x20;Linux&#x20;distributions.','Many&#x20;insecure&#x20;service&#x20;clients&#x20;are&#x20;used&#x20;as&#x20;troubleshooting&#x20;tools&#x20;and&#x20;in&#x20;testing&#x20;environments.&#x20;Uninstalling&#x20;them&#x20;can&#x20;inhibit&#x20;capability&#x20;to&#x20;test&#x20;and&#x20;troubleshoot.&#x20;If&#x20;they&#x20;are&#x20;required&#x20;it&#x20;is&#x20;advisable&#x20;to&#x20;remove&#x20;the&#x20;clients&#x20;after&#x20;use&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;intentional&#x20;misuse.','Uninstall&#x20;telnet:&#x20;#&#x20;apt&#x20;purge&#x20;telnet','[{\"cis\": [\"2.3.4\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1040\", \"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0006\", \"TA0008\"]}, {\"mitre_mitigations\": [\"M1041\", \"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28571,'Ensure&#x20;LDAP&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','Removing&#x20;the&#x20;LDAP&#x20;client&#x20;will&#x20;prevent&#x20;or&#x20;inhibit&#x20;using&#x20;LDAP&#x20;for&#x20;authentication&#x20;in&#x20;your&#x20;environment.','Uninstall&#x20;ldap-utils:&#x20;#&#x20;apt&#x20;purge&#x20;ldap-utils','[{\"cis\": [\"2.3.5\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28572,'Ensure&#x20;RPC&#x20;is&#x20;not&#x20;installed.','Remote&#x20;Procedure&#x20;Call&#x20;&#40;RPC&#41;&#x20;is&#x20;a&#x20;method&#x20;for&#x20;creating&#x20;low&#x20;level&#x20;client&#x20;server&#x20;applications&#x20;across&#x20;different&#x20;system&#x20;architectures.&#x20;It&#x20;requires&#x20;an&#x20;RPC&#x20;compliant&#x20;client&#x20;listening&#x20;on&#x20;a&#x20;network&#x20;port.&#x20;The&#x20;supporting&#x20;package&#x20;is&#x20;rpcbind.','If&#x20;RPC&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;services&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;rpcbind:&#x20;#&#x20;apt&#x20;purge&#x20;rpcbind','[{\"cis\": [\"2.3.6\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28573,'Ensure&#x20;ufw&#x20;is&#x20;installed.','The&#x20;Uncomplicated&#x20;Firewall&#x20;&#40;ufw&#41;&#x20;is&#x20;a&#x20;frontend&#x20;for&#x20;iptables&#x20;and&#x20;is&#x20;particularly&#x20;well-suited&#x20;for&#x20;host-based&#x20;firewalls.&#x20;ufw&#x20;provides&#x20;a&#x20;framework&#x20;for&#x20;managing&#x20;netfilter,&#x20;as&#x20;well&#x20;as&#x20;a&#x20;command-line&#x20;interface&#x20;for&#x20;manipulating&#x20;the&#x20;firewall.','A&#x20;firewall&#x20;utility&#x20;is&#x20;required&#x20;to&#x20;configure&#x20;the&#x20;Linux&#x20;kernel&#039;s&#x20;netfilter&#x20;framework&#x20;via&#x20;the&#x20;iptables&#x20;or&#x20;nftables&#x20;back-end.&#x20;The&#x20;Linux&#x20;kernel&#039;s&#x20;netfilter&#x20;framework&#x20;host-based&#x20;firewall&#x20;can&#x20;protect&#x20;against&#x20;threats&#x20;originating&#x20;from&#x20;within&#x20;a&#x20;corporate&#x20;network&#x20;to&#x20;include&#x20;malicious&#x20;mobile&#x20;code&#x20;and&#x20;poorly&#x20;configured&#x20;software&#x20;on&#x20;a&#x20;host.&#x20;Note:&#x20;Only&#x20;one&#x20;firewall&#x20;utility&#x20;should&#x20;be&#x20;installed&#x20;and&#x20;configured.&#x20;UFW&#x20;is&#x20;dependent&#x20;on&#x20;the&#x20;iptables&#x20;package.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;Uncomplicated&#x20;Firewall&#x20;&#40;UFW&#41;:&#x20;apt&#x20;install&#x20;ufw','[{\"cis\": [\"3.5.1.1\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28574,'Ensure&#x20;iptables-persistent&#x20;is&#x20;not&#x20;installed&#x20;with&#x20;ufw.','The&#x20;iptables-persistent&#x20;is&#x20;a&#x20;boot-time&#x20;loader&#x20;for&#x20;netfilter&#x20;rules,&#x20;iptables&#x20;plugin.','Running&#x20;both&#x20;ufw&#x20;and&#x20;the&#x20;services&#x20;included&#x20;in&#x20;the&#x20;iptables-persistent&#x20;package&#x20;may&#x20;lead&#x20;to&#x20;conflict.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;iptables-persistent&#x20;package:&#x20;#&#x20;apt&#x20;purge&#x20;iptables-persistent','[{\"cis\": [\"3.5.1.2\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28575,'Ensure&#x20;ufw&#x20;service&#x20;is&#x20;enabled.','UncomplicatedFirewall&#x20;&#40;ufw&#41;&#x20;is&#x20;a&#x20;frontend&#x20;for&#x20;iptables.&#x20;ufw&#x20;provides&#x20;a&#x20;framework&#x20;for&#x20;managing&#x20;netfilter,&#x20;as&#x20;well&#x20;as&#x20;a&#x20;command-line&#x20;and&#x20;available&#x20;graphical&#x20;user&#x20;interface&#x20;for&#x20;manipulating&#x20;the&#x20;firewall.&#x20;Notes:&#x20;When&#x20;running&#x20;ufw&#x20;enable&#x20;or&#x20;starting&#x20;ufw&#x20;via&#x20;its&#x20;initscript,&#x20;ufw&#x20;will&#x20;flush&#x20;its&#x20;chains.&#x20;This&#x20;is&#x20;required&#x20;so&#x20;ufw&#x20;can&#x20;maintain&#x20;a&#x20;consistent&#x20;state,&#x20;but&#x20;it&#x20;may&#x20;drop&#x20;existing&#x20;connections&#x20;&#40;eg&#x20;ssh&#41;.&#x20;ufw&#x20;does&#x20;support&#x20;adding&#x20;rules&#x20;before&#x20;enabling&#x20;the&#x20;firewall.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;before&#x20;running&#x20;ufw&#x20;enable.&#x20;#&#x20;ufw&#x20;allow&#x20;proto&#x20;tcp&#x20;from&#x20;any&#x20;to&#x20;any&#x20;port&#x20;22&#x20;The&#x20;rules&#x20;will&#x20;still&#x20;be&#x20;flushed,&#x20;but&#x20;the&#x20;ssh&#x20;port&#x20;will&#x20;be&#x20;open&#x20;after&#x20;enabling&#x20;the&#x20;firewall.&#x20;Please&#x20;note&#x20;that&#x20;once&#x20;ufw&#x20;is&#x20;&#039;enabled&#039;,&#x20;ufw&#x20;will&#x20;not&#x20;flush&#x20;the&#x20;chains&#x20;when&#x20;adding&#x20;or&#x20;removing&#x20;rules&#x20;&#40;but&#x20;will&#x20;when&#x20;modifying&#x20;a&#x20;rule&#x20;or&#x20;changing&#x20;the&#x20;default&#x20;policy&#41;&#x20;By&#x20;default,&#x20;ufw&#x20;will&#x20;prompt&#x20;when&#x20;enabling&#x20;the&#x20;firewall&#x20;while&#x20;running&#x20;under&#x20;ssh.&#x20;This&#x20;can&#x20;be&#x20;disabled&#x20;by&#x20;using&#x20;ufw&#x20;--force&#x20;enable.','The&#x20;ufw&#x20;service&#x20;must&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;in&#x20;order&#x20;for&#x20;ufw&#x20;to&#x20;protect&#x20;the&#x20;system.','Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;the&#x20;ufw&#x20;daemon:&#x20;#&#x20;systemctl&#x20;unmask&#x20;ufw.service&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;the&#x20;ufw&#x20;daemon:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;ufw.service&#x20;active&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;ufw:&#x20;#&#x20;ufw&#x20;enable','[{\"cis\": [\"3.5.1.3\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28576,'Ensure&#x20;ufw&#x20;loopback&#x20;traffic&#x20;is&#x20;configured.','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#x20;for&#x20;IPv4&#x20;and&#x20;::1/128&#x20;for&#x20;IPv6&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#x20;for&#x20;IPv4&#x20;and&#x20;::1/128&#x20;for&#x20;IPv6&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;ufw&#x20;allow&#x20;in&#x20;on&#x20;lo&#x20;#&#x20;ufw&#x20;allow&#x20;out&#x20;on&#x20;lo&#x20;#&#x20;ufw&#x20;deny&#x20;in&#x20;from&#x20;127.0.0.0/8&#x20;#&#x20;ufw&#x20;deny&#x20;in&#x20;from&#x20;::1','[{\"cis\": [\"3.5.1.4\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28577,'Ensure&#x20;ufw&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','A&#x20;default&#x20;deny&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.&#x20;Note:&#x20;Any&#x20;port&#x20;or&#x20;protocol&#x20;without&#x20;a&#x20;explicit&#x20;allow&#x20;before&#x20;the&#x20;default&#x20;deny&#x20;will&#x20;be&#x20;blocked.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','Any&#x20;port&#x20;and&#x20;protocol&#x20;not&#x20;explicitly&#x20;allowed&#x20;will&#x20;be&#x20;blocked.&#x20;The&#x20;following&#x20;rules&#x20;should&#x20;be&#x20;considered&#x20;before&#x20;applying&#x20;the&#x20;default&#x20;deny.&#x20;ufw&#x20;allow&#x20;git&#x20;ufw&#x20;allow&#x20;in&#x20;http&#x20;ufw&#x20;allow&#x20;out&#x20;http&#x20;&lt;-&#x20;required&#x20;for&#x20;apt&#x20;to&#x20;connect&#x20;to&#x20;repository&#x20;ufw&#x20;allow&#x20;in&#x20;https&#x20;ufw&#x20;allow&#x20;out&#x20;https&#x20;ufw&#x20;allow&#x20;out&#x20;53&#x20;ufw&#x20;logging&#x20;on.','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;deny&#x20;policy:&#x20;#&#x20;ufw&#x20;default&#x20;deny&#x20;incoming&#x20;#&#x20;ufw&#x20;default&#x20;deny&#x20;outgoing&#x20;#&#x20;ufw&#x20;default&#x20;deny&#x20;routed','[{\"cis\": [\"3.5.1.7\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28578,'Ensure&#x20;nftables&#x20;is&#x20;installed.','nftables&#x20;provides&#x20;a&#x20;new&#x20;in-kernel&#x20;packet&#x20;classification&#x20;framework&#x20;that&#x20;is&#x20;based&#x20;on&#x20;a&#x20;network-specific&#x20;Virtual&#x20;Machine&#x20;&#40;VM&#41;&#x20;and&#x20;a&#x20;new&#x20;nft&#x20;userspace&#x20;command&#x20;line&#x20;tool.&#x20;nftables&#x20;reuses&#x20;the&#x20;existing&#x20;Netfilter&#x20;subsystems&#x20;such&#x20;as&#x20;the&#x20;existing&#x20;hook&#x20;infrastructure,&#x20;the&#x20;connection&#x20;tracking&#x20;system,&#x20;NAT,&#x20;userspace&#x20;queuing&#x20;and&#x20;logging&#x20;subsystem.&#x20;Notes:&#x20;nftables&#x20;is&#x20;available&#x20;in&#x20;Linux&#x20;kernel&#x20;3.13&#x20;and&#x20;newer&#x20;Only&#x20;one&#x20;firewall&#x20;utility&#x20;should&#x20;be&#x20;installed&#x20;and&#x20;configured&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;the&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.','nftables&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;Linux&#x20;kernel&#x20;that&#x20;can&#x20;protect&#x20;against&#x20;threats&#x20;originating&#x20;from&#x20;within&#x20;a&#x20;corporate&#x20;network&#x20;to&#x20;include&#x20;malicious&#x20;mobile&#x20;code&#x20;and&#x20;poorly&#x20;configured&#x20;software&#x20;on&#x20;a&#x20;host.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;nftables:&#x20;#&#x20;apt&#x20;install&#x20;nftables','[{\"cis\": [\"3.5.2.1\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28579,'Ensure&#x20;a&#x20;nftables&#x20;table&#x20;exists.','Tables&#x20;hold&#x20;chains.&#x20;Each&#x20;table&#x20;only&#x20;has&#x20;one&#x20;address&#x20;family&#x20;and&#x20;only&#x20;applies&#x20;to&#x20;packets&#x20;of&#x20;this&#x20;family.&#x20;Tables&#x20;can&#x20;have&#x20;one&#x20;of&#x20;five&#x20;families.','nftables&#x20;doesn&#039;t&#x20;have&#x20;any&#x20;default&#x20;tables.&#x20;Without&#x20;a&#x20;table&#x20;being&#x20;build,&#x20;nftables&#x20;will&#x20;not&#x20;filter&#x20;network&#x20;traffic.','Adding&#x20;rules&#x20;to&#x20;a&#x20;running&#x20;nftables&#x20;can&#x20;cause&#x20;loss&#x20;of&#x20;connectivity&#x20;to&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;a&#x20;table&#x20;in&#x20;nftables&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;Example:&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;filter','[{\"cis\": [\"3.5.2.4\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28580,'Ensure&#x20;nftables&#x20;base&#x20;chains&#x20;exist.','Chains&#x20;are&#x20;containers&#x20;for&#x20;rules.&#x20;They&#x20;exist&#x20;in&#x20;two&#x20;kinds,&#x20;base&#x20;chains&#x20;and&#x20;regular&#x20;chains.&#x20;A&#x20;base&#x20;chain&#x20;is&#x20;an&#x20;entry&#x20;point&#x20;for&#x20;packets&#x20;from&#x20;the&#x20;networking&#x20;stack,&#x20;a&#x20;regular&#x20;chain&#x20;may&#x20;be&#x20;used&#x20;as&#x20;jump&#x20;target&#x20;and&#x20;is&#x20;used&#x20;for&#x20;better&#x20;rule&#x20;organization.','If&#x20;a&#x20;base&#x20;chain&#x20;doesn&#039;t&#x20;exist&#x20;with&#x20;a&#x20;hook&#x20;for&#x20;input,&#x20;forward,&#x20;and&#x20;delete,&#x20;packets&#x20;that&#x20;would&#x20;flow&#x20;through&#x20;those&#x20;chains&#x20;will&#x20;not&#x20;be&#x20;touched&#x20;by&#x20;nftables.','If&#x20;configuring&#x20;nftables&#x20;over&#x20;ssh,&#x20;creating&#x20;a&#x20;base&#x20;chain&#x20;with&#x20;a&#x20;policy&#x20;of&#x20;drop&#x20;will&#x20;cause&#x20;loss&#x20;of&#x20;connectivity.&#x20;Ensure&#x20;that&#x20;a&#x20;rule&#x20;allowing&#x20;ssh&#x20;has&#x20;been&#x20;added&#x20;to&#x20;the&#x20;base&#x20;chain&#x20;prior&#x20;to&#x20;setting&#x20;the&#x20;base&#x20;chain&#039;s&#x20;policy&#x20;to&#x20;drop.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;the&#x20;base&#x20;chains:&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;&lt;base&#x20;chain&#x20;name&gt;&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;&lt;&#40;input|forward|output&#41;&gt;&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;Example:&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;input&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;input&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;forward&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;forward&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;output&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;output&#x20;priority&#x20;0&#x20;;&#x20;}','[{\"cis\": [\"3.5.2.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28581,'Ensure&#x20;nftables&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','Base&#x20;chain&#x20;policy&#x20;is&#x20;the&#x20;default&#x20;verdict&#x20;that&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;packets&#x20;reaching&#x20;the&#x20;end&#x20;of&#x20;the&#x20;chain.','There&#x20;are&#x20;two&#x20;policies:&#x20;accept&#x20;&#40;Default&#41;&#x20;and&#x20;drop.&#x20;If&#x20;the&#x20;policy&#x20;is&#x20;set&#x20;to&#x20;accept,&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied&#x20;and&#x20;the&#x20;packet&#x20;will&#x20;continue&#x20;transversing&#x20;the&#x20;network&#x20;stack.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.&#x20;Note:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.','If&#x20;configuring&#x20;nftables&#x20;over&#x20;ssh,&#x20;creating&#x20;a&#x20;base&#x20;chain&#x20;with&#x20;a&#x20;policy&#x20;of&#x20;drop&#x20;will&#x20;cause&#x20;loss&#x20;of&#x20;connectivity.&#x20;Ensure&#x20;that&#x20;a&#x20;rule&#x20;allowing&#x20;ssh&#x20;has&#x20;been&#x20;added&#x20;to&#x20;the&#x20;base&#x20;chain&#x20;prior&#x20;to&#x20;setting&#x20;the&#x20;base&#x20;chain&#039;s&#x20;policy&#x20;to&#x20;drop.','Run&#x20;the&#x20;following&#x20;command&#x20;for&#x20;the&#x20;base&#x20;chains&#x20;with&#x20;the&#x20;input,&#x20;forward,&#x20;and&#x20;output&#x20;hooks&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;nft&#x20;chain&#x20;&lt;table&#x20;family&gt;&#x20;&lt;table&#x20;name&gt;&#x20;&lt;chain&#x20;name&gt;&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;Example:&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;input&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;forward&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;output&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;Default&#x20;Value:&#x20;accept','[{\"cis\": [\"3.5.2.8\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28582,'Ensure&#x20;nftables&#x20;service&#x20;is&#x20;enabled.','The&#x20;nftables&#x20;service&#x20;allows&#x20;for&#x20;the&#x20;loading&#x20;of&#x20;nftables&#x20;rulesets&#x20;during&#x20;boot,&#x20;or&#x20;starting&#x20;on&#x20;the&#x20;nftables&#x20;service.','The&#x20;nftables&#x20;service&#x20;restores&#x20;the&#x20;nftables&#x20;rules&#x20;from&#x20;the&#x20;rules&#x20;files&#x20;referenced&#x20;in&#x20;the&#x20;/etc/nftables.conf&#x20;file&#x20;during&#x20;boot&#x20;or&#x20;the&#x20;starting&#x20;of&#x20;the&#x20;nftables&#x20;service.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;nftables&#x20;service:&#x20;#&#x20;systemctl&#x20;enable&#x20;nftables.','[{\"cis\": [\"3.5.2.9\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28583,'Ensure&#x20;iptables&#x20;packages&#x20;are&#x20;installed.','iptables&#x20;is&#x20;a&#x20;utility&#x20;program&#x20;that&#x20;allows&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;configure&#x20;the&#x20;tables&#x20;provided&#x20;by&#x20;the&#x20;Linux&#x20;kernel&#x20;firewall,&#x20;implemented&#x20;as&#x20;different&#x20;Netfilter&#x20;modules,&#x20;and&#x20;the&#x20;chains&#x20;and&#x20;rules&#x20;it&#x20;stores.&#x20;Different&#x20;kernel&#x20;modules&#x20;and&#x20;programs&#x20;are&#x20;used&#x20;for&#x20;different&#x20;protocols;&#x20;iptables&#x20;applies&#x20;to&#x20;IPv4,&#x20;ip6tables&#x20;to&#x20;IPv6,&#x20;arptables&#x20;to&#x20;ARP,&#x20;and&#x20;ebtables&#x20;to&#x20;Ethernet&#x20;frames.','A&#x20;method&#x20;of&#x20;configuring&#x20;and&#x20;maintaining&#x20;firewall&#x20;rules&#x20;is&#x20;necessary&#x20;to&#x20;configure&#x20;a&#x20;Host&#x20;Based&#x20;Firewall.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;iptables&#x20;and&#x20;iptables-persistent&#x20;#&#x20;apt&#x20;install&#x20;iptables&#x20;iptables-persistent','[{\"cis\": [\"3.5.3.1.1\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28584,'Ensure&#x20;nftables&#x20;is&#x20;not&#x20;installed&#x20;with&#x20;iptables.','nftables&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;Linux&#x20;kernel&#x20;providing&#x20;filtering&#x20;and&#x20;classification&#x20;of&#x20;network&#x20;packets/datagrams/frames&#x20;and&#x20;is&#x20;the&#x20;successor&#x20;to&#x20;iptables.','Running&#x20;both&#x20;iptables&#x20;and&#x20;nftables&#x20;may&#x20;lead&#x20;to&#x20;conflict.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nftables:&#x20;#&#x20;apt&#x20;purge&#x20;nftables','[{\"cis\": [\"3.5.3.1.2\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28585,'Ensure&#x20;ufw&#x20;is&#x20;uninstalled&#x20;or&#x20;disabled&#x20;with&#x20;iptables.','Uncomplicated&#x20;Firewall&#x20;&#40;UFW&#41;&#x20;is&#x20;a&#x20;program&#x20;for&#x20;managing&#x20;a&#x20;netfilter&#x20;firewall&#x20;designed&#x20;to&#x20;be&#x20;easy&#x20;to&#x20;use.&#x20;Uses&#x20;a&#x20;command-line&#x20;interface&#x20;consisting&#x20;of&#x20;a&#x20;small&#x20;number&#x20;of&#x20;simple&#x20;commands&#x20;Uses&#x20;iptables&#x20;for&#x20;configuration.','Running&#x20;iptables.persistent&#x20;with&#x20;ufw&#x20;enabled&#x20;may&#x20;lead&#x20;to&#x20;conflict&#x20;and&#x20;unexpected&#x20;results.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;either&#x20;remove&#x20;ufw&#x20;or&#x20;stop&#x20;and&#x20;mask&#x20;ufw&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ufw:&#x20;#&#x20;apt&#x20;purge&#x20;ufw&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;ufw:&#x20;#&#x20;ufw&#x20;disable&#x20;#&#x20;systemctl&#x20;stop&#x20;ufw&#x20;#&#x20;systemctl&#x20;mask&#x20;ufw.','[{\"cis\": [\"3.5.3.1.3\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28586,'Ensure&#x20;iptables&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.&#x20;Note:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;iptables&#x20;-P&#x20;INPUT&#x20;DROP&#x20;#&#x20;iptables&#x20;-P&#x20;OUTPUT&#x20;DROP&#x20;#&#x20;iptables&#x20;-P&#x20;FORWARD&#x20;DROP.','[{\"cis\": [\"3.5.3.2.1\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28587,'Ensure&#x20;iptables&#x20;loopback&#x20;traffic&#x20;is&#x20;configured.','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;.&#x20;Note:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-s&#x20;127.0.0.0/8&#x20;-j&#x20;DROP.','[{\"cis\": [\"3.5.3.2.2\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28588,'Ensure&#x20;ip6tables&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.&#x20;Note:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;ip6tables&#x20;-P&#x20;INPUT&#x20;DROP&#x20;#&#x20;ip6tables&#x20;-P&#x20;OUTPUT&#x20;DROP&#x20;#&#x20;ip6tables&#x20;-P&#x20;FORWARD&#x20;DROP.','[{\"cis\": [\"3.5.3.3.1\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28589,'Ensure&#x20;ip6tables&#x20;loopback&#x20;traffic&#x20;is&#x20;configured.','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;::1&#41;.&#x20;Note:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;::1&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;ip6tables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-s&#x20;::1&#x20;-j&#x20;DROP','[{\"cis\": [\"3.5.3.3.2\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.4\", \"1.1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}]'),(28590,'Ensure&#x20;auditd&#x20;is&#x20;installed.','auditd&#x20;is&#x20;the&#x20;userspace&#x20;component&#x20;to&#x20;the&#x20;Linux&#x20;Auditing&#x20;System.&#x20;It&#039;s&#x20;responsible&#x20;for&#x20;writing&#x20;audit&#x20;records&#x20;to&#x20;the&#x20;disk.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;Install&#x20;auditd&#x20;#&#x20;apt&#x20;install&#x20;auditd&#x20;audispd-plugins.','[{\"cis\": [\"4.1.1.1\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28591,'Ensure&#x20;auditd&#x20;service&#x20;is&#x20;enabled&#x20;and&#x20;active.','Turn&#x20;on&#x20;the&#x20;auditd&#x20;daemon&#x20;to&#x20;record&#x20;system&#x20;events.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;auditd:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;auditd.','[{\"cis\": [\"4.1.1.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28592,'Ensure&#x20;auditing&#x20;for&#x20;processes&#x20;that&#x20;start&#x20;prior&#x20;to&#x20;auditd&#x20;is&#x20;enabled.','Configure&#x20;grub2&#x20;so&#x20;that&#x20;processes&#x20;that&#x20;are&#x20;capable&#x20;of&#x20;being&#x20;audited&#x20;can&#x20;be&#x20;audited&#x20;even&#x20;if&#x20;they&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;startup.','Audit&#x20;events&#x20;need&#x20;to&#x20;be&#x20;captured&#x20;on&#x20;processes&#x20;that&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;,&#x20;so&#x20;that&#x20;potential&#x20;malicious&#x20;activity&#x20;cannot&#x20;go&#x20;undetected.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit=1&#x20;to&#x20;GRUB_CMDLINE_LINUX:&#x20;Example:&#x20;GRUB_CMDLINE_LINUX=&quot;audit=1&quot;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub.','[{\"cis\": [\"4.1.1.3\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28593,'Ensure&#x20;audit_backlog_limit&#x20;is&#x20;sufficient.','In&#x20;the&#x20;kernel-level&#x20;audit&#x20;subsystem,&#x20;a&#x20;socket&#x20;buffer&#x20;queue&#x20;is&#x20;used&#x20;to&#x20;hold&#x20;audit&#x20;events.&#x20;Whenever&#x20;a&#x20;new&#x20;audit&#x20;event&#x20;is&#x20;received,&#x20;it&#x20;is&#x20;logged&#x20;and&#x20;prepared&#x20;to&#x20;be&#x20;added&#x20;to&#x20;this&#x20;queue.&#x20;The&#x20;kernel&#x20;boot&#x20;parameter&#x20;audit_backlog_limit=N,&#x20;with&#x20;N&#x20;representing&#x20;the&#x20;amount&#x20;of&#x20;messages,&#x20;will&#x20;ensure&#x20;that&#x20;a&#x20;queue&#x20;cannot&#x20;grow&#x20;beyond&#x20;a&#x20;certain&#x20;size.&#x20;If&#x20;an&#x20;audit&#x20;event&#x20;is&#x20;logged&#x20;which&#x20;would&#x20;grow&#x20;the&#x20;queue&#x20;beyond&#x20;this&#x20;limit,&#x20;then&#x20;a&#x20;failure&#x20;occurs&#x20;and&#x20;is&#x20;handled&#x20;according&#x20;to&#x20;the&#x20;system&#x20;configuration.','If&#x20;an&#x20;audit&#x20;event&#x20;is&#x20;logged&#x20;which&#x20;would&#x20;grow&#x20;the&#x20;queue&#x20;beyond&#x20;the&#x20;audit_backlog_limit,&#x20;then&#x20;a&#x20;failure&#x20;occurs,&#x20;auditd&#x20;records&#x20;will&#x20;be&#x20;lost,&#x20;and&#x20;potential&#x20;malicious&#x20;activity&#x20;could&#x20;go&#x20;undetected.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit_backlog_limit=N&#x20;to&#x20;GRUB_CMDLINE_LINUX.&#x20;The&#x20;recommended&#x20;size&#x20;for&#x20;N&#x20;is&#x20;8192&#x20;or&#x20;larger.&#x20;Example:&#x20;GRUB_CMDLINE_LINUX=&quot;audit_backlog_limit=8192&quot;&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub','[{\"cis\": [\"4.1.1.4\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28594,'Ensure&#x20;audit&#x20;log&#x20;storage&#x20;size&#x20;is&#x20;configured.','Configure&#x20;the&#x20;maximum&#x20;size&#x20;of&#x20;the&#x20;audit&#x20;log&#x20;file.&#x20;Once&#x20;the&#x20;log&#x20;reaches&#x20;the&#x20;maximum&#x20;size,&#x20;it&#x20;will&#x20;be&#x20;rotated&#x20;and&#x20;a&#x20;new&#x20;log&#x20;file&#x20;will&#x20;be&#x20;started.','It&#x20;is&#x20;important&#x20;that&#x20;an&#x20;appropriate&#x20;size&#x20;is&#x20;determined&#x20;for&#x20;log&#x20;files&#x20;so&#x20;that&#x20;they&#x20;do&#x20;not&#x20;impact&#x20;the&#x20;system&#x20;and&#x20;audit&#x20;data&#x20;is&#x20;not&#x20;lost.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy:&#x20;max_log_file&#x20;=&#x20;&lt;MB&gt;&#x20;Default&#x20;Value:&#x20;max_log_file&#x20;=&#x20;8&#x20;Additional&#x20;Information:&#x20;The&#x20;max_log_file&#x20;parameter&#x20;is&#x20;measured&#x20;in&#x20;megabytes.&#x20;Other&#x20;methods&#x20;of&#x20;log&#x20;rotation&#x20;may&#x20;be&#x20;appropriate&#x20;based&#x20;on&#x20;site&#x20;policy.&#x20;One&#x20;example&#x20;is&#x20;time-based&#x20;rotation&#x20;strategies&#x20;which&#x20;don&#039;t&#x20;have&#x20;native&#x20;support&#x20;in&#x20;auditd&#x20;configurations.&#x20;Manual&#x20;audit&#x20;of&#x20;custom&#x20;configurations&#x20;should&#x20;be&#x20;evaluated&#x20;for&#x20;effectiveness&#x20;and&#x20;completeness.','[{\"cis\": [\"4.1.2.2\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1053\"]}, {\"pci_dss_3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}]'),(28595,'Ensure&#x20;audit&#x20;logs&#x20;are&#x20;not&#x20;automatically&#x20;deleted.','The&#x20;max_log_file_action&#x20;setting&#x20;determines&#x20;how&#x20;to&#x20;handle&#x20;the&#x20;audit&#x20;log&#x20;file&#x20;reaching&#x20;the&#x20;max&#x20;file&#x20;size.&#x20;A&#x20;value&#x20;of&#x20;keep_logs&#x20;will&#x20;rotate&#x20;the&#x20;logs&#x20;but&#x20;never&#x20;delete&#x20;old&#x20;logs.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;benefits&#x20;of&#x20;maintaining&#x20;a&#x20;long&#x20;audit&#x20;history&#x20;exceed&#x20;the&#x20;cost&#x20;of&#x20;storing&#x20;the&#x20;audit&#x20;history.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;max_log_file_action&#x20;=&#x20;keep_logs.','[{\"cis\": [\"4.1.2.2\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1053\"]}, {\"pci_dss_3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}]'),(28596,'Ensure&#x20;system&#x20;is&#x20;disabled&#x20;when&#x20;audit&#x20;logs&#x20;are&#x20;full.','The&#x20;auditd&#x20;daemon&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;halt&#x20;the&#x20;system&#x20;when&#x20;the&#x20;audit&#x20;logs&#x20;are&#x20;full.&#x20;The&#x20;admin_space_left_action&#x20;parameter&#x20;tells&#x20;the&#x20;system&#x20;what&#x20;action&#x20;to&#x20;take&#x20;when&#x20;the&#x20;system&#x20;has&#x20;detected&#x20;that&#x20;it&#x20;is&#x20;low&#x20;on&#x20;disk&#x20;space.&#x20;Valid&#x20;values&#x20;are&#x20;ignore,&#x20;syslog,&#x20;suspend,&#x20;single,&#x20;and&#x20;halt.&#x20;ignore,&#x20;the&#x20;audit&#x20;daemon&#x20;does&#x20;nothing&#x20;Syslog,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;issue&#x20;a&#x20;warning&#x20;to&#x20;syslog&#x20;Suspend,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;stop&#x20;writing&#x20;records&#x20;to&#x20;the&#x20;disk&#x20;single,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;put&#x20;the&#x20;computer&#x20;system&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;halt,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;shutdown&#x20;the&#x20;system.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;risk&#x20;of&#x20;detecting&#x20;unauthorized&#x20;access&#x20;or&#x20;nonrepudiation&#x20;exceeds&#x20;the&#x20;benefit&#x20;of&#x20;the&#x20;system&#039;s&#x20;availability.','If&#x20;the&#x20;admin_space_left_action&#x20;parameter&#x20;is&#x20;set&#x20;to&#x20;halt&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;shutdown&#x20;the&#x20;system&#x20;when&#x20;the&#x20;disk&#x20;partition&#x20;containing&#x20;the&#x20;audit&#x20;logs&#x20;becomes&#x20;full.','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;space_left_action&#x20;=&#x20;email&#x20;action_mail_acct&#x20;=&#x20;root&#x20;set&#x20;admin_space_left_action&#x20;to&#x20;either&#x20;halt&#x20;or&#x20;single&#x20;in&#x20;/etc/audit/auditd.conf.&#x20;Example:&#x20;admin_space_left_action&#x20;=&#x20;halt.','[{\"cis\": [\"4.1.2.3\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.3\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28597,'Ensure&#x20;changes&#x20;to&#x20;system&#x20;administration&#x20;scope&#x20;&#40;sudoers&#41;&#x20;is&#x20;collected.','Monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrators.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;force&#x20;system&#x20;administrators&#x20;to&#x20;log&#x20;in&#x20;as&#x20;themselves&#x20;first&#x20;and&#x20;then&#x20;use&#x20;the&#x20;sudo&#x20;command&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;it&#x20;is&#x20;possible&#x20;to&#x20;monitor&#x20;changes&#x20;in&#x20;scope.&#x20;The&#x20;file&#x20;/etc/sudoers&#x20;will&#x20;be&#x20;written&#x20;to&#x20;when&#x20;the&#x20;file&#x20;or&#x20;its&#x20;attributes&#x20;have&#x20;changed.&#x20;The&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;scope.&quot;.&#x20;Note:&#x20;Reloading&#x20;the&#x20;auditd&#x20;config&#x20;to&#x20;set&#x20;active&#x20;settings&#x20;requires&#x20;the&#x20;auditd&#x20;service&#x20;to&#x20;be&#x20;restarted,&#x20;and&#x20;may&#x20;require&#x20;a&#x20;system&#x20;reboot.','Changes&#x20;in&#x20;the&#x20;/etc/sudoers&#x20;and&#x20;/etc/sudoers.d&#x20;files&#x20;can&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;change&#x20;has&#x20;been&#x20;made&#x20;to&#x20;the&#x20;scope&#x20;of&#x20;system&#x20;administrator&#x20;activity.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrators.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/etc/sudoers&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;-w&#x20;/etc/sudoers.d&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-scope.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;Additional&#x20;Information:&#x20;Potential&#x20;reboot&#x20;required&#x20;If&#x20;the&#x20;auditing&#x20;configuration&#x20;is&#x20;locked&#x20;&#40;-e&#x20;2&#41;,&#x20;then&#x20;augenrules&#x20;will&#x20;not&#x20;warn&#x20;in&#x20;any&#x20;way&#x20;that&#x20;rules&#x20;could&#x20;not&#x20;be&#x20;loaded&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;A&#x20;system&#x20;reboot&#x20;will&#x20;be&#x20;required&#x20;to&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;System&#x20;call&#x20;structure&#x20;For&#x20;performance&#x20;&#40;man&#x20;7&#x20;audit.rules&#41;&#x20;reasons&#x20;it&#x20;is&#x20;preferable&#x20;to&#x20;have&#x20;all&#x20;the&#x20;system&#x20;calls&#x20;on&#x20;one&#x20;line.&#x20;However,&#x20;your&#x20;configuration&#x20;may&#x20;have&#x20;them&#x20;on&#x20;one&#x20;line&#x20;each&#x20;or&#x20;some&#x20;other&#x20;combination.&#x20;This&#x20;is&#x20;important&#x20;to&#x20;understand&#x20;for&#x20;both&#x20;the&#x20;auditing&#x20;and&#x20;remediation&#x20;sections&#x20;as&#x20;the&#x20;examples&#x20;given&#x20;are&#x20;optimized&#x20;for&#x20;performance&#x20;as&#x20;per&#x20;the&#x20;man&#x20;page.','[{\"cis\": [\"4.1.3.1\"]}, {\"cis_csc_v7\": [\"4.8\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1047\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28598,'Ensure&#x20;actions&#x20;as&#x20;another&#x20;user&#x20;are&#x20;always&#x20;logged.','sudo&#x20;provides&#x20;users&#x20;with&#x20;temporary&#x20;elevated&#x20;privileges&#x20;to&#x20;perform&#x20;operations,&#x20;either&#x20;as&#x20;the&#x20;superuser&#x20;or&#x20;another&#x20;user.','Creating&#x20;an&#x20;audit&#x20;log&#x20;of&#x20;users&#x20;with&#x20;temporary&#x20;elevated&#x20;privileges&#x20;and&#x20;the&#x20;operation&#40;s&#41;&#x20;they&#x20;performed&#x20;is&#x20;essential&#x20;to&#x20;reporting.&#x20;Administrators&#x20;will&#x20;want&#x20;to&#x20;correlate&#x20;the&#x20;events&#x20;written&#x20;to&#x20;the&#x20;audit&#x20;trail&#x20;with&#x20;the&#x20;records&#x20;written&#x20;to&#x20;sudo&#039;s&#x20;logfile&#x20;to&#x20;verify&#x20;if&#x20;unauthorized&#x20;commands&#x20;have&#x20;been&#x20;executed.','','Create&#x20;audit&#x20;rules&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;elevated&#x20;privileges.&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-C&#x20;euid!=uid&#x20;-F&#x20;auid!=unset&#x20;-S&#x20;execve&#x20;-k&#x20;user_emulation&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-C&#x20;euid!=uid&#x20;-F&#x20;auid!=unset&#x20;-S&#x20;execve&#x20;-k&#x20;user_emulation&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-user_emulation.rules&#x20;Load&#x20;audit&#x20;rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x20;&quot;;&#x20;fi&#x20;32&#x20;Bit&#x20;systems&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.&#x20;Additional&#x20;Information:&#x20;Potential&#x20;reboot&#x20;required&#x20;If&#x20;the&#x20;auditing&#x20;configuration&#x20;is&#x20;locked&#x20;&#40;-e&#x20;2&#41;,&#x20;then&#x20;augenrules&#x20;will&#x20;not&#x20;warn&#x20;in&#x20;any&#x20;way&#x20;that&#x20;rules&#x20;could&#x20;not&#x20;be&#x20;loaded&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;A&#x20;system&#x20;reboot&#x20;will&#x20;be&#x20;required&#x20;to&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;System&#x20;call&#x20;structure&#x20;For&#x20;performance&#x20;&#40;man&#x20;7&#x20;audit.rules&#41;&#x20;reasons&#x20;it&#x20;is&#x20;preferable&#x20;to&#x20;have&#x20;all&#x20;the&#x20;system&#x20;calls&#x20;on&#x20;one&#x20;line.&#x20;However,&#x20;your&#x20;configuration&#x20;may&#x20;have&#x20;them&#x20;on&#x20;one&#x20;line&#x20;each&#x20;or&#x20;some&#x20;other&#x20;combination.&#x20;This&#x20;is&#x20;important&#x20;to&#x20;understand&#x20;for&#x20;both&#x20;the&#x20;auditing&#x20;and&#x20;remediation&#x20;sections&#x20;as&#x20;the&#x20;examples&#x20;given&#x20;are&#x20;optimized&#x20;for&#x20;performance&#x20;as&#x20;per&#x20;the&#x20;man&#x20;page.','[{\"cis\": [\"4.1.3.2\"]}, {\"cis_csc_v7\": [\"4.9\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1047\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28599,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;date&#x20;and&#x20;time&#x20;information&#x20;are&#x20;collected.','Capture&#x20;events&#x20;where&#x20;the&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;has&#x20;been&#x20;modified.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;are&#x20;set&#x20;to&#x20;determine&#x20;if&#x20;the;&#x20;adjtimex&#x20;-&#x20;tune&#x20;kernel&#x20;clock&#x20;settimeofday&#x20;-&#x20;set&#x20;time&#x20;using&#x20;timeval&#x20;and&#x20;timezone&#x20;structures&#x20;stime&#x20;-&#x20;using&#x20;seconds&#x20;since&#x20;1/1/1970&#x20;clock_settime&#x20;-&#x20;allows&#x20;for&#x20;the&#x20;setting&#x20;of&#x20;several&#x20;internal&#x20;clocks&#x20;and&#x20;timers&#x20;system&#x20;calls&#x20;have&#x20;been&#x20;executed.&#x20;Further,&#x20;ensure&#x20;to&#x20;write&#x20;an&#x20;audit&#x20;record&#x20;to&#x20;the&#x20;configured&#x20;audit&#x20;log&#x20;file&#x20;upon&#x20;exit,&#x20;tagging&#x20;the&#x20;records&#x20;with&#x20;a&#x20;unique&#x20;identifier&#x20;such&#x20;as&#x20;&quot;time-change&quot;.','Unexpected&#x20;changes&#x20;in&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;could&#x20;be&#x20;a&#x20;sign&#x20;of&#x20;malicious&#x20;activity&#x20;on&#x20;the&#x20;system.','','Create&#x20;audit&#x20;rules&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;events&#x20;that&#x20;modify&#x20;date&#x20;and&#x20;time&#x20;information.&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;adjtimex,settimeofday,clock_settime&#x20;-k&#x20;timechange&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex,settimeofday,clock_settime&#x20;-k&#x20;timechange&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-time-change.rules&#x20;Load&#x20;audit&#x20;rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x20;&quot;;&#x20;fi&#x20;32&#x20;Bit&#x20;systems&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.&#x20;In&#x20;addition,&#x20;add&#x20;stime&#x20;to&#x20;the&#x20;system&#x20;call&#x20;audit.&#x20;Example:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex,settimeofday,clock_settime,stime&#x20;-k&#x20;time-change&#x20;Additional&#x20;Information:&#x20;Potential&#x20;reboot&#x20;required&#x20;If&#x20;the&#x20;auditing&#x20;configuration&#x20;is&#x20;locked&#x20;&#40;-e&#x20;2&#41;,&#x20;then&#x20;augenrules&#x20;will&#x20;not&#x20;warn&#x20;in&#x20;any&#x20;way&#x20;that&#x20;rules&#x20;could&#x20;not&#x20;be&#x20;loaded&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;A&#x20;system&#x20;reboot&#x20;will&#x20;be&#x20;required&#x20;to&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;System&#x20;call&#x20;structure&#x20;For&#x20;performance&#x20;&#40;man&#x20;7&#x20;audit.rules&#41;&#x20;reasons&#x20;it&#x20;is&#x20;preferable&#x20;to&#x20;have&#x20;all&#x20;the&#x20;system&#x20;calls&#x20;on&#x20;one&#x20;line.&#x20;However,&#x20;your&#x20;configuration&#x20;may&#x20;have&#x20;them&#x20;on&#x20;one&#x20;line&#x20;each&#x20;or&#x20;some&#x20;other&#x20;combination.&#x20;This&#x20;is&#x20;important&#x20;to&#x20;understand&#x20;for&#x20;both&#x20;the&#x20;auditing&#x20;and&#x20;remediation&#x20;sections&#x20;as&#x20;the&#x20;examples&#x20;given&#x20;are&#x20;optimized&#x20;for&#x20;performance&#x20;as&#x20;per&#x20;the&#x20;man&#x20;page.','[{\"cis\": [\"4.1.3.4\"]}, {\"cis_csc_v7\": [\"5.5\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28600,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;network&#x20;environment&#x20;are&#x20;collected.','Record&#x20;changes&#x20;to&#x20;network&#x20;environment&#x20;files&#x20;or&#x20;system&#x20;calls.&#x20;The&#x20;below&#x20;parameters&#x20;monitors&#x20;the&#x20;following&#x20;system&#x20;calls,&#x20;and&#x20;write&#x20;an&#x20;audit&#x20;event&#x20;on&#x20;system&#x20;call&#x20;exit:&#x20;sethostname&#x20;-&#x20;set&#x20;the&#x20;systems&#x20;host&#x20;name&#x20;setdomainname&#x20;-&#x20;set&#x20;the&#x20;systems&#x20;domain&#x20;name&#x20;The&#x20;files&#x20;being&#x20;monitored&#x20;are:&#x20;-/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;-&#x20;messages&#x20;displayed&#x20;pre-login&#x20;/etc/hosts&#x20;-&#x20;file&#x20;containing&#x20;host&#x20;names&#x20;and&#x20;associated&#x20;IP&#x20;addresses&#x20;-&#x20;/etc/networks&#x20;-&#x20;symbolic&#x20;names&#x20;for&#x20;networks&#x20;-&#x20;/etc/network/&#x20;-&#x20;directory&#x20;containing&#x20;network&#x20;interface&#x20;scripts&#x20;and&#x20;configurations&#x20;files.','Monitoring&#x20;sethostname&#x20;and&#x20;setdomainname&#x20;will&#x20;identify&#x20;potential&#x20;unauthorized&#x20;changes&#x20;to&#x20;host&#x20;and&#x20;domainname&#x20;of&#x20;a&#x20;system.&#x20;The&#x20;changing&#x20;of&#x20;these&#x20;names&#x20;could&#x20;potentially&#x20;break&#x20;security&#x20;parameters&#x20;that&#x20;are&#x20;set&#x20;based&#x20;on&#x20;those&#x20;names.&#x20;The&#x20;/etc/hosts&#x20;file&#x20;is&#x20;monitored&#x20;for&#x20;changes&#x20;that&#x20;can&#x20;indicate&#x20;an&#x20;unauthorized&#x20;intruder&#x20;is&#x20;trying&#x20;to&#x20;change&#x20;machine&#x20;associations&#x20;with&#x20;IP&#x20;addresses&#x20;and&#x20;trick&#x20;users&#x20;and&#x20;processes&#x20;into&#x20;connecting&#x20;to&#x20;unintended&#x20;machines.&#x20;Monitoring&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;is&#x20;important,&#x20;as&#x20;intruders&#x20;could&#x20;put&#x20;disinformation&#x20;into&#x20;those&#x20;files&#x20;and&#x20;trick&#x20;users&#x20;into&#x20;providing&#x20;information&#x20;to&#x20;the&#x20;intruder.&#x20;Monitoring&#x20;/etc/network&#x20;is&#x20;important&#x20;as&#x20;it&#x20;can&#x20;show&#x20;if&#x20;network&#x20;interfaces&#x20;or&#x20;scripts&#x20;are&#x20;being&#x20;modified&#x20;in&#x20;a&#x20;way&#x20;that&#x20;can&#x20;lead&#x20;to&#x20;the&#x20;machine&#x20;becoming&#x20;unavailable&#x20;or&#x20;compromised.&#x20;All&#x20;audit&#x20;records&#x20;should&#x20;have&#x20;a&#x20;relevant&#x20;tag&#x20;associated&#x20;with&#x20;them.','','Create&#x20;audit&#x20;rules&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;network&#x20;environment.&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;sethostname,setdomainname&#x20;-k&#x20;system-locale&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname,setdomainname&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/networks&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/network/&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-system_local.rules&#x20;Load&#x20;audit&#x20;rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;32&#x20;Bit&#x20;systems&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.5\"]}, {\"cis_csc_v7\": [\"5.5\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1047\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28601,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;user/group&#x20;information&#x20;are&#x20;collected.','Record&#x20;events&#x20;affecting&#x20;the&#x20;modification&#x20;of&#x20;user&#x20;or&#x20;group&#x20;information,&#x20;including&#x20;that&#x20;of&#x20;passwords&#x20;and&#x20;old&#x20;passwords&#x20;if&#x20;in&#x20;use.&#x20;/etc/group&#x20;-&#x20;system&#x20;groups&#x20;/etc/passwd&#x20;-&#x20;system&#x20;users&#x20;/etc/gshadow&#x20;-&#x20;encrypted&#x20;password&#x20;for&#x20;each&#x20;group&#x20;/etc/shadow&#x20;-&#x20;system&#x20;user&#x20;passwords&#x20;/etc/security/opasswd&#x20;-&#x20;storage&#x20;of&#x20;old&#x20;passwords&#x20;if&#x20;the&#x20;relevant&#x20;PAM&#x20;module&#x20;is&#x20;in&#x20;use&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;will&#x20;watch&#x20;the&#x20;files&#x20;to&#x20;see&#x20;if&#x20;they&#x20;have&#x20;been&#x20;opened&#x20;for&#x20;write&#x20;or&#x20;have&#x20;had&#x20;attribute&#x20;changes&#x20;&#40;e.g.&#x20;permissions&#41;&#x20;and&#x20;tag&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;identity&quot;&#x20;in&#x20;the&#x20;audit&#x20;log&#x20;file.','Unexpected&#x20;changes&#x20;to&#x20;these&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;the&#x20;system&#x20;has&#x20;been&#x20;compromised&#x20;and&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;hide&#x20;their&#x20;activities&#x20;or&#x20;compromise&#x20;additional&#x20;accounts.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;events&#x20;that&#x20;modify&#x20;user/group&#x20;information.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/etc/group&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/passwd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/gshadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/shadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/security/opasswd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-identity.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x20;&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.8\"]}, {\"cis_csc_v7\": [\"4.8\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1047\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28602,'Ensure&#x20;session&#x20;initiation&#x20;information&#x20;is&#x20;collected.','Monitor&#x20;session&#x20;initiation&#x20;events.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;to&#x20;the&#x20;files&#x20;associated&#x20;with&#x20;session&#x20;events.&#x20;/var/run/utmp&#x20;-&#x20;tracks&#x20;all&#x20;currently&#x20;logged&#x20;in&#x20;users.&#x20;/var/log/wtmp&#x20;-&#x20;file&#x20;tracks&#x20;logins,&#x20;logouts,&#x20;shutdown,&#x20;and&#x20;reboot&#x20;events.&#x20;/var/log/btmp&#x20;-&#x20;keeps&#x20;track&#x20;of&#x20;failed&#x20;login&#x20;attempts&#x20;and&#x20;can&#x20;be&#x20;read&#x20;by&#x20;entering&#x20;the&#x20;command&#x20;/usr/bin/last&#x20;-f&#x20;/var/log/btmp.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;session.&quot;.','Monitoring&#x20;these&#x20;files&#x20;for&#x20;changes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;logins&#x20;occurring&#x20;at&#x20;unusual&#x20;hours,&#x20;which&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;&#40;i.e.&#x20;a&#x20;user&#x20;logging&#x20;in&#x20;at&#x20;a&#x20;time&#x20;when&#x20;they&#x20;do&#x20;not&#x20;normally&#x20;log&#x20;in&#41;.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;session&#x20;initiation&#x20;information.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/var/run/utmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;-w&#x20;/var/log/wtmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;-w&#x20;/var/log/btmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-session.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x20;&quot;;&#x20;fi&#x20;Additional&#x20;Information:&#x20;Potential&#x20;reboot&#x20;required&#x20;If&#x20;the&#x20;auditing&#x20;configuration&#x20;is&#x20;locked&#x20;&#40;-e&#x20;2&#41;,&#x20;then&#x20;augenrules&#x20;will&#x20;not&#x20;warn&#x20;in&#x20;any&#x20;way&#x20;that&#x20;rules&#x20;could&#x20;not&#x20;be&#x20;loaded&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;A&#x20;system&#x20;reboot&#x20;will&#x20;be&#x20;required&#x20;to&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;System&#x20;call&#x20;structure&#x20;For&#x20;performance&#x20;&#40;man&#x20;7&#x20;audit.rules&#41;&#x20;reasons&#x20;it&#x20;is&#x20;preferable&#x20;to&#x20;have&#x20;all&#x20;the&#x20;system&#x20;calls&#x20;on&#x20;one&#x20;line.&#x20;However,&#x20;your&#x20;configuration&#x20;may&#x20;have&#x20;them&#x20;on&#x20;one&#x20;line&#x20;each&#x20;or&#x20;some&#x20;other&#x20;combination.&#x20;This&#x20;is&#x20;important&#x20;to&#x20;understand&#x20;for&#x20;both&#x20;the&#x20;auditing&#x20;and&#x20;remediation&#x20;sections&#x20;as&#x20;the&#x20;examples&#x20;given&#x20;are&#x20;optimized&#x20;for&#x20;performance&#x20;as&#x20;per&#x20;the&#x20;man&#x20;page.','[{\"cis\": [\"4.1.3.11\"]}, {\"cis_csc_v7\": [\"4.9\", \"16.13\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28603,'Ensure&#x20;login&#x20;and&#x20;logout&#x20;events&#x20;are&#x20;collected.','Monitor&#x20;login&#x20;and&#x20;logout&#x20;events.&#x20;The&#x20;parameters&#x20;below&#x20;track&#x20;changes&#x20;to&#x20;files&#x20;associated&#x20;with&#x20;login/logout&#x20;events.&#x20;/var/log/lastlog&#x20;-&#x20;maintain&#x20;records&#x20;of&#x20;the&#x20;last&#x20;time&#x20;a&#x20;user&#x20;successfully&#x20;logged&#x20;in.&#x20;/var/run/faillock&#x20;-&#x20;directory&#x20;maintains&#x20;records&#x20;of&#x20;login&#x20;failures&#x20;via&#x20;the&#x20;pam_faillock&#x20;module.','Monitoring&#x20;login/logout&#x20;events&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;information&#x20;associated&#x20;with&#x20;brute&#x20;force&#x20;attacks&#x20;against&#x20;user&#x20;logins.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;login&#x20;and&#x20;logout&#x20;events.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/var/log/lastlog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;-w&#x20;/var/run/faillock&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-login.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x20;&quot;;&#x20;fi.&#x20;Additional&#x20;Information:&#x20;Potential&#x20;reboot&#x20;required&#x20;If&#x20;the&#x20;auditing&#x20;configuration&#x20;is&#x20;locked&#x20;&#40;-e&#x20;2&#41;,&#x20;then&#x20;augenrules&#x20;will&#x20;not&#x20;warn&#x20;in&#x20;any&#x20;way&#x20;that&#x20;rules&#x20;could&#x20;not&#x20;be&#x20;loaded&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;A&#x20;system&#x20;reboot&#x20;will&#x20;be&#x20;required&#x20;to&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;the&#x20;running&#x20;configuration.&#x20;System&#x20;call&#x20;structure&#x20;For&#x20;performance&#x20;&#40;man&#x20;7&#x20;audit.rules&#41;&#x20;reasons&#x20;it&#x20;is&#x20;preferable&#x20;to&#x20;have&#x20;all&#x20;the&#x20;system&#x20;calls&#x20;on&#x20;one&#x20;line.&#x20;However,&#x20;your&#x20;configuration&#x20;may&#x20;have&#x20;them&#x20;on&#x20;one&#x20;line&#x20;each&#x20;or&#x20;some&#x20;other&#x20;combination.&#x20;This&#x20;is&#x20;important&#x20;to&#x20;understand&#x20;for&#x20;both&#x20;the&#x20;auditing&#x20;and&#x20;remediation&#x20;sections&#x20;as&#x20;the&#x20;examples&#x20;given&#x20;are&#x20;optimized&#x20;for&#x20;performance&#x20;as&#x20;per&#x20;the&#x20;man&#x20;page.','[{\"cis\": [\"4.1.3.12\"]}, {\"cis_csc_v7\": [\"4.9\", \"16.11\", \"16.13\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28604,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;Mandatory&#x20;Access&#x20;Controls&#x20;are&#x20;collected.','Monitor&#x20;AppArmor,&#x20;an&#x20;implementation&#x20;of&#x20;mandatory&#x20;access&#x20;controls.&#x20;The&#x20;parameters&#x20;below&#x20;monitor&#x20;any&#x20;write&#x20;access&#x20;&#40;potential&#x20;additional,&#x20;deletion&#x20;or&#x20;modification&#x20;of&#x20;files&#x20;in&#x20;the&#x20;directory&#41;&#x20;or&#x20;attribute&#x20;changes&#x20;to&#x20;the&#x20;/etc/apparmor/&#x20;and&#x20;/etc/apparmor.d/&#x20;directories.&#x20;Note:&#x20;If&#x20;a&#x20;different&#x20;Mandatory&#x20;Access&#x20;Control&#x20;method&#x20;is&#x20;used,&#x20;changes&#x20;to&#x20;the&#x20;corresponding&#x20;directories&#x20;should&#x20;be&#x20;audited.','Rationale:&#x20;Changes&#x20;to&#x20;files&#x20;in&#x20;the&#x20;/etc/apparmor/&#x20;and&#x20;/etc/apparmor.d/&#x20;directories&#x20;could&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;modify&#x20;access&#x20;controls&#x20;and&#x20;change&#x20;security&#x20;contexts,&#x20;leading&#x20;to&#x20;a&#x20;compromise&#x20;of&#x20;the&#x20;system.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;Mandatory&#x20;Access&#x20;Controls.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/etc/apparmor/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;-w&#x20;/etc/apparmor.d/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-MAC-policy.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi','[{\"cis\": [\"4.1.3.14\"]}, {\"cis_csc_v7\": [\"5.5\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28605,'Ensure&#x20;the&#x20;audit&#x20;configuration&#x20;is&#x20;immutable.','Set&#x20;system&#x20;audit&#x20;so&#x20;that&#x20;audit&#x20;rules&#x20;cannot&#x20;be&#x20;modified&#x20;with&#x20;auditctl&#x20;.&#x20;Setting&#x20;the&#x20;flag&#x20;&quot;-e&#x20;2&quot;&#x20;forces&#x20;audit&#x20;to&#x20;be&#x20;put&#x20;in&#x20;immutable&#x20;mode.&#x20;Audit&#x20;changes&#x20;can&#x20;only&#x20;be&#x20;made&#x20;on&#x20;system&#x20;reboot.&#x20;Note:&#x20;This&#x20;setting&#x20;will&#x20;require&#x20;the&#x20;system&#x20;to&#x20;be&#x20;rebooted&#x20;to&#x20;update&#x20;the&#x20;active&#x20;auditd&#x20;configuration&#x20;settings.','In&#x20;immutable&#x20;mode,&#x20;unauthorized&#x20;users&#x20;cannot&#x20;execute&#x20;changes&#x20;to&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;potentially&#x20;hide&#x20;malicious&#x20;activity&#x20;and&#x20;then&#x20;put&#x20;the&#x20;audit&#x20;rules&#x20;back.&#x20;Users&#x20;would&#x20;most&#x20;likely&#x20;notice&#x20;a&#x20;system&#x20;reboot&#x20;and&#x20;that&#x20;could&#x20;alert&#x20;administrators&#x20;of&#x20;an&#x20;attempt&#x20;to&#x20;make&#x20;unauthorized&#x20;audit&#x20;changes.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/audit/rules.d/99-finalize.rules&#x20;and&#x20;add&#x20;the&#x20;line&#x20;-e&#x20;2&#x20;at&#x20;the&#x20;end&#x20;of&#x20;the&#x20;file:&#x20;Example:&#x20;#&#x20;printf&#x20;--&#x20;&quot;-e&#x20;2&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/99-finalize.rules&#x20;Load&#x20;audit&#x20;rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x20;&quot;;&#x20;fi&#x20;Additional&#x20;Information:&#x20;NIST&#x20;SP&#x20;800-53&#x20;Rev.&#x20;5:&#x20;AC-3&#x20;AU-3&#x20;AU-3&#40;1&#41;&#x20;MP-2','[{\"cis\": [\"4.1.3.20\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"3.3\", \"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28606,'Ensure&#x20;only&#x20;authorized&#x20;groups&#x20;are&#x20;assigned&#x20;ownership&#x20;of&#x20;audit&#x20;log&#x20;files.','Audit&#x20;log&#x20;files&#x20;contain&#x20;information&#x20;about&#x20;the&#x20;system&#x20;and&#x20;system&#x20;activity.','Access&#x20;to&#x20;audit&#x20;records&#x20;can&#x20;reveal&#x20;system&#x20;and&#x20;configuration&#x20;data&#x20;to&#x20;attackers,&#x20;potentially&#x20;compromising&#x20;its&#x20;confidentiality.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;configure&#x20;the&#x20;audit&#x20;log&#x20;files&#x20;to&#x20;be&#x20;owned&#x20;by&#x20;adm&#x20;group:&#x20;#&#x20;find&#x20;$&#40;dirname&#x20;$&#40;awk&#x20;-F&quot;=&quot;&#x20;&#039;/^s*log_files*=s&#42;&#47;&#x20;{print&#x20;$2}&#039;&#x20;/etc/audit/auditd.conf&#x20;|&#x20;xargs&#41;&#41;&#x20;-type&#x20;f&#x20;&#40;&#x20;!&#x20;-group&#x20;adm&#x20;-a&#x20;!&#x20;-group&#x20;root&#x20;&#41;&#x20;-exec&#x20;chgrp&#x20;adm&#x20;{}&#x20;+&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;configure&#x20;the&#x20;audit&#x20;log&#x20;files&#x20;to&#x20;be&#x20;owned&#x20;by&#x20;the&#x20;adm&#x20;group:&#x20;#&#x20;chgrp&#x20;adm&#x20;/var/log/audit/&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;log_group&#x20;parameter&#x20;in&#x20;the&#x20;audit&#x20;configuration&#x20;file&#x20;to&#x20;log_group&#x20;=&#x20;adm:&#x20;#&#x20;sed&#x20;-ri&#x20;&#039;s/^s*#?s*log_groups*=s*S+&#40;s*#.*&#41;?.*$/log_group&#x20;=&#x20;adm1/&#039;&#x20;/etc/audit/auditd.conf&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;the&#x20;audit&#x20;daemon&#x20;to&#x20;reload&#x20;the&#x20;configuration&#x20;file:&#x20;#&#x20;systemctl&#x20;restart&#x20;auditd','[{\"cis\": [\"4.1.4.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28607,'Ensure&#x20;audit&#x20;configuration&#x20;files&#x20;are&#x20;640&#x20;or&#x20;more&#x20;restrictive.','Audit&#x20;configuration&#x20;files&#x20;control&#x20;auditd&#x20;and&#x20;what&#x20;events&#x20;are&#x20;audited.','Access&#x20;to&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;could&#x20;allow&#x20;unauthorized&#x20;personnel&#x20;to&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events.&#x20;Misconfigured&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events&#x20;or&#x20;impact&#x20;the&#x20;system&#039;s&#x20;performance&#x20;by&#x20;overwhelming&#x20;the&#x20;audit&#x20;log.&#x20;Misconfiguration&#x20;of&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;also&#x20;make&#x20;it&#x20;more&#x20;difficult&#x20;to&#x20;establish&#x20;and&#x20;investigate&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;more&#x20;permissive&#x20;mode&#x20;than&#x20;0640&#x20;from&#x20;the&#x20;audit&#x20;configuration&#x20;files:&#x20;#&#x20;find&#x20;/etc/audit/&#x20;-type&#x20;f&#x20;&#40;&#x20;-name&#x20;&#039;*.conf&#039;&#x20;-o&#x20;-name&#x20;&#039;*.rules&#039;&#x20;&#41;&#x20;-exec&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;{}&#x20;+','[{\"cis\": [\"4.1.4.5\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28608,'Ensure&#x20;audit&#x20;configuration&#x20;files&#x20;are&#x20;owned&#x20;by&#x20;root.','Audit&#x20;configuration&#x20;files&#x20;control&#x20;auditd&#x20;and&#x20;what&#x20;events&#x20;are&#x20;audited.','Access&#x20;to&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;could&#x20;allow&#x20;unauthorized&#x20;personnel&#x20;to&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events.&#x20;Misconfigured&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events&#x20;or&#x20;impact&#x20;the&#x20;system&#039;s&#x20;performance&#x20;by&#x20;overwhelming&#x20;the&#x20;audit&#x20;log.&#x20;Misconfiguration&#x20;of&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;also&#x20;make&#x20;it&#x20;more&#x20;difficult&#x20;to&#x20;establish&#x20;and&#x20;investigate&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;ownership&#x20;to&#x20;root&#x20;user:&#x20;#&#x20;find&#x20;/etc/audit/&#x20;-type&#x20;f&#x20;&#40;&#x20;-name&#x20;&#039;*.conf&#039;&#x20;-o&#x20;-name&#x20;&#039;*.rules&#039;&#x20;&#41;&#x20;!&#x20;-user&#x20;root&#x20;-exec&#x20;chown&#x20;root&#x20;{}&#x20;+','[{\"cis\": [\"4.1.4.6\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28609,'Ensure&#x20;audit&#x20;configuration&#x20;files&#x20;belong&#x20;to&#x20;group&#x20;root.','Audit&#x20;configuration&#x20;files&#x20;control&#x20;auditd&#x20;and&#x20;what&#x20;events&#x20;are&#x20;audited.','Access&#x20;to&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;could&#x20;allow&#x20;unauthorized&#x20;personnel&#x20;to&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events.&#x20;Misconfigured&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events&#x20;or&#x20;impact&#x20;the&#x20;system&#039;s&#x20;performance&#x20;by&#x20;overwhelming&#x20;the&#x20;audit&#x20;log.&#x20;Misconfiguration&#x20;of&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;also&#x20;make&#x20;it&#x20;more&#x20;difficult&#x20;to&#x20;establish&#x20;and&#x20;investigate&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;group&#x20;to&#x20;root:&#x20;#&#x20;find&#x20;/etc/audit/&#x20;-type&#x20;f&#x20;&#40;&#x20;-name&#x20;&#039;*.conf&#039;&#x20;-o&#x20;-name&#x20;&#039;*.rules&#039;&#x20;&#41;&#x20;!&#x20;-group&#x20;root&#x20;-exec&#x20;chgrp&#x20;root&#x20;{}&#x20;+','[{\"cis\": [\"4.1.4.7\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28610,'Ensure&#x20;audit&#x20;tools&#x20;are&#x20;755&#x20;or&#x20;more&#x20;restrictive.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;audit&#x20;information&#x20;includes&#x20;identifying&#x20;and&#x20;protecting&#x20;the&#x20;tools&#x20;used&#x20;to&#x20;view&#x20;and&#x20;manipulate&#x20;log&#x20;data.&#x20;Protecting&#x20;audit&#x20;tools&#x20;is&#x20;necessary&#x20;to&#x20;prevent&#x20;unauthorized&#x20;operation&#x20;on&#x20;audit&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;more&#x20;permissive&#x20;mode&#x20;from&#x20;the&#x20;audit&#x20;tools:&#x20;#&#x20;chmod&#x20;go-w&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules','[{\"cis\": [\"4.1.4.8\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28611,'Ensure&#x20;audit&#x20;tools&#x20;are&#x20;owned&#x20;by&#x20;root.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;audit&#x20;information&#x20;includes&#x20;identifying&#x20;and&#x20;protecting&#x20;the&#x20;tools&#x20;used&#x20;to&#x20;view&#x20;and&#x20;manipulate&#x20;log&#x20;data.&#x20;Protecting&#x20;audit&#x20;tools&#x20;is&#x20;necessary&#x20;to&#x20;prevent&#x20;unauthorized&#x20;operation&#x20;on&#x20;audit&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;the&#x20;owner&#x20;of&#x20;the&#x20;audit&#x20;tools&#x20;to&#x20;the&#x20;root&#x20;user:&#x20;#&#x20;chown&#x20;root&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules','[{\"cis\": [\"4.1.4.9\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28612,'Ensure&#x20;audit&#x20;tools&#x20;belong&#x20;to&#x20;group&#x20;root.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;audit&#x20;information&#x20;includes&#x20;identifying&#x20;and&#x20;protecting&#x20;the&#x20;tools&#x20;used&#x20;to&#x20;view&#x20;and&#x20;manipulate&#x20;log&#x20;data.&#x20;Protecting&#x20;audit&#x20;tools&#x20;is&#x20;necessary&#x20;to&#x20;prevent&#x20;unauthorized&#x20;operation&#x20;on&#x20;audit&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;more&#x20;permissive&#x20;mode&#x20;from&#x20;the&#x20;audit&#x20;tools:&#x20;#&#x20;chmod&#x20;go-w&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;audit&#x20;tools&#x20;to&#x20;root&#x20;user&#x20;and&#x20;group:&#x20;#&#x20;chown&#x20;root:root&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules','[{\"cis\": [\"4.1.4.10\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28613,'Ensure&#x20;cryptographic&#x20;mechanisms&#x20;are&#x20;used&#x20;to&#x20;protect&#x20;the&#x20;integrity&#x20;of&#x20;audit&#x20;tools.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;the&#x20;integrity&#x20;of&#x20;the&#x20;tools&#x20;used&#x20;for&#x20;auditing&#x20;purposes&#x20;is&#x20;a&#x20;critical&#x20;step&#x20;toward&#x20;ensuring&#x20;the&#x20;integrity&#x20;of&#x20;audit&#x20;information.&#x20;Audit&#x20;information&#x20;includes&#x20;all&#x20;information&#x20;&#40;e.g.,&#x20;audit&#x20;records,&#x20;audit&#x20;settings,&#x20;and&#x20;audit&#x20;reports&#41;&#x20;needed&#x20;to&#x20;successfully&#x20;audit&#x20;information&#x20;system&#x20;activity.&#x20;Attackers&#x20;may&#x20;replace&#x20;the&#x20;audit&#x20;tools&#x20;or&#x20;inject&#x20;code&#x20;into&#x20;the&#x20;existing&#x20;tools&#x20;with&#x20;the&#x20;purpose&#x20;of&#x20;providing&#x20;the&#x20;capability&#x20;to&#x20;hide&#x20;or&#x20;erase&#x20;system&#x20;activity&#x20;from&#x20;the&#x20;audit&#x20;logs.&#x20;Audit&#x20;tools&#x20;should&#x20;be&#x20;cryptographically&#x20;signed&#x20;in&#x20;order&#x20;to&#x20;provide&#x20;the&#x20;capability&#x20;to&#x20;identify&#x20;when&#x20;the&#x20;audit&#x20;tools&#x20;have&#x20;been&#x20;modified,&#x20;manipulated,&#x20;or&#x20;replaced.&#x20;An&#x20;example&#x20;is&#x20;a&#x20;checksum&#x20;hash&#x20;of&#x20;the&#x20;file&#x20;or&#x20;files.','','Add&#x20;or&#x20;update&#x20;the&#x20;following&#x20;selection&#x20;lines&#x20;for&#x20;&quot;/etc/aide/aide.conf&quot;&#x20;to&#x20;protect&#x20;the&#x20;integrity&#x20;of&#x20;the&#x20;audit&#x20;tools:&#x20;#&#x20;Audit&#x20;Tools&#x20;/sbin/auditctl&#x20;p+i+n+u+g+s+b+acl+xattrs+sha512&#x20;/sbin/auditd&#x20;p+i+n+u+g+s+b+acl+xattrs+sha512&#x20;/sbin/ausearch&#x20;p+i+n+u+g+s+b+acl+xattrs+sha512&#x20;/sbin/aureport&#x20;p+i+n+u+g+s+b+acl+xattrs+sha512&#x20;/sbin/autrace&#x20;p+i+n+u+g+s+b+acl+xattrs+sha512&#x20;/sbin/augenrules&#x20;p+i+n+u+g+s+b+acl+xattrs+sha512','[{\"cis\": [\"4.1.4.11\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28614,'Ensure&#x20;systemd-journal-remote&#x20;is&#x20;installed.','Journald&#x20;&#40;via&#x20;systemd-journal-remote&#41;&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;log&#x20;events&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;enabling&#x20;centralised&#x20;log&#x20;management.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;systemd-journal-remote:&#x20;#&#x20;apt&#x20;install&#x20;systemd-journal-remote','[{\"cis\": [\"4.2.1.1.1\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28615,'Ensure&#x20;journald&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;recieve&#x20;logs&#x20;from&#x20;a&#x20;remote&#x20;client.','Journald&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;acting&#x20;as&#x20;a&#x20;log&#x20;server.&#x20;Clients&#x20;should&#x20;not&#x20;receive&#x20;data&#x20;from&#x20;other&#x20;hosts.&#x20;NOTE:&#x20;The&#x20;same&#x20;package,&#x20;systemd-journal-remote,&#x20;is&#x20;used&#x20;for&#x20;both&#x20;sending&#x20;logs&#x20;to&#x20;remote&#x20;hosts&#x20;and&#x20;receiving&#x20;incoming&#x20;logs.&#x20;With&#x20;regards&#x20;to&#x20;receiving&#x20;logs,&#x20;there&#x20;are&#x20;two&#x20;services;&#x20;systemd-journalremote.socket&#x20;and&#x20;systemd-journal-remote.service.','If&#x20;a&#x20;client&#x20;is&#x20;configured&#x20;to&#x20;also&#x20;receive&#x20;data,&#x20;thus&#x20;turning&#x20;it&#x20;into&#x20;a&#x20;server,&#x20;the&#x20;client&#x20;system&#x20;is&#x20;acting&#x20;outside&#x20;it&#039;s&#x20;operational&#x20;boundary.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;systemd-journal-remote.socket:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;systemd-journal-remote.socket','[{\"cis\": [\"4.2.1.1.4\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"9.2\"]}, {\"cis_csc_v8\": [\"4.8\", \"8.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28616,'Ensure&#x20;journald&#x20;service&#x20;is&#x20;enabled.','Ensure&#x20;that&#x20;the&#x20;systemd-journald&#x20;service&#x20;is&#x20;enabled&#x20;to&#x20;allow&#x20;capturing&#x20;of&#x20;logging&#x20;events.','If&#x20;the&#x20;systemd-journald&#x20;service&#x20;is&#x20;not&#x20;enabled&#x20;to&#x20;start&#x20;on&#x20;boot,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;capture&#x20;logging&#x20;events.','','By&#x20;default&#x20;the&#x20;systemd-journald&#x20;service&#x20;does&#x20;not&#x20;have&#x20;an&#x20;[Install]&#x20;section&#x20;and&#x20;thus&#x20;cannot&#x20;be&#x20;enabled&#x20;/&#x20;disabled.&#x20;It&#x20;is&#x20;meant&#x20;to&#x20;be&#x20;referenced&#x20;as&#x20;Requires&#x20;or&#x20;Wants&#x20;by&#x20;other&#x20;unit&#x20;files.&#x20;As&#x20;such,&#x20;if&#x20;the&#x20;status&#x20;of&#x20;systemd-journald&#x20;is&#x20;not&#x20;static,&#x20;investigate&#x20;why.','[{\"cis\": [\"4.2.1.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28617,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;compress&#x20;large&#x20;log&#x20;files.','The&#x20;journald&#x20;system&#x20;includes&#x20;the&#x20;capability&#x20;of&#x20;compressing&#x20;overly&#x20;large&#x20;files&#x20;to&#x20;avoid&#x20;filling&#x20;up&#x20;the&#x20;system&#x20;with&#x20;logs&#x20;or&#x20;making&#x20;the&#x20;logs&#x20;unmanageably&#x20;large.','Uncompressed&#x20;large&#x20;files&#x20;may&#x20;unexpectedly&#x20;fill&#x20;a&#x20;filesystem&#x20;leading&#x20;to&#x20;resource&#x20;unavailability.&#x20;Compressing&#x20;logs&#x20;prior&#x20;to&#x20;write&#x20;can&#x20;prevent&#x20;sudden,&#x20;unexpected&#x20;filesystem&#x20;impacts.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Compress=yes&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;systemd-journald&#x20;Additional&#x20;Information:&#x20;The&#x20;main&#x20;configuration&#x20;file&#x20;/etc/systemd/journald.conf&#x20;is&#x20;read&#x20;before&#x20;any&#x20;of&#x20;the&#x20;custom&#x20;*.conf&#x20;files.&#x20;If&#x20;there&#x20;are&#x20;custom&#x20;configs&#x20;present,&#x20;they&#x20;override&#x20;the&#x20;main&#x20;configuration&#x20;parameters.&#x20;It&#x20;is&#x20;possible&#x20;to&#x20;change&#x20;the&#x20;default&#x20;threshold&#x20;of&#x20;512&#x20;bytes&#x20;per&#x20;object&#x20;before&#x20;compression&#x20;is&#x20;used.','[{\"cis\": [\"4.2.1.3\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"6.4\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.3\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.002\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1053\"]}, {\"pci_dss_3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}]'),(28618,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;write&#x20;logfiles&#x20;to&#x20;persistent&#x20;disk.','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Logs&#x20;in&#x20;memory&#x20;will&#x20;be&#x20;lost&#x20;upon&#x20;a&#x20;system&#x20;reboot.&#x20;By&#x20;persisting&#x20;logs&#x20;to&#x20;local&#x20;disk&#x20;on&#x20;the&#x20;server&#x20;they&#x20;are&#x20;protected&#x20;from&#x20;loss&#x20;due&#x20;to&#x20;a&#x20;reboot.','Writing&#x20;log&#x20;data&#x20;to&#x20;disk&#x20;will&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;forensically&#x20;reconstruct&#x20;events&#x20;which&#x20;may&#x20;have&#x20;impacted&#x20;the&#x20;operations&#x20;or&#x20;security&#x20;of&#x20;a&#x20;system&#x20;even&#x20;after&#x20;a&#x20;system&#x20;crash&#x20;or&#x20;reboot.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Storage=persistent&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;systemd-journald&#x20;Additional&#x20;Information:&#x20;The&#x20;main&#x20;configuration&#x20;file&#x20;/etc/systemd/journald.conf&#x20;is&#x20;read&#x20;before&#x20;any&#x20;of&#x20;the&#x20;custom&#x20;*.conf&#x20;files.&#x20;If&#x20;there&#x20;are&#x20;custom&#x20;configs&#x20;present,&#x20;they&#x20;override&#x20;the&#x20;main&#x20;configuration&#x20;parameters.','[{\"cis\": [\"4.2.1.4\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28619,'Ensure&#x20;journald&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;rsyslog.','Data&#x20;from&#x20;journald&#x20;should&#x20;be&#x20;kept&#x20;in&#x20;the&#x20;confines&#x20;of&#x20;the&#x20;service&#x20;and&#x20;not&#x20;forwarded&#x20;on&#x20;to&#x20;other&#x20;services.','IF&#x20;journald&#x20;is&#x20;the&#x20;method&#x20;for&#x20;capturing&#x20;logs,&#x20;all&#x20;logs&#x20;of&#x20;the&#x20;system&#x20;should&#x20;be&#x20;handled&#x20;by&#x20;journald&#x20;and&#x20;not&#x20;forwarded&#x20;to&#x20;other&#x20;logging&#x20;mechanisms.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;ensure&#x20;that&#x20;ForwardToSyslog=yes&#x20;is&#x20;removed.&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;systemd-journald','[{\"cis\": [\"4.2.1.5\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"6.5\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.9\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}, {\"pci_dss_3.2.1\": [\"10.5.3\", \"10.5.4\"]}, {\"pci_dss_4.0\": [\"10.3.3\"]}, {\"nist_sp_800-53\": [\"AU-6(3)\"]}, {\"soc_2\": [\"PL1.4\"]}]'),(28620,'Ensure&#x20;rsyslog&#x20;is&#x20;installed.','The&#x20;rsyslog&#x20;software&#x20;is&#x20;recommended&#x20;in&#x20;environments&#x20;where&#x20;journald&#x20;does&#x20;not&#x20;meet&#x20;operation&#x20;requirements.','The&#x20;security&#x20;enhancements&#x20;of&#x20;rsyslog&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server&#41;&#x20;justify&#x20;installing&#x20;and&#x20;configuring&#x20;the&#x20;package.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;rsyslog:&#x20;#&#x20;apt&#x20;install&#x20;rsyslog.','[{\"cis\": [\"4.2.2.1\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"mitre_techniques\": [\"T1005\", \"T1070\", \"T1070.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28621,'Ensure&#x20;rsyslog&#x20;service&#x20;is&#x20;enabled.','Once&#x20;the&#x20;rsyslog&#x20;package&#x20;is&#x20;installed,&#x20;ensure&#x20;that&#x20;the&#x20;service&#x20;is&#x20;enabled.','If&#x20;the&#x20;rsyslog&#x20;service&#x20;is&#x20;not&#x20;enabled&#x20;to&#x20;start&#x20;on&#x20;boot,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;capture&#x20;logging&#x20;events.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;rsyslog:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;rsyslog','[{\"cis\": [\"4.2.2.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28622,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;rsyslog.','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Utilities&#x20;exist&#x20;to&#x20;accept&#x20;remote&#x20;export&#x20;of&#x20;journald&#x20;logs,&#x20;however,&#x20;use&#x20;of&#x20;the&#x20;RSyslog&#x20;service&#x20;provides&#x20;a&#x20;consistent&#x20;means&#x20;of&#x20;log&#x20;collection&#x20;and&#x20;export.','IF&#x20;RSyslog&#x20;is&#x20;the&#x20;preferred&#x20;method&#x20;for&#x20;capturing&#x20;logs,&#x20;all&#x20;logs&#x20;of&#x20;the&#x20;system&#x20;should&#x20;be&#x20;sent&#x20;to&#x20;it&#x20;for&#x20;further&#x20;processing.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;ForwardToSyslog=yes&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog.','[{\"cis\": [\"4.2.2.3\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"6.5\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.9\"]}, {\"pci_dss_3.2.1\": [\"10.5.3\", \"10.5.4\"]}, {\"pci_dss_4.0\": [\"10.3.3\"]}, {\"nist_sp_800-53\": [\"AU-6(3)\"]}, {\"soc_2\": [\"PL1.4\"]}]'),(28623,'Ensure&#x20;rsyslog&#x20;default&#x20;file&#x20;permissions&#x20;are&#x20;configured.','RSyslog&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','The&#x20;systems&#x20;global&#x20;umask&#x20;could&#x20;override,&#x20;but&#x20;only&#x20;making&#x20;the&#x20;file&#x20;permissions&#x20;stricter,&#x20;what&#x20;is&#x20;configured&#x20;in&#x20;RSyslog&#x20;with&#x20;the&#x20;FileCreateMode&#x20;directive.&#x20;RSyslog&#x20;also&#x20;has&#x20;it&#039;s&#x20;own&#x20;$umask&#x20;directive&#x20;that&#x20;can&#x20;alter&#x20;the&#x20;intended&#x20;file&#x20;creation&#x20;mode.&#x20;In&#x20;addition,&#x20;consideration&#x20;should&#x20;be&#x20;given&#x20;to&#x20;how&#x20;FileCreateMode&#x20;is&#x20;used.&#x20;Thus&#x20;it&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;intended&#x20;file&#x20;creation&#x20;mode&#x20;is&#x20;not&#x20;overridden&#x20;with&#x20;less&#x20;restrictive&#x20;settings&#x20;in&#x20;/etc/rsyslog.conf,&#x20;/etc/rsyslog.d&#47;&#42;conf&#x20;files&#x20;and&#x20;that&#x20;FileCreateMode&#x20;is&#x20;set&#x20;before&#x20;any&#x20;file&#x20;is&#x20;created.','Edit&#x20;either&#x20;/etc/rsyslog.conf&#x20;or&#x20;a&#x20;dedicated&#x20;.conf&#x20;file&#x20;in&#x20;/etc/rsyslog.d/&#x20;and&#x20;set&#x20;$FileCreateMode&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;$FileCreateMode&#x20;0640&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog','[{\"cis\": [\"4.2.2.4\"]}, {\"cis_csc_v7\": [\"5.1\", \"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"3.3\", \"8.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28624,'Ensure&#x20;rsyslog&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;receive&#x20;logs&#x20;from&#x20;a&#x20;remote&#x20;client.','RSyslog&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;acting&#x20;as&#x20;a&#x20;log&#x20;server.&#x20;Clients&#x20;should&#x20;not&#x20;receive&#x20;data&#x20;from&#x20;other&#x20;hosts.','If&#x20;a&#x20;client&#x20;is&#x20;configured&#x20;to&#x20;also&#x20;receive&#x20;data,&#x20;thus&#x20;turning&#x20;it&#x20;into&#x20;a&#x20;server,&#x20;the&#x20;client&#x20;system&#x20;is&#x20;acting&#x20;outside&#x20;it&#039;s&#x20;operational&#x20;boundary.','','Should&#x20;there&#x20;be&#x20;any&#x20;active&#x20;log&#x20;server&#x20;configuration&#x20;found&#x20;in&#x20;the&#x20;auditing&#x20;section,&#x20;modify&#x20;those&#x20;file&#x20;and&#x20;remove&#x20;the&#x20;specific&#x20;lines&#x20;highlighted&#x20;by&#x20;the&#x20;audit.&#x20;Ensure&#x20;none&#x20;of&#x20;the&#x20;following&#x20;entries&#x20;are&#x20;present&#x20;in&#x20;any&#x20;of&#x20;/etc/rsyslog.conf&#x20;or&#x20;/etc/rsyslog.d&#47;&#42;.conf.&#x20;Old&#x20;format&#x20;$ModLoad&#x20;imtcp&#x20;$InputTCPServerRun&#x20;New&#x20;format&#x20;module&#40;load=&quot;imtcp&quot;&#41;&#x20;input&#40;type=&quot;imtcp&quot;&#x20;port=&quot;514&quot;&#41;&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog','[{\"cis\": [\"4.2.2.7\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"9.2\"]}, {\"cis_csc_v8\": [\"4.8\", \"8.2\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28625,'Ensure&#x20;cron&#x20;daemon&#x20;is&#x20;enabled&#x20;and&#x20;running.','The&#x20;cron&#x20;daemon&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;batch&#x20;jobs&#x20;on&#x20;the&#x20;system.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','While&#x20;there&#x20;may&#x20;not&#x20;be&#x20;user&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;be&#x20;run&#x20;on&#x20;the&#x20;system,&#x20;the&#x20;system&#x20;does&#x20;have&#x20;maintenance&#x20;jobs&#x20;that&#x20;may&#x20;include&#x20;security&#x20;monitoring&#x20;that&#x20;have&#x20;to&#x20;run,&#x20;and&#x20;cron&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;them.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;cron:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;cron','[{\"cis\": [\"5.1.1\"]}, {\"mitre_techniques\": [\"T1562\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(28626,'Ensure&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;are&#x20;configured.','The&#x20;/etc/crontab&#x20;file&#x20;is&#x20;used&#x20;by&#x20;cron&#x20;to&#x20;control&#x20;its&#x20;own&#x20;jobs.&#x20;The&#x20;commands&#x20;in&#x20;this&#x20;item&#x20;make&#x20;sure&#x20;that&#x20;root&#x20;is&#x20;the&#x20;user&#x20;and&#x20;group&#x20;owner&#x20;of&#x20;the&#x20;file&#x20;and&#x20;that&#x20;only&#x20;the&#x20;owner&#x20;can&#x20;access&#x20;the&#x20;file.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','This&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;what&#x20;system&#x20;jobs&#x20;are&#x20;run&#x20;by&#x20;cron.&#x20;Write&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;unprivileged&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;elevate&#x20;their&#x20;privileges.&#x20;Read&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;gain&#x20;insight&#x20;on&#x20;system&#x20;jobs&#x20;that&#x20;run&#x20;on&#x20;the&#x20;system&#x20;and&#x20;could&#x20;provide&#x20;them&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;unauthorized&#x20;privileged&#x20;access.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/crontab&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/crontab','[{\"cis\": [\"5.1.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28627,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;are&#x20;configured.','This&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;an&#x20;hourly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.hourly&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.hourly/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.hourly','[{\"cis\": [\"5.1.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28628,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;are&#x20;configured.','The&#x20;/etc/cron.daily&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;daily&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.daily&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.daily/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.daily/','[{\"cis\": [\"5.1.4\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28629,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;are&#x20;configured.','The&#x20;/etc/cron.weekly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;weekly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.weekly&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.weekly/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.weekly/','[{\"cis\": [\"5.1.5\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28630,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;are&#x20;configured.','The&#x20;/etc/cron.monthly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;monthly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.monthly&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.monthly/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.monthly/','[{\"cis\": [\"5.1.6\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28631,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;are&#x20;configured.','The&#x20;/etc/cron.d&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;in&#x20;a&#x20;similar&#x20;manner&#x20;to&#x20;the&#x20;hourly,&#x20;daily&#x20;weekly&#x20;and&#x20;monthly&#x20;jobs&#x20;from&#x20;/etc/crontab,&#x20;but&#x20;require&#x20;more&#x20;granular&#x20;control&#x20;as&#x20;to&#x20;when&#x20;they&#x20;run.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.d&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.d/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.d/','[{\"cis\": [\"5.1.7\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28632,'Ensure&#x20;cron&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users.','Configure&#x20;/etc/cron.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;this&#x20;service.&#x20;If&#x20;/etc/cron.allow&#x20;does&#x20;not&#x20;exist,&#x20;then&#x20;/etc/cron.deny&#x20;is&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;this&#x20;file&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;file,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;cron.&#x20;Note:&#x20;-&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy&#x20;-&#x20;Even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user&#x20;-&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cron&#x20;jobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny:&#x20;#&#x20;rm&#x20;/etc/cron.deny&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;/etc/cron.allow&#x20;#&#x20;touch&#x20;/etc/cron.allow&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow:&#x20;#&#x20;chmod&#x20;g-wx,o-rwx&#x20;/etc/cron.allow&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.allow.','[{\"cis\": [\"5.1.8\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28633,'Ensure&#x20;at&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users.','Configure&#x20;/etc/cron.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;this&#x20;service.&#x20;If&#x20;/etc/cron.allow&#x20;does&#x20;not&#x20;exist,&#x20;then&#x20;/etc/cron.deny&#x20;is&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;this&#x20;file&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;file,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;cron.&#x20;Note:&#x20;-&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.&#x20;-&#x20;Even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;-&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;job.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;at&#x20;jobs.&#x20;Using&#x20;the&#x20;at.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;at&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/at.deny:&#x20;#&#x20;rm&#x20;/etc/at.deny&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;/etc/at.allow&#x20;#&#x20;touch&#x20;/etc/at.allow&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/at.allow:&#x20;#&#x20;chmod&#x20;g-wx,o-rwx&#x20;/etc/at.allow&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/at.allow.','[{\"cis\": [\"5.1.9\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28634,'Ensure&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config&#x20;are&#x20;configured.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;contains&#x20;configuration&#x20;specifications&#x20;for&#x20;sshd.&#x20;The&#x20;command&#x20;below&#x20;sets&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;file&#x20;to&#x20;root.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/ssh/sshd_config&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/ssh/sshd_config.','[{\"cis\": [\"5.2.1\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1098\", \"T1098.004\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28635,'Ensure&#x20;SSH&#x20;access&#x20;is&#x20;limited.','There&#x20;are&#x20;several&#x20;options&#x20;available&#x20;to&#x20;limit&#x20;which&#x20;users&#x20;and&#x20;group&#x20;can&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;at&#x20;least&#x20;one&#x20;of&#x20;the&#x20;following&#x20;options&#x20;be&#x20;leveraged:&#x20;-&#x20;AllowUsers:&#x20;&gt;&#x20;The&#x20;AllowUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;only&#x20;allowing&#x20;the&#x20;allowed&#x20;users&#x20;to&#x20;log&#x20;in&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;-&#x20;AllowGroups:&#x20;&gt;&#x20;The&#x20;AllowGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;-&#x20;DenyUsers:&#x20;&gt;&#x20;The&#x20;DenyUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;specifically&#x20;denying&#x20;a&#x20;user&#039;s&#x20;access&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;-&#x20;DenyGroups:&#x20;&gt;&#x20;The&#x20;DenyGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.','Restricting&#x20;which&#x20;users&#x20;can&#x20;remotely&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH&#x20;will&#x20;help&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;users&#x20;access&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;or&#x20;a&#x20;included&#x20;configuration&#x20;file&#x20;to&#x20;set&#x20;one&#x20;or&#x20;more&#x20;of&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowUsers&#x20;&lt;userlist&gt;&#x20;OR&#x20;AllowGroups&#x20;&lt;grouplist&gt;&#x20;OR&#x20;DenyUsers&#x20;&lt;userlist&gt;&#x20;OR&#x20;DenyGroups&#x20;&lt;grouplist&gt;','[{\"cis\": [\"5.2.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1021\", \"T1021.004\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1018\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28636,'Ensure&#x20;SSH&#x20;LogLevel&#x20;is&#x20;appropriate.','INFO&#x20;level&#x20;is&#x20;the&#x20;basic&#x20;level&#x20;that&#x20;only&#x20;records&#x20;login&#x20;activity&#x20;of&#x20;SSH&#x20;users.&#x20;In&#x20;many&#x20;situations,&#x20;such&#x20;as&#x20;Incident&#x20;Response,&#x20;it&#x20;is&#x20;important&#x20;to&#x20;determine&#x20;when&#x20;a&#x20;particular&#x20;user&#x20;was&#x20;active&#x20;on&#x20;a&#x20;system.&#x20;The&#x20;logout&#x20;record&#x20;can&#x20;eliminate&#x20;those&#x20;users&#x20;who&#x20;disconnected,&#x20;which&#x20;helps&#x20;narrow&#x20;the&#x20;field.&#x20;VERBOSE&#x20;level&#x20;specifies&#x20;that&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;as&#x20;well&#x20;as&#x20;the&#x20;key&#x20;fingerprint&#x20;for&#x20;any&#x20;SSH&#x20;key&#x20;used&#x20;for&#x20;login&#x20;will&#x20;be&#x20;logged.&#x20;This&#x20;information&#x20;is&#x20;important&#x20;for&#x20;SSH&#x20;key&#x20;management,&#x20;especially&#x20;in&#x20;legacy&#x20;environments.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;VERBOSE&#x20;OR&#x20;LogLevel&#x20;INFO','[{\"cis\": [\"5.2.5\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}]'),(28637,'Ensure&#x20;SSH&#x20;PAM&#x20;is&#x20;enabled.','The&#x20;UsePAM&#x20;directive&#x20;enables&#x20;the&#x20;Pluggable&#x20;Authentication&#x20;Module&#x20;&#40;PAM&#41;&#x20;interface.&#x20;If&#x20;set&#x20;to&#x20;yes&#x20;this&#x20;will&#x20;enable&#x20;PAM&#x20;authentication&#x20;using&#x20;ChallengeResponseAuthentication&#x20;and&#x20;PasswordAuthentication&#x20;directives&#x20;in&#x20;addition&#x20;to&#x20;PAM&#x20;account&#x20;and&#x20;session&#x20;module&#x20;processing&#x20;for&#x20;all&#x20;authentication&#x20;types.','When&#x20;usePAM&#x20;is&#x20;set&#x20;to&#x20;yes,&#x20;PAM&#x20;runs&#x20;through&#x20;account&#x20;and&#x20;session&#x20;types&#x20;properly.&#x20;This&#x20;is&#x20;important&#x20;if&#x20;you&#x20;want&#x20;to&#x20;restrict&#x20;access&#x20;to&#x20;services&#x20;based&#x20;off&#x20;of&#x20;IP,&#x20;time&#x20;or&#x20;other&#x20;factors&#x20;of&#x20;the&#x20;account.&#x20;Additionally,&#x20;you&#x20;can&#x20;make&#x20;sure&#x20;users&#x20;inherit&#x20;certain&#x20;environment&#x20;variables&#x20;on&#x20;login&#x20;or&#x20;disallow&#x20;access&#x20;to&#x20;the&#x20;server.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;UsePAM&#x20;yes','[{\"cis\": [\"5.2.6\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_techniques\": [\"T1021\", \"T1021.004\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1035\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28638,'Ensure&#x20;SSH&#x20;root&#x20;login&#x20;is&#x20;disabled.','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;SSH.&#x20;The&#x20;default&#x20;is&#x20;prohibit-password.','Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;system&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root.&#x20;This&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"mitre_techniques\": [\"T1021\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}]'),(28639,'Ensure&#x20;SSH&#x20;HostbasedAuthentication&#x20;is&#x20;disabled.','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts,&#x20;or&#x20;/etc/hosts.equiv,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc_v7\": [\"16.3\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28640,'Ensure&#x20;SSH&#x20;PermitEmptyPasswords&#x20;is&#x20;disabled.','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;SSH&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no','[{\"cis\": [\"5.2.9\"]}, {\"cis_csc_v7\": [\"16.3\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_techniques\": [\"T1021\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28641,'Ensure&#x20;SSH&#x20;PermitUserEnvironment&#x20;is&#x20;disabled.','The&#x20;PermitUserEnvironment&#x20;option&#x20;allows&#x20;users&#x20;to&#x20;present&#x20;environment&#x20;options&#x20;to&#x20;the&#x20;SSH&#x20;daemon.','Permitting&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;environment&#x20;variables&#x20;through&#x20;the&#x20;SSH&#x20;daemon&#x20;could&#x20;potentially&#x20;allow&#x20;users&#x20;to&#x20;bypass&#x20;security&#x20;controls&#x20;&#40;e.g.&#x20;setting&#x20;an&#x20;execution&#x20;path&#x20;that&#x20;has&#x20;SSH&#x20;executing&#x20;trojan&#039;d&#x20;programs&#41;.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitUserEnvironment&#x20;no','[{\"cis\": [\"5.2.10\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_techniques\": [\"T1021\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28642,'Ensure&#x20;SSH&#x20;IgnoreRhosts&#x20;is&#x20;enabled.','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthentication&#x20;or&#x20;HostbasedAuthentication.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;SSH.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;IgnoreRhosts&#x20;yes','[{\"cis\": [\"5.2.11\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1027\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28643,'Ensure&#x20;SSH&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled.','The&#x20;X11Forwarding&#x20;parameter&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;tunnel&#x20;X11&#x20;traffic&#x20;through&#x20;the&#x20;connection&#x20;to&#x20;enable&#x20;remote&#x20;graphic&#x20;connections.','Disable&#x20;X11&#x20;forwarding&#x20;unless&#x20;there&#x20;is&#x20;an&#x20;operational&#x20;requirement&#x20;to&#x20;use&#x20;X11&#x20;applications&#x20;directly.&#x20;There&#x20;is&#x20;a&#x20;small&#x20;risk&#x20;that&#x20;the&#x20;remote&#x20;X11&#x20;servers&#x20;of&#x20;users&#x20;who&#x20;are&#x20;logged&#x20;in&#x20;via&#x20;SSH&#x20;with&#x20;X11&#x20;forwarding&#x20;could&#x20;be&#x20;compromised&#x20;by&#x20;other&#x20;users&#x20;on&#x20;the&#x20;X11&#x20;server.&#x20;Note&#x20;that&#x20;even&#x20;if&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled,&#x20;users&#x20;can&#x20;always&#x20;install&#x20;their&#x20;own&#x20;forwarders.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;X11Forwarding&#x20;no','[{\"cis\": [\"5.2.12\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"mitre_techniques\": [\"T1210\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(28644,'Ensure&#x20;only&#x20;strong&#x20;Ciphers&#x20;are&#x20;used.','This&#x20;variable&#x20;limits&#x20;the&#x20;ciphers&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.&#x20;Note:&#x20;-&#x20;Some&#x20;organizations&#x20;may&#x20;have&#x20;stricter&#x20;requirements&#x20;for&#x20;approved&#x20;ciphers.&#x20;-&#x20;Ensure&#x20;that&#x20;ciphers&#x20;used&#x20;are&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy.&#x20;-&#x20;The&#x20;only&#x20;&quot;strong&quot;&#x20;ciphers&#x20;currently&#x20;FIPS&#x20;140-2&#x20;compliant&#x20;are:&#x20;&gt;&#x20;aes256-ctr&#x20;&gt;&#x20;aes192-ctr&#x20;&gt;&#x20;aes128-ctr&#x20;-&#x20;Supported&#x20;ciphers&#x20;in&#x20;openSSH&#x20;8.2:&#x20;3des-cbc&#x20;aes128-cbc&#x20;aes192-cbc&#x20;aes256-cbc&#x20;aes128-ctr&#x20;aes192-ctr&#x20;aes256-ctr&#x20;aes128-gcm@openssh.com&#x20;aes256-gcm@openssh.com&#x20;chacha20-poly1305@openssh.com.','Weak&#x20;ciphers&#x20;that&#x20;are&#x20;used&#x20;for&#x20;authentication&#x20;to&#x20;the&#x20;cryptographic&#x20;module&#x20;cannot&#x20;be&#x20;relied&#x20;upon&#x20;to&#x20;provide&#x20;confidentiality&#x20;or&#x20;integrity,&#x20;and&#x20;system&#x20;data&#x20;may&#x20;be&#x20;compromised.&#x20;-&#x20;The&#x20;Triple&#x20;DES&#x20;ciphers,&#x20;as&#x20;used&#x20;in&#x20;SSH,&#x20;have&#x20;a&#x20;birthday&#x20;bound&#x20;of&#x20;approximately&#x20;four&#x20;billion&#x20;blocks,&#x20;which&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;obtain&#x20;clear&#x20;text&#x20;data&#x20;via&#x20;a&#x20;birthday&#x20;attack&#x20;against&#x20;a&#x20;long-duration&#x20;encrypted&#x20;session,&#x20;aka&#x20;a&#x20;&quot;Sweet32&quot;&#x20;attack.&#x20;-&#x20;Error&#x20;handling&#x20;in&#x20;the&#x20;SSH&#x20;protocol;&#x20;Client&#x20;and&#x20;Server,&#x20;when&#x20;using&#x20;a&#x20;block&#x20;cipher&#x20;algorithm&#x20;in&#x20;Cipher&#x20;Block&#x20;Chaining&#x20;&#40;CBC&#41;&#x20;mode,&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;recover&#x20;certain&#x20;plain&#x20;text&#x20;data&#x20;from&#x20;an&#x20;arbitrary&#x20;block&#x20;of&#x20;cipher&#x20;text&#x20;in&#x20;an&#x20;SSH&#x20;session&#x20;via&#x20;unknown&#x20;vectors.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;add/modify&#x20;the&#x20;Ciphers&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;ciphers.&#x20;Example:&#x20;Ciphers&#x20;chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-&#x20;gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr','[{\"cis\": [\"5.2.13\"]}, {\"cis_csc_v7\": [\"14.4\"]}, {\"cis_csc_v8\": [\"3.10\"]}, {\"mitre_techniques\": [\"T1040\", \"T1557\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1041\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.17\", \"AC.L2-3.1.13\", \"IA.L2-3.5.10\", \"SC.L2-3.13.11\", \"SC.L2-3.13.8\", \"SC.L2-3.13.15\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(1)\", \"164.312(e)(2)(i)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"2.1.1\", \"4.1\", \"4.1.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"2.2.7\", \"4.1.1\", \"4.2.1\", \"4.2.1.2\", \"4.2.2\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"AC-17(2)\", \"SC-8\", \"SC-8(1)\"]}]'),(28645,'Ensure&#x20;only&#x20;strong&#x20;MAC&#x20;algorithms&#x20;are&#x20;used.','This&#x20;variable&#x20;limits&#x20;the&#x20;types&#x20;of&#x20;MAC&#x20;algorithms&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.&#x20;Note:&#x20;-&#x20;Some&#x20;organizations&#x20;may&#x20;have&#x20;stricter&#x20;requirements&#x20;for&#x20;approved&#x20;MACs.&#x20;-&#x20;Ensure&#x20;that&#x20;MACs&#x20;used&#x20;are&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy.&#x20;-&#x20;The&#x20;only&#x20;&quot;strong&quot;&#x20;MACs&#x20;currently&#x20;FIPS&#x20;140-2&#x20;approved&#x20;are:&#x20;&gt;&#x20;hmac-sha2-256&#x20;&gt;&#x20;hmac-sha2-512&#x20;-&#x20;The&#x20;Supported&#x20;MACs&#x20;are:&#x20;hmac-md5&#x20;hmac-md5-96&#x20;hmac-sha1&#x20;hmac-sha1-96&#x20;hmac-sha2-256&#x20;hmac-sha2-512&#x20;umac-64@openssh.com&#x20;umac-128@openssh.com&#x20;hmac-md5-etm@openssh.com&#x20;hmac-md5-96-etm@openssh.com&#x20;hmac-sha1-etm@openssh.com&#x20;hmac-sha1-96-etm@openssh.com&#x20;hmac-sha2-256-etm@openssh.com&#x20;hmac-sha2-512-etm@openssh.com&#x20;umac-64-etm@openssh.com&#x20;umac-128-etm@openssh.com.','MD5&#x20;and&#x20;96-bit&#x20;MAC&#x20;algorithms&#x20;are&#x20;considered&#x20;weak&#x20;and&#x20;have&#x20;been&#x20;shown&#x20;to&#x20;increase&#x20;exploitability&#x20;in&#x20;SSH&#x20;downgrade&#x20;attacks.&#x20;Weak&#x20;algorithms&#x20;continue&#x20;to&#x20;have&#x20;a&#x20;great&#x20;deal&#x20;of&#x20;attention&#x20;as&#x20;a&#x20;weak&#x20;spot&#x20;that&#x20;can&#x20;be&#x20;exploited&#x20;with&#x20;expanded&#x20;computing&#x20;power.&#x20;An&#x20;attacker&#x20;that&#x20;breaks&#x20;the&#x20;algorithm&#x20;could&#x20;take&#x20;advantage&#x20;of&#x20;a&#x20;MiTM&#x20;position&#x20;to&#x20;decrypt&#x20;the&#x20;SSH&#x20;tunnel&#x20;and&#x20;capture&#x20;credentials&#x20;and&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;and&#x20;add/modify&#x20;the&#x20;MACs&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;MACs.&#x20;Example:&#x20;MACs&#x20;hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256','[{\"cis\": [\"5.2.14\"]}, {\"cis_csc_v7\": [\"14.4\", \"16.5\"]}, {\"cis_csc_v8\": [\"3.10\"]}, {\"mitre_techniques\": [\"T1040\", \"T1557\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1041\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.17\", \"AC.L2-3.1.13\", \"IA.L2-3.5.10\", \"SC.L2-3.13.11\", \"SC.L2-3.13.8\", \"SC.L2-3.13.15\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(1)\", \"164.312(e)(2)(i)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"2.1.1\", \"4.1\", \"4.1.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"2.2.7\", \"4.1.1\", \"4.2.1\", \"4.2.1.2\", \"4.2.2\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"AC-17(2)\", \"SC-8\", \"SC-8(1)\"]}]'),(28646,'Ensure&#x20;only&#x20;strong&#x20;Key&#x20;Exchange&#x20;algorithms&#x20;are&#x20;used.','Key&#x20;exchange&#x20;is&#x20;any&#x20;method&#x20;in&#x20;cryptography&#x20;by&#x20;which&#x20;cryptographic&#x20;keys&#x20;are&#x20;exchanged&#x20;between&#x20;two&#x20;parties,&#x20;allowing&#x20;use&#x20;of&#x20;a&#x20;cryptographic&#x20;algorithm.&#x20;If&#x20;the&#x20;sender&#x20;and&#x20;receiver&#x20;wish&#x20;to&#x20;exchange&#x20;encrypted&#x20;messages,&#x20;each&#x20;must&#x20;be&#x20;equipped&#x20;to&#x20;encrypt&#x20;messages&#x20;to&#x20;be&#x20;sent&#x20;and&#x20;decrypt&#x20;messages&#x20;received.&#x20;Notes:&#x20;-&#x20;Kex&#x20;algorithms&#x20;have&#x20;a&#x20;higher&#x20;preference&#x20;the&#x20;earlier&#x20;they&#x20;appear&#x20;in&#x20;the&#x20;list&#x20;-&#x20;Some&#x20;organizations&#x20;may&#x20;have&#x20;stricter&#x20;requirements&#x20;for&#x20;approved&#x20;Key&#x20;exchange&#x20;algorithms&#x20;-&#x20;Ensure&#x20;that&#x20;Key&#x20;exchange&#x20;algorithms&#x20;used&#x20;are&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy&#x20;-&#x20;The&#x20;only&#x20;Key&#x20;Exchange&#x20;Algorithms&#x20;currently&#x20;FIPS&#x20;140-2&#x20;approved&#x20;are:&#x20;&gt;&#x20;ecdh-sha2-nistp256&#x20;&gt;&#x20;ecdh-sha2-nistp384&#x20;&gt;&#x20;ecdh-sha2-nistp521&#x20;&gt;&#x20;diffie-hellman-group-exchange-sha256&#x20;&gt;&#x20;diffie-hellman-group16-sha512&#x20;&gt;&#x20;diffie-hellman-group18-sha512&#x20;&gt;&#x20;diffie-hellman-group14-sha256&#x20;-&#x20;The&#x20;Key&#x20;Exchange&#x20;algorithms&#x20;supported&#x20;by&#x20;OpenSSH&#x20;8.2&#x20;are:&#x20;curve25519-sha256&#x20;curve25519-sha256@libssh.org&#x20;diffie-hellman-group1-sha1&#x20;diffie-hellman-group14-sha1&#x20;diffie-hellman-group14-sha256&#x20;diffie-hellman-group16-sha512&#x20;diffie-hellman-group18-sha512&#x20;diffie-hellman-group-exchange-sha1&#x20;diffie-hellman-group-exchange-sha256&#x20;ecdh-sha2-nistp256&#x20;ecdh-sha2-nistp384&#x20;ecdh-sha2-nistp521&#x20;sntrup4591761x25519-sha512@tinyssh.org.','Key&#x20;exchange&#x20;methods&#x20;that&#x20;are&#x20;considered&#x20;weak&#x20;should&#x20;be&#x20;removed.&#x20;A&#x20;key&#x20;exchange&#x20;method&#x20;may&#x20;be&#x20;weak&#x20;because&#x20;too&#x20;few&#x20;bits&#x20;are&#x20;used,&#x20;or&#x20;the&#x20;hashing&#x20;algorithm&#x20;is&#x20;considered&#x20;too&#x20;weak.&#x20;Using&#x20;weak&#x20;algorithms&#x20;could&#x20;expose&#x20;connections&#x20;to&#x20;man-in-the-middle&#x20;attacks.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;add/modify&#x20;the&#x20;KexAlgorithms&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;key&#x20;exchange&#x20;algorithms&#x20;Example:&#x20;KexAlgorithms&#x20;curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256','[{\"cis\": [\"5.2.15\"]}, {\"cis_csc_v7\": [\"14.4\"]}, {\"cis_csc_v8\": [\"3.10\"]}, {\"mitre_techniques\": [\"T1040\", \"T1557\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1041\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.17\", \"AC.L2-3.1.13\", \"IA.L2-3.5.10\", \"SC.L2-3.13.11\", \"SC.L2-3.13.8\", \"SC.L2-3.13.15\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(1)\", \"164.312(e)(2)(i)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"2.1.1\", \"4.1\", \"4.1.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"2.2.7\", \"4.1.1\", \"4.2.1\", \"4.2.1.2\", \"4.2.2\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"AC-17(2)\", \"SC-8\", \"SC-8(1)\"]}]'),(28647,'Ensure&#x20;SSH&#x20;AllowTcpForwarding&#x20;is&#x20;disabled.','SSH&#x20;port&#x20;forwarding&#x20;is&#x20;a&#x20;mechanism&#x20;in&#x20;SSH&#x20;for&#x20;tunneling&#x20;application&#x20;ports&#x20;from&#x20;the&#x20;client&#x20;to&#x20;the&#x20;server,&#x20;or&#x20;servers&#x20;to&#x20;clients.&#x20;It&#x20;can&#x20;be&#x20;used&#x20;for&#x20;adding&#x20;encryption&#x20;to&#x20;legacy&#x20;applications,&#x20;going&#x20;through&#x20;firewalls,&#x20;and&#x20;some&#x20;system&#x20;administrators&#x20;and&#x20;IT&#x20;professionals&#x20;use&#x20;it&#x20;for&#x20;opening&#x20;backdoors&#x20;into&#x20;the&#x20;internal&#x20;network&#x20;from&#x20;their&#x20;home&#x20;machines.','Leaving&#x20;port&#x20;forwarding&#x20;enabled&#x20;can&#x20;expose&#x20;the&#x20;organization&#x20;to&#x20;security&#x20;risks&#x20;and&#x20;backdoors.&#x20;SSH&#x20;connections&#x20;are&#x20;protected&#x20;with&#x20;strong&#x20;encryption.&#x20;This&#x20;makes&#x20;their&#x20;contents&#x20;invisible&#x20;to&#x20;most&#x20;deployed&#x20;network&#x20;monitoring&#x20;and&#x20;traffic&#x20;filtering&#x20;solutions.&#x20;This&#x20;invisibility&#x20;carries&#x20;considerable&#x20;risk&#x20;potential&#x20;if&#x20;it&#x20;is&#x20;used&#x20;for&#x20;malicious&#x20;purposes&#x20;such&#x20;as&#x20;data&#x20;exfiltration.&#x20;Cybercriminals&#x20;or&#x20;malware&#x20;could&#x20;exploit&#x20;SSH&#x20;to&#x20;hide&#x20;their&#x20;unauthorized&#x20;communications,&#x20;or&#x20;to&#x20;exfiltrate&#x20;stolen&#x20;data&#x20;from&#x20;the&#x20;target&#x20;network.','SSH&#x20;tunnels&#x20;are&#x20;widely&#x20;used&#x20;in&#x20;many&#x20;corporate&#x20;environments.&#x20;In&#x20;some&#x20;environments&#x20;the&#x20;applications&#x20;themselves&#x20;may&#x20;have&#x20;very&#x20;limited&#x20;native&#x20;support&#x20;for&#x20;security.&#x20;By&#x20;utilizing&#x20;tunneling,&#x20;compliance&#x20;with&#x20;SOX,&#x20;HIPAA,&#x20;PCI-DSS,&#x20;and&#x20;other&#x20;standards&#x20;can&#x20;be&#x20;achieved&#x20;without&#x20;having&#x20;to&#x20;modify&#x20;the&#x20;applications.','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowTcpForwarding&#x20;no','[{\"cis\": [\"5.2.16\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_techniques\": [\"T1048\", \"T1048.002\", \"T1572\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28648,'Ensure&#x20;SSH&#x20;warning&#x20;banner&#x20;is&#x20;configured.','The&#x20;Banner&#x20;parameter&#x20;specifies&#x20;a&#x20;file&#x20;whose&#x20;contents&#x20;must&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;remote&#x20;user&#x20;before&#x20;authentication&#x20;is&#x20;permitted.&#x20;By&#x20;default,&#x20;no&#x20;banner&#x20;is&#x20;displayed.','Banners&#x20;are&#x20;used&#x20;to&#x20;warn&#x20;connecting&#x20;users&#x20;of&#x20;the&#x20;particular&#x20;site&#039;s&#x20;policy&#x20;regarding&#x20;connection.&#x20;Presenting&#x20;a&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;login&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Banner&#x20;/etc/issue.net','[{\"cis\": [\"5.2.17\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_tactics\": [\"TA0001\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1035\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28649,'Ensure&#x20;SSH&#x20;MaxAuthTries&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less.','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4','[{\"cis\": [\"5.2.18\"]}, {\"cis_csc_v7\": [\"16.13\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.003\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1036\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28650,'Ensure&#x20;SSH&#x20;MaxStartups&#x20;is&#x20;configured.','The&#x20;MaxStartups&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;to&#x20;the&#x20;SSH&#x20;daemon.','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;pending&#x20;authentication&#x20;connection&#x20;attempts,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxStartups&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxStartups&#x20;10:30:60','[{\"cis\": [\"5.2.19\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.002\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28651,'Ensure&#x20;SSH&#x20;MaxSessions&#x20;is&#x20;set&#x20;to&#x20;10&#x20;or&#x20;less.','The&#x20;MaxSessions&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;open&#x20;sessions&#x20;permitted&#x20;from&#x20;a&#x20;given&#x20;connection.','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;concurrent&#x20;sessions,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxSessions&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxSessions&#x20;10','[{\"cis\": [\"5.2.20\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.002\"]}, {\"mitre_tactics\": [\"TA0040\"]}]'),(28652,'Ensure&#x20;SSH&#x20;LoginGraceTime&#x20;is&#x20;set&#x20;to&#x20;one&#x20;minute&#x20;or&#x20;less.','The&#x20;LoginGraceTime&#x20;parameter&#x20;specifies&#x20;the&#x20;time&#x20;allowed&#x20;for&#x20;successful&#x20;authentication&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;The&#x20;longer&#x20;the&#x20;Grace&#x20;period&#x20;is&#x20;the&#x20;more&#x20;open&#x20;unauthenticated&#x20;connections&#x20;can&#x20;exist.&#x20;Like&#x20;other&#x20;session&#x20;controls&#x20;in&#x20;this&#x20;session&#x20;the&#x20;Grace&#x20;Period&#x20;should&#x20;be&#x20;limited&#x20;to&#x20;appropriate&#x20;organizational&#x20;limits&#x20;to&#x20;ensure&#x20;the&#x20;service&#x20;is&#x20;available&#x20;for&#x20;needed&#x20;access.','Setting&#x20;the&#x20;LoginGraceTime&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;It&#x20;will&#x20;also&#x20;limit&#x20;the&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;60&#x20;seconds&#x20;&#40;1&#x20;Minute&#41;,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LoginGraceTime&#x20;60','[{\"cis\": [\"5.2.21\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.003\", \"T1110.004\", \"T1499\", \"T1499.002\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1036\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(28653,'Ensure&#x20;SSH&#x20;Idle&#x20;Timeout&#x20;Interval&#x20;is&#x20;configured.','NOTE:&#x20;To&#x20;clarify,&#x20;the&#x20;two&#x20;settings&#x20;described&#x20;below&#x20;is&#x20;only&#x20;meant&#x20;for&#x20;idle&#x20;connections&#x20;from&#x20;a&#x20;protocol&#x20;perspective&#x20;and&#x20;not&#x20;meant&#x20;to&#x20;check&#x20;if&#x20;the&#x20;user&#x20;is&#x20;active&#x20;or&#x20;not.&#x20;An&#x20;idle&#x20;user&#x20;does&#x20;not&#x20;mean&#x20;an&#x20;idle&#x20;connection.&#x20;SSH&#x20;does&#x20;not&#x20;and&#x20;never&#x20;had,&#x20;intentionally,&#x20;the&#x20;capability&#x20;to&#x20;drop&#x20;idle&#x20;users.&#x20;In&#x20;SSH&#x20;versions&#x20;before&#x20;8.2p1&#x20;there&#x20;was&#x20;a&#x20;bug&#x20;that&#x20;caused&#x20;these&#x20;values&#x20;to&#x20;behave&#x20;in&#x20;such&#x20;a&#x20;manner&#x20;that&#x20;they&#x20;where&#x20;abused&#x20;to&#x20;disconnect&#x20;idle&#x20;users.&#x20;This&#x20;bug&#x20;has&#x20;been&#x20;resolved&#x20;in&#x20;8.2p1&#x20;and&#x20;thus&#x20;it&#x20;can&#x20;no&#x20;longer&#x20;be&#x20;abused&#x20;disconnect&#x20;idle&#x20;users.&#x20;The&#x20;two&#x20;options&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax&#x20;control&#x20;the&#x20;timeout&#x20;of&#x20;SSH&#x20;sessions.&#x20;Taken&#x20;directly&#x20;from&#x20;man&#x20;5&#x20;sshd_config:&#x20;-&#x20;ClientAliveInterval&#x20;Sets&#x20;a&#x20;timeout&#x20;interval&#x20;in&#x20;seconds&#x20;after&#x20;which&#x20;if&#x20;no&#x20;data&#x20;has&#x20;been&#x20;received&#x20;from&#x20;the&#x20;client,&#x20;sshd&#40;8&#41;&#x20;will&#x20;send&#x20;a&#x20;message&#x20;through&#x20;the&#x20;encrypted&#x20;channel&#x20;to&#x20;request&#x20;a&#x20;response&#x20;from&#x20;the&#x20;client.&#x20;The&#x20;default&#x20;is&#x20;0,&#x20;indicating&#x20;that&#x20;these&#x20;messages&#x20;will&#x20;not&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;client.&#x20;-&#x20;ClientAliveCountMax&#x20;Sets&#x20;the&#x20;number&#x20;of&#x20;client&#x20;alive&#x20;messages&#x20;which&#x20;may&#x20;be&#x20;sent&#x20;without&#x20;sshd&#40;8&#41;&#x20;receiving&#x20;any&#x20;messages&#x20;back&#x20;from&#x20;the&#x20;client.&#x20;If&#x20;this&#x20;threshold&#x20;is&#x20;reached&#x20;while&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;being&#x20;sent,&#x20;sshd&#x20;will&#x20;disconnect&#x20;the&#x20;client,&#x20;terminating&#x20;the&#x20;session.&#x20;It&#x20;is&#x20;important&#x20;to&#x20;note&#x20;that&#x20;the&#x20;use&#x20;of&#x20;client&#x20;alive&#x20;messages&#x20;is&#x20;very&#x20;different&#x20;from&#x20;TCPKeepAlive.&#x20;The&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;sent&#x20;through&#x20;the&#x20;encrypted&#x20;channel&#x20;and&#x20;therefore&#x20;will&#x20;not&#x20;be&#x20;spoofable.&#x20;The&#x20;TCP&#x20;keepalive&#x20;option&#x20;enabled&#x20;by&#x20;TCPKeepAlive&#x20;is&#x20;spoofable.&#x20;The&#x20;client&#x20;alive&#x20;mechanism&#x20;is&#x20;valuable&#x20;when&#x20;the&#x20;client&#x20;or&#x20;server&#x20;depend&#x20;on&#x20;knowing&#x20;when&#x20;a&#x20;connection&#x20;has&#x20;become&#x20;unresponsive.&#x20;The&#x20;default&#x20;value&#x20;is&#x20;3.&#x20;If&#x20;ClientAliveInterval&#x20;is&#x20;set&#x20;to&#x20;15,&#x20;and&#x20;ClientAliveCountMax&#x20;is&#x20;left&#x20;at&#x20;the&#x20;default,&#x20;unresponsive&#x20;SSH&#x20;clients&#x20;will&#x20;be&#x20;disconnected&#x20;after&#x20;approximately&#x20;45&#x20;seconds.&#x20;Setting&#x20;a&#x20;zero&#x20;ClientAliveCountMax&#x20;disables&#x20;connection&#x20;termination.','In&#x20;order&#x20;to&#x20;prevent&#x20;resource&#x20;exhaustion,&#x20;appropriate&#x20;values&#x20;should&#x20;be&#x20;set&#x20;for&#x20;both&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax.&#x20;Specifically,&#x20;looking&#x20;at&#x20;the&#x20;source&#x20;code,&#x20;ClientAliveCountMax&#x20;must&#x20;be&#x20;greater&#x20;than&#x20;zero&#x20;in&#x20;order&#x20;to&#x20;utilize&#x20;the&#x20;ability&#x20;of&#x20;SSH&#x20;to&#x20;drop&#x20;idle&#x20;connections.&#x20;If&#x20;connections&#x20;are&#x20;allowed&#x20;to&#x20;stay&#x20;open&#x20;indefinately,&#x20;this&#x20;can&#x20;potentially&#x20;be&#x20;used&#x20;as&#x20;a&#x20;DDOS&#x20;attack&#x20;or&#x20;simple&#x20;resource&#x20;exhaustion&#x20;could&#x20;occur&#x20;over&#x20;unreliable&#x20;networks.&#x20;The&#x20;example&#x20;set&#x20;here&#x20;is&#x20;a&#x20;45&#x20;second&#x20;timeout.&#x20;Consult&#x20;your&#x20;site&#x20;policy&#x20;for&#x20;network&#x20;timeouts&#x20;and&#x20;apply&#x20;as&#x20;appropriate.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameters&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;Example:&#x20;ClientAliveInterval&#x20;15&#x20;ClientAliveCountMax&#x20;3','[{\"cis\": [\"5.2.22\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(28654,'Ensure&#x20;sudo&#x20;is&#x20;installed.','sudo&#x20;allows&#x20;a&#x20;permitted&#x20;user&#x20;to&#x20;execute&#x20;a&#x20;command&#x20;as&#x20;the&#x20;superuser&#x20;or&#x20;another&#x20;user,&#x20;as&#x20;specified&#x20;by&#x20;the&#x20;security&#x20;policy.&#x20;The&#x20;invoking&#x20;user&#039;s&#x20;real&#x20;&#40;not&#x20;effective&#41;&#x20;user&#x20;ID&#x20;is&#x20;used&#x20;to&#x20;determine&#x20;the&#x20;user&#x20;name&#x20;with&#x20;which&#x20;to&#x20;query&#x20;the&#x20;security&#x20;policy.','sudo&#x20;supports&#x20;a&#x20;plug-in&#x20;architecture&#x20;for&#x20;security&#x20;policies&#x20;and&#x20;input/output&#x20;logging.&#x20;Third&#x20;parties&#x20;can&#x20;develop&#x20;and&#x20;distribute&#x20;their&#x20;own&#x20;policy&#x20;and&#x20;I/O&#x20;logging&#x20;plug-ins&#x20;to&#x20;work&#x20;seamlessly&#x20;with&#x20;the&#x20;sudo&#x20;front&#x20;end.&#x20;The&#x20;default&#x20;security&#x20;policy&#x20;is&#x20;sudoers,&#x20;which&#x20;is&#x20;configured&#x20;via&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;and&#x20;any&#x20;entries&#x20;in&#x20;/etc/sudoers.d.&#x20;The&#x20;security&#x20;policy&#x20;determines&#x20;what&#x20;privileges,&#x20;if&#x20;any,&#x20;a&#x20;user&#x20;has&#x20;to&#x20;run&#x20;sudo.&#x20;The&#x20;policy&#x20;may&#x20;require&#x20;that&#x20;users&#x20;authenticate&#x20;themselves&#x20;with&#x20;a&#x20;password&#x20;or&#x20;another&#x20;authentication&#x20;mechanism.&#x20;If&#x20;authentication&#x20;is&#x20;required,&#x20;sudo&#x20;will&#x20;exit&#x20;if&#x20;the&#x20;user&#039;s&#x20;password&#x20;is&#x20;not&#x20;entered&#x20;within&#x20;a&#x20;configurable&#x20;time&#x20;limit.&#x20;This&#x20;limit&#x20;is&#x20;policy-specific.','','First&#x20;determine&#x20;is&#x20;LDAP&#x20;functionality&#x20;is&#x20;required.&#x20;If&#x20;so,&#x20;then&#x20;install&#x20;sudo-ldap,&#x20;else&#x20;install&#x20;&#x20;sudo.&#x20;Example:&#x20;#&#x20;apt&#x20;install&#x20;sudo','[{\"cis\": [\"5.3.1\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}]'),(28655,'Ensure&#x20;sudo&#x20;commands&#x20;use&#x20;pty.','sudo&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;run&#x20;only&#x20;from&#x20;a&#x20;pseudo&#x20;terminal&#x20;&#40;pseudo-pty&#41;.','Attackers&#x20;can&#x20;run&#x20;a&#x20;malicious&#x20;program&#x20;using&#x20;sudo&#x20;which&#x20;would&#x20;fork&#x20;a&#x20;background&#x20;process&#x20;that&#x20;remains&#x20;even&#x20;when&#x20;the&#x20;main&#x20;program&#x20;has&#x20;finished&#x20;executing.','WARNING:&#x20;Editing&#x20;the&#x20;sudo&#x20;configuration&#x20;incorrectly&#x20;can&#x20;cause&#x20;sudo&#x20;to&#x20;stop&#x20;functioning.&#x20;Always&#x20;use&#x20;visudo&#x20;to&#x20;modify&#x20;sudo&#x20;configuration&#x20;files.','Edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;with&#x20;visudo&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Defaults&#x20;use_pty','[{\"cis\": [\"5.3.2\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.003\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}]'),(28656,'Ensure&#x20;sudo&#x20;log&#x20;file&#x20;exists.','sudo&#x20;can&#x20;use&#x20;a&#x20;custom&#x20;log&#x20;file.','A&#x20;sudo&#x20;log&#x20;file&#x20;simplifies&#x20;auditing&#x20;of&#x20;sudo&#x20;commands.','WARNING:&#x20;Editing&#x20;the&#x20;sudo&#x20;configuration&#x20;incorrectly&#x20;can&#x20;cause&#x20;sudo&#x20;to&#x20;stop&#x20;functioning.&#x20;Always&#x20;use&#x20;visudo&#x20;to&#x20;modify&#x20;sudo&#x20;configuration&#x20;files.','Edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;or&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Example:&#x20;Defaults&#x20;logfile=&#039;/var/log/sudo.log&#039;','[{\"cis\": [\"5.3.3\"]}, {\"cis_csc_v7\": [\"6.3\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}]'),(28657,'Ensure&#x20;users&#x20;must&#x20;provide&#x20;password&#x20;for&#x20;privilege&#x20;escalation.','The&#x20;operating&#x20;system&#x20;must&#x20;be&#x20;configured&#x20;so&#x20;that&#x20;users&#x20;must&#x20;provide&#x20;a&#x20;password&#x20;for&#x20;privilege&#x20;escalation.','Without&#x20;&#40;re-&#41;authentication,&#x20;users&#x20;may&#x20;access&#x20;resources&#x20;or&#x20;perform&#x20;tasks&#x20;for&#x20;which&#x20;they&#x20;do&#x20;not&#x20;have&#x20;authorization.&#x20;When&#x20;operating&#x20;systems&#x20;provide&#x20;the&#x20;capability&#x20;to&#x20;escalate&#x20;a&#x20;functional&#x20;capability,&#x20;it&#x20;is&#x20;critical&#x20;the&#x20;user&#x20;&#40;re-&#41;authenticate.','This&#x20;will&#x20;prevent&#x20;automated&#x20;processes&#x20;from&#x20;being&#x20;able&#x20;to&#x20;elevate&#x20;privileges.','Based&#x20;on&#x20;the&#x20;outcome&#x20;of&#x20;the&#x20;audit&#x20;procedure,&#x20;use&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;to&#x20;edit&#x20;the&#x20;relevant&#x20;sudoers&#x20;file.&#x20;Remove&#x20;any&#x20;line&#x20;with&#x20;occurrences&#x20;of&#x20;NOPASSWD&#x20;tags&#x20;in&#x20;the&#x20;file.','[{\"cis\": [\"5.3.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}]'),(28658,'Ensure&#x20;re-authentication&#x20;for&#x20;privilege&#x20;escalation&#x20;is&#x20;not&#x20;disabled&#x20;globally.','The&#x20;operating&#x20;system&#x20;must&#x20;be&#x20;configured&#x20;so&#x20;that&#x20;users&#x20;must&#x20;re-authenticate&#x20;for&#x20;privilege&#x20;escalation.','Without&#x20;re-authentication,&#x20;users&#x20;may&#x20;access&#x20;resources&#x20;or&#x20;perform&#x20;tasks&#x20;for&#x20;which&#x20;they&#x20;do&#x20;not&#x20;have&#x20;authorization.&#x20;When&#x20;operating&#x20;systems&#x20;provide&#x20;the&#x20;capability&#x20;to&#x20;escalate&#x20;a&#x20;functional&#x20;capability,&#x20;it&#x20;is&#x20;critical&#x20;the&#x20;user&#x20;re-authenticate.','','Configure&#x20;the&#x20;operating&#x20;system&#x20;to&#x20;require&#x20;users&#x20;to&#x20;reauthenticate&#x20;for&#x20;privilege&#x20;escalation.&#x20;Based&#x20;on&#x20;the&#x20;outcome&#x20;of&#x20;the&#x20;audit&#x20;procedure,&#x20;use&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;to&#x20;edit&#x20;the&#x20;relevant&#x20;sudoers&#x20;file.&#x20;Remove&#x20;any&#x20;occurrences&#x20;of&#x20;!authenticate&#x20;tags&#x20;in&#x20;the&#x20;file&#40;s&#41;.','[{\"cis\": [\"5.3.5\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}]'),(28659,'Ensure&#x20;sudo&#x20;authentication&#x20;timeout&#x20;is&#x20;configured&#x20;correctly.','sudo&#x20;caches&#x20;used&#x20;credentials&#x20;for&#x20;a&#x20;default&#x20;of&#x20;15&#x20;minutes.&#x20;This&#x20;is&#x20;for&#x20;ease&#x20;of&#x20;use&#x20;when&#x20;there&#x20;are&#x20;multiple&#x20;administrative&#x20;tasks&#x20;to&#x20;perform.&#x20;The&#x20;timeout&#x20;can&#x20;be&#x20;modified&#x20;to&#x20;suit&#x20;local&#x20;security&#x20;policies.&#x20;This&#x20;default&#x20;is&#x20;distribution&#x20;specific.&#x20;See&#x20;audit&#x20;section&#x20;for&#x20;further&#x20;information.','Setting&#x20;a&#x20;timeout&#x20;value&#x20;reduces&#x20;the&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;unauthorized&#x20;privileged&#x20;access&#x20;to&#x20;another&#x20;user.','','If&#x20;the&#x20;currently&#x20;configured&#x20;timeout&#x20;is&#x20;larger&#x20;than&#x20;15&#x20;minutes,&#x20;edit&#x20;the&#x20;file&#x20;listed&#x20;in&#x20;the&#x20;audit&#x20;section&#x20;with&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;modify&#x20;the&#x20;entry&#x20;timestamp_timeout=&#x20;to&#x20;15&#x20;minutes&#x20;or&#x20;less&#x20;as&#x20;per&#x20;your&#x20;site&#x20;policy.&#x20;The&#x20;value&#x20;is&#x20;in&#x20;minutes.&#x20;This&#x20;particular&#x20;entry&#x20;may&#x20;appear&#x20;on&#x20;its&#x20;own,&#x20;or&#x20;on&#x20;the&#x20;same&#x20;line&#x20;as&#x20;env_reset.&#x20;See&#x20;the&#x20;following&#x20;two&#x20;examples:&#x20;&#x20;Defaults&#x20;env_reset,&#x20;timestamp_timeout=15&#x20;Defaults&#x20;timestamp_timeout=15&#x20;Defaults&#x20;env_reset','[{\"cis\": [\"5.3.6\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}]'),(28660,'Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','The&#x20;su&#x20;command&#x20;allows&#x20;a&#x20;user&#x20;to&#x20;run&#x20;a&#x20;command&#x20;or&#x20;shell&#x20;as&#x20;another&#x20;user.&#x20;The&#x20;program&#x20;has&#x20;been&#x20;superseded&#x20;by&#x20;sudo,&#x20;which&#x20;allows&#x20;for&#x20;more&#x20;granular&#x20;control&#x20;over&#x20;privileged&#x20;access.&#x20;Normally,&#x20;the&#x20;su&#x20;command&#x20;can&#x20;be&#x20;executed&#x20;by&#x20;any&#x20;user.&#x20;By&#x20;uncommenting&#x20;the&#x20;pam_wheel.so&#x20;statement&#x20;in&#x20;/etc/pam.d/su,&#x20;the&#x20;su&#x20;command&#x20;will&#x20;only&#x20;allow&#x20;users&#x20;in&#x20;a&#x20;specific&#x20;groups&#x20;to&#x20;execute&#x20;su.&#x20;This&#x20;group&#x20;should&#x20;be&#x20;empty&#x20;to&#x20;reinforce&#x20;the&#x20;use&#x20;of&#x20;sudo&#x20;for&#x20;privileged&#x20;access.','Restricting&#x20;the&#x20;use&#x20;of&#x20;su&#x20;,&#x20;and&#x20;using&#x20;sudo&#x20;in&#x20;its&#x20;place,&#x20;provides&#x20;system&#x20;administrators&#x20;better&#x20;control&#x20;of&#x20;the&#x20;escalation&#x20;of&#x20;user&#x20;privileges&#x20;to&#x20;execute&#x20;privileged&#x20;commands.&#x20;The&#x20;sudo&#x20;utility&#x20;also&#x20;provides&#x20;a&#x20;better&#x20;logging&#x20;and&#x20;audit&#x20;mechanism,&#x20;as&#x20;it&#x20;can&#x20;log&#x20;each&#x20;command&#x20;executed&#x20;via&#x20;sudo&#x20;,&#x20;whereas&#x20;su&#x20;can&#x20;only&#x20;record&#x20;that&#x20;a&#x20;user&#x20;executed&#x20;the&#x20;su&#x20;program.','','Create&#x20;an&#x20;empty&#x20;group&#x20;that&#x20;will&#x20;be&#x20;specified&#x20;for&#x20;use&#x20;of&#x20;the&#x20;su&#x20;command.&#x20;The&#x20;group&#x20;should&#x20;be&#x20;named&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;Example:&#x20;#&#x20;groupadd&#x20;sugroup&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/pam.d/su&#x20;file,&#x20;specifying&#x20;the&#x20;empty&#x20;group:&#x20;auth&#x20;required&#x20;pam_wheel.so&#x20;use_uid&#x20;group=sugroup','[{\"cis\": [\"5.3.7\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1026\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28661,'Ensure&#x20;password&#x20;creation&#x20;requirements&#x20;are&#x20;configured.','The&#x20;pam_pwquality.so&#x20;module&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more.&#x20;The&#x20;following&#x20;options&#x20;are&#x20;set&#x20;in&#x20;the&#x20;/etc/security/pwquality.conf&#x20;file:&#x20;-&#x20;Password&#x20;Length:&#x20;&gt;&#x20;minlen&#x20;=&#x20;14&#x20;-&#x20;password&#x20;must&#x20;be&#x20;14&#x20;characters&#x20;or&#x20;more&#x20;-&#x20;Password&#x20;complexity:&#x20;&gt;&#x20;minclass&#x20;=&#x20;4&#x20;-&#x20;The&#x20;minimum&#x20;number&#x20;of&#x20;required&#x20;classes&#x20;of&#x20;characters&#x20;for&#x20;the&#x20;new&#x20;password&#x20;&#40;digits,&#x20;uppercase,&#x20;lowercase,&#x20;others&#41;&#x20;OR&#x20;&gt;&#x20;dcredit&#x20;=&#x20;-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;digit&#x20;&gt;&#x20;ucredit&#x20;=&#x20;-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;uppercase&#x20;character&#x20;&gt;&#x20;ocredit&#x20;=&#x20;-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;special&#x20;character&#x20;&gt;&#x20;lcredit&#x20;=&#x20;-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;lowercase&#x20;character.','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','The&#x20;following&#x20;setting&#x20;is&#x20;a&#x20;recommend&#x20;example&#x20;policy.&#x20;Alter&#x20;these&#x20;values&#x20;to&#x20;conform&#x20;to&#x20;your&#x20;own&#x20;organization&#039;s&#x20;password&#x20;policies.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;the&#x20;pam_pwquality&#x20;module:&#x20;#&#x20;apt&#x20;install&#x20;libpam-pwquality&#x20;Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;password&#x20;length&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minlen&#x20;=&#x20;14&#x20;Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;password&#x20;complexity&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;Option&#x20;1:&#x20;minclass&#x20;=&#x20;4&#x20;Option&#x20;2:&#x20;dcredit&#x20;=&#x20;-1&#x20;ucredit&#x20;=&#x20;-1&#x20;ocredit&#x20;=&#x20;-1&#x20;lcredit&#x20;=&#x20;-1','[{\"cis\": [\"5.4.1\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.001\", \"T1110.002\", \"T1110.003\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28662,'Ensure&#x20;lockout&#x20;for&#x20;failed&#x20;password&#x20;attempts&#x20;is&#x20;configured.','Lock&#x20;out&#x20;users&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts.&#x20;The&#x20;first&#x20;sets&#x20;of&#x20;changes&#x20;are&#x20;made&#x20;to&#x20;the&#x20;common&#x20;PAM&#x20;configuration&#x20;files.&#x20;The&#x20;second&#x20;set&#x20;of&#x20;changes&#x20;are&#x20;applied&#x20;to&#x20;the&#x20;program&#x20;specific&#x20;PAM&#x20;configuration&#x20;file.&#x20;The&#x20;second&#x20;set&#x20;of&#x20;changes&#x20;must&#x20;be&#x20;applied&#x20;to&#x20;each&#x20;program&#x20;that&#x20;will&#x20;lock&#x20;out&#x20;users.&#x20;Check&#x20;the&#x20;documentation&#x20;for&#x20;each&#x20;secondary&#x20;program&#x20;for&#x20;instructions&#x20;on&#x20;how&#x20;to&#x20;configure&#x20;them&#x20;to&#x20;work&#x20;with&#x20;PAM.&#x20;All&#x20;configuration&#x20;of&#x20;faillock&#x20;is&#x20;located&#x20;in&#x20;/etc/security/faillock.conf&#x20;and&#x20;well&#x20;commented.&#x20;-&#x20;deny&#x20;-&#x20;Deny&#x20;access&#x20;if&#x20;the&#x20;number&#x20;of&#x20;consecutive&#x20;authentication&#x20;failures&#x20;for&#x20;this&#x20;user&#x20;during&#x20;the&#x20;recent&#x20;interval&#x20;exceeds&#x20;n&#x20;tries.&#x20;-&#x20;fail_interval&#x20;-&#x20;The&#x20;length&#x20;of&#x20;the&#x20;interval,&#x20;in&#x20;seconds,&#x20;during&#x20;which&#x20;the&#x20;consecutive&#x20;authentication&#x20;failures&#x20;must&#x20;happen&#x20;for&#x20;the&#x20;user&#x20;account&#x20;to&#x20;be&#x20;locked&#x20;out&#x20;-&#x20;unlock_time&#x20;-&#x20;The&#x20;access&#x20;will&#x20;be&#x20;re-enabled&#x20;after&#x20;n&#x20;seconds&#x20;after&#x20;the&#x20;lock&#x20;out.&#x20;The&#x20;value&#x20;0&#x20;has&#x20;the&#x20;same&#x20;meaning&#x20;as&#x20;value&#x20;never&#x20;-&#x20;the&#x20;access&#x20;will&#x20;not&#x20;be&#x20;re-enabled&#x20;without&#x20;resetting&#x20;the&#x20;faillock&#x20;entries&#x20;by&#x20;the&#x20;faillock&#x20;command.&#x20;Set&#x20;the&#x20;lockout&#x20;number&#x20;and&#x20;unlock&#x20;time&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Locking&#x20;out&#x20;user&#x20;IDs&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts&#x20;mitigates&#x20;brute&#x20;force&#x20;password&#x20;attacks&#x20;against&#x20;your&#x20;systems.','It&#x20;is&#x20;critical&#x20;to&#x20;test&#x20;and&#x20;validate&#x20;any&#x20;PAM&#x20;changes&#x20;before&#x20;deploying.&#x20;Any&#x20;misconfiguration&#x20;could&#x20;cause&#x20;the&#x20;system&#x20;to&#x20;be&#x20;inaccessible.','NOTE:&#x20;Pay&#x20;special&#x20;attention&#x20;to&#x20;the&#x20;configuration.&#x20;Incorrect&#x20;configuration&#x20;can&#x20;cause&#x20;system&#x20;lock&#x20;outs.&#x20;This&#x20;is&#x20;example&#x20;configuration.&#x20;You&#x20;configuration&#x20;may&#x20;differ&#x20;based&#x20;on&#x20;previous&#x20;changes&#x20;to&#x20;the&#x20;files.&#x20;Common&#x20;auth&#x20;Edit&#x20;/etc/pam.d/common-auth&#x20;and&#x20;ensure&#x20;that&#x20;faillock&#x20;is&#x20;configured.&#x20;Note:&#x20;It&#x20;is&#x20;critical&#x20;to&#x20;understand&#x20;each&#x20;line&#x20;and&#x20;the&#x20;relevant&#x20;arguments&#x20;for&#x20;successful&#x20;implementation.&#x20;The&#x20;order&#x20;of&#x20;these&#x20;entries&#x20;is&#x20;very&#x20;specific.&#x20;The&#x20;pam_faillock.so&#x20;lines&#x20;surround&#x20;the&#x20;pam_unix.so&#x20;line.&#x20;The&#x20;comment&#x20;&quot;Added&#x20;to&#x20;enable&#x20;faillock&quot;&#x20;is&#x20;shown&#x20;to&#x20;highlight&#x20;the&#x20;additional&#x20;lines&#x20;and&#x20;their&#x20;order&#x20;in&#x20;the&#x20;file.&#x20;#&#x20;here&#x20;are&#x20;the&#x20;per-package&#x20;modules&#x20;&#40;the&#x20;&quot;Primary&quot;&#x20;block&#41;&#x20;auth&#x20;required&#x20;pam_faillock.so&#x20;preauth&#x20;#&#x20;Added&#x20;to&#x20;enable&#x20;faillock&#x20;auth&#x20;[success=1&#x20;default=ignore]&#x20;pam_unix.so&#x20;nullok&#x20;auth&#x20;[default=die]&#x20;pam_faillock.so&#x20;authfail&#x20;#&#x20;Added&#x20;to&#x20;enable&#x20;faillock&#x20;auth&#x20;sufficient&#x20;pam_faillock.so&#x20;authsucc&#x20;#&#x20;Added&#x20;to&#x20;enable&#x20;faillock&#x20;#&#x20;here&#039;s&#x20;the&#x20;fallback&#x20;if&#x20;no&#x20;module&#x20;succeeds&#x20;auth&#x20;requisite&#x20;pam_deny.so&#x20;#&#x20;prime&#x20;the&#x20;stack&#x20;with&#x20;a&#x20;positive&#x20;return&#x20;value&#x20;if&#x20;there&#x20;isn&#039;t&#x20;one&#x20;already;&#x20;#&#x20;this&#x20;avoids&#x20;us&#x20;returning&#x20;an&#x20;error&#x20;just&#x20;because&#x20;nothing&#x20;sets&#x20;a&#x20;success&#x20;code&#x20;#&#x20;since&#x20;the&#x20;modules&#x20;above&#x20;will&#x20;each&#x20;just&#x20;jump&#x20;around&#x20;auth&#x20;required&#x20;pam_permit.so&#x20;#&#x20;and&#x20;here&#x20;are&#x20;more&#x20;per-package&#x20;modules&#x20;&#40;the&#x20;&quot;Additional&quot;&#x20;block&#41;&#x20;auth&#x20;optional&#x20;pam_cap.so&#x20;#&#x20;end&#x20;of&#x20;pam-auth-update&#x20;config&#x20;Common&#x20;account&#x20;Edit&#x20;/etc/pam.d/common-account&#x20;and&#x20;ensure&#x20;that&#x20;the&#x20;following&#x20;stanza&#x20;is&#x20;at&#x20;the&#x20;end&#x20;of&#x20;the&#x20;file.&#x20;account&#x20;required&#x20;pam_faillock.so&#x20;Fail&#x20;lock&#x20;configuration&#x20;Edit&#x20;/etc/security/faillock.conf&#x20;and&#x20;configure&#x20;it&#x20;per&#x20;your&#x20;site&#x20;policy.&#x20;Example:&#x20;deny&#x20;=&#x20;4&#x20;fail_interval&#x20;=&#x20;900&#x20;unlock&#x20;time&#x20;=&#x20;600','[{\"cis\": [\"5.4.2\"]}, {\"cis_csc_v7\": [\"16.7\"]}, {\"cis_csc_v8\": [\"6.2\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.003\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\"]}, {\"hipaa\": [\"164.308(a)(3)(ii)(C)\"]}, {\"pci_dss_3.2.1\": [\"8.1.3\"]}, {\"pci_dss_4.0\": [\"8.2.4\", \"8.2.5\"]}, {\"nist_sp_800-53\": [\"AC-2(1)\"]}, {\"soc_2\": [\"CC6.2\", \"CC6.3\"]}]'),(28663,'Ensure&#x20;password&#x20;reuse&#x20;is&#x20;limited.','The&#x20;/etc/security/opasswd&#x20;file&#x20;stores&#x20;the&#x20;users&#039;&#x20;old&#x20;passwords&#x20;and&#x20;can&#x20;be&#x20;checked&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;are&#x20;not&#x20;recycling&#x20;recent&#x20;passwords.','Forcing&#x20;users&#x20;not&#x20;to&#x20;reuse&#x20;their&#x20;past&#x20;5&#x20;passwords&#x20;make&#x20;it&#x20;less&#x20;likely&#x20;that&#x20;an&#x20;attacker&#x20;will&#x20;be&#x20;able&#x20;to&#x20;guess&#x20;the&#x20;password.','','NOTE:&#x20;Pay&#x20;special&#x20;attention&#x20;to&#x20;the&#x20;configuration.&#x20;Incorrect&#x20;configuration&#x20;can&#x20;cause&#x20;system&#x20;lock&#x20;outs.&#x20;This&#x20;is&#x20;example&#x20;configuration.&#x20;You&#x20;configuration&#x20;may&#x20;differ&#x20;based&#x20;on&#x20;previous&#x20;changes&#x20;to&#x20;the&#x20;files.&#x20;Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;file&#x20;to&#x20;include&#x20;the&#x20;remember&#x20;option&#x20;and&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;as&#x20;shown:&#x20;password&#x20;[success=1&#x20;default=ignore]&#x20;pam_unix.so&#x20;obscure&#x20;use_authtok&#x20;try_first_pass&#x20;yescrypt&#x20;remember=5','[{\"cis\": [\"5.4.3\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.004\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28664,'Ensure&#x20;password&#x20;hashing&#x20;algorithm&#x20;is&#x20;up&#x20;to&#x20;date&#x20;with&#x20;the&#x20;latest&#x20;standards.','The&#x20;commands&#x20;below&#x20;change&#x20;password&#x20;encryption&#x20;to&#x20;yescrypt.&#x20;All&#x20;existing&#x20;accounts&#x20;will&#x20;need&#x20;to&#x20;perform&#x20;a&#x20;password&#x20;change&#x20;to&#x20;upgrade&#x20;the&#x20;stored&#x20;hashes&#x20;to&#x20;the&#x20;new&#x20;algorithm.','The&#x20;yescrypt&#x20;algorithm&#x20;provides&#x20;much&#x20;stronger&#x20;hashing&#x20;than&#x20;previous&#x20;available&#x20;algorithms,&#x20;thus&#x20;providing&#x20;additional&#x20;protection&#x20;to&#x20;the&#x20;system&#x20;by&#x20;increasing&#x20;the&#x20;level&#x20;of&#x20;effort&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;successfully&#x20;determine&#x20;passwords.&#x20;Note:&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','NOTE:&#x20;Pay&#x20;special&#x20;attention&#x20;to&#x20;the&#x20;configuration.&#x20;Incorrect&#x20;configuration&#x20;can&#x20;cause&#x20;system&#x20;lock&#x20;outs.&#x20;This&#x20;is&#x20;example&#x20;configuration.&#x20;You&#x20;configuration&#x20;may&#x20;differ&#x20;based&#x20;on&#x20;previous&#x20;changes&#x20;to&#x20;the&#x20;files.&#x20;PAM:&#x20;Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;file&#x20;and&#x20;ensure&#x20;that&#x20;no&#x20;hashing&#x20;algorithm&#x20;option&#x20;for&#x20;pam_unix.so&#x20;is&#x20;set:&#x20;password&#x20;[success=1&#x20;default=ignore]&#x20;pam_unix.so&#x20;obscure&#x20;use_authtok&#x20;try_first_pass&#x20;remember=5.&#x20;Login&#x20;definitions:&#x20;Edit&#x20;/etc/login.defs&#x20;and&#x20;ensure&#x20;that&#x20;ENCRYPT_METHOD&#x20;is&#x20;set&#x20;to&#x20;yescrypt.','[{\"cis\": [\"5.4.4\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"cis_csc_v8\": [\"3.11\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1110\", \"T1110.002\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1041\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.19\", \"IA.L2-3.5.10\", \"MP.L2-3.8.1\", \"SC.L2-3.13.11\", \"SC.L2-3.13.16\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"3.4\", \"3.4.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"3.1.1\", \"3.3.2\", \"3.3.3\", \"3.5.1\", \"3.5.1.2\", \"3.5.1.3\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"SC-28\", \"SC-28(1)\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28665,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;configured.','The&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;changing&#x20;their&#x20;password&#x20;until&#x20;a&#x20;minimum&#x20;number&#x20;of&#x20;days&#x20;have&#x20;passed&#x20;since&#x20;the&#x20;last&#x20;time&#x20;the&#x20;user&#x20;changed&#x20;their&#x20;password.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;1&#x20;or&#x20;more&#x20;days.','By&#x20;restricting&#x20;the&#x20;frequency&#x20;of&#x20;password&#x20;changes,&#x20;an&#x20;administrator&#x20;can&#x20;prevent&#x20;users&#x20;from&#x20;repeatedly&#x20;changing&#x20;their&#x20;password&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;circumvent&#x20;password&#x20;reuse&#x20;controls.','','Set&#x20;the&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;to&#x20;1&#x20;in&#x20;/etc/login.defs&#x20;:&#x20;PASS_MIN_DAYS&#x20;1&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--mindays&#x20;1&#x20;&lt;user&gt;','[{\"cis\": [\"5.5.1.1\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.004\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28666,'Ensure&#x20;password&#x20;expiration&#x20;is&#x20;365&#x20;days&#x20;or&#x20;less.','The&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;force&#x20;passwords&#x20;to&#x20;expire&#x20;once&#x20;they&#x20;reach&#x20;a&#x20;defined&#x20;age.','The&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;leverage&#x20;compromised&#x20;credentials&#x20;or&#x20;successfully&#x20;compromise&#x20;credentials&#x20;via&#x20;an&#x20;online&#x20;brute&#x20;force&#x20;attack&#x20;is&#x20;limited&#x20;by&#x20;the&#x20;age&#x20;of&#x20;the&#x20;password.&#x20;Therefore,&#x20;reducing&#x20;the&#x20;maximum&#x20;age&#x20;of&#x20;a&#x20;password&#x20;also&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;window&#x20;of&#x20;opportunity.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;does&#x20;not&#x20;exceed&#x20;365&#x20;days&#x20;and&#x20;is&#x20;greater&#x20;than&#x20;the&#x20;value&#x20;of&#x20;PASS_MIN_DAYS.','','Set&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;in&#x20;/etc/login.defs&#x20;:&#x20;PASS_MAX_DAYS&#x20;365&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--maxdays&#x20;365&#x20;&lt;user&gt;','[{\"cis\": [\"5.5.1.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.001\", \"T1110.002\", \"T1110.003\", \"T1110.004\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28667,'Ensure&#x20;password&#x20;expiration&#x20;warning&#x20;days&#x20;is&#x20;7&#x20;or&#x20;more.','The&#x20;PASS_WARN_AGE&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;notify&#x20;users&#x20;that&#x20;their&#x20;password&#x20;will&#x20;expire&#x20;in&#x20;a&#x20;defined&#x20;number&#x20;of&#x20;days.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','Providing&#x20;an&#x20;advance&#x20;warning&#x20;that&#x20;a&#x20;password&#x20;will&#x20;be&#x20;expiring&#x20;gives&#x20;users&#x20;time&#x20;to&#x20;think&#x20;of&#x20;a&#x20;secure&#x20;password.&#x20;Users&#x20;caught&#x20;unaware&#x20;may&#x20;choose&#x20;a&#x20;simple&#x20;password&#x20;or&#x20;write&#x20;it&#x20;down&#x20;where&#x20;it&#x20;may&#x20;be&#x20;discovered.','','Set&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs&#x20;:&#x20;PASS_WARN_AGE&#x20;7&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--warndays&#x20;7&#x20;&lt;user&gt;','[{\"cis\": [\"5.5.1.3\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28668,'Ensure&#x20;inactive&#x20;password&#x20;lock&#x20;is&#x20;30&#x20;days&#x20;or&#x20;less.','User&#x20;accounts&#x20;that&#x20;have&#x20;been&#x20;inactive&#x20;for&#x20;over&#x20;a&#x20;given&#x20;period&#x20;of&#x20;time&#x20;can&#x20;be&#x20;automatically&#x20;disabled.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;accounts&#x20;that&#x20;are&#x20;inactive&#x20;for&#x20;30&#x20;days&#x20;after&#x20;password&#x20;expiration&#x20;be&#x20;disabled.','Inactive&#x20;accounts&#x20;pose&#x20;a&#x20;threat&#x20;to&#x20;system&#x20;security&#x20;since&#x20;the&#x20;users&#x20;are&#x20;not&#x20;logging&#x20;in&#x20;to&#x20;notice&#x20;failed&#x20;login&#x20;attempts&#x20;or&#x20;other&#x20;anomalies.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;default&#x20;password&#x20;inactivity&#x20;period&#x20;to&#x20;30&#x20;days:&#x20;#&#x20;useradd&#x20;-D&#x20;-f&#x20;30&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--inactive&#x20;30&#x20;&lt;user&gt;','[{\"cis\": [\"5.5.1.4\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.002\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1027\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28669,'Ensure&#x20;default&#x20;group&#x20;for&#x20;the&#x20;root&#x20;account&#x20;is&#x20;GID&#x20;0.','The&#x20;usermod&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;specify&#x20;which&#x20;group&#x20;the&#x20;root&#x20;user&#x20;belongs&#x20;to.&#x20;This&#x20;affects&#x20;permissions&#x20;of&#x20;files&#x20;that&#x20;are&#x20;created&#x20;by&#x20;the&#x20;root&#x20;user.','Using&#x20;GID&#x20;0&#x20;for&#x20;the&#x20;root&#x20;account&#x20;helps&#x20;prevent&#x20;root&#x20;-owned&#x20;files&#x20;from&#x20;accidentally&#x20;becoming&#x20;accessible&#x20;to&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;root&#x20;user&#x20;default&#x20;group&#x20;to&#x20;GID&#x20;0&#x20;:&#x20;#&#x20;usermod&#x20;-g&#x20;0&#x20;root','[{\"cis\": [\"5.5.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1026\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28670,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd&#x20;are&#x20;configured.','The&#x20;/etc/passwd&#x20;file&#x20;contains&#x20;user&#x20;account&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;utilities&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;utilities&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/passwd','[{\"cis\": [\"6.1.1\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28671,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd-&#x20;are&#x20;configured.','The&#x20;/etc/passwd-&#x20;file&#x20;contains&#x20;backup&#x20;user&#x20;account&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/passwd-&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd-&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/passwd-','[{\"cis\": [\"6.1.2\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28672,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group&#x20;are&#x20;configured.','The&#x20;/etc/group&#x20;file&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.&#x20;The&#x20;command&#x20;below&#x20;allows&#x20;read/write&#x20;access&#x20;for&#x20;root&#x20;and&#x20;read&#x20;access&#x20;for&#x20;everyone&#x20;else.','The&#x20;/etc/group&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users,&#x20;but&#x20;needs&#x20;to&#x20;be&#x20;readable&#x20;as&#x20;this&#x20;information&#x20;is&#x20;used&#x20;with&#x20;many&#x20;non-privileged&#x20;programs.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/group','[{\"cis\": [\"6.1.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28673,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group-&#x20;are&#x20;configured.','The&#x20;/etc/group-&#x20;file&#x20;contains&#x20;a&#x20;backup&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/group-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/group-&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group-&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/group-','[{\"cis\": [\"6.1.4\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28674,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow&#x20;are&#x20;configured.','The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;user&#x20;accounts.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;of&#x20;/etc/shadow&#x20;to&#x20;root&#x20;and&#x20;group&#x20;to&#x20;either&#x20;root&#x20;or&#x20;shadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/shadow&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;excess&#x20;permissions&#x20;form&#x20;/etc/shadow:&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;/etc/shadow','[{\"cis\": [\"6.1.5\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28675,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow-&#x20;are&#x20;configured.','The&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;of&#x20;/etc/shadow-&#x20;to&#x20;root&#x20;and&#x20;group&#x20;to&#x20;either&#x20;root&#x20;or&#x20;shadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow-&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/shadow&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;excess&#x20;permissions&#x20;form&#x20;/etc/shadow-:&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;/etc/shadow-','[{\"cis\": [\"6.1.6\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28676,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow&#x20;are&#x20;configured.','The&#x20;/etc/gshadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/gshadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/gshadow&#x20;file&#x20;&#40;such&#x20;as&#x20;group&#x20;administrators&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;group.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;of&#x20;/etc/gshadow&#x20;to&#x20;root&#x20;and&#x20;group&#x20;to&#x20;either&#x20;root&#x20;or&#x20;shadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/gshadow&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;excess&#x20;permissions&#x20;form&#x20;/etc/gshadow:&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;/etc/gshadow','[{\"cis\": [\"6.1.7\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28677,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;are&#x20;configured.','The&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;of&#x20;/etc/gshadow-&#x20;to&#x20;root&#x20;and&#x20;group&#x20;to&#x20;either&#x20;root&#x20;or&#x20;shadow:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow-&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/gshadowRun&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;excess&#x20;permissions&#x20;form&#x20;/etc/gshadow-:&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;/etc/gshadow-','[{\"cis\": [\"6.1.8\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28678,'Ensure&#x20;accounts&#x20;in&#x20;/etc/passwd&#x20;use&#x20;shadowed&#x20;passwords.','Local&#x20;accounts&#x20;can&#x20;uses&#x20;shadowed&#x20;passwords.&#x20;With&#x20;shadowed&#x20;passwords,&#x20;The&#x20;passwords&#x20;are&#x20;saved&#x20;in&#x20;shadow&#x20;password&#x20;file,&#x20;/etc/shadow,&#x20;encrypted&#x20;by&#x20;a&#x20;salted&#x20;oneway&#x20;hash.&#x20;Accounts&#x20;with&#x20;a&#x20;shadowed&#x20;password&#x20;have&#x20;an&#x20;x&#x20;in&#x20;the&#x20;second&#x20;field&#x20;in&#x20;/etc/passwd.','The&#x20;/etc/passwd&#x20;file&#x20;also&#x20;contains&#x20;information&#x20;like&#x20;user&#x20;ID&#039;s&#x20;and&#x20;group&#x20;ID&#039;s&#x20;that&#x20;are&#x20;used&#x20;by&#x20;many&#x20;system&#x20;programs.&#x20;Therefore,&#x20;the&#x20;/etc/passwd&#x20;file&#x20;must&#x20;remain&#x20;world&#x20;readable.&#x20;In&#x20;spite&#x20;of&#x20;encoding&#x20;the&#x20;password&#x20;with&#x20;a&#x20;randomly-generated&#x20;one-way&#x20;hash&#x20;function,&#x20;an&#x20;attacker&#x20;could&#x20;still&#x20;break&#x20;the&#x20;system&#x20;if&#x20;they&#x20;got&#x20;access&#x20;to&#x20;the&#x20;/etc/passwd&#x20;file.&#x20;This&#x20;can&#x20;be&#x20;mitigated&#x20;by&#x20;using&#x20;shadowed&#x20;passwords,&#x20;thus&#x20;moving&#x20;the&#x20;passwords&#x20;in&#x20;the&#x20;/etc/passwd&#x20;file&#x20;to&#x20;/etc/shadow.&#x20;The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;set&#x20;so&#x20;only&#x20;root&#x20;will&#x20;be&#x20;able&#x20;to&#x20;read&#x20;and&#x20;write.&#x20;This&#x20;helps&#x20;mitigate&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;encoded&#x20;passwords&#x20;with&#x20;which&#x20;to&#x20;perform&#x20;a&#x20;dictionary&#x20;attack.&#x20;Note:&#x20;All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.&#x20;A&#x20;user&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;second&#x20;field&#x20;in&#x20;/etc/passwd&#x20;allows&#x20;the&#x20;account&#x20;to&#x20;be&#x20;logged&#x20;into&#x20;by&#x20;providing&#x20;only&#x20;the&#x20;username.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;accounts&#x20;to&#x20;use&#x20;shadowed&#x20;passwords:&#x20;#&#x20;sed&#x20;-e&#x20;&#039;s/^&#40;[a-zA-Z0-9_]*&#41;:[^:]*:/1:x:/&#039;&#x20;-i&#x20;/etc/passwd&#x20;Investigate&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for,&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.1\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"cis_csc_v8\": [\"3.11\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1027\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.19\", \"IA.L2-3.5.10\", \"MP.L2-3.8.1\", \"SC.L2-3.13.11\", \"SC.L2-3.13.16\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"3.4\", \"3.4.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"3.1.1\", \"3.3.2\", \"3.3.3\", \"3.5.1\", \"3.5.1.2\", \"3.5.1.3\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"SC-28\", \"SC-28(1)\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28679,'Ensure&#x20;/etc/shadow&#x20;password&#x20;fields&#x20;are&#x20;not&#x20;empty.','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;password,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;account&#x20;until&#x20;it&#x20;can&#x20;be&#x20;determined&#x20;why&#x20;it&#x20;does&#x20;not&#x20;have&#x20;a&#x20;password:&#x20;#&#x20;passwd&#x20;-l&#x20;&lt;username&gt;&#x20;Also,&#x20;check&#x20;to&#x20;see&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;investigate&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1027\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(28680,'Ensure&#x20;shadow&#x20;group&#x20;is&#x20;empty.','The&#x20;shadow&#x20;group&#x20;allows&#x20;system&#x20;programs&#x20;which&#x20;require&#x20;access&#x20;the&#x20;ability&#x20;to&#x20;read&#x20;the&#x20;/etc/shadow&#x20;file.&#x20;No&#x20;users&#x20;should&#x20;be&#x20;assigned&#x20;to&#x20;the&#x20;shadow&#x20;group.','Any&#x20;users&#x20;assigned&#x20;to&#x20;the&#x20;shadow&#x20;group&#x20;would&#x20;be&#x20;granted&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file.&#x20;If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;passwords&#x20;to&#x20;break&#x20;them.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;additional&#x20;user&#x20;accounts.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;all&#x20;users&#x20;from&#x20;the&#x20;shadow&#x20;group&#x20;#&#x20;sed&#x20;-ri&#x20;&#039;s/&#40;^shadow:[^:]*:[^:]*:&#41;&#40;[^:]+$&#41;/1/&#039;&#x20;/etc/group&#x20;Change&#x20;the&#x20;primary&#x20;group&#x20;of&#x20;any&#x20;users&#x20;with&#x20;shadow&#x20;as&#x20;their&#x20;primary&#x20;group.&#x20;#&#x20;usermod&#x20;-g&#x20;&lt;primary&#x20;group&gt;&#x20;&lt;user&gt;','[{\"cis\": [\"6.2.4\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(28681,'Ensure&#x20;root&#x20;is&#x20;the&#x20;only&#x20;UID&#x20;0&#x20;account.','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','','Remove&#x20;any&#x20;users&#x20;other&#x20;than&#x20;root&#x20;with&#x20;UID&#x20;0&#x20;or&#x20;assign&#x20;them&#x20;a&#x20;new&#x20;UID&#x20;if&#x20;appropriate.','[{\"cis\": [\"6.2.10\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(29000,'Ensure&#x20;All&#x20;Apple-provided&#x20;Software&#x20;Is&#x20;Current.','Software&#x20;vendors&#x20;release&#x20;security&#x20;patches&#x20;and&#x20;software&#x20;updates&#x20;for&#x20;their&#x20;products&#x20;when&#x20;security&#x20;vulnerabilities&#x20;are&#x20;discovered.&#x20;There&#x20;is&#x20;no&#x20;simple&#x20;way&#x20;to&#x20;complete&#x20;this&#x20;action&#x20;without&#x20;a&#x20;network&#x20;connection&#x20;to&#x20;an&#x20;Apple&#x20;software&#x20;repository.&#x20;Please&#x20;ensure&#x20;appropriate&#x20;access&#x20;for&#x20;this&#x20;control.&#x20;This&#x20;check&#x20;is&#x20;only&#x20;for&#x20;what&#x20;Apple&#x20;provides&#x20;through&#x20;software&#x20;update.','It&#x20;is&#x20;important&#x20;that&#x20;these&#x20;updates&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;prevent&#x20;unauthorized&#x20;persons&#x20;from&#x20;exploiting&#x20;the&#x20;identified&#x20;vulnerabilities.','','1.&#x20;In&#x20;Terminal,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;verify&#x20;what&#x20;packages&#x20;need&#x20;to&#x20;be&#x20;installed:&#x20;sudo&#x20;softwareupdate&#x20;-l.&#x20;2.1.&#x20;In&#x20;Terminal,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;all&#x20;the&#x20;packages&#x20;that&#x20;need&#x20;to&#x20;be&#x20;updated:&#x20;sudo&#x20;software&#x20;-i&#x20;-a&#x20;-R.&#x20;2.2.&#x20;In&#x20;Terminal,&#x20;run&#x20;the&#x20;following&#x20;for&#x20;any&#x20;packages&#x20;that&#x20;show&#x20;up&#x20;in&#x20;step&#x20;1:&#x20;sudo&#x20;softwareupdate&#x20;-i&#x20;packagename&#039;','[{\"cis\": [\"1.1\"]}, {\"cis_level\": [\"1\"]}]'),(29001,'Ensure&#x20;Auto&#x20;Update&#x20;Is&#x20;Enabled.','Auto&#x20;Update&#x20;verifies&#x20;that&#x20;your&#x20;system&#x20;has&#x20;the&#x20;newest&#x20;security&#x20;patches&#x20;and&#x20;software&#x20;updates.&#x20;If&#x20;&quot;Automatically&#x20;check&#x20;for&#x20;updates&quot;&#x20;is&#x20;not&#x20;selected&#x20;background&#x20;updates&#x20;for&#x20;new&#x20;malware&#x20;definition&#x20;files&#x20;from&#x20;Apple&#x20;for&#x20;XProtect&#x20;and&#x20;Gatekeeper&#x20;will&#x20;not&#x20;occur.','It&#x20;is&#x20;important&#x20;that&#x20;a&#x20;system&#x20;has&#x20;the&#x20;newest&#x20;updates&#x20;applied&#x20;so&#x20;as&#x20;to&#x20;prevent&#x20;unauthorized&#x20;persons&#x20;from&#x20;exploiting&#x20;identified&#x20;vulnerabilities.','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;auto&#x20;update&#x20;feature:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;AutomaticCheckEnabled&#x20;-bool&#x20;true','[{\"cis\": [\"1.2\"]}, {\"cis_level\": [\"1\"]}]'),(29002,'Ensure&#x20;Download&#x20;New&#x20;Updates&#x20;When&#x20;Available&#x20;is&#x20;Enabled.','In&#x20;the&#x20;GUI&#x20;both&#x20;&quot;Install&#x20;macOS&#x20;updates&quot;&#x20;and&#x20;&quot;Install&#x20;app&#x20;updates&#x20;from&#x20;the&#x20;App&#x20;Store&quot;&#x20;are&#x20;dependent&#x20;on&#x20;whether&#x20;&quot;Download&#x20;new&#x20;updates&#x20;when&#x20;available&quot;&#x20;is&#x20;selected.','It&#x20;is&#x20;important&#x20;that&#x20;a&#x20;system&#x20;has&#x20;the&#x20;newest&#x20;updates&#x20;downloaded&#x20;so&#x20;that&#x20;they&#x20;can&#x20;be&#x20;applied.','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;auto&#x20;update&#x20;feature:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;AutomaticDownload&#x20;-bool&#x20;true','[{\"cis\": [\"1.3\"]}, {\"cis_level\": [\"1\"]}]'),(29003,'Ensure&#x20;Installation&#x20;of&#x20;App&#x20;Update&#x20;Is&#x20;Enabled.','Ensure&#x20;that&#x20;application&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;These&#x20;updates&#x20;do&#x20;not&#x20;require&#x20;reboots&#x20;or&#x20;admin&#x20;privileges&#x20;for&#x20;end&#x20;users.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited.','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;auto&#x20;update&#x20;feature:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.commerce&#x20;AutoUpdate&#x20;-bool&#x20;TRUE','[{\"cis\": [\"1.4\"]}, {\"cis_level\": [\"1\"]}]'),(29004,'Ensure&#x20;System&#x20;Data&#x20;Files&#x20;and&#x20;Security&#x20;Updates&#x20;Are&#x20;Downloaded&#x20;Automatically&#x20;Is&#x20;Enabled.','Ensure&#x20;that&#x20;system&#x20;and&#x20;security&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;This&#x20;setting&#x20;enables&#x20;definition&#x20;updates&#x20;for&#x20;XProtect&#x20;and&#x20;Gatekeeper.&#x20;With&#x20;this&#x20;setting&#x20;in&#x20;place&#x20;new&#x20;malware&#x20;and&#x20;adware&#x20;that&#x20;Apple&#x20;has&#x20;added&#x20;to&#x20;the&#x20;list&#x20;of&#x20;malware&#x20;or&#x20;untrusted&#x20;software&#x20;will&#x20;not&#x20;execute.&#x20;These&#x20;updates&#x20;do&#x20;not&#x20;require&#x20;reboots&#x20;or&#x20;end&#x20;user&#x20;admin&#x20;rights.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited.','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;install&#x20;system&#x20;data&#x20;files&#x20;and&#x20;security&#x20;updates:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;ConfigDataInstall&#x20;-bool&#x20;true&#x20;&amp;&amp;&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;CriticalUpdateInstall&#x20;-bool&#x20;true','[{\"cis\": [\"1.5\"]}, {\"cis_level\": [\"1\"]}]'),(29005,'Ensure&#x20;Install&#x20;of&#x20;macOS&#x20;Updates&#x20;Is&#x20;Enabled.','Ensure&#x20;that&#x20;macOS&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;This&#x20;setting&#x20;enables&#x20;macOS&#x20;updates&#x20;to&#x20;be&#x20;automatically&#x20;installed.&#x20;Some&#x20;environments&#x20;will&#x20;want&#x20;to&#x20;approve&#x20;and&#x20;test&#x20;updates&#x20;before&#x20;they&#x20;are&#x20;delivered.&#x20;It&#x20;is&#x20;best&#x20;practice&#x20;to&#x20;test&#x20;first&#x20;where&#x20;updates&#x20;can&#x20;and&#x20;have&#x20;caused&#x20;disruptions&#x20;to&#x20;operations.&#x20;Automatic&#x20;updates&#x20;should&#x20;be&#x20;turned&#x20;off&#x20;where&#x20;changes&#x20;are&#x20;tightly&#x20;controlled&#x20;and&#x20;there&#x20;are&#x20;mature&#x20;testing&#x20;and&#x20;approval&#x20;processes.&#x20;Automatic&#x20;updates&#x20;should&#x20;not&#x20;be&#x20;turned&#x20;off&#x20;so&#x20;the&#x20;admin&#x20;can&#x20;call&#x20;the&#x20;users&#x20;first&#x20;to&#x20;let&#x20;them&#x20;know&#x20;it&#039;s&#x20;ok&#x20;to&#x20;install.&#x20;A&#x20;dependable,&#x20;repeatable&#x20;process&#x20;involving&#x20;a&#x20;patch&#x20;agent&#x20;or&#x20;remote&#x20;management&#x20;tool&#x20;should&#x20;be&#x20;in&#x20;place&#x20;before&#x20;auto-updates&#x20;are&#x20;turned&#x20;off.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;to&#x20;enable&#x20;automatic&#x20;checking&#x20;and&#x20;installing&#x20;of&#x20;macOS&#x20;updates:&#x20;sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;AutomaticallyInstallMacOSUpdates&#x20;-bool&#x20;TRUE','[{\"cis\": [\"1.6\"]}, {\"cis_level\": [\"1\"]}]'),(29006,'Ensure&#x20;Bluetooth&#x20;Is&#x20;Disabled&#x20;If&#x20;No&#x20;Devices&#x20;Are&#x20;Paired.','Bluetooth&#x20;devices&#x20;use&#x20;a&#x20;wireless&#x20;communications&#x20;system&#x20;that&#x20;replaces&#x20;the&#x20;cables&#x20;used&#x20;by&#x20;other&#x20;peripherals&#x20;to&#x20;connect&#x20;to&#x20;a&#x20;system.&#x20;It&#x20;is&#x20;by&#x20;design&#x20;a&#x20;peer-to-peer&#x20;network&#x20;technology&#x20;and&#x20;typically&#x20;lacks&#x20;centralized&#x20;administration&#x20;and&#x20;security&#x20;enforcement&#x20;infrastructure.','Bluetooth&#x20;is&#x20;particularly&#x20;susceptible&#x20;to&#x20;a&#x20;diverse&#x20;set&#x20;of&#x20;security&#x20;vulnerabilities&#x20;involving&#x20;identity&#x20;detection,&#x20;location&#x20;tracking,&#x20;denial&#x20;of&#x20;service,&#x20;unintended&#x20;control&#x20;and&#x20;access&#x20;of&#x20;data&#x20;and&#x20;voice&#x20;channels,&#x20;and&#x20;unauthorized&#x20;device&#x20;control&#x20;and&#x20;data&#x20;access.','','Open&#x20;a&#x20;terminal&#x20;session&#x20;and&#x20;enter&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;bluetooth:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.Bluetooth&#x20;ControllerPowerState&#x20;-int&#x20;0&#x20;&amp;&amp;&#x20;sudo&#x20;killall&#x20;-HUP&#x20;bluetoothd','[{\"cis\": [\"2.1.1\"]}, {\"cis_level\": [\"1\"]}]'),(29007,'Ensure&#x20;Show&#x20;Bluetooth&#x20;Status&#x20;in&#x20;Menu&#x20;Bar&#x20;Is&#x20;Enabled.','By&#x20;showing&#x20;the&#x20;Bluetooth&#x20;status&#x20;in&#x20;the&#x20;menu&#x20;bar,&#x20;a&#x20;small&#x20;Bluetooth&#x20;icon&#x20;is&#x20;placed&#x20;in&#x20;the&#x20;menu&#x20;bar.&#x20;This&#x20;icon&#x20;quickly&#x20;shows&#x20;the&#x20;status&#x20;of&#x20;Bluetooth,&#x20;and&#x20;can&#x20;allow&#x20;the&#x20;user&#x20;to&#x20;quickly&#x20;turn&#x20;Bluetooth&#x20;on&#x20;or&#x20;off.','Enabling&#x20;&quot;Show&#x20;Bluetooth&#x20;status&#x20;in&#x20;menu&#x20;bar&quot;&#x20;is&#x20;a&#x20;security&#x20;awareness&#x20;method&#x20;that&#x20;helps&#x20;understand&#x20;the&#x20;current&#x20;state&#x20;of&#x20;Bluetooth,&#x20;including&#x20;whether&#x20;it&#x20;is&#x20;enabled,&#x20;discoverable,&#x20;what&#x20;paired&#x20;devices&#x20;exist,&#x20;and&#x20;what&#x20;paired&#x20;devices&#x20;are&#x20;currently&#x20;active.','','For&#x20;each&#x20;user,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;Bluetooth&#x20;status&#x20;in&#x20;the&#x20;menu&#x20;bar:&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;defaults&#x20;-currentHost&#x20;write&#x20;com.apple.controlcenter.plist&#x20;Bluetooth&#x20;-int&#x20;18','[{\"cis\": [\"2.1.2\"]}, {\"cis_level\": [\"1\"]}]'),(29008,'Ensure&#x20;&quot;Set&#x20;time&#x20;and&#x20;date&#x20;automatically&quot;&#x20;Is&#x20;Enabled','Correct&#x20;date&#x20;and&#x20;time&#x20;settings&#x20;are&#x20;required&#x20;for&#x20;authentication&#x20;protocols,&#x20;file&#x20;creation,&#x20;modification&#x20;dates&#x20;and&#x20;log&#x20;entries.','Kerberos&#x20;may&#x20;not&#x20;operate&#x20;correctly&#x20;if&#x20;the&#x20;time&#x20;on&#x20;the&#x20;Mac&#x20;is&#x20;off&#x20;by&#x20;more&#x20;than&#x20;5&#x20;minutes.&#x20;This&#x20;in&#x20;turn&#x20;can&#x20;affect&#x20;Apple&#039;s&#x20;single&#x20;sign-on&#x20;feature,&#x20;Active&#x20;Directory&#x20;logons,&#x20;and&#x20;other&#x20;features.','','Run&#x20;the&#x20;following&#x20;commands:&#x20;sudo&#x20;systemsetup&#x20;-setnetworktimeserver&#x20;&lt;timeserver&gt;&#x20;sudo&#x20;systemsetup&#x20;-setusingnetworktime&#x20;on.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;if&#x20;you&#x20;have&#x20;not&#x20;set,&#x20;or&#x20;need&#x20;to&#x20;set,&#x20;a&#x20;new&#x20;time&#x20;zone:&#x20;sudo&#x20;/usr/sbin/systemsetup&#x20;-listtimezones&#x20;sudo&#x20;/usr/sbin/systemsetup&#x20;-settimezone&#x20;&lt;selected&#x20;time&#x20;zone&gt;','[{\"cis\": [\"2.2.1\"]}, {\"cis_level\": [\"1\"]}]'),(29009,'Ensure&#x20;time&#x20;set&#x20;is&#x20;within&#x20;appropriate&#x20;limits.','Correct&#x20;date&#x20;and&#x20;time&#x20;settings&#x20;are&#x20;required&#x20;for&#x20;authentication&#x20;protocols,&#x20;file&#x20;creation,&#x20;modification&#x20;dates&#x20;and&#x20;log&#x20;entries.&#x20;Ensure&#x20;that&#x20;time&#x20;on&#x20;the&#x20;computer&#x20;is&#x20;within&#x20;acceptable&#x20;limits.&#x20;Truly&#x20;accurate&#x20;time&#x20;is&#x20;measured&#x20;within&#x20;milliseconds.&#x20;For&#x20;this&#x20;audit,&#x20;a&#x20;drift&#x20;under&#x20;four&#x20;and&#x20;a&#x20;half&#x20;minutes&#x20;passes&#x20;the&#x20;control&#x20;check.&#x20;Since&#x20;Kerberos&#x20;is&#x20;one&#x20;of&#x20;the&#x20;important&#x20;features&#x20;of&#x20;macOS&#x20;integration&#x20;into&#x20;Directory&#x20;systems&#x20;the&#x20;guidance&#x20;here&#x20;is&#x20;to&#x20;warn&#x20;you&#x20;before&#x20;there&#x20;could&#x20;be&#x20;an&#x20;impact&#x20;to&#x20;operations.&#x20;From&#x20;the&#x20;perspective&#x20;of&#x20;accurate&#x20;time,&#x20;this&#x20;check&#x20;is&#x20;not&#x20;strict,&#x20;so&#x20;it&#x20;may&#x20;be&#x20;too&#x20;great&#x20;for&#x20;your&#x20;organization.&#x20;Your&#x20;organization&#x20;can&#x20;adjust&#x20;to&#x20;a&#x20;smaller&#x20;offset&#x20;value&#x20;as&#x20;needed.&#x20;Note:&#x20;ntpdate&#x20;has&#x20;been&#x20;deprecated&#x20;with&#x20;10.14.&#x20;sntp&#x20;replaces&#x20;that&#x20;command.&#x20;NOTE:&#x20;set&#x20;the&#x20;correct&#x20;network&#x20;time&#x20;server&#x20;in&#x20;the&#x20;rules.','Kerberos&#x20;may&#x20;not&#x20;operate&#x20;correctly&#x20;if&#x20;the&#x20;time&#x20;on&#x20;the&#x20;Mac&#x20;is&#x20;off&#x20;by&#x20;more&#x20;than&#x20;5&#x20;minutes.&#x20;This&#x20;in&#x20;turn&#x20;can&#x20;affect&#x20;Apple&#039;s&#x20;single&#x20;sign-on&#x20;feature,&#x20;Active&#x20;Directory&#x20;logons,&#x20;and&#x20;other&#x20;features.&#x20;Audit&#x20;check&#x20;is&#x20;for&#x20;more&#x20;than&#x20;4&#x20;minutes&#x20;and&#x20;30&#x20;seconds&#x20;ahead&#x20;or&#x20;behind.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;ensure&#x20;your&#x20;time&#x20;is&#x20;set&#x20;within&#x20;an&#x20;appropriate&#x20;limit:&#x20;sudo&#x20;systemsetup&#x20;-getnetworktimeserver&#x20;-&gt;&#x20;Get&#x20;the&#x20;time&#x20;server&#x20;name&#x20;and&#x20;then&#x20;run:&#x20;sudo&#x20;touch&#x20;/var/db/ntp-kod&#x20;&amp;&amp;&#x20;sudo&#x20;chown&#x20;root:wheel&#x20;/var/db/ntp-kod&#x20;&amp;&amp;&#x20;sudo&#x20;sntp&#x20;-sS&#x20;&lt;YOUR-TIME-SERVER&gt;&#x20;','[{\"cis\": [\"2.2.2\"]}, {\"cis_level\": [\"1\"]}]'),(29010,'Ensure&#x20;an&#x20;Inactivity&#x20;Interval&#x20;of&#x20;20&#x20;Minutes&#x20;Or&#x20;Less&#x20;for&#x20;the&#x20;Screen&#x20;Saver&#x20;Is&#x20;Enabled.','A&#x20;locking&#x20;screensaver&#x20;is&#x20;one&#x20;of&#x20;the&#x20;standard&#x20;security&#x20;controls&#x20;to&#x20;limit&#x20;access&#x20;to&#x20;a&#x20;computer&#x20;and&#x20;the&#x20;current&#x20;user&#039;s&#x20;session&#x20;when&#x20;the&#x20;computer&#x20;is&#x20;temporarily&#x20;unused&#x20;or&#x20;unattended.&#x20;In&#x20;macOS&#x20;the&#x20;screensaver&#x20;starts&#x20;after&#x20;a&#x20;value&#x20;selected&#x20;in&#x20;a&#x20;drop&#x20;down&#x20;menu,&#x20;10&#x20;minutes&#x20;and&#x20;20&#x20;minutes&#x20;are&#x20;both&#x20;options&#x20;and&#x20;either&#x20;is&#x20;acceptable.&#x20;Any&#x20;value&#x20;can&#x20;be&#x20;selected&#x20;through&#x20;the&#x20;command&#x20;line&#x20;or&#x20;script&#x20;but&#x20;a&#x20;number&#x20;that&#x20;is&#x20;not&#x20;reflected&#x20;in&#x20;the&#x20;GUI&#x20;can&#x20;be&#x20;problematic.&#x20;20&#x20;minutes&#x20;is&#x20;the&#x20;default&#x20;for&#x20;new&#x20;accounts.','Setting&#x20;an&#x20;inactivity&#x20;interval&#x20;for&#x20;the&#x20;screensaver&#x20;prevents&#x20;unauthorized&#x20;persons&#x20;from&#x20;viewing&#x20;a&#x20;system&#x20;left&#x20;unattended&#x20;for&#x20;an&#x20;extensive&#x20;period&#x20;of&#x20;time.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;verify&#x20;that&#x20;the&#x20;idle&#x20;time&#x20;of&#x20;the&#x20;screen&#x20;saver&#x20;to&#x20;20&#x20;minutes&#x20;or&#x20;less&#x20;&#40;&le;1200&#41;:&#x20;&#x20;$&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;/usr/bin/defaults&#x20;-currentHost&#x20;write&#x20;com.apple.screensaver&#x20;idleTime&#x20;-int&#x20;&lt;value&#x20;&le;1200&gt;.&#x20;If&#x20;there&#x20;are&#x20;multiple&#x20;users&#x20;out&#x20;of&#x20;compliance&#x20;with&#x20;the&#x20;prescribed&#x20;setting,&#x20;run&#x20;this&#x20;command&#x20;for&#x20;each&#x20;user&#x20;to&#x20;set&#x20;their&#x20;idle&#x20;time:&#x20;&#x20;$&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;/usr/bin/defaults&#x20;-currentHost&#x20;write&#x20;com.apple.screensaver&#x20;idleTime&#x20;-int&#x20;&lt;value&#x20;&le;1200&gt;.&#x20;Note:&#x20;Issues&#x20;arise&#x20;if&#x20;the&#x20;command&#x20;line&#x20;is&#x20;used&#x20;to&#x20;make&#x20;the&#x20;setting&#x20;something&#x20;other&#x20;than&#x20;what&#x20;is&#x20;available&#x20;in&#x20;the&#x20;GUI&#x20;Menu.&#x20;Choose&#x20;either&#x20;1&#x20;&#40;60&#41;,&#x20;2&#x20;&#40;120&#41;,&#x20;5&#x20;&#40;300&#41;,&#x20;10&#x20;&#40;600&#41;,&#x20;or&#x20;20&#x20;&#40;120&#41;&#x20;minutes&#x20;to&#x20;avoid&#x20;any&#x20;issues.&#x20;Profile&#x20;Method:&#x20;1.&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;PayLoadType&#x20;of&#x20;com.apple.screensaver.user&#x20;2.&#x20;Add&#x20;the&#x20;key&#x20;idleTime&#x20;3.&#x20;Set&#x20;the&#x20;key&#x20;to&#x20;&lt;integer&gt;&lt;&le;1200&gt;&lt;/integer&gt;&#x20;','[{\"cis\": [\"2.3.1\"]}, {\"cis_level\": [\"1\"]}]'),(29011,'Ensure&#x20;Screen&#x20;Saver&#x20;Corners&#x20;Are&#x20;Secure.','Hot&#x20;Corners&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;disable&#x20;the&#x20;screen&#x20;saver&#x20;by&#x20;moving&#x20;the&#x20;mouse&#x20;cursor&#x20;to&#x20;a&#x20;corner&#x20;of&#x20;the&#x20;screen.','Setting&#x20;a&#x20;hot&#x20;corner&#x20;to&#x20;disable&#x20;the&#x20;screen&#x20;saver&#x20;poses&#x20;a&#x20;potential&#x20;security&#x20;risk&#x20;since&#x20;an&#x20;unauthorized&#x20;person&#x20;could&#x20;use&#x20;this&#x20;to&#x20;bypass&#x20;the&#x20;login&#x20;screen&#x20;and&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;turn&#x20;off&#x20;Disable&#x20;Screen&#x20;Saver&#x20;for&#x20;a&#x20;Hot&#x20;Corner:&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;defaults&#x20;write&#x20;com.apple.dock&#x20;&lt;corner&#x20;that&#x20;is&#x20;set&#x20;to&#x20;&#039;6&#039;&gt;&#x20;-int&#x20;0&#x20;','[{\"cis\": [\"2.3.2\"]}, {\"cis_level\": [\"2\"]}]'),(29012,'Ensure&#x20;Remote&#x20;Apple&#x20;Events&#x20;Is&#x20;Disabled.','Apple&#x20;Events&#x20;is&#x20;a&#x20;technology&#x20;that&#x20;allows&#x20;one&#x20;program&#x20;to&#x20;communicate&#x20;with&#x20;other&#x20;programs.&#x20;Remote&#x20;Apple&#x20;Events&#x20;allows&#x20;a&#x20;program&#x20;on&#x20;one&#x20;computer&#x20;to&#x20;communicate&#x20;with&#x20;a&#x20;program&#x20;on&#x20;a&#x20;different&#x20;computer.','Disabling&#x20;Remote&#x20;Apple&#x20;Events&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;unauthorized&#x20;program&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;systemsetup&#x20;-setremoteappleevents&#x20;off','[{\"cis\": [\"2.4.1\"]}, {\"cis_level\": [\"1\"]}]'),(29013,'Ensure&#x20;Internet&#x20;Sharing&#x20;Is&#x20;Disabled','Internet&#x20;Sharing&#x20;uses&#x20;the&#x20;open&#x20;source&#x20;natd&#x20;process&#x20;to&#x20;share&#x20;an&#x20;internet&#x20;connection&#x20;with&#x20;other&#x20;computers&#x20;and&#x20;devices&#x20;on&#x20;a&#x20;local&#x20;network.&#x20;This&#x20;allows&#x20;the&#x20;Mac&#x20;to&#x20;function&#x20;as&#x20;a&#x20;router&#x20;and&#x20;share&#x20;the&#x20;connection&#x20;to&#x20;other,&#x20;possibly&#x20;unauthorized,&#x20;devices.','Disabling&#x20;Internet&#x20;Sharing&#x20;reduces&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;turn&#x20;off&#x20;Internet&#x20;Sharing:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/SystemConfiguration/com.apple.nat&#x20;NAT&#x20;-dict&#x20;Enabled&#x20;-int&#x20;0','[{\"cis\": [\"2.4.2\"]}, {\"cis_level\": [\"1\"]}]'),(29014,'Ensure&#x20;Screen&#x20;Sharing&#x20;Is&#x20;Disabled.','Screen&#x20;Sharing&#x20;allows&#x20;a&#x20;computer&#x20;to&#x20;connect&#x20;to&#x20;another&#x20;computer&#x20;on&#x20;a&#x20;network&#x20;and&#x20;display&#x20;the&#x20;computer&rsquo;s&#x20;screen.&#x20;While&#x20;sharing&#x20;the&#x20;computer&rsquo;s&#x20;screen,&#x20;the&#x20;user&#x20;can&#x20;control&#x20;what&#x20;happens&#x20;on&#x20;that&#x20;computer,&#x20;such&#x20;as&#x20;opening&#x20;documents&#x20;or&#x20;applications,&#x20;opening,&#x20;moving,&#x20;or&#x20;closing&#x20;windows,&#x20;and&#x20;even&#x20;shutting&#x20;down&#x20;the&#x20;computer.','Disabling&#x20;Screen&#x20;Sharing&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;remote&#x20;connections&#x20;being&#x20;made&#x20;without&#x20;the&#x20;user&#x20;of&#x20;the&#x20;console&#x20;knowing&#x20;that&#x20;they&#x20;are&#x20;sharing&#x20;the&#x20;computer.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;turn&#x20;off&#x20;Screen&#x20;Sharing:&#x20;sudo&#x20;launchctl&#x20;disable&#x20;system/com.apple.screensharing','[{\"cis\": [\"2.4.3\"]}, {\"cis_level\": [\"1\"]}]'),(29015,'Ensure&#x20;Printer&#x20;Sharing&#x20;Is&#x20;Disabled.','By&#x20;enabling&#x20;Printer&#x20;Sharing&#x20;the&#x20;computer&#x20;is&#x20;set&#x20;up&#x20;as&#x20;a&#x20;print&#x20;server&#x20;to&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;computers.&#x20;Dedicated&#x20;print&#x20;servers&#x20;or&#x20;direct&#x20;IP&#x20;printing&#x20;should&#x20;be&#x20;used&#x20;instead.','Disabling&#x20;Printer&#x20;Sharing&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;attackers&#x20;attempting&#x20;to&#x20;exploit&#x20;the&#x20;print&#x20;server&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;cupsctl&#x20;--no-share-printers','[{\"cis\": [\"2.4.4\"]}, {\"cis_level\": [\"1\"]}]'),(29016,'Ensure&#x20;Remote&#x20;Login&#x20;Is&#x20;Disabled.','Remote&#x20;Login&#x20;allows&#x20;an&#x20;interactive&#x20;terminal&#x20;connection&#x20;to&#x20;a&#x20;computer.','Disabling&#x20;Remote&#x20;Login&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;unauthorized&#x20;person&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;system&#x20;via&#x20;Secure&#x20;Shell&#x20;&#40;SSH&#41;.&#x20;While&#x20;SSH&#x20;is&#x20;an&#x20;industry&#x20;standard&#x20;to&#x20;connect&#x20;to&#x20;posix&#x20;servers,&#x20;the&#x20;scope&#x20;of&#x20;the&#x20;benchmark&#x20;is&#x20;for&#x20;Apple&#x20;macOS&#x20;clients,&#x20;not&#x20;servers.&#x20;macOS&#x20;does&#x20;have&#x20;an&#x20;IP&#x20;based&#x20;firewall&#x20;available&#x20;&#40;pf,&#x20;ipfw&#x20;has&#x20;been&#x20;deprecated&#41;&#x20;that&#x20;is&#x20;not&#x20;enabled&#x20;or&#x20;configured.&#x20;There&#x20;are&#x20;more&#x20;details&#x20;and&#x20;links&#x20;in&#x20;section&#x20;7.5.&#x20;macOS&#x20;no&#x20;longer&#x20;has&#x20;TCP&#x20;Wrappers&#x20;support&#x20;built-in&#x20;and&#x20;does&#x20;not&#x20;have&#x20;strong&#x20;Brute-Force&#x20;password&#x20;guessing&#x20;mitigations,&#x20;or&#x20;frequent&#x20;patching&#x20;of&#x20;openssh&#x20;by&#x20;Apple.&#x20;Most&#x20;macOS&#x20;computers&#x20;are&#x20;mobile&#x20;workstations,&#x20;managing&#x20;IP&#x20;based&#x20;firewall&#x20;rules&#x20;on&#x20;mobile&#x20;devices&#x20;can&#x20;be&#x20;very&#x20;resource&#x20;intensive.&#x20;All&#x20;of&#x20;these&#x20;factors&#x20;can&#x20;be&#x20;parts&#x20;of&#x20;running&#x20;a&#x20;hardened&#x20;SSH&#x20;server.','','Run&#x20;the&#x20;following&#x20;command&#x20;in&#x20;Terminal:&#x20;sudo&#x20;systemsetup&#x20;-setremotelogin&#x20;off','[{\"cis\": [\"2.4.5\"]}, {\"cis_level\": [\"1\"]}]'),(29017,'Ensure&#x20;DVD&#x20;or&#x20;CD&#x20;Sharing&#x20;Is&#x20;Disabled.','DVD&#x20;or&#x20;CD&#x20;Sharing&#x20;allows&#x20;users&#x20;to&#x20;remotely&#x20;access&#x20;the&#x20;system&#039;s&#x20;optical&#x20;drive.&#x20;While&#x20;Apple&#x20;does&#x20;not&#x20;ship&#x20;Macs&#x20;with&#x20;built-in&#x20;optical&#x20;drives&#x20;any&#x20;longer,&#x20;external&#x20;optical&#x20;drives&#x20;are&#x20;still&#x20;recognized&#x20;when&#x20;they&#x20;are&#x20;connected.&#x20;In&#x20;testing&#x20;the&#x20;sharing&#x20;of&#x20;an&#x20;external&#x20;optical&#x20;drive&#x20;persists&#x20;when&#x20;a&#x20;drive&#x20;is&#x20;reconnected.','Disabling&#x20;DVD&#x20;or&#x20;CD&#x20;Sharing&#x20;minimizes&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;using&#x20;the&#x20;optical&#x20;drive&#x20;as&#x20;a&#x20;vector&#x20;for&#x20;attack&#x20;and&#x20;exposure&#x20;of&#x20;sensitive&#x20;data.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;DVD&#x20;or&#x20;CD&#x20;sharing:&#x20;sudo&#x20;launchctl&#x20;disable&#x20;system/com.apple.ODSAgent&#x20;','[{\"cis\": [\"2.4.6\"]}, {\"cis_level\": [\"1\"]}]'),(29018,'Ensure&#x20;Bluetooth&#x20;Sharing&#x20;Is&#x20;Disabled.','Bluetooth&#x20;Sharing&#x20;allows&#x20;files&#x20;to&#x20;be&#x20;exchanged&#x20;with&#x20;Bluetooth&#x20;enabled&#x20;devices.','Disabling&#x20;Bluetooth&#x20;Sharing&#x20;minimizes&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;using&#x20;Bluetooth&#x20;to&#x20;remotely&#x20;attack&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Bluetooth&#x20;Sharing&#x20;is&#x20;disabled:&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;/usr/bin/defaults&#x20;-currentHost&#x20;write&#x20;com.apple.Bluetooth&#x20;PrefKeyServicesEnabled&#x20;-bool&#x20;false','[{\"cis\": [\"2.4.7\"]}, {\"cis_level\": [\"1\"]}]'),(29019,'Ensure&#x20;File&#x20;Sharing&#x20;Is&#x20;Disabled.','Server&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;,&#x20;Common&#x20;Internet&#x20;File&#x20;System&#x20;&#40;CIFS&#41;&#x20;When&#x20;Windows&#x20;&#40;or&#x20;possibly&#x20;Linux&#41;&#x20;computers&#x20;need&#x20;to&#x20;access&#x20;file&#x20;shared&#x20;on&#x20;a&#x20;Mac,&#x20;SMB/CIFS&#x20;file&#x20;sharing&#x20;is&#x20;commonly&#x20;used.&#x20;Apple&#x20;warns&#x20;that&#x20;SMB&#x20;sharing&#x20;stores&#x20;passwords&#x20;is&#x20;a&#x20;less&#x20;secure&#x20;fashion&#x20;than&#x20;AFP&#x20;sharing&#x20;and&#x20;anyone&#x20;with&#x20;system&#x20;access&#x20;can&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;password&#x20;for&#x20;that&#x20;account.&#x20;When&#x20;sharing&#x20;with&#x20;SMB,&#x20;each&#x20;user&#x20;that&#x20;will&#x20;access&#x20;the&#x20;Mac&#x20;must&#x20;have&#x20;SMB&#x20;enabled.','By&#x20;disabling&#x20;file&#x20;sharing,&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;and&#x20;risk&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;files&#x20;stored&#x20;on&#x20;the&#x20;system&#x20;is&#x20;reduced.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;SMB&#x20;file&#x20;sharing:&#x20;sudo&#x20;launchctl&#x20;disable&#x20;system/com.apple.smbd&#x20;','[{\"cis\": [\"2.4.8\"]}, {\"cis_level\": [\"1\"]}]'),(29020,'Ensure&#x20;Remote&#x20;Management&#x20;Is&#x20;Disabled.','Remote&#x20;Management&#x20;is&#x20;the&#x20;client&#x20;portion&#x20;of&#x20;Apple&#x20;Remote&#x20;Desktop&#x20;&#40;ARD&#41;.&#x20;Remote&#x20;Management&#x20;can&#x20;be&#x20;used&#x20;by&#x20;remote&#x20;administrators&#x20;to&#x20;view&#x20;the&#x20;current&#x20;screen,&#x20;install&#x20;software,&#x20;report&#x20;on,&#x20;and&#x20;generally&#x20;manage&#x20;client&#x20;Macs.&#x20;The&#x20;screen&#x20;sharing&#x20;options&#x20;in&#x20;Remote&#x20;Management&#x20;are&#x20;identical&#x20;to&#x20;those&#x20;in&#x20;the&#x20;Screen&#x20;Sharing&#x20;section.&#x20;In&#x20;fact,&#x20;only&#x20;one&#x20;of&#x20;the&#x20;two&#x20;can&#x20;be&#x20;configured.&#x20;If&#x20;Remote&#x20;Management&#x20;is&#x20;used,&#x20;refer&#x20;to&#x20;the&#x20;Screen&#x20;Sharing&#x20;section&#x20;above&#x20;on&#x20;issues&#x20;regard&#x20;screen&#x20;sharing.&#x20;Remote&#x20;Management&#x20;should&#x20;only&#x20;be&#x20;enabled&#x20;when&#x20;a&#x20;Directory&#x20;is&#x20;in&#x20;place&#x20;to&#x20;manage&#x20;the&#x20;accounts&#x20;with&#x20;access.&#x20;Computers&#x20;will&#x20;be&#x20;available&#x20;on&#x20;port&#x20;5900&#x20;on&#x20;a&#x20;macOS&#x20;System&#x20;and&#x20;could&#x20;accept&#x20;connections&#x20;from&#x20;untrusted&#x20;hosts&#x20;depending&#x20;on&#x20;the&#x20;configuration,&#x20;definitely&#x20;a&#x20;concern&#x20;for&#x20;mobile&#x20;systems.','Remote&#x20;Management&#x20;should&#x20;only&#x20;be&#x20;enabled&#x20;on&#x20;trusted&#x20;networks&#x20;with&#x20;strong&#x20;user&#x20;controls&#x20;present&#x20;in&#x20;a&#x20;Directory&#x20;system.&#x20;Mobile&#x20;devices&#x20;without&#x20;strict&#x20;controls&#x20;are&#x20;vulnerable&#x20;to&#x20;exploit&#x20;and&#x20;monitoring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Remote&#x20;Management:&#x20;sudo&#x20;/System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart&#x20;-deactivate&#x20;-stop','[{\"cis\": [\"2.4.9\"]}, {\"cis_level\": [\"1\"]}]'),(29021,'Ensure&#x20;Content&#x20;Caching&#x20;Is&#x20;Disabled.','Starting&#x20;with&#x20;10.13&#x20;&#40;macOS&#x20;High&#x20;Sierra&#41;&#x20;Apple&#x20;introduced&#x20;a&#x20;service&#x20;to&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;deploy&#x20;data&#x20;from&#x20;Apple,&#x20;including&#x20;software&#x20;updates,&#x20;where&#x20;there&#x20;are&#x20;bandwidth&#x20;constraints&#x20;to&#x20;the&#x20;Internet&#x20;and&#x20;fewer&#x20;constraints&#x20;and&#x20;greater&#x20;bandwidth&#x20;on&#x20;the&#x20;local&#x20;subnet.&#x20;This&#x20;capability&#x20;can&#x20;be&#x20;very&#x20;valuable&#x20;for&#x20;organizations&#x20;that&#x20;have&#x20;throttled&#x20;and&#x20;possibly&#x20;metered&#x20;Internet&#x20;connections.&#x20;In&#x20;heterogeneous&#x20;enterprise&#x20;networks&#x20;with&#x20;multiple&#x20;subnets&#x20;the&#x20;effectiveness&#x20;of&#x20;this&#x20;capability&#x20;would&#x20;be&#x20;determined&#x20;on&#x20;how&#x20;many&#x20;Macs&#x20;were&#x20;on&#x20;each&#x20;subnet&#x20;at&#x20;the&#x20;time&#x20;new&#x20;large&#x20;updates&#x20;were&#x20;made&#x20;available&#x20;upstream.&#x20;This&#x20;capability&#x20;requires&#x20;the&#x20;use&#x20;of&#x20;mac&#x20;OS&#x20;clients&#x20;as&#x20;P2P&#x20;nodes&#x20;for&#x20;updated&#x20;Apple&#x20;content.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;business&#x20;requirement&#x20;to&#x20;manage&#x20;operational&#x20;Internet&#x20;connectivity&#x20;bandwidth&#x20;user&#x20;endpoints&#x20;should&#x20;not&#x20;store&#x20;content&#x20;and&#x20;act&#x20;as&#x20;a&#x20;cluster&#x20;to&#x20;provision&#x20;data.','The&#x20;main&#x20;use&#x20;case&#x20;for&#x20;Mac&#x20;computers&#x20;is&#x20;as&#x20;mobile&#x20;user&#x20;endpoints.&#x20;P2P&#x20;sharing&#x20;services&#x20;should&#x20;not&#x20;be&#x20;enabled&#x20;on&#x20;laptops&#x20;that&#x20;are&#x20;using&#x20;untrusted&#x20;networks.&#x20;Content&#x20;Caching&#x20;can&#x20;allow&#x20;a&#x20;computer&#x20;to&#x20;be&#x20;a&#x20;server&#x20;for&#x20;local&#x20;nodes&#x20;on&#x20;an&#x20;untrusted&#x20;network.&#x20;While&#x20;there&#x20;are&#x20;certainly&#x20;logical&#x20;controls&#x20;that&#x20;could&#x20;be&#x20;used&#x20;to&#x20;mitigate&#x20;risk&#x20;they&#x20;add&#x20;to&#x20;the&#x20;management&#x20;complexity,&#x20;since&#x20;the&#x20;value&#x20;of&#x20;the&#x20;service&#x20;is&#x20;in&#x20;specific&#x20;use&#x20;cases&#x20;organizations&#x20;with&#x20;the&#x20;use&#x20;case&#x20;described&#x20;above&#x20;can&#x20;accept&#x20;risk&#x20;as&#x20;necessary.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Content&#x20;Caching::&#x20;sudo&#x20;AssetCacheManagerUtil&#x20;deactivate','[{\"cis\": [\"2.4.10\"]}, {\"cis_level\": [\"2\"]}]'),(29022,'Ensure&#x20;AirDrop&#x20;Is&#x20;Disabled.','AirDrop&#x20;is&#x20;Apple&#039;s&#x20;built-in&#x20;on&#x20;demand&#x20;ad&#x20;hoc&#x20;file&#x20;exchange&#x20;system&#x20;that&#x20;is&#x20;compatible&#x20;with&#x20;both&#x20;macOS&#x20;and&#x20;iOS.&#x20;It&#x20;uses&#x20;Bluetooth&#x20;LE&#x20;for&#x20;discovery&#x20;that&#x20;limits&#x20;connectivity&#x20;to&#x20;Mac&#x20;or&#x20;iOS&#x20;users&#x20;that&#x20;are&#x20;in&#x20;close&#x20;proximity.&#x20;Depending&#x20;on&#x20;the&#x20;setting&#x20;it&#x20;allows&#x20;everyone&#x20;or&#x20;only&#x20;Contacts&#x20;to&#x20;share&#x20;files&#x20;when&#x20;they&#x20;are&#x20;nearby&#x20;to&#x20;each&#x20;other.&#x20;In&#x20;many&#x20;ways&#x20;this&#x20;technology&#x20;is&#x20;far&#x20;superior&#x20;to&#x20;the&#x20;alternatives.&#x20;The&#x20;file&#x20;transfer&#x20;is&#x20;done&#x20;over&#x20;a&#x20;TLS&#x20;encrypted&#x20;session,&#x20;does&#x20;not&#x20;require&#x20;any&#x20;open&#x20;ports&#x20;that&#x20;are&#x20;required&#x20;for&#x20;file&#x20;sharing,&#x20;does&#x20;not&#x20;leave&#x20;file&#x20;copies&#x20;on&#x20;email&#x20;servers&#x20;or&#x20;within&#x20;cloud&#x20;storage,&#x20;and&#x20;allows&#x20;for&#x20;the&#x20;service&#x20;to&#x20;be&#x20;mitigated&#x20;so&#x20;that&#x20;only&#x20;people&#x20;already&#x20;trusted&#x20;and&#x20;added&#x20;to&#x20;contacts&#x20;can&#x20;interact&#x20;with&#x20;you.&#x20;While&#x20;there&#x20;are&#x20;positives&#x20;to&#x20;AirDrop,&#x20;there&#x20;are&#x20;privacy&#x20;concerns&#x20;that&#x20;could&#x20;expose&#x20;personal&#x20;information.&#x20;For&#x20;that&#x20;reason,&#x20;AirDrop&#x20;should&#x20;be&#x20;disabled,&#x20;and&#x20;should&#x20;only&#x20;be&#x20;enabled&#x20;when&#x20;needed&#x20;and&#x20;disabled&#x20;afterwards.','AirDrop&#x20;can&#x20;allow&#x20;malicious&#x20;files&#x20;to&#x20;be&#x20;downloaded&#x20;from&#x20;unknown&#x20;sources.&#x20;Contacts&#x20;Only&#x20;limits&#x20;may&#x20;expose&#x20;personal&#x20;information&#x20;to&#x20;devices&#x20;in&#x20;the&#x20;same&#x20;area.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;AirDrop:&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;defaults&#x20;write&#x20;com.apple.NetworkBrowser&#x20;DisableAirDrop&#x20;-bool&#x20;true','[{\"cis\": [\"2.4.11\"]}, {\"cis_level\": [\"1\"]}]'),(29023,'Ensure&#x20;Media&#x20;Sharing&#x20;Is&#x20;Disabled.','Starting&#x20;with&#x20;macOS&#x20;10.15&#x20;Apple&#x20;has&#x20;provided&#x20;a&#x20;control&#x20;to&#x20;allow&#x20;a&#x20;user&#x20;to&#x20;share&#x20;Apple&#x20;downloaded&#x20;content&#x20;on&#x20;all&#x20;Apple&#x20;devices&#x20;that&#x20;are&#x20;signed&#x20;in&#x20;with&#x20;the&#x20;same&#x20;Apple&#x20;ID.&#x20;This&#x20;allows&#x20;a&#x20;user&#x20;to&#x20;share&#x20;downloaded&#x20;Movies,&#x20;Music&#x20;or&#x20;TV&#x20;shows&#x20;with&#x20;other&#x20;controlled&#x20;macOS,&#x20;iOS&#x20;and&#x20;iPadOS&#x20;devices&#x20;as&#x20;well&#x20;as&#x20;photos&#x20;with&#x20;Apple&#x20;TVs.&#x20;With&#x20;this&#x20;capability&#x20;guest&#x20;users&#x20;can&#x20;also&#x20;use&#x20;media&#x20;downloaded&#x20;on&#x20;the&#x20;computer.&#x20;The&#x20;recommended&#x20;best&#x20;practice&#x20;is&#x20;not&#x20;to&#x20;use&#x20;the&#x20;computer&#x20;as&#x20;a&#x20;server&#x20;but&#x20;to&#x20;utilize&#x20;Apple&#039;s&#x20;cloud&#x20;storage&#x20;to&#x20;download&#x20;and&#x20;use&#x20;content&#x20;stored&#x20;there&#x20;if&#x20;content&#x20;stored&#x20;with&#x20;Apple&#x20;is&#x20;used&#x20;on&#x20;multiple&#x20;devices.','Disabling&#x20;Media&#x20;Sharing&#x20;reduces&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Media&#x20;Sharing:&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;defaults&#x20;write&#x20;com.apple.amp.mediasharingd&#x20;home-sharing-enabled&#x20;-int&#x20;0','[{\"cis\": [\"2.4.12\"]}, {\"cis_level\": [\"2\"]}]'),(29024,'Ensure&#x20;FileVault&#x20;Is&#x20;Enabled.','FileVault&#x20;secures&#x20;a&#x20;system&#039;s&#x20;data&#x20;by&#x20;automatically&#x20;encrypting&#x20;its&#x20;boot&#x20;volume&#x20;and&#x20;requiring&#x20;a&#x20;password&#x20;or&#x20;recovery&#x20;key&#x20;to&#x20;access&#x20;it.&#x20;FileVault&#x20;may&#x20;also&#x20;be&#x20;enabled&#x20;using&#x20;command&#x20;line&#x20;using&#x20;the&#x20;fdesetup&#x20;command.&#x20;To&#x20;use&#x20;this&#x20;functionality,&#x20;consult&#x20;the&#x20;Der&#x20;Flounder&#x20;blog&#x20;for&#x20;more&#x20;details&#x20;&#40;see&#x20;references&#41;.','Encrypting&#x20;sensitive&#x20;data&#x20;minimizes&#x20;the&#x20;likelihood&#x20;of&#x20;unauthorized&#x20;users&#x20;gaining&#x20;access&#x20;to&#x20;it.','','Perform&#x20;the&#x20;following&#x20;to&#x20;enable&#x20;FileVault:&#x20;1.&#x20;Open&#x20;System&#x20;Preferences&#x20;2.&#x20;Select&#x20;Security&#x20;&amp;&#x20;Privacy&#x20;3.&#x20;Select&#x20;FileVault&#x20;4.&#x20;Select&#x20;Turn&#x20;on&#x20;FileVault','[{\"cis\": [\"2.5.1.1\"]}, {\"cis_level\": [\"1\"]}]'),(29025,'Ensure&#x20;Gatekeeper&#x20;is&#x20;Enabled.','Gatekeeper&#x20;is&#x20;Apple&#039;s&#x20;application&#x20;allowlisting&#x20;control&#x20;that&#x20;restricts&#x20;downloaded&#x20;applications&#x20;from&#x20;launching.&#x20;It&#x20;functions&#x20;as&#x20;a&#x20;control&#x20;to&#x20;limit&#x20;applications&#x20;from&#x20;unverified&#x20;sources&#x20;from&#x20;running&#x20;without&#x20;authorization.','Disallowing&#x20;unsigned&#x20;software&#x20;will&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;unauthorized&#x20;or&#x20;malicious&#x20;applications&#x20;from&#x20;running&#x20;on&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;Gatekeeper&#x20;to&#x20;allow&#x20;applications&#x20;from&#x20;App&#x20;Store&#x20;and&#x20;identified&#x20;developers:&#x20;sudo&#x20;/usr/sbin/spctl&#x20;--master-enable','[{\"cis\": [\"2.5.2.1\"]}, {\"cis_level\": [\"1\"]}]'),(29026,'Ensure&#x20;Firewall&#x20;Is&#x20;Enabled.','A&#x20;firewall&#x20;is&#x20;a&#x20;piece&#x20;of&#x20;software&#x20;that&#x20;blocks&#x20;unwanted&#x20;incoming&#x20;connections&#x20;to&#x20;a&#x20;system.&#x20;Apple&#x20;has&#x20;posted&#x20;general&#x20;documentation&#x20;about&#x20;the&#x20;application&#x20;firewall.','A&#x20;firewall&#x20;minimizes&#x20;the&#x20;threat&#x20;of&#x20;unauthorized&#x20;users&#x20;from&#x20;gaining&#x20;access&#x20;to&#x20;your&#x20;system&#x20;while&#x20;connected&#x20;to&#x20;a&#x20;network&#x20;or&#x20;the&#x20;Internet.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;firewall:&#x20;sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.alf&#x20;globalstate&#x20;-int&#x20;&lt;value&gt;&#x20;For&#x20;the&#x20;&lt;value&gt;,&#x20;use&#x20;either&#x20;1,&#x20;specific&#x20;services,&#x20;or&#x20;2,&#x20;essential&#x20;services&#x20;only.','[{\"cis\": [\"2.5.2.2\"]}, {\"cis_level\": [\"1\"]}]'),(29027,'Ensure&#x20;Firewall&#x20;Stealth&#x20;Mode&#x20;Is&#x20;Enabled.','While&#x20;in&#x20;Stealth&#x20;mode&#x20;the&#x20;computer&#x20;will&#x20;not&#x20;respond&#x20;to&#x20;unsolicited&#x20;probes,&#x20;dropping&#x20;that&#x20;traffic.','Stealth&#x20;mode&#x20;on&#x20;the&#x20;firewall&#x20;minimizes&#x20;the&#x20;threat&#x20;of&#x20;system&#x20;discovery&#x20;tools&#x20;while&#x20;connected&#x20;to&#x20;a&#x20;network&#x20;or&#x20;the&#x20;Internet.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;stealth&#x20;mode:&#x20;sudo&#x20;/usr/libexec/ApplicationFirewall/socketfilterfw&#x20;--setstealthmode&#x20;on','[{\"cis\": [\"2.5.2.3\"]}, {\"cis_level\": [\"1\"]}]'),(29028,'Ensure&#x20;Location&#x20;Services&#x20;Is&#x20;Enabled.','macOS&#x20;uses&#x20;location&#x20;information&#x20;gathered&#x20;through&#x20;local&#x20;Wi-Fi&#x20;networks&#x20;to&#x20;enable&#x20;applications&#x20;to&#x20;supply&#x20;relevant&#x20;information&#x20;to&#x20;users.&#x20;With&#x20;the&#x20;operating&#x20;system&#x20;verifying&#x20;the&#x20;location,&#x20;users&#x20;do&#x20;not&#x20;need&#x20;to&#x20;change&#x20;the&#x20;time&#x20;or&#x20;the&#x20;time&#x20;zone.&#x20;The&#x20;computer&#x20;will&#x20;change&#x20;them&#x20;based&#x20;on&#x20;the&#x20;user&#039;s&#x20;location.&#x20;They&#x20;do&#x20;not&#x20;need&#x20;to&#x20;specify&#x20;their&#x20;location&#x20;for&#x20;weather&#x20;or&#x20;travel&#x20;times&#x20;and&#x20;even&#x20;get&#x20;alerts&#x20;on&#x20;travel&#x20;times&#x20;to&#x20;meetings&#x20;and&#x20;appointment&#x20;where&#x20;location&#x20;information&#x20;is&#x20;supplied.&#x20;Location&#x20;Services&#x20;simplify&#x20;some&#x20;processes,&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;asset&#x20;management&#x20;and&#x20;time&#x20;and&#x20;log&#x20;management,&#x20;with&#x20;mobile&#x20;computers.&#x20;There&#x20;are&#x20;some&#x20;use&#x20;cases&#x20;where&#x20;it&#x20;is&#x20;important&#x20;that&#x20;the&#x20;computer&#x20;not&#x20;be&#x20;able&#x20;to&#x20;report&#x20;its&#x20;exact&#x20;location.&#x20;While&#x20;the&#x20;general&#x20;use&#x20;case&#x20;is&#x20;to&#x20;enable&#x20;Location&#x20;Services,&#x20;it&#x20;should&#x20;not&#x20;be&#x20;allowed&#x20;if&#x20;the&#x20;physical&#x20;location&#x20;of&#x20;the&#x20;computer&#x20;and&#x20;the&#x20;user&#x20;should&#x20;not&#x20;be&#x20;public&#x20;knowledge.','Location&#x20;Services&#x20;are&#x20;helpful&#x20;in&#x20;most&#x20;use&#x20;cases&#x20;and&#x20;can&#x20;simplify&#x20;log&#x20;and&#x20;time&#x20;management&#x20;where&#x20;computers&#x20;change&#x20;time&#x20;zones.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;Location&#x20;Services:&#x20;sudo&#x20;launchctl&#x20;load&#x20;-w&#x20;/System/Library/LaunchDaemons/com.apple.locationd.plist','[{\"cis\": [\"2.5.3\"]}, {\"cis_level\": [\"2\"]}]'),(29029,'Ensure&#x20;Sending&#x20;Diagnostic&#x20;and&#x20;Usage&#x20;Data&#x20;to&#x20;Apple&#x20;Is&#x20;Disabled.','Apple&#x20;provides&#x20;a&#x20;mechanism&#x20;to&#x20;send&#x20;diagnostic&#x20;and&#x20;analytics&#x20;data&#x20;back&#x20;to&#x20;Apple&#x20;to&#x20;help&#x20;them&#x20;improve&#x20;the&#x20;platform.&#x20;Information&#x20;sent&#x20;to&#x20;Apple&#x20;may&#x20;contain&#x20;internal&#x20;organizational&#x20;information&#x20;that&#x20;should&#x20;be&#x20;controlled&#x20;and&#x20;not&#x20;available&#x20;for&#x20;processing&#x20;by&#x20;Apple.&#x20;Turn&#x20;off&#x20;all&#x20;Analytics&#x20;and&#x20;Improvements&#x20;sharing.&#x20;Share&#x20;Mac&#x20;Analytics&#x20;&#40;Share&#x20;with&#x20;App&#x20;Developers&#x20;dependent&#x20;on&#x20;Mac&#x20;Analytic&#x20;sharing&#41;&#x20;-&#x20;Includes&#x20;diagnostics,&#x20;usage&#x20;and&#x20;location&#x20;data.&#x20;Share&#x20;iCloud&#x20;Analytics&#x20;-&#x20;Includes&#x20;iCloud&#x20;data&#x20;and&#x20;usage&#x20;information.','Organizations&#x20;should&#x20;have&#x20;knowledge&#x20;of&#x20;what&#x20;is&#x20;shared&#x20;with&#x20;the&#x20;vendor&#x20;and&#x20;the&#x20;setting&#x20;automatically&#x20;forwards&#x20;information&#x20;to&#x20;Apple.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;diagnostic&#x20;data&#x20;being&#x20;sent&#x20;to&#x20;Apple:&#x20;sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Application&#x20;Support/CrashReporter/DiagnosticMessagesHistory.plist&#x20;AutoSubmit&#x20;-bool&#x20;false,&#x20;sudo&#x20;/bin/chmod&#x20;644&#x20;/Library/Application&#x20;Support/CrashReporter/DiagnosticMessagesHistory.plist,&#x20;sudo&#x20;/usr/sbin/chgrp&#x20;admin&#x20;/Library/Application&#x20;Support/CrashReporter/DiagnosticMessagesHistory.plist','[{\"cis\": [\"2.5.5\"]}, {\"cis_level\": [\"2\"]}]'),(29030,'Ensure&#x20;Backup&#x20;Up&#x20;Automatically&#x20;is&#x20;Enabled.','Backup&#x20;solutions&#x20;are&#x20;only&#x20;effective&#x20;if&#x20;the&#x20;backups&#x20;run&#x20;on&#x20;a&#x20;regular&#x20;basis.&#x20;The&#x20;time&#x20;to&#x20;check&#x20;for&#x20;backups&#x20;is&#x20;before&#x20;the&#x20;hard&#x20;drive&#x20;fails&#x20;or&#x20;the&#x20;computer&#x20;goes&#x20;missing.&#x20;In&#x20;order&#x20;to&#x20;simplify&#x20;the&#x20;user&#x20;experience&#x20;so&#x20;that&#x20;backups&#x20;are&#x20;more&#x20;likely&#x20;to&#x20;occur&#x20;Time&#x20;Machine&#x20;should&#x20;be&#x20;on&#x20;and&#x20;set&#x20;to&#x20;Back&#x20;Up&#x20;Automatically&#x20;whenever&#x20;the&#x20;target&#x20;volume&#x20;is&#x20;available.&#x20;Operational&#x20;staff&#x20;should&#x20;ensure&#x20;that&#x20;backups&#x20;complete&#x20;on&#x20;a&#x20;regular&#x20;basis&#x20;and&#x20;the&#x20;backups&#x20;are&#x20;tested&#x20;to&#x20;ensure&#x20;that&#x20;file&#x20;restoration&#x20;from&#x20;backup&#x20;is&#x20;possible&#x20;when&#x20;needed.&#x20;Backup&#x20;dates&#x20;are&#x20;available&#x20;even&#x20;when&#x20;the&#x20;target&#x20;volume&#x20;is&#x20;not&#x20;available&#x20;in&#x20;the&#x20;Time&#x20;Machine&#x20;plist.&#x20;SnapshotDates&#x20;=&#x20;&#40;&#x20;&quot;2012-08-20&#x20;12:10:22&#x20;+0000&quot;,&#x20;&quot;2013-02-03&#x20;23:43:22&#x20;+0000&quot;,&#x20;&quot;2014-02-19&#x20;21:37:21&#x20;+0000&quot;,&#x20;&quot;2015-02-22&#x20;13:07:25&#x20;+0000&quot;,&#x20;&quot;2016-08-20&#x20;14:07:14&#x20;+0000&quot;&#x20;When&#x20;the&#x20;backup&#x20;volume&#x20;is&#x20;connected&#x20;to&#x20;the&#x20;computer&#x20;more&#x20;extensive&#x20;information&#x20;is&#x20;available&#x20;through&#x20;tmutil.&#x20;See&#x20;man&#x20;tmutil','Backups&#x20;should&#x20;automatically&#x20;run&#x20;whenever&#x20;the&#x20;backup&#x20;drive&#x20;is&#x20;available.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;automatic&#x20;backups&#x20;if&#x20;Time&#x20;Machine&#x20;is&#x20;enabled:&#x20;sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.TimeMachine.plist&#x20;AutoBackup&#x20;-bool&#x20;true','[{\"cis\": [\"2.7.1\"]}, {\"cis_level\": [\"2\"]}]'),(29031,'Ensure&#x20;Wake&#x20;for&#x20;Network&#x20;Access&#x20;Is&#x20;Disabled.','This&#x20;feature&#x20;allows&#x20;the&#x20;computer&#x20;to&#x20;take&#x20;action&#x20;when&#x20;the&#x20;user&#x20;is&#x20;not&#x20;present&#x20;and&#x20;the&#x20;computer&#x20;is&#x20;in&#x20;energy&#x20;saving&#x20;mode.&#x20;These&#x20;tools&#x20;require&#x20;FileVault&#x20;to&#x20;remain&#x20;unlocked&#x20;and&#x20;fully&#x20;rejoin&#x20;known&#x20;networks.&#x20;This&#x20;macOS&#x20;feature&#x20;is&#x20;meant&#x20;to&#x20;allow&#x20;the&#x20;computer&#x20;to&#x20;resume&#x20;activity&#x20;as&#x20;needed&#x20;regardless&#x20;of&#x20;physical&#x20;security&#x20;controls.&#x20;This&#x20;feature&#x20;allows&#x20;other&#x20;users&#x20;to&#x20;be&#x20;able&#x20;to&#x20;access&#x20;your&#x20;computer&rsquo;s&#x20;shared&#x20;resources,&#x20;such&#x20;as&#x20;shared&#x20;printers&#x20;or&#x20;iTunes&#x20;playlists,&#x20;even&#x20;when&#x20;your&#x20;computer&#x20;is&#x20;in&#x20;sleep&#x20;mode.&#x20;In&#x20;a&#x20;closed&#x20;network&#x20;when&#x20;only&#x20;authorized&#x20;devices&#x20;could&#x20;wake&#x20;a&#x20;computer&#x20;it&#x20;could&#x20;be&#x20;valuable&#x20;to&#x20;wake&#x20;computers&#x20;in&#x20;order&#x20;to&#x20;do&#x20;management&#x20;push&#x20;activity.&#x20;Where&#x20;mobile&#x20;workstations&#x20;and&#x20;agents&#x20;exist&#x20;the&#x20;device&#x20;will&#x20;more&#x20;likely&#x20;check&#x20;in&#x20;to&#x20;receive&#x20;updates&#x20;when&#x20;already&#x20;awake.&#x20;Mobile&#x20;devices&#x20;should&#x20;not&#x20;be&#x20;listening&#x20;for&#x20;signals&#x20;on&#x20;any&#x20;unmanaged&#x20;network&#x20;or&#x20;where&#x20;untrusted&#x20;devices&#x20;exist&#x20;that&#x20;could&#x20;send&#x20;wake&#x20;signals.','Disabling&#x20;this&#x20;feature&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;remotely&#x20;waking&#x20;the&#x20;system&#x20;and&#x20;gaining&#x20;access.','','Perform&#x20;the&#x20;following&#x20;disable&#x20;Wake&#x20;for&#x20;network&#x20;access&#x20;or&#x20;Power&#x20;Nap:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Wake&#x20;for&#x20;network&#x20;access:&#x20;sudo&#x20;pmset&#x20;-a&#x20;womp&#x20;0&#x20;','[{\"cis\": [\"2.8\"]}, {\"cis_level\": [\"1\"]}]'),(29032,'Ensure&#x20;Power&#x20;Nap&#x20;Is&#x20;Disabled.','This&#x20;feature&#x20;allows&#x20;the&#x20;computer&#x20;to&#x20;take&#x20;action&#x20;when&#x20;the&#x20;user&#x20;is&#x20;not&#x20;present&#x20;and&#x20;the&#x20;computer&#x20;is&#x20;in&#x20;energy&#x20;saving&#x20;mode.&#x20;These&#x20;tools&#x20;require&#x20;FileVault&#x20;to&#x20;remain&#x20;unlocked&#x20;and&#x20;fully&#x20;rejoin&#x20;known&#x20;networks.&#x20;This&#x20;macOS&#x20;feature&#x20;is&#x20;meant&#x20;to&#x20;allow&#x20;the&#x20;computer&#x20;to&#x20;resume&#x20;activity&#x20;as&#x20;needed&#x20;regardless&#x20;of&#x20;physical&#x20;security&#x20;controls.&#x20;Power&#x20;Nap&#x20;allows&#x20;the&#x20;system&#x20;to&#x20;stay&#x20;in&#x20;low&#x20;power&#x20;mode,&#x20;especially&#x20;while&#x20;on&#x20;battery&#x20;power&#x20;and&#x20;periodically&#x20;connect&#x20;to&#x20;previously&#x20;named&#x20;networks&#x20;with&#x20;stored&#x20;credentials&#x20;for&#x20;user&#x20;applications&#x20;to&#x20;phone&#x20;home&#x20;and&#x20;get&#x20;updates.&#x20;This&#x20;capability&#x20;requires&#x20;FileVault&#x20;to&#x20;remain&#x20;unlocked&#x20;and&#x20;the&#x20;use&#x20;of&#x20;previously&#x20;joined&#x20;networks&#x20;to&#x20;be&#x20;risk&#x20;accepted&#x20;based&#x20;on&#x20;the&#x20;SSID&#x20;without&#x20;user&#x20;input.&#x20;This&#x20;control&#x20;has&#x20;been&#x20;updated&#x20;to&#x20;check&#x20;the&#x20;status&#x20;on&#x20;both&#x20;battery&#x20;and&#x20;AC&#x20;Power.&#x20;The&#x20;presence&#x20;of&#x20;an&#x20;electrical&#x20;outlet&#x20;does&#x20;not&#x20;completely&#x20;correlate&#x20;with&#x20;logical&#x20;and&#x20;physical&#x20;security&#x20;of&#x20;the&#x20;device&#x20;or&#x20;available&#x20;networks.','Disabling&#x20;this&#x20;feature&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;remotely&#x20;waking&#x20;the&#x20;system&#x20;and&#x20;gaining&#x20;access.&#x20;The&#x20;use&#x20;of&#x20;Power&#x20;Nap&#x20;adds&#x20;to&#x20;the&#x20;risk&#x20;of&#x20;compromised&#x20;physical&#x20;and&#x20;logical&#x20;security.&#x20;The&#x20;user&#x20;should&#x20;be&#x20;able&#x20;to&#x20;decrypt&#x20;FileVault&#x20;and&#x20;have&#x20;the&#x20;applications&#x20;download&#x20;what&#x20;is&#x20;required&#x20;when&#x20;the&#x20;computer&#x20;is&#x20;actively&#x20;used.&#x20;The&#x20;control&#x20;to&#x20;prevent&#x20;computer&#x20;sleep&#x20;has&#x20;been&#x20;retired&#x20;for&#x20;this&#x20;version&#x20;of&#x20;the&#x20;Benchmark.&#x20;Forcing&#x20;the&#x20;computer&#x20;to&#x20;stay&#x20;on&#x20;and&#x20;use&#x20;energy&#x20;in&#x20;case&#x20;a&#x20;management&#x20;push&#x20;is&#x20;needed&#x20;is&#x20;contrary&#x20;to&#x20;most&#x20;current&#x20;management&#x20;processes.&#x20;Only&#x20;keep&#x20;computers&#x20;unslept&#x20;if&#x20;after&#x20;hours&#x20;pushes&#x20;are&#x20;required&#x20;on&#x20;closed&#x20;LANs.','','Perform&#x20;the&#x20;following&#x20;disable&#x20;Wake&#x20;for&#x20;network&#x20;access&#x20;or&#x20;Power&#x20;Nap:&#x20;sudo&#x20;pmset&#x20;-a&#x20;powernap&#x20;0','[{\"cis\": [\"2.9\"]}, {\"cis_level\": [\"1\"]}]'),(29033,'Ensure&#x20;Secure&#x20;Keyboard&#x20;Entry&#x20;terminal.app&#x20;is&#x20;Enabled.','Secure&#x20;Keyboard&#x20;Entry&#x20;prevents&#x20;other&#x20;applications&#x20;on&#x20;the&#x20;system&#x20;and/or&#x20;network&#x20;from&#x20;detecting&#x20;and&#x20;recording&#x20;what&#x20;is&#x20;typed&#x20;into&#x20;Terminal.','Enabling&#x20;Secure&#x20;Keyboard&#x20;Entry&#x20;minimizes&#x20;the&#x20;risk&#x20;of&#x20;a&#x20;key&#x20;logger&#x20;from&#x20;detecting&#x20;what&#x20;is&#x20;entered&#x20;in&#x20;Terminal.','','Perform&#x20;the&#x20;following&#x20;to&#x20;enable&#x20;secure&#x20;keyboard&#x20;entries&#x20;in&#x20;Terminal:&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;/usr/bin/defaults&#x20;write&#x20;-app&#x20;Terminal&#x20;SecureKeyboardEntry&#x20;-bool&#x20;true','[{\"cis\": [\"2.10\"]}, {\"cis_level\": [\"1\"]}]'),(29034,'Ensure&#x20;EFI&#x20;Version&#x20;Is&#x20;Valid&#x20;and&#x20;Checked&#x20;Regularly.','In&#x20;order&#x20;to&#x20;mitigate&#x20;firmware&#x20;attacks&#x20;Apple&#x20;has&#x20;created&#x20;an&#x20;automated&#x20;Firmware&#x20;check&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;EFI&#x20;version&#x20;running&#x20;is&#x20;a&#x20;known&#x20;good&#x20;version&#x20;from&#x20;Apple.&#x20;There&#x20;is&#x20;also&#x20;an&#x20;automated&#x20;process&#x20;to&#x20;check&#x20;it&#x20;every&#x20;seven&#x20;days.','If&#x20;the&#x20;Firmware&#x20;of&#x20;a&#x20;computer&#x20;has&#x20;been&#x20;compromised&#x20;the&#x20;Operating&#x20;System&#x20;that&#x20;the&#x20;Firmware&#x20;loads&#x20;cannot&#x20;be&#x20;trusted&#x20;either.','','If&#x20;EFI&#x20;does&#x20;not&#x20;pass&#x20;the&#x20;integrity&#x20;check&#x20;you&#x20;may&#x20;send&#x20;a&#x20;report&#x20;to&#x20;Apple.&#x20;Backing&#x20;up&#x20;files&#x20;and&#x20;clean&#x20;installing&#x20;a&#x20;known&#x20;good&#x20;Operating&#x20;System&#x20;and&#x20;Firmware&#x20;is&#x20;recommended.','[{\"cis\": [\"2.11\"]}, {\"cis_level\": [\"1\"]}]'),(29035,'Ensure&#x20;Security&#x20;Auditing&#x20;Is&#x20;Enabled.','macOS&#039;s&#x20;audit&#x20;facility,&#x20;auditd,&#x20;receives&#x20;notifications&#x20;from&#x20;the&#x20;kernel&#x20;when&#x20;certain&#x20;system&#x20;calls,&#x20;such&#x20;as&#x20;open,&#x20;fork,&#x20;and&#x20;exit,&#x20;are&#x20;made.&#x20;These&#x20;notifications&#x20;are&#x20;captured&#x20;and&#x20;written&#x20;to&#x20;an&#x20;audit&#x20;log.','Logs&#x20;generated&#x20;by&#x20;auditd&#x20;may&#x20;be&#x20;useful&#x20;when&#x20;investigating&#x20;a&#x20;security&#x20;incident&#x20;as&#x20;they&#x20;may&#x20;help&#x20;reveal&#x20;the&#x20;vulnerable&#x20;application&#x20;and&#x20;the&#x20;actions&#x20;taken&#x20;by&#x20;a&#x20;malicious&#x20;actor.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;load&#x20;auditd:&#x20;sudo&#x20;launchctl&#x20;load&#x20;-w&#x20;/System/Library/LaunchDaemons/com.apple.auditd.plist','[{\"cis\": [\"3.1\"]}, {\"cis_level\": [\"1\"]}]'),(29036,'Ensure&#x20;install.log&#x20;Is&#x20;Retained&#x20;for&#x20;365&#x20;or&#x20;More&#x20;Days&#x20;and&#x20;No&#x20;Maximum&#x20;Size.','macOS&#x20;writes&#x20;information&#x20;pertaining&#x20;to&#x20;system-related&#x20;events&#x20;to&#x20;the&#x20;file&#x20;/var/log/install.log&#x20;and&#x20;has&#x20;a&#x20;configurable&#x20;retention&#x20;policy&#x20;for&#x20;this&#x20;file.&#x20;The&#x20;default&#x20;logging&#x20;setting&#x20;limits&#x20;the&#x20;file&#x20;size&#x20;of&#x20;the&#x20;logs&#x20;and&#x20;the&#x20;maximum&#x20;size&#x20;for&#x20;all&#x20;logs.&#x20;The&#x20;default&#x20;allows&#x20;for&#x20;an&#x20;errant&#x20;application&#x20;to&#x20;fill&#x20;the&#x20;log&#x20;files&#x20;and&#x20;does&#x20;not&#x20;enforce&#x20;sufficient&#x20;log&#x20;retention.&#x20;The&#x20;Benchmark&#x20;recommends&#x20;a&#x20;value&#x20;based&#x20;on&#x20;standard&#x20;use&#x20;cases.&#x20;The&#x20;value&#x20;should&#x20;align&#x20;with&#x20;local&#x20;requirements&#x20;within&#x20;the&#x20;organization.&#x20;The&#x20;default&#x20;value&#x20;has&#x20;an&#x20;&quot;all_max&quot;&#x20;file&#x20;limitation,&#x20;no&#x20;reference&#x20;to&#x20;a&#x20;minimum&#x20;retention&#x20;and&#x20;a&#x20;less&#x20;precise&#x20;rotation&#x20;argument.&#x20;The&#x20;all_max&#x20;flag&#x20;control&#x20;will&#x20;remove&#x20;old&#x20;log&#x20;entries&#x20;based&#x20;only&#x20;on&#x20;the&#x20;size&#x20;of&#x20;the&#x20;log&#x20;files.&#x20;Log&#x20;size&#x20;can&#x20;vary&#x20;widely&#x20;depending&#x20;on&#x20;how&#x20;verbose&#x20;installing&#x20;applications&#x20;are&#x20;in&#x20;their&#x20;log&#x20;entries.&#x20;The&#x20;decision&#x20;here&#x20;is&#x20;to&#x20;ensure&#x20;that&#x20;logs&#x20;go&#x20;back&#x20;a&#x20;year&#x20;and&#x20;depending&#x20;on&#x20;the&#x20;applications&#x20;a&#x20;size&#x20;restriction&#x20;could&#x20;compromise&#x20;the&#x20;ability&#x20;to&#x20;store&#x20;a&#x20;full&#x20;year.&#x20;While&#x20;this&#x20;Benchmark&#x20;is&#x20;not&#x20;scoring&#x20;for&#x20;a&#x20;rotation&#x20;flag&#x20;the&#x20;default&#x20;rotation&#x20;is&#x20;sequential&#x20;rather&#x20;than&#x20;using&#x20;a&#x20;timestamp.&#x20;Auditors&#x20;may&#x20;prefer&#x20;timestamps&#x20;in&#x20;order&#x20;to&#x20;simply&#x20;review&#x20;specific&#x20;dates&#x20;where&#x20;event&#x20;information&#x20;is&#x20;desired.&#x20;Please&#x20;review&#x20;the&#x20;File&#x20;Rotation&#x20;section&#x20;in&#x20;the&#x20;man&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;man&#x20;asl.conf&#x20;-&#x20;The&#x20;maximum&#x20;file&#x20;size&#x20;limitation&#x20;string&#x20;should&#x20;be&#x20;removed&#x20;&quot;all_max=&quot;&#x20;-&#x20;An&#x20;organization&#x20;appropriate&#x20;retention&#x20;should&#x20;be&#x20;added&#x20;&quot;ttl=&quot;&#x20;-&#x20;The&#x20;rotation&#x20;should&#x20;be&#x20;set&#x20;with&#x20;timestamps&#x20;&quot;rotate=utc&quot;&#x20;or&#x20;&quot;rotate=local&quot;','Archiving&#x20;and&#x20;retaining&#x20;install.log&#x20;for&#x20;at&#x20;least&#x20;a&#x20;year&#x20;is&#x20;beneficial&#x20;in&#x20;the&#x20;event&#x20;of&#x20;an&#x20;incident&#x20;as&#x20;it&#x20;will&#x20;allow&#x20;the&#x20;user&#x20;to&#x20;view&#x20;the&#x20;various&#x20;changes&#x20;to&#x20;the&#x20;system&#x20;along&#x20;with&#x20;the&#x20;date&#x20;and&#x20;time&#x20;they&#x20;occurred.','','Perform&#x20;the&#x20;following&#x20;to&#x20;ensure&#x20;that&#x20;install&#x20;logs&#x20;are&#x20;retained&#x20;for&#x20;at&#x20;least&#x20;365&#x20;days:&#x20;Edit&#x20;the&#x20;/etc/asl/com.apple.install&#x20;file&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;ttl&#x20;value&#x20;to&#x20;365&#x20;or&#x20;greater&#x20;on&#x20;the&#x20;file&#x20;line.&#x20;Also,&#x20;remove&#x20;the&#x20;all_max=&#x20;setting&#x20;and&#x20;value&#x20;from&#x20;the&#x20;file&#x20;line.','[{\"cis\": [\"3.3\"]}, {\"cis_level\": [\"1\"]}]'),(29037,'Ensure&#x20;Access&#x20;to&#x20;Audit&#x20;Records&#x20;Is&#x20;Controlled.','The&#x20;audit&#x20;system&#x20;on&#x20;macOS&#x20;writes&#x20;important&#x20;operational&#x20;and&#x20;security&#x20;information&#x20;that&#x20;can&#x20;be&#x20;both&#x20;useful&#x20;for&#x20;an&#x20;attacker&#x20;and&#x20;a&#x20;place&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;attempt&#x20;to&#x20;obfuscate&#x20;unwanted&#x20;changes&#x20;that&#x20;were&#x20;recorded.&#x20;As&#x20;part&#x20;of&#x20;defense-in-depth&#x20;the&#x20;/etc/security/audit_control&#x20;configuration&#x20;and&#x20;the&#x20;files&#x20;in&#x20;/var/audit&#x20;should&#x20;be&#x20;owned&#x20;only&#x20;by&#x20;root&#x20;with&#x20;group&#x20;wheel&#x20;with&#x20;read-only&#x20;rights&#x20;and&#x20;no&#x20;other&#x20;access&#x20;allowed.&#x20;macOS&#x20;ACLs&#x20;should&#x20;not&#x20;be&#x20;used&#x20;for&#x20;these&#x20;files.','Audit&#x20;records&#x20;should&#x20;never&#x20;be&#x20;changed&#x20;except&#x20;by&#x20;the&#x20;system&#x20;daemon&#x20;posting&#x20;events.&#x20;Records&#x20;may&#x20;be&#x20;viewed&#x20;or&#x20;extracts&#x20;manipulated,&#x20;but&#x20;the&#x20;authoritative&#x20;files&#x20;should&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes.','','Run&#x20;the&#x20;following&#x20;to&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;audit&#x20;records&#x20;to&#x20;the&#x20;root&#x20;user&#x20;and&#x20;wheel&#x20;group:&#x20;sudo&#x20;chown&#x20;-R&#x20;root:wheel&#x20;/etc/security/audit_control,&#x20;sudo&#x20;chmod&#x20;-R&#x20;o-rw&#x20;/etc/security/audit_control,&#x20;sudo&#x20;chown&#x20;-R&#x20;root:wheel&#x20;/var/audit/,&#x20;sudo&#x20;chmod&#x20;-R&#x20;o-rw&#x20;/var/audit/&#x20;Note:&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;do&#x20;a&#x20;thorough&#x20;verification&#x20;process&#x20;on&#x20;why&#x20;the&#x20;audit&#x20;logs&#x20;have&#x20;been&#x20;changed&#x20;before&#x20;following&#x20;the&#x20;remediation&#x20;steps.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;different&#x20;access&#x20;controls&#x20;on&#x20;the&#x20;audit&#x20;logs,&#x20;and&#x20;the&#x20;changes&#x20;cannot&#x20;be&#x20;traced,&#x20;a&#x20;new&#x20;install&#x20;may&#x20;be&#x20;prudent.&#x20;Check&#x20;for&#x20;signs&#x20;of&#x20;file&#x20;tampering&#x20;as&#x20;well&#x20;as&#x20;unapproved&#x20;OS&#x20;changes.','[{\"cis\": [\"3.5\"]}, {\"cis_level\": [\"1\"]}]'),(29038,'Ensure&#x20;Firewall&#x20;Logging&#x20;Is&#x20;Enabled&#x20;and&#x20;Configured.','The&#x20;socketfilter&#x20;firewall&#x20;is&#x20;what&#x20;is&#x20;used&#x20;when&#x20;the&#x20;firewall&#x20;is&#x20;turned&#x20;on&#x20;in&#x20;the&#x20;Security&#x20;Preference&#x20;Pane.&#x20;In&#x20;order&#x20;to&#x20;appropriately&#x20;monitor&#x20;what&#x20;access&#x20;is&#x20;allowed&#x20;and&#x20;denied&#x20;logging&#x20;must&#x20;be&#x20;enabled.&#x20;The&#x20;logging&#x20;level&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&quot;detailed&quot;&#x20;to&#x20;be&#x20;useful&#x20;in&#x20;monitoring&#x20;connection&#x20;attempts&#x20;that&#x20;the&#x20;firewall&#x20;detects.&#x20;Throttled&#x20;login&#x20;is&#x20;not&#x20;sufficient&#x20;for&#x20;examine&#x20;firewall&#x20;connection&#x20;attempts.','In&#x20;order&#x20;to&#x20;troubleshoot&#x20;the&#x20;successes&#x20;and&#x20;failures&#x20;of&#x20;a&#x20;firewall,&#x20;detailed&#x20;logging&#x20;should&#x20;be&#x20;enabled.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;logging&#x20;of&#x20;the&#x20;firewall:&#x20;sudo&#x20;/usr/libexec/ApplicationFirewall/socketfilterfw&#x20;--setloggingmode&#x20;on.&#x20;&#x20;sudo&#x20;/usr/libexec/ApplicationFirewall/socketfilterfw&#x20;--setloggingopt&#x20;detail.','[{\"cis\": [\"3.6\"]}, {\"cis_level\": [\"1\"]}]'),(29039,'Ensure&#x20;Bonjour&#x20;Advertising&#x20;Services&#x20;Is&#x20;Disabled.','Bonjour&#x20;is&#x20;an&#x20;auto-discovery&#x20;mechanism&#x20;for&#x20;TCP/IP&#x20;devices&#x20;which&#x20;enumerate&#x20;devices&#x20;and&#x20;services&#x20;within&#x20;a&#x20;local&#x20;subnet.&#x20;DNS&#x20;on&#x20;macOS&#x20;is&#x20;integrated&#x20;with&#x20;Bonjour&#x20;and&#x20;should&#x20;not&#x20;be&#x20;turned&#x20;off,&#x20;but&#x20;the&#x20;Bonjour&#x20;advertising&#x20;service&#x20;can&#x20;be&#x20;disabled.','Bonjour&#x20;can&#x20;simplify&#x20;device&#x20;discovery&#x20;from&#x20;an&#x20;internal&#x20;rogue&#x20;or&#x20;compromised&#x20;host.&#x20;An&#x20;attacker&#x20;could&#x20;use&#x20;Bonjour&#039;s&#x20;multicast&#x20;DNS&#x20;feature&#x20;to&#x20;discover&#x20;a&#x20;vulnerable&#x20;or&#x20;poorly-&#x20;configured&#x20;service&#x20;or&#x20;additional&#x20;information&#x20;to&#x20;aid&#x20;a&#x20;targeted&#x20;attack.&#x20;Implementing&#x20;this&#x20;control&#x20;disables&#x20;the&#x20;continuous&#x20;broadcasting&#x20;of&#x20;&quot;I&#039;m&#x20;here!&quot;&#x20;messages.&#x20;Typical&#x20;end-user&#x20;endpoints&#x20;should&#x20;not&#x20;have&#x20;to&#x20;advertise&#x20;services&#x20;to&#x20;other&#x20;computers.&#x20;This&#x20;setting&#x20;does&#x20;not&#x20;stop&#x20;the&#x20;computer&#x20;from&#x20;sending&#x20;out&#x20;service&#x20;discovery&#x20;messages&#x20;when&#x20;looking&#x20;for&#x20;services&#x20;on&#x20;an&#x20;internal&#x20;subnet,&#x20;if&#x20;the&#x20;computer&#x20;is&#x20;looking&#x20;for&#x20;a&#x20;printer&#x20;or&#x20;server&#x20;and&#x20;using&#x20;service&#x20;discovery.&#x20;To&#x20;block&#x20;all&#x20;Bonjour&#x20;traffic&#x20;except&#x20;to&#x20;approved&#x20;devices&#x20;the&#x20;pf&#x20;or&#x20;other&#x20;firewall&#x20;would&#x20;be&#x20;needed.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Bonjour&#x20;Advertising&#x20;services:&#x20;sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.mDNSResponder.plist&#x20;NoMulticastAdvertisements&#x20;-bool&#x20;true','[{\"cis\": [\"4.1\"]}, {\"cis_level\": [\"2\"]}]'),(29040,'Ensure&#x20;HTTP&#x20;Server&#x20;Is&#x20;Disabled.','macOS&#x20;used&#x20;to&#x20;have&#x20;a&#x20;graphical&#x20;front-end&#x20;to&#x20;the&#x20;embedded&#x20;Apache&#x20;web&#x20;server&#x20;in&#x20;the&#x20;Operating&#x20;System.&#x20;Personal&#x20;web&#x20;sharing&#x20;could&#x20;be&#x20;enabled&#x20;to&#x20;allow&#x20;someone&#x20;on&#x20;another&#x20;computer&#x20;to&#x20;download&#x20;files&#x20;or&#x20;information&#x20;from&#x20;the&#x20;user&#039;s&#x20;computer.&#x20;Personal&#x20;web&#x20;sharing&#x20;from&#x20;a&#x20;user&#x20;endpoint&#x20;has&#x20;long&#x20;been&#x20;considered&#x20;questionable,&#x20;and&#x20;Apple&#x20;has&#x20;removed&#x20;that&#x20;capability&#x20;from&#x20;the&#x20;GUI.&#x20;Apache&#x20;however&#x20;is&#x20;still&#x20;part&#x20;of&#x20;the&#x20;Operating&#x20;System&#x20;and&#x20;can&#x20;be&#x20;easily&#x20;turned&#x20;on&#x20;to&#x20;share&#x20;files&#x20;and&#x20;provide&#x20;remote&#x20;connectivity&#x20;to&#x20;an&#x20;end-user&#x20;computer.&#x20;Web&#x20;sharing&#x20;should&#x20;only&#x20;be&#x20;done&#x20;through&#x20;hardened&#x20;web&#x20;servers&#x20;and&#x20;appropriate&#x20;cloud&#x20;services.','Web&#x20;serving&#x20;should&#x20;not&#x20;be&#x20;done&#x20;from&#x20;a&#x20;user&#x20;desktop.&#x20;Dedicated&#x20;webservers&#x20;or&#x20;appropriate&#x20;cloud&#x20;storage&#x20;should&#x20;be&#x20;used.&#x20;Open&#x20;ports&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;exploit&#x20;the&#x20;computer.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;the&#x20;http&#x20;server&#x20;services:&#x20;sudo&#x20;launchctl&#x20;disable&#x20;system/org.apache.httpd','[{\"cis\": [\"4.4\"]}, {\"cis_level\": [\"1\"]}]'),(29041,'Ensure&#x20;NFS&#x20;Server&#x20;Is&#x20;Disabled.','macOS&#x20;can&#x20;act&#x20;as&#x20;an&#x20;NFS&#x20;fileserver.&#x20;NFS&#x20;sharing&#x20;could&#x20;be&#x20;enabled&#x20;to&#x20;allow&#x20;someone&#x20;on&#x20;another&#x20;computer&#x20;to&#x20;mount&#x20;shares&#x20;and&#x20;gain&#x20;access&#x20;to&#x20;information&#x20;from&#x20;the&#x20;user&#039;s&#x20;computer.&#x20;File&#x20;sharing&#x20;from&#x20;a&#x20;user&#x20;endpoint&#x20;has&#x20;long&#x20;been&#x20;considered&#x20;questionable,&#x20;and&#x20;Apple&#x20;has&#x20;removed&#x20;that&#x20;capability&#x20;from&#x20;the&#x20;GUI.&#x20;NFSD&#x20;is&#x20;still&#x20;part&#x20;of&#x20;the&#x20;Operating&#x20;System&#x20;and&#x20;can&#x20;be&#x20;easily&#x20;turned&#x20;on&#x20;to&#x20;export&#x20;shares&#x20;and&#x20;provide&#x20;remote&#x20;connectivity&#x20;to&#x20;an&#x20;end-user&#x20;computer.','File&#x20;serving&#x20;should&#x20;not&#x20;be&#x20;done&#x20;from&#x20;a&#x20;user&#x20;desktop.&#x20;Dedicated&#x20;servers&#x20;should&#x20;be&#x20;used.&#x20;Open&#x20;ports&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;exploit&#x20;the&#x20;computer.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;the&#x20;nfsd&#x20;fileserver&#x20;services:&#x20;sudo&#x20;launchctl&#x20;disable&#x20;system/com.apple.nfsd.&#x20;Remove&#x20;the&#x20;exported&#x20;Directory&#x20;listing:&#x20;&#x20;sudo&#x20;rm&#x20;/etc/exports','[{\"cis\": [\"4.5\"]}, {\"cis_level\": [\"1\"]}]'),(29042,'Ensure&#x20;System&#x20;Integrity&#x20;Protection&#x20;Status&#x20;&#40;SIPS&#41;&#x20;Is&#x20;Enabled.','System&#x20;Integrity&#x20;Protection&#x20;is&#x20;a&#x20;security&#x20;feature&#x20;introduced&#x20;in&#x20;OS&#x20;X&#x20;10.11&#x20;El&#x20;Capitan.&#x20;System&#x20;Integrity&#x20;Protection&#x20;restricts&#x20;access&#x20;to&#x20;System&#x20;domain&#x20;locations&#x20;and&#x20;restricts&#x20;runtime&#x20;attachment&#x20;to&#x20;system&#x20;processes.&#x20;Any&#x20;attempt&#x20;to&#x20;inspect&#x20;or&#x20;attach&#x20;to&#x20;a&#x20;system&#x20;process&#x20;will&#x20;fail.&#x20;Kernel&#x20;Extensions&#x20;are&#x20;now&#x20;restricted&#x20;to&#x20;/Library/Extensions&#x20;and&#x20;are&#x20;required&#x20;to&#x20;be&#x20;signed&#x20;with&#x20;a&#x20;Developer&#x20;ID.','Running&#x20;without&#x20;System&#x20;Integrity&#x20;Protection&#x20;on&#x20;a&#x20;production&#x20;system&#x20;runs&#x20;the&#x20;risk&#x20;of&#x20;the&#x20;modification&#x20;of&#x20;system&#x20;binaries&#x20;or&#x20;code&#x20;injection&#x20;of&#x20;system&#x20;processes&#x20;that&#x20;would&#x20;otherwise&#x20;be&#x20;protected&#x20;by&#x20;SIP.','','Perform&#x20;the&#x20;following&#x20;to&#x20;enable&#x20;System&#x20;Integrity&#x20;Protection:&#x20;1.&#x20;Reboot&#x20;into&#x20;the&#x20;Recovery&#x20;Partition&#x20;&#40;reboot&#x20;and&#x20;hold&#x20;down&#x20;Command&#x20;&#40;⌘&#41;&#x20;+&#x20;R&#41;&#x20;2.&#x20;Select&#x20;Utilities&#x20;3.&#x20;Select&#x20;Terminal&#x20;4.&#x20;Run&#x20;the&#x20;following&#x20;command:&#x20;sudo&#x20;/usr/bin/csrutil&#x20;enable&#x20;Successfully&#x20;enabled&#x20;System&#x20;Integrity&#x20;Protection.&#x20;Please&#x20;restart&#x20;the&#x20;machine&#x20;for&#x20;the&#x20;changes&#x20;to&#x20;take&#x20;effect.&#x20;5.&#x20;Reboot&#x20;the&#x20;computer','[{\"cis\": [\"5.1.2\"]}, {\"cis_level\": [\"1\"]}]'),(29043,'Ensure&#x20;Apple&#x20;Mobile&#x20;File&#x20;Integrity&#x20;Is&#x20;Enabled.','Apple&#x20;Mobile&#x20;File&#x20;Integrity&#x20;was&#x20;first&#x20;released&#x20;in&#x20;macOS&#x20;10.12,&#x20;the&#x20;daemon&#x20;and&#x20;service&#x20;block&#x20;attempts&#x20;to&#x20;run&#x20;unsigned&#x20;code.&#x20;AMFI&#x20;uses&#x20;lanchd,&#x20;code&#x20;signatures,&#x20;certificates,&#x20;entitlements,&#x20;and&#x20;provisioning&#x20;profiles&#x20;to&#x20;create&#x20;a&#x20;filtered&#x20;entitlement&#x20;dictionary&#x20;for&#x20;an&#x20;app.&#x20;AMFI&#x20;is&#x20;the&#x20;macOS&#x20;kernel&#x20;module&#x20;that&#x20;enforces&#x20;code-signing&#x20;and&#x20;library&#x20;validation.','Apple&#x20;Mobile&#x20;File&#x20;Integrity&#x20;&#40;AMFI&#41;&#x20;validates&#x20;that&#x20;application&#x20;code&#x20;is&#x20;validated.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;Apple&#x20;Mobile&#x20;File&#x20;Integrity&#x20;service:&#x20;sudo&#x20;/usr/sbin/nvram&#x20;boot-args=&quot;&quot;','[{\"cis\": [\"5.1.3\"]}, {\"cis_level\": [\"1\"]}]'),(29044,'Ensure&#x20;Library&#x20;Validation&#x20;Is&#x20;Enabled.','Library&#x20;Validation&#x20;is&#x20;a&#x20;security&#x20;feature&#x20;introduced&#x20;in&#x20;macOS&#x20;10.10&#x20;Yosemite.&#x20;Library&#x20;Validation&#x20;protects&#x20;processes&#x20;from&#x20;loading&#x20;arbitrary&#x20;libraries.&#x20;This&#x20;stops&#x20;root&#x20;from&#x20;loading&#x20;arbitrary&#x20;libraries&#x20;into&#x20;any&#x20;process&#x20;&#40;depending&#x20;on&#x20;SIP&#x20;status&#41;,and&#x20;keeps&#x20;root&#x20;from&#x20;becoming&#x20;more&#x20;powerful.&#x20;Security&#x20;is&#x20;strengthened,&#x20;because&#x20;some&#x20;user&#x20;processes&#x20;can&#x20;no&#x20;longer&#x20;be&#x20;fooled&#x20;to&#x20;run&#x20;additional&#x20;code&#x20;without&#x20;root&#039;s&#x20;explicit&#x20;request,&#x20;which&#x20;may&#x20;grant&#x20;access&#x20;to&#x20;daemons&#x20;that&#x20;depend&#x20;on&#x20;Library&#x20;Validation&#x20;for&#x20;secure&#x20;validation&#x20;of&#x20;code&#x20;identity.','Running&#x20;without&#x20;Library&#x20;Validation&#x20;on&#x20;a&#x20;production&#x20;system&#x20;runs&#x20;the&#x20;risk&#x20;of&#x20;the&#x20;modification&#x20;of&#x20;system&#x20;binaries&#x20;or&#x20;code&#x20;injection&#x20;of&#x20;system&#x20;processes&#x20;that&#x20;would&#x20;otherwise&#x20;be&#x20;protected&#x20;by&#x20;Library&#x20;Validation.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;library&#x20;validation:&#x20;sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.security.libraryvalidation.plist&#x20;DisableLibraryValidation&#x20;-bool&#x20;false','[{\"cis\": [\"5.1.4\"]}, {\"cis_level\": [\"1\"]}]'),(29045,'Ensure&#x20;Sealed&#x20;System&#x20;Volume&#x20;&#40;SSV&#41;&#x20;Is&#x20;Enabled.','Sealed&#x20;System&#x20;Volume&#x20;is&#x20;a&#x20;security&#x20;feature&#x20;introduced&#x20;in&#x20;macOS&#x20;11.0&#x20;Big&#x20;Sur.&#x20;During&#x20;system&#x20;installation,&#x20;a&#x20;SHA-256&#x20;cryptographic&#x20;hash&#x20;is&#x20;calculated&#x20;for&#x20;all&#x20;immutable&#x20;system&#x20;files&#x20;and&#x20;stored&#x20;in&#x20;a&#x20;Merkle&#x20;tree&#x20;which&#x20;itself&#x20;is&#x20;hashed&#x20;as&#x20;the&#x20;Seal.&#x20;Both&#x20;are&#x20;stored&#x20;in&#x20;the&#x20;metadata&#x20;of&#x20;the&#x20;snapshot&#x20;created&#x20;of&#x20;the&#x20;System&#x20;volume.&#x20;The&#x20;seal&#x20;is&#x20;verified&#x20;by&#x20;the&#x20;boot&#x20;loader&#x20;at&#x20;startup.&#x20;macOS&#x20;will&#x20;not&#x20;boot&#x20;if&#x20;system&#x20;files&#x20;have&#x20;been&#x20;tampered&#x20;with.&#x20;If&#x20;validation&#x20;fails,&#x20;the&#x20;user&#x20;will&#x20;be&#x20;instructed&#x20;to&#x20;reinstall&#x20;the&#x20;operating&#x20;system.&#x20;During&#x20;read&#x20;operations&#x20;for&#x20;files&#x20;located&#x20;in&#x20;the&#x20;Sealed&#x20;System&#x20;Volume,&#x20;a&#x20;hash&#x20;is&#x20;calculated&#x20;and&#x20;compared&#x20;to&#x20;the&#x20;value&#x20;stored&#x20;in&#x20;the&#x20;Merkle&#x20;tree.','Running&#x20;without&#x20;Sealed&#x20;System&#x20;Volume&#x20;on&#x20;a&#x20;production&#x20;system&#x20;could&#x20;run&#x20;the&#x20;risk&#x20;of&#x20;Apple&#x20;software,&#x20;that&#x20;integrates&#x20;directly&#x20;with&#x20;macOS,&#x20;being&#x20;modified.','','Perform&#x20;the&#x20;following&#x20;to&#x20;enable&#x20;System&#x20;Integrity&#x20;Protection:&#x20;1.&#x20;Reboot&#x20;into&#x20;the&#x20;Recovery&#x20;Partition&#x20;&#40;reboot&#x20;and&#x20;hold&#x20;down&#x20;Command&#x20;&#40;⌘&#41;&#x20;+&#x20;R&#41;&#x20;2.&#x20;Select&#x20;an&#x20;administrator&#039;s&#x20;account&#x20;and&#x20;enter&#x20;that&#x20;account&#039;s&#x20;password&#x20;3.&#x20;Select&#x20;Utilities&#x20;4.&#x20;Select&#x20;Terminal&#x20;5.&#x20;Run&#x20;the&#x20;following&#x20;command:&#x20;sudo&#x20;/usr/bin/csrutil&#x20;enable&#x20;authenticated-root&#x20;6.&#x20;Reboot&#x20;the&#x20;computer.','[{\"cis\": [\"5.1.5\"]}, {\"cis_level\": [\"1\"]}]'),(29046,'Ensure&#x20;Appropriate&#x20;Permissions&#x20;Are&#x20;Enabled&#x20;for&#x20;System&#x20;Wide&#x20;Applications.','Applications&#x20;in&#x20;the&#x20;System&#x20;Applications&#x20;Directory&#x20;&#40;/Applications&#41;&#x20;should&#x20;be&#x20;world&#x20;executable&#x20;since&#x20;that&#x20;is&#x20;their&#x20;reason&#x20;to&#x20;be&#x20;on&#x20;the&#x20;system.&#x20;They&#x20;should&#x20;not&#x20;be&#x20;world-writable&#x20;and&#x20;allow&#x20;any&#x20;process&#x20;or&#x20;user&#x20;to&#x20;alter&#x20;them&#x20;for&#x20;other&#x20;processes&#x20;or&#x20;users&#x20;to&#x20;then&#x20;execute&#x20;modified&#x20;versions.','Unauthorized&#x20;modifications&#x20;of&#x20;applications&#x20;could&#x20;lead&#x20;to&#x20;the&#x20;execution&#x20;of&#x20;malicious&#x20;code.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;the&#x20;permissions&#x20;for&#x20;each&#x20;application&#x20;that&#x20;does&#x20;not&#x20;meet&#x20;the&#x20;requirements:&#x20;sudo&#x20;chmod&#x20;-R&#x20;o-w&#x20;/Applications/&lt;applicationname&gt;','[{\"cis\": [\"5.1.6\"]}, {\"cis_level\": [\"1\"]}]'),(29047,'Ensure&#x20;No&#x20;World&#x20;Writable&#x20;Files&#x20;Exist&#x20;in&#x20;the&#x20;System&#x20;Folder.','Software&#x20;sometimes&#x20;insists&#x20;on&#x20;being&#x20;installed&#x20;in&#x20;the&#x20;/System/Volumes/Data/SystemDirectory&#x20;and&#x20;have&#x20;inappropriate&#x20;world-writable&#x20;permissions.','Folders&#x20;in&#x20;/System/Volumes/Data/System&#x20;should&#x20;not&#x20;be&#x20;world-writable.&#x20;The&#x20;audit&#x20;check&#x20;excludes&#x20;the&#x20;&quot;Drop&#x20;Box&quot;&#x20;folder&#x20;that&#x20;is&#x20;part&#x20;of&#x20;Apple&#039;s&#x20;default&#x20;user&#x20;template.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;so&#x20;that&#x20;folders&#x20;are&#x20;not&#x20;world&#x20;writable&#x20;in&#x20;the&#x20;/System&#x20;folder:&#x20;sudo&#x20;chmod&#x20;-R&#x20;o-w&#x20;/Path/&lt;baddirectory&gt;','[{\"cis\": [\"5.1.7\"]}, {\"cis_level\": [\"1\"]}]'),(29048,'Ensure&#x20;No&#x20;World&#x20;Writable&#x20;Files&#x20;Exist&#x20;in&#x20;the&#x20;Library&#x20;Folder.','Software&#x20;sometimes&#x20;insists&#x20;on&#x20;being&#x20;installed&#x20;in&#x20;the&#x20;/Library&#x20;Directory&#x20;and&#x20;have&#x20;inappropriate&#x20;world-writable&#x20;permissions.','Folders&#x20;in&#x20;/System/Volumes/Data/Library&#x20;should&#x20;not&#x20;be&#x20;world-writable.&#x20;The&#x20;audit&#x20;check&#x20;excludes&#x20;the&#x20;/System/Volumes/Data/Library/Caches&#x20;and&#x20;/System/Volumes/Data/Library/Preferences/Audio/Data&#x20;folders&#x20;where&#x20;the&#x20;sticky&#x20;bit&#x20;is&#x20;set.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;permissions&#x20;so&#x20;that&#x20;folders&#x20;are&#x20;not&#x20;world&#x20;writable&#x20;in&#x20;the&#x20;/System/Volumes/Data/Library&#x20;folder:&#x20;sudo&#x20;/bin/chmod&#x20;-R&#x20;o-w&#x20;/System/Volumes/Data/Library/&lt;baddirectory&gt;','[{\"cis\": [\"5.1.8\"]}, {\"cis_level\": [\"2\"]}]'),(29049,'Ensure&#x20;the&#x20;Sudo&#x20;Timeout&#x20;Period&#x20;Is&#x20;Set&#x20;to&#x20;Zero.','The&#x20;sudo&#x20;command&#x20;allows&#x20;the&#x20;user&#x20;to&#x20;run&#x20;programs&#x20;as&#x20;the&#x20;root&#x20;user.&#x20;Working&#x20;as&#x20;the&#x20;root&#x20;user&#x20;allows&#x20;the&#x20;user&#x20;an&#x20;extremely&#x20;high&#x20;level&#x20;of&#x20;configurability&#x20;within&#x20;the&#x20;system.&#x20;This&#x20;control&#x20;along&#x20;with&#x20;the&#x20;control&#x20;to&#x20;use&#x20;a&#x20;separate&#x20;timestamp&#x20;for&#x20;each&#x20;tty&#x20;limits&#x20;the&#x20;window&#x20;where&#x20;an&#x20;unauthorized&#x20;user,&#x20;process&#x20;or&#x20;attacker&#x20;could&#x20;utilize&#x20;legitimate&#x20;credentials&#x20;that&#x20;are&#x20;valid&#x20;for&#x20;longer&#x20;than&#x20;required.','The&#x20;sudo&#x20;command&#x20;stays&#x20;logged&#x20;in&#x20;as&#x20;the&#x20;root&#x20;user&#x20;for&#x20;five&#x20;minutes&#x20;before&#x20;timing&#x20;out&#x20;and&#x20;re-requesting&#x20;a&#x20;password.&#x20;This&#x20;five-minute&#x20;window&#x20;should&#x20;be&#x20;eliminated&#x20;since&#x20;it&#x20;leaves&#x20;the&#x20;system&#x20;extremely&#x20;vulnerable.&#x20;This&#x20;is&#x20;especially&#x20;true&#x20;if&#x20;an&#x20;exploit&#x20;were&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system,&#x20;since&#x20;they&#x20;would&#x20;be&#x20;able&#x20;to&#x20;make&#x20;changes&#x20;as&#x20;a&#x20;root&#x20;user.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;edit&#x20;the&#x20;sudo&#x20;settings:&#x20;sudo&#x20;visudo.&#x20;Add&#x20;the&#x20;line&#x20;&#039;Defaults&#x20;timestamp_timeout=0&#039;&#x20;in&#x20;the&#x20;Override&#x20;built-in&#x20;defaults&#x20;section.&#x20;','[{\"cis\": [\"5.3\"]}, {\"cis_level\": [\"1\"]}]'),(29050,'Ensure&#x20;a&#x20;Separate&#x20;Timestamp&#x20;Is&#x20;Enabled&#x20;for&#x20;Each&#x20;User/tty&#x20;Combo.','Using&#x20;tty&#x20;tickets&#x20;ensures&#x20;that&#x20;a&#x20;user&#x20;must&#x20;enter&#x20;the&#x20;sudo&#x20;password&#x20;in&#x20;each&#x20;Terminal&#x20;session.&#x20;With&#x20;sudo&#x20;versions&#x20;1.8&#x20;and&#x20;higher,&#x20;introduced&#x20;in&#x20;10.12,&#x20;the&#x20;default&#x20;value&#x20;is&#x20;to&#x20;have&#x20;tty&#x20;tickets&#x20;for&#x20;each&#x20;interface&#x20;so&#x20;that&#x20;root&#x20;access&#x20;is&#x20;limited&#x20;to&#x20;a&#x20;specific&#x20;terminal.&#x20;The&#x20;default&#x20;configuration&#x20;can&#x20;be&#x20;overwritten&#x20;or&#x20;not&#x20;configured&#x20;correctly&#x20;on&#x20;earlier&#x20;versions&#x20;of&#x20;macOS.','In&#x20;combination&#x20;with&#x20;removing&#x20;the&#x20;sudo&#x20;timeout&#x20;grace&#x20;period,&#x20;a&#x20;further&#x20;mitigation&#x20;should&#x20;be&#x20;in&#x20;place&#x20;to&#x20;reduce&#x20;the&#x20;possibility&#x20;of&#x20;a&#x20;background&#x20;process&#x20;using&#x20;elevated&#x20;rights&#x20;when&#x20;a&#x20;user&#x20;elevates&#x20;to&#x20;root&#x20;in&#x20;an&#x20;explicit&#x20;context&#x20;or&#x20;tty.&#x20;Additional&#x20;mitigation&#x20;should&#x20;be&#x20;in&#x20;place&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;privilege&#x20;escalation&#x20;of&#x20;background&#x20;processes.','','Edit&#x20;the&#x20;/etc/sudoers&#x20;file&#x20;with&#x20;visudo&#x20;and&#x20;remove&#x20;!tty_tickets&#x20;from&#x20;any&#x20;Defaults&#x20;line.&#x20;If&#x20;there&#x20;is&#x20;a&#x20;Default&#x20;line&#x20;of&#x20;timestamp_type=&#x20;with&#x20;a&#x20;value&#x20;other&#x20;than&#x20;tty,&#x20;change&#x20;the&#x20;value&#x20;to&#x20;tty&#x20;If&#x20;there&#x20;is&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/sudoers.d/&#x20;folder&#x20;that&#x20;contains&#x20;Defaults&#x20;!tty_tickets,&#x20;edit&#x20;the&#x20;file&#x20;and&#x20;remove&#x20;!tty_tickets&#x20;from&#x20;any&#x20;Defaults&#x20;line.&#x20;If&#x20;there&#x20;is&#x20;a&#x20;file&#x20;/etc/sudoers.d/&#x20;folder&#x20;that&#x20;contains&#x20;a&#x20;Default&#x20;line&#x20;of&#x20;timestamp_type=&#x20;with&#x20;a&#x20;value&#x20;other&#x20;than&#x20;tty,&#x20;change&#x20;the&#x20;value&#x20;to&#x20;tty.','[{\"cis\": [\"5.4\"]}, {\"cis_level\": [\"1\"]}]'),(29051,'Ensure&#x20;the&#x20;&quot;root&quot;&#x20;Account&#x20;Is&#x20;Disabled','The&#x20;root&#x20;account&#x20;is&#x20;a&#x20;superuser&#x20;account&#x20;that&#x20;has&#x20;access&#x20;privileges&#x20;to&#x20;perform&#x20;any&#x20;actions&#x20;and&#x20;read/write&#x20;to&#x20;any&#x20;file&#x20;on&#x20;the&#x20;computer.&#x20;With&#x20;some&#x20;Linux&#x20;distros&#x20;the&#x20;system&#x20;administrator&#x20;may&#x20;commonly&#x20;use&#x20;the&#x20;root&#x20;account&#x20;to&#x20;perform&#x20;administrative&#x20;functions.','Enabling&#x20;and&#x20;using&#x20;the&#x20;root&#x20;account&#x20;puts&#x20;the&#x20;system&#x20;at&#x20;risk&#x20;since&#x20;any&#x20;successful&#x20;exploit&#x20;or&#x20;mistake&#x20;while&#x20;the&#x20;root&#x20;account&#x20;is&#x20;in&#x20;use&#x20;could&#x20;have&#x20;unlimited&#x20;access&#x20;privileges&#x20;within&#x20;the&#x20;system.&#x20;Using&#x20;the&#x20;sudo&#x20;command&#x20;allows&#x20;users&#x20;to&#x20;perform&#x20;functions&#x20;as&#x20;a&#x20;root&#x20;user&#x20;while&#x20;limiting&#x20;and&#x20;password&#x20;protecting&#x20;the&#x20;access&#x20;privileges.&#x20;By&#x20;default&#x20;the&#x20;root&#x20;account&#x20;is&#x20;not&#x20;enabled&#x20;on&#x20;a&#x20;macOS&#x20;computer.&#x20;An&#x20;administrator&#x20;can&#x20;escalate&#x20;privileges&#x20;using&#x20;the&#x20;sudo&#x20;command&#x20;&#40;use&#x20;-s&#x20;or&#x20;-i&#x20;to&#x20;get&#x20;a&#x20;root&#x20;shell&#41;.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;the&#x20;root&#x20;user:&#x20;sudo&#x20;/usr/sbin/dsenableroot&#x20;-d','[{\"cis\": [\"5.6\"]}, {\"cis_level\": [\"1\"]}]'),(29052,'Ensure&#x20;Automatic&#x20;Login&#x20;Is&#x20;Disabled.','The&#x20;automatic&#x20;login&#x20;feature&#x20;saves&#x20;a&#x20;user&#039;s&#x20;system&#x20;access&#x20;credentials&#x20;and&#x20;bypasses&#x20;the&#x20;login&#x20;screen.&#x20;Instead,&#x20;the&#x20;system&#x20;automatically&#x20;loads&#x20;to&#x20;the&#x20;user&#039;s&#x20;desktop&#x20;screen.','Disabling&#x20;automatic&#x20;login&#x20;decreases&#x20;the&#x20;likelihood&#x20;of&#x20;an&#x20;unauthorized&#x20;person&#x20;gaining&#x20;access&#x20;to&#x20;a&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;automatic&#x20;login:&#x20;sudo&#x20;defaults&#x20;delete&#x20;/Library/Preferences/com.apple.loginwindow&#x20;autoLoginUser','[{\"cis\": [\"5.7\"]}, {\"cis_level\": [\"1\"]}]'),(29053,'Require&#x20;an&#x20;administrator&#x20;password&#x20;to&#x20;access&#x20;system-wide&#x20;preferences.','System&#x20;Preferences&#x20;controls&#x20;system&#x20;and&#x20;user&#x20;settings&#x20;on&#x20;a&#x20;macOS&#x20;Computer.&#x20;System&#x20;Preferences&#x20;allows&#x20;the&#x20;user&#x20;to&#x20;tailor&#x20;their&#x20;experience&#x20;on&#x20;the&#x20;computer&#x20;as&#x20;well&#x20;as&#x20;allowing&#x20;the&#x20;System&#x20;Administrator&#x20;to&#x20;configure&#x20;global&#x20;security&#x20;settings.&#x20;Some&#x20;of&#x20;the&#x20;settings&#x20;should&#x20;only&#x20;be&#x20;altered&#x20;by&#x20;the&#x20;person&#x20;responsible&#x20;for&#x20;the&#x20;computer.','By&#x20;requiring&#x20;a&#x20;password&#x20;to&#x20;unlock&#x20;system-wide&#x20;System&#x20;Preferences&#x20;the&#x20;risk&#x20;is&#x20;mitigated&#x20;of&#x20;a&#x20;user&#x20;changing&#x20;configurations&#x20;that&#x20;affect&#x20;the&#x20;entire&#x20;system&#x20;and&#x20;requires&#x20;an&#x20;admin&#x20;user&#x20;to&#x20;re-authenticate&#x20;to&#x20;make&#x20;changes.','','The&#x20;authorizationdb&#x20;settings&#x20;cannot&#x20;be&#x20;written&#x20;to&#x20;directly,&#x20;so&#x20;the&#x20;plist&#x20;must&#x20;be&#x20;exported&#x20;out&#x20;to&#x20;temporary&#x20;file.&#x20;Changes&#x20;can&#x20;be&#x20;made&#x20;to&#x20;the&#x20;temporary&#x20;plist,&#x20;then&#x20;imported&#x20;back&#x20;into&#x20;the&#x20;authorizationdb&#x20;settings.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;enable&#x20;that&#x20;an&#x20;administrator&#x20;password&#x20;is&#x20;required&#x20;to&#x20;access&#x20;system-wide&#x20;preferences:&#x20;$&#x20;sudo&#x20;security&#x20;authorizationdb&#x20;read&#x20;system.preferences&#x20;&gt;&#x20;/tmp/system.preferences.plist&#x20;$&#x20;sudo&#x20;defaults&#x20;write&#x20;/tmp/system.preferences.plist&#x20;shared&#x20;-bool&#x20;false&#x20;$&#x20;sudo&#x20;security&#x20;authorizationdb&#x20;write&#x20;system.preferences&#x20;&lt;&#x20;/tmp/system.preferences.plist','[{\"cis\": [\"5.10\"]}, {\"cis_level\": [\"1\"]}]'),(29054,'Ensure&#x20;an&#x20;administrator&#x20;account&#x20;cannot&#x20;login&#x20;to&#x20;another&#x20;user&#039;s&#x20;active&#x20;and&#x20;locked&#x20;session.','macOS&#x20;has&#x20;a&#x20;privilege&#x20;that&#x20;can&#x20;be&#x20;granted&#x20;to&#x20;any&#x20;user&#x20;that&#x20;will&#x20;allow&#x20;that&#x20;user&#x20;to&#x20;unlock&#x20;active&#x20;user&#039;s&#x20;sessions.','Disabling&#x20;the&#x20;admins&#x20;and/or&#x20;user&#039;s&#x20;ability&#x20;to&#x20;log&#x20;into&#x20;another&#x20;user&#039;s&#x20;active&#x20;and&#x20;locked&#x20;session&#x20;prevents&#x20;unauthorized&#x20;persons&#x20;from&#x20;viewing&#x20;potentially&#x20;sensitive&#x20;and/or&#x20;personal&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;a&#x20;user&#x20;logging&#x20;into&#x20;another&#x20;user&#039;s&#x20;active&#x20;and/or&#x20;locked&#x20;session:&#x20;sudo&#x20;security&#x20;authorizationdb&#x20;write&#x20;system.login.screensaver&#x20;use-login-window-ui','[{\"cis\": [\"5.11\"]}, {\"cis_level\": [\"1\"]}]'),(29055,'Ensure&#x20;a&#x20;Custom&#x20;Message&#x20;for&#x20;the&#x20;Login&#x20;Screen&#x20;Is&#x20;Enabled.','An&#x20;access&#x20;warning&#x20;informs&#x20;the&#x20;user&#x20;that&#x20;the&#x20;system&#x20;is&#x20;reserved&#x20;for&#x20;authorized&#x20;use&#x20;only,&#x20;and&#x20;that&#x20;the&#x20;use&#x20;of&#x20;the&#x20;system&#x20;may&#x20;be&#x20;monitored.','An&#x20;access&#x20;warning&#x20;may&#x20;reduce&#x20;a&#x20;casual&#x20;attacker&#039;s&#x20;tendency&#x20;to&#x20;target&#x20;the&#x20;system.&#x20;Access&#x20;warnings&#x20;may&#x20;also&#x20;aid&#x20;in&#x20;the&#x20;prosecution&#x20;of&#x20;an&#x20;attacker&#x20;by&#x20;evincing&#x20;the&#x20;attacker&#039;s&#x20;knowledge&#x20;of&#x20;the&#x20;system&#039;s&#x20;private&#x20;status,&#x20;acceptable&#x20;use&#x20;policy,&#x20;and&#x20;authorization&#x20;requirements.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;a&#x20;custom&#x20;login&#x20;screen&#x20;message:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;LoginwindowText&#x20;&quot;&lt;custom.message&gt;&quot;','[{\"cis\": [\"5.12\"]}, {\"cis_level\": [\"1\"]}]'),(29056,'Ensure&#x20;a&#x20;Login&#x20;Window&#x20;Banner&#x20;Exists.','A&#x20;Login&#x20;window&#x20;banner&#x20;warning&#x20;informs&#x20;the&#x20;user&#x20;that&#x20;the&#x20;system&#x20;is&#x20;reserved&#x20;for&#x20;authorized&#x20;use&#x20;only.&#x20;It&#x20;enforces&#x20;an&#x20;acknowledgment&#x20;by&#x20;the&#x20;user&#x20;that&#x20;they&#x20;have&#x20;been&#x20;informed&#x20;of&#x20;the&#x20;use&#x20;policy&#x20;in&#x20;the&#x20;banner&#x20;if&#x20;required.&#x20;The&#x20;system&#x20;recognizes&#x20;either&#x20;the&#x20;.txt&#x20;and&#x20;the&#x20;.rtf&#x20;formats.','An&#x20;access&#x20;warning&#x20;may&#x20;reduce&#x20;a&#x20;casual&#x20;attacker&#039;s&#x20;tendency&#x20;to&#x20;target&#x20;the&#x20;system.&#x20;Access&#x20;warnings&#x20;may&#x20;also&#x20;aid&#x20;in&#x20;the&#x20;prosecution&#x20;of&#x20;an&#x20;attacker&#x20;by&#x20;evincing&#x20;the&#x20;attacker&#039;s&#x20;knowledge&#x20;of&#x20;the&#x20;system&#039;s&#x20;private&#x20;status,&#x20;acceptable&#x20;use&#x20;policy,&#x20;and&#x20;authorization&#x20;requirements.','','Edit&#x20;&#40;or&#x20;create&#41;&#x20;a&#x20;PolicyBanner.txt&#x20;or&#x20;PolicyBanner.rtf&#x20;file,&#x20;in&#x20;the&#x20;/Library/Security/&#x20;folder,&#x20;to&#x20;include&#x20;the&#x20;required&#x20;login&#x20;window&#x20;banner&#x20;text.','[{\"cis\": [\"5.13\"]}, {\"cis_level\": [\"2\"]}]'),(29057,'Ensure&#x20;Fast&#x20;User&#x20;Switching&#x20;Is&#x20;Disabled.','Fast&#x20;user&#x20;switching&#x20;allows&#x20;a&#x20;person&#x20;to&#x20;quickly&#x20;log&#x20;in&#x20;to&#x20;the&#x20;computer&#x20;with&#x20;a&#x20;different&#x20;account.&#x20;While&#x20;only&#x20;a&#x20;minimal&#x20;security&#x20;risk,&#x20;when&#x20;a&#x20;second&#x20;user&#x20;is&#x20;logged&#x20;in,&#x20;that&#x20;user&#x20;might&#x20;be&#x20;able&#x20;to&#x20;see&#x20;what&#x20;processes&#x20;the&#x20;first&#x20;user&#x20;is&#x20;using,&#x20;or&#x20;possibly&#x20;gain&#x20;other&#x20;information&#x20;about&#x20;the&#x20;first&#x20;user.&#x20;In&#x20;a&#x20;large&#x20;directory&#x20;environment&#x20;where&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;limit&#x20;log&#x20;in&#x20;access&#x20;many&#x20;valid&#x20;users&#x20;can&#x20;login&#x20;to&#x20;other&#x20;user&#039;s&#x20;assigned&#x20;computers.','Fast&#x20;user&#x20;switching&#x20;allows&#x20;multiple&#x20;users&#x20;to&#x20;run&#x20;applications&#x20;simultaneously&#x20;at&#x20;console.&#x20;There&#x20;can&#x20;be&#x20;information&#x20;disclosed&#x20;about&#x20;processes&#x20;running&#x20;under&#x20;a&#x20;different&#x20;user.&#x20;Without&#x20;a&#x20;specific&#x20;configuration&#x20;to&#x20;save&#x20;data&#x20;and&#x20;log&#x20;out&#x20;users&#x20;can&#x20;have&#x20;unsaved&#x20;data&#x20;running&#x20;in&#x20;a&#x20;background&#x20;session&#x20;that&#x20;is&#x20;not&#x20;obvious.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;turn&#x20;fast&#x20;user&#x20;switching&#x20;off:&#x20;sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/.GlobalPreferences&#x20;MultipleSessionEnabled&#x20;-bool&#x20;false','[{\"cis\": [\"5.15\"]}, {\"cis_level\": [\"2\"]}]'),(29058,'Ensure&#x20;Login&#x20;Window&#x20;Displays&#x20;as&#x20;Name&#x20;and&#x20;Password&#x20;Is&#x20;Enabled.','The&#x20;login&#x20;window&#x20;prompts&#x20;a&#x20;user&#x20;for&#x20;his/her&#x20;credentials,&#x20;verifies&#x20;their&#x20;authorization&#x20;level&#x20;and&#x20;then&#x20;allows&#x20;or&#x20;denies&#x20;the&#x20;user&#x20;access&#x20;to&#x20;the&#x20;system.','Prompting&#x20;the&#x20;user&#x20;to&#x20;enter&#x20;both&#x20;their&#x20;username&#x20;and&#x20;password&#x20;makes&#x20;it&#x20;twice&#x20;as&#x20;hard&#x20;for&#x20;unauthorized&#x20;users&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system&#x20;since&#x20;they&#x20;must&#x20;discover&#x20;two&#x20;attributes.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;login&#x20;window&#x20;to&#x20;display&#x20;name&#x20;and&#x20;password:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;SHOWFULLNAME&#x20;-bool&#x20;true','[{\"cis\": [\"6.1.1\"]}, {\"cis_level\": [\"1\"]}]'),(29059,'Ensure&#x20;Show&#x20;Password&#x20;Hints&#x20;Is&#x20;Disabled.','Password&#x20;hints&#x20;are&#x20;user-created&#x20;text&#x20;displayed&#x20;when&#x20;an&#x20;incorrect&#x20;password&#x20;is&#x20;used&#x20;for&#x20;an&#x20;account.','Password&#x20;hints&#x20;make&#x20;it&#x20;easier&#x20;for&#x20;unauthorized&#x20;persons&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;systems&#x20;by&#x20;providing&#x20;information&#x20;to&#x20;anyone&#x20;that&#x20;the&#x20;user&#x20;provided&#x20;to&#x20;assist&#x20;in&#x20;remembering&#x20;the&#x20;password.&#x20;This&#x20;info&#x20;could&#x20;include&#x20;the&#x20;password&#x20;itself&#x20;or&#x20;other&#x20;information&#x20;that&#x20;might&#x20;be&#x20;readily&#x20;discerned&#x20;with&#x20;basic&#x20;knowledge&#x20;of&#x20;the&#x20;end&#x20;user.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;password&#x20;hints:&#x20;sudo&#x20;defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;RetriesUntilHint&#x20;-int&#x20;0','[{\"cis\": [\"6.1.2\"]}, {\"cis_level\": [\"1\"]}]'),(29060,'Ensure&#x20;Guest&#x20;Account&#x20;Is&#x20;Disabled.','The&#x20;guest&#x20;account&#x20;allows&#x20;users&#x20;access&#x20;to&#x20;the&#x20;system&#x20;without&#x20;having&#x20;to&#x20;create&#x20;an&#x20;account&#x20;or&#x20;password.&#x20;Guest&#x20;users&#x20;are&#x20;unable&#x20;to&#x20;make&#x20;setting&#x20;changes&#x20;cannot&#x20;remotely&#x20;login&#x20;to&#x20;the&#x20;system.&#x20;All&#x20;files,&#x20;caches,&#x20;and&#x20;passwords&#x20;created&#x20;by&#x20;the&#x20;guest&#x20;user&#x20;are&#x20;deleted&#x20;upon&#x20;logging&#x20;out.','Disabling&#x20;the&#x20;guest&#x20;account&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;untrusted&#x20;user&#x20;doing&#x20;basic&#x20;reconnaissance&#x20;and&#x20;possibly&#x20;using&#x20;privilege&#x20;escalation&#x20;attacks&#x20;to&#x20;take&#x20;control&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;the&#x20;guest&#x20;account:&#x20;sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;GuestEnabled&#x20;-bool&#x20;false','[{\"cis\": [\"6.1.3\"]}, {\"cis_level\": [\"1\"]}]'),(29061,'Ensure&#x20;Guest&#x20;Access&#x20;to&#x20;Shared&#x20;Folders&#x20;Is&#x20;Disabled.','Allowing&#x20;guests&#x20;to&#x20;connect&#x20;to&#x20;shared&#x20;folders&#x20;enables&#x20;users&#x20;to&#x20;access&#x20;selected&#x20;shared&#x20;folders&#x20;and&#x20;their&#x20;contents&#x20;from&#x20;different&#x20;computers&#x20;on&#x20;a&#x20;network.','Not&#x20;allowing&#x20;guests&#x20;to&#x20;connect&#x20;to&#x20;shared&#x20;folders&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;untrusted&#x20;user&#x20;doing&#x20;basic&#x20;reconnaissance&#x20;and&#x20;possibly&#x20;use&#x20;privilege&#x20;escalation&#x20;attacks&#x20;to&#x20;take&#x20;control&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;verify&#x20;that&#x20;shared&#x20;folders&#x20;are&#x20;not&#x20;accessible&#x20;to&#x20;guest&#x20;users:&#x20;sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/SystemConfiguration/com.apple.smb.server&#x20;AllowGuestAccess&#x20;-bool&#x20;false','[{\"cis\": [\"6.1.4\"]}, {\"cis_level\": [\"1\"]}]'),(29062,'Ensure&#x20;the&#x20;Guest&#x20;Home&#x20;Folder&#x20;Does&#x20;Not&#x20;Exist.','In&#x20;the&#x20;previous&#x20;two&#x20;controls&#x20;the&#x20;guest&#x20;account&#x20;login&#x20;has&#x20;been&#x20;disabled&#x20;and&#x20;sharing&#x20;to&#x20;guests&#x20;has&#x20;been&#x20;disabled&#x20;as&#x20;well.&#x20;There&#x20;is&#x20;no&#x20;need&#x20;for&#x20;the&#x20;legacy&#x20;Guest&#x20;home&#x20;folder&#x20;to&#x20;remain&#x20;in&#x20;the&#x20;file&#x20;system.&#x20;When&#x20;normal&#x20;user&#x20;accounts&#x20;are&#x20;removed&#x20;you&#x20;have&#x20;the&#x20;option&#x20;to&#x20;archive&#x20;it,&#x20;leave&#x20;it&#x20;in&#x20;place&#x20;or&#x20;delete.&#x20;In&#x20;the&#x20;case&#x20;of&#x20;the&#x20;guest&#x20;folder&#x20;the&#x20;folder&#x20;remains&#x20;in&#x20;place&#x20;without&#x20;a&#x20;GUI&#x20;option&#x20;to&#x20;remove&#x20;it.&#x20;If&#x20;at&#x20;some&#x20;point&#x20;in&#x20;the&#x20;future&#x20;a&#x20;Guest&#x20;account&#x20;is&#x20;needed&#x20;it&#x20;will&#x20;be&#x20;re-created.&#x20;The&#x20;presence&#x20;of&#x20;the&#x20;Guest&#x20;home&#x20;folder&#x20;can&#x20;cause&#x20;automated&#x20;audits&#x20;to&#x20;fail&#x20;when&#x20;looking&#x20;for&#x20;compliant&#x20;settings&#x20;within&#x20;all&#x20;User&#x20;folders&#x20;as&#x20;well.&#x20;Rather&#x20;than&#x20;ignoring&#x20;the&#x20;folder&#039;s&#x20;continued&#x20;existence,&#x20;it&#x20;is&#x20;best&#x20;removed.','The&#x20;Guest&#x20;home&#x20;folders&#x20;are&#x20;unneeded&#x20;after&#x20;the&#x20;Guest&#x20;account&#x20;is&#x20;disabled&#x20;and&#x20;could&#x20;be&#x20;used&#x20;inappropriately.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;Guest&#x20;user&#x20;home&#x20;folder:&#x20;sudo&#x20;/bin/rm&#x20;-R&#x20;/Users/Guest','[{\"cis\": [\"6.1.5\"]}, {\"cis_level\": [\"1\"]}]'),(29063,'Ensure&#x20;Show&#x20;All&#x20;Filename&#x20;Extensions&#x20;Setting&#x20;is&#x20;Enabled.','A&#x20;filename&#x20;extension&#x20;is&#x20;a&#x20;suffix&#x20;added&#x20;to&#x20;a&#x20;base&#x20;filename&#x20;that&#x20;indicates&#x20;the&#x20;base&#x20;filename&#039;s&#x20;file&#x20;format.','Visible&#x20;filename&#x20;extensions&#x20;allow&#x20;the&#x20;user&#x20;to&#x20;identify&#x20;the&#x20;file&#x20;type&#x20;and&#x20;the&#x20;application&#x20;it&#x20;is&#x20;associated&#x20;with&#x20;which&#x20;leads&#x20;to&#x20;quick&#x20;identification&#x20;of&#x20;misrepresented&#x20;malicious&#x20;files.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;displaying&#x20;of&#x20;file&#x20;extensions:&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;/usr/bin/defaults&#x20;write&#x20;/Users/&lt;username&gt;/Library/Preferences/.GlobalPreferences.plist&#x20;AppleShowAllExtensions&#x20;-bool&#x20;true','[{\"cis\": [\"6.2\"]}, {\"cis_level\": [\"1\"]}]'),(29064,'Ensure&#x20;Automatic&#x20;Opening&#x20;of&#x20;Safe&#x20;Files&#x20;in&#x20;Safari&#x20;Is&#x20;Disabled.','Safari&#x20;will&#x20;automatically&#x20;run&#x20;or&#x20;execute&#x20;what&#x20;it&#x20;considers&#x20;safe&#x20;files.&#x20;This&#x20;can&#x20;include&#x20;installers&#x20;and&#x20;other&#x20;files&#x20;that&#x20;execute&#x20;on&#x20;the&#x20;operating&#x20;system.&#x20;Safari&#x20;bases&#x20;file&#x20;safety&#x20;by&#x20;using&#x20;a&#x20;list&#x20;of&#x20;filetypes&#x20;maintained&#x20;by&#x20;Apple.&#x20;The&#x20;list&#x20;of&#x20;files&#x20;include&#x20;text,&#x20;image,&#x20;video&#x20;and&#x20;archive&#x20;formats&#x20;that&#x20;would&#x20;be&#x20;run&#x20;in&#x20;the&#x20;context&#x20;of&#x20;the&#x20;OS&#x20;rather&#x20;than&#x20;the&#x20;browser.','Hackers&#x20;have&#x20;taken&#x20;advantage&#x20;of&#x20;this&#x20;setting&#x20;via&#x20;drive-by&#x20;attacks.&#x20;These&#x20;attacks&#x20;occur&#x20;when&#x20;a&#x20;user&#x20;visits&#x20;a&#x20;legitimate&#x20;website&#x20;that&#x20;has&#x20;been&#x20;corrupted.&#x20;The&#x20;user&#x20;unknowingly&#x20;downloads&#x20;a&#x20;malicious&#x20;file&#x20;either&#x20;by&#x20;closing&#x20;an&#x20;infected&#x20;pop-up&#x20;or&#x20;hovering&#x20;over&#x20;a&#x20;malicious&#x20;banner.&#x20;An&#x20;attacker&#x20;can&#x20;create&#x20;a&#x20;malicious&#x20;file&#x20;that&#x20;will&#x20;fall&#x20;within&#x20;Safari&#039;s&#x20;safe&#x20;file&#x20;list&#x20;that&#x20;will&#x20;download&#x20;and&#x20;execute&#x20;without&#x20;user&#x20;input.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;safe&#x20;files&#x20;from&#x20;not&#x20;opening&#x20;in&#x20;Safari:&#x20;sudo&#x20;-u&#x20;&lt;username&gt;&#x20;/usr/bin/defaults&#x20;write&#x20;/Users/&lt;username&gt;/Library/Containers/com.apple.Safari/Data/Library/Preferences/com.apple.Safari&#x20;AutoOpenSafeDownloads&#x20;-bool&#x20;false','[{\"cis\": [\"6.3\"]}, {\"cis_level\": [\"1\"]}]'),(29500,'Ensure&#x20;/tmp&#x20;is&#x20;a&#x20;separate&#x20;partition.','The&#x20;/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.','Making&#x20;/tmp&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;the&#x20;noexec&#x20;option&#x20;on&#x20;the&#x20;mount,&#x20;making&#x20;/tmp&#x20;useless&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;install&#x20;executable&#x20;code.&#x20;It&#x20;would&#x20;also&#x20;prevent&#x20;an&#x20;attacker&#x20;from&#x20;establishing&#x20;a&#x20;hard&#x20;link&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hard&#x20;link&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.&#x20;This&#x20;can&#x20;be&#x20;accomplished&#x20;by&#x20;either&#x20;mounting&#x20;tmpfs&#x20;to&#x20;/tmp,&#x20;or&#x20;creating&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/tmp.','Since&#x20;the&#x20;/tmp&#x20;directory&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;world-writable,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion&#x20;if&#x20;it&#x20;is&#x20;not&#x20;bound&#x20;to&#x20;a&#x20;separate&#x20;partition.&#x20;Running&#x20;out&#x20;of&#x20;/tmp&#x20;space&#x20;is&#x20;a&#x20;problem&#x20;regardless&#x20;of&#x20;what&#x20;kind&#x20;of&#x20;filesystem&#x20;lies&#x20;under&#x20;it,&#x20;but&#x20;in&#x20;a&#x20;configuration&#x20;where&#x20;/tmp&#x20;is&#x20;not&#x20;a&#x20;separate&#x20;file&#x20;system&#x20;it&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available,&#x20;as&#x20;the&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;On&#x20;the&#x20;other&#x20;hand,&#x20;a&#x20;RAM-based&#x20;/tmp&#x20;&#40;as&#x20;with&#x20;tmpfs&#41;&#x20;will&#x20;almost&#x20;certainly&#x20;be&#x20;much&#x20;smaller,&#x20;which&#x20;can&#x20;lead&#x20;to&#x20;applications&#x20;filling&#x20;up&#x20;the&#x20;filesystem&#x20;much&#x20;more&#x20;easily.&#x20;Another&#x20;alternative&#x20;is&#x20;to&#x20;create&#x20;a&#x20;dedicated&#x20;partition&#x20;for&#x20;/tmp&#x20;from&#x20;a&#x20;separate&#x20;volume&#x20;or&#x20;disk.&#x20;One&#x20;of&#x20;the&#x20;downsides&#x20;of&#x20;a&#x20;disk-based&#x20;dedicated&#x20;partition&#x20;is&#x20;that&#x20;it&#x20;will&#x20;be&#x20;slower&#x20;than&#x20;tmpfs&#x20;which&#x20;is&#x20;RAM-based.&#x20;/tmp&#x20;utilizing&#x20;tmpfs&#x20;can&#x20;be&#x20;resized&#x20;using&#x20;the&#x20;size={size}&#x20;parameter&#x20;in&#x20;the&#x20;relevant&#x20;entry&#x20;in&#x20;/etc/fstab.','First&#x20;ensure&#x20;that&#x20;systemd&#x20;is&#x20;correctly&#x20;configured&#x20;to&#x20;ensure&#x20;that&#x20;/tmp&#x20;will&#x20;be&#x20;mounted&#x20;at&#x20;boot&#x20;time.&#x20;#&#x20;systemctl&#x20;unmask&#x20;tmp.mount.&#x20;For&#x20;specific&#x20;configuration&#x20;requirements&#x20;of&#x20;the&#x20;/tmp&#x20;mount&#x20;for&#x20;your&#x20;environment,&#x20;modify&#x20;/etc/fstab&#x20;or&#x20;tmp.mount.&#x20;Example&#x20;of&#x20;/etc/fstab&#x20;configured&#x20;tmpfs&#x20;file&#x20;system&#x20;with&#x20;specific&#x20;mount&#x20;options:&#x20;tmpfs&#x20;/tmp&#x20;tmpfs&#x20;defaults,rw,nosuid,nodev,noexec,relatime,size=2G&#x20;0&#x20;0.&#x20;Example&#x20;of&#x20;tmp.mount&#x20;configured&#x20;tmpfs&#x20;file&#x20;system&#x20;with&#x20;specific&#x20;mount&#x20;options:&#x20;[Unit]&#x20;Description=Temporary&#x20;Directory&#x20;/tmp&#x20;ConditionPathIsSymbolicLink=!/tmp&#x20;DefaultDependencies=no&#x20;Conflicts=umount.target&#x20;Before=local-fs.target&#x20;umount.target&#x20;After=swap.target&#x20;[Mount]&#x20;What=tmpfs&#x20;Where=/tmp&#x20;Type=tmpfs.','[{\"cis\": [\"1.1.2.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29501,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/tmp&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/tmp.','[{\"cis\": [\"1.1.2.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29502,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/tmp&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/tmp.','[{\"cis\": [\"1.1.2.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29503,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/tmp&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/tmp.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/tmp&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/tmp.','[{\"cis\": [\"1.1.2.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29504,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var.','The&#x20;/var&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;daemons&#x20;and&#x20;other&#x20;system&#x20;services&#x20;to&#x20;temporarily&#x20;store&#x20;dynamic&#x20;data.&#x20;Some&#x20;directories&#x20;created&#x20;by&#x20;these&#x20;processes&#x20;may&#x20;be&#x20;world-writable.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/var&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follow.&#x20;-&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion:&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/var&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;In&#x20;addition,&#x20;other&#x20;operations&#x20;on&#x20;the&#x20;system&#x20;could&#x20;fill&#x20;up&#x20;the&#x20;disk&#x20;unrelated&#x20;to&#x20;/var&#x20;and&#x20;cause&#x20;unintended&#x20;behavior&#x20;across&#x20;the&#x20;system&#x20;as&#x20;the&#x20;disk&#x20;is&#x20;full.&#x20;See&#x20;man&#x20;auditd.conf&#x20;for&#x20;details.&#x20;-&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount:&#x20;Configuring&#x20;/var&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behaviour.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;-&#x20;Protection&#x20;from&#x20;exploitation:&#x20;An&#x20;example&#x20;of&#x20;exploiting&#x20;/var&#x20;may&#x20;be&#x20;an&#x20;attacker&#x20;establishing&#x20;a&#x20;hard-link&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hard-link&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.3.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0006\"]}]'),(29505,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var.','','IF&#x20;the&#x20;/var&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var.','[{\"cis\": [\"1.1.3.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}]'),(29506,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;variable&#x20;files&#x20;such&#x20;as&#x20;logs,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var.','','IF&#x20;the&#x20;/var&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var.','[{\"cis\": [\"1.1.3.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}]'),(29507,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/tmp.','The&#x20;/var/tmp&#x20;directory&#x20;is&#x20;a&#x20;world-writable&#x20;directory&#x20;used&#x20;for&#x20;temporary&#x20;storage&#x20;by&#x20;all&#x20;users&#x20;and&#x20;some&#x20;applications.&#x20;Temporary&#x20;files&#x20;residing&#x20;in&#x20;/var/tmp&#x20;are&#x20;to&#x20;be&#x20;preserved&#x20;between&#x20;reboots.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/var/tmp&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follows.&#x20;-&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion:&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/var/tmp&#x20;directory&#x20;may&#x20;contain&#x20;world-writable&#x20;files&#x20;and&#x20;directories,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;In&#x20;addition,&#x20;other&#x20;operations&#x20;on&#x20;the&#x20;system&#x20;could&#x20;fill&#x20;up&#x20;the&#x20;disk&#x20;unrelated&#x20;to&#x20;/var/tmp&#x20;and&#x20;cause&#x20;the&#x20;potential&#x20;disruption&#x20;to&#x20;daemons&#x20;as&#x20;the&#x20;disk&#x20;is&#x20;full.&#x20;-&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount:&#x20;Configuring&#x20;/var/tmp&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behavior.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;-&#x20;Protection&#x20;from&#x20;exploitation:&#x20;An&#x20;example&#x20;of&#x20;exploiting&#x20;/var/tmp&#x20;may&#x20;be&#x20;an&#x20;attacker&#x20;establishing&#x20;a&#x20;hard-link&#x20;to&#x20;a&#x20;system&#x20;setuid&#x20;program&#x20;and&#x20;wait&#x20;for&#x20;it&#x20;to&#x20;be&#x20;updated.&#x20;Once&#x20;the&#x20;program&#x20;was&#x20;updated,&#x20;the&#x20;hard-link&#x20;would&#x20;be&#x20;broken&#x20;and&#x20;the&#x20;attacker&#x20;would&#x20;have&#x20;his&#x20;own&#x20;copy&#x20;of&#x20;the&#x20;program.&#x20;If&#x20;the&#x20;program&#x20;happened&#x20;to&#x20;have&#x20;a&#x20;security&#x20;vulnerability,&#x20;the&#x20;attacker&#x20;could&#x20;continue&#x20;to&#x20;exploit&#x20;the&#x20;known&#x20;flaw.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/tmp.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.4.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29508,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/tmp.','','IF&#x20;the&#x20;/var/tmp&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/tmp&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/tmp.','[{\"cis\": [\"1.1.4.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29509,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;temporary&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/tmp.','','IF&#x20;the&#x20;/var/tmp&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/tmp&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/tmp.','[{\"cis\": [\"1.1.4.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29510,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/tmp&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/tmp&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/tmp.','','IF&#x20;the&#x20;/var/tmp&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/tmp&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/tmp&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/tmp&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/tmp.','[{\"cis\": [\"1.1.4.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29511,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log.','The&#x20;/var/log&#x20;directory&#x20;is&#x20;used&#x20;by&#x20;system&#x20;services&#x20;to&#x20;store&#x20;log&#x20;data.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/var/log&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follows.&#x20;-&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion:&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/var/log&#x20;directory&#x20;contains&#x20;log&#x20;files&#x20;which&#x20;can&#x20;grow&#x20;quite&#x20;large,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;-&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount:&#x20;Configuring&#x20;/var/log&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behavior.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;-&#x20;Protection&#x20;of&#x20;log&#x20;data:&#x20;As&#x20;/var/log&#x20;contains&#x20;log&#x20;files,&#x20;care&#x20;should&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;the&#x20;security&#x20;and&#x20;integrity&#x20;of&#x20;the&#x20;data&#x20;and&#x20;mount&#x20;point.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log&#x20;.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.5.1\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"pci_dss_3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29512,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/log&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/log&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/log.','','IF&#x20;the&#x20;/var/log&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log.','[{\"cis\": [\"1.1.5.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29513,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/log&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/log&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;log&#x20;files,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/log.','','IF&#x20;the&#x20;/var/log&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log.','[{\"cis\": [\"1.1.5.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29514,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/log&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/log&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;log&#x20;files,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/log.','','IF&#x20;the&#x20;/var/log&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log.','[{\"cis\": [\"1.1.5.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29515,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/var/log/audit.','The&#x20;auditing&#x20;daemon,&#x20;auditd,&#x20;stores&#x20;log&#x20;data&#x20;in&#x20;the&#x20;/var/log/audit&#x20;directory.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/var/log/audit&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follows.&#x20;-&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion:&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/var/log/audit&#x20;directory&#x20;contains&#x20;the&#x20;audit.log&#x20;file&#x20;which&#x20;can&#x20;grow&#x20;quite&#x20;large,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;In&#x20;addition,&#x20;other&#x20;operations&#x20;on&#x20;the&#x20;system&#x20;could&#x20;fill&#x20;up&#x20;the&#x20;disk&#x20;unrelated&#x20;to&#x20;/var/log/audit&#x20;and&#x20;cause&#x20;auditd&#x20;to&#x20;trigger&#x20;it&#039;s&#x20;space_left_action&#x20;as&#x20;the&#x20;disk&#x20;is&#x20;full.&#x20;See&#x20;man&#x20;auditd.conf&#x20;for&#x20;details.&#x20;-&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount:&#x20;Configuring&#x20;/var/log/audit&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behavior.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;-&#x20;Protection&#x20;of&#x20;audit&#x20;data:&#x20;As&#x20;/var/log/audit&#x20;contains&#x20;audit&#x20;logs,&#x20;care&#x20;should&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;the&#x20;security&#x20;and&#x20;integrity&#x20;of&#x20;the&#x20;data&#x20;and&#x20;mount&#x20;point.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/var/log/audit.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.6.1\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"pci_dss_3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29516,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/var/log/audit&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Since&#x20;the&#x20;/var/log/audit&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;audit&#x20;logs,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;run&#x20;executable&#x20;binaries&#x20;from&#x20;/var/log/audit.','','IF&#x20;the&#x20;/var/log/audit&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log/audit&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log/audit&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log/audit.','[{\"cis\": [\"1.1.6.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29517,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/var/log/audit&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/var/log/audit&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/var/log/audit.','','IF&#x20;the&#x20;/var/log/audit&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log/audit&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log/audit&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log/audit&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log/audit.','[{\"cis\": [\"1.1.6.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29518,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/var/log/audit&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/var/log/audit&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;variable&#x20;files&#x20;such&#x20;as&#x20;logs,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/var/log/audit.','','IF&#x20;the&#x20;/var/log/audit&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/var/log/audit&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/var/log/audit&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0&#x20;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/var/log/audit&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/var/log/audit.','[{\"cis\": [\"1.1.6.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29519,'Ensure&#x20;separate&#x20;partition&#x20;exists&#x20;for&#x20;/home.','The&#x20;/home&#x20;directory&#x20;is&#x20;used&#x20;to&#x20;support&#x20;disk&#x20;storage&#x20;needs&#x20;of&#x20;local&#x20;users.','The&#x20;reasoning&#x20;for&#x20;mounting&#x20;/home&#x20;on&#x20;a&#x20;separate&#x20;partition&#x20;is&#x20;as&#x20;follows.&#x20;-&#x20;Protection&#x20;from&#x20;resource&#x20;exhaustion:&#x20;The&#x20;default&#x20;installation&#x20;only&#x20;creates&#x20;a&#x20;single&#x20;/&#x20;partition.&#x20;Since&#x20;the&#x20;/home&#x20;directory&#x20;contains&#x20;user&#x20;generated&#x20;data,&#x20;there&#x20;is&#x20;a&#x20;risk&#x20;of&#x20;resource&#x20;exhaustion.&#x20;It&#x20;will&#x20;essentially&#x20;have&#x20;the&#x20;whole&#x20;disk&#x20;available&#x20;to&#x20;fill&#x20;up&#x20;and&#x20;impact&#x20;the&#x20;system&#x20;as&#x20;a&#x20;whole.&#x20;In&#x20;addition,&#x20;other&#x20;operations&#x20;on&#x20;the&#x20;system&#x20;could&#x20;fill&#x20;up&#x20;the&#x20;disk&#x20;unrelated&#x20;to&#x20;/home&#x20;and&#x20;impact&#x20;all&#x20;local&#x20;users.&#x20;-&#x20;Fine&#x20;grained&#x20;control&#x20;over&#x20;the&#x20;mount:&#x20;Configuring&#x20;/home&#x20;as&#x20;its&#x20;own&#x20;file&#x20;system&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;set&#x20;additional&#x20;mount&#x20;options&#x20;such&#x20;as&#x20;noexec/nosuid/nodev.&#x20;These&#x20;options&#x20;limits&#x20;an&#x20;attackers&#x20;ability&#x20;to&#x20;create&#x20;exploits&#x20;on&#x20;the&#x20;system.&#x20;In&#x20;the&#x20;case&#x20;of&#x20;/home&#x20;options&#x20;such&#x20;as&#x20;usrquota/grpquota&#x20;may&#x20;be&#x20;considered&#x20;to&#x20;limit&#x20;the&#x20;impact&#x20;that&#x20;users&#x20;can&#x20;have&#x20;on&#x20;each&#x20;other&#x20;with&#x20;regards&#x20;to&#x20;disk&#x20;resource&#x20;exhaustion.&#x20;Other&#x20;options&#x20;allow&#x20;for&#x20;specific&#x20;behavior.&#x20;See&#x20;man&#x20;mount&#x20;for&#x20;exact&#x20;details&#x20;regarding&#x20;filesystem-independent&#x20;and&#x20;filesystem-specific&#x20;options.&#x20;-&#x20;Protection&#x20;of&#x20;user&#x20;data:&#x20;As&#x20;/home&#x20;contains&#x20;user&#x20;data,&#x20;care&#x20;should&#x20;be&#x20;taken&#x20;to&#x20;ensure&#x20;the&#x20;security&#x20;and&#x20;integrity&#x20;of&#x20;the&#x20;data&#x20;and&#x20;mount&#x20;point.','Resizing&#x20;filesystems&#x20;is&#x20;a&#x20;common&#x20;activity&#x20;in&#x20;cloud-hosted&#x20;servers.&#x20;Separate&#x20;filesystem&#x20;partitions&#x20;may&#x20;prevent&#x20;successful&#x20;resizing,&#x20;or&#x20;may&#x20;require&#x20;the&#x20;installation&#x20;of&#x20;additional&#x20;tools&#x20;solely&#x20;for&#x20;the&#x20;purpose&#x20;of&#x20;resizing&#x20;operations.&#x20;The&#x20;use&#x20;of&#x20;these&#x20;additional&#x20;tools&#x20;may&#x20;introduce&#x20;their&#x20;own&#x20;security&#x20;considerations.','For&#x20;new&#x20;installations,&#x20;during&#x20;installation&#x20;create&#x20;a&#x20;custom&#x20;partition&#x20;setup&#x20;and&#x20;specify&#x20;a&#x20;separate&#x20;partition&#x20;for&#x20;/home.&#x20;For&#x20;systems&#x20;that&#x20;were&#x20;previously&#x20;installed,&#x20;create&#x20;a&#x20;new&#x20;partition&#x20;and&#x20;configure&#x20;/etc/fstab&#x20;as&#x20;appropriate.','[{\"cis\": [\"1.1.7.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}]'),(29520,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/home&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;a&#x20;block&#x20;or&#x20;character&#x20;special&#x20;devices&#x20;in&#x20;/home.','','IF&#x20;the&#x20;/home&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/home&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/home&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,relatime&#x20;0&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/home&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/home.','[{\"cis\": [\"1.1.7.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29521,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/home&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Since&#x20;the&#x20;/home&#x20;filesystem&#x20;is&#x20;only&#x20;intended&#x20;for&#x20;user&#x20;file&#x20;storage,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;create&#x20;setuid&#x20;files&#x20;in&#x20;/home.','','IF&#x20;the&#x20;/home&#x20;partition&#x20;exists,&#x20;edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/home&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/home&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,relatime&#x20;0&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/home&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/home.','[{\"cis\": [\"1.1.7.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29522,'Ensure&#x20;nodev&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition.','The&#x20;nodev&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;special&#x20;devices.','Since&#x20;the&#x20;/dev/shm&#x20;filesystem&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;support&#x20;devices,&#x20;set&#x20;this&#x20;option&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;cannot&#x20;attempt&#x20;to&#x20;create&#x20;special&#x20;devices&#x20;in&#x20;/dev/shm&#x20;partitions.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nodev&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm&#x20;using&#x20;the&#x20;updated&#x20;options&#x20;from&#x20;/etc/fstab:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/dev/shm.','[{\"cis\": [\"1.1.8.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1200\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}]'),(29523,'Ensure&#x20;noexec&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition.','The&#x20;noexec&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;executable&#x20;binaries.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;executing&#x20;programs&#x20;from&#x20;shared&#x20;memory.&#x20;This&#x20;deters&#x20;users&#x20;from&#x20;introducing&#x20;potentially&#x20;malicious&#x20;software&#x20;on&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;noexec&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;Example:&#x20;&lt;device&gt;&#x20;/dev/shm&#x20;&lt;fstype&gt;&#x20;defaults,rw,nosuid,nodev,noexec,relatime&#x20;0&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm&#x20;with&#x20;the&#x20;configured&#x20;options:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/dev/shm.&#x20;NOTE&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;use&#x20;tmpfs&#x20;as&#x20;the&#x20;device/filesystem&#x20;type&#x20;as&#x20;/dev/shm&#x20;is&#x20;used&#x20;as&#x20;shared&#x20;memory&#x20;space&#x20;by&#x20;applications.','[{\"cis\": [\"1.1.8.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1204\", \"T1204.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29524,'Ensure&#x20;nosuid&#x20;option&#x20;set&#x20;on&#x20;/dev/shm&#x20;partition.','The&#x20;nosuid&#x20;mount&#x20;option&#x20;specifies&#x20;that&#x20;the&#x20;filesystem&#x20;cannot&#x20;contain&#x20;setuid&#x20;files.','Setting&#x20;this&#x20;option&#x20;on&#x20;a&#x20;file&#x20;system&#x20;prevents&#x20;users&#x20;from&#x20;introducing&#x20;privileged&#x20;programs&#x20;onto&#x20;the&#x20;system&#x20;and&#x20;allowing&#x20;non-root&#x20;users&#x20;to&#x20;execute&#x20;them.','','Edit&#x20;the&#x20;/etc/fstab&#x20;file&#x20;and&#x20;add&#x20;nosuid&#x20;to&#x20;the&#x20;fourth&#x20;field&#x20;&#40;mounting&#x20;options&#41;&#x20;for&#x20;the&#x20;/dev/shm&#x20;partition.&#x20;See&#x20;the&#x20;fstab&#40;5&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remount&#x20;/dev/shm&#x20;using&#x20;the&#x20;updated&#x20;options&#x20;from&#x20;/etc/fstab:&#x20;#&#x20;mount&#x20;-o&#x20;remount&#x20;/dev/shm.','[{\"cis\": [\"1.1.8.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1038\"]}]'),(29525,'Disable&#x20;Automounting.','autofs&#x20;allows&#x20;automatic&#x20;mounting&#x20;of&#x20;devices,&#x20;typically&#x20;including&#x20;CD/DVDs&#x20;and&#x20;USB&#x20;drives.','With&#x20;automounting&#x20;enabled&#x20;anyone&#x20;with&#x20;physical&#x20;access&#x20;could&#x20;attach&#x20;a&#x20;USB&#x20;drive&#x20;or&#x20;disc&#x20;and&#x20;have&#x20;its&#x20;contents&#x20;available&#x20;in&#x20;system&#x20;even&#x20;if&#x20;they&#x20;lacked&#x20;permissions&#x20;to&#x20;mount&#x20;it&#x20;themselves.','The&#x20;use&#x20;of&#x20;portable&#x20;hard&#x20;drives&#x20;is&#x20;very&#x20;common&#x20;for&#x20;workstation&#x20;users.&#x20;If&#x20;your&#x20;organization&#x20;allows&#x20;the&#x20;use&#x20;of&#x20;portable&#x20;storage&#x20;or&#x20;media&#x20;on&#x20;workstations&#x20;and&#x20;physical&#x20;access&#x20;controls&#x20;to&#x20;workstations&#x20;is&#x20;considered&#x20;adequate&#x20;there&#x20;is&#x20;little&#x20;value&#x20;add&#x20;in&#x20;turning&#x20;off&#x20;automounting.','If&#x20;there&#x20;are&#x20;no&#x20;other&#x20;packages&#x20;that&#x20;depends&#x20;on&#x20;autofs,&#x20;remove&#x20;the&#x20;package&#x20;with:&#x20;#&#x20;apt&#x20;purge&#x20;autofs&#x20;OR&#x20;if&#x20;there&#x20;are&#x20;dependencies&#x20;on&#x20;the&#x20;autofs&#x20;package:&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;mask&#x20;autofs:&#x20;#&#x20;systemctl&#x20;stop&#x20;autofs&#x20;#&#x20;systemctl&#x20;mask&#x20;autofs.','[{\"cis\": [\"1.1.9\"]}, {\"cis_csc_v8\": [\"10.3\"]}, {\"cis_csc_v7\": [\"8.5\"]}, {\"cmmc_v2.0\": [\"MP.L2-3.8.7\"]}, {\"hipaa\": [\"164.310(d)(1)\"]}, {\"iso_27001-2013\": [\"A.12.2.1\"]}, {\"mitre_techniques\": [\"T1068\", \"T1203\", \"T1211\", \"T1212\"]}]'),(29526,'Ensure&#x20;AIDE&#x20;is&#x20;installed.','AIDE&#x20;takes&#x20;a&#x20;snapshot&#x20;of&#x20;filesystem&#x20;state&#x20;including&#x20;modification&#x20;times,&#x20;permissions,&#x20;and&#x20;file&#x20;hashes&#x20;which&#x20;can&#x20;then&#x20;be&#x20;used&#x20;to&#x20;compare&#x20;against&#x20;the&#x20;current&#x20;state&#x20;of&#x20;the&#x20;filesystem&#x20;to&#x20;detect&#x20;modifications&#x20;to&#x20;the&#x20;system.','By&#x20;monitoring&#x20;the&#x20;filesystem&#x20;state&#x20;compromised&#x20;files&#x20;can&#x20;be&#x20;detected&#x20;to&#x20;prevent&#x20;or&#x20;limit&#x20;the&#x20;exposure&#x20;of&#x20;accidental&#x20;or&#x20;malicious&#x20;misconfigurations&#x20;or&#x20;modified&#x20;binaries.','','Install&#x20;AIDE&#x20;using&#x20;the&#x20;appropriate&#x20;package&#x20;manager&#x20;or&#x20;manual&#x20;installation:&#x20;#&#x20;apt&#x20;install&#x20;aide&#x20;aide-common&#x20;Configure&#x20;AIDE&#x20;as&#x20;appropriate&#x20;for&#x20;your&#x20;environment.&#x20;Consult&#x20;the&#x20;AIDE&#x20;documentation&#x20;for&#x20;options.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;initialize&#x20;AIDE:&#x20;#&#x20;aideinit&#x20;#&#x20;mv&#x20;/var/lib/aide/aide.db.new&#x20;/var/lib/aide/aide.db.','[{\"cis\": [\"1.3.1\"]}, {\"cis_csc_v8\": [\"3.14\"]}, {\"cis_csc_v7\": [\"14.9\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.7\"]}, {\"hipaa\": [\"164.312(b)\", \"164.312(c)(1)\", \"164.312(c)(2)\"]}, {\"pci_dss_3.2.1\": [\"10.2.1\", \"11.5\"]}, {\"pci_dss_4.0\": [\"10.2.1\", \"10.2.1.1\"]}, {\"nist_sp_800-53\": [\"AC-6(9)\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.12.4.3\"]}, {\"mitre_techniques\": [\"T1036\", \"T1036.002\", \"T1036.003\", \"T1036.004\", \"T1036.005\", \"T1565\", \"T1565.001\"]}]'),(29527,'Ensure&#x20;filesystem&#x20;integrity&#x20;is&#x20;regularly&#x20;checked.','Periodic&#x20;checking&#x20;of&#x20;the&#x20;filesystem&#x20;integrity&#x20;is&#x20;needed&#x20;to&#x20;detect&#x20;changes&#x20;to&#x20;the&#x20;filesystem.','Periodic&#x20;file&#x20;checking&#x20;allows&#x20;the&#x20;system&#x20;administrator&#x20;to&#x20;determine&#x20;on&#x20;a&#x20;regular&#x20;basis&#x20;if&#x20;critical&#x20;files&#x20;have&#x20;been&#x20;changed&#x20;in&#x20;an&#x20;unauthorized&#x20;fashion.','','If&#x20;cron&#x20;will&#x20;be&#x20;used&#x20;to&#x20;schedule&#x20;and&#x20;run&#x20;aide&#x20;check:&#x20;Run&#x20;the&#x20;following&#x20;command:&#x20;#&#x20;crontab&#x20;-u&#x20;root&#x20;-e&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;crontab:&#x20;0&#x20;5&#x20;*&#x20;*&#x20;*&#x20;/usr/bin/aide.wrapper&#x20;--config&#x20;/etc/aide/aide.conf&#x20;--check&#x20;OR&#x20;If&#x20;aidecheck.service&#x20;and&#x20;aidecheck.timer&#x20;will&#x20;be&#x20;used&#x20;to&#x20;schedule&#x20;and&#x20;run&#x20;aide&#x20;check:&#x20;Create&#x20;or&#x20;edit&#x20;the&#x20;file&#x20;/etc/systemd/system/aidecheck.service&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;[Unit]&#x20;Description=Aide&#x20;Check&#x20;[Service]&#x20;Type=simple&#x20;ExecStart=/usr/bin/aide.wrapper&#x20;--config&#x20;/etc/aide/aide.conf&#x20;--check&#x20;[Install]&#x20;WantedBy=multi-user.target.&#x20;Create&#x20;or&#x20;edit&#x20;the&#x20;file&#x20;/etc/systemd/system/aidecheck.timer&#x20;and&#x20;add&#x20;the&#x20;following&#x20;lines:&#x20;[Unit]&#x20;Description=Aide&#x20;check&#x20;every&#x20;day&#x20;at&#x20;5AM&#x20;[Timer]&#x20;OnCalendar=*-*-*&#x20;05:00:00&#x20;Unit=aidecheck.service&#x20;[Install]&#x20;WantedBy=multi-user.target.&#x20;Run&#x20;the&#x20;following&#x20;commands:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/systemd/system/aidecheck.*&#x20;#&#x20;chmod&#x20;0644&#x20;/etc/systemd/system/aidecheck.*&#x20;#&#x20;systemctl&#x20;daemon-reload&#x20;#&#x20;systemctl&#x20;enable&#x20;aidecheck.service&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;aidecheck.timer.','[{\"cis\": [\"1.3.2\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"14.9\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.3\"]}, {\"mitre_techniques\": [\"T1036\", \"T1036.002\", \"T1036.003\", \"T1036.004\", \"T1036.005\", \"T1565\", \"T1565.001\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29528,'Ensure&#x20;bootloader&#x20;password&#x20;is&#x20;set.','Setting&#x20;the&#x20;boot&#x20;loader&#x20;password&#x20;will&#x20;require&#x20;that&#x20;anyone&#x20;rebooting&#x20;the&#x20;system&#x20;must&#x20;enter&#x20;a&#x20;password&#x20;before&#x20;being&#x20;able&#x20;to&#x20;set&#x20;command&#x20;line&#x20;boot&#x20;parameters.','Requiring&#x20;a&#x20;boot&#x20;password&#x20;upon&#x20;execution&#x20;of&#x20;the&#x20;boot&#x20;loader&#x20;will&#x20;prevent&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;entering&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;the&#x20;boot&#x20;partition.&#x20;This&#x20;prevents&#x20;users&#x20;from&#x20;weakening&#x20;security&#x20;&#40;e.g.&#x20;turning&#x20;off&#x20;AppArmor&#x20;at&#x20;boot&#x20;time&#41;.','If&#x20;password&#x20;protection&#x20;is&#x20;enabled,&#x20;only&#x20;the&#x20;designated&#x20;superuser&#x20;can&#x20;edit&#x20;a&#x20;Grub&#x20;2&#x20;menu&#x20;item&#x20;by&#x20;pressing&#x20;&#039;e&#039;&#x20;or&#x20;access&#x20;the&#x20;GRUB&#x20;2&#x20;command&#x20;line&#x20;by&#x20;pressing&#x20;&#039;c&#039;&#x20;If&#x20;GRUB&#x20;2&#x20;is&#x20;set&#x20;up&#x20;to&#x20;boot&#x20;automatically&#x20;to&#x20;a&#x20;password-protected&#x20;menu&#x20;entry&#x20;the&#x20;user&#x20;has&#x20;no&#x20;option&#x20;to&#x20;back&#x20;out&#x20;of&#x20;the&#x20;password&#x20;prompt&#x20;to&#x20;select&#x20;another&#x20;menu&#x20;entry.&#x20;Holding&#x20;the&#x20;SHIFT&#x20;key&#x20;will&#x20;not&#x20;display&#x20;the&#x20;menu&#x20;in&#x20;this&#x20;case.&#x20;The&#x20;user&#x20;must&#x20;enter&#x20;the&#x20;correct&#x20;username&#x20;and&#x20;password.&#x20;If&#x20;unable,&#x20;the&#x20;configuration&#x20;files&#x20;will&#x20;have&#x20;to&#x20;be&#x20;edited&#x20;via&#x20;the&#x20;LiveCD&#x20;or&#x20;other&#x20;means&#x20;to&#x20;fix&#x20;the&#x20;problem&#x20;You&#x20;can&#x20;add&#x20;--unrestricted&#x20;to&#x20;the&#x20;menu&#x20;entries&#x20;to&#x20;allow&#x20;the&#x20;system&#x20;to&#x20;boot&#x20;without&#x20;entering&#x20;a&#x20;password.&#x20;Password&#x20;will&#x20;still&#x20;be&#x20;required&#x20;to&#x20;edit&#x20;menu&#x20;items.&#x20;More&#x20;Information:&#x20;https://help.ubuntu.com/community/Grub2/Passwords.','Create&#x20;an&#x20;encrypted&#x20;password&#x20;with&#x20;grub-mkpasswd-pbkdf2:&#x20;#&#x20;grub-mkpasswd-pbkdf2&#x20;Enter&#x20;password:&#x20;&lt;password&gt;&#x20;Reenter&#x20;password:&#x20;&lt;password&gt;&#x20;PBKDF2&#x20;hash&#x20;of&#x20;your&#x20;password&#x20;is&#x20;&lt;encrypted-password&gt;.&#x20;Add&#x20;the&#x20;following&#x20;into&#x20;a&#x20;custom&#x20;/etc/grub.d&#x20;configuration&#x20;file:&#x20;cat&#x20;&lt;&lt;EOF&#x20;set&#x20;superusers=&quot;&lt;username&gt;&quot;&#x20;password_pbkdf2&#x20;&lt;username&gt;&#x20;&lt;encrypted-password&gt;&#x20;EOF.&#x20;The&#x20;superuser/user&#x20;information&#x20;and&#x20;password&#x20;should&#x20;not&#x20;be&#x20;contained&#x20;in&#x20;the&#x20;/etc/grub.d/00_header&#x20;file&#x20;as&#x20;this&#x20;file&#x20;could&#x20;be&#x20;overwritten&#x20;in&#x20;a&#x20;package&#x20;update.&#x20;If&#x20;there&#x20;is&#x20;a&#x20;requirement&#x20;to&#x20;be&#x20;able&#x20;to&#x20;boot/reboot&#x20;without&#x20;entering&#x20;the&#x20;password,&#x20;edit&#x20;/etc/grub.d/10_linux&#x20;and&#x20;add&#x20;--unrestricted&#x20;to&#x20;the&#x20;line&#x20;CLASS=&#x20;Example:&#x20;CLASS=&quot;--class&#x20;gnu-linux&#x20;--class&#x20;gnu&#x20;--class&#x20;os&#x20;--unrestricted&quot;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub.','[{\"cis\": [\"1.4.1\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1542\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1046\"]}]'),(29529,'Ensure&#x20;permissions&#x20;on&#x20;bootloader&#x20;config&#x20;are&#x20;configured.','The&#x20;grub&#x20;configuration&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;boot&#x20;settings&#x20;and&#x20;passwords&#x20;for&#x20;unlocking&#x20;boot&#x20;options.','Setting&#x20;the&#x20;permissions&#x20;to&#x20;read&#x20;and&#x20;write&#x20;for&#x20;root&#x20;only&#x20;prevents&#x20;non-root&#x20;users&#x20;from&#x20;seeing&#x20;the&#x20;boot&#x20;parameters&#x20;or&#x20;changing&#x20;them.&#x20;Non-root&#x20;users&#x20;who&#x20;read&#x20;the&#x20;boot&#x20;parameters&#x20;may&#x20;be&#x20;able&#x20;to&#x20;identify&#x20;weaknesses&#x20;in&#x20;security&#x20;upon&#x20;boot&#x20;and&#x20;be&#x20;able&#x20;to&#x20;exploit&#x20;them.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;your&#x20;grub&#x20;configuration:&#x20;#&#x20;chown&#x20;root:root&#x20;/boot/grub/grub.cfg&#x20;#&#x20;chmod&#x20;u-wx,go-rwx&#x20;/boot/grub/grub.cfg.','[{\"cis\": [\"1.4.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1542\"]}, {\"mitre_tactics\": [\"TA0005\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29530,'Ensure&#x20;authentication&#x20;required&#x20;for&#x20;single&#x20;user&#x20;mode.','Single&#x20;user&#x20;mode&#x20;is&#x20;used&#x20;for&#x20;recovery&#x20;when&#x20;the&#x20;system&#x20;detects&#x20;an&#x20;issue&#x20;during&#x20;boot&#x20;or&#x20;by&#x20;manual&#x20;selection&#x20;from&#x20;the&#x20;bootloader.','Requiring&#x20;authentication&#x20;in&#x20;single&#x20;user&#x20;mode&#x20;prevents&#x20;an&#x20;unauthorized&#x20;user&#x20;from&#x20;rebooting&#x20;the&#x20;system&#x20;into&#x20;single&#x20;user&#x20;to&#x20;gain&#x20;root&#x20;privileges&#x20;without&#x20;credentials.','','Run&#x20;the&#x20;following&#x20;command&#x20;and&#x20;follow&#x20;the&#x20;prompts&#x20;to&#x20;set&#x20;a&#x20;password&#x20;for&#x20;the&#x20;root&#x20;user:&#x20;#&#x20;passwd&#x20;root.','[{\"cis\": [\"1.4.3\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29531,'Ensure&#x20;prelink&#x20;is&#x20;not&#x20;installed.','prelink&#x20;is&#x20;a&#x20;program&#x20;that&#x20;modifies&#x20;ELF&#x20;shared&#x20;libraries&#x20;and&#x20;ELF&#x20;dynamically&#x20;linked&#x20;binaries&#x20;in&#x20;such&#x20;a&#x20;way&#x20;that&#x20;the&#x20;time&#x20;needed&#x20;for&#x20;the&#x20;dynamic&#x20;linker&#x20;to&#x20;perform&#x20;relocations&#x20;at&#x20;startup&#x20;significantly&#x20;decreases.','The&#x20;prelinking&#x20;feature&#x20;can&#x20;interfere&#x20;with&#x20;the&#x20;operation&#x20;of&#x20;AIDE,&#x20;because&#x20;it&#x20;changes&#x20;binaries.&#x20;Prelinking&#x20;can&#x20;also&#x20;increase&#x20;the&#x20;vulnerability&#x20;of&#x20;the&#x20;system&#x20;if&#x20;a&#x20;malicious&#x20;user&#x20;is&#x20;able&#x20;to&#x20;compromise&#x20;a&#x20;common&#x20;library&#x20;such&#x20;as&#x20;libc.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restore&#x20;binaries&#x20;to&#x20;normal:&#x20;#&#x20;prelink&#x20;-ua&#x20;.&#x20;Uninstall&#x20;prelink&#x20;using&#x20;the&#x20;appropriate&#x20;package&#x20;manager&#x20;or&#x20;manual&#x20;installation:&#x20;#&#x20;apt&#x20;purge&#x20;prelink.','[{\"cis\": [\"1.5.2\"]}, {\"cis_csc_v8\": [\"3.14\"]}, {\"cis_csc_v7\": [\"14.9\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.7\"]}, {\"hipaa\": [\"164.312(b)\", \"164.312(c)(1)\", \"164.312(c)(2)\"]}, {\"pci_dss_3.2.1\": [\"10.2.1\", \"11.5\"]}, {\"pci_dss_4.0\": [\"10.2.1\", \"10.2.1.1\"]}, {\"nist_sp_800-53\": [\"AC-6(9)\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.12.4.3\"]}, {\"mitre_techniques\": [\"T1055\", \"T1055.009\", \"T1065\", \"T1065.001\"]}, {\"mitre_tactics\": [\"TA0002\"]}, {\"mitre_mitigations\": [\"M1050\"]}]'),(29532,'Ensure&#x20;Automatic&#x20;Error&#x20;Reporting&#x20;is&#x20;not&#x20;enabled.','The&#x20;Apport&#x20;Error&#x20;Reporting&#x20;Service&#x20;automatically&#x20;generates&#x20;crash&#x20;reports&#x20;for&#x20;debugging.','Apport&#x20;collects&#x20;potentially&#x20;sensitive&#x20;data,&#x20;such&#x20;as&#x20;core&#x20;dumps,&#x20;stack&#x20;traces,&#x20;and&#x20;log&#x20;files.&#x20;They&#x20;can&#x20;contain&#x20;passwords,&#x20;credit&#x20;card&#x20;numbers,&#x20;serial&#x20;numbers,&#x20;and&#x20;other&#x20;private&#x20;material.','','Edit&#x20;/etc/default/apport&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;the&#x20;enabled&#x20;parameter&#x20;to&#x20;equal&#x20;0:&#x20;enabled=0&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;stop&#x20;and&#x20;disable&#x20;the&#x20;apport&#x20;service&#x20;#&#x20;systemctl&#x20;stop&#x20;apport.service&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;apport.service&#x20;--&#x20;OR&#x20;--&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;apport&#x20;package:&#x20;#&#x20;apt&#x20;purge&#x20;apport.','[{\"cis\": [\"1.5.3\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}]'),(29533,'Ensure&#x20;core&#x20;dumps&#x20;are&#x20;restricted.','A&#x20;core&#x20;dump&#x20;is&#x20;the&#x20;memory&#x20;of&#x20;an&#x20;executable&#x20;program.&#x20;It&#x20;is&#x20;generally&#x20;used&#x20;to&#x20;determine&#x20;why&#x20;a&#x20;program&#x20;aborted.&#x20;It&#x20;can&#x20;also&#x20;be&#x20;used&#x20;to&#x20;glean&#x20;confidential&#x20;information&#x20;from&#x20;a&#x20;core&#x20;file.&#x20;The&#x20;system&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;a&#x20;soft&#x20;limit&#x20;for&#x20;core&#x20;dumps,&#x20;but&#x20;this&#x20;can&#x20;be&#x20;overridden&#x20;by&#x20;the&#x20;user.','Setting&#x20;a&#x20;hard&#x20;limit&#x20;on&#x20;core&#x20;dumps&#x20;prevents&#x20;users&#x20;from&#x20;overriding&#x20;the&#x20;soft&#x20;variable.&#x20;If&#x20;core&#x20;dumps&#x20;are&#x20;required,&#x20;consider&#x20;setting&#x20;limits&#x20;for&#x20;user&#x20;groups&#x20;&#40;see&#x20;limits.conf&#40;5&#41;&#x20;&#41;.&#x20;In&#x20;addition,&#x20;setting&#x20;the&#x20;fs.suid_dumpable&#x20;variable&#x20;to&#x20;0&#x20;will&#x20;prevent&#x20;setuid&#x20;programs&#x20;from&#x20;dumping&#x20;core.','','Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;/etc/security/limits.conf&#x20;or&#x20;a&#x20;/etc/security/limits.d&#47;&#42;&#x20;file:&#x20;*&#x20;hard&#x20;core&#x20;0.&#x20;Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/sysctl.conf&#x20;or&#x20;a&#x20;/etc/sysctl.d&#47;&#42;&#x20;file:&#x20;fs.suid_dumpable&#x20;=&#x20;0.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;active&#x20;kernel&#x20;parameter:&#x20;#&#x20;sysctl&#x20;-w&#x20;fs.suid_dumpable=0.&#x20;IF&#x20;systemd-coredump&#x20;is&#x20;installed:&#x20;edit&#x20;/etc/systemd/coredump.conf&#x20;and&#x20;add/modify&#x20;the&#x20;following&#x20;lines:&#x20;Storage=none&#x20;ProcessSizeMax=0.&#x20;Run&#x20;the&#x20;command:&#x20;systemctl&#x20;daemon-reload.','[{\"cis\": [\"1.5.4\"]}, {\"mitre_techniques\": [\"T1005\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29534,'Ensure&#x20;AppArmor&#x20;is&#x20;installed.','AppArmor&#x20;provides&#x20;Mandatory&#x20;Access&#x20;Controls.','Without&#x20;a&#x20;Mandatory&#x20;Access&#x20;Control&#x20;system&#x20;installed&#x20;only&#x20;the&#x20;default&#x20;Discretionary&#x20;Access&#x20;Control&#x20;system&#x20;will&#x20;be&#x20;available.','','Install&#x20;AppArmor.&#x20;#&#x20;apt&#x20;install&#x20;apparmor&#x20;apparmor-utils.','[{\"cis\": [\"1.6.1.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1068\", \"T1565\", \"T1565.001\", \"T1565.003\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(29535,'Ensure&#x20;AppArmor&#x20;is&#x20;enabled&#x20;in&#x20;the&#x20;bootloader&#x20;configuration.','Configure&#x20;AppArmor&#x20;to&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;and&#x20;verify&#x20;that&#x20;it&#x20;has&#x20;not&#x20;been&#x20;overwritten&#x20;by&#x20;the&#x20;bootloader&#x20;boot&#x20;parameters.&#x20;Note:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;grub&#x20;bootloader,&#x20;if&#x20;LILO&#x20;or&#x20;another&#x20;bootloader&#x20;is&#x20;in&#x20;use&#x20;in&#x20;your&#x20;environment&#x20;enact&#x20;equivalent&#x20;settings.','AppArmor&#x20;must&#x20;be&#x20;enabled&#x20;at&#x20;boot&#x20;time&#x20;in&#x20;your&#x20;bootloader&#x20;configuration&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;controls&#x20;it&#x20;provides&#x20;are&#x20;not&#x20;overridden.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;the&#x20;apparmor=1&#x20;and&#x20;security=apparmor&#x20;parameters&#x20;to&#x20;the&#x20;GRUB_CMDLINE_LINUX=&#x20;line&#x20;GRUB_CMDLINE_LINUX=&quot;apparmor=1&#x20;security=apparmor&quot;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub.','[{\"cis\": [\"1.6.1.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1068\", \"T1565\", \"T1565.001\", \"T1565.003\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(29536,'Ensure&#x20;all&#x20;AppArmor&#x20;Profiles&#x20;are&#x20;in&#x20;enforce&#x20;or&#x20;complain&#x20;mode.','AppArmor&#x20;profiles&#x20;define&#x20;what&#x20;resources&#x20;applications&#x20;are&#x20;able&#x20;to&#x20;access.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;any&#x20;policies&#x20;that&#x20;exist&#x20;on&#x20;the&#x20;system&#x20;are&#x20;activated.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;all&#x20;profiles&#x20;to&#x20;enforce&#x20;mode:&#x20;#&#x20;aa-enforce&#x20;/etc/apparmor.d&#47;&#42;&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;all&#x20;profiles&#x20;to&#x20;complain&#x20;mode:&#x20;#&#x20;aa-complain&#x20;/etc/apparmor.d&#47;&#42;&#x20;Note:&#x20;Any&#x20;unconfined&#x20;processes&#x20;may&#x20;need&#x20;to&#x20;have&#x20;a&#x20;profile&#x20;created&#x20;or&#x20;activated&#x20;for&#x20;them&#x20;and&#x20;then&#x20;be&#x20;restarted.','[{\"cis\": [\"1.6.1.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29537,'Ensure&#x20;all&#x20;AppArmor&#x20;Profiles&#x20;are&#x20;enforcing.','AppArmor&#x20;profiles&#x20;define&#x20;what&#x20;resources&#x20;applications&#x20;are&#x20;able&#x20;to&#x20;access.','Security&#x20;configuration&#x20;requirements&#x20;vary&#x20;from&#x20;site&#x20;to&#x20;site.&#x20;Some&#x20;sites&#x20;may&#x20;mandate&#x20;a&#x20;policy&#x20;that&#x20;is&#x20;stricter&#x20;than&#x20;the&#x20;default&#x20;policy,&#x20;which&#x20;is&#x20;perfectly&#x20;acceptable.&#x20;This&#x20;item&#x20;is&#x20;intended&#x20;to&#x20;ensure&#x20;that&#x20;any&#x20;policies&#x20;that&#x20;exist&#x20;on&#x20;the&#x20;system&#x20;are&#x20;activated.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;all&#x20;profiles&#x20;to&#x20;enforce&#x20;mode:&#x20;#&#x20;aa-enforce&#x20;/etc/apparmor.d&#47;&#42;&#x20;Note:&#x20;Any&#x20;unconfined&#x20;processes&#x20;may&#x20;need&#x20;to&#x20;have&#x20;a&#x20;profile&#x20;created&#x20;or&#x20;activated&#x20;for&#x20;them&#x20;and&#x20;then&#x20;be&#x20;restarted.','[{\"cis\": [\"1.6.1.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1068\", \"T1565\", \"T1565.001\", \"T1565.003\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29538,'Ensure&#x20;message&#x20;of&#x20;the&#x20;day&#x20;is&#x20;configured&#x20;properly.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;.&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/motd&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;v&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform&#x20;OR&#x20;If&#x20;the&#x20;motd&#x20;is&#x20;not&#x20;used,&#x20;this&#x20;file&#x20;can&#x20;be&#x20;removed.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;motd&#x20;file:&#x20;#&#x20;rm&#x20;/etc/motd.','[{\"cis\": [\"1.7.1\"]}, {\"mitre_techniques\": [\"T1082\", \"T1592\", \"T1592.004\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29539,'Ensure&#x20;local&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;&#x20;uname&#x20;-a&#x20;.&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;or&#x20;v&#x20;,&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue.','[{\"cis\": [\"1.7.2\"]}, {\"mitre_techniques\": [\"T1082\", \"T1592\", \"T1592.004\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29540,'Ensure&#x20;remote&#x20;login&#x20;warning&#x20;banner&#x20;is&#x20;configured&#x20;properly.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.&#x20;Unix-based&#x20;systems&#x20;have&#x20;typically&#x20;displayed&#x20;information&#x20;about&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;patch&#x20;level&#x20;upon&#x20;logging&#x20;in&#x20;to&#x20;the&#x20;system.&#x20;This&#x20;information&#x20;can&#x20;be&#x20;useful&#x20;to&#x20;developers&#x20;who&#x20;are&#x20;developing&#x20;software&#x20;for&#x20;a&#x20;particular&#x20;OS&#x20;platform.&#x20;If&#x20;mingetty&#40;8&#41;&#x20;supports&#x20;the&#x20;following&#x20;options,&#x20;they&#x20;display&#x20;operating&#x20;system&#x20;information:&#x20;m&#x20;-&#x20;machine&#x20;architecture&#x20;&#x0d;&#x20;-&#x20;operating&#x20;system&#x20;release&#x20;s&#x20;-&#x20;operating&#x20;system&#x20;name&#x20;v&#x20;-&#x20;operating&#x20;system&#x20;version.','Warning&#x20;messages&#x20;inform&#x20;users&#x20;who&#x20;are&#x20;attempting&#x20;to&#x20;login&#x20;to&#x20;the&#x20;system&#x20;of&#x20;their&#x20;legal&#x20;status&#x20;regarding&#x20;the&#x20;system&#x20;and&#x20;must&#x20;include&#x20;the&#x20;name&#x20;of&#x20;the&#x20;organization&#x20;that&#x20;owns&#x20;the&#x20;system&#x20;and&#x20;any&#x20;monitoring&#x20;policies&#x20;that&#x20;are&#x20;in&#x20;place.&#x20;Displaying&#x20;OS&#x20;and&#x20;patch&#x20;level&#x20;information&#x20;in&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;providing&#x20;detailed&#x20;system&#x20;information&#x20;to&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;exploits&#x20;of&#x20;a&#x20;system.&#x20;Authorized&#x20;users&#x20;can&#x20;easily&#x20;get&#x20;this&#x20;information&#x20;by&#x20;running&#x20;the&#x20;&quot;uname&#x20;-a&quot;&#x20;command&#x20;once&#x20;they&#x20;have&#x20;logged&#x20;in.','','Edit&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;with&#x20;the&#x20;appropriate&#x20;contents&#x20;according&#x20;to&#x20;your&#x20;site&#x20;policy,&#x20;remove&#x20;any&#x20;instances&#x20;of&#x20;m&#x20;,&#x20;&#x0d;&#x20;,&#x20;s&#x20;,&#x20;or&#x20;v&#x20;or&#x20;references&#x20;to&#x20;the&#x20;OS&#x20;platform:&#x20;#&#x20;echo&#x20;&quot;Authorized&#x20;uses&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;&gt;&#x20;/etc/issue.net.','[{\"cis\": [\"1.7.3\"]}, {\"mitre_techniques\": [\"T1018\", \"T1082\", \"T1592\", \"T1592.004\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29541,'Ensure&#x20;permissions&#x20;on&#x20;/etc/motd&#x20;are&#x20;configured.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/motd&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;after&#x20;login&#x20;and&#x20;function&#x20;as&#x20;a&#x20;message&#x20;of&#x20;the&#x20;day&#x20;for&#x20;authenticated&#x20;users.','If&#x20;the&#x20;/etc/motd&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/motd:&#x20;#&#x20;chown&#x20;root:root&#x20;$&#40;readlink&#x20;-e&#x20;/etc/motd&#41;&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;$&#40;readlink&#x20;-e&#x20;/etc/motd&#41;&#x20;OR&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;/etc/motd&#x20;file:&#x20;#&#x20;rm&#x20;/etc/motd.','[{\"cis\": [\"1.7.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29542,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue&#x20;are&#x20;configured.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;local&#x20;terminals.','If&#x20;the&#x20;/etc/issue&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;$&#40;readlink&#x20;-e&#x20;/etc/issue&#41;&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;$&#40;readlink&#x20;-e&#x20;/etc/issue&#41;.','[{\"cis\": [\"1.7.5\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29543,'Ensure&#x20;permissions&#x20;on&#x20;/etc/issue.net&#x20;are&#x20;configured.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;are&#x20;displayed&#x20;to&#x20;users&#x20;prior&#x20;to&#x20;login&#x20;for&#x20;remote&#x20;connections&#x20;from&#x20;configured&#x20;services.','If&#x20;the&#x20;/etc/issue.net&#x20;file&#x20;does&#x20;not&#x20;have&#x20;the&#x20;correct&#x20;ownership&#x20;it&#x20;could&#x20;be&#x20;modified&#x20;by&#x20;unauthorized&#x20;users&#x20;with&#x20;incorrect&#x20;or&#x20;misleading&#x20;information.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;/etc/issue.net&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;$&#40;readlink&#x20;-e&#x20;/etc/issue.net&#41;&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;$&#40;readlink&#x20;-e&#x20;/etc/issue.net&#41;.','[{\"cis\": [\"1.7.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29544,'Ensure&#x20;GNOME&#x20;Display&#x20;Manager&#x20;is&#x20;removed.','The&#x20;GNOME&#x20;Display&#x20;Manager&#x20;&#40;GDM&#41;&#x20;is&#x20;a&#x20;program&#x20;that&#x20;manages&#x20;graphical&#x20;display&#x20;servers&#x20;and&#x20;handles&#x20;graphical&#x20;user&#x20;logins.','If&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','Removing&#x20;the&#x20;GNOME&#x20;Display&#x20;manager&#x20;will&#x20;remove&#x20;the&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;from&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;uninstall&#x20;gdm3:&#x20;#&#x20;apt&#x20;purge&#x20;gdm3.','[{\"cis\": [\"1.8.1\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0002\"]}]'),(29545,'Ensure&#x20;XDCMP&#x20;is&#x20;not&#x20;enabled.','X&#x20;Display&#x20;Manager&#x20;Control&#x20;Protocol&#x20;&#40;XDMCP&#41;&#x20;is&#x20;designed&#x20;to&#x20;provide&#x20;authenticated&#x20;access&#x20;to&#x20;display&#x20;management&#x20;services&#x20;for&#x20;remote&#x20;displays.','XDMCP&#x20;is&#x20;inherently&#x20;insecure.&#x20;XDMCP&#x20;is&#x20;not&#x20;a&#x20;ciphered&#x20;protocol.&#x20;This&#x20;may&#x20;allow&#x20;an&#x20;attacker&#x20;to&#x20;capture&#x20;keystrokes&#x20;entered&#x20;by&#x20;a&#x20;user&#x20;XDMCP&#x20;is&#x20;vulnerable&#x20;to&#x20;man-in-the-middle&#x20;attacks.&#x20;This&#x20;may&#x20;allow&#x20;an&#x20;attacker&#x20;to&#x20;steal&#x20;the&#x20;credentials&#x20;of&#x20;legitimate&#x20;users&#x20;by&#x20;impersonating&#x20;the&#x20;XDMCP&#x20;server.','','Edit&#x20;the&#x20;file&#x20;/etc/gdm3/custom.conf&#x20;and&#x20;remove&#x20;the&#x20;line:&#x20;Enable=true.','[{\"cis\": [\"1.8.10\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1040\", \"T1056\", \"T1056.001\", \"T1557\"]}, {\"mitre_tactics\": [\"TA0002\"]}, {\"mitre_mitigations\": [\"M1050\"]}]'),(29546,'Ensure&#x20;updates,&#x20;patches,&#x20;and&#x20;additional&#x20;security&#x20;software&#x20;are&#x20;installed.','Periodically&#x20;patches&#x20;are&#x20;released&#x20;for&#x20;included&#x20;software&#x20;either&#x20;due&#x20;to&#x20;security&#x20;flaws&#x20;or&#x20;to&#x20;include&#x20;additional&#x20;functionality.','Newer&#x20;patches&#x20;may&#x20;contain&#x20;security&#x20;enhancements&#x20;that&#x20;would&#x20;not&#x20;be&#x20;available&#x20;through&#x20;the&#x20;latest&#x20;full&#x20;update.&#x20;As&#x20;a&#x20;result,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;latest&#x20;software&#x20;patches&#x20;be&#x20;used&#x20;to&#x20;take&#x20;advantage&#x20;of&#x20;the&#x20;latest&#x20;functionality.&#x20;As&#x20;with&#x20;any&#x20;software&#x20;installation,&#x20;organizations&#x20;need&#x20;to&#x20;determine&#x20;if&#x20;a&#x20;given&#x20;update&#x20;meets&#x20;their&#x20;requirements&#x20;and&#x20;verify&#x20;the&#x20;compatibility&#x20;and&#x20;supportability&#x20;of&#x20;any&#x20;additional&#x20;software&#x20;against&#x20;the&#x20;update&#x20;revision&#x20;that&#x20;is&#x20;selected.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;all&#x20;packages&#x20;following&#x20;local&#x20;site&#x20;policy&#x20;guidance&#x20;on&#x20;applying&#x20;updates&#x20;and&#x20;patches:&#x20;#&#x20;apt&#x20;upgrade&#x20;OR&#x20;#&#x20;apt&#x20;dist-upgrade.','[{\"cis\": [\"1.9\"]}, {\"cis_csc_v8\": [\"7.3\"]}, {\"cis_csc_v7\": [\"3.4\", \"3.5\"]}, {\"cmmc_v2.0\": [\"SI.L1-3.14.1\"]}, {\"pci_dss_3.2.1\": [\"6.2\"]}, {\"nist_sp_800-53\": [\"SI-2(2)\"]}, {\"soc_2\": [\"CC7.1\"]}]'),(29547,'Ensure&#x20;chrony&#x20;is&#x20;running&#x20;as&#x20;user&#x20;_chrony.','The&#x20;chrony&#x20;package&#x20;is&#x20;installed&#x20;with&#x20;a&#x20;dedicated&#x20;user&#x20;account&#x20;_chrony.&#x20;This&#x20;account&#x20;is&#x20;granted&#x20;the&#x20;access&#x20;required&#x20;by&#x20;the&#x20;chronyd&#x20;service.','The&#x20;chronyd&#x20;service&#x20;should&#x20;run&#x20;with&#x20;only&#x20;the&#x20;required&#x20;privileges.','','Add&#x20;or&#x20;edit&#x20;the&#x20;user&#x20;line&#x20;to&#x20;/etc/chrony/chrony.conf&#x20;or&#x20;a&#x20;file&#x20;ending&#x20;in&#x20;.conf&#x20;in&#x20;/etc/chrony/conf.d/:&#x20;user&#x20;_chrony&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;chrony&#x20;from&#x20;the&#x20;system:&#x20;#&#x20;apt&#x20;purge&#x20;chrony.','[{\"cis\": [\"2.1.2.2\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_3.2.1\": [\"10.4\"]}, {\"pci_dss_4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}]'),(29548,'Ensure&#x20;chrony&#x20;is&#x20;enabled&#x20;and&#x20;running.','chrony&#x20;is&#x20;a&#x20;daemon&#x20;for&#x20;synchronizing&#x20;the&#x20;system&#x20;clock&#x20;across&#x20;the&#x20;network.','chrony&#x20;needs&#x20;to&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;in&#x20;order&#x20;to&#x20;synchronize&#x20;the&#x20;system&#x20;to&#x20;a&#x20;timeserver.&#x20;Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;and&#x20;to&#x20;ensure&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise&#x20;to&#x20;aid&#x20;in&#x20;forensic&#x20;investigations.','','IF&#x20;chrony&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;commands:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;chrony.service:&#x20;#&#x20;systemctl&#x20;unmask&#x20;chrony.service.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;chrony.service:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;chrony.service&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;chrony:&#x20;#&#x20;apt&#x20;purge&#x20;chrony.','[{\"cis\": [\"2.1.2.3\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_3.2.1\": [\"10.4\"]}, {\"pci_dss_4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}]'),(29549,'Ensure&#x20;systemd-timesyncd&#x20;configured&#x20;with&#x20;authorized&#x20;timeserver.','-&#x20;NTP=&#x20;&gt;&#x20;A&#x20;space-separated&#x20;list&#x20;of&#x20;NTP&#x20;server&#x20;host&#x20;names&#x20;or&#x20;IP&#x20;addresses.&#x20;During&#x20;runtime&#x20;this&#x20;list&#x20;is&#x20;combined&#x20;with&#x20;any&#x20;per-interface&#x20;NTP&#x20;servers&#x20;acquired&#x20;from&#x20;systemd-networkd.service&#40;8&#41;.&#x20;systemd-timesyncd&#x20;will&#x20;contact&#x20;all&#x20;configured&#x20;system&#x20;or&#x20;per-interface&#x20;servers&#x20;in&#x20;turn,&#x20;until&#x20;one&#x20;responds.&#x20;When&#x20;the&#x20;empty&#x20;string&#x20;is&#x20;assigned,&#x20;the&#x20;list&#x20;of&#x20;NTP&#x20;servers&#x20;is&#x20;reset,&#x20;and&#x20;all&#x20;prior&#x20;assignments&#x20;will&#x20;have&#x20;no&#x20;effect.&#x20;This&#x20;setting&#x20;defaults&#x20;to&#x20;an&#x20;empty&#x20;list.&#x20;-&#x20;FallbackNTP=&#x20;&gt;&#x20;A&#x20;space-separated&#x20;list&#x20;of&#x20;NTP&#x20;server&#x20;host&#x20;names&#x20;or&#x20;IP&#x20;addresses&#x20;to&#x20;be&#x20;used&#x20;as&#x20;the&#x20;fallback&#x20;NTP&#x20;servers.&#x20;Any&#x20;per-interface&#x20;NTP&#x20;servers&#x20;obtained&#x20;from&#x20;systemd-networkd.service&#40;8&#41;&#x20;take&#x20;precedence&#x20;over&#x20;this&#x20;setting,&#x20;as&#x20;do&#x20;any&#x20;servers&#x20;set&#x20;via&#x20;NTP=&#x20;above.&#x20;This&#x20;setting&#x20;is&#x20;hence&#x20;only&#x20;relevant&#x20;if&#x20;no&#x20;other&#x20;NTP&#x20;server&#x20;information&#x20;is&#x20;known.&#x20;When&#x20;the&#x20;empty&#x20;string&#x20;is&#x20;assigned,&#x20;the&#x20;list&#x20;of&#x20;NTP&#x20;servers&#x20;is&#x20;reset,&#x20;and&#x20;all&#x20;prior&#x20;assignments&#x20;will&#x20;have&#x20;no&#x20;effect.&#x20;If&#x20;this&#x20;option&#x20;is&#x20;not&#x20;given,&#x20;a&#x20;compiled-in&#x20;list&#x20;of&#x20;NTP&#x20;servers&#x20;is&#x20;used.','Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;and&#x20;to&#x20;ensure&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise&#x20;to&#x20;aid&#x20;in&#x20;forensic&#x20;investigations.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;/etc/systemd/timesyncd.conf.d&#x20;ending&#x20;in&#x20;.conf&#x20;and&#x20;add&#x20;the&#x20;NTP=&#x20;and/or&#x20;FallbackNTP=&#x20;lines&#x20;to&#x20;the&#x20;[Time]&#x20;section:&#x20;Example:&#x20;[Time]&#x20;NTP=time.nist.gov&#x20;#&#x20;Uses&#x20;the&#x20;generic&#x20;name&#x20;for&#x20;NIST&#039;s&#x20;time&#x20;servers&#x20;-AND/OR-&#x20;FallbackNTP=time-a-g.nist.gov&#x20;time-b-g.nist.gov&#x20;time-c-g.nist.gov&#x20;#&#x20;Space&#x20;separated&#x20;list&#x20;of&#x20;NIST&#x20;time&#x20;servers&#x20;Note:&#x20;Servers&#x20;added&#x20;to&#x20;these&#x20;line&#40;s&#41;&#x20;should&#x20;follow&#x20;local&#x20;site&#x20;policy.&#x20;NIST&#x20;servers&#x20;are&#x20;for&#x20;example.&#x20;The&#x20;timesyncd.conf.d&#x20;directory&#x20;may&#x20;need&#x20;to&#x20;be&#x20;created.&#x20;Example&#x20;script:&#x20;The&#x20;following&#x20;example&#x20;script&#x20;will&#x20;create&#x20;the&#x20;systemd-timesyncd&#x20;drop-in&#x20;configuration&#x20;snippet:&#x20;#!/usr/bin/env&#x20;bash&#x20;ntp_ts=&quot;time.nist.gov&quot;&#x20;ntp_fb=&quot;time-a-g.nist.gov&#x20;time-b-g.nist.gov&#x20;time-c-g.nist.gov&quot;&#x20;disfile=&quot;/etc/systemd/timesyncd.conf.d/50-timesyncd.conf&quot;&#x20;if&#x20;!&#x20;find&#x20;/etc/systemd&#x20;-type&#x20;f&#x20;-name&#x20;&#039;*.conf&#039;&#x20;-exec&#x20;grep&#x20;-Ph&#x20;&#039;^h*NTP=H+&#039;&#x20;{}&#x20;+;&#x20;then&#x20;[&#x20;!&#x20;-d&#x20;/etc/systemd/timesyncd.conf.d&#x20;]&#x20;&amp;&amp;&#x20;mkdir&#x20;/etc/systemd/timesyncd.conf.d&#x20;!&#x20;grep&#x20;-Pqs&#x20;&#039;^h*[Time]&#039;&#x20;&quot;$disfile&quot;&#x20;&amp;&amp;&#x20;echo&#x20;&quot;[Time]&quot;&#x20;&gt;&gt;&#x20;&quot;$disfile&quot;&#x20;echo&#x20;&quot;NTP=$ntp_ts&quot;&#x20;&gt;&gt;&#x20;&quot;$disfile&quot;&#x20;fi&#x20;if&#x20;!&#x20;find&#x20;/etc/systemd&#x20;-type&#x20;f&#x20;-name&#x20;&#039;*.conf&#039;&#x20;-exec&#x20;grep&#x20;-Ph&#x20;&#039;^h*FallbackNTP=H+&#039;&#x20;{}&#x20;+;&#x20;then&#x20;[&#x20;!&#x20;-d&#x20;/etc/systemd/timesyncd.conf.d&#x20;]&#x20;&amp;&amp;&#x20;mkdir&#x20;/etc/systemd/timesyncd.conf.d&#x20;!&#x20;grep&#x20;-Pqs&#x20;&#039;^h*[Time]&#039;&#x20;&quot;$disfile&quot;&#x20;&amp;&amp;&#x20;echo&#x20;&quot;[Time]&quot;&#x20;&gt;&gt;&#x20;&quot;$disfile&quot;&#x20;echo&#x20;&quot;FallbackNTP=$ntp_fb&quot;&#x20;&gt;&gt;&#x20;&quot;$disfile&quot;&#x20;fi&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;reload&#x20;the&#x20;systemd-timesyncd&#x20;configuration:&#x20;#&#x20;systemctl&#x20;try-reload-or-restart&#x20;systemd-timesyncd&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;systemd-timesyncd:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;systemd-timesyncd.','[{\"cis\": [\"2.1.3.1\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_3.2.1\": [\"10.4\"]}, {\"pci_dss_4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0002\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29550,'Ensure&#x20;systemd-timesyncd&#x20;is&#x20;enabled&#x20;and&#x20;running.','systemd-timesyncd&#x20;is&#x20;a&#x20;daemon&#x20;that&#x20;has&#x20;been&#x20;added&#x20;for&#x20;synchronizing&#x20;the&#x20;system&#x20;clock&#x20;across&#x20;the&#x20;network.','systemd-timesyncd&#x20;needs&#x20;to&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;in&#x20;order&#x20;to&#x20;synchronize&#x20;the&#x20;system&#x20;to&#x20;a&#x20;timeserver.&#x20;Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;and&#x20;to&#x20;ensure&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise&#x20;to&#x20;aid&#x20;in&#x20;forensic&#x20;investigations.','','IF&#x20;systemd-timesyncd&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;commands:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;systemd-timesyncd.service:&#x20;#&#x20;systemctl&#x20;unmask&#x20;systemd-timesyncd.service.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;systemd-timesyncd.service:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;systemd-timesyncd.service&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;systemd-timesyncd:&#x20;#&#x20;systemctl&#x20;--now&#x20;mask&#x20;systemd-timesyncd.service.','[{\"cis\": [\"2.1.3.2\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_3.2.1\": [\"10.4\"]}, {\"pci_dss_4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}]'),(29551,'Ensure&#x20;ntp&#x20;access&#x20;control&#x20;is&#x20;configured.','ntp&#x20;Access&#x20;Control&#x20;Commands:&#x20;restrict&#x20;address&#x20;[mask&#x20;mask]&#x20;[ippeerlimit&#x20;int]&#x20;[flag&#x20;...].&#x20;The&#x20;address&#x20;argument&#x20;expressed&#x20;in&#x20;dotted-quad&#x20;form&#x20;is&#x20;the&#x20;address&#x20;of&#x20;a&#x20;host&#x20;or&#x20;network.&#x20;Alternatively,&#x20;the&#x20;address&#x20;argument&#x20;can&#x20;be&#x20;a&#x20;valid&#x20;host&#x20;DNS&#x20;name.&#x20;The&#x20;mask&#x20;argument&#x20;expressed&#x20;in&#x20;dotted-quad&#x20;form&#x20;defaults&#x20;to&#x20;255.255.255.255,&#x20;meaning&#x20;that&#x20;the&#x20;address&#x20;is&#x20;treated&#x20;as&#x20;the&#x20;address&#x20;of&#x20;an&#x20;individual&#x20;host.&#x20;A&#x20;default&#x20;entry&#x20;&#40;address&#x20;0.0.0.0,&#x20;mask&#x20;0.0.0.0&#41;&#x20;is&#x20;always&#x20;included&#x20;and&#x20;is&#x20;always&#x20;the&#x20;first&#x20;entry&#x20;in&#x20;the&#x20;list.&#x20;Note:&#x20;the&#x20;text&#x20;string&#x20;default,&#x20;with&#x20;no&#x20;mask&#x20;option,&#x20;may&#x20;be&#x20;used&#x20;to&#x20;indicate&#x20;the&#x20;default&#x20;entry.&#x20;The&#x20;ippeerlimit&#x20;directive&#x20;limits&#x20;the&#x20;number&#x20;of&#x20;peer&#x20;requests&#x20;for&#x20;each&#x20;IP&#x20;to&#x20;int,&#x20;where&#x20;a&#x20;value&#x20;of&#x20;-1&#x20;means&#x20;&quot;unlimited&quot;,&#x20;the&#x20;current&#x20;default.&#x20;A&#x20;value&#x20;of&#x20;0&#x20;means&#x20;&quot;none&quot;.&#x20;There&#x20;would&#x20;usually&#x20;be&#x20;at&#x20;most&#x20;1&#x20;peering&#x20;request&#x20;per&#x20;IP,&#x20;but&#x20;if&#x20;the&#x20;remote&#x20;peering&#x20;requests&#x20;are&#x20;behind&#x20;a&#x20;proxy&#x20;there&#x20;could&#x20;well&#x20;be&#x20;more&#x20;than&#x20;1&#x20;per&#x20;IP.&#x20;In&#x20;the&#x20;current&#x20;implementation,&#x20;flag&#x20;always&#x20;restricts&#x20;access,&#x20;i.e.,&#x20;an&#x20;entry&#x20;with&#x20;no&#x20;flags&#x20;indicates&#x20;that&#x20;free&#x20;access&#x20;to&#x20;the&#x20;server&#x20;is&#x20;to&#x20;be&#x20;given.&#x20;The&#x20;flags&#x20;are&#x20;not&#x20;orthogonal,&#x20;in&#x20;that&#x20;more&#x20;restrictive&#x20;flags&#x20;will&#x20;often&#x20;make&#x20;less&#x20;restrictive&#x20;ones&#x20;redundant.&#x20;The&#x20;flags&#x20;can&#x20;generally&#x20;be&#x20;classed&#x20;into&#x20;two&#x20;categories,&#x20;those&#x20;which&#x20;restrict&#x20;time&#x20;service&#x20;and&#x20;those&#x20;which&#x20;restrict&#x20;informational&#x20;queries&#x20;and&#x20;attempts&#x20;to&#x20;do&#x20;run-time&#x20;reconfiguration&#x20;of&#x20;the&#x20;server.&#x20;One&#x20;or&#x20;more&#x20;of&#x20;the&#x20;following&#x20;flags&#x20;may&#x20;be&#x20;specified:&#x20;-&#x20;kod&#x20;-&#x20;If&#x20;this&#x20;flag&#x20;is&#x20;set&#x20;when&#x20;an&#x20;access&#x20;violation&#x20;occurs,&#x20;a&#x20;kiss-of-death&#x20;&#40;KoD&#41;&#x20;packet&#x20;is&#x20;sent.&#x20;KoD&#x20;packets&#x20;are&#x20;rate&#x20;limited&#x20;to&#x20;no&#x20;more&#x20;than&#x20;one&#x20;per&#x20;second.&#x20;If&#x20;another&#x20;KoD&#x20;packet&#x20;occurs&#x20;within&#x20;one&#x20;second&#x20;after&#x20;the&#x20;last&#x20;one,&#x20;the&#x20;packet&#x20;is&#x20;dropped.&#x20;-&#x20;limited&#x20;-&#x20;Deny&#x20;service&#x20;if&#x20;the&#x20;packet&#x20;spacing&#x20;violates&#x20;the&#x20;lower&#x20;limits&#x20;specified&#x20;in&#x20;the&#x20;discard&#x20;command.&#x20;A&#x20;history&#x20;of&#x20;clients&#x20;is&#x20;kept&#x20;using&#x20;the&#x20;monitoring&#x20;capability&#x20;of&#x20;ntpd.&#x20;Thus,&#x20;monitoring&#x20;is&#x20;always&#x20;active&#x20;as&#x20;long&#x20;as&#x20;there&#x20;is&#x20;a&#x20;restriction&#x20;entry&#x20;with&#x20;the&#x20;limited&#x20;flag.&#x20;-&#x20;lowpriotrap&#x20;-&#x20;Declare&#x20;traps&#x20;set&#x20;by&#x20;matching&#x20;hosts&#x20;to&#x20;be&#x20;low&#x20;priority.&#x20;The&#x20;number&#x20;of&#x20;traps&#x20;a&#x20;server&#x20;can&#x20;maintain&#x20;is&#x20;limited&#x20;&#40;the&#x20;current&#x20;limit&#x20;is&#x20;3&#41;.&#x20;Traps&#x20;are&#x20;usually&#x20;assigned&#x20;on&#x20;a&#x20;first&#x20;come,&#x20;first&#x20;served&#x20;basis,&#x20;with&#x20;later&#x20;trap&#x20;requestors&#x20;being&#x20;denied&#x20;service.&#x20;This&#x20;flag&#x20;modifies&#x20;the&#x20;assignment&#x20;algorithm&#x20;by&#x20;allowing&#x20;low&#x20;priority&#x20;traps&#x20;to&#x20;be&#x20;overridden&#x20;by&#x20;later&#x20;requests&#x20;for&#x20;normal&#x20;priority&#x20;traps.&#x20;-&#x20;noepeer&#x20;-&#x20;Deny&#x20;ephemeral&#x20;peer&#x20;requests,&#x20;even&#x20;if&#x20;they&#x20;come&#x20;from&#x20;an&#x20;authenticated&#x20;source.&#x20;Note&#x20;that&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;a&#x20;symmetric&#x20;key&#x20;for&#x20;authentication&#x20;may&#x20;be&#x20;restricted&#x20;to&#x20;one&#x20;or&#x20;more&#x20;IPs&#x20;or&#x20;subnets&#x20;via&#x20;the&#x20;third&#x20;field&#x20;of&#x20;the&#x20;ntp.keys&#x20;file.&#x20;This&#x20;restriction&#x20;is&#x20;not&#x20;enabled&#x20;by&#x20;default,&#x20;to&#x20;maintain&#x20;backward&#x20;compatibility.&#x20;Expect&#x20;noepeer&#x20;to&#x20;become&#x20;the&#x20;default&#x20;in&#x20;ntp-4.4.&#x20;-&#x20;nomodify&#x20;-&#x20;Deny&#x20;ntpq&#x20;and&#x20;ntpdc&#x20;queries&#x20;which&#x20;attempt&#x20;to&#x20;modify&#x20;the&#x20;state&#x20;of&#x20;the&#x20;server&#x20;&#40;i.e.,&#x20;run&#x20;time&#x20;reconfiguration&#41;.&#x20;Queries&#x20;which&#x20;return&#x20;information&#x20;are&#x20;permitted.&#x20;-&#x20;noquery&#x20;-&#x20;Deny&#x20;ntpq&#x20;and&#x20;ntpdc&#x20;queries.&#x20;Time&#x20;service&#x20;is&#x20;not&#x20;affected.&#x20;-&#x20;nopeer&#x20;-&#x20;Deny&#x20;unauthenticated&#x20;packets&#x20;which&#x20;would&#x20;result&#x20;in&#x20;mobilizing&#x20;a&#x20;new&#x20;association.&#x20;This&#x20;includes&#x20;broadcast&#x20;and&#x20;symmetric&#x20;active&#x20;packets&#x20;when&#x20;a&#x20;configured&#x20;association&#x20;does&#x20;not&#x20;exist.&#x20;It&#x20;also&#x20;includes&#x20;pool&#x20;associations,&#x20;so&#x20;if&#x20;you&#x20;want&#x20;to&#x20;use&#x20;servers&#x20;from&#x20;a&#x20;pool&#x20;directive&#x20;and&#x20;also&#x20;want&#x20;to&#x20;use&#x20;nopeer&#x20;by&#x20;default,&#x20;you&#039;ll&#x20;want&#x20;a&#x20;restrict&#x20;source&#x20;...&#x20;line&#x20;as&#x20;well&#x20;that&#x20;does&#x20;not&#x20;include&#x20;the&#x20;nopeer&#x20;directive.&#x20;-&#x20;noserve&#x20;-&#x20;Deny&#x20;all&#x20;packets&#x20;except&#x20;ntpq&#x20;and&#x20;ntpdc&#x20;queries.&#x20;-&#x20;notrap&#x20;-&#x20;Decline&#x20;to&#x20;provide&#x20;mode&#x20;6&#x20;control&#x20;message&#x20;trap&#x20;service&#x20;to&#x20;matching&#x20;hosts.&#x20;The&#x20;trap&#x20;service&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;ntpq&#x20;control&#x20;message&#x20;protocol&#x20;which&#x20;is&#x20;intended&#x20;for&#x20;use&#x20;by&#x20;remote&#x20;event&#x20;logging&#x20;programs.&#x20;-&#x20;notrust&#x20;-&#x20;Deny&#x20;service&#x20;unless&#x20;the&#x20;packet&#x20;is&#x20;cryptographically&#x20;authenticated.&#x20;-&#x20;ntpport&#x20;-&#x20;This&#x20;is&#x20;actually&#x20;a&#x20;match&#x20;algorithm&#x20;modifier,&#x20;rather&#x20;than&#x20;a&#x20;restriction&#x20;flag.&#x20;Its&#x20;presence&#x20;causes&#x20;the&#x20;restriction&#x20;entry&#x20;to&#x20;be&#x20;matched&#x20;only&#x20;if&#x20;the&#x20;source&#x20;port&#x20;in&#x20;the&#x20;packet&#x20;is&#x20;the&#x20;standard&#x20;NTP&#x20;UDP&#x20;port&#x20;&#40;123&#41;.&#x20;Both&#x20;ntpport&#x20;and&#x20;non-ntpport&#x20;may&#x20;be&#x20;specified.&#x20;The&#x20;ntpport&#x20;is&#x20;considered&#x20;more&#x20;specific&#x20;and&#x20;is&#x20;sorted&#x20;later&#x20;in&#x20;the&#x20;list.','If&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;proper&#x20;configuration&#x20;is&#x20;vital&#x20;to&#x20;ensuring&#x20;time&#x20;synchronization&#x20;is&#x20;accurate.','','Add&#x20;or&#x20;edit&#x20;restrict&#x20;lines&#x20;in&#x20;/etc/ntp.conf&#x20;to&#x20;match&#x20;the&#x20;following:&#x20;restrict&#x20;-4&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;restrict&#x20;-6&#x20;default&#x20;kod&#x20;nomodify&#x20;notrap&#x20;nopeer&#x20;noquery&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ntp&#x20;from&#x20;the&#x20;system:&#x20;#&#x20;apt&#x20;purge&#x20;ntp.','[{\"cis\": [\"2.1.4.1\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_3.2.1\": [\"10.4\"]}, {\"pci_dss_4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}]'),(29552,'Ensure&#x20;ntp&#x20;is&#x20;configured&#x20;with&#x20;authorized&#x20;timeserver.','The&#x20;various&#x20;modes&#x20;are&#x20;determined&#x20;by&#x20;the&#x20;command&#x20;keyword&#x20;and&#x20;the&#x20;type&#x20;of&#x20;the&#x20;required&#x20;IP&#x20;address.&#x20;Addresses&#x20;are&#x20;classed&#x20;by&#x20;type&#x20;as&#x20;&#40;s&#41;&#x20;a&#x20;remote&#x20;server&#x20;or&#x20;peer&#x20;&#40;IPv4&#x20;class&#x20;A,&#x20;B&#x20;and&#x20;C&#41;,&#x20;&#40;b&#41;&#x20;the&#x20;broadcast&#x20;address&#x20;of&#x20;a&#x20;local&#x20;interface,&#x20;&#40;m&#41;&#x20;a&#x20;multicast&#x20;address&#x20;&#40;IPv4&#x20;class&#x20;D&#41;,&#x20;or&#x20;&#40;r&#41;&#x20;a&#x20;reference&#x20;clock&#x20;address&#x20;&#40;127.127.x.x&#41;.&#x20;Note:&#x20;That&#x20;only&#x20;those&#x20;options&#x20;applicable&#x20;to&#x20;each&#x20;command&#x20;are&#x20;listed&#x20;below.&#x20;Use&#x20;of&#x20;options&#x20;not&#x20;listed&#x20;may&#x20;not&#x20;be&#x20;caught&#x20;as&#x20;an&#x20;error,&#x20;but&#x20;may&#x20;result&#x20;in&#x20;some&#x20;weird&#x20;and&#x20;even&#x20;destructive&#x20;behavior.&#x20;If&#x20;the&#x20;Basic&#x20;Socket&#x20;Interface&#x20;Extensions&#x20;for&#x20;IPv6&#x20;&#40;RFC-2553&#41;&#x20;is&#x20;detected,&#x20;support&#x20;for&#x20;the&#x20;IPv6&#x20;address&#x20;family&#x20;is&#x20;generated&#x20;in&#x20;addition&#x20;to&#x20;the&#x20;default&#x20;support&#x20;of&#x20;the&#x20;IPv4&#x20;address&#x20;family.&#x20;In&#x20;a&#x20;few&#x20;cases,&#x20;including&#x20;the&#x20;reslist&#x20;billboard&#x20;generated&#x20;by&#x20;ntpq&#x20;or&#x20;ntpdc,&#x20;IPv6&#x20;addresses&#x20;are&#x20;automatically&#x20;generated.&#x20;IPv6&#x20;addresses&#x20;can&#x20;be&#x20;identified&#x20;by&#x20;the&#x20;presence&#x20;of&#x20;colons&#x20;&quot;:&quot;&#x20;in&#x20;the&#x20;address&#x20;field.&#x20;IPv6&#x20;addresses&#x20;can&#x20;be&#x20;used&#x20;almost&#x20;everywhere&#x20;where&#x20;IPv4&#x20;addresses&#x20;can&#x20;be&#x20;used,&#x20;with&#x20;the&#x20;exception&#x20;of&#x20;reference&#x20;clock&#x20;addresses,&#x20;which&#x20;are&#x20;always&#x20;IPv4.&#x20;Note:&#x20;In&#x20;contexts&#x20;where&#x20;a&#x20;host&#x20;name&#x20;is&#x20;expected,&#x20;a&#x20;-4&#x20;qualifier&#x20;preceding&#x20;the&#x20;host&#x20;name&#x20;forces&#x20;DNS&#x20;resolution&#x20;to&#x20;the&#x20;IPv4&#x20;namespace,&#x20;while&#x20;a&#x20;-6&#x20;qualifier&#x20;forces&#x20;DNS&#x20;resolution&#x20;to&#x20;the&#x20;IPv6&#x20;namespace.&#x20;See&#x20;IPv6&#x20;references&#x20;for&#x20;the&#x20;equivalent&#x20;classes&#x20;for&#x20;that&#x20;address&#x20;family.&#x20;-&#x20;pool&#x20;-&#x20;For&#x20;type&#x20;s&#x20;addresses,&#x20;this&#x20;command&#x20;mobilizes&#x20;a&#x20;persistent&#x20;client&#x20;mode&#x20;association&#x20;with&#x20;a&#x20;number&#x20;of&#x20;remote&#x20;servers.&#x20;In&#x20;this&#x20;mode&#x20;the&#x20;local&#x20;clock&#x20;can&#x20;synchronized&#x20;to&#x20;the&#x20;remote&#x20;server,&#x20;but&#x20;the&#x20;remote&#x20;server&#x20;can&#x20;never&#x20;be&#x20;synchronized&#x20;to&#x20;the&#x20;local&#x20;clock.&#x20;-&#x20;server&#x20;-&#x20;For&#x20;type&#x20;s&#x20;and&#x20;r&#x20;addresses,&#x20;this&#x20;command&#x20;mobilizes&#x20;a&#x20;persistent&#x20;client&#x20;mode&#x20;association&#x20;with&#x20;the&#x20;specified&#x20;remote&#x20;server&#x20;or&#x20;local&#x20;radio&#x20;clock.&#x20;In&#x20;this&#x20;mode&#x20;the&#x20;local&#x20;clock&#x20;can&#x20;synchronized&#x20;to&#x20;the&#x20;remote&#x20;server,&#x20;but&#x20;the&#x20;remote&#x20;server&#x20;can&#x20;never&#x20;be&#x20;synchronized&#x20;to&#x20;the&#x20;local&#x20;clock.&#x20;This&#x20;command&#x20;should&#x20;not&#x20;be&#x20;used&#x20;for&#x20;type&#x20;b&#x20;or&#x20;m&#x20;addresses.','Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;and&#x20;to&#x20;ensure&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise&#x20;to&#x20;aid&#x20;in&#x20;forensic&#x20;investigations.','','Edit&#x20;/etc/ntp.conf&#x20;and&#x20;add&#x20;or&#x20;edit&#x20;server&#x20;or&#x20;pool&#x20;lines&#x20;as&#x20;appropriate&#x20;according&#x20;to&#x20;local&#x20;site&#x20;policy:&#x20;&lt;[server|pool]&gt;&#x20;&lt;[remote-server|remote-pool]&gt;&#x20;Examples:&#x20;pool&#x20;mode:&#x20;pool&#x20;time.nist.gov&#x20;iburst.&#x20;server&#x20;mode:&#x20;server&#x20;time-a-g.nist.gov&#x20;iburst&#x20;server&#x20;132.163.97.3&#x20;iburst&#x20;server&#x20;time-d-b.nist.gov&#x20;iburst&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;load&#x20;the&#x20;updated&#x20;time&#x20;sources&#x20;into&#x20;ntp&#x20;running&#x20;config:&#x20;#&#x20;systemctl&#x20;restart&#x20;ntp&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ntp&#x20;from&#x20;the&#x20;system:&#x20;#&#x20;apt&#x20;purge&#x20;ntp.','[{\"cis\": [\"2.1.4.2\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_3.2.1\": [\"10.4\"]}, {\"pci_dss_4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1498\", \"T1498.002\", \"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0002\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29553,'Ensure&#x20;ntp&#x20;is&#x20;running&#x20;as&#x20;user&#x20;ntp.','The&#x20;ntp&#x20;package&#x20;is&#x20;installed&#x20;with&#x20;a&#x20;dedicated&#x20;user&#x20;account&#x20;ntp.&#x20;This&#x20;account&#x20;is&#x20;granted&#x20;the&#x20;access&#x20;required&#x20;by&#x20;the&#x20;ntpd&#x20;daemon.&#x20;Note:&#x20;-&#x20;If&#x20;chrony&#x20;or&#x20;systemd-timesyncd&#x20;are&#x20;used,&#x20;ntp&#x20;should&#x20;be&#x20;removed&#x20;and&#x20;this&#x20;section&#x20;skipped.&#x20;-&#x20;This&#x20;recommendation&#x20;only&#x20;applies&#x20;if&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system.&#x20;-&#x20;Only&#x20;one&#x20;time&#x20;synchronization&#x20;method&#x20;should&#x20;be&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system.','The&#x20;ntpd&#x20;daemon&#x20;should&#x20;run&#x20;with&#x20;only&#x20;the&#x20;required&#x20;privilege.','','Add&#x20;or&#x20;edit&#x20;the&#x20;following&#x20;line&#x20;in&#x20;/etc/init.d/ntp:&#x20;RUNASUSER=ntp.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;ntp.service:&#x20;#&#x20;systemctl&#x20;restart&#x20;ntp.service&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ntp&#x20;from&#x20;the&#x20;system:&#x20;#&#x20;apt&#x20;purge&#x20;ntp.','[{\"cis\": [\"2.1.4.3\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_3.2.1\": [\"10.4\"]}, {\"pci_dss_4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}]'),(29554,'Ensure&#x20;ntp&#x20;is&#x20;enabled&#x20;and&#x20;running.','ntp&#x20;is&#x20;a&#x20;daemon&#x20;for&#x20;synchronizing&#x20;the&#x20;system&#x20;clock&#x20;across&#x20;the&#x20;network.','ntp&#x20;needs&#x20;to&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;in&#x20;order&#x20;to&#x20;synchronize&#x20;the&#x20;system&#x20;to&#x20;a&#x20;timeserver.&#x20;Time&#x20;synchronization&#x20;is&#x20;important&#x20;to&#x20;support&#x20;time&#x20;sensitive&#x20;security&#x20;mechanisms&#x20;and&#x20;to&#x20;ensure&#x20;log&#x20;files&#x20;have&#x20;consistent&#x20;time&#x20;records&#x20;across&#x20;the&#x20;enterprise&#x20;to&#x20;aid&#x20;in&#x20;forensic&#x20;investigations.','','IF&#x20;ntp&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;commands:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;ntp.service:&#x20;#&#x20;systemctl&#x20;unmask&#x20;ntp.service&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;ntp.service:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;ntp.service&#x20;OR&#x20;If&#x20;another&#x20;time&#x20;synchronization&#x20;service&#x20;is&#x20;in&#x20;use&#x20;on&#x20;the&#x20;system,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ntp:&#x20;#&#x20;apt&#x20;purge&#x20;ntp.','[{\"cis\": [\"2.1.4.4\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"pci_dss_3.2.1\": [\"10.4\"]}, {\"pci_dss_4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}]'),(29555,'Ensure&#x20;X&#x20;Window&#x20;System&#x20;is&#x20;not&#x20;installed.','The&#x20;X&#x20;Window&#x20;System&#x20;provides&#x20;a&#x20;Graphical&#x20;User&#x20;Interface&#x20;&#40;GUI&#41;&#x20;where&#x20;users&#x20;can&#x20;have&#x20;multiple&#x20;windows&#x20;in&#x20;which&#x20;to&#x20;run&#x20;programs&#x20;and&#x20;various&#x20;add&#x20;on.&#x20;The&#x20;X&#x20;Windows&#x20;system&#x20;is&#x20;typically&#x20;used&#x20;on&#x20;workstations&#x20;where&#x20;users&#x20;login,&#x20;but&#x20;not&#x20;on&#x20;servers&#x20;where&#x20;users&#x20;typically&#x20;do&#x20;not&#x20;login.','Unless&#x20;your&#x20;organization&#x20;specifically&#x20;requires&#x20;graphical&#x20;login&#x20;access&#x20;via&#x20;X&#x20;Windows,&#x20;remove&#x20;it&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','Many&#x20;Linux&#x20;systems&#x20;run&#x20;applications&#x20;which&#x20;require&#x20;a&#x20;Java&#x20;runtime.&#x20;Some&#x20;Linux&#x20;Java&#x20;packages&#x20;have&#x20;a&#x20;dependency&#x20;on&#x20;specific&#x20;X&#x20;Windows&#x20;xorg-x11-fonts.&#x20;One&#x20;workaround&#x20;to&#x20;avoid&#x20;this&#x20;dependency&#x20;is&#x20;to&#x20;use&#x20;the&#x20;&quot;headless&quot;&#x20;Java&#x20;packages&#x20;for&#x20;your&#x20;specific&#x20;Java&#x20;runtime,&#x20;if&#x20;provided&#x20;by&#x20;your&#x20;distribution.','Remove&#x20;the&#x20;X&#x20;Windows&#x20;System&#x20;packages:&#x20;apt&#x20;purge&#x20;xserver-xorg*.','[{\"cis\": [\"2.2.1\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"2.6\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.12.5.1\", \"A.12.6.2\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29556,'Ensure&#x20;Avahi&#x20;Server&#x20;is&#x20;not&#x20;installed.','Avahi&#x20;is&#x20;a&#x20;free&#x20;zeroconf&#x20;implementation,&#x20;including&#x20;a&#x20;system&#x20;for&#x20;multicast&#x20;DNS/DNS-SD&#x20;service&#x20;discovery.&#x20;Avahi&#x20;allows&#x20;programs&#x20;to&#x20;publish&#x20;and&#x20;discover&#x20;services&#x20;and&#x20;hosts&#x20;running&#x20;on&#x20;a&#x20;local&#x20;network&#x20;with&#x20;no&#x20;specific&#x20;configuration.&#x20;For&#x20;example,&#x20;a&#x20;user&#x20;can&#x20;plug&#x20;a&#x20;computer&#x20;into&#x20;a&#x20;network&#x20;and&#x20;Avahi&#x20;automatically&#x20;finds&#x20;printers&#x20;to&#x20;print&#x20;to,&#x20;files&#x20;to&#x20;look&#x20;at&#x20;and&#x20;people&#x20;to&#x20;talk&#x20;to,&#x20;as&#x20;well&#x20;as&#x20;network&#x20;services&#x20;running&#x20;on&#x20;the&#x20;machine.','Automatic&#x20;discovery&#x20;of&#x20;network&#x20;services&#x20;is&#x20;not&#x20;normally&#x20;required&#x20;for&#x20;system&#x20;functionality.&#x20;It&#x20;is&#x20;recommended&#x20;to&#x20;remove&#x20;this&#x20;package&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;avahi-daemon:&#x20;#&#x20;systemctl&#x20;stop&#x20;avahi-daaemon.service&#x20;#&#x20;systemctl&#x20;stop&#x20;avahi-daemon.socket&#x20;#&#x20;apt&#x20;purge&#x20;avahi-daemon.','[{\"cis\": [\"2.2.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29557,'Ensure&#x20;CUPS&#x20;is&#x20;not&#x20;installed.','The&#x20;Common&#x20;Unix&#x20;Print&#x20;System&#x20;&#40;CUPS&#41;&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;print&#x20;to&#x20;both&#x20;local&#x20;and&#x20;network&#x20;printers.&#x20;A&#x20;system&#x20;running&#x20;CUPS&#x20;can&#x20;also&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;remote&#x20;systems&#x20;and&#x20;print&#x20;them&#x20;to&#x20;local&#x20;printers.&#x20;It&#x20;also&#x20;provides&#x20;a&#x20;web&#x20;based&#x20;remote&#x20;administration&#x20;capability.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;need&#x20;to&#x20;print&#x20;jobs&#x20;or&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;systems,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;CUPS&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','Removing&#x20;CUPS&#x20;will&#x20;prevent&#x20;printing&#x20;from&#x20;the&#x20;system,&#x20;a&#x20;common&#x20;task&#x20;for&#x20;workstation&#x20;systems.','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;cups:&#x20;#&#x20;apt&#x20;purge&#x20;cups.','[{\"cis\": [\"2.2.3\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29558,'Ensure&#x20;DHCP&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;Dynamic&#x20;Host&#x20;Configuration&#x20;Protocol&#x20;&#40;DHCP&#41;&#x20;is&#x20;a&#x20;service&#x20;that&#x20;allows&#x20;machines&#x20;to&#x20;be&#x20;dynamically&#x20;assigned&#x20;IP&#x20;addresses.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;set&#x20;up&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DHCP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;isc-dhcp-server:&#x20;#&#x20;apt&#x20;purge&#x20;isc-dhcp-server.','[{\"cis\": [\"2.2.4\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29559,'Ensure&#x20;LDAP&#x20;server&#x20;is&#x20;not&#x20;installed.','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;slapd:&#x20;#&#x20;apt&#x20;purge&#x20;slapd.','[{\"cis\": [\"2.2.5\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29560,'Ensure&#x20;NFS&#x20;is&#x20;not&#x20;installed.','The&#x20;Network&#x20;File&#x20;System&#x20;&#40;NFS&#41;&#x20;is&#x20;one&#x20;of&#x20;the&#x20;first&#x20;and&#x20;most&#x20;widely&#x20;distributed&#x20;file&#x20;systems&#x20;in&#x20;the&#x20;UNIX&#x20;environment.&#x20;It&#x20;provides&#x20;the&#x20;ability&#x20;for&#x20;systems&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;of&#x20;other&#x20;servers&#x20;through&#x20;the&#x20;network.','If&#x20;the&#x20;system&#x20;does&#x20;not&#x20;export&#x20;NFS&#x20;shares,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;nfs-kernel-server&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nfs:&#x20;#&#x20;apt&#x20;purge&#x20;nfs-kernel-server.','[{\"cis\": [\"2.2.6\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}]'),(29561,'Ensure&#x20;DNS&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;Domain&#x20;Name&#x20;System&#x20;&#40;DNS&#41;&#x20;is&#x20;a&#x20;hierarchical&#x20;naming&#x20;system&#x20;that&#x20;maps&#x20;names&#x20;to&#x20;IP&#x20;addresses&#x20;for&#x20;computers,&#x20;services&#x20;and&#x20;other&#x20;resources&#x20;connected&#x20;to&#x20;a&#x20;network.','Unless&#x20;a&#x20;system&#x20;is&#x20;specifically&#x20;designated&#x20;to&#x20;act&#x20;as&#x20;a&#x20;DNS&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;DNS&#x20;server:&#x20;#&#x20;apt&#x20;purge&#x20;bind9.','[{\"cis\": [\"2.2.7\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29562,'Ensure&#x20;FTP&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;File&#x20;Transfer&#x20;Protocol&#x20;&#40;FTP&#41;&#x20;provides&#x20;networked&#x20;computers&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;transfer&#x20;files.','FTP&#x20;does&#x20;not&#x20;protect&#x20;the&#x20;confidentiality&#x20;of&#x20;data&#x20;or&#x20;authentication&#x20;credentials.&#x20;It&#x20;is&#x20;recommended&#x20;SFTP&#x20;be&#x20;used&#x20;if&#x20;file&#x20;transfer&#x20;is&#x20;required.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;FTP&#x20;server&#x20;&#40;for&#x20;example,&#x20;to&#x20;allow&#x20;anonymous&#x20;downloads&#41;,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;vsftpd:&#x20;#&#x20;apt&#x20;purge&#x20;vsftpd.','[{\"cis\": [\"2.2.8\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29563,'Ensure&#x20;HTTP&#x20;server&#x20;is&#x20;not&#x20;installed.','HTTP&#x20;or&#x20;web&#x20;servers&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;host&#x20;web&#x20;site&#x20;content.','Unless&#x20;there&#x20;is&#x20;a&#x20;need&#x20;to&#x20;run&#x20;the&#x20;system&#x20;as&#x20;a&#x20;web&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;apache:&#x20;#&#x20;apt&#x20;purge&#x20;apache2.','[{\"cis\": [\"2.2.9\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29564,'Ensure&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;are&#x20;not&#x20;installed.','dovecot-imapd&#x20;and&#x20;dovecot-pop3d&#x20;are&#x20;an&#x20;open&#x20;source&#x20;IMAP&#x20;and&#x20;POP3&#x20;server&#x20;for&#x20;Linux&#x20;based&#x20;systems.','Unless&#x20;POP3&#x20;and/or&#x20;IMAP&#x20;servers&#x20;are&#x20;to&#x20;be&#x20;provided&#x20;by&#x20;this&#x20;system,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;package&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;dovecot-imapd&#x20;and&#x20;dovecot-pop3d:&#x20;#&#x20;apt&#x20;purge&#x20;dovecot-imapd&#x20;dovecot-pop3d.','[{\"cis\": [\"2.2.10\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29565,'Ensure&#x20;Samba&#x20;is&#x20;not&#x20;installed.','The&#x20;Samba&#x20;daemon&#x20;allows&#x20;system&#x20;administrators&#x20;to&#x20;configure&#x20;their&#x20;Linux&#x20;systems&#x20;to&#x20;share&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;with&#x20;Windows&#x20;desktops.&#x20;Samba&#x20;will&#x20;advertise&#x20;the&#x20;file&#x20;systems&#x20;and&#x20;directories&#x20;via&#x20;the&#x20;Server&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol.&#x20;Windows&#x20;desktop&#x20;users&#x20;will&#x20;be&#x20;able&#x20;to&#x20;mount&#x20;these&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;as&#x20;letter&#x20;drives&#x20;on&#x20;their&#x20;systems.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;mount&#x20;directories&#x20;and&#x20;file&#x20;systems&#x20;to&#x20;Windows&#x20;systems,&#x20;then&#x20;this&#x20;service&#x20;should&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;samba:&#x20;#&#x20;apt&#x20;purge&#x20;samba.','[{\"cis\": [\"2.2.11\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1005\", \"T1039\", \"T1083\", \"T1135\", \"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}]'),(29566,'Ensure&#x20;HTTP&#x20;Proxy&#x20;Server&#x20;is&#x20;not&#x20;installed.','Squid&#x20;is&#x20;a&#x20;standard&#x20;proxy&#x20;server&#x20;used&#x20;in&#x20;many&#x20;distributions&#x20;and&#x20;environments.','If&#x20;there&#x20;is&#x20;no&#x20;need&#x20;for&#x20;a&#x20;proxy&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;squid&#x20;proxy&#x20;be&#x20;deleted&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;squid:&#x20;#&#x20;apt&#x20;purge&#x20;squid.','[{\"cis\": [\"2.2.12\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29567,'Ensure&#x20;SNMP&#x20;Server&#x20;is&#x20;not&#x20;installed.','Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;is&#x20;a&#x20;widely&#x20;used&#x20;protocol&#x20;for&#x20;monitoring&#x20;the&#x20;health&#x20;and&#x20;welfare&#x20;of&#x20;network&#x20;equipment,&#x20;computer&#x20;equipment&#x20;and&#x20;devices&#x20;like&#x20;UPSs.&#x20;Net-SNMP&#x20;is&#x20;a&#x20;suite&#x20;of&#x20;applications&#x20;used&#x20;to&#x20;implement&#x20;SNMPv1&#x20;&#40;RFC&#x20;1157&#41;,&#x20;SNMPv2&#x20;&#40;RFCs&#x20;1901-1908&#41;,&#x20;and&#x20;SNMPv3&#x20;&#40;RFCs&#x20;3411-3418&#41;&#x20;using&#x20;both&#x20;IPv4&#x20;and&#x20;IPv6.&#x20;Support&#x20;for&#x20;SNMPv2&#x20;classic&#x20;&#40;a.k.a.&#x20;&quot;SNMPv2&#x20;historic&quot;&#x20;-&#x20;RFCs&#x20;1441-1452&#41;&#x20;was&#x20;dropped&#x20;with&#x20;the&#x20;4.0&#x20;release&#x20;of&#x20;the&#x20;UCD-snmp&#x20;package.&#x20;The&#x20;Simple&#x20;Network&#x20;Management&#x20;Protocol&#x20;&#40;SNMP&#41;&#x20;server&#x20;is&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;SNMP&#x20;commands&#x20;from&#x20;an&#x20;SNMP&#x20;management&#x20;system,&#x20;execute&#x20;the&#x20;commands&#x20;or&#x20;collect&#x20;the&#x20;information&#x20;and&#x20;then&#x20;send&#x20;results&#x20;back&#x20;to&#x20;the&#x20;requesting&#x20;system.','The&#x20;SNMP&#x20;server&#x20;can&#x20;communicate&#x20;using&#x20;SNMPv1,&#x20;which&#x20;transmits&#x20;data&#x20;in&#x20;the&#x20;clear&#x20;and&#x20;does&#x20;not&#x20;require&#x20;authentication&#x20;to&#x20;execute&#x20;commands.&#x20;SNMPv3&#x20;replaces&#x20;the&#x20;simple/clear&#x20;text&#x20;password&#x20;sharing&#x20;used&#x20;in&#x20;SNMPv2&#x20;with&#x20;more&#x20;securely&#x20;encoded&#x20;parameters.&#x20;If&#x20;the&#x20;the&#x20;SNMP&#x20;service&#x20;is&#x20;not&#x20;required,&#x20;the&#x20;net-snmp&#x20;package&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.&#x20;Note:&#x20;If&#x20;SNMP&#x20;is&#x20;required:&#x20;-&#x20;The&#x20;server&#x20;should&#x20;be&#x20;configured&#x20;for&#x20;SNMP&#x20;v3&#x20;only.&#x20;User&#x20;Authentication&#x20;and&#x20;Message&#x20;Encryption&#x20;should&#x20;be&#x20;configured.&#x20;-&#x20;If&#x20;SNMP&#x20;v2&#x20;is&#x20;absolutely&#x20;necessary,&#x20;modify&#x20;the&#x20;community&#x20;strings&#039;&#x20;values.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;snmp:&#x20;#&#x20;apt&#x20;purge&#x20;snmp.','[{\"cis\": [\"2.2.13\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29568,'Ensure&#x20;NIS&#x20;Server&#x20;is&#x20;not&#x20;installed.','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;&#x20;&#40;formally&#x20;known&#x20;as&#x20;Yellow&#x20;Pages&#41;&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;for&#x20;distributing&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;server&#x20;is&#x20;a&#x20;collection&#x20;of&#x20;programs&#x20;that&#x20;allow&#x20;for&#x20;the&#x20;distribution&#x20;of&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed&#x20;and&#x20;other,&#x20;more&#x20;secure&#x20;services&#x20;be&#x20;used.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nis:&#x20;#&#x20;apt&#x20;purge&#x20;nis.','[{\"cis\": [\"2.2.14\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1210\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29569,'Ensure&#x20;mail&#x20;transfer&#x20;agent&#x20;is&#x20;configured&#x20;for&#x20;local-only&#x20;mode.','Mail&#x20;Transfer&#x20;Agents&#x20;&#40;MTA&#41;,&#x20;such&#x20;as&#x20;sendmail&#x20;and&#x20;Postfix,&#x20;are&#x20;used&#x20;to&#x20;listen&#x20;for&#x20;incoming&#x20;mail&#x20;and&#x20;transfer&#x20;the&#x20;messages&#x20;to&#x20;the&#x20;appropriate&#x20;user&#x20;or&#x20;mail&#x20;server.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;not&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;MTA&#x20;be&#x20;configured&#x20;to&#x20;only&#x20;process&#x20;local&#x20;mail.','The&#x20;software&#x20;for&#x20;all&#x20;Mail&#x20;Transfer&#x20;Agents&#x20;is&#x20;complex&#x20;and&#x20;most&#x20;have&#x20;a&#x20;long&#x20;history&#x20;of&#x20;security&#x20;issues.&#x20;While&#x20;it&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;system&#x20;can&#x20;process&#x20;local&#x20;mail&#x20;messages,&#x20;it&#x20;is&#x20;not&#x20;necessary&#x20;to&#x20;have&#x20;the&#x20;MTA&#039;s&#x20;daemon&#x20;listening&#x20;on&#x20;a&#x20;port&#x20;unless&#x20;the&#x20;server&#x20;is&#x20;intended&#x20;to&#x20;be&#x20;a&#x20;mail&#x20;server&#x20;that&#x20;receives&#x20;and&#x20;processes&#x20;mail&#x20;from&#x20;other&#x20;systems.&#x20;Note:&#x20;This&#x20;recommendation&#x20;is&#x20;designed&#x20;around&#x20;the&#x20;postfix&#x20;mail&#x20;server.&#x20;Depending&#x20;on&#x20;your&#x20;environment&#x20;you&#x20;may&#x20;have&#x20;an&#x20;alternative&#x20;MTA&#x20;installed&#x20;such&#x20;as&#x20;exim4.&#x20;If&#x20;this&#x20;is&#x20;the&#x20;case&#x20;consult&#x20;the&#x20;documentation&#x20;for&#x20;your&#x20;installed&#x20;MTA&#x20;to&#x20;configure&#x20;the&#x20;recommended&#x20;state.','','Edit&#x20;/etc/postfix/main.cf&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;RECEIVING&#x20;MAIL&#x20;section.&#x20;If&#x20;the&#x20;line&#x20;already&#x20;exists,&#x20;change&#x20;it&#x20;to&#x20;look&#x20;like&#x20;the&#x20;line&#x20;below:&#x20;inet_interfaces&#x20;=&#x20;loopback-only.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;postfix:&#x20;#&#x20;systemctl&#x20;restart&#x20;postfix.','[{\"cis\": [\"2.2.15\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1018\", \"T1210\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29570,'Ensure&#x20;rsync&#x20;service&#x20;is&#x20;either&#x20;not&#x20;installed&#x20;or&#x20;masked.','The&#x20;rsync&#x20;service&#x20;can&#x20;be&#x20;used&#x20;to&#x20;synchronize&#x20;files&#x20;between&#x20;systems&#x20;over&#x20;network&#x20;links.','The&#x20;rsync&#x20;service&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.&#x20;The&#x20;rsync&#x20;package&#x20;should&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;attack&#x20;area&#x20;of&#x20;the&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;rsync:&#x20;#&#x20;apt&#x20;purge&#x20;rsync&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;stop&#x20;and&#x20;mask&#x20;rsync:&#x20;#&#x20;systemctl&#x20;stop&#x20;rsync&#x20;#&#x20;systemctl&#x20;mask&#x20;rsync.','[{\"cis\": [\"2.2.16\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1105\", \"T1203\", \"T1210\", \"T1543\", \"T1543.002\", \"T1570\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29571,'Ensure&#x20;NIS&#x20;Client&#x20;is&#x20;not&#x20;installed.','The&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;,&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages,&#x20;is&#x20;a&#x20;client-server&#x20;directory&#x20;service&#x20;protocol&#x20;used&#x20;to&#x20;distribute&#x20;system&#x20;configuration&#x20;files.&#x20;The&#x20;NIS&#x20;client&#x20;was&#x20;used&#x20;to&#x20;bind&#x20;a&#x20;machine&#x20;to&#x20;an&#x20;NIS&#x20;server&#x20;and&#x20;receive&#x20;the&#x20;distributed&#x20;configuration&#x20;files.','The&#x20;NIS&#x20;service&#x20;is&#x20;inherently&#x20;an&#x20;insecure&#x20;system&#x20;that&#x20;has&#x20;been&#x20;vulnerable&#x20;to&#x20;DOS&#x20;attacks,&#x20;buffer&#x20;overflows&#x20;and&#x20;has&#x20;poor&#x20;authentication&#x20;for&#x20;querying&#x20;NIS&#x20;maps.&#x20;NIS&#x20;generally&#x20;has&#x20;been&#x20;replaced&#x20;by&#x20;such&#x20;protocols&#x20;as&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;service&#x20;be&#x20;removed.','Many&#x20;insecure&#x20;service&#x20;clients&#x20;are&#x20;used&#x20;as&#x20;troubleshooting&#x20;tools&#x20;and&#x20;in&#x20;testing&#x20;environments.&#x20;Uninstalling&#x20;them&#x20;can&#x20;inhibit&#x20;capability&#x20;to&#x20;test&#x20;and&#x20;troubleshoot.&#x20;If&#x20;they&#x20;are&#x20;required&#x20;it&#x20;is&#x20;advisable&#x20;to&#x20;remove&#x20;the&#x20;clients&#x20;after&#x20;use&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;intentional&#x20;misuse.','Uninstall&#x20;nis:&#x20;#&#x20;apt&#x20;purge&#x20;nis.','[{\"cis\": [\"2.3.1\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"2.6\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.12.5.1\", \"A.12.6.2\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29572,'Ensure&#x20;rsh&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;rsh-client&#x20;package&#x20;contains&#x20;the&#x20;client&#x20;commands&#x20;for&#x20;the&#x20;rsh&#x20;services.','These&#x20;legacy&#x20;clients&#x20;contain&#x20;numerous&#x20;security&#x20;exposures&#x20;and&#x20;have&#x20;been&#x20;replaced&#x20;with&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;package.&#x20;Even&#x20;if&#x20;the&#x20;server&#x20;is&#x20;removed,&#x20;it&#x20;is&#x20;best&#x20;to&#x20;ensure&#x20;the&#x20;clients&#x20;are&#x20;also&#x20;removed&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;inadvertently&#x20;attempting&#x20;to&#x20;use&#x20;these&#x20;commands&#x20;and&#x20;therefore&#x20;exposing&#x20;their&#x20;credentials.&#x20;Note&#x20;that&#x20;removing&#x20;the&#x20;rsh&#x20;package&#x20;removes&#x20;the&#x20;clients&#x20;for&#x20;rsh,&#x20;rcp&#x20;and&#x20;rlogin.','Many&#x20;insecure&#x20;service&#x20;clients&#x20;are&#x20;used&#x20;as&#x20;troubleshooting&#x20;tools&#x20;and&#x20;in&#x20;testing&#x20;environments.&#x20;Uninstalling&#x20;them&#x20;can&#x20;inhibit&#x20;capability&#x20;to&#x20;test&#x20;and&#x20;troubleshoot.&#x20;If&#x20;they&#x20;are&#x20;required&#x20;it&#x20;is&#x20;advisable&#x20;to&#x20;remove&#x20;the&#x20;clients&#x20;after&#x20;use&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;intentional&#x20;misuse.','Uninstall&#x20;rsh:&#x20;#&#x20;apt&#x20;purge&#x20;rsh-client.','[{\"cis\": [\"2.3.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1040\", \"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1041\", \"M1042\"]}]'),(29573,'Ensure&#x20;talk&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;talk&#x20;software&#x20;makes&#x20;it&#x20;possible&#x20;for&#x20;users&#x20;to&#x20;send&#x20;and&#x20;receive&#x20;messages&#x20;across&#x20;systems&#x20;through&#x20;a&#x20;terminal&#x20;session.&#x20;The&#x20;talk&#x20;client,&#x20;which&#x20;allows&#x20;initialization&#x20;of&#x20;talk&#x20;sessions,&#x20;is&#x20;installed&#x20;by&#x20;default.','The&#x20;software&#x20;presents&#x20;a&#x20;security&#x20;risk&#x20;as&#x20;it&#x20;uses&#x20;unencrypted&#x20;protocols&#x20;for&#x20;communication.','Many&#x20;insecure&#x20;service&#x20;clients&#x20;are&#x20;used&#x20;as&#x20;troubleshooting&#x20;tools&#x20;and&#x20;in&#x20;testing&#x20;environments.&#x20;Uninstalling&#x20;them&#x20;can&#x20;inhibit&#x20;capability&#x20;to&#x20;test&#x20;and&#x20;troubleshoot.&#x20;If&#x20;they&#x20;are&#x20;required&#x20;it&#x20;is&#x20;advisable&#x20;to&#x20;remove&#x20;the&#x20;clients&#x20;after&#x20;use&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;intentional&#x20;misuse.','Uninstall&#x20;talk:&#x20;#&#x20;apt&#x20;purge&#x20;talk.','[{\"cis\": [\"2.3.3\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0006\", \"TA0008\"]}, {\"mitre_mitigations\": [\"M1041\", \"M1042\"]}]'),(29574,'Ensure&#x20;telnet&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;telnet&#x20;package&#x20;contains&#x20;the&#x20;telnet&#x20;client,&#x20;which&#x20;allows&#x20;users&#x20;to&#x20;start&#x20;connections&#x20;to&#x20;other&#x20;systems&#x20;via&#x20;the&#x20;telnet&#x20;protocol.','The&#x20;telnet&#x20;protocol&#x20;is&#x20;insecure&#x20;and&#x20;unencrypted.&#x20;The&#x20;use&#x20;of&#x20;an&#x20;unencrypted&#x20;transmission&#x20;medium&#x20;could&#x20;allow&#x20;an&#x20;unauthorized&#x20;user&#x20;to&#x20;steal&#x20;credentials.&#x20;The&#x20;ssh&#x20;package&#x20;provides&#x20;an&#x20;encrypted&#x20;session&#x20;and&#x20;stronger&#x20;security&#x20;and&#x20;is&#x20;included&#x20;in&#x20;most&#x20;Linux&#x20;distributions.','Many&#x20;insecure&#x20;service&#x20;clients&#x20;are&#x20;used&#x20;as&#x20;troubleshooting&#x20;tools&#x20;and&#x20;in&#x20;testing&#x20;environments.&#x20;Uninstalling&#x20;them&#x20;can&#x20;inhibit&#x20;capability&#x20;to&#x20;test&#x20;and&#x20;troubleshoot.&#x20;If&#x20;they&#x20;are&#x20;required&#x20;it&#x20;is&#x20;advisable&#x20;to&#x20;remove&#x20;the&#x20;clients&#x20;after&#x20;use&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;intentional&#x20;misuse.','Uninstall&#x20;telnet:&#x20;#&#x20;apt&#x20;purge&#x20;telnet.','[{\"cis\": [\"2.3.4\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1040\", \"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0006\", \"TA0008\"]}, {\"mitre_mitigations\": [\"M1041\", \"M1042\"]}]'),(29575,'Ensure&#x20;LDAP&#x20;client&#x20;is&#x20;not&#x20;installed.','The&#x20;Lightweight&#x20;Directory&#x20;Access&#x20;Protocol&#x20;&#40;LDAP&#41;&#x20;was&#x20;introduced&#x20;as&#x20;a&#x20;replacement&#x20;for&#x20;NIS/YP.&#x20;It&#x20;is&#x20;a&#x20;service&#x20;that&#x20;provides&#x20;a&#x20;method&#x20;for&#x20;looking&#x20;up&#x20;information&#x20;from&#x20;a&#x20;central&#x20;database.','If&#x20;the&#x20;system&#x20;will&#x20;not&#x20;need&#x20;to&#x20;act&#x20;as&#x20;an&#x20;LDAP&#x20;client,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;software&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;potential&#x20;attack&#x20;surface.','Removing&#x20;the&#x20;LDAP&#x20;client&#x20;will&#x20;prevent&#x20;or&#x20;inhibit&#x20;using&#x20;LDAP&#x20;for&#x20;authentication&#x20;in&#x20;your&#x20;environment.','Uninstall&#x20;ldap-utils:&#x20;#&#x20;apt&#x20;purge&#x20;ldap-utils.','[{\"cis\": [\"2.3.5\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29576,'Ensure&#x20;RPC&#x20;is&#x20;not&#x20;installed.','Remote&#x20;Procedure&#x20;Call&#x20;&#40;RPC&#41;&#x20;is&#x20;a&#x20;method&#x20;for&#x20;creating&#x20;low&#x20;level&#x20;client&#x20;server&#x20;applications&#x20;across&#x20;different&#x20;system&#x20;architectures.&#x20;It&#x20;requires&#x20;an&#x20;RPC&#x20;compliant&#x20;client&#x20;listening&#x20;on&#x20;a&#x20;network&#x20;port.&#x20;The&#x20;supporting&#x20;package&#x20;is&#x20;rpcbind.','If&#x20;RPC&#x20;is&#x20;not&#x20;required,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;services&#x20;be&#x20;removed&#x20;to&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surface.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;rpcbind:&#x20;#&#x20;apt&#x20;purge&#x20;rpcbind.','[{\"cis\": [\"2.3.6\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1203\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29577,'Ensure&#x20;ufw&#x20;is&#x20;installed.','The&#x20;Uncomplicated&#x20;Firewall&#x20;&#40;ufw&#41;&#x20;is&#x20;a&#x20;frontend&#x20;for&#x20;iptables&#x20;and&#x20;is&#x20;particularly&#x20;well-suited&#x20;for&#x20;host-based&#x20;firewalls.&#x20;ufw&#x20;provides&#x20;a&#x20;framework&#x20;for&#x20;managing&#x20;netfilter,&#x20;as&#x20;well&#x20;as&#x20;a&#x20;command-line&#x20;interface&#x20;for&#x20;manipulating&#x20;the&#x20;firewall.','A&#x20;firewall&#x20;utility&#x20;is&#x20;required&#x20;to&#x20;configure&#x20;the&#x20;Linux&#x20;kernel&#039;s&#x20;netfilter&#x20;framework&#x20;via&#x20;the&#x20;iptables&#x20;or&#x20;nftables&#x20;back-end.&#x20;The&#x20;Linux&#x20;kernel&#039;s&#x20;netfilter&#x20;framework&#x20;host-based&#x20;firewall&#x20;can&#x20;protect&#x20;against&#x20;threats&#x20;originating&#x20;from&#x20;within&#x20;a&#x20;corporate&#x20;network&#x20;to&#x20;include&#x20;malicious&#x20;mobile&#x20;code&#x20;and&#x20;poorly&#x20;configured&#x20;software&#x20;on&#x20;a&#x20;host.&#x20;Note:&#x20;Only&#x20;one&#x20;firewall&#x20;utility&#x20;should&#x20;be&#x20;installed&#x20;and&#x20;configured.&#x20;UFW&#x20;is&#x20;dependent&#x20;on&#x20;the&#x20;iptables&#x20;package.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;Uncomplicated&#x20;Firewall&#x20;&#40;UFW&#41;:&#x20;#&#x20;apt&#x20;install&#x20;ufw.','[{\"cis\": [\"3.5.1.1\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29578,'Ensure&#x20;iptables-persistent&#x20;is&#x20;not&#x20;installed&#x20;with&#x20;ufw.','The&#x20;iptables-persistent&#x20;is&#x20;a&#x20;boot-time&#x20;loader&#x20;for&#x20;netfilter&#x20;rules,&#x20;iptables&#x20;plugin.','Running&#x20;both&#x20;ufw&#x20;and&#x20;the&#x20;services&#x20;included&#x20;in&#x20;the&#x20;iptables-persistent&#x20;package&#x20;may&#x20;lead&#x20;to&#x20;conflict.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;iptables-persistent&#x20;package:&#x20;#&#x20;apt&#x20;purge&#x20;iptables-persistent.','[{\"cis\": [\"3.5.1.2\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29579,'Ensure&#x20;ufw&#x20;service&#x20;is&#x20;enabled.','UncomplicatedFirewall&#x20;&#40;ufw&#41;&#x20;is&#x20;a&#x20;frontend&#x20;for&#x20;iptables.&#x20;ufw&#x20;provides&#x20;a&#x20;framework&#x20;for&#x20;managing&#x20;netfilter,&#x20;as&#x20;well&#x20;as&#x20;a&#x20;command-line&#x20;and&#x20;available&#x20;graphical&#x20;user&#x20;interface&#x20;for&#x20;manipulating&#x20;the&#x20;firewall.&#x20;Notes:&#x20;-&#x20;When&#x20;running&#x20;ufw&#x20;enable&#x20;or&#x20;starting&#x20;ufw&#x20;via&#x20;its&#x20;initscript,&#x20;ufw&#x20;will&#x20;flush&#x20;its&#x20;chains.&#x20;This&#x20;is&#x20;required&#x20;so&#x20;ufw&#x20;can&#x20;maintain&#x20;a&#x20;consistent&#x20;state,&#x20;but&#x20;it&#x20;may&#x20;drop&#x20;existing&#x20;connections&#x20;&#40;eg&#x20;ssh&#41;.&#x20;ufw&#x20;does&#x20;support&#x20;adding&#x20;rules&#x20;before&#x20;enabling&#x20;the&#x20;firewall.&#x20;-&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;before&#x20;running&#x20;ufw&#x20;enable.&#x20;#&#x20;ufw&#x20;allow&#x20;proto&#x20;tcp&#x20;from&#x20;any&#x20;to&#x20;any&#x20;port&#x20;22.&#x20;-&#x20;The&#x20;rules&#x20;will&#x20;still&#x20;be&#x20;flushed,&#x20;but&#x20;the&#x20;ssh&#x20;port&#x20;will&#x20;be&#x20;open&#x20;after&#x20;enabling&#x20;the&#x20;firewall.&#x20;Please&#x20;note&#x20;that&#x20;once&#x20;ufw&#x20;is&#x20;&#039;enabled&#039;,&#x20;ufw&#x20;will&#x20;not&#x20;flush&#x20;the&#x20;chains&#x20;when&#x20;adding&#x20;or&#x20;removing&#x20;rules&#x20;&#40;but&#x20;will&#x20;when&#x20;modifying&#x20;a&#x20;rule&#x20;or&#x20;changing&#x20;the&#x20;default&#x20;policy&#41;.&#x20;-&#x20;By&#x20;default,&#x20;ufw&#x20;will&#x20;prompt&#x20;when&#x20;enabling&#x20;the&#x20;firewall&#x20;while&#x20;running&#x20;under&#x20;ssh.&#x20;This&#x20;can&#x20;be&#x20;disabled&#x20;by&#x20;using&#x20;ufw&#x20;--force&#x20;enable.','The&#x20;ufw&#x20;service&#x20;must&#x20;be&#x20;enabled&#x20;and&#x20;running&#x20;in&#x20;order&#x20;for&#x20;ufw&#x20;to&#x20;protect&#x20;the&#x20;system.','Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;unmask&#x20;the&#x20;ufw&#x20;daemon:&#x20;#&#x20;systemctl&#x20;unmask&#x20;ufw.service.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;the&#x20;ufw&#x20;daemon:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;ufw.service&#x20;active&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;ufw:&#x20;#&#x20;ufw&#x20;enable.','[{\"cis\": [\"3.5.1.3\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29580,'Ensure&#x20;ufw&#x20;loopback&#x20;traffic&#x20;is&#x20;configured.','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#x20;for&#x20;IPv4&#x20;and&#x20;::1/128&#x20;for&#x20;IPv6&#41;.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#x20;for&#x20;IPv4&#x20;and&#x20;::1/128&#x20;for&#x20;IPv6&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;ufw&#x20;allow&#x20;in&#x20;on&#x20;lo&#x20;#&#x20;ufw&#x20;allow&#x20;out&#x20;on&#x20;lo&#x20;#&#x20;ufw&#x20;deny&#x20;in&#x20;from&#x20;127.0.0.0/8&#x20;#&#x20;ufw&#x20;deny&#x20;in&#x20;from&#x20;::1.','[{\"cis\": [\"3.5.1.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29581,'Ensure&#x20;ufw&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','A&#x20;default&#x20;deny&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.&#x20;Note:&#x20;Any&#x20;port&#x20;or&#x20;protocol&#x20;without&#x20;a&#x20;explicit&#x20;allow&#x20;before&#x20;the&#x20;default&#x20;deny&#x20;will&#x20;be&#x20;blocked.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','Any&#x20;port&#x20;and&#x20;protocol&#x20;not&#x20;explicitly&#x20;allowed&#x20;will&#x20;be&#x20;blocked.&#x20;The&#x20;following&#x20;rules&#x20;should&#x20;be&#x20;considered&#x20;before&#x20;applying&#x20;the&#x20;default&#x20;deny.&#x20;ufw&#x20;allow&#x20;git,&#x20;ufw&#x20;allow&#x20;in&#x20;http,&#x20;ufw&#x20;allow&#x20;out&#x20;http&#x20;&lt;-&#x20;required&#x20;for&#x20;apt&#x20;to&#x20;connect&#x20;to&#x20;repository,&#x20;ufw&#x20;allow&#x20;in&#x20;https,&#x20;ufw&#x20;allow&#x20;out&#x20;https,&#x20;ufw&#x20;allow&#x20;out&#x20;53,&#x20;ufw&#x20;logging&#x20;on.','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;deny&#x20;policy:&#x20;#&#x20;ufw&#x20;default&#x20;deny&#x20;incoming&#x20;#&#x20;ufw&#x20;default&#x20;deny&#x20;outgoing&#x20;#&#x20;ufw&#x20;default&#x20;deny&#x20;routed.','[{\"cis\": [\"3.5.1.7\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29582,'Ensure&#x20;nftables&#x20;is&#x20;installed.','nftables&#x20;provides&#x20;a&#x20;new&#x20;in-kernel&#x20;packet&#x20;classification&#x20;framework&#x20;that&#x20;is&#x20;based&#x20;on&#x20;a&#x20;network-specific&#x20;Virtual&#x20;Machine&#x20;&#40;VM&#41;&#x20;and&#x20;a&#x20;new&#x20;nft&#x20;userspace&#x20;command&#x20;line&#x20;tool.&#x20;nftables&#x20;reuses&#x20;the&#x20;existing&#x20;Netfilter&#x20;subsystems&#x20;such&#x20;as&#x20;the&#x20;existing&#x20;hook&#x20;infrastructure,&#x20;the&#x20;connection&#x20;tracking&#x20;system,&#x20;NAT,&#x20;userspace&#x20;queuing&#x20;and&#x20;logging&#x20;subsystem.&#x20;Notes:&#x20;-&#x20;nftables&#x20;is&#x20;available&#x20;in&#x20;Linux&#x20;kernel&#x20;3.13&#x20;and&#x20;newer.&#x20;-&#x20;Only&#x20;one&#x20;firewall&#x20;utility&#x20;should&#x20;be&#x20;installed&#x20;and&#x20;configured.&#x20;-&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;the&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.','nftables&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;Linux&#x20;kernel&#x20;that&#x20;can&#x20;protect&#x20;against&#x20;threats&#x20;originating&#x20;from&#x20;within&#x20;a&#x20;corporate&#x20;network&#x20;to&#x20;include&#x20;malicious&#x20;mobile&#x20;code&#x20;and&#x20;poorly&#x20;configured&#x20;software&#x20;on&#x20;a&#x20;host.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;nftables:&#x20;#&#x20;apt&#x20;install&#x20;nftables.','[{\"cis\": [\"3.5.2.1\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29583,'Ensure&#x20;ufw&#x20;is&#x20;uninstalled&#x20;or&#x20;disabled&#x20;with&#x20;nftables.','Uncomplicated&#x20;Firewall&#x20;&#40;UFW&#41;&#x20;is&#x20;a&#x20;program&#x20;for&#x20;managing&#x20;a&#x20;netfilter&#x20;firewall&#x20;designed&#x20;to&#x20;be&#x20;easy&#x20;to&#x20;use.','Running&#x20;both&#x20;the&#x20;nftables&#x20;service&#x20;and&#x20;ufw&#x20;may&#x20;lead&#x20;to&#x20;conflict&#x20;and&#x20;unexpected&#x20;results.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;either&#x20;remove&#x20;ufw&#x20;or&#x20;disable&#x20;ufw.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ufw:&#x20;#&#x20;apt&#x20;purge&#x20;ufw.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;ufw:&#x20;#&#x20;ufw&#x20;disable.','[{\"cis\": [\"3.5.2.2\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29584,'Ensure&#x20;iptables&#x20;are&#x20;flushed&#x20;with&#x20;nftables.','nftables&#x20;is&#x20;a&#x20;replacement&#x20;for&#x20;iptables,&#x20;ip6tables,&#x20;ebtables&#x20;and&#x20;arptables.','It&#x20;is&#x20;possible&#x20;to&#x20;mix&#x20;iptables&#x20;and&#x20;nftables.&#x20;However,&#x20;this&#x20;increases&#x20;complexity&#x20;and&#x20;also&#x20;the&#x20;chance&#x20;to&#x20;introduce&#x20;errors.&#x20;For&#x20;simplicity&#x20;flush&#x20;out&#x20;all&#x20;iptables&#x20;rules,&#x20;and&#x20;ensure&#x20;it&#x20;is&#x20;not&#x20;loaded.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;flush&#x20;iptables:&#x20;For&#x20;iptables:&#x20;#&#x20;iptables&#x20;-F&#x20;For&#x20;ip6tables:&#x20;#&#x20;ip6tables&#x20;-F.','[{\"cis\": [\"3.5.2.3\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29585,'Ensure&#x20;a&#x20;nftables&#x20;table&#x20;exists.','Tables&#x20;hold&#x20;chains.&#x20;Each&#x20;table&#x20;only&#x20;has&#x20;one&#x20;address&#x20;family&#x20;and&#x20;only&#x20;applies&#x20;to&#x20;packets&#x20;of&#x20;this&#x20;family.&#x20;Tables&#x20;can&#x20;have&#x20;one&#x20;of&#x20;five&#x20;families.','nftables&#x20;doesn&#039;t&#x20;have&#x20;any&#x20;default&#x20;tables.&#x20;Without&#x20;a&#x20;table&#x20;being&#x20;build,&#x20;nftables&#x20;will&#x20;not&#x20;filter&#x20;network&#x20;traffic.','Adding&#x20;rules&#x20;to&#x20;a&#x20;running&#x20;nftables&#x20;can&#x20;cause&#x20;loss&#x20;of&#x20;connectivity&#x20;to&#x20;the&#x20;system.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;a&#x20;table&#x20;in&#x20;nftables:&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;Example:&#x20;#&#x20;nft&#x20;create&#x20;table&#x20;inet&#x20;filter.','[{\"cis\": [\"3.5.2.4\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29586,'Ensure&#x20;nftables&#x20;base&#x20;chains&#x20;exist.','Chains&#x20;are&#x20;containers&#x20;for&#x20;rules.&#x20;They&#x20;exist&#x20;in&#x20;two&#x20;kinds,&#x20;base&#x20;chains&#x20;and&#x20;regular&#x20;chains.&#x20;A&#x20;base&#x20;chain&#x20;is&#x20;an&#x20;entry&#x20;point&#x20;for&#x20;packets&#x20;from&#x20;the&#x20;networking&#x20;stack,&#x20;a&#x20;regular&#x20;chain&#x20;may&#x20;be&#x20;used&#x20;as&#x20;jump&#x20;target&#x20;and&#x20;is&#x20;used&#x20;for&#x20;better&#x20;rule&#x20;organization.','If&#x20;a&#x20;base&#x20;chain&#x20;doesn&#039;t&#x20;exist&#x20;with&#x20;a&#x20;hook&#x20;for&#x20;input,&#x20;forward,&#x20;and&#x20;delete,&#x20;packets&#x20;that&#x20;would&#x20;flow&#x20;through&#x20;those&#x20;chains&#x20;will&#x20;not&#x20;be&#x20;touched&#x20;by&#x20;nftables.','If&#x20;configuring&#x20;nftables&#x20;over&#x20;ssh,&#x20;creating&#x20;a&#x20;base&#x20;chain&#x20;with&#x20;a&#x20;policy&#x20;of&#x20;drop&#x20;will&#x20;cause&#x20;loss&#x20;of&#x20;connectivity.&#x20;Ensure&#x20;that&#x20;a&#x20;rule&#x20;allowing&#x20;ssh&#x20;has&#x20;been&#x20;added&#x20;to&#x20;the&#x20;base&#x20;chain&#x20;prior&#x20;to&#x20;setting&#x20;the&#x20;base&#x20;chain&#039;s&#x20;policy&#x20;to&#x20;drop.','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;the&#x20;base&#x20;chains:&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;&lt;table&#x20;name&gt;&#x20;&lt;base&#x20;chain&#x20;name&gt;&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;&lt;&#40;input|forward|output&#41;&gt;&#x20;priority&#x20;0&#x20;;&#x20;}.&#x20;Example:&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;input&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;input&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;forward&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;forward&#x20;priority&#x20;0&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;create&#x20;chain&#x20;inet&#x20;filter&#x20;output&#x20;{&#x20;type&#x20;filter&#x20;hook&#x20;output&#x20;priority&#x20;0&#x20;;&#x20;}.','[{\"cis\": [\"3.5.2.5\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29587,'Ensure&#x20;nftables&#x20;loopback&#x20;traffic&#x20;is&#x20;configured.','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;input&#x20;iif&#x20;lo&#x20;accept&#x20;#&#x20;nft&#x20;create&#x20;rule&#x20;inet&#x20;filter&#x20;input&#x20;ip&#x20;saddr&#x20;127.0.0.0/8&#x20;counter&#x20;drop.&#x20;IF&#x20;IPv6&#x20;is&#x20;enabled&#x20;on&#x20;the&#x20;system:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;implement&#x20;the&#x20;IPv6&#x20;loopback&#x20;rule:&#x20;#&#x20;nft&#x20;add&#x20;rule&#x20;inet&#x20;filter&#x20;input&#x20;ip6&#x20;saddr&#x20;::1&#x20;counter&#x20;drop.','[{\"cis\": [\"3.5.2.6\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29588,'Ensure&#x20;nftables&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','Base&#x20;chain&#x20;policy&#x20;is&#x20;the&#x20;default&#x20;verdict&#x20;that&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;packets&#x20;reaching&#x20;the&#x20;end&#x20;of&#x20;the&#x20;chain.','There&#x20;are&#x20;two&#x20;policies:&#x20;accept&#x20;&#40;Default&#41;&#x20;and&#x20;drop.&#x20;If&#x20;the&#x20;policy&#x20;is&#x20;set&#x20;to&#x20;accept,&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied&#x20;and&#x20;the&#x20;packet&#x20;will&#x20;continue&#x20;transversing&#x20;the&#x20;network&#x20;stack.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.&#x20;Note:&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.','If&#x20;configuring&#x20;nftables&#x20;over&#x20;ssh,&#x20;creating&#x20;a&#x20;base&#x20;chain&#x20;with&#x20;a&#x20;policy&#x20;of&#x20;drop&#x20;will&#x20;cause&#x20;loss&#x20;of&#x20;connectivity.&#x20;Ensure&#x20;that&#x20;a&#x20;rule&#x20;allowing&#x20;ssh&#x20;has&#x20;been&#x20;added&#x20;to&#x20;the&#x20;base&#x20;chain&#x20;prior&#x20;to&#x20;setting&#x20;the&#x20;base&#x20;chain&#039;s&#x20;policy&#x20;to&#x20;drop.','Run&#x20;the&#x20;following&#x20;command&#x20;for&#x20;the&#x20;base&#x20;chains&#x20;with&#x20;the&#x20;input,&#x20;forward,&#x20;and&#x20;output&#x20;hooks&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;nft&#x20;chain&#x20;&lt;table&#x20;family&gt;&#x20;&lt;table&#x20;name&gt;&#x20;&lt;chain&#x20;name&gt;&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}.&#x20;Example:&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;input&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;forward&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}&#x20;#&#x20;nft&#x20;chain&#x20;inet&#x20;filter&#x20;output&#x20;{&#x20;policy&#x20;drop&#x20;;&#x20;}.','[{\"cis\": [\"3.5.2.8\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29589,'Ensure&#x20;nftables&#x20;service&#x20;is&#x20;enabled.','The&#x20;nftables&#x20;service&#x20;allows&#x20;for&#x20;the&#x20;loading&#x20;of&#x20;nftables&#x20;rulesets&#x20;during&#x20;boot,&#x20;or&#x20;starting&#x20;on&#x20;the&#x20;nftables&#x20;service.','The&#x20;nftables&#x20;service&#x20;restores&#x20;the&#x20;nftables&#x20;rules&#x20;from&#x20;the&#x20;rules&#x20;files&#x20;referenced&#x20;in&#x20;the&#x20;/etc/nftables.conf&#x20;file&#x20;during&#x20;boot&#x20;or&#x20;the&#x20;starting&#x20;of&#x20;the&#x20;nftables&#x20;service.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;nftables&#x20;service:&#x20;#&#x20;systemctl&#x20;enable&#x20;nftables.','[{\"cis\": [\"3.5.2.9\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29590,'Ensure&#x20;iptables&#x20;packages&#x20;are&#x20;installed.','iptables&#x20;is&#x20;a&#x20;utility&#x20;program&#x20;that&#x20;allows&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;configure&#x20;the&#x20;tables&#x20;provided&#x20;by&#x20;the&#x20;Linux&#x20;kernel&#x20;firewall,&#x20;implemented&#x20;as&#x20;different&#x20;Netfilter&#x20;modules,&#x20;and&#x20;the&#x20;chains&#x20;and&#x20;rules&#x20;it&#x20;stores.&#x20;Different&#x20;kernel&#x20;modules&#x20;and&#x20;programs&#x20;are&#x20;used&#x20;for&#x20;different&#x20;protocols;&#x20;iptables&#x20;applies&#x20;to&#x20;IPv4,&#x20;ip6tables&#x20;to&#x20;IPv6,&#x20;arptables&#x20;to&#x20;ARP,&#x20;and&#x20;ebtables&#x20;to&#x20;Ethernet&#x20;frames.','A&#x20;method&#x20;of&#x20;configuring&#x20;and&#x20;maintaining&#x20;firewall&#x20;rules&#x20;is&#x20;necessary&#x20;to&#x20;configure&#x20;a&#x20;Host&#x20;Based&#x20;Firewall.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;iptables&#x20;and&#x20;iptables-persistent&#x20;#&#x20;apt&#x20;install&#x20;iptables&#x20;iptables-persistent.','[{\"cis\": [\"3.5.3.1.1\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29591,'Ensure&#x20;nftables&#x20;is&#x20;not&#x20;installed&#x20;with&#x20;iptables.','nftables&#x20;is&#x20;a&#x20;subsystem&#x20;of&#x20;the&#x20;Linux&#x20;kernel&#x20;providing&#x20;filtering&#x20;and&#x20;classification&#x20;of&#x20;network&#x20;packets/datagrams/frames&#x20;and&#x20;is&#x20;the&#x20;successor&#x20;to&#x20;iptables.','Running&#x20;both&#x20;iptables&#x20;and&#x20;nftables&#x20;may&#x20;lead&#x20;to&#x20;conflict.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;nftables:&#x20;#&#x20;apt&#x20;purge&#x20;nftables.','[{\"cis\": [\"3.5.3.1.2\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}]'),(29592,'Ensure&#x20;ufw&#x20;is&#x20;uninstalled&#x20;or&#x20;disabled&#x20;with&#x20;iptables.','Uncomplicated&#x20;Firewall&#x20;&#40;UFW&#41;&#x20;is&#x20;a&#x20;program&#x20;for&#x20;managing&#x20;a&#x20;netfilter&#x20;firewall&#x20;designed&#x20;to&#x20;be&#x20;easy&#x20;to&#x20;use.&#x20;-&#x20;Uses&#x20;a&#x20;command-line&#x20;interface&#x20;consisting&#x20;of&#x20;a&#x20;small&#x20;number&#x20;of&#x20;simple&#x20;commands.&#x20;-&#x20;Uses&#x20;iptables&#x20;for&#x20;configuration.','Running&#x20;iptables.persistent&#x20;with&#x20;ufw&#x20;enabled&#x20;may&#x20;lead&#x20;to&#x20;conflict&#x20;and&#x20;unexpected&#x20;results.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;either&#x20;remove&#x20;ufw&#x20;or&#x20;stop&#x20;and&#x20;mask&#x20;ufw&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;ufw:&#x20;#&#x20;apt&#x20;purge&#x20;ufw&#x20;OR&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;disable&#x20;ufw:&#x20;#&#x20;ufw&#x20;disable&#x20;#&#x20;systemctl&#x20;stop&#x20;ufw&#x20;#&#x20;systemctl&#x20;mask&#x20;ufw.','[{\"cis\": [\"3.5.3.1.3\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}]'),(29593,'Ensure&#x20;iptables&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.&#x20;Notes:&#x20;-&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.&#x20;-&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;iptables&#x20;-P&#x20;INPUT&#x20;DROP&#x20;#&#x20;iptables&#x20;-P&#x20;OUTPUT&#x20;DROP&#x20;#&#x20;iptables&#x20;-P&#x20;FORWARD&#x20;DROP.','[{\"cis\": [\"3.5.3.2.1\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29594,'Ensure&#x20;iptables&#x20;loopback&#x20;traffic&#x20;is&#x20;configured.','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;.&#x20;Notes:&#x20;-&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.&#x20;-&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;127.0.0.0/8&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;iptables&#x20;-A&#x20;INPUT&#x20;-s&#x20;127.0.0.0/8&#x20;-j&#x20;DROP.','[{\"cis\": [\"3.5.3.2.2\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29595,'Ensure&#x20;ip6tables&#x20;default&#x20;deny&#x20;firewall&#x20;policy.','A&#x20;default&#x20;deny&#x20;all&#x20;policy&#x20;on&#x20;connections&#x20;ensures&#x20;that&#x20;any&#x20;unconfigured&#x20;network&#x20;usage&#x20;will&#x20;be&#x20;rejected.&#x20;Note:&#x20;-&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.&#x20;-&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','With&#x20;a&#x20;default&#x20;accept&#x20;policy&#x20;the&#x20;firewall&#x20;will&#x20;accept&#x20;any&#x20;packet&#x20;that&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;be&#x20;denied.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;white&#x20;list&#x20;acceptable&#x20;usage&#x20;than&#x20;to&#x20;black&#x20;list&#x20;unacceptable&#x20;usage.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;a&#x20;default&#x20;DROP&#x20;policy:&#x20;#&#x20;ip6tables&#x20;-P&#x20;INPUT&#x20;DROP&#x20;#&#x20;ip6tables&#x20;-P&#x20;OUTPUT&#x20;DROP&#x20;#&#x20;ip6tables&#x20;-P&#x20;FORWARD&#x20;DROP.','[{\"cis\": [\"3.5.3.3.1\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29596,'Ensure&#x20;ip6tables&#x20;loopback&#x20;traffic&#x20;is&#x20;configured.','Configure&#x20;the&#x20;loopback&#x20;interface&#x20;to&#x20;accept&#x20;traffic.&#x20;Configure&#x20;all&#x20;other&#x20;interfaces&#x20;to&#x20;deny&#x20;traffic&#x20;to&#x20;the&#x20;loopback&#x20;network&#x20;&#40;::1&#41;.&#x20;Note:&#x20;-&#x20;Changing&#x20;firewall&#x20;settings&#x20;while&#x20;connected&#x20;over&#x20;network&#x20;can&#x20;result&#x20;in&#x20;being&#x20;locked&#x20;out&#x20;of&#x20;the&#x20;system.&#x20;-&#x20;Remediation&#x20;will&#x20;only&#x20;affect&#x20;the&#x20;active&#x20;system&#x20;firewall,&#x20;be&#x20;sure&#x20;to&#x20;configure&#x20;the&#x20;default&#x20;policy&#x20;in&#x20;your&#x20;firewall&#x20;management&#x20;to&#x20;apply&#x20;on&#x20;boot&#x20;as&#x20;well.','Loopback&#x20;traffic&#x20;is&#x20;generated&#x20;between&#x20;processes&#x20;on&#x20;machine&#x20;and&#x20;is&#x20;typically&#x20;critical&#x20;to&#x20;operation&#x20;of&#x20;the&#x20;system.&#x20;The&#x20;loopback&#x20;interface&#x20;is&#x20;the&#x20;only&#x20;place&#x20;that&#x20;loopback&#x20;network&#x20;&#40;::1&#41;&#x20;traffic&#x20;should&#x20;be&#x20;seen,&#x20;all&#x20;other&#x20;interfaces&#x20;should&#x20;ignore&#x20;traffic&#x20;on&#x20;this&#x20;network&#x20;as&#x20;an&#x20;anti-spoofing&#x20;measure.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;implement&#x20;the&#x20;loopback&#x20;rules:&#x20;#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-i&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;ip6tables&#x20;-A&#x20;OUTPUT&#x20;-o&#x20;lo&#x20;-j&#x20;ACCEPT&#x20;#&#x20;ip6tables&#x20;-A&#x20;INPUT&#x20;-s&#x20;::1&#x20;-j&#x20;DROP.','[{\"cis\": [\"3.5.3.3.2\"]}, {\"cis_csc_v8\": [\"4.4\", \"4.5\"]}, {\"cis_csc_v7\": [\"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.20\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.4\", \"1.3.1\", \"1.4\"]}, {\"pci_dss_4.0\": [\"1.2.1\", \"1.4.1\"]}, {\"nist_sp_800-53\": [\"SC-7(5)\"]}, {\"soc_2\": [\"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.004\"]}, {\"mitre_tactics\": [\"TA0011\"]}, {\"mitre_mitigations\": [\"M1031\", \"M1037\"]}]'),(29597,'Ensure&#x20;auditd&#x20;is&#x20;installed.','auditd&#x20;is&#x20;the&#x20;userspace&#x20;component&#x20;to&#x20;the&#x20;Linux&#x20;Auditing&#x20;System.&#x20;It&#039;s&#x20;responsible&#x20;for&#x20;writing&#x20;audit&#x20;records&#x20;to&#x20;the&#x20;disk.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;Install&#x20;auditd:&#x20;#&#x20;apt&#x20;install&#x20;auditd&#x20;audispd-plugins.','[{\"cis\": [\"4.1.1.1\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29598,'Ensure&#x20;auditd&#x20;service&#x20;is&#x20;enabled&#x20;and&#x20;active.','Turn&#x20;on&#x20;the&#x20;auditd&#x20;daemon&#x20;to&#x20;record&#x20;system&#x20;events.','The&#x20;capturing&#x20;of&#x20;system&#x20;events&#x20;provides&#x20;system&#x20;administrators&#x20;with&#x20;information&#x20;to&#x20;allow&#x20;them&#x20;to&#x20;determine&#x20;if&#x20;unauthorized&#x20;access&#x20;to&#x20;their&#x20;system&#x20;is&#x20;occurring.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;auditd:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;auditd.','[{\"cis\": [\"4.1.1.2\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29599,'Ensure&#x20;auditing&#x20;for&#x20;processes&#x20;that&#x20;start&#x20;prior&#x20;to&#x20;auditd&#x20;is&#x20;enabled.','Configure&#x20;grub2&#x20;so&#x20;that&#x20;processes&#x20;that&#x20;are&#x20;capable&#x20;of&#x20;being&#x20;audited&#x20;can&#x20;be&#x20;audited&#x20;even&#x20;if&#x20;they&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;startup.','Audit&#x20;events&#x20;need&#x20;to&#x20;be&#x20;captured&#x20;on&#x20;processes&#x20;that&#x20;start&#x20;up&#x20;prior&#x20;to&#x20;auditd&#x20;,&#x20;so&#x20;that&#x20;potential&#x20;malicious&#x20;activity&#x20;cannot&#x20;go&#x20;undetected.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit=1&#x20;to&#x20;GRUB_CMDLINE_LINUX:&#x20;Example:&#x20;GRUB_CMDLINE_LINUX=&quot;audit=1&quot;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub.','[{\"cis\": [\"4.1.1.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29600,'Ensure&#x20;audit_backlog_limit&#x20;is&#x20;sufficient.','In&#x20;the&#x20;kernel-level&#x20;audit&#x20;subsystem,&#x20;a&#x20;socket&#x20;buffer&#x20;queue&#x20;is&#x20;used&#x20;to&#x20;hold&#x20;audit&#x20;events.&#x20;Whenever&#x20;a&#x20;new&#x20;audit&#x20;event&#x20;is&#x20;received,&#x20;it&#x20;is&#x20;logged&#x20;and&#x20;prepared&#x20;to&#x20;be&#x20;added&#x20;to&#x20;this&#x20;queue.&#x20;The&#x20;kernel&#x20;boot&#x20;parameter&#x20;audit_backlog_limit=N,&#x20;with&#x20;N&#x20;representing&#x20;the&#x20;amount&#x20;of&#x20;messages,&#x20;will&#x20;ensure&#x20;that&#x20;a&#x20;queue&#x20;cannot&#x20;grow&#x20;beyond&#x20;a&#x20;certain&#x20;size.&#x20;If&#x20;an&#x20;audit&#x20;event&#x20;is&#x20;logged&#x20;which&#x20;would&#x20;grow&#x20;the&#x20;queue&#x20;beyond&#x20;this&#x20;limit,&#x20;then&#x20;a&#x20;failure&#x20;occurs&#x20;and&#x20;is&#x20;handled&#x20;according&#x20;to&#x20;the&#x20;system&#x20;configuration.','If&#x20;an&#x20;audit&#x20;event&#x20;is&#x20;logged&#x20;which&#x20;would&#x20;grow&#x20;the&#x20;queue&#x20;beyond&#x20;the&#x20;audit_backlog_limit,&#x20;then&#x20;a&#x20;failure&#x20;occurs,&#x20;auditd&#x20;records&#x20;will&#x20;be&#x20;lost,&#x20;and&#x20;potential&#x20;malicious&#x20;activity&#x20;could&#x20;go&#x20;undetected.','','Edit&#x20;/etc/default/grub&#x20;and&#x20;add&#x20;audit_backlog_limit=N&#x20;to&#x20;GRUB_CMDLINE_LINUX.&#x20;The&#x20;recommended&#x20;size&#x20;for&#x20;N&#x20;is&#x20;8192&#x20;or&#x20;larger.&#x20;Example:&#x20;GRUB_CMDLINE_LINUX=&quot;audit_backlog_limit=8192&quot;.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;update&#x20;the&#x20;grub2&#x20;configuration:&#x20;#&#x20;update-grub.','[{\"cis\": [\"4.1.1.4\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29601,'Ensure&#x20;audit&#x20;log&#x20;storage&#x20;size&#x20;is&#x20;configured.','Configure&#x20;the&#x20;maximum&#x20;size&#x20;of&#x20;the&#x20;audit&#x20;log&#x20;file.&#x20;Once&#x20;the&#x20;log&#x20;reaches&#x20;the&#x20;maximum&#x20;size,&#x20;it&#x20;will&#x20;be&#x20;rotated&#x20;and&#x20;a&#x20;new&#x20;log&#x20;file&#x20;will&#x20;be&#x20;started.','It&#x20;is&#x20;important&#x20;that&#x20;an&#x20;appropriate&#x20;size&#x20;is&#x20;determined&#x20;for&#x20;log&#x20;files&#x20;so&#x20;that&#x20;they&#x20;do&#x20;not&#x20;impact&#x20;the&#x20;system&#x20;and&#x20;audit&#x20;data&#x20;is&#x20;not&#x20;lost.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf&#x20;in&#x20;accordance&#x20;with&#x20;site&#x20;policy:&#x20;max_log_file&#x20;=&#x20;&lt;MB&gt;.','[{\"cis\": [\"4.1.2.1\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"pci_dss_3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1053\"]}]'),(29602,'Ensure&#x20;audit&#x20;logs&#x20;are&#x20;not&#x20;automatically&#x20;deleted.','The&#x20;max_log_file_action&#x20;setting&#x20;determines&#x20;how&#x20;to&#x20;handle&#x20;the&#x20;audit&#x20;log&#x20;file&#x20;reaching&#x20;the&#x20;max&#x20;file&#x20;size.&#x20;A&#x20;value&#x20;of&#x20;keep_logs&#x20;will&#x20;rotate&#x20;the&#x20;logs&#x20;but&#x20;never&#x20;delete&#x20;old&#x20;logs.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;benefits&#x20;of&#x20;maintaining&#x20;a&#x20;long&#x20;audit&#x20;history&#x20;exceed&#x20;the&#x20;cost&#x20;of&#x20;storing&#x20;the&#x20;audit&#x20;history.','','Set&#x20;the&#x20;following&#x20;parameter&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;max_log_file_action&#x20;=&#x20;keep_logs.','[{\"cis\": [\"4.1.2.2\"]}, {\"cis_csc_v8\": [\"8.3\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"pci_dss_3.2.1\": [\"10.7\"]}, {\"soc_2\": [\"A1.1\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1053\"]}]'),(29603,'Ensure&#x20;system&#x20;is&#x20;disabled&#x20;when&#x20;audit&#x20;logs&#x20;are&#x20;full.','The&#x20;auditd&#x20;daemon&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;halt&#x20;the&#x20;system&#x20;when&#x20;the&#x20;audit&#x20;logs&#x20;are&#x20;full.&#x20;The&#x20;admin_space_left_action&#x20;parameter&#x20;tells&#x20;the&#x20;system&#x20;what&#x20;action&#x20;to&#x20;take&#x20;when&#x20;the&#x20;system&#x20;has&#x20;detected&#x20;that&#x20;it&#x20;is&#x20;low&#x20;on&#x20;disk&#x20;space.&#x20;Valid&#x20;values&#x20;are&#x20;ignore,&#x20;syslog,&#x20;suspend,&#x20;single,&#x20;and&#x20;halt.&#x20;-&#x20;ignore,&#x20;the&#x20;audit&#x20;daemon&#x20;does&#x20;nothing.&#x20;-&#x20;Syslog,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;issue&#x20;a&#x20;warning&#x20;to&#x20;syslog.&#x20;-&#x20;Suspend,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;stop&#x20;writing&#x20;records&#x20;to&#x20;the&#x20;disk.&#x20;-&#x20;single,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;put&#x20;the&#x20;computer&#x20;system&#x20;in&#x20;single&#x20;user&#x20;mode.&#x20;-&#x20;halt,&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;shutdown&#x20;the&#x20;system.','In&#x20;high&#x20;security&#x20;contexts,&#x20;the&#x20;risk&#x20;of&#x20;detecting&#x20;unauthorized&#x20;access&#x20;or&#x20;nonrepudiation&#x20;exceeds&#x20;the&#x20;benefit&#x20;of&#x20;the&#x20;system&#039;s&#x20;availability.','If&#x20;the&#x20;admin_space_left_action&#x20;parameter&#x20;is&#x20;set&#x20;to&#x20;halt&#x20;the&#x20;audit&#x20;daemon&#x20;will&#x20;shutdown&#x20;the&#x20;system&#x20;when&#x20;the&#x20;disk&#x20;partition&#x20;containing&#x20;the&#x20;audit&#x20;logs&#x20;becomes&#x20;full.','Set&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;/etc/audit/auditd.conf:&#x20;space_left_action&#x20;=&#x20;email&#x20;action_mail_acct&#x20;=&#x20;root&#x20;set&#x20;admin_space_left_action&#x20;to&#x20;either&#x20;halt&#x20;or&#x20;single&#x20;in&#x20;/etc/audit/auditd.conf.&#x20;Example:&#x20;admin_space_left_action&#x20;=&#x20;halt.','[{\"cis\": [\"4.1.2.3\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.3\"]}, {\"cis_csc_v7\": [\"6.4\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\", \"10.7\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"A1.1\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29604,'Ensure&#x20;changes&#x20;to&#x20;system&#x20;administration&#x20;scope&#x20;&#40;sudoers&#41;&#x20;is&#x20;collected.','Monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrators.&#x20;If&#x20;the&#x20;system&#x20;has&#x20;been&#x20;properly&#x20;configured&#x20;to&#x20;force&#x20;system&#x20;administrators&#x20;to&#x20;log&#x20;in&#x20;as&#x20;themselves&#x20;first&#x20;and&#x20;then&#x20;use&#x20;the&#x20;sudo&#x20;command&#x20;to&#x20;execute&#x20;privileged&#x20;commands,&#x20;it&#x20;is&#x20;possible&#x20;to&#x20;monitor&#x20;changes&#x20;in&#x20;scope.&#x20;The&#x20;file&#x20;/etc/sudoers,&#x20;or&#x20;files&#x20;in&#x20;/etc/sudoers.d,&#x20;will&#x20;be&#x20;written&#x20;to&#x20;when&#x20;the&#x20;file&#40;s&#41;&#x20;or&#x20;related&#x20;attributes&#x20;have&#x20;changed.&#x20;The&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;scope&quot;.','Changes&#x20;in&#x20;the&#x20;/etc/sudoers&#x20;and&#x20;/etc/sudoers.d&#x20;files&#x20;can&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;change&#x20;has&#x20;been&#x20;made&#x20;to&#x20;the&#x20;scope&#x20;of&#x20;system&#x20;administrator&#x20;activity.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;scope&#x20;changes&#x20;for&#x20;system&#x20;administrators.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/etc/sudoers&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;-w&#x20;/etc/sudoers.d&#x20;-p&#x20;wa&#x20;-k&#x20;scope&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-scope.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;fi.','[{\"cis\": [\"4.1.3.1\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"4.8\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.3\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1047\"]}]'),(29605,'Ensure&#x20;actions&#x20;as&#x20;another&#x20;user&#x20;are&#x20;always&#x20;logged.','sudo&#x20;provides&#x20;users&#x20;with&#x20;temporary&#x20;elevated&#x20;privileges&#x20;to&#x20;perform&#x20;operations,&#x20;either&#x20;as&#x20;the&#x20;superuser&#x20;or&#x20;another&#x20;user.','Creating&#x20;an&#x20;audit&#x20;log&#x20;of&#x20;users&#x20;with&#x20;temporary&#x20;elevated&#x20;privileges&#x20;and&#x20;the&#x20;operation&#40;s&#41;&#x20;they&#x20;performed&#x20;is&#x20;essential&#x20;to&#x20;reporting.&#x20;Administrators&#x20;will&#x20;want&#x20;to&#x20;correlate&#x20;the&#x20;events&#x20;written&#x20;to&#x20;the&#x20;audit&#x20;trail&#x20;with&#x20;the&#x20;records&#x20;written&#x20;to&#x20;sudo&#039;s&#x20;logfile&#x20;to&#x20;verify&#x20;if&#x20;unauthorized&#x20;commands&#x20;have&#x20;been&#x20;executed.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;elevated&#x20;privileges.&#x20;-&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-C&#x20;euid!=uid&#x20;-F&#x20;auid!=unset&#x20;-S&#x20;execve&#x20;-k&#x20;user_emulation&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-C&#x20;euid!=uid&#x20;-F&#x20;auid!=unset&#x20;-S&#x20;execve&#x20;-k&#x20;user_emulation&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-user_emulation.rules&#x20;-&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;-&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.2\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"4.9\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.9.4.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1047\"]}]'),(29606,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;date&#x20;and&#x20;time&#x20;information&#x20;are&#x20;collected.','Capture&#x20;events&#x20;where&#x20;the&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;has&#x20;been&#x20;modified.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;are&#x20;set&#x20;to&#x20;determine&#x20;if&#x20;the;&#x20;-&#x20;adjtimex:&#x20;tune&#x20;kernel&#x20;clock.&#x20;-&#x20;settimeofday:&#x20;set&#x20;time&#x20;using&#x20;timeval&#x20;and&#x20;timezone&#x20;structures.&#x20;-&#x20;stime:&#x20;using&#x20;seconds&#x20;since&#x20;1/1/1970.&#x20;-&#x20;clock_settime:&#x20;allows&#x20;for&#x20;the&#x20;setting&#x20;of&#x20;several&#x20;internal&#x20;clocks&#x20;and&#x20;timers&#x20;system&#x20;calls&#x20;have&#x20;been&#x20;executed.&#x20;Further,&#x20;ensure&#x20;to&#x20;write&#x20;an&#x20;audit&#x20;record&#x20;to&#x20;the&#x20;configured&#x20;audit&#x20;log&#x20;file&#x20;upon&#x20;exit,&#x20;tagging&#x20;the&#x20;records&#x20;with&#x20;a&#x20;unique&#x20;identifier&#x20;such&#x20;as&#x20;&quot;time-change&quot;.','Unexpected&#x20;changes&#x20;in&#x20;system&#x20;date&#x20;and/or&#x20;time&#x20;could&#x20;be&#x20;a&#x20;sign&#x20;of&#x20;malicious&#x20;activity&#x20;on&#x20;the&#x20;system.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;events&#x20;that&#x20;modify&#x20;date&#x20;and&#x20;time&#x20;information.&#x20;-&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;adjtimex,settimeofday,clock_settime&#x20;-k&#x20;time-change&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex,settimeofday,clock_settime&#x20;-k&#x20;time-change&#x20;-w&#x20;/etc/localtime&#x20;-p&#x20;wa&#x20;-k&#x20;time-change&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-time-change.rules&#x20;-&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;.Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.&#x20;In&#x20;addition,&#x20;add&#x20;stime&#x20;to&#x20;the&#x20;system&#x20;call&#x20;audit.&#x20;Example:&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;adjtimex,settimeofday,clock_settime,stime&#x20;-k&#x20;time-change.','[{\"cis\": [\"4.1.3.4\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"5.5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.1.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29607,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;network&#x20;environment&#x20;are&#x20;collected.','Record&#x20;changes&#x20;to&#x20;network&#x20;environment&#x20;files&#x20;or&#x20;system&#x20;calls.&#x20;The&#x20;below&#x20;parameters&#x20;monitors&#x20;the&#x20;following&#x20;system&#x20;calls,&#x20;and&#x20;write&#x20;an&#x20;audit&#x20;event&#x20;on&#x20;system&#x20;call&#x20;exit:&#x20;-&#x20;sethostname:&#x20;set&#x20;the&#x20;systems&#x20;host&#x20;name.&#x20;-&#x20;setdomainname:&#x20;set&#x20;the&#x20;systems&#x20;domain&#x20;name.&#x20;The&#x20;files&#x20;being&#x20;monitored&#x20;are:&#x20;&gt;&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;-&#x20;messages&#x20;displayed&#x20;pre-login.&#x20;&gt;&#x20;/etc/hosts&#x20;-&#x20;file&#x20;containing&#x20;host&#x20;names&#x20;and&#x20;associated&#x20;IP&#x20;addresses.&#x20;&gt;&#x20;/etc/networks&#x20;-&#x20;symbolic&#x20;names&#x20;for&#x20;networks.&#x20;&gt;&#x20;/etc/network/&#x20;-&#x20;directory&#x20;containing&#x20;network&#x20;interface&#x20;scripts&#x20;and&#x20;configurations&#x20;files.','Monitoring&#x20;sethostname&#x20;and&#x20;setdomainname&#x20;will&#x20;identify&#x20;potential&#x20;unauthorized&#x20;changes&#x20;to&#x20;host&#x20;and&#x20;domainname&#x20;of&#x20;a&#x20;system.&#x20;The&#x20;changing&#x20;of&#x20;these&#x20;names&#x20;could&#x20;potentially&#x20;break&#x20;security&#x20;parameters&#x20;that&#x20;are&#x20;set&#x20;based&#x20;on&#x20;those&#x20;names.&#x20;The&#x20;/etc/hosts&#x20;file&#x20;is&#x20;monitored&#x20;for&#x20;changes&#x20;that&#x20;can&#x20;indicate&#x20;an&#x20;unauthorized&#x20;intruder&#x20;is&#x20;trying&#x20;to&#x20;change&#x20;machine&#x20;associations&#x20;with&#x20;IP&#x20;addresses&#x20;and&#x20;trick&#x20;users&#x20;and&#x20;processes&#x20;into&#x20;connecting&#x20;to&#x20;unintended&#x20;machines.&#x20;Monitoring&#x20;/etc/issue&#x20;and&#x20;/etc/issue.net&#x20;is&#x20;important,&#x20;as&#x20;intruders&#x20;could&#x20;put&#x20;disinformation&#x20;into&#x20;those&#x20;files&#x20;and&#x20;trick&#x20;users&#x20;into&#x20;providing&#x20;information&#x20;to&#x20;the&#x20;intruder.&#x20;Monitoring&#x20;/etc/network&#x20;is&#x20;important&#x20;as&#x20;it&#x20;can&#x20;show&#x20;if&#x20;network&#x20;interfaces&#x20;or&#x20;scripts&#x20;are&#x20;being&#x20;modified&#x20;in&#x20;a&#x20;way&#x20;that&#x20;can&#x20;lead&#x20;to&#x20;the&#x20;machine&#x20;becoming&#x20;unavailable&#x20;or&#x20;compromised.&#x20;All&#x20;audit&#x20;records&#x20;should&#x20;have&#x20;a&#x20;relevant&#x20;tag&#x20;associated&#x20;with&#x20;them.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;network&#x20;environment.&#x20;-&#x20;64&#x20;Bit&#x20;systems:&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;sethostname,setdomainname&#x20;-k&#x20;system-locale&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;sethostname,setdomainname&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/issue&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/issue.net&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/hosts&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/networks&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;-w&#x20;/etc/network/&#x20;-p&#x20;wa&#x20;-k&#x20;system-locale&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-system_local.rules&#x20;-&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;-&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.5\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"5.5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.1.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1047\"]}]'),(29608,'Ensure&#x20;unsuccessful&#x20;file&#x20;access&#x20;attempts&#x20;are&#x20;collected.','Monitor&#x20;for&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;access&#x20;files.&#x20;The&#x20;following&#x20;parameters&#x20;are&#x20;associated&#x20;with&#x20;system&#x20;calls&#x20;that&#x20;control&#x20;files:&#x20;-&#x20;creation&#x20;-&#x20;creat.&#x20;-&#x20;opening&#x20;-&#x20;open,&#x20;openat.&#x20;-&#x20;truncation&#x20;-&#x20;truncate,&#x20;ftruncate.&#x20;An&#x20;audit&#x20;log&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;if&#x20;all&#x20;of&#x20;the&#x20;following&#x20;criteria&#x20;is&#x20;met&#x20;for&#x20;the&#x20;user&#x20;when&#x20;trying&#x20;to&#x20;access&#x20;a&#x20;file:&#x20;-&#x20;a&#x20;non-privileged&#x20;user&#x20;&#40;auid&gt;=UID_MIN&#41;.&#x20;-&#x20;is&#x20;not&#x20;a&#x20;Daemon&#x20;event&#x20;&#40;auid=4294967295/unset/-1&#41;.&#x20;-&#x20;if&#x20;the&#x20;system&#x20;call&#x20;returned&#x20;EACCES&#x20;&#40;permission&#x20;denied&#41;&#x20;or&#x20;EPERM&#x20;&#40;some&#x20;other&#x20;permanent&#x20;error&#x20;associated&#x20;with&#x20;the&#x20;specific&#x20;system&#x20;call&#41;.','Failed&#x20;attempts&#x20;to&#x20;open,&#x20;create&#x20;or&#x20;truncate&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;an&#x20;individual&#x20;or&#x20;process&#x20;is&#x20;trying&#x20;to&#x20;gain&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;unsuccessful&#x20;file&#x20;access&#x20;attempts.&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#{&#x20;UID_MIN=$&#40;awk&#x20;&#039;/^s*UID_MIN/{print&#x20;$2}&#039;&#x20;/etc/login.defs&#41;&#x20;[&#x20;-n&#x20;&quot;${UID_MIN}&quot;&#x20;]&#x20;&amp;&amp;&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat,open,openat,truncate,ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;access&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;creat,open,openat,truncate,ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;access&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat,open,openat,truncate,ftruncate&#x20;-F&#x20;exit=-EACCES&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;access&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;creat,open,openat,truncate,ftruncate&#x20;-F&#x20;exit=-EPERM&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;access&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-access.rules&#x20;||&#x20;printf&#x20;&quot;ERROR:&#x20;Variable&#x20;&#039;UID_MIN&#039;&#x20;is&#x20;unset.&#x0a;&quot;&#x20;}&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.7\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"14.9\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.3\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29609,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;user/group&#x20;information&#x20;are&#x20;collected.','Record&#x20;events&#x20;affecting&#x20;the&#x20;modification&#x20;of&#x20;user&#x20;or&#x20;group&#x20;information,&#x20;including&#x20;that&#x20;of&#x20;passwords&#x20;and&#x20;old&#x20;passwords&#x20;if&#x20;in&#x20;use.&#x20;-&#x20;/etc/group:&#x20;system&#x20;groups.&#x20;-&#x20;/etc/passwd:&#x20;system&#x20;users.&#x20;-&#x20;/etc/gshadow:&#x20;encrypted&#x20;password&#x20;for&#x20;each&#x20;group.&#x20;-&#x20;/etc/shadow:&#x20;system&#x20;user&#x20;passwords.&#x20;-&#x20;/etc/security/opasswd:&#x20;storage&#x20;of&#x20;old&#x20;passwords&#x20;if&#x20;the&#x20;relevant&#x20;PAM&#x20;module&#x20;is&#x20;in&#x20;use.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;will&#x20;watch&#x20;the&#x20;files&#x20;to&#x20;see&#x20;if&#x20;they&#x20;have&#x20;been&#x20;opened&#x20;for&#x20;write&#x20;or&#x20;have&#x20;had&#x20;attribute&#x20;changes&#x20;&#40;e.g.&#x20;permissions&#41;&#x20;and&#x20;tag&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;identity&quot;&#x20;in&#x20;the&#x20;audit&#x20;log&#x20;file.','Unexpected&#x20;changes&#x20;to&#x20;these&#x20;files&#x20;could&#x20;be&#x20;an&#x20;indication&#x20;that&#x20;the&#x20;system&#x20;has&#x20;been&#x20;compromised&#x20;and&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;hide&#x20;their&#x20;activities&#x20;or&#x20;compromise&#x20;additional&#x20;accounts.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;events&#x20;that&#x20;modify&#x20;user/group&#x20;information.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/etc/group&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/passwd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/gshadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/shadow&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;-w&#x20;/etc/security/opasswd&#x20;-p&#x20;wa&#x20;-k&#x20;identity&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-identity.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.8\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"4.8\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.3\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1047\"]}]'),(29610,'Ensure&#x20;discretionary&#x20;access&#x20;control&#x20;permission&#x20;modification&#x20;events&#x20;are&#x20;collected.','Monitor&#x20;changes&#x20;to&#x20;file&#x20;permissions,&#x20;attributes,&#x20;ownership&#x20;and&#x20;group.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;for&#x20;system&#x20;calls&#x20;that&#x20;affect&#x20;file&#x20;permissions&#x20;and&#x20;attributes.&#x20;The&#x20;following&#x20;commands&#x20;and&#x20;system&#x20;calls&#x20;effect&#x20;the&#x20;permissions,&#x20;ownership&#x20;and&#x20;various&#x20;attributes&#x20;of&#x20;files:&#x20;chmod,&#x20;fchmod,&#x20;fchmodat,&#x20;chown,&#x20;fchown,&#x20;fchownat,&#x20;lchown,&#x20;setxattr,&#x20;lsetxattr,&#x20;fsetxattr,&#x20;removexattr,&#x20;lremovexattr,&#x20;fremovexattr.&#x20;In&#x20;all&#x20;cases,&#x20;an&#x20;audit&#x20;record&#x20;will&#x20;only&#x20;be&#x20;written&#x20;for&#x20;non-system&#x20;user&#x20;ids&#x20;and&#x20;will&#x20;ignore&#x20;Daemon&#x20;events.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;perm_mod&quot;.','Monitoring&#x20;for&#x20;changes&#x20;in&#x20;file&#x20;attributes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;activity&#x20;that&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;or&#x20;policy&#x20;violation.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;discretionary&#x20;access&#x20;control&#x20;permission&#x20;modification&#x20;events.&#x20;64&#x20;Bit&#x20;systems:&#x20;Example:&#x20;#{&#x20;UID_MIN=$&#40;awk&#x20;&#039;/^s*UID_MIN/{print&#x20;$2}&#039;&#x20;/etc/login.defs&#41;&#x20;[&#x20;-n&#x20;&quot;${UID_MIN}&quot;&#x20;]&#x20;&amp;&amp;&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chmod,fchmod,fchmodat&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-F&#x20;key=perm_mod&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;chown,fchown,lchown,fchownat&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-F&#x20;key=perm_mod&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;chmod,fchmod,fchmodat&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-F&#x20;key=perm_mod&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;lchown,fchown,chown,fchownat&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-F&#x20;key=perm_mod&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;setxattr,lsetxattr,fsetxattr,removexattr,lremovexattr,fremovexattr&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-F&#x20;key=perm_mod&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;setxattr,lsetxattr,fsetxattr,removexattr,lremovexattr,fremovexattr&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-F&#x20;key=perm_mod&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-perm_mod.rules&#x20;||&#x20;printf&#x20;&quot;ERROR:&#x20;Variable&#x20;&#039;UID_MIN&#039;&#x20;is&#x20;unset.&#x0a;&quot;&#x20;}&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.&#x20;32&#x20;Bit&#x20;systems&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.9\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"5.5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.1.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29611,'Ensure&#x20;successful&#x20;file&#x20;system&#x20;mounts&#x20;are&#x20;collected.','Monitor&#x20;the&#x20;use&#x20;of&#x20;the&#x20;mount&#x20;system&#x20;call.&#x20;The&#x20;mount&#x20;&#40;and&#x20;umount&#x20;&#41;&#x20;system&#x20;call&#x20;controls&#x20;the&#x20;mounting&#x20;and&#x20;unmounting&#x20;of&#x20;file&#x20;systems.&#x20;The&#x20;parameters&#x20;below&#x20;configure&#x20;the&#x20;system&#x20;to&#x20;create&#x20;an&#x20;audit&#x20;record&#x20;when&#x20;the&#x20;mount&#x20;system&#x20;call&#x20;is&#x20;used&#x20;by&#x20;a&#x20;non-privileged&#x20;user.','It&#x20;is&#x20;highly&#x20;unusual&#x20;for&#x20;a&#x20;non&#x20;privileged&#x20;user&#x20;to&#x20;mount&#x20;file&#x20;systems&#x20;to&#x20;the&#x20;system.&#x20;While&#x20;tracking&#x20;mount&#x20;commands&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;evidence&#x20;that&#x20;external&#x20;media&#x20;may&#x20;have&#x20;been&#x20;mounted&#x20;&#40;based&#x20;on&#x20;a&#x20;review&#x20;of&#x20;the&#x20;source&#x20;of&#x20;the&#x20;mount&#x20;and&#x20;confirming&#x20;it&#039;s&#x20;an&#x20;external&#x20;media&#x20;type&#41;,&#x20;it&#x20;does&#x20;not&#x20;conclusively&#x20;indicate&#x20;that&#x20;data&#x20;was&#x20;exported&#x20;to&#x20;the&#x20;media.&#x20;System&#x20;administrators&#x20;who&#x20;wish&#x20;to&#x20;determine&#x20;if&#x20;data&#x20;were&#x20;exported,&#x20;would&#x20;also&#x20;have&#x20;to&#x20;track&#x20;successful&#x20;open,&#x20;creat&#x20;and&#x20;truncate&#x20;system&#x20;calls&#x20;requiring&#x20;write&#x20;access&#x20;to&#x20;a&#x20;file&#x20;under&#x20;the&#x20;mount&#x20;point&#x20;of&#x20;the&#x20;external&#x20;media&#x20;file&#x20;system.&#x20;This&#x20;could&#x20;give&#x20;a&#x20;fair&#x20;indication&#x20;that&#x20;a&#x20;write&#x20;occurred.&#x20;The&#x20;only&#x20;way&#x20;to&#x20;truly&#x20;prove&#x20;it,&#x20;would&#x20;be&#x20;to&#x20;track&#x20;successful&#x20;writes&#x20;to&#x20;the&#x20;external&#x20;media.&#x20;Tracking&#x20;write&#x20;system&#x20;calls&#x20;could&#x20;quickly&#x20;fill&#x20;up&#x20;the&#x20;audit&#x20;log&#x20;and&#x20;is&#x20;not&#x20;recommended.&#x20;Recommendations&#x20;on&#x20;configuration&#x20;options&#x20;to&#x20;track&#x20;data&#x20;export&#x20;to&#x20;media&#x20;is&#x20;beyond&#x20;the&#x20;scope&#x20;of&#x20;this&#x20;document.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;successful&#x20;file&#x20;system&#x20;mounts.&#x20;-&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#&#x20;{&#x20;UID_MIN=$&#40;awk&#x20;&#039;/^s*UID_MIN/{print&#x20;$2}&#039;&#x20;/etc/login.defs&#41;&#x20;[&#x20;-n&#x20;&quot;${UID_MIN}&quot;&#x20;]&#x20;&amp;&amp;&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=$UID_MIN&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;mounts&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;mount&#x20;-F&#x20;auid&gt;=$UID_MIN&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;mounts&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-mounts.rules&#x20;||&#x20;printf&#x20;&quot;ERROR:&#x20;Variable&#x20;&#039;UID_MIN&#039;&#x20;is&#x20;unset.&#x0a;&quot;}&#x20;-&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;-&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.10\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"CM-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0010\"]}, {\"mitre_mitigations\": [\"M1034\"]}]'),(29612,'Ensure&#x20;session&#x20;initiation&#x20;information&#x20;is&#x20;collected.','Monitor&#x20;session&#x20;initiation&#x20;events.&#x20;The&#x20;parameters&#x20;in&#x20;this&#x20;section&#x20;track&#x20;changes&#x20;to&#x20;the&#x20;files&#x20;associated&#x20;with&#x20;session&#x20;events.&#x20;-&#x20;/var/run/utmp:&#x20;tracks&#x20;all&#x20;currently&#x20;logged&#x20;in&#x20;users.&#x20;-&#x20;/var/log/wtmp:&#x20;file&#x20;tracks&#x20;logins,&#x20;logouts,&#x20;shutdown,&#x20;and&#x20;reboot&#x20;events.&#x20;-&#x20;/var/log/btmp:&#x20;keeps&#x20;track&#x20;of&#x20;failed&#x20;login&#x20;attempts&#x20;and&#x20;can&#x20;be&#x20;read&#x20;by&#x20;entering&#x20;the&#x20;command&#x20;/usr/bin/last&#x20;-f&#x20;/var/log/btmp.&#x20;All&#x20;audit&#x20;records&#x20;will&#x20;be&#x20;tagged&#x20;with&#x20;the&#x20;identifier&#x20;&quot;session&quot;.','Monitoring&#x20;these&#x20;files&#x20;for&#x20;changes&#x20;could&#x20;alert&#x20;a&#x20;system&#x20;administrator&#x20;to&#x20;logins&#x20;occurring&#x20;at&#x20;unusual&#x20;hours,&#x20;which&#x20;could&#x20;indicate&#x20;intruder&#x20;activity&#x20;&#40;i.e.&#x20;a&#x20;user&#x20;logging&#x20;in&#x20;at&#x20;a&#x20;time&#x20;when&#x20;they&#x20;do&#x20;not&#x20;normally&#x20;log&#x20;in&#41;.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;session&#x20;initiation&#x20;information.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/var/run/utmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;-w&#x20;/var/log/wtmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;-w&#x20;/var/log/btmp&#x20;-p&#x20;wa&#x20;-k&#x20;session&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-session.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.11\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"4.9\", \"16.13\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3\", \"AU-3(1)\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.9.4.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0001\"]}]'),(29613,'Ensure&#x20;login&#x20;and&#x20;logout&#x20;events&#x20;are&#x20;collected.','Monitor&#x20;login&#x20;and&#x20;logout&#x20;events.&#x20;The&#x20;parameters&#x20;below&#x20;track&#x20;changes&#x20;to&#x20;files&#x20;associated&#x20;with&#x20;login/logout&#x20;events.&#x20;-&#x20;/var/log/lastlog:&#x20;maintain&#x20;records&#x20;of&#x20;the&#x20;last&#x20;time&#x20;a&#x20;user&#x20;successfully&#x20;logged&#x20;in.&#x20;-&#x20;/var/run/faillock:&#x20;directory&#x20;maintains&#x20;records&#x20;of&#x20;login&#x20;failures&#x20;via&#x20;the&#x20;pam_faillock&#x20;module.','Monitoring&#x20;login/logout&#x20;events&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;information&#x20;associated&#x20;with&#x20;brute&#x20;force&#x20;attacks&#x20;against&#x20;user&#x20;logins.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;login&#x20;and&#x20;logout&#x20;events.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/var/log/lastlog&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;-w&#x20;/var/run/faillock&#x20;-p&#x20;wa&#x20;-k&#x20;logins&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-login.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.12\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"4.9\", \"16.11\", \"16.13\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3\", \"AU-3(1)\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.9.4.2\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0001\"]}]'),(29614,'Ensure&#x20;file&#x20;deletion&#x20;events&#x20;by&#x20;users&#x20;are&#x20;collected.','Monitor&#x20;the&#x20;use&#x20;of&#x20;system&#x20;calls&#x20;associated&#x20;with&#x20;the&#x20;deletion&#x20;or&#x20;renaming&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes.&#x20;This&#x20;configuration&#x20;statement&#x20;sets&#x20;up&#x20;monitoring&#x20;for:&#x20;-&#x20;unlink:&#x20;remove&#x20;a&#x20;file.&#x20;-&#x20;unlinkat:&#x20;remove&#x20;a&#x20;file&#x20;attribute.&#x20;-&#x20;rename:&#x20;rename&#x20;a&#x20;file.&#x20;-&#x20;renameat:&#x20;rename&#x20;a&#x20;file&#x20;attribute&#x20;system&#x20;calls&#x20;and&#x20;tags&#x20;them&#x20;with&#x20;the&#x20;identifier&#x20;&quot;delete&quot;.','Monitoring&#x20;these&#x20;calls&#x20;from&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;a&#x20;system&#x20;administrator&#x20;with&#x20;evidence&#x20;that&#x20;inappropriate&#x20;removal&#x20;of&#x20;files&#x20;and&#x20;file&#x20;attributes&#x20;associated&#x20;with&#x20;protected&#x20;files&#x20;is&#x20;occurring.&#x20;While&#x20;this&#x20;audit&#x20;option&#x20;will&#x20;look&#x20;at&#x20;all&#x20;events,&#x20;system&#x20;administrators&#x20;will&#x20;want&#x20;to&#x20;look&#x20;for&#x20;specific&#x20;privileged&#x20;files&#x20;that&#x20;are&#x20;being&#x20;deleted&#x20;or&#x20;altered.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;file&#x20;deletion&#x20;events&#x20;by&#x20;users.&#x20;-&#x20;64&#x20;Bit&#x20;systems:&#x20;Example:&#x20;#&#x20;{&#x20;UID_MIN=$&#40;awk&#x20;&#039;/^s*UID_MIN/{print&#x20;$2}&#039;&#x20;/etc/login.defs&#41;&#x20;[&#x20;-n&#x20;&quot;${UID_MIN}&quot;&#x20;]&#x20;&amp;&amp;&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;rename,unlink,unlinkat,renameat&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-F&#x20;key=delete&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b32&#x20;-S&#x20;rename,unlink,unlinkat,renameat&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-F&#x20;key=delete&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-delete.rules&#x20;||&#x20;printf&#x20;&quot;ERROR:&#x20;Variable&#x20;&#039;UID_MIN&#039;&#x20;is&#x20;unset.&#x0a;&quot;&#x20;}&#x20;-&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;-&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.13\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29615,'Ensure&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;system&#039;s&#x20;Mandatory&#x20;Access&#x20;Controls&#x20;are&#x20;collected.','Monitor&#x20;AppArmor,&#x20;an&#x20;implementation&#x20;of&#x20;mandatory&#x20;access&#x20;controls.&#x20;The&#x20;parameters&#x20;below&#x20;monitor&#x20;any&#x20;write&#x20;access&#x20;&#40;potential&#x20;additional,&#x20;deletion&#x20;or&#x20;modification&#x20;of&#x20;files&#x20;in&#x20;the&#x20;directory&#41;&#x20;or&#x20;attribute&#x20;changes&#x20;to&#x20;the&#x20;/etc/apparmor/&#x20;and&#x20;/etc/apparmor.d/&#x20;directories.&#x20;Note:&#x20;If&#x20;a&#x20;different&#x20;Mandatory&#x20;Access&#x20;Control&#x20;method&#x20;is&#x20;used,&#x20;changes&#x20;to&#x20;the&#x20;corresponding&#x20;directories&#x20;should&#x20;be&#x20;audited.','Changes&#x20;to&#x20;files&#x20;in&#x20;the&#x20;/etc/apparmor/&#x20;and&#x20;/etc/apparmor.d/&#x20;directories&#x20;could&#x20;indicate&#x20;that&#x20;an&#x20;unauthorized&#x20;user&#x20;is&#x20;attempting&#x20;to&#x20;modify&#x20;access&#x20;controls&#x20;and&#x20;change&#x20;security&#x20;contexts,&#x20;leading&#x20;to&#x20;a&#x20;compromise&#x20;of&#x20;the&#x20;system.','','Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;events&#x20;that&#x20;modify&#x20;the&#x20;systems&#x20;Mandatory&#x20;Access&#x20;Controls.&#x20;Example:&#x20;#&#x20;printf&#x20;&quot;&#x20;-w&#x20;/etc/apparmor/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;-w&#x20;/etc/apparmor.d/&#x20;-p&#x20;wa&#x20;-k&#x20;MAC-policy&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-MAC-policy.rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.14\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"5.5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.1.2\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29616,'Ensure&#x20;successful&#x20;and&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;use&#x20;the&#x20;chcon&#x20;command&#x20;are&#x20;recorded.','The&#x20;operating&#x20;system&#x20;must&#x20;generate&#x20;audit&#x20;records&#x20;for&#x20;successful/unsuccessful&#x20;uses&#x20;of&#x20;the&#x20;chcon&#x20;command.','The&#x20;chcon&#x20;command&#x20;is&#x20;used&#x20;to&#x20;change&#x20;file&#x20;security&#x20;context.&#x20;Without&#x20;generating&#x20;audit&#x20;records&#x20;that&#x20;are&#x20;specific&#x20;to&#x20;the&#x20;security&#x20;and&#x20;mission&#x20;needs&#x20;of&#x20;the&#x20;organization,&#x20;it&#x20;would&#x20;be&#x20;difficult&#x20;to&#x20;establish,&#x20;correlate,&#x20;and&#x20;investigate&#x20;the&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident&#x20;or&#x20;identify&#x20;those&#x20;responsible&#x20;for&#x20;one.&#x20;Audit&#x20;records&#x20;can&#x20;be&#x20;generated&#x20;from&#x20;various&#x20;components&#x20;within&#x20;the&#x20;information&#x20;system&#x20;&#40;e.g.,&#x20;module&#x20;or&#x20;policy&#x20;filter&#41;.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;successful&#x20;and&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;use&#x20;the&#x20;chcon&#x20;command.&#x20;-&#x20;64&#x20;Bit&#x20;systems:&#x20;Example:&#x20;#&#x20;{&#x20;UID_MIN=$&#40;awk&#x20;&#039;/^s*UID_MIN/{print&#x20;$2}&#039;&#x20;/etc/login.defs&#41;&#x20;[&#x20;-n&#x20;&quot;${UID_MIN}&quot;&#x20;]&#x20;&amp;&amp;&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;path=/usr/bin/chcon&#x20;-F&#x20;perm=x&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;perm_chng&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-perm_chng.rules&#x20;||&#x20;printf&#x20;&quot;ERROR:Variable&#x20;&#039;UID_MIN&#039;&#x20;is&#x20;unset.&#x0a;&quot;&#x20;}&#x20;-&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;.Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;-&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.15\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}]'),(29617,'Ensure&#x20;successful&#x20;and&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;use&#x20;the&#x20;setfacl&#x20;command&#x20;are&#x20;recorded.','The&#x20;operating&#x20;system&#x20;must&#x20;generate&#x20;audit&#x20;records&#x20;for&#x20;successful/unsuccessful&#x20;uses&#x20;of&#x20;the&#x20;setfacl&#x20;command.','This&#x20;utility&#x20;sets&#x20;Access&#x20;Control&#x20;Lists&#x20;&#40;ACLs&#41;&#x20;of&#x20;files&#x20;and&#x20;directories.&#x20;Without&#x20;generating&#x20;audit&#x20;records&#x20;that&#x20;are&#x20;specific&#x20;to&#x20;the&#x20;security&#x20;and&#x20;mission&#x20;needs&#x20;of&#x20;the&#x20;organization,&#x20;it&#x20;would&#x20;be&#x20;difficult&#x20;to&#x20;establish,&#x20;correlate,&#x20;and&#x20;investigate&#x20;the&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident&#x20;or&#x20;identify&#x20;those&#x20;responsible&#x20;for&#x20;one.&#x20;Audit&#x20;records&#x20;can&#x20;be&#x20;generated&#x20;from&#x20;various&#x20;components&#x20;within&#x20;the&#x20;information&#x20;system&#x20;&#40;e.g.,&#x20;module&#x20;or&#x20;policy&#x20;filter&#41;.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;successful&#x20;and&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;use&#x20;the&#x20;setfacl&#x20;command.&#x20;-&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#&#x20;{&#x20;UID_MIN=$&#40;awk&#x20;&#039;/^s*UID_MIN/{print&#x20;$2}&#039;&#x20;/etc/login.defs&#41;&#x20;[&#x20;-n&#x20;&quot;${UID_MIN}&quot;&#x20;]&#x20;&amp;&amp;&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;path=/usr/bin/setfacl&#x20;-F&#x20;perm=x&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;perm_chng&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-perm_chng.rules&#x20;||&#x20;printf&#x20;&quot;ERROR:Variable&#x20;&#039;UID_MIN&#039;&#x20;is&#x20;unset.&#x0a;&quot;&#x20;}&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;-&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.16\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}]'),(29618,'Ensure&#x20;successful&#x20;and&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;use&#x20;the&#x20;chacl&#x20;command&#x20;are&#x20;recorded.','The&#x20;operating&#x20;system&#x20;must&#x20;generate&#x20;audit&#x20;records&#x20;for&#x20;successful/unsuccessful&#x20;uses&#x20;of&#x20;the&#x20;chacl&#x20;command.&#x20;chacl&#x20;is&#x20;an&#x20;IRIX-compatibility&#x20;command,&#x20;and&#x20;is&#x20;maintained&#x20;for&#x20;those&#x20;users&#x20;who&#x20;are&#x20;familiar&#x20;with&#x20;its&#x20;use&#x20;from&#x20;either&#x20;XFS&#x20;or&#x20;IRIX.','chacl&#x20;changes&#x20;the&#x20;ACL&#40;s&#41;&#x20;for&#x20;a&#x20;file&#x20;or&#x20;directory.&#x20;Without&#x20;generating&#x20;audit&#x20;records&#x20;that&#x20;are&#x20;specific&#x20;to&#x20;the&#x20;security&#x20;and&#x20;mission&#x20;needs&#x20;of&#x20;the&#x20;organization,&#x20;it&#x20;would&#x20;be&#x20;difficult&#x20;to&#x20;establish,&#x20;correlate,&#x20;and&#x20;investigate&#x20;the&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident&#x20;or&#x20;identify&#x20;those&#x20;responsible&#x20;for&#x20;one.&#x20;Audit&#x20;records&#x20;can&#x20;be&#x20;generated&#x20;from&#x20;various&#x20;components&#x20;within&#x20;the&#x20;information&#x20;system&#x20;&#40;e.g.,&#x20;module&#x20;or&#x20;policy&#x20;filter&#41;.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;successful&#x20;and&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;use&#x20;the&#x20;chacl&#x20;command.&#x20;-&#x20;64&#x20;Bit&#x20;systems:&#x20;Example:&#x20;#&#x20;{&#x20;UID_MIN=$&#40;awk&#x20;&#039;/^s*UID_MIN/{print&#x20;$2}&#039;&#x20;/etc/login.defs&#41;&#x20;[&#x20;-n&#x20;&quot;${UID_MIN}&quot;&#x20;]&#x20;&amp;&amp;&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;path=/usr/bin/chacl&#x20;-F&#x20;perm=x&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;perm_chng&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-perm_chng.rules&#x20;||&#x20;printf&#x20;&quot;ERROR:Variable&#x20;&#039;UID_MIN&#039;&#x20;is&#x20;unset.&#x0a;&quot;&#x20;}&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;-&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.17\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}]'),(29619,'Ensure&#x20;successful&#x20;and&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;use&#x20;the&#x20;usermod&#x20;command&#x20;are&#x20;recorded.','The&#x20;operating&#x20;system&#x20;must&#x20;generate&#x20;audit&#x20;records&#x20;for&#x20;successful/unsuccessful&#x20;uses&#x20;of&#x20;the&#x20;usermod&#x20;command.','The&#x20;usermod&#x20;command&#x20;modifies&#x20;the&#x20;system&#x20;account&#x20;files&#x20;to&#x20;reflect&#x20;the&#x20;changes&#x20;that&#x20;are&#x20;specified&#x20;on&#x20;the&#x20;command&#x20;line.&#x20;Without&#x20;generating&#x20;audit&#x20;records&#x20;that&#x20;are&#x20;specific&#x20;to&#x20;the&#x20;security&#x20;and&#x20;mission&#x20;needs&#x20;of&#x20;the&#x20;organization,&#x20;it&#x20;would&#x20;be&#x20;difficult&#x20;to&#x20;establish,&#x20;correlate,&#x20;and&#x20;investigate&#x20;the&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident&#x20;or&#x20;identify&#x20;those&#x20;responsible&#x20;for&#x20;one.&#x20;Audit&#x20;records&#x20;can&#x20;be&#x20;generated&#x20;from&#x20;various&#x20;components&#x20;within&#x20;the&#x20;information&#x20;system&#x20;&#40;e.g.,&#x20;module&#x20;or&#x20;policy&#x20;filter&#41;.','','Create&#x20;audit&#x20;rules:&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;successful&#x20;and&#x20;unsuccessful&#x20;attempts&#x20;to&#x20;use&#x20;the&#x20;usermod&#x20;command.&#x20;-&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#&#x20;{&#x20;UID_MIN=$&#40;awk&#x20;&#039;/^s*UID_MIN/{print&#x20;$2}&#039;&#x20;/etc/login.defs&#41;&#x20;[&#x20;-n&#x20;&quot;${UID_MIN}&quot;&#x20;]&#x20;&amp;&amp;&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;path=/usr/sbin/usermod&#x20;-F&#x20;perm=x&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;usermod&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-usermod.rules&#x20;||&#x20;printf&#x20;&quot;ERROR:Variable&#x20;&#039;UID_MIN&#039;&#x20;is&#x20;unset.&#x0a;&quot;&#x20;}&#x20;Load&#x20;audit&#x20;rules:&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi&#x20;-&#x20;32&#x20;Bit&#x20;systems:&#x20;Follow&#x20;the&#x20;same&#x20;procedures&#x20;as&#x20;for&#x20;64&#x20;bit&#x20;systems&#x20;and&#x20;ignore&#x20;any&#x20;entries&#x20;with&#x20;b64.','[{\"cis\": [\"4.1.3.18\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}]'),(29620,'Ensure&#x20;kernel&#x20;module&#x20;loading&#x20;unloading&#x20;and&#x20;modification&#x20;is&#x20;collected.','Monitor&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;kernel&#x20;modules.&#x20;All&#x20;the&#x20;loading&#x20;/&#x20;listing&#x20;/&#x20;dependency&#x20;checking&#x20;of&#x20;modules&#x20;is&#x20;done&#x20;by&#x20;kmod&#x20;via&#x20;symbolic&#x20;links.&#x20;The&#x20;following&#x20;system&#x20;calls&#x20;control&#x20;loading&#x20;and&#x20;unloading&#x20;of&#x20;modules:&#x20;-&#x20;init_module&#x20;-&#x20;load&#x20;a&#x20;module.&#x20;-&#x20;finit_module&#x20;-&#x20;load&#x20;a&#x20;module&#x20;&#40;used&#x20;when&#x20;the&#x20;overhead&#x20;of&#x20;using&#x20;cryptographically&#x20;signed&#x20;modules&#x20;to&#x20;determine&#x20;the&#x20;authenticity&#x20;of&#x20;a&#x20;module&#x20;can&#x20;be&#x20;avoided&#41;.&#x20;-&#x20;delete_module&#x20;-&#x20;delete&#x20;a&#x20;module.&#x20;-&#x20;create_module&#x20;-&#x20;create&#x20;a&#x20;loadable&#x20;module&#x20;entry.&#x20;-&#x20;query_module&#x20;-&#x20;query&#x20;the&#x20;kernel&#x20;for&#x20;various&#x20;bits&#x20;pertaining&#x20;to&#x20;modules.&#x20;Any&#x20;execution&#x20;of&#x20;the&#x20;loading&#x20;and&#x20;unloading&#x20;module&#x20;programs&#x20;and&#x20;system&#x20;calls&#x20;will&#x20;trigger&#x20;an&#x20;audit&#x20;record&#x20;with&#x20;an&#x20;identifier&#x20;of&#x20;modules.','Monitoring&#x20;the&#x20;use&#x20;of&#x20;all&#x20;the&#x20;various&#x20;ways&#x20;to&#x20;manipulate&#x20;kernel&#x20;modules&#x20;could&#x20;provide&#x20;system&#x20;administrators&#x20;with&#x20;evidence&#x20;that&#x20;an&#x20;unauthorized&#x20;change&#x20;was&#x20;made&#x20;to&#x20;a&#x20;kernel&#x20;module,&#x20;possibly&#x20;compromising&#x20;the&#x20;security&#x20;of&#x20;the&#x20;system.','','Create&#x20;audit&#x20;rules&#x20;Edit&#x20;or&#x20;create&#x20;a&#x20;file&#x20;in&#x20;the&#x20;/etc/audit/rules.d/&#x20;directory,&#x20;ending&#x20;in&#x20;.rules&#x20;extension,&#x20;with&#x20;the&#x20;relevant&#x20;rules&#x20;to&#x20;monitor&#x20;kernel&#x20;module&#x20;modification.&#x20;64&#x20;Bit&#x20;systems&#x20;Example:&#x20;#&#x20;{&#x20;UID_MIN=$&#40;awk&#x20;&#039;/^s*UID_MIN/{print&#x20;$2}&#039;&#x20;/etc/login.defs&#41;&#x20;[&#x20;-n&#x20;&quot;${UID_MIN}&quot;&#x20;]&#x20;&amp;&amp;&#x20;printf&#x20;&quot;&#x20;-a&#x20;always,exit&#x20;-F&#x20;arch=b64&#x20;-S&#x20;init_module,finit_module,delete_module,create_module,query_module&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;kernel_modules&#x20;-a&#x20;always,exit&#x20;-F&#x20;path=/usr/bin/kmod&#x20;-F&#x20;perm=x&#x20;-F&#x20;auid&gt;=${UID_MIN}&#x20;-F&#x20;auid!=unset&#x20;-k&#x20;kernel_modules&#x20;&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/50-kernel_modules.rules&#x20;||&#x20;printf&#x20;&quot;ERROR:&#x20;Variable&#x20;&#039;UID_MIN&#039;&#x20;is&#x20;unset.&#x0a;&quot;&#x20;}&#x20;Load&#x20;audit&#x20;rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.19\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"6.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}, {\"mitre_mitigations\": [\"M1047\"]}]'),(29621,'Ensure&#x20;the&#x20;audit&#x20;configuration&#x20;is&#x20;immutable.','Set&#x20;system&#x20;audit&#x20;so&#x20;that&#x20;audit&#x20;rules&#x20;cannot&#x20;be&#x20;modified&#x20;with&#x20;auditctl.&#x20;Setting&#x20;the&#x20;flag&#x20;&quot;-e&#x20;2&quot;&#x20;forces&#x20;audit&#x20;to&#x20;be&#x20;put&#x20;in&#x20;immutable&#x20;mode.&#x20;Audit&#x20;changes&#x20;can&#x20;only&#x20;be&#x20;made&#x20;on&#x20;system&#x20;reboot.&#x20;Note:&#x20;This&#x20;setting&#x20;will&#x20;require&#x20;the&#x20;system&#x20;to&#x20;be&#x20;rebooted&#x20;to&#x20;update&#x20;the&#x20;active&#x20;auditd&#x20;configuration&#x20;settings.','In&#x20;immutable&#x20;mode,&#x20;unauthorized&#x20;users&#x20;cannot&#x20;execute&#x20;changes&#x20;to&#x20;the&#x20;audit&#x20;system&#x20;to&#x20;potentially&#x20;hide&#x20;malicious&#x20;activity&#x20;and&#x20;then&#x20;put&#x20;the&#x20;audit&#x20;rules&#x20;back.&#x20;Users&#x20;would&#x20;most&#x20;likely&#x20;notice&#x20;a&#x20;system&#x20;reboot&#x20;and&#x20;that&#x20;could&#x20;alert&#x20;administrators&#x20;of&#x20;an&#x20;attempt&#x20;to&#x20;make&#x20;unauthorized&#x20;audit&#x20;changes.','','Edit&#x20;or&#x20;create&#x20;the&#x20;file&#x20;/etc/audit/rules.d/99-finalize.rules&#x20;and&#x20;add&#x20;the&#x20;line&#x20;-e&#x20;2&#x20;at&#x20;the&#x20;end&#x20;of&#x20;the&#x20;file:&#x20;Example:&#x20;#&#x20;printf&#x20;--&#x20;&quot;-e&#x20;2&quot;&#x20;&gt;&gt;&#x20;/etc/audit/rules.d/99-finalize.rules&#x20;Load&#x20;audit&#x20;rules&#x20;Merge&#x20;and&#x20;load&#x20;the&#x20;rules&#x20;into&#x20;active&#x20;configuration:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;#&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;printf&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&#x0a;&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.20\"]}, {\"cis_csc_v8\": [\"3.3\", \"8.5\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.3\", \"AC.L2-3.1.5\", \"AU.L2-3.3.1\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\", \"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\", \"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"AU-3\", \"AU-3(1)\", \"MP-2\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29622,'Ensure&#x20;the&#x20;running&#x20;and&#x20;on&#x20;disk&#x20;configuration&#x20;is&#x20;the&#x20;same.','The&#x20;Audit&#x20;system&#x20;have&#x20;both&#x20;on&#x20;disk&#x20;and&#x20;running&#x20;configuration.&#x20;It&#x20;is&#x20;possible&#x20;for&#x20;these&#x20;configuration&#x20;settings&#x20;to&#x20;differ.&#x20;Note:&#x20;Due&#x20;to&#x20;the&#x20;limitations&#x20;of&#x20;augenrules&#x20;and&#x20;auditctl,&#x20;it&#x20;is&#x20;not&#x20;absolutely&#x20;guaranteed&#x20;that&#x20;loading&#x20;the&#x20;rule&#x20;sets&#x20;via&#x20;augenrules&#x20;--load&#x20;will&#x20;result&#x20;in&#x20;all&#x20;rules&#x20;being&#x20;loaded&#x20;or&#x20;even&#x20;that&#x20;the&#x20;user&#x20;will&#x20;be&#x20;informed&#x20;if&#x20;there&#x20;was&#x20;a&#x20;problem&#x20;loading&#x20;the&#x20;rules.','Configuration&#x20;differences&#x20;between&#x20;what&#x20;is&#x20;currently&#x20;running&#x20;and&#x20;what&#x20;is&#x20;on&#x20;disk&#x20;could&#x20;cause&#x20;unexpected&#x20;problems&#x20;or&#x20;may&#x20;give&#x20;a&#x20;false&#x20;impression&#x20;of&#x20;compliance&#x20;requirements.','','If&#x20;the&#x20;rules&#x20;are&#x20;not&#x20;aligned&#x20;across&#x20;all&#x20;three&#x20;&#40;&#41;&#x20;areas,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;merge&#x20;and&#x20;load&#x20;all&#x20;rules:&#x20;#&#x20;augenrules&#x20;--load&#x20;Check&#x20;if&#x20;reboot&#x20;is&#x20;required.&#x20;if&#x20;[[&#x20;$&#40;auditctl&#x20;-s&#x20;|&#x20;grep&#x20;&quot;enabled&quot;&#41;&#x20;=~&#x20;&quot;2&quot;&#x20;]];&#x20;then&#x20;echo&#x20;&quot;Reboot&#x20;required&#x20;to&#x20;load&#x20;rules&quot;;&#x20;fi.','[{\"cis\": [\"4.1.3.21\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}]'),(29623,'Ensure&#x20;only&#x20;authorized&#x20;groups&#x20;are&#x20;assigned&#x20;ownership&#x20;of&#x20;audit&#x20;log&#x20;files.','Audit&#x20;log&#x20;files&#x20;contain&#x20;information&#x20;about&#x20;the&#x20;system&#x20;and&#x20;system&#x20;activity.','Access&#x20;to&#x20;audit&#x20;records&#x20;can&#x20;reveal&#x20;system&#x20;and&#x20;configuration&#x20;data&#x20;to&#x20;attackers,&#x20;potentially&#x20;compromising&#x20;its&#x20;confidentiality.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;configure&#x20;the&#x20;audit&#x20;log&#x20;files&#x20;to&#x20;be&#x20;owned&#x20;by&#x20;adm&#x20;group:&#x20;#&#x20;find&#x20;$&#40;dirname&#x20;$&#40;awk&#x20;-F&quot;=&quot;&#x20;&#039;/^s*log_file/&#x20;{print&#x20;$2}&#039;&#x20;/etc/audit/auditd.conf&#x20;|&#x20;xargs&#41;&#41;&#x20;-type&#x20;f&#x20;&#40;&#x20;!&#x20;-group&#x20;adm&#x20;-a&#x20;!&#x20;-group&#x20;root&#x20;&#41;&#x20;-exec&#x20;chgrp&#x20;adm&#x20;{}&#x20;+&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;configure&#x20;the&#x20;audit&#x20;log&#x20;files&#x20;to&#x20;be&#x20;owned&#x20;by&#x20;the&#x20;adm&#x20;group:&#x20;#&#x20;chgrp&#x20;adm&#x20;/var/log/audit/&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;log_group&#x20;parameter&#x20;in&#x20;the&#x20;audit&#x20;configuration&#x20;file&#x20;to&#x20;log_group&#x20;=&#x20;adm:&#x20;#&#x20;sed&#x20;-ri&#x20;&#039;s/^s*#?s*log_groups*=s*S+&#40;s*#.*&#41;?.*$/log_group&#x20;=&#x20;adm1/&#039;&#x20;/etc/audit/auditd.conf&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;restart&#x20;the&#x20;audit&#x20;daemon&#x20;to&#x20;reload&#x20;the&#x20;configuration&#x20;file:&#x20;#&#x20;systemctl&#x20;restart&#x20;auditd.','[{\"cis\": [\"4.1.4.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29624,'Ensure&#x20;audit&#x20;configuration&#x20;files&#x20;are&#x20;640&#x20;or&#x20;more&#x20;restrictive.','Audit&#x20;configuration&#x20;files&#x20;control&#x20;auditd&#x20;and&#x20;what&#x20;events&#x20;are&#x20;audited.','Access&#x20;to&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;could&#x20;allow&#x20;unauthorized&#x20;personnel&#x20;to&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events.&#x20;Misconfigured&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events&#x20;or&#x20;impact&#x20;the&#x20;system&#039;s&#x20;performance&#x20;by&#x20;overwhelming&#x20;the&#x20;audit&#x20;log.&#x20;Misconfiguration&#x20;of&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;also&#x20;make&#x20;it&#x20;more&#x20;difficult&#x20;to&#x20;establish&#x20;and&#x20;investigate&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;more&#x20;permissive&#x20;mode&#x20;than&#x20;0640&#x20;from&#x20;the&#x20;audit&#x20;configuration&#x20;files:&#x20;#&#x20;find&#x20;/etc/audit/&#x20;-type&#x20;f&#x20;&#40;&#x20;-name&#x20;&#039;*.conf&#039;&#x20;-o&#x20;-name&#x20;&#039;*.rules&#039;&#x20;&#41;&#x20;-exec&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;{}&#x20;+.','[{\"cis\": [\"4.1.4.5\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29625,'Ensure&#x20;audit&#x20;configuration&#x20;files&#x20;are&#x20;owned&#x20;by&#x20;root.','Audit&#x20;configuration&#x20;files&#x20;control&#x20;auditd&#x20;and&#x20;what&#x20;events&#x20;are&#x20;audited.','Access&#x20;to&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;could&#x20;allow&#x20;unauthorized&#x20;personnel&#x20;to&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events.&#x20;Misconfigured&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events&#x20;or&#x20;impact&#x20;the&#x20;system&#039;s&#x20;performance&#x20;by&#x20;overwhelming&#x20;the&#x20;audit&#x20;log.&#x20;Misconfiguration&#x20;of&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;also&#x20;make&#x20;it&#x20;more&#x20;difficult&#x20;to&#x20;establish&#x20;and&#x20;investigate&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;ownership&#x20;to&#x20;root&#x20;user:&#x20;#&#x20;find&#x20;/etc/audit/&#x20;-type&#x20;f&#x20;&#40;&#x20;-name&#x20;&#039;*.conf&#039;&#x20;-o&#x20;-name&#x20;&#039;*.rules&#039;&#x20;&#41;&#x20;!&#x20;-user&#x20;root&#x20;-exec&#x20;chown&#x20;root&#x20;{}&#x20;+.','[{\"cis\": [\"4.1.4.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29626,'Ensure&#x20;audit&#x20;configuration&#x20;files&#x20;belong&#x20;to&#x20;group&#x20;root.','Audit&#x20;configuration&#x20;files&#x20;control&#x20;auditd&#x20;and&#x20;what&#x20;events&#x20;are&#x20;audited.','Access&#x20;to&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;could&#x20;allow&#x20;unauthorized&#x20;personnel&#x20;to&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events.&#x20;Misconfigured&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;prevent&#x20;the&#x20;auditing&#x20;of&#x20;critical&#x20;events&#x20;or&#x20;impact&#x20;the&#x20;system&#039;s&#x20;performance&#x20;by&#x20;overwhelming&#x20;the&#x20;audit&#x20;log.&#x20;Misconfiguration&#x20;of&#x20;the&#x20;audit&#x20;configuration&#x20;files&#x20;may&#x20;also&#x20;make&#x20;it&#x20;more&#x20;difficult&#x20;to&#x20;establish&#x20;and&#x20;investigate&#x20;events&#x20;relating&#x20;to&#x20;an&#x20;incident.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;group&#x20;to&#x20;root:&#x20;#&#x20;find&#x20;/etc/audit/&#x20;-type&#x20;f&#x20;&#40;&#x20;-name&#x20;&#039;*.conf&#039;&#x20;-o&#x20;-name&#x20;&#039;*.rules&#039;&#x20;&#41;&#x20;!&#x20;-group&#x20;root&#x20;-exec&#x20;chgrp&#x20;root&#x20;{}&#x20;+.','[{\"cis\": [\"4.1.4.7\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29627,'Ensure&#x20;audit&#x20;tools&#x20;are&#x20;755&#x20;or&#x20;more&#x20;restrictive.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;audit&#x20;information&#x20;includes&#x20;identifying&#x20;and&#x20;protecting&#x20;the&#x20;tools&#x20;used&#x20;to&#x20;view&#x20;and&#x20;manipulate&#x20;log&#x20;data.&#x20;Protecting&#x20;audit&#x20;tools&#x20;is&#x20;necessary&#x20;to&#x20;prevent&#x20;unauthorized&#x20;operation&#x20;on&#x20;audit&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;more&#x20;permissive&#x20;mode&#x20;from&#x20;the&#x20;audit&#x20;tools:&#x20;#&#x20;chmod&#x20;go-w&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules.','[{\"cis\": [\"4.1.4.8\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29628,'Ensure&#x20;audit&#x20;tools&#x20;are&#x20;owned&#x20;by&#x20;root.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;audit&#x20;information&#x20;includes&#x20;identifying&#x20;and&#x20;protecting&#x20;the&#x20;tools&#x20;used&#x20;to&#x20;view&#x20;and&#x20;manipulate&#x20;log&#x20;data.&#x20;Protecting&#x20;audit&#x20;tools&#x20;is&#x20;necessary&#x20;to&#x20;prevent&#x20;unauthorized&#x20;operation&#x20;on&#x20;audit&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;the&#x20;owner&#x20;of&#x20;the&#x20;audit&#x20;tools&#x20;to&#x20;the&#x20;root&#x20;user:&#x20;#&#x20;chown&#x20;root&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules.','[{\"cis\": [\"4.1.4.9\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29629,'Ensure&#x20;audit&#x20;tools&#x20;belong&#x20;to&#x20;group&#x20;root.','Audit&#x20;tools&#x20;include,&#x20;but&#x20;are&#x20;not&#x20;limited&#x20;to,&#x20;vendor-provided&#x20;and&#x20;open&#x20;source&#x20;audit&#x20;tools&#x20;needed&#x20;to&#x20;successfully&#x20;view&#x20;and&#x20;manipulate&#x20;audit&#x20;information&#x20;system&#x20;activity&#x20;and&#x20;records.&#x20;Audit&#x20;tools&#x20;include&#x20;custom&#x20;queries&#x20;and&#x20;report&#x20;generators.','Protecting&#x20;audit&#x20;information&#x20;includes&#x20;identifying&#x20;and&#x20;protecting&#x20;the&#x20;tools&#x20;used&#x20;to&#x20;view&#x20;and&#x20;manipulate&#x20;log&#x20;data.&#x20;Protecting&#x20;audit&#x20;tools&#x20;is&#x20;necessary&#x20;to&#x20;prevent&#x20;unauthorized&#x20;operation&#x20;on&#x20;audit&#x20;information.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;more&#x20;permissive&#x20;mode&#x20;from&#x20;the&#x20;audit&#x20;tools:&#x20;#&#x20;chmod&#x20;go-w&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;change&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;audit&#x20;tools&#x20;to&#x20;root&#x20;user&#x20;and&#x20;group:&#x20;#&#x20;chown&#x20;root:root&#x20;/sbin/auditctl&#x20;/sbin/aureport&#x20;/sbin/ausearch&#x20;/sbin/autrace&#x20;/sbin/auditd&#x20;/sbin/augenrules.','[{\"cis\": [\"4.1.4.10\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29630,'Ensure&#x20;systemd-journal-remote&#x20;is&#x20;installed.','Journald&#x20;&#40;via&#x20;systemd-journal-remote&#41;&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;log&#x20;events&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;enabling&#x20;centralised&#x20;log&#x20;management.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;systemd-journal-remote:&#x20;#&#x20;apt&#x20;install&#x20;systemd-journal-remote.','[{\"cis\": [\"4.2.1.1.1\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(29631,'Ensure&#x20;systemd-journal-remote&#x20;is&#x20;enabled.','Journald&#x20;&#40;via&#x20;systemd-journal-remote&#41;&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;send&#x20;log&#x20;events&#x20;it&#x20;gathers&#x20;to&#x20;a&#x20;remote&#x20;log&#x20;host&#x20;or&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;enabling&#x20;centralised&#x20;log&#x20;management.','Storing&#x20;log&#x20;data&#x20;on&#x20;a&#x20;remote&#x20;host&#x20;protects&#x20;log&#x20;integrity&#x20;from&#x20;local&#x20;attacks.&#x20;If&#x20;an&#x20;attacker&#x20;gains&#x20;root&#x20;access&#x20;on&#x20;the&#x20;local&#x20;system,&#x20;they&#x20;could&#x20;tamper&#x20;with&#x20;or&#x20;remove&#x20;log&#x20;data&#x20;that&#x20;is&#x20;stored&#x20;on&#x20;the&#x20;local&#x20;system.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;systemd-journal-remote:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;systemd-journal-upload.service.','[{\"cis\": [\"4.2.1.1.3\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(29632,'Ensure&#x20;journald&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;recieve&#x20;logs&#x20;from&#x20;a&#x20;remote&#x20;client.','Journald&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;acting&#x20;as&#x20;a&#x20;log&#x20;server.&#x20;Clients&#x20;should&#x20;not&#x20;receive&#x20;data&#x20;from&#x20;other&#x20;hosts.&#x20;NOTE:&#x20;-&#x20;The&#x20;same&#x20;package,&#x20;systemd-journal-remote,&#x20;is&#x20;used&#x20;for&#x20;both&#x20;sending&#x20;logs&#x20;to&#x20;remote&#x20;hosts&#x20;and&#x20;receiving&#x20;incoming&#x20;logs.&#x20;-&#x20;With&#x20;regards&#x20;to&#x20;receiving&#x20;logs,&#x20;there&#x20;are&#x20;two&#x20;services;&#x20;systemd-journal-remote.socket&#x20;and&#x20;systemd-journal-remote.service.','If&#x20;a&#x20;client&#x20;is&#x20;configured&#x20;to&#x20;also&#x20;receive&#x20;data,&#x20;thus&#x20;turning&#x20;it&#x20;into&#x20;a&#x20;server,&#x20;the&#x20;client&#x20;system&#x20;is&#x20;acting&#x20;outside&#x20;it&#039;s&#x20;operational&#x20;boundary.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;systemd-journal-remote.socket:&#x20;#&#x20;systemctl&#x20;--now&#x20;disable&#x20;systemd-journal-remote.socket.','[{\"cis\": [\"4.2.1.1.4\"]}, {\"cis_csc_v8\": [\"4.8\", \"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\", \"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(29633,'Ensure&#x20;journald&#x20;service&#x20;is&#x20;enabled.','Ensure&#x20;that&#x20;the&#x20;systemd-journald&#x20;service&#x20;is&#x20;enabled&#x20;to&#x20;allow&#x20;capturing&#x20;of&#x20;logging&#x20;events.','If&#x20;the&#x20;systemd-journald&#x20;service&#x20;is&#x20;not&#x20;enabled&#x20;to&#x20;start&#x20;on&#x20;boot,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;capture&#x20;logging&#x20;events.','','By&#x20;default&#x20;the&#x20;systemd-journald&#x20;service&#x20;does&#x20;not&#x20;have&#x20;an&#x20;[Install]&#x20;section&#x20;and&#x20;thus&#x20;cannot&#x20;be&#x20;enabled&#x20;/&#x20;disabled.&#x20;It&#x20;is&#x20;meant&#x20;to&#x20;be&#x20;referenced&#x20;as&#x20;Requires&#x20;or&#x20;Wants&#x20;by&#x20;other&#x20;unit&#x20;files.&#x20;As&#x20;such,&#x20;if&#x20;the&#x20;status&#x20;of&#x20;systemd-journald&#x20;is&#x20;not&#x20;static,&#x20;investigate&#x20;why.','[{\"cis\": [\"4.2.1.2\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29634,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;compress&#x20;large&#x20;log&#x20;files.','The&#x20;journald&#x20;system&#x20;includes&#x20;the&#x20;capability&#x20;of&#x20;compressing&#x20;overly&#x20;large&#x20;files&#x20;to&#x20;avoid&#x20;filling&#x20;up&#x20;the&#x20;system&#x20;with&#x20;logs&#x20;or&#x20;making&#x20;the&#x20;logs&#x20;unmanageably&#x20;large.','Uncompressed&#x20;large&#x20;files&#x20;may&#x20;unexpectedly&#x20;fill&#x20;a&#x20;filesystem&#x20;leading&#x20;to&#x20;resource&#x20;unavailability.&#x20;Compressing&#x20;logs&#x20;prior&#x20;to&#x20;write&#x20;can&#x20;prevent&#x20;sudden,&#x20;unexpected&#x20;filesystem&#x20;impacts.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Compress=yes&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;systemd-journald.','[{\"cis\": [\"4.2.1.3\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.3\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"6.4\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\", \"10.7\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"A1.1\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.002\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1053\"]}]'),(29635,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;write&#x20;logfiles&#x20;to&#x20;persistent&#x20;disk.','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Logs&#x20;in&#x20;memory&#x20;will&#x20;be&#x20;lost&#x20;upon&#x20;a&#x20;system&#x20;reboot.&#x20;By&#x20;persisting&#x20;logs&#x20;to&#x20;local&#x20;disk&#x20;on&#x20;the&#x20;server&#x20;they&#x20;are&#x20;protected&#x20;from&#x20;loss&#x20;due&#x20;to&#x20;a&#x20;reboot.','Writing&#x20;log&#x20;data&#x20;to&#x20;disk&#x20;will&#x20;provide&#x20;the&#x20;ability&#x20;to&#x20;forensically&#x20;reconstruct&#x20;events&#x20;which&#x20;may&#x20;have&#x20;impacted&#x20;the&#x20;operations&#x20;or&#x20;security&#x20;of&#x20;a&#x20;system&#x20;even&#x20;after&#x20;a&#x20;system&#x20;crash&#x20;or&#x20;reboot.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Storage=persistent&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;systemd-journald.','[{\"cis\": [\"4.2.1.4\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29636,'Ensure&#x20;journald&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;rsyslog.','Data&#x20;from&#x20;journald&#x20;should&#x20;be&#x20;kept&#x20;in&#x20;the&#x20;confines&#x20;of&#x20;the&#x20;service&#x20;and&#x20;not&#x20;forwarded&#x20;on&#x20;to&#x20;other&#x20;services.','IF&#x20;journald&#x20;is&#x20;the&#x20;method&#x20;for&#x20;capturing&#x20;logs,&#x20;all&#x20;logs&#x20;of&#x20;the&#x20;system&#x20;should&#x20;be&#x20;handled&#x20;by&#x20;journald&#x20;and&#x20;not&#x20;forwarded&#x20;to&#x20;other&#x20;logging&#x20;mechanisms.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;ensure&#x20;that&#x20;ForwardToSyslog=yes&#x20;is&#x20;removed.&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;systemd-journald.','[{\"cis\": [\"4.2.1.5\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.9\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"6.5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\", \"10.5.3\", \"10.5.4\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\", \"10.3.3\"]}, {\"nist_sp_800-53\": [\"AU-7\", \"AU-6(3)\"]}, {\"soc_2\": [\"PL1.4\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0040\"]}, {\"mitre_mitigations\": [\"M1029\"]}]'),(29637,'Ensure&#x20;rsyslog&#x20;is&#x20;installed.','The&#x20;rsyslog&#x20;software&#x20;is&#x20;recommended&#x20;in&#x20;environments&#x20;where&#x20;journald&#x20;does&#x20;not&#x20;meet&#x20;operation&#x20;requirements.','The&#x20;security&#x20;enhancements&#x20;of&#x20;rsyslog&#x20;such&#x20;as&#x20;connection-oriented&#x20;&#40;i.e.&#x20;TCP&#41;&#x20;transmission&#x20;of&#x20;logs,&#x20;the&#x20;option&#x20;to&#x20;log&#x20;to&#x20;database&#x20;formats,&#x20;and&#x20;the&#x20;encryption&#x20;of&#x20;log&#x20;data&#x20;en&#x20;route&#x20;to&#x20;a&#x20;central&#x20;logging&#x20;server&#41;&#x20;justify&#x20;installing&#x20;and&#x20;configuring&#x20;the&#x20;package.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;rsyslog:&#x20;#&#x20;apt&#x20;install&#x20;rsyslog.','[{\"cis\": [\"4.2.2.1\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1005\", \"T1070\", \"T1070.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29638,'Ensure&#x20;rsyslog&#x20;service&#x20;is&#x20;enabled.','Once&#x20;the&#x20;rsyslog&#x20;package&#x20;is&#x20;installed,&#x20;ensure&#x20;that&#x20;the&#x20;service&#x20;is&#x20;enabled.','If&#x20;the&#x20;rsyslog&#x20;service&#x20;is&#x20;not&#x20;enabled&#x20;to&#x20;start&#x20;on&#x20;boot,&#x20;the&#x20;system&#x20;will&#x20;not&#x20;capture&#x20;logging&#x20;events.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;rsyslog:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;rsyslog.','[{\"cis\": [\"4.2.2.2\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29639,'Ensure&#x20;journald&#x20;is&#x20;configured&#x20;to&#x20;send&#x20;logs&#x20;to&#x20;rsyslog.','Data&#x20;from&#x20;journald&#x20;may&#x20;be&#x20;stored&#x20;in&#x20;volatile&#x20;memory&#x20;or&#x20;persisted&#x20;locally&#x20;on&#x20;the&#x20;server.&#x20;Utilities&#x20;exist&#x20;to&#x20;accept&#x20;remote&#x20;export&#x20;of&#x20;journald&#x20;logs,&#x20;however,&#x20;use&#x20;of&#x20;the&#x20;RSyslog&#x20;service&#x20;provides&#x20;a&#x20;consistent&#x20;means&#x20;of&#x20;log&#x20;collection&#x20;and&#x20;export.','IF&#x20;RSyslog&#x20;is&#x20;the&#x20;preferred&#x20;method&#x20;for&#x20;capturing&#x20;logs,&#x20;all&#x20;logs&#x20;of&#x20;the&#x20;system&#x20;should&#x20;be&#x20;sent&#x20;to&#x20;it&#x20;for&#x20;further&#x20;processing.','','Edit&#x20;the&#x20;/etc/systemd/journald.conf&#x20;file&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;ForwardToSyslog=yes&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog.','[{\"cis\": [\"4.2.2.3\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.9\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"6.5\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\", \"10.5.3\", \"10.5.4\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\", \"10.3.3\"]}, {\"nist_sp_800-53\": [\"AU-7\", \"AU-6(3)\"]}, {\"soc_2\": [\"PL1.4\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}]'),(29640,'Ensure&#x20;rsyslog&#x20;default&#x20;file&#x20;permissions&#x20;are&#x20;configured.','RSyslog&#x20;will&#x20;create&#x20;logfiles&#x20;that&#x20;do&#x20;not&#x20;already&#x20;exist&#x20;on&#x20;the&#x20;system.&#x20;This&#x20;setting&#x20;controls&#x20;what&#x20;permissions&#x20;will&#x20;be&#x20;applied&#x20;to&#x20;these&#x20;newly&#x20;created&#x20;files.','It&#x20;is&#x20;important&#x20;to&#x20;ensure&#x20;that&#x20;log&#x20;files&#x20;have&#x20;the&#x20;correct&#x20;permissions&#x20;to&#x20;ensure&#x20;that&#x20;sensitive&#x20;data&#x20;is&#x20;archived&#x20;and&#x20;protected.','The&#x20;systems&#x20;global&#x20;umask&#x20;could&#x20;override,&#x20;but&#x20;only&#x20;making&#x20;the&#x20;file&#x20;permissions&#x20;stricter,&#x20;what&#x20;is&#x20;configured&#x20;in&#x20;RSyslog&#x20;with&#x20;the&#x20;FileCreateMode&#x20;directive.&#x20;RSyslog&#x20;also&#x20;has&#x20;it&#039;s&#x20;own&#x20;$umask&#x20;directive&#x20;that&#x20;can&#x20;alter&#x20;the&#x20;intended&#x20;file&#x20;creation&#x20;mode.&#x20;In&#x20;addition,&#x20;consideration&#x20;should&#x20;be&#x20;given&#x20;to&#x20;how&#x20;FileCreateMode&#x20;is&#x20;used.&#x20;Thus&#x20;it&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;intended&#x20;file&#x20;creation&#x20;mode&#x20;is&#x20;not&#x20;overridden&#x20;with&#x20;less&#x20;restrictive&#x20;settings&#x20;in&#x20;/etc/rsyslog.conf,&#x20;/etc/rsyslog.d&#47;&#42;conf&#x20;files&#x20;and&#x20;that&#x20;FileCreateMode&#x20;is&#x20;set&#x20;before&#x20;any&#x20;file&#x20;is&#x20;created.','Edit&#x20;either&#x20;/etc/rsyslog.conf&#x20;or&#x20;a&#x20;dedicated&#x20;.conf&#x20;file&#x20;in&#x20;/etc/rsyslog.d/&#x20;and&#x20;set&#x20;$FileCreateMode&#x20;to&#x20;0640&#x20;or&#x20;more&#x20;restrictive:&#x20;$FileCreateMode&#x20;0640&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog.','[{\"cis\": [\"4.2.2.4\"]}, {\"cis_csc_v8\": [\"3.3\", \"8.2\"]}, {\"cis_csc_v7\": [\"5.1\", \"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\", \"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\", \"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\", \"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\", \"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\", \"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1083\"]}, {\"mitre_tactics\": [\"TA0007\"]}]'),(29641,'Ensure&#x20;rsyslog&#x20;is&#x20;not&#x20;configured&#x20;to&#x20;receive&#x20;logs&#x20;from&#x20;a&#x20;remote&#x20;client.','RSyslog&#x20;supports&#x20;the&#x20;ability&#x20;to&#x20;receive&#x20;messages&#x20;from&#x20;remote&#x20;hosts,&#x20;thus&#x20;acting&#x20;as&#x20;a&#x20;log&#x20;server.&#x20;Clients&#x20;should&#x20;not&#x20;receive&#x20;data&#x20;from&#x20;other&#x20;hosts.','If&#x20;a&#x20;client&#x20;is&#x20;configured&#x20;to&#x20;also&#x20;receive&#x20;data,&#x20;thus&#x20;turning&#x20;it&#x20;into&#x20;a&#x20;server,&#x20;the&#x20;client&#x20;system&#x20;is&#x20;acting&#x20;outside&#x20;it&#039;s&#x20;operational&#x20;boundary.','','Should&#x20;there&#x20;be&#x20;any&#x20;active&#x20;log&#x20;server&#x20;configuration&#x20;found&#x20;in&#x20;the&#x20;auditing&#x20;section,&#x20;modify&#x20;those&#x20;file&#x20;and&#x20;remove&#x20;the&#x20;specific&#x20;lines&#x20;highlighted&#x20;by&#x20;the&#x20;audit.&#x20;Ensure&#x20;none&#x20;of&#x20;the&#x20;following&#x20;entries&#x20;are&#x20;present&#x20;in&#x20;any&#x20;of&#x20;/etc/rsyslog.conf&#x20;or&#x20;/etc/rsyslog.d&#47;&#42;.conf.&#x20;Old&#x20;format&#x20;$ModLoad&#x20;imtcp&#x20;$InputTCPServerRun&#x20;New&#x20;format&#x20;module&#40;load=&quot;imtcp&quot;&#41;&#x20;input&#40;type=&quot;imtcp&quot;&#x20;port=&quot;514&quot;&#41;&#x20;Restart&#x20;the&#x20;service:&#x20;#&#x20;systemctl&#x20;restart&#x20;rsyslog.','[{\"cis\": [\"4.2.2.7\"]}, {\"cis_csc_v8\": [\"4.8\", \"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\", \"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.12.4.1\", \"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1070\", \"T1070.002\", \"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29642,'Ensure&#x20;cron&#x20;daemon&#x20;is&#x20;enabled&#x20;and&#x20;running.','The&#x20;cron&#x20;daemon&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;batch&#x20;jobs&#x20;on&#x20;the&#x20;system.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','While&#x20;there&#x20;may&#x20;not&#x20;be&#x20;user&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;be&#x20;run&#x20;on&#x20;the&#x20;system,&#x20;the&#x20;system&#x20;does&#x20;have&#x20;maintenance&#x20;jobs&#x20;that&#x20;may&#x20;include&#x20;security&#x20;monitoring&#x20;that&#x20;have&#x20;to&#x20;run,&#x20;and&#x20;cron&#x20;is&#x20;used&#x20;to&#x20;execute&#x20;them.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;and&#x20;start&#x20;cron:&#x20;#&#x20;systemctl&#x20;--now&#x20;enable&#x20;cron.','[{\"cis\": [\"5.1.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.001\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29643,'Ensure&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;are&#x20;configured.','The&#x20;/etc/crontab&#x20;file&#x20;is&#x20;used&#x20;by&#x20;cron&#x20;to&#x20;control&#x20;its&#x20;own&#x20;jobs.&#x20;The&#x20;commands&#x20;in&#x20;this&#x20;item&#x20;make&#x20;sure&#x20;that&#x20;root&#x20;is&#x20;the&#x20;user&#x20;and&#x20;group&#x20;owner&#x20;of&#x20;the&#x20;file&#x20;and&#x20;that&#x20;only&#x20;the&#x20;owner&#x20;can&#x20;access&#x20;the&#x20;file.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','This&#x20;file&#x20;contains&#x20;information&#x20;on&#x20;what&#x20;system&#x20;jobs&#x20;are&#x20;run&#x20;by&#x20;cron.&#x20;Write&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;unprivileged&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;elevate&#x20;their&#x20;privileges.&#x20;Read&#x20;access&#x20;to&#x20;these&#x20;files&#x20;could&#x20;provide&#x20;users&#x20;with&#x20;the&#x20;ability&#x20;to&#x20;gain&#x20;insight&#x20;on&#x20;system&#x20;jobs&#x20;that&#x20;run&#x20;on&#x20;the&#x20;system&#x20;and&#x20;could&#x20;provide&#x20;them&#x20;a&#x20;way&#x20;to&#x20;gain&#x20;unauthorized&#x20;privileged&#x20;access.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/crontab&#x20;:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/crontab&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/crontab.','[{\"cis\": [\"5.1.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29644,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.hourly&#x20;are&#x20;configured.','This&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;an&#x20;hourly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.hourly&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.hourly/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.hourly/.','[{\"cis\": [\"5.1.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29645,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.daily&#x20;are&#x20;configured.','The&#x20;/etc/cron.daily&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;daily&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.daily&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.daily/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.daily/.','[{\"cis\": [\"5.1.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29646,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.weekly&#x20;are&#x20;configured.','The&#x20;/etc/cron.weekly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;weekly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.weekly&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.weekly/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.weekly/.','[{\"cis\": [\"5.1.5\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29647,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.monthly&#x20;are&#x20;configured.','The&#x20;/etc/cron.monthly&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;on&#x20;a&#x20;monthly&#x20;basis.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.monthly&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.monthly/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.monthly/.','[{\"cis\": [\"5.1.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29648,'Ensure&#x20;permissions&#x20;on&#x20;/etc/cron.d&#x20;are&#x20;configured.','The&#x20;/etc/cron.d&#x20;directory&#x20;contains&#x20;system&#x20;cron&#x20;jobs&#x20;that&#x20;need&#x20;to&#x20;run&#x20;in&#x20;a&#x20;similar&#x20;manner&#x20;to&#x20;the&#x20;hourly,&#x20;daily&#x20;weekly&#x20;and&#x20;monthly&#x20;jobs&#x20;from&#x20;/etc/crontab,&#x20;but&#x20;require&#x20;more&#x20;granular&#x20;control&#x20;as&#x20;to&#x20;when&#x20;they&#x20;run.&#x20;The&#x20;files&#x20;in&#x20;this&#x20;directory&#x20;cannot&#x20;be&#x20;manipulated&#x20;by&#x20;the&#x20;crontab&#x20;command,&#x20;but&#x20;are&#x20;instead&#x20;edited&#x20;by&#x20;system&#x20;administrators&#x20;using&#x20;a&#x20;text&#x20;editor.&#x20;The&#x20;commands&#x20;below&#x20;restrict&#x20;read/write&#x20;and&#x20;search&#x20;access&#x20;to&#x20;user&#x20;and&#x20;group&#x20;root,&#x20;preventing&#x20;regular&#x20;users&#x20;from&#x20;accessing&#x20;this&#x20;directory.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Granting&#x20;write&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;for&#x20;non-privileged&#x20;users&#x20;could&#x20;provide&#x20;them&#x20;the&#x20;means&#x20;for&#x20;gaining&#x20;unauthorized&#x20;elevated&#x20;privileges.&#x20;Granting&#x20;read&#x20;access&#x20;to&#x20;this&#x20;directory&#x20;could&#x20;give&#x20;an&#x20;unprivileged&#x20;user&#x20;insight&#x20;in&#x20;how&#x20;to&#x20;gain&#x20;elevated&#x20;privileges&#x20;or&#x20;circumvent&#x20;auditing&#x20;controls.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;the&#x20;/etc/cron.d&#x20;directory:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.d/&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/cron.d/.','[{\"cis\": [\"5.1.7\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29649,'Ensure&#x20;cron&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users.','Configure&#x20;/etc/cron.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;this&#x20;service.&#x20;If&#x20;/etc/cron.allow&#x20;does&#x20;not&#x20;exist,&#x20;then&#x20;/etc/cron.deny&#x20;is&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;this&#x20;file&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;cron.&#x20;By&#x20;removing&#x20;the&#x20;file,&#x20;only&#x20;users&#x20;in&#x20;/etc/cron.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;cron.&#x20;Notes:&#x20;-&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;cron&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.&#x20;-&#x20;Even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;-&#x20;The&#x20;cron.allow&#x20;file&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;cron&#x20;jobs.&#x20;Using&#x20;the&#x20;cron.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;cron&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/cron.deny:&#x20;#&#x20;rm&#x20;/etc/cron.deny&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;/etc/cron.allow&#x20;#&#x20;touch&#x20;/etc/cron.allow&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/cron.allow:&#x20;#&#x20;chmod&#x20;g-wx,o-rwx&#x20;/etc/cron.allow&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/cron.allow.','[{\"cis\": [\"5.1.8\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29650,'Ensure&#x20;at&#x20;is&#x20;restricted&#x20;to&#x20;authorized&#x20;users.','Configure&#x20;/etc/at.allow&#x20;to&#x20;allow&#x20;specific&#x20;users&#x20;to&#x20;use&#x20;this&#x20;service.&#x20;If&#x20;/etc/at.allow&#x20;does&#x20;not&#x20;exist,&#x20;then&#x20;/etc/at.deny&#x20;is&#x20;checked.&#x20;Any&#x20;user&#x20;not&#x20;specifically&#x20;defined&#x20;in&#x20;this&#x20;file&#x20;is&#x20;allowed&#x20;to&#x20;use&#x20;at.&#x20;By&#x20;removing&#x20;the&#x20;file,&#x20;only&#x20;users&#x20;in&#x20;/etc/at.allow&#x20;are&#x20;allowed&#x20;to&#x20;use&#x20;at.&#x20;Note:&#x20;Other&#x20;methods,&#x20;such&#x20;as&#x20;systemd&#x20;timers,&#x20;exist&#x20;for&#x20;scheduling&#x20;jobs.&#x20;If&#x20;another&#x20;method&#x20;is&#x20;used,&#x20;at&#x20;should&#x20;be&#x20;removed,&#x20;and&#x20;the&#x20;alternate&#x20;method&#x20;should&#x20;be&#x20;secured&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;is&#x20;authorized&#x20;to&#x20;schedule&#x20;at&#x20;jobs.&#x20;Using&#x20;the&#x20;at.allow&#x20;file&#x20;to&#x20;control&#x20;who&#x20;can&#x20;run&#x20;at&#x20;jobs&#x20;enforces&#x20;this&#x20;policy.&#x20;It&#x20;is&#x20;easier&#x20;to&#x20;manage&#x20;an&#x20;allow&#x20;list&#x20;than&#x20;a&#x20;deny&#x20;list.&#x20;In&#x20;a&#x20;deny&#x20;list,&#x20;you&#x20;could&#x20;potentially&#x20;add&#x20;a&#x20;user&#x20;ID&#x20;to&#x20;the&#x20;system&#x20;and&#x20;forget&#x20;to&#x20;add&#x20;it&#x20;to&#x20;the&#x20;deny&#x20;files.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;/etc/at.deny:&#x20;#&#x20;rm&#x20;/etc/at.deny&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;create&#x20;/etc/at.allow&#x20;#&#x20;touch&#x20;/etc/at.allow&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;permissions&#x20;and&#x20;ownership&#x20;for&#x20;/etc/at.allow:&#x20;#&#x20;chmod&#x20;g-wx,o-rwx&#x20;/etc/at.allow&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/at.allow.','[{\"cis\": [\"5.1.9\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1053\", \"T1053.003\"]}, {\"mitre_tactics\": [\"TA0002\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29651,'Ensure&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config&#x20;are&#x20;configured.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;contains&#x20;configuration&#x20;specifications&#x20;for&#x20;sshd.&#x20;The&#x20;command&#x20;below&#x20;sets&#x20;the&#x20;owner&#x20;and&#x20;group&#x20;of&#x20;the&#x20;file&#x20;to&#x20;root.','The&#x20;/etc/ssh/sshd_config&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;and&#x20;permissions&#x20;on&#x20;/etc/ssh/sshd_config:&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/ssh/sshd_config&#x20;#&#x20;chmod&#x20;og-rwx&#x20;/etc/ssh/sshd_config.','[{\"cis\": [\"5.2.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1098\", \"T1098.004\", \"T1543\", \"T1543.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29652,'Ensure&#x20;SSH&#x20;access&#x20;is&#x20;limited.','There&#x20;are&#x20;several&#x20;options&#x20;available&#x20;to&#x20;limit&#x20;which&#x20;users&#x20;and&#x20;group&#x20;can&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;at&#x20;least&#x20;one&#x20;of&#x20;the&#x20;following&#x20;options&#x20;be&#x20;leveraged:&#x20;-&#x20;AllowUsers:&#x20;&gt;&#x20;The&#x20;AllowUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;only&#x20;allowing&#x20;the&#x20;allowed&#x20;users&#x20;to&#x20;log&#x20;in&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;-&#x20;AllowGroups:&#x20;&gt;&#x20;The&#x20;AllowGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;allowing&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;-&#x20;DenyUsers:&#x20;&gt;&#x20;The&#x20;DenyUsers&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;user&#x20;names.&#x20;Numeric&#x20;user&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.&#x20;If&#x20;a&#x20;system&#x20;administrator&#x20;wants&#x20;to&#x20;restrict&#x20;user&#x20;access&#x20;further&#x20;by&#x20;specifically&#x20;denying&#x20;a&#x20;user&#039;s&#x20;access&#x20;from&#x20;a&#x20;particular&#x20;host,&#x20;the&#x20;entry&#x20;can&#x20;be&#x20;specified&#x20;in&#x20;the&#x20;form&#x20;of&#x20;user@host.&#x20;-&#x20;DenyGroups:&#x20;&gt;&#x20;The&#x20;DenyGroups&#x20;variable&#x20;gives&#x20;the&#x20;system&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;denying&#x20;specific&#x20;groups&#x20;of&#x20;users&#x20;to&#x20;ssh&#x20;into&#x20;the&#x20;system.&#x20;The&#x20;list&#x20;consists&#x20;of&#x20;space&#x20;separated&#x20;group&#x20;names.&#x20;Numeric&#x20;group&#x20;IDs&#x20;are&#x20;not&#x20;recognized&#x20;with&#x20;this&#x20;variable.','Restricting&#x20;which&#x20;users&#x20;can&#x20;remotely&#x20;access&#x20;the&#x20;system&#x20;via&#x20;SSH&#x20;will&#x20;help&#x20;ensure&#x20;that&#x20;only&#x20;authorized&#x20;users&#x20;access&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;one&#x20;or&#x20;more&#x20;of&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowUsers&#x20;&lt;userlist&gt;&#x20;OR&#x20;AllowGroups&#x20;&lt;grouplist&gt;&#x20;OR&#x20;DenyUsers&#x20;&lt;userlist&gt;&#x20;OR&#x20;DenyGroups&#x20;&lt;grouplist&gt;.','[{\"cis\": [\"5.2.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}, {\"mitre_techniques\": [\"T1021\", \"T1021.004\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1018\"]}]'),(29653,'Ensure&#x20;SSH&#x20;LogLevel&#x20;is&#x20;appropriate.','INFO&#x20;level&#x20;is&#x20;the&#x20;basic&#x20;level&#x20;that&#x20;only&#x20;records&#x20;login&#x20;activity&#x20;of&#x20;SSH&#x20;users.&#x20;In&#x20;many&#x20;situations,&#x20;such&#x20;as&#x20;Incident&#x20;Response,&#x20;it&#x20;is&#x20;important&#x20;to&#x20;determine&#x20;when&#x20;a&#x20;particular&#x20;user&#x20;was&#x20;active&#x20;on&#x20;a&#x20;system.&#x20;The&#x20;logout&#x20;record&#x20;can&#x20;eliminate&#x20;those&#x20;users&#x20;who&#x20;disconnected,&#x20;which&#x20;helps&#x20;narrow&#x20;the&#x20;field.&#x20;VERBOSE&#x20;level&#x20;specifies&#x20;that&#x20;login&#x20;and&#x20;logout&#x20;activity&#x20;as&#x20;well&#x20;as&#x20;the&#x20;key&#x20;fingerprint&#x20;for&#x20;any&#x20;SSH&#x20;key&#x20;used&#x20;for&#x20;login&#x20;will&#x20;be&#x20;logged.&#x20;This&#x20;information&#x20;is&#x20;important&#x20;for&#x20;SSH&#x20;key&#x20;management,&#x20;especially&#x20;in&#x20;legacy&#x20;environments.','SSH&#x20;provides&#x20;several&#x20;logging&#x20;levels&#x20;with&#x20;varying&#x20;amounts&#x20;of&#x20;verbosity.&#x20;DEBUG&#x20;is&#x20;specifically&#x20;not&#x20;recommended&#x20;other&#x20;than&#x20;strictly&#x20;for&#x20;debugging&#x20;SSH&#x20;communications&#x20;since&#x20;it&#x20;provides&#x20;so&#x20;much&#x20;data&#x20;that&#x20;it&#x20;is&#x20;difficult&#x20;to&#x20;identify&#x20;important&#x20;security&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LogLevel&#x20;VERBOSE&#x20;OR&#x20;LogLevel&#x20;INFO.','[{\"cis\": [\"5.2.5\"]}, {\"cis_csc_v8\": [\"8.2\"]}, {\"cis_csc_v7\": [\"6.2\", \"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"pci_dss_3.2.1\": [\"10.2\", \"10.3\"]}, {\"pci_dss_4.0\": [\"5.3.4\", \"6.4.1\", \"6.4.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0005\"]}]'),(29654,'Ensure&#x20;SSH&#x20;PAM&#x20;is&#x20;enabled.','The&#x20;UsePAM&#x20;directive&#x20;enables&#x20;the&#x20;Pluggable&#x20;Authentication&#x20;Module&#x20;&#40;PAM&#41;&#x20;interface.&#x20;If&#x20;set&#x20;to&#x20;yes&#x20;this&#x20;will&#x20;enable&#x20;PAM&#x20;authentication&#x20;using&#x20;ChallengeResponseAuthentication&#x20;and&#x20;PasswordAuthentication&#x20;directives&#x20;in&#x20;addition&#x20;to&#x20;PAM&#x20;account&#x20;and&#x20;session&#x20;module&#x20;processing&#x20;for&#x20;all&#x20;authentication&#x20;types.','When&#x20;usePAM&#x20;is&#x20;set&#x20;to&#x20;yes,&#x20;PAM&#x20;runs&#x20;through&#x20;account&#x20;and&#x20;session&#x20;types&#x20;properly.&#x20;This&#x20;is&#x20;important&#x20;if&#x20;you&#x20;want&#x20;to&#x20;restrict&#x20;access&#x20;to&#x20;services&#x20;based&#x20;off&#x20;of&#x20;IP,&#x20;time&#x20;or&#x20;other&#x20;factors&#x20;of&#x20;the&#x20;account.&#x20;Additionally,&#x20;you&#x20;can&#x20;make&#x20;sure&#x20;users&#x20;inherit&#x20;certain&#x20;environment&#x20;variables&#x20;on&#x20;login&#x20;or&#x20;disallow&#x20;access&#x20;to&#x20;the&#x20;server.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;UsePAM&#x20;yes.','[{\"cis\": [\"5.2.6\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_techniques\": [\"T1021\", \"T1021.004\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1035\"]}]'),(29655,'Ensure&#x20;SSH&#x20;root&#x20;login&#x20;is&#x20;disabled.','The&#x20;PermitRootLogin&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;root&#x20;user&#x20;can&#x20;log&#x20;in&#x20;using&#x20;SSH.&#x20;The&#x20;default&#x20;is&#x20;prohibit-password.','Disallowing&#x20;root&#x20;logins&#x20;over&#x20;SSH&#x20;requires&#x20;system&#x20;admins&#x20;to&#x20;authenticate&#x20;using&#x20;their&#x20;own&#x20;individual&#x20;account,&#x20;then&#x20;escalating&#x20;to&#x20;root.&#x20;This&#x20;limits&#x20;opportunity&#x20;for&#x20;non-repudiation&#x20;and&#x20;provides&#x20;a&#x20;clear&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;a&#x20;security&#x20;incident.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitRootLogin&#x20;no.','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}, {\"mitre_techniques\": [\"T1021\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29656,'Ensure&#x20;SSH&#x20;HostbasedAuthentication&#x20;is&#x20;disabled.','The&#x20;HostbasedAuthentication&#x20;parameter&#x20;specifies&#x20;if&#x20;authentication&#x20;is&#x20;allowed&#x20;through&#x20;trusted&#x20;hosts&#x20;via&#x20;the&#x20;user&#x20;of&#x20;.rhosts,&#x20;or&#x20;/etc/hosts.equiv,&#x20;along&#x20;with&#x20;successful&#x20;public&#x20;key&#x20;client&#x20;host&#x20;authentication.','Even&#x20;though&#x20;the&#x20;.rhosts&#x20;files&#x20;are&#x20;ineffective&#x20;if&#x20;support&#x20;is&#x20;disabled&#x20;in&#x20;/etc/pam.conf,&#x20;disabling&#x20;the&#x20;ability&#x20;to&#x20;use&#x20;.rhosts&#x20;files&#x20;in&#x20;SSH&#x20;provides&#x20;an&#x20;additional&#x20;layer&#x20;of&#x20;protection.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;HostbasedAuthentication&#x20;no.','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"16.3\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29657,'Ensure&#x20;SSH&#x20;PermitEmptyPasswords&#x20;is&#x20;disabled.','The&#x20;PermitEmptyPasswords&#x20;parameter&#x20;specifies&#x20;if&#x20;the&#x20;SSH&#x20;server&#x20;allows&#x20;login&#x20;to&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;strings.','Disallowing&#x20;remote&#x20;shell&#x20;access&#x20;to&#x20;accounts&#x20;that&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;reduces&#x20;the&#x20;probability&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;the&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitEmptyPasswords&#x20;no.','[{\"cis\": [\"5.2.9\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"16.3\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"mitre_techniques\": [\"T1021\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29658,'Ensure&#x20;SSH&#x20;PermitUserEnvironment&#x20;is&#x20;disabled.','The&#x20;PermitUserEnvironment&#x20;option&#x20;allows&#x20;users&#x20;to&#x20;present&#x20;environment&#x20;options&#x20;to&#x20;the&#x20;SSH&#x20;daemon.','Permitting&#x20;users&#x20;the&#x20;ability&#x20;to&#x20;set&#x20;environment&#x20;variables&#x20;through&#x20;the&#x20;SSH&#x20;daemon&#x20;could&#x20;potentially&#x20;allow&#x20;users&#x20;to&#x20;bypass&#x20;security&#x20;controls&#x20;&#40;e.g.&#x20;setting&#x20;an&#x20;execution&#x20;path&#x20;that&#x20;has&#x20;SSH&#x20;executing&#x20;trojan&#039;d&#x20;programs&#41;.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;PermitUserEnvironment&#x20;no.','[{\"cis\": [\"5.2.10\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_techniques\": [\"T1021\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29659,'Ensure&#x20;SSH&#x20;IgnoreRhosts&#x20;is&#x20;enabled.','The&#x20;IgnoreRhosts&#x20;parameter&#x20;specifies&#x20;that&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files&#x20;will&#x20;not&#x20;be&#x20;used&#x20;in&#x20;RhostsRSAAuthentication&#x20;or&#x20;HostbasedAuthentication.','Setting&#x20;this&#x20;parameter&#x20;forces&#x20;users&#x20;to&#x20;enter&#x20;a&#x20;password&#x20;when&#x20;authenticating&#x20;with&#x20;SSH.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;IgnoreRhosts&#x20;yes.','[{\"cis\": [\"5.2.11\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(29660,'Ensure&#x20;SSH&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled.','The&#x20;X11Forwarding&#x20;parameter&#x20;provides&#x20;the&#x20;ability&#x20;to&#x20;tunnel&#x20;X11&#x20;traffic&#x20;through&#x20;the&#x20;connection&#x20;to&#x20;enable&#x20;remote&#x20;graphic&#x20;connections.','Disable&#x20;X11&#x20;forwarding&#x20;unless&#x20;there&#x20;is&#x20;an&#x20;operational&#x20;requirement&#x20;to&#x20;use&#x20;X11&#x20;applications&#x20;directly.&#x20;There&#x20;is&#x20;a&#x20;small&#x20;risk&#x20;that&#x20;the&#x20;remote&#x20;X11&#x20;servers&#x20;of&#x20;users&#x20;who&#x20;are&#x20;logged&#x20;in&#x20;via&#x20;SSH&#x20;with&#x20;X11&#x20;forwarding&#x20;could&#x20;be&#x20;compromised&#x20;by&#x20;other&#x20;users&#x20;on&#x20;the&#x20;X11&#x20;server.&#x20;Note&#x20;that&#x20;even&#x20;if&#x20;X11&#x20;forwarding&#x20;is&#x20;disabled,&#x20;users&#x20;can&#x20;always&#x20;install&#x20;their&#x20;own&#x20;forwarders.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;X11Forwarding&#x20;no.','[{\"cis\": [\"5.2.12\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"pci_dss_3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1210\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29661,'Ensure&#x20;only&#x20;strong&#x20;Ciphers&#x20;are&#x20;used.','This&#x20;variable&#x20;limits&#x20;the&#x20;ciphers&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.&#x20;Note:&#x20;-&#x20;Some&#x20;organizations&#x20;may&#x20;have&#x20;stricter&#x20;requirements&#x20;for&#x20;approved&#x20;ciphers.&#x20;-&#x20;Ensure&#x20;that&#x20;ciphers&#x20;used&#x20;are&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy.&#x20;-&#x20;The&#x20;only&#x20;&quot;strong&quot;&#x20;ciphers&#x20;currently&#x20;FIPS&#x20;140-2&#x20;compliant&#x20;are:&#x20;aes256-ctr,&#x20;aes192-ctr,&#x20;aes128-ctr.&#x20;-&#x20;Supported&#x20;ciphers&#x20;in&#x20;openSSH&#x20;8.2:&#x20;3des-cbc,&#x20;aes128-cbc,&#x20;aes192-cbc,&#x20;aes256-cbc,&#x20;aes128-ctr,&#x20;aes192-ctr,&#x20;aes256-ctr,&#x20;aes128-gcm@openssh.com,&#x20;aes256-gcm@openssh.com,&#x20;chacha20-poly1305@openssh.com.','Weak&#x20;ciphers&#x20;that&#x20;are&#x20;used&#x20;for&#x20;authentication&#x20;to&#x20;the&#x20;cryptographic&#x20;module&#x20;cannot&#x20;be&#x20;relied&#x20;upon&#x20;to&#x20;provide&#x20;confidentiality&#x20;or&#x20;integrity,&#x20;and&#x20;system&#x20;data&#x20;may&#x20;be&#x20;compromised.&#x20;-&#x20;The&#x20;Triple&#x20;DES&#x20;ciphers,&#x20;as&#x20;used&#x20;in&#x20;SSH,&#x20;have&#x20;a&#x20;birthday&#x20;bound&#x20;of&#x20;approximately&#x20;four&#x20;billion&#x20;blocks,&#x20;which&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;obtain&#x20;clear&#x20;text&#x20;data&#x20;via&#x20;a&#x20;birthday&#x20;attack&#x20;against&#x20;a&#x20;long-duration&#x20;encrypted&#x20;session,&#x20;aka&#x20;a&#x20;&quot;Sweet32&quot;&#x20;attack.&#x20;-&#x20;Error&#x20;handling&#x20;in&#x20;the&#x20;SSH&#x20;protocol;&#x20;Client&#x20;and&#x20;Server,&#x20;when&#x20;using&#x20;a&#x20;block&#x20;cipher&#x20;algorithm&#x20;in&#x20;Cipher&#x20;Block&#x20;Chaining&#x20;&#40;CBC&#41;&#x20;mode,&#x20;makes&#x20;it&#x20;easier&#x20;for&#x20;remote&#x20;attackers&#x20;to&#x20;recover&#x20;certain&#x20;plain&#x20;text&#x20;data&#x20;from&#x20;an&#x20;arbitrary&#x20;block&#x20;of&#x20;cipher&#x20;text&#x20;in&#x20;an&#x20;SSH&#x20;session&#x20;via&#x20;unknown&#x20;vectors.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;add/modify&#x20;the&#x20;Ciphers&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;ciphers.&#x20;Example:&#x20;Ciphers&#x20;chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr.','[{\"cis\": [\"5.2.13\"]}, {\"cis_csc_v8\": [\"3.10\"]}, {\"cis_csc_v7\": [\"14.4\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.17\", \"AC.L2-3.1.13\", \"IA.L2-3.5.10\", \"SC.L2-3.13.11\", \"SC.L2-3.13.8\", \"SC.L2-3.13.15\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(1)\", \"164.312(e)(2)(i)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"2.1.1\", \"4.1\", \"4.1.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"2.2.7\", \"4.1.1\", \"4.2.1\", \"4.2.1.2\", \"4.2.2\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"AC-17(2)\", \"SC-8\", \"SC-8(1)\"]}, {\"iso_27001-2013\": [\"A.10.1.1\", \"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1040\", \"T1557\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1041\"]}]'),(29662,'Ensure&#x20;only&#x20;strong&#x20;MAC&#x20;algorithms&#x20;are&#x20;used.','This&#x20;variable&#x20;limits&#x20;the&#x20;types&#x20;of&#x20;MAC&#x20;algorithms&#x20;that&#x20;SSH&#x20;can&#x20;use&#x20;during&#x20;communication.&#x20;Notes:&#x20;-&#x20;Some&#x20;organizations&#x20;may&#x20;have&#x20;stricter&#x20;requirements&#x20;for&#x20;approved&#x20;MACs.&#x20;-&#x20;Ensure&#x20;that&#x20;MACs&#x20;used&#x20;are&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy.&#x20;-&#x20;The&#x20;only&#x20;&quot;strong&quot;&#x20;MACs&#x20;currently&#x20;FIPS&#x20;140-2&#x20;approved&#x20;are:&#x20;hmac-sha2-256,&#x20;hmac-sha2-512.&#x20;-&#x20;The&#x20;Supported&#x20;MACs&#x20;are:&#x20;hmac-md5,&#x20;hmac-md5-96,&#x20;hmac-sha1,&#x20;hmac-sha1-96,&#x20;hmac-sha2-256,&#x20;hmac-sha2-512,&#x20;umac-64@openssh.co,&#x20;umac-128@openssh.com,&#x20;hmac-md5-etm@openssh.com,&#x20;hmac-md5-96-etm@openssh.com,&#x20;hmac-sha1-etm@openssh.com,&#x20;hmac-sha1-96-etm@openssh.com,&#x20;hmac-sha2-256-etm@openss.com,&#x20;hmac-sha2-512-etm@openssh.com,&#x20;umac-64-etm@openssh.com,&#x20;umac-128-etm@openssh.com.','MD5&#x20;and&#x20;96-bit&#x20;MAC&#x20;algorithms&#x20;are&#x20;considered&#x20;weak&#x20;and&#x20;have&#x20;been&#x20;shown&#x20;to&#x20;increase&#x20;exploitability&#x20;in&#x20;SSH&#x20;downgrade&#x20;attacks.&#x20;Weak&#x20;algorithms&#x20;continue&#x20;to&#x20;have&#x20;a&#x20;great&#x20;deal&#x20;of&#x20;attention&#x20;as&#x20;a&#x20;weak&#x20;spot&#x20;that&#x20;can&#x20;be&#x20;exploited&#x20;with&#x20;expanded&#x20;computing&#x20;power.&#x20;An&#x20;attacker&#x20;that&#x20;breaks&#x20;the&#x20;algorithm&#x20;could&#x20;take&#x20;advantage&#x20;of&#x20;a&#x20;MiTM&#x20;position&#x20;to&#x20;decrypt&#x20;the&#x20;SSH&#x20;tunnel&#x20;and&#x20;capture&#x20;credentials&#x20;and&#x20;information.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;and&#x20;add/modify&#x20;the&#x20;MACs&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;MACs.Example:&#x20;MACs&#x20;hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512,hmac-sha2-256.','[{\"cis\": [\"5.2.14\"]}, {\"cis_csc_v8\": [\"3.10\"]}, {\"cis_csc_v7\": [\"14.4\", \"16.5\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.17\", \"AC.L2-3.1.13\", \"IA.L2-3.5.10\", \"SC.L2-3.13.11\", \"SC.L2-3.13.8\", \"SC.L2-3.13.15\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(1)\", \"164.312(e)(2)(i)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"2.1.1\", \"4.1\", \"4.1.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"2.2.7\", \"4.1.1\", \"4.2.1\", \"4.2.1.2\", \"4.2.2\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"AC-17(2)\", \"SC-8\", \"SC-8(1)\"]}, {\"iso_27001-2013\": [\"A.10.1.1\", \"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1040\", \"T1557\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1041\"]}]'),(29663,'Ensure&#x20;only&#x20;strong&#x20;Key&#x20;Exchange&#x20;algorithms&#x20;are&#x20;used.','Key&#x20;exchange&#x20;is&#x20;any&#x20;method&#x20;in&#x20;cryptography&#x20;by&#x20;which&#x20;cryptographic&#x20;keys&#x20;are&#x20;exchanged&#x20;between&#x20;two&#x20;parties,&#x20;allowing&#x20;use&#x20;of&#x20;a&#x20;cryptographic&#x20;algorithm.&#x20;If&#x20;the&#x20;sender&#x20;and&#x20;receiver&#x20;wish&#x20;to&#x20;exchange&#x20;encrypted&#x20;messages,&#x20;each&#x20;must&#x20;be&#x20;equipped&#x20;to&#x20;encrypt&#x20;messages&#x20;to&#x20;be&#x20;sent&#x20;and&#x20;decrypt&#x20;messages&#x20;received.&#x20;Notes:&#x20;-&#x20;Kex&#x20;algorithms&#x20;have&#x20;a&#x20;higher&#x20;preference&#x20;the&#x20;earlier&#x20;they&#x20;appear&#x20;in&#x20;the&#x20;list.&#x20;-&#x20;Some&#x20;organizations&#x20;may&#x20;have&#x20;stricter&#x20;requirements&#x20;for&#x20;approved&#x20;Key&#x20;exchange&#x20;algorithms.&#x20;-&#x20;Ensure&#x20;that&#x20;Key&#x20;exchange&#x20;algorithms&#x20;used&#x20;are&#x20;in&#x20;compliance&#x20;with&#x20;site&#x20;policy.&#x20;-&#x20;The&#x20;only&#x20;Key&#x20;Exchange&#x20;Algorithms&#x20;currently&#x20;FIPS&#x20;140-2&#x20;approved&#x20;are:&#x20;ecdh-sha2-nistp256,&#x20;ecdh-sha2-nistp384,&#x20;ecdh-sha2-nistp521,&#x20;diffie-hellman-group-exchange-sha256,&#x20;diffie-hellman-group16-sha512,&#x20;diffie-hellman-group18-sha512,&#x20;diffie-hellman-group14-sha256.&#x20;-&#x20;The&#x20;Key&#x20;Exchange&#x20;algorithms&#x20;supported&#x20;by&#x20;OpenSSH&#x20;8.2&#x20;are:&#x20;curve25519-sha256,&#x20;curve25519-sha256@libssh.org,&#x20;diffie-hellman-group1-sha1,&#x20;diffie-hellman-group14-sha1,&#x20;diffie-hellman-group14-sha256,&#x20;diffie-hellman-group16-sha512,&#x20;diffie-hellman-group18-sha512,&#x20;diffie-hellman-group-exchange-sha1,&#x20;diffie-hellman-group-exchange-sha256,&#x20;ecdh-sha2-nistp256,&#x20;ecdh-sha2-nistp384,&#x20;ecdh-sha2-nistp521,&#x20;sntrup4591761x25519-sha512@tinyssh.org.','Key&#x20;exchange&#x20;methods&#x20;that&#x20;are&#x20;considered&#x20;weak&#x20;should&#x20;be&#x20;removed.&#x20;A&#x20;key&#x20;exchange&#x20;method&#x20;may&#x20;be&#x20;weak&#x20;because&#x20;too&#x20;few&#x20;bits&#x20;are&#x20;used,&#x20;or&#x20;the&#x20;hashing&#x20;algorithm&#x20;is&#x20;considered&#x20;too&#x20;weak.&#x20;Using&#x20;weak&#x20;algorithms&#x20;could&#x20;expose&#x20;connections&#x20;to&#x20;man-in-the-middle&#x20;attacks.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;add/modify&#x20;the&#x20;KexAlgorithms&#x20;line&#x20;to&#x20;contain&#x20;a&#x20;comma&#x20;separated&#x20;list&#x20;of&#x20;the&#x20;site&#x20;approved&#x20;key&#x20;exchange&#x20;algorithms&#x20;Example:&#x20;KexAlgorithms&#x20;curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group14-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256.','[{\"cis\": [\"5.2.15\"]}, {\"cis_csc_v8\": [\"3.10\"]}, {\"cis_csc_v7\": [\"14.4\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.17\", \"AC.L2-3.1.13\", \"IA.L2-3.5.10\", \"SC.L2-3.13.11\", \"SC.L2-3.13.8\", \"SC.L2-3.13.15\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(1)\", \"164.312(e)(2)(i)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"2.1.1\", \"4.1\", \"4.1.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"2.2.7\", \"4.1.1\", \"4.2.1\", \"4.2.1.2\", \"4.2.2\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"AC-17(2)\", \"SC-8\", \"SC-8(1)\"]}, {\"iso_27001-2013\": [\"A.10.1.1\", \"A.13.1.1\"]}, {\"mitre_techniques\": [\"T1040\", \"T1557\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1041\"]}]'),(29664,'Ensure&#x20;SSH&#x20;AllowTcpForwarding&#x20;is&#x20;disabled.','SSH&#x20;port&#x20;forwarding&#x20;is&#x20;a&#x20;mechanism&#x20;in&#x20;SSH&#x20;for&#x20;tunneling&#x20;application&#x20;ports&#x20;from&#x20;the&#x20;client&#x20;to&#x20;the&#x20;server,&#x20;or&#x20;servers&#x20;to&#x20;clients.&#x20;It&#x20;can&#x20;be&#x20;used&#x20;for&#x20;adding&#x20;encryption&#x20;to&#x20;legacy&#x20;applications,&#x20;going&#x20;through&#x20;firewalls,&#x20;and&#x20;some&#x20;system&#x20;administrators&#x20;and&#x20;IT&#x20;professionals&#x20;use&#x20;it&#x20;for&#x20;opening&#x20;backdoors&#x20;into&#x20;the&#x20;internal&#x20;network&#x20;from&#x20;their&#x20;home&#x20;machines.','Leaving&#x20;port&#x20;forwarding&#x20;enabled&#x20;can&#x20;expose&#x20;the&#x20;organization&#x20;to&#x20;security&#x20;risks&#x20;and&#x20;backdoors.&#x20;SSH&#x20;connections&#x20;are&#x20;protected&#x20;with&#x20;strong&#x20;encryption.&#x20;This&#x20;makes&#x20;their&#x20;contents&#x20;invisible&#x20;to&#x20;most&#x20;deployed&#x20;network&#x20;monitoring&#x20;and&#x20;traffic&#x20;filtering&#x20;solutions.&#x20;This&#x20;invisibility&#x20;carries&#x20;considerable&#x20;risk&#x20;potential&#x20;if&#x20;it&#x20;is&#x20;used&#x20;for&#x20;malicious&#x20;purposes&#x20;such&#x20;as&#x20;data&#x20;exfiltration.&#x20;Cybercriminals&#x20;or&#x20;malware&#x20;could&#x20;exploit&#x20;SSH&#x20;to&#x20;hide&#x20;their&#x20;unauthorized&#x20;communications,&#x20;or&#x20;to&#x20;exfiltrate&#x20;stolen&#x20;data&#x20;from&#x20;the&#x20;target&#x20;network.','SSH&#x20;tunnels&#x20;are&#x20;widely&#x20;used&#x20;in&#x20;many&#x20;corporate&#x20;environments.&#x20;In&#x20;some&#x20;environments&#x20;the&#x20;applications&#x20;themselves&#x20;may&#x20;have&#x20;very&#x20;limited&#x20;native&#x20;support&#x20;for&#x20;security.&#x20;By&#x20;utilizing&#x20;tunneling,&#x20;compliance&#x20;with&#x20;SOX,&#x20;HIPAA,&#x20;PCI-DSS,&#x20;and&#x20;other&#x20;standards&#x20;can&#x20;be&#x20;achieved&#x20;without&#x20;having&#x20;to&#x20;modify&#x20;the&#x20;applications.','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;AllowTcpForwarding&#x20;no.','[{\"cis\": [\"5.2.16\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1048\", \"T1048.002\", \"T1572\"]}, {\"mitre_tactics\": [\"TA0008\"]}, {\"mitre_mitigations\": [\"M1042\"]}]'),(29665,'Ensure&#x20;SSH&#x20;warning&#x20;banner&#x20;is&#x20;configured.','The&#x20;Banner&#x20;parameter&#x20;specifies&#x20;a&#x20;file&#x20;whose&#x20;contents&#x20;must&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;remote&#x20;user&#x20;before&#x20;authentication&#x20;is&#x20;permitted.&#x20;By&#x20;default,&#x20;no&#x20;banner&#x20;is&#x20;displayed.','Banners&#x20;are&#x20;used&#x20;to&#x20;warn&#x20;connecting&#x20;users&#x20;of&#x20;the&#x20;particular&#x20;site&#039;s&#x20;policy&#x20;regarding&#x20;connection.&#x20;Presenting&#x20;a&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;login&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;Banner&#x20;/etc/issue.net.','[{\"cis\": [\"5.2.17\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_tactics\": [\"TA0001\", \"TA0007\"]}, {\"mitre_mitigations\": [\"M1035\"]}]'),(29666,'Ensure&#x20;SSH&#x20;MaxAuthTries&#x20;is&#x20;set&#x20;to&#x20;4&#x20;or&#x20;less.','The&#x20;MaxAuthTries&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;authentication&#x20;attempts&#x20;permitted&#x20;per&#x20;connection.&#x20;When&#x20;the&#x20;login&#x20;failure&#x20;count&#x20;reaches&#x20;half&#x20;the&#x20;number,&#x20;error&#x20;messages&#x20;will&#x20;be&#x20;written&#x20;to&#x20;the&#x20;syslog&#x20;file&#x20;detailing&#x20;the&#x20;login&#x20;failure.','Setting&#x20;the&#x20;MaxAuthTries&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;4,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxAuthTries&#x20;4.','[{\"cis\": [\"5.2.18\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"16.13\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.003\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1036\"]}]'),(29667,'Ensure&#x20;SSH&#x20;MaxStartups&#x20;is&#x20;configured.','The&#x20;MaxStartups&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections&#x20;to&#x20;the&#x20;SSH&#x20;daemon.','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;pending&#x20;authentication&#x20;connection&#x20;attempts,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxStartups&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxStartups&#x20;10:30:60.','[{\"cis\": [\"5.2.19\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.002\"]}, {\"mitre_tactics\": [\"TA0040\"]}]'),(29668,'Ensure&#x20;SSH&#x20;MaxSessions&#x20;is&#x20;set&#x20;to&#x20;10&#x20;or&#x20;less.','The&#x20;MaxSessions&#x20;parameter&#x20;specifies&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;open&#x20;sessions&#x20;permitted&#x20;from&#x20;a&#x20;given&#x20;connection.','To&#x20;protect&#x20;a&#x20;system&#x20;from&#x20;denial&#x20;of&#x20;service&#x20;due&#x20;to&#x20;a&#x20;large&#x20;number&#x20;of&#x20;concurrent&#x20;sessions,&#x20;use&#x20;the&#x20;rate&#x20;limiting&#x20;function&#x20;of&#x20;MaxSessions&#x20;to&#x20;protect&#x20;availability&#x20;of&#x20;sshd&#x20;logins&#x20;and&#x20;prevent&#x20;overwhelming&#x20;the&#x20;daemon.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;MaxSessions&#x20;10.','[{\"cis\": [\"5.2.20\"]}, {\"mitre_techniques\": [\"T1499\", \"T1499.002\"]}, {\"mitre_tactics\": [\"TA0040\"]}]'),(29669,'Ensure&#x20;SSH&#x20;LoginGraceTime&#x20;is&#x20;set&#x20;to&#x20;one&#x20;minute&#x20;or&#x20;less.','The&#x20;LoginGraceTime&#x20;parameter&#x20;specifies&#x20;the&#x20;time&#x20;allowed&#x20;for&#x20;successful&#x20;authentication&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;The&#x20;longer&#x20;the&#x20;Grace&#x20;period&#x20;is&#x20;the&#x20;more&#x20;open&#x20;unauthenticated&#x20;connections&#x20;can&#x20;exist.&#x20;Like&#x20;other&#x20;session&#x20;controls&#x20;in&#x20;this&#x20;session&#x20;the&#x20;Grace&#x20;Period&#x20;should&#x20;be&#x20;limited&#x20;to&#x20;appropriate&#x20;organizational&#x20;limits&#x20;to&#x20;ensure&#x20;the&#x20;service&#x20;is&#x20;available&#x20;for&#x20;needed&#x20;access.','Setting&#x20;the&#x20;LoginGraceTime&#x20;parameter&#x20;to&#x20;a&#x20;low&#x20;number&#x20;will&#x20;minimize&#x20;the&#x20;risk&#x20;of&#x20;successful&#x20;brute&#x20;force&#x20;attacks&#x20;to&#x20;the&#x20;SSH&#x20;server.&#x20;It&#x20;will&#x20;also&#x20;limit&#x20;the&#x20;number&#x20;of&#x20;concurrent&#x20;unauthenticated&#x20;connections.&#x20;While&#x20;the&#x20;recommended&#x20;setting&#x20;is&#x20;60&#x20;seconds&#x20;&#40;1&#x20;Minute&#41;,&#x20;set&#x20;the&#x20;number&#x20;based&#x20;on&#x20;site&#x20;policy.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameter&#x20;as&#x20;follows:&#x20;LoginGraceTime&#x20;60.','[{\"cis\": [\"5.2.21\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.6\", \"CM.L2-3.4.2\", \"CM.L2-3.4.7\"]}, {\"pci_dss_3.2.1\": [\"2.2\", \"11.5\"]}, {\"pci_dss_4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.5.1\", \"1.2.7\", \"2.1.1\", \"2.2.1\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.003\", \"T1110.004\", \"T1499\", \"T1499.002\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1036\"]}]'),(29670,'Ensure&#x20;SSH&#x20;Idle&#x20;Timeout&#x20;Interval&#x20;is&#x20;configured.','NOTE:&#x20;To&#x20;clarify,&#x20;the&#x20;two&#x20;settings&#x20;described&#x20;below&#x20;is&#x20;only&#x20;meant&#x20;for&#x20;idle&#x20;connections&#x20;from&#x20;a&#x20;protocol&#x20;perspective&#x20;and&#x20;not&#x20;meant&#x20;to&#x20;check&#x20;if&#x20;the&#x20;user&#x20;is&#x20;active&#x20;or&#x20;not.&#x20;An&#x20;idle&#x20;user&#x20;does&#x20;not&#x20;mean&#x20;an&#x20;idle&#x20;connection.&#x20;SSH&#x20;does&#x20;not&#x20;and&#x20;never&#x20;had,&#x20;intentionally,&#x20;the&#x20;capability&#x20;to&#x20;drop&#x20;idle&#x20;users.&#x20;In&#x20;SSH&#x20;versions&#x20;before&#x20;8.2p1&#x20;there&#x20;was&#x20;a&#x20;bug&#x20;that&#x20;caused&#x20;these&#x20;values&#x20;to&#x20;behave&#x20;in&#x20;such&#x20;a&#x20;manner&#x20;that&#x20;they&#x20;where&#x20;abused&#x20;to&#x20;disconnect&#x20;idle&#x20;users.&#x20;This&#x20;bug&#x20;has&#x20;been&#x20;resolved&#x20;in&#x20;8.2p1&#x20;and&#x20;thus&#x20;it&#x20;can&#x20;no&#x20;longer&#x20;be&#x20;abused&#x20;disconnect&#x20;idle&#x20;users.&#x20;The&#x20;two&#x20;options&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax&#x20;control&#x20;the&#x20;timeout&#x20;of&#x20;SSH&#x20;sessions.&#x20;Taken&#x20;directly&#x20;from&#x20;man&#x20;5&#x20;sshd_config:&#x20;-&#x20;ClientAliveInterval&#x20;Sets&#x20;a&#x20;timeout&#x20;interval&#x20;in&#x20;seconds&#x20;after&#x20;which&#x20;if&#x20;no&#x20;data&#x20;has&#x20;been&#x20;received&#x20;from&#x20;the&#x20;client,&#x20;sshd&#40;8&#41;&#x20;will&#x20;send&#x20;a&#x20;message&#x20;through&#x20;the&#x20;encrypted&#x20;channel&#x20;to&#x20;request&#x20;a&#x20;response&#x20;from&#x20;the&#x20;client.&#x20;The&#x20;default&#x20;is&#x20;0,&#x20;indicating&#x20;that&#x20;these&#x20;messages&#x20;will&#x20;not&#x20;be&#x20;sent&#x20;to&#x20;the&#x20;client.&#x20;-&#x20;ClientAliveCountMax&#x20;Sets&#x20;the&#x20;number&#x20;of&#x20;client&#x20;alive&#x20;messages&#x20;which&#x20;may&#x20;be&#x20;sent&#x20;without&#x20;sshd&#40;8&#41;&#x20;receiving&#x20;any&#x20;messages&#x20;back&#x20;from&#x20;the&#x20;client.&#x20;If&#x20;this&#x20;threshold&#x20;is&#x20;reached&#x20;while&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;being&#x20;sent,&#x20;sshd&#x20;will&#x20;disconnect&#x20;the&#x20;client,&#x20;terminating&#x20;the&#x20;session.&#x20;It&#x20;is&#x20;important&#x20;to&#x20;note&#x20;that&#x20;the&#x20;use&#x20;of&#x20;client&#x20;alive&#x20;messages&#x20;is&#x20;very&#x20;different&#x20;from&#x20;TCPKeepAlive.&#x20;The&#x20;client&#x20;alive&#x20;messages&#x20;are&#x20;sent&#x20;through&#x20;the&#x20;encrypted&#x20;channel&#x20;and&#x20;therefore&#x20;will&#x20;not&#x20;be&#x20;spoofable.&#x20;The&#x20;TCP&#x20;keepalive&#x20;option&#x20;en-abled&#x20;by&#x20;TCPKeepAlive&#x20;is&#x20;spoofable.&#x20;The&#x20;client&#x20;alive&#x20;mechanism&#x20;is&#x20;valuable&#x20;when&#x20;the&#x20;client&#x20;or&#x20;server&#x20;depend&#x20;on&#x20;knowing&#x20;when&#x20;a&#x20;connection&#x20;has&#x20;become&#x20;unresponsive.&#x20;The&#x20;default&#x20;value&#x20;is&#x20;3.&#x20;If&#x20;ClientAliveInterval&#x20;is&#x20;set&#x20;to&#x20;15,&#x20;and&#x20;ClientAliveCountMax&#x20;is&#x20;left&#x20;at&#x20;the&#x20;default,&#x20;unresponsive&#x20;SSH&#x20;clients&#x20;will&#x20;be&#x20;disconnected&#x20;after&#x20;approximately&#x20;45&#x20;seconds.&#x20;Setting&#x20;a&#x20;zero&#x20;ClientAliveCountMax&#x20;disables&#x20;connection&#x20;termination.','In&#x20;order&#x20;to&#x20;prevent&#x20;resource&#x20;exhaustion,&#x20;appropriate&#x20;values&#x20;should&#x20;be&#x20;set&#x20;for&#x20;both&#x20;ClientAliveInterval&#x20;and&#x20;ClientAliveCountMax.&#x20;Specifically,&#x20;looking&#x20;at&#x20;the&#x20;source&#x20;code,&#x20;ClientAliveCountMax&#x20;must&#x20;be&#x20;greater&#x20;than&#x20;zero&#x20;in&#x20;order&#x20;to&#x20;utilize&#x20;the&#x20;ability&#x20;of&#x20;SSH&#x20;to&#x20;drop&#x20;idle&#x20;connections.&#x20;If&#x20;connections&#x20;are&#x20;allowed&#x20;to&#x20;stay&#x20;open&#x20;indefinately,&#x20;this&#x20;can&#x20;potentially&#x20;be&#x20;used&#x20;as&#x20;a&#x20;DDOS&#x20;attack&#x20;or&#x20;simple&#x20;resource&#x20;exhaustion&#x20;could&#x20;occur&#x20;over&#x20;unreliable&#x20;networks.&#x20;The&#x20;example&#x20;set&#x20;here&#x20;is&#x20;a&#x20;45&#x20;second&#x20;timeout.&#x20;Consult&#x20;your&#x20;site&#x20;policy&#x20;for&#x20;network&#x20;timeouts&#x20;and&#x20;apply&#x20;as&#x20;appropriate.','','Edit&#x20;the&#x20;/etc/ssh/sshd_config&#x20;file&#x20;to&#x20;set&#x20;the&#x20;parameters&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;Example:&#x20;ClientAliveInterval&#x20;15&#x20;ClientAliveCountMax&#x20;3.','[{\"cis\": [\"5.2.22\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(29671,'Ensure&#x20;sudo&#x20;is&#x20;installed.','sudo&#x20;allows&#x20;a&#x20;permitted&#x20;user&#x20;to&#x20;execute&#x20;a&#x20;command&#x20;as&#x20;the&#x20;superuser&#x20;or&#x20;another&#x20;user,&#x20;as&#x20;specified&#x20;by&#x20;the&#x20;security&#x20;policy.&#x20;The&#x20;invoking&#x20;user&#039;s&#x20;real&#x20;&#40;not&#x20;effective&#41;&#x20;user&#x20;ID&#x20;is&#x20;used&#x20;to&#x20;determine&#x20;the&#x20;user&#x20;name&#x20;with&#x20;which&#x20;to&#x20;query&#x20;the&#x20;security&#x20;policy.','sudo&#x20;supports&#x20;a&#x20;plug-in&#x20;architecture&#x20;for&#x20;security&#x20;policies&#x20;and&#x20;input/output&#x20;logging.&#x20;Third&#x20;parties&#x20;can&#x20;develop&#x20;and&#x20;distribute&#x20;their&#x20;own&#x20;policy&#x20;and&#x20;I/O&#x20;logging&#x20;plug-ins&#x20;to&#x20;work&#x20;seamlessly&#x20;with&#x20;the&#x20;sudo&#x20;front&#x20;end.&#x20;The&#x20;default&#x20;security&#x20;policy&#x20;is&#x20;sudoers,&#x20;which&#x20;is&#x20;configured&#x20;via&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;and&#x20;any&#x20;entries&#x20;in&#x20;/etc/sudoers.d.&#x20;The&#x20;security&#x20;policy&#x20;determines&#x20;what&#x20;privileges,&#x20;if&#x20;any,&#x20;a&#x20;user&#x20;has&#x20;to&#x20;run&#x20;sudo.&#x20;The&#x20;policy&#x20;may&#x20;require&#x20;that&#x20;users&#x20;authenticate&#x20;themselves&#x20;with&#x20;a&#x20;password&#x20;or&#x20;another&#x20;authentication&#x20;mechanism.&#x20;If&#x20;authentication&#x20;is&#x20;required,&#x20;sudo&#x20;will&#x20;exit&#x20;if&#x20;the&#x20;user&#039;s&#x20;password&#x20;is&#x20;not&#x20;entered&#x20;within&#x20;a&#x20;configurable&#x20;time&#x20;limit.&#x20;This&#x20;limit&#x20;is&#x20;policy-specific.','','First&#x20;determine&#x20;is&#x20;LDAP&#x20;functionality&#x20;is&#x20;required.&#x20;If&#x20;so,&#x20;then&#x20;install&#x20;sudo-ldap,&#x20;else&#x20;install&#x20;sudo.&#x20;Example:&#x20;#&#x20;apt&#x20;install&#x20;sudo.','[{\"cis\": [\"5.3.1\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}]'),(29672,'Ensure&#x20;sudo&#x20;commands&#x20;use&#x20;pty.','sudo&#x20;can&#x20;be&#x20;configured&#x20;to&#x20;run&#x20;only&#x20;from&#x20;a&#x20;pseudo&#x20;terminal&#x20;&#40;pseudo-pty&#41;.','Attackers&#x20;can&#x20;run&#x20;a&#x20;malicious&#x20;program&#x20;using&#x20;sudo&#x20;which&#x20;would&#x20;fork&#x20;a&#x20;background&#x20;process&#x20;that&#x20;remains&#x20;even&#x20;when&#x20;the&#x20;main&#x20;program&#x20;has&#x20;finished&#x20;executing.','WARNING:&#x20;Editing&#x20;the&#x20;sudo&#x20;configuration&#x20;incorrectly&#x20;can&#x20;cause&#x20;sudo&#x20;to&#x20;stop&#x20;functioning.&#x20;Always&#x20;use&#x20;visudo&#x20;to&#x20;modify&#x20;sudo&#x20;configuration&#x20;files.','Edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;with&#x20;visudo&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Defaults&#x20;use_pty.','[{\"cis\": [\"5.3.2\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.8.1.3\", \"A.14.2.5\"]}, {\"mitre_techniques\": [\"T1548\", \"T1548.003\"]}, {\"mitre_tactics\": [\"TA0003\"]}]');
 INSERT INTO `tsca` VALUES (29673,'Ensure&#x20;sudo&#x20;log&#x20;file&#x20;exists.','sudo&#x20;can&#x20;use&#x20;a&#x20;custom&#x20;log&#x20;file.','A&#x20;sudo&#x20;log&#x20;file&#x20;simplifies&#x20;auditing&#x20;of&#x20;sudo&#x20;commands.','WARNING:&#x20;Editing&#x20;the&#x20;sudo&#x20;configuration&#x20;incorrectly&#x20;can&#x20;cause&#x20;sudo&#x20;to&#x20;stop&#x20;functioning.&#x20;Always&#x20;use&#x20;visudo&#x20;to&#x20;modify&#x20;sudo&#x20;configuration&#x20;files.','Edit&#x20;the&#x20;file&#x20;/etc/sudoers&#x20;or&#x20;a&#x20;file&#x20;in&#x20;/etc/sudoers.d/&#x20;with&#x20;visudo&#x20;or&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;add&#x20;the&#x20;following&#x20;line:&#x20;Example:&#x20;Defaults&#x20;logfile=&quot;/var/log/sudo.log&quot;.','[{\"cis\": [\"5.3.3\"]}, {\"cis_csc_v8\": [\"8.5\"]}, {\"cis_csc_v7\": [\"6.3\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"pci_dss_3.2.1\": [\"10.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_4.0\": [\"9.4.5\", \"10.2\", \"10.2.1\", \"10.2.1.2\", \"10.2.1.5\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"iso_27001-2013\": [\"A.12.4.1\"]}, {\"mitre_techniques\": [\"T1562\", \"T1562.006\"]}, {\"mitre_tactics\": [\"TA0004\"]}]'),(29674,'Ensure&#x20;users&#x20;must&#x20;provide&#x20;password&#x20;for&#x20;privilege&#x20;escalation.','The&#x20;operating&#x20;system&#x20;must&#x20;be&#x20;configured&#x20;so&#x20;that&#x20;users&#x20;must&#x20;provide&#x20;a&#x20;password&#x20;for&#x20;privilege&#x20;escalation.','Without&#x20;&#40;re-&#41;authentication,&#x20;users&#x20;may&#x20;access&#x20;resources&#x20;or&#x20;perform&#x20;tasks&#x20;for&#x20;which&#x20;they&#x20;do&#x20;not&#x20;have&#x20;authorization.&#x20;When&#x20;operating&#x20;systems&#x20;provide&#x20;the&#x20;capability&#x20;to&#x20;escalate&#x20;a&#x20;functional&#x20;capability,&#x20;it&#x20;is&#x20;critical&#x20;the&#x20;user&#x20;&#40;re-&#41;authenticate.','This&#x20;will&#x20;prevent&#x20;automated&#x20;processes&#x20;from&#x20;being&#x20;able&#x20;to&#x20;elevate&#x20;privileges.','Based&#x20;on&#x20;the&#x20;outcome&#x20;of&#x20;the&#x20;audit&#x20;procedure,&#x20;use&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;to&#x20;edit&#x20;the&#x20;relevant&#x20;sudoers&#x20;file.&#x20;Remove&#x20;any&#x20;line&#x20;with&#x20;occurrences&#x20;of&#x20;NOPASSWD&#x20;tags&#x20;in&#x20;the&#x20;file.','[{\"cis\": [\"5.3.4\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}]'),(29675,'Ensure&#x20;re-authentication&#x20;for&#x20;privilege&#x20;escalation&#x20;is&#x20;not&#x20;disabled&#x20;globally.','The&#x20;operating&#x20;system&#x20;must&#x20;be&#x20;configured&#x20;so&#x20;that&#x20;users&#x20;must&#x20;re-authenticate&#x20;for&#x20;privilege&#x20;escalation.','Without&#x20;re-authentication,&#x20;users&#x20;may&#x20;access&#x20;resources&#x20;or&#x20;perform&#x20;tasks&#x20;for&#x20;which&#x20;they&#x20;do&#x20;not&#x20;have&#x20;authorization.&#x20;When&#x20;operating&#x20;systems&#x20;provide&#x20;the&#x20;capability&#x20;to&#x20;escalate&#x20;a&#x20;functional&#x20;capability,&#x20;it&#x20;is&#x20;critical&#x20;the&#x20;user&#x20;re-authenticate.','','Configure&#x20;the&#x20;operating&#x20;system&#x20;to&#x20;require&#x20;users&#x20;to&#x20;reauthenticate&#x20;for&#x20;privilege&#x20;escalation.&#x20;Based&#x20;on&#x20;the&#x20;outcome&#x20;of&#x20;the&#x20;audit&#x20;procedure,&#x20;use&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;to&#x20;edit&#x20;the&#x20;relevant&#x20;sudoers&#x20;file.&#x20;Remove&#x20;any&#x20;occurrences&#x20;of&#x20;!authenticate&#x20;tags&#x20;in&#x20;the&#x20;file&#40;s&#41;.','[{\"cis\": [\"5.3.5\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}]'),(29676,'Ensure&#x20;sudo&#x20;authentication&#x20;timeout&#x20;is&#x20;configured&#x20;correctly.','sudo&#x20;caches&#x20;used&#x20;credentials&#x20;for&#x20;a&#x20;default&#x20;of&#x20;15&#x20;minutes.&#x20;This&#x20;is&#x20;for&#x20;ease&#x20;of&#x20;use&#x20;when&#x20;there&#x20;are&#x20;multiple&#x20;administrative&#x20;tasks&#x20;to&#x20;perform.&#x20;The&#x20;timeout&#x20;can&#x20;be&#x20;modified&#x20;to&#x20;suit&#x20;local&#x20;security&#x20;policies.&#x20;This&#x20;default&#x20;is&#x20;distribution&#x20;specific.&#x20;See&#x20;audit&#x20;section&#x20;for&#x20;further&#x20;information.','Setting&#x20;a&#x20;timeout&#x20;value&#x20;reduces&#x20;the&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;unauthorized&#x20;privileged&#x20;access&#x20;to&#x20;another&#x20;user.','','If&#x20;the&#x20;currently&#x20;configured&#x20;timeout&#x20;is&#x20;larger&#x20;than&#x20;15&#x20;minutes,&#x20;edit&#x20;the&#x20;file&#x20;listed&#x20;in&#x20;the&#x20;audit&#x20;section&#x20;with&#x20;visudo&#x20;-f&#x20;&lt;PATH&#x20;TO&#x20;FILE&gt;&#x20;and&#x20;modify&#x20;the&#x20;entry&#x20;timestamp_timeout=&#x20;to&#x20;15&#x20;minutes&#x20;or&#x20;less&#x20;as&#x20;per&#x20;your&#x20;site&#x20;policy.&#x20;The&#x20;value&#x20;is&#x20;in&#x20;minutes.&#x20;This&#x20;particular&#x20;entry&#x20;may&#x20;appear&#x20;on&#x20;it&#039;s&#x20;own,&#x20;or&#x20;on&#x20;the&#x20;same&#x20;line&#x20;as&#x20;env_reset.&#x20;See&#x20;the&#x20;following&#x20;two&#x20;examples:&#x20;Defaults&#x20;Defaults&#x20;Defaults&#x20;env_reset,&#x20;timestamp_timeout=15&#x20;timestamp_timeout=15&#x20;env_reset.','[{\"cis\": [\"5.3.6\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}]'),(29677,'Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','The&#x20;su&#x20;command&#x20;allows&#x20;a&#x20;user&#x20;to&#x20;run&#x20;a&#x20;command&#x20;or&#x20;shell&#x20;as&#x20;another&#x20;user.&#x20;The&#x20;program&#x20;has&#x20;been&#x20;superseded&#x20;by&#x20;sudo,&#x20;which&#x20;allows&#x20;for&#x20;more&#x20;granular&#x20;control&#x20;over&#x20;privileged&#x20;access.&#x20;Normally,&#x20;the&#x20;su&#x20;command&#x20;can&#x20;be&#x20;executed&#x20;by&#x20;any&#x20;user.&#x20;By&#x20;uncommenting&#x20;the&#x20;pam_wheel.so&#x20;statement&#x20;in&#x20;/etc/pam.d/su,&#x20;the&#x20;su&#x20;command&#x20;will&#x20;only&#x20;allow&#x20;users&#x20;in&#x20;a&#x20;specific&#x20;groups&#x20;to&#x20;execute&#x20;su.&#x20;This&#x20;group&#x20;should&#x20;be&#x20;empty&#x20;to&#x20;reinforce&#x20;the&#x20;use&#x20;of&#x20;sudo&#x20;for&#x20;privileged&#x20;access.','Restricting&#x20;the&#x20;use&#x20;of&#x20;su&#x20;,&#x20;and&#x20;using&#x20;sudo&#x20;in&#x20;its&#x20;place,&#x20;provides&#x20;system&#x20;administrators&#x20;better&#x20;control&#x20;of&#x20;the&#x20;escalation&#x20;of&#x20;user&#x20;privileges&#x20;to&#x20;execute&#x20;privileged&#x20;commands.&#x20;The&#x20;sudo&#x20;utility&#x20;also&#x20;provides&#x20;a&#x20;better&#x20;logging&#x20;and&#x20;audit&#x20;mechanism,&#x20;as&#x20;it&#x20;can&#x20;log&#x20;each&#x20;command&#x20;executed&#x20;via&#x20;sudo&#x20;,&#x20;whereas&#x20;su&#x20;can&#x20;only&#x20;record&#x20;that&#x20;a&#x20;user&#x20;executed&#x20;the&#x20;su&#x20;program.','','Create&#x20;an&#x20;empty&#x20;group&#x20;that&#x20;will&#x20;be&#x20;specified&#x20;for&#x20;use&#x20;of&#x20;the&#x20;su&#x20;command.&#x20;The&#x20;group&#x20;should&#x20;be&#x20;named&#x20;according&#x20;to&#x20;site&#x20;policy.&#x20;Example:&#x20;#&#x20;groupadd&#x20;sugroup&#x20;Add&#x20;the&#x20;following&#x20;line&#x20;to&#x20;the&#x20;/etc/pam.d/su&#x20;file,&#x20;specifying&#x20;the&#x20;empty&#x20;group:&#x20;auth&#x20;required&#x20;pam_wheel.so&#x20;use_uid&#x20;group=sugroup.','[{\"cis\": [\"5.3.7\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(29678,'Ensure&#x20;password&#x20;creation&#x20;requirements&#x20;are&#x20;configured.','The&#x20;pam_pwquality.so&#x20;module&#x20;checks&#x20;the&#x20;strength&#x20;of&#x20;passwords.&#x20;It&#x20;performs&#x20;checks&#x20;such&#x20;as&#x20;making&#x20;sure&#x20;a&#x20;password&#x20;is&#x20;not&#x20;a&#x20;dictionary&#x20;word,&#x20;it&#x20;is&#x20;a&#x20;certain&#x20;length,&#x20;contains&#x20;a&#x20;mix&#x20;of&#x20;characters&#x20;&#40;e.g.&#x20;alphabet,&#x20;numeric,&#x20;other&#41;&#x20;and&#x20;more.&#x20;The&#x20;following&#x20;options&#x20;are&#x20;set&#x20;in&#x20;the&#x20;/etc/security/pwquality.conf&#x20;file:&#x20;-&#x20;Password&#x20;Length:&#x20;&gt;&#x20;minlen&#x20;=&#x20;14&#x20;-&#x20;password&#x20;must&#x20;be&#x20;14&#x20;characters&#x20;or&#x20;more.&#x20;-&#x20;Password&#x20;complexity:&#x20;&gt;&#x20;minclass&#x20;=&#x20;4&#x20;-&#x20;The&#x20;minimum&#x20;number&#x20;of&#x20;required&#x20;classes&#x20;of&#x20;characters&#x20;for&#x20;the&#x20;new&#x20;password&#x20;&#40;digits,&#x20;uppercase,&#x20;lowercase,&#x20;others&#41;&#x20;OR&#x20;&gt;&#x20;dcredit&#x20;=&#x20;-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;digit.&#x20;&gt;&#x20;ucredit&#x20;=&#x20;-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;uppercase&#x20;character.&#x20;&gt;&#x20;ocredit&#x20;=&#x20;-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;special&#x20;character.&#x20;&gt;&#x20;lcredit&#x20;=&#x20;-1&#x20;-&#x20;provide&#x20;at&#x20;least&#x20;one&#x20;lowercase&#x20;character.','Strong&#x20;passwords&#x20;protect&#x20;systems&#x20;from&#x20;being&#x20;hacked&#x20;through&#x20;brute&#x20;force&#x20;methods.','','The&#x20;following&#x20;setting&#x20;is&#x20;a&#x20;recommend&#x20;example&#x20;policy.&#x20;Alter&#x20;these&#x20;values&#x20;to&#x20;conform&#x20;to&#x20;your&#x20;own&#x20;organization&#039;s&#x20;password&#x20;policies.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;the&#x20;pam_pwquality&#x20;module:&#x20;#&#x20;apt&#x20;install&#x20;libpam-pwquality&#x20;Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;password&#x20;length&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;minlen&#x20;=&#x20;14&#x20;.Edit&#x20;the&#x20;file&#x20;/etc/security/pwquality.conf&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;following&#x20;line&#x20;for&#x20;.password&#x20;complexity&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy:&#x20;Option&#x20;1&#x20;minclass&#x20;=&#x20;4&#x20;Option&#x20;2&#x20;dcredit&#x20;=&#x20;-1,&#x20;ucredit&#x20;=&#x20;-1,&#x20;ocredit&#x20;=&#x20;-1,&#x20;lcredit&#x20;=&#x20;-1.','[{\"cis\": [\"5.4.1\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.001\", \"T1110.002\", \"T1110.003\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(29679,'Ensure&#x20;lockout&#x20;for&#x20;failed&#x20;password&#x20;attempts&#x20;is&#x20;configured.','Lock&#x20;out&#x20;users&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts.&#x20;The&#x20;first&#x20;sets&#x20;of&#x20;changes&#x20;are&#x20;made&#x20;to&#x20;the&#x20;common&#x20;PAM&#x20;configuration&#x20;files.&#x20;The&#x20;second&#x20;set&#x20;of&#x20;changes&#x20;are&#x20;applied&#x20;to&#x20;the&#x20;program&#x20;specific&#x20;PAM&#x20;configuration&#x20;file.&#x20;The&#x20;second&#x20;set&#x20;of&#x20;changes&#x20;must&#x20;be&#x20;applied&#x20;to&#x20;each&#x20;program&#x20;that&#x20;will&#x20;lock&#x20;out&#x20;users.&#x20;Check&#x20;the&#x20;documentation&#x20;for&#x20;each&#x20;secondary&#x20;program&#x20;for&#x20;instructions&#x20;on&#x20;how&#x20;to&#x20;configure&#x20;them&#x20;to&#x20;work&#x20;with&#x20;PAM.&#x20;All&#x20;configuration&#x20;of&#x20;faillock&#x20;is&#x20;located&#x20;in&#x20;/etc/security/faillock.conf&#x20;and&#x20;well&#x20;commented.&#x20;-&#x20;deny&#x20;&gt;&#x20;Deny&#x20;access&#x20;if&#x20;the&#x20;number&#x20;of&#x20;consecutive&#x20;authentication&#x20;failures&#x20;for&#x20;this&#x20;user&#x20;during&#x20;the&#x20;recent&#x20;interval&#x20;exceeds&#x20;n&#x20;tries.&#x20;-&#x20;fail_interval&#x20;&gt;&#x20;The&#x20;length&#x20;of&#x20;the&#x20;interval,&#x20;in&#x20;seconds,&#x20;during&#x20;which&#x20;the&#x20;consecutive&#x20;authentication&#x20;failures&#x20;must&#x20;happen&#x20;for&#x20;the&#x20;user&#x20;account&#x20;to&#x20;be&#x20;locked&#x20;out.&#x20;-&#x20;unlock_time&#x20;&gt;&#x20;The&#x20;access&#x20;will&#x20;be&#x20;re-enabled&#x20;after&#x20;n&#x20;seconds&#x20;after&#x20;the&#x20;lock&#x20;out.&#x20;The&#x20;value&#x20;0&#x20;has&#x20;the&#x20;same&#x20;meaning&#x20;as&#x20;value&#x20;never&#x20;-&#x20;the&#x20;access&#x20;will&#x20;not&#x20;be&#x20;re-enabled&#x20;without&#x20;resetting&#x20;the&#x20;faillock&#x20;entries&#x20;by&#x20;the&#x20;faillock&#x20;command.&#x20;Set&#x20;the&#x20;lockout&#x20;number&#x20;and&#x20;unlock&#x20;time&#x20;in&#x20;accordance&#x20;with&#x20;local&#x20;site&#x20;policy.','Locking&#x20;out&#x20;user&#x20;IDs&#x20;after&#x20;n&#x20;unsuccessful&#x20;consecutive&#x20;login&#x20;attempts&#x20;mitigates&#x20;brute&#x20;force&#x20;password&#x20;attacks&#x20;against&#x20;your&#x20;systems.','It&#x20;is&#x20;critical&#x20;to&#x20;test&#x20;and&#x20;validate&#x20;any&#x20;PAM&#x20;changes&#x20;before&#x20;deploying.&#x20;Any&#x20;misconfiguration&#x20;could&#x20;cause&#x20;the&#x20;system&#x20;to&#x20;be&#x20;inaccessible.','NOTE:&#x20;Pay&#x20;special&#x20;attention&#x20;to&#x20;the&#x20;configuration.&#x20;Incorrect&#x20;configuration&#x20;can&#x20;cause&#x20;system&#x20;lock&#x20;outs.&#x20;This&#x20;is&#x20;example&#x20;configuration.&#x20;You&#x20;configuration&#x20;may&#x20;differ&#x20;based&#x20;on&#x20;previous&#x20;changes&#x20;to&#x20;the&#x20;files.&#x20;Common&#x20;auth:&#x20;Edit&#x20;/etc/pam.d/common-auth&#x20;and&#x20;ensure&#x20;that&#x20;faillock&#x20;is&#x20;configured.&#x20;Note:&#x20;It&#x20;is&#x20;critical&#x20;to&#x20;understand&#x20;each&#x20;line&#x20;and&#x20;the&#x20;relevant&#x20;arguments&#x20;for&#x20;successful&#x20;implementation.&#x20;The&#x20;order&#x20;of&#x20;these&#x20;entries&#x20;is&#x20;very&#x20;specific.&#x20;The&#x20;pam_faillock.so&#x20;lines&#x20;surround&#x20;the&#x20;pam_unix.so&#x20;line.&#x20;The&#x20;comment&#x20;&quot;Added&#x20;to&#x20;enable&#x20;faillock&quot;&#x20;is&#x20;shown&#x20;to&#x20;highlight&#x20;the&#x20;additional&#x20;lines&#x20;and&#x20;their&#x20;order&#x20;in&#x20;the&#x20;file.&#x20;#&#x20;here&#x20;are&#x20;the&#x20;per-package&#x20;modules&#x20;&#40;the&#x20;&quot;Primary&quot;&#x20;block&#41;&#x20;auth&#x20;required&#x20;pam_faillock.so&#x20;preauth&#x20;#&#x20;Added&#x20;to&#x20;enable&#x20;faillock&#x20;auth&#x20;[success=1&#x20;default=ignore]&#x20;pam_unix.so&#x20;nullok&#x20;auth&#x20;[default=die]&#x20;pam_faillock.so&#x20;authfail&#x20;#&#x20;Added&#x20;to&#x20;enable&#x20;faillock&#x20;auth&#x20;sufficient&#x20;pam_faillock.so&#x20;authsucc&#x20;#&#x20;Added&#x20;to&#x20;enable&#x20;faillock&#x20;#&#x20;here&#039;s&#x20;the&#x20;fallback&#x20;if&#x20;no&#x20;module&#x20;succeeds&#x20;auth&#x20;requisite&#x20;pam_deny.so&#x20;#&#x20;prime&#x20;the&#x20;stack&#x20;with&#x20;a&#x20;positive&#x20;return&#x20;value&#x20;if&#x20;there&#x20;isn&#039;t&#x20;one&#x20;already;&#x20;#&#x20;this&#x20;avoids&#x20;us&#x20;returning&#x20;an&#x20;error&#x20;just&#x20;because&#x20;nothing&#x20;sets&#x20;a&#x20;success&#x20;code&#x20;#&#x20;since&#x20;the&#x20;modules&#x20;above&#x20;will&#x20;each&#x20;just&#x20;jump&#x20;around&#x20;auth&#x20;required&#x20;pam_permit.so&#x20;#&#x20;and&#x20;here&#x20;are&#x20;more&#x20;per-package&#x20;modules&#x20;&#40;the&#x20;&quot;Additional&quot;&#x20;block&#41;&#x20;auth&#x20;optional&#x20;pam_cap.so&#x20;#&#x20;end&#x20;of&#x20;pam-auth-update&#x20;config&#x20;Common&#x20;account:&#x20;Edit&#x20;/etc/pam.d/common-account&#x20;and&#x20;ensure&#x20;that&#x20;the&#x20;following&#x20;stanza&#x20;is&#x20;at&#x20;the&#x20;end&#x20;of&#x20;the&#x20;file.&#x20;&gt;&#x20;account&#x20;&gt;&#x20;required&#x20;&gt;&#x20;pam_faillock.so.&#x20;Fail&#x20;lock&#x20;configuration:&#x20;Edit&#x20;/etc/security/faillock.conf&#x20;and&#x20;configure&#x20;it&#x20;per&#x20;your&#x20;site&#x20;policy.&#x20;Example:&#x20;deny&#x20;=&#x20;4&#x20;&gt;&#x20;fail_interval&#x20;=&#x20;900&#x20;&gt;&#x20;unlock&#x20;time&#x20;=&#x20;600.','[{\"cis\": [\"5.4.2\"]}, {\"cis_csc_v8\": [\"6.2\"]}, {\"cis_csc_v7\": [\"16.7\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\"]}, {\"hipaa\": [\"164.308(a)(3)(ii)(C)\"]}, {\"pci_dss_3.2.1\": [\"8.1.3\"]}, {\"pci_dss_4.0\": [\"8.2.4\", \"8.2.5\"]}, {\"nist_sp_800-53\": [\"AC-2(1)\"]}, {\"soc_2\": [\"CC6.2\", \"CC6.3\"]}, {\"iso_27001-2013\": [\"A.9.2.6\"]}, {\"mitre_techniques\": [\"T1110\", \"T1110.001\", \"T1110.003\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(29680,'Ensure&#x20;password&#x20;reuse&#x20;is&#x20;limited.','The&#x20;/etc/security/opasswd&#x20;file&#x20;stores&#x20;the&#x20;users&#x20;old&#x20;passwords&#x20;and&#x20;can&#x20;be&#x20;checked&#x20;to&#x20;ensure&#x20;that&#x20;users&#x20;are&#x20;not&#x20;recycling&#x20;recent&#x20;passwords.','Forcing&#x20;users&#x20;not&#x20;to&#x20;reuse&#x20;their&#x20;past&#x20;5&#x20;passwords&#x20;make&#x20;it&#x20;less&#x20;likely&#x20;that&#x20;an&#x20;attacker&#x20;will&#x20;be&#x20;able&#x20;to&#x20;guess&#x20;the&#x20;password.','','NOTE:&#x20;Pay&#x20;special&#x20;attention&#x20;to&#x20;the&#x20;configuration.&#x20;Incorrect&#x20;configuration&#x20;can&#x20;cause&#x20;system&#x20;lock&#x20;outs.&#x20;This&#x20;is&#x20;example&#x20;configuration.&#x20;You&#x20;configuration&#x20;may&#x20;differ&#x20;based&#x20;on&#x20;previous&#x20;changes&#x20;to&#x20;the&#x20;files.&#x20;Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;file&#x20;to&#x20;include&#x20;the&#x20;remember=&#x20;option&#x20;of&#x20;5&#x20;or&#x20;more.&#x20;If&#x20;this&#x20;line&#x20;doesn&#039;t&#x20;exist,&#x20;add&#x20;the&#x20;line&#x20;directly&#x20;above&#x20;the&#x20;line:&#x20;password&#x20;[success=1&#x20;default=ignore]&#x20;pam_unix.so&#x20;obscure&#x20;yescrypt:&#x20;Example:&#x20;password&#x20;required&#x20;pam_pwhistory.so&#x20;use_authtok&#x20;remember=5.','[{\"cis\": [\"5.4.3\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.004\"]}]'),(29681,'Ensure&#x20;password&#x20;hashing&#x20;algorithm&#x20;is&#x20;up&#x20;to&#x20;date&#x20;with&#x20;the&#x20;latest&#x20;standards.','The&#x20;commands&#x20;below&#x20;change&#x20;password&#x20;encryption&#x20;to&#x20;yescrypt.&#x20;All&#x20;existing&#x20;accounts&#x20;will&#x20;need&#x20;to&#x20;perform&#x20;a&#x20;password&#x20;change&#x20;to&#x20;upgrade&#x20;the&#x20;stored&#x20;hashes&#x20;to&#x20;the&#x20;new&#x20;algorithm.','The&#x20;yescrypt&#x20;algorithm&#x20;provides&#x20;much&#x20;stronger&#x20;hashing&#x20;than&#x20;previous&#x20;available&#x20;algorithms,&#x20;thus&#x20;providing&#x20;additional&#x20;protection&#x20;to&#x20;the&#x20;system&#x20;by&#x20;increasing&#x20;the&#x20;level&#x20;of&#x20;effort&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;successfully&#x20;determine&#x20;passwords.&#x20;Note:&#x20;these&#x20;change&#x20;only&#x20;apply&#x20;to&#x20;accounts&#x20;configured&#x20;on&#x20;the&#x20;local&#x20;system.','','NOTE:&#x20;Pay&#x20;special&#x20;attention&#x20;to&#x20;the&#x20;configuration.&#x20;Incorrect&#x20;configuration&#x20;can&#x20;cause&#x20;system&#x20;lock&#x20;outs.&#x20;This&#x20;is&#x20;example&#x20;configuration.&#x20;You&#x20;configuration&#x20;may&#x20;differ&#x20;based&#x20;on&#x20;previous&#x20;changes&#x20;to&#x20;the&#x20;files.&#x20;PAM&#x20;Edit&#x20;the&#x20;/etc/pam.d/common-password&#x20;file&#x20;and&#x20;ensure&#x20;that&#x20;no&#x20;hashing&#x20;algorithm&#x20;option&#x20;for&#x20;pam_unix.so&#x20;is&#x20;set:&#x20;password&#x20;[success=1&#x20;default=ignore]&#x20;try_first_pass&#x20;remember=5&#x20;pam_unix.so&#x20;obscure&#x20;use_authtok&#x20;-&#x20;Login&#x20;definitions:&#x20;Edit&#x20;/etc/login.defs&#x20;and&#x20;ensure&#x20;that&#x20;ENCRYPT_METHOD&#x20;is&#x20;set&#x20;to&#x20;yescrypt.','[{\"cis\": [\"5.4.4\"]}, {\"cis_csc_v8\": [\"3.11\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.19\", \"IA.L2-3.5.10\", \"MP.L2-3.8.1\", \"SC.L2-3.13.11\", \"SC.L2-3.13.16\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"3.4\", \"3.4.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"3.1.1\", \"3.3.2\", \"3.3.3\", \"3.5.1\", \"3.5.1.2\", \"3.5.1.3\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"SC-28\", \"SC-28(1)\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1110\", \"T1110.002\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1041\"]}]'),(29682,'Ensure&#x20;minimum&#x20;days&#x20;between&#x20;password&#x20;changes&#x20;is&#x20;configured.','The&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;prevent&#x20;users&#x20;from&#x20;changing&#x20;their&#x20;password&#x20;until&#x20;a&#x20;minimum&#x20;number&#x20;of&#x20;days&#x20;have&#x20;passed&#x20;since&#x20;the&#x20;last&#x20;time&#x20;the&#x20;user&#x20;changed&#x20;their&#x20;password.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;1&#x20;or&#x20;more&#x20;days.','By&#x20;restricting&#x20;the&#x20;frequency&#x20;of&#x20;password&#x20;changes,&#x20;an&#x20;administrator&#x20;can&#x20;prevent&#x20;users&#x20;from&#x20;repeatedly&#x20;changing&#x20;their&#x20;password&#x20;in&#x20;an&#x20;attempt&#x20;to&#x20;circumvent&#x20;password&#x20;reuse&#x20;controls.','','Set&#x20;the&#x20;PASS_MIN_DAYS&#x20;parameter&#x20;to&#x20;1&#x20;in&#x20;/etc/login.defs&#x20;:&#x20;PASS_MIN_DAYS&#x20;1&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--mindays&#x20;1&#x20;&lt;user&gt;.','[{\"cis\": [\"5.5.1.1\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.004\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(29683,'Ensure&#x20;password&#x20;expiration&#x20;is&#x20;365&#x20;days&#x20;or&#x20;less.','The&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;force&#x20;passwords&#x20;to&#x20;expire&#x20;once&#x20;they&#x20;reach&#x20;a&#x20;defined&#x20;age.','The&#x20;window&#x20;of&#x20;opportunity&#x20;for&#x20;an&#x20;attacker&#x20;to&#x20;leverage&#x20;compromised&#x20;credentials&#x20;or&#x20;successfully&#x20;compromise&#x20;credentials&#x20;via&#x20;an&#x20;online&#x20;brute&#x20;force&#x20;attack&#x20;is&#x20;limited&#x20;by&#x20;the&#x20;age&#x20;of&#x20;the&#x20;password.&#x20;Therefore,&#x20;reducing&#x20;the&#x20;maximum&#x20;age&#x20;of&#x20;a&#x20;password&#x20;also&#x20;reduces&#x20;an&#x20;attacker&#039;s&#x20;window&#x20;of&#x20;opportunity.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;does&#x20;not&#x20;exceed&#x20;365&#x20;days&#x20;and&#x20;is&#x20;greater&#x20;than&#x20;the&#x20;value&#x20;of&#x20;PASS_MIN_DAYS.','','Set&#x20;the&#x20;PASS_MAX_DAYS&#x20;parameter&#x20;to&#x20;conform&#x20;to&#x20;site&#x20;policy&#x20;in&#x20;/etc/login.defs&#x20;:&#x20;PASS_MAX_DAYS&#x20;365&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--maxdays&#x20;365&#x20;&lt;user&gt;.','[{\"cis\": [\"5.5.1.2\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.002\", \"T1078.003\", \"T1078.004\", \"T1110\", \"T1110.001\", \"T1110.002\", \"T1110.003\", \"T1110.004\"]}]'),(29684,'Ensure&#x20;password&#x20;expiration&#x20;warning&#x20;days&#x20;is&#x20;7&#x20;or&#x20;more.','The&#x20;PASS_WARN_AGE&#x20;parameter&#x20;in&#x20;/etc/login.defs&#x20;allows&#x20;an&#x20;administrator&#x20;to&#x20;notify&#x20;users&#x20;that&#x20;their&#x20;password&#x20;will&#x20;expire&#x20;in&#x20;a&#x20;defined&#x20;number&#x20;of&#x20;days.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;be&#x20;set&#x20;to&#x20;7&#x20;or&#x20;more&#x20;days.','Providing&#x20;an&#x20;advance&#x20;warning&#x20;that&#x20;a&#x20;password&#x20;will&#x20;be&#x20;expiring&#x20;gives&#x20;users&#x20;time&#x20;to&#x20;think&#x20;of&#x20;a&#x20;secure&#x20;password.&#x20;Users&#x20;caught&#x20;unaware&#x20;may&#x20;choose&#x20;a&#x20;simple&#x20;password&#x20;or&#x20;write&#x20;it&#x20;down&#x20;where&#x20;it&#x20;may&#x20;be&#x20;discovered.','','Set&#x20;the&#x20;PASS_WARN_AGE&#x20;parameter&#x20;to&#x20;7&#x20;in&#x20;/etc/login.defs&#x20;:PASS_WARN_AGE&#x20;7&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--warndays&#x20;7&#x20;&lt;user&gt;.','[{\"cis\": [\"5.5.1.3\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_tactics\": [\"TA0006\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(29685,'Ensure&#x20;inactive&#x20;password&#x20;lock&#x20;is&#x20;30&#x20;days&#x20;or&#x20;less.','User&#x20;accounts&#x20;that&#x20;have&#x20;been&#x20;inactive&#x20;for&#x20;over&#x20;a&#x20;given&#x20;period&#x20;of&#x20;time&#x20;can&#x20;be&#x20;automatically&#x20;disabled.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;accounts&#x20;that&#x20;are&#x20;inactive&#x20;for&#x20;30&#x20;days&#x20;after&#x20;password&#x20;expiration&#x20;be&#x20;disabled.','Inactive&#x20;accounts&#x20;pose&#x20;a&#x20;threat&#x20;to&#x20;system&#x20;security&#x20;since&#x20;the&#x20;users&#x20;are&#x20;not&#x20;logging&#x20;in&#x20;to&#x20;notice&#x20;failed&#x20;login&#x20;attempts&#x20;or&#x20;other&#x20;anomalies.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;default&#x20;password&#x20;inactivity&#x20;period&#x20;to&#x20;30&#x20;days:&#x20;#&#x20;useradd&#x20;-D&#x20;-f&#x20;30&#x20;Modify&#x20;user&#x20;parameters&#x20;for&#x20;all&#x20;users&#x20;with&#x20;a&#x20;password&#x20;set&#x20;to&#x20;match:&#x20;#&#x20;chage&#x20;--inactive&#x20;30&#x20;&lt;user&gt;.','[{\"cis\": [\"5.5.1.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.002\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(29686,'Ensure&#x20;default&#x20;group&#x20;for&#x20;the&#x20;root&#x20;account&#x20;is&#x20;GID&#x20;0.','The&#x20;usermod&#x20;command&#x20;can&#x20;be&#x20;used&#x20;to&#x20;specify&#x20;which&#x20;group&#x20;the&#x20;root&#x20;user&#x20;belongs&#x20;to.&#x20;This&#x20;affects&#x20;permissions&#x20;of&#x20;files&#x20;that&#x20;are&#x20;created&#x20;by&#x20;the&#x20;root&#x20;user.','Using&#x20;GID&#x20;0&#x20;for&#x20;the&#x20;root&#x20;account&#x20;helps&#x20;prevent&#x20;root&#x20;-owned&#x20;files&#x20;from&#x20;accidentally&#x20;becoming&#x20;accessible&#x20;to&#x20;non-privileged&#x20;users.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;root&#x20;user&#x20;default&#x20;group&#x20;to&#x20;GID&#x20;0&#x20;:&#x20;#&#x20;usermod&#x20;-g&#x20;0&#x20;root.','[{\"cis\": [\"5.5.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(29687,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd&#x20;are&#x20;configured.','The&#x20;/etc/passwd&#x20;file&#x20;contains&#x20;user&#x20;account&#x20;information&#x20;that&#x20;is&#x20;used&#x20;by&#x20;many&#x20;system&#x20;utilities&#x20;and&#x20;therefore&#x20;must&#x20;be&#x20;readable&#x20;for&#x20;these&#x20;utilities&#x20;to&#x20;operate.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;write&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;excess&#x20;permissions,&#x20;set&#x20;owner,&#x20;and&#x20;set&#x20;group&#x20;on&#x20;/etc/passwd:&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/passwd&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd.','[{\"cis\": [\"6.1.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29688,'Ensure&#x20;permissions&#x20;on&#x20;/etc/passwd-&#x20;are&#x20;configured.','The&#x20;/etc/passwd-&#x20;file&#x20;contains&#x20;backup&#x20;user&#x20;account&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/passwd-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;excess&#x20;permissions,&#x20;set&#x20;owner,&#x20;and&#x20;set&#x20;group&#x20;on&#x20;/etc/passwd-:&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/passwd-&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/passwd-.','[{\"cis\": [\"6.1.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29689,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group&#x20;are&#x20;configured.','The&#x20;/etc/group&#x20;file&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.&#x20;The&#x20;command&#x20;below&#x20;allows&#x20;read/write&#x20;access&#x20;for&#x20;root&#x20;and&#x20;read&#x20;access&#x20;for&#x20;everyone&#x20;else.','The&#x20;/etc/group&#x20;file&#x20;needs&#x20;to&#x20;be&#x20;protected&#x20;from&#x20;unauthorized&#x20;changes&#x20;by&#x20;non-privileged&#x20;users,&#x20;but&#x20;needs&#x20;to&#x20;be&#x20;readable&#x20;as&#x20;this&#x20;information&#x20;is&#x20;used&#x20;with&#x20;many&#x20;non-privileged&#x20;programs.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;excess&#x20;permissions,&#x20;set&#x20;owner,&#x20;and&#x20;set&#x20;group&#x20;on&#x20;/etc/group:&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/group&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group.','[{\"cis\": [\"6.1.3\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29690,'Ensure&#x20;permissions&#x20;on&#x20;/etc/group-&#x20;are&#x20;configured.','The&#x20;/etc/group-&#x20;file&#x20;contains&#x20;a&#x20;backup&#x20;list&#x20;of&#x20;all&#x20;the&#x20;valid&#x20;groups&#x20;defined&#x20;in&#x20;the&#x20;system.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/group-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;remove&#x20;excess&#x20;permissions,&#x20;set&#x20;owner,&#x20;and&#x20;set&#x20;group&#x20;on&#x20;/etc/group-:&#x20;#&#x20;chmod&#x20;u-x,go-wx&#x20;/etc/group-&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/group-.','[{\"cis\": [\"6.1.4\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29691,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow&#x20;are&#x20;configured.','The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/shadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;&#40;such&#x20;as&#x20;expiration&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;user&#x20;accounts.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;of&#x20;/etc/shadow&#x20;to&#x20;root&#x20;and&#x20;group&#x20;to&#x20;either&#x20;root&#x20;or&#x20;shadow:&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/shadow&#x20;-OR-&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;excess&#x20;permissions&#x20;form&#x20;/etc/shadow:&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;/etc/shadow.','[{\"cis\": [\"6.1.5\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29692,'Ensure&#x20;permissions&#x20;on&#x20;/etc/shadow-&#x20;are&#x20;configured.','The&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;user&#x20;accounts&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/shadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;of&#x20;/etc/shadow-&#x20;to&#x20;root&#x20;and&#x20;group&#x20;to&#x20;either&#x20;root&#x20;or&#x20;shadow:&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/shadow-&#x20;-OR-&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/shadow-&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;excess&#x20;permissions&#x20;form&#x20;/etc/shadow-:&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;/etc/shadow-.','[{\"cis\": [\"6.1.6\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29693,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow&#x20;are&#x20;configured.','The&#x20;/etc/gshadow&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;the&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','If&#x20;attackers&#x20;can&#x20;gain&#x20;read&#x20;access&#x20;to&#x20;the&#x20;/etc/gshadow&#x20;file,&#x20;they&#x20;can&#x20;easily&#x20;run&#x20;a&#x20;password&#x20;cracking&#x20;program&#x20;against&#x20;the&#x20;hashed&#x20;password&#x20;to&#x20;break&#x20;it.&#x20;Other&#x20;security&#x20;information&#x20;that&#x20;is&#x20;stored&#x20;in&#x20;the&#x20;/etc/gshadow&#x20;file&#x20;&#40;such&#x20;as&#x20;group&#x20;administrators&#41;&#x20;could&#x20;also&#x20;be&#x20;useful&#x20;to&#x20;subvert&#x20;the&#x20;group.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;of&#x20;/etc/gshadow&#x20;to&#x20;root&#x20;and&#x20;group&#x20;to&#x20;either&#x20;root&#x20;or&#x20;shadow:&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/gshadow&#x20;-OR-&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;excess&#x20;permissions&#x20;form&#x20;/etc/gshadow:&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;/etc/gshadow.','[{\"cis\": [\"6.1.7\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29694,'Ensure&#x20;permissions&#x20;on&#x20;/etc/gshadow-&#x20;are&#x20;configured.','The&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;used&#x20;to&#x20;store&#x20;backup&#x20;information&#x20;about&#x20;groups&#x20;that&#x20;is&#x20;critical&#x20;to&#x20;the&#x20;security&#x20;of&#x20;those&#x20;accounts,&#x20;such&#x20;as&#x20;the&#x20;hashed&#x20;password&#x20;and&#x20;other&#x20;security&#x20;information.','It&#x20;is&#x20;critical&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;/etc/gshadow-&#x20;file&#x20;is&#x20;protected&#x20;from&#x20;unauthorized&#x20;access.&#x20;Although&#x20;it&#x20;is&#x20;protected&#x20;by&#x20;default,&#x20;the&#x20;file&#x20;permissions&#x20;could&#x20;be&#x20;changed&#x20;either&#x20;inadvertently&#x20;or&#x20;through&#x20;malicious&#x20;actions.','','Run&#x20;one&#x20;of&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;ownership&#x20;of&#x20;/etc/gshadow-&#x20;to&#x20;root&#x20;and&#x20;group&#x20;to&#x20;either&#x20;root&#x20;or&#x20;shadow:&#x20;#&#x20;chown&#x20;root:shadow&#x20;/etc/gshadow-&#x20;-OR-&#x20;#&#x20;chown&#x20;root:root&#x20;/etc/gshadow-&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;excess&#x20;permissions&#x20;form&#x20;/etc/gshadow-:&#x20;#&#x20;chmod&#x20;u-x,g-wx,o-rwx&#x20;/etc/gshadow-.','[{\"cis\": [\"6.1.8\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.3\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"pci_dss_3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_4.0\": [\"1.3.1\", \"7.1\"]}, {\"nist_sp_800-53\": [\"AC-3\", \"MP-2\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\", \"T1222\", \"T1222.002\"]}, {\"mitre_tactics\": [\"TA0005\"]}, {\"mitre_mitigations\": [\"M1022\"]}]'),(29695,'Ensure&#x20;accounts&#x20;in&#x20;/etc/passwd&#x20;use&#x20;shadowed&#x20;passwords.','Local&#x20;accounts&#x20;can&#x20;uses&#x20;shadowed&#x20;passwords.&#x20;With&#x20;shadowed&#x20;passwords,&#x20;The&#x20;passwords&#x20;are&#x20;saved&#x20;in&#x20;shadow&#x20;password&#x20;file,&#x20;/etc/shadow,&#x20;encrypted&#x20;by&#x20;a&#x20;salted&#x20;one-way&#x20;hash.&#x20;Accounts&#x20;with&#x20;a&#x20;shadowed&#x20;password&#x20;have&#x20;an&#x20;x&#x20;in&#x20;the&#x20;second&#x20;field&#x20;in&#x20;/etc/passwd.','The&#x20;/etc/passwd&#x20;file&#x20;also&#x20;contains&#x20;information&#x20;like&#x20;user&#x20;ID&#039;s&#x20;and&#x20;group&#x20;ID&#039;s&#x20;that&#x20;are&#x20;used&#x20;by&#x20;many&#x20;system&#x20;programs.&#x20;Therefore,&#x20;the&#x20;/etc/passwd&#x20;file&#x20;must&#x20;remain&#x20;world&#x20;readable.&#x20;In&#x20;spite&#x20;of&#x20;encoding&#x20;the&#x20;password&#x20;with&#x20;a&#x20;randomly-generated&#x20;one-way&#x20;hash&#x20;function,&#x20;an&#x20;attacker&#x20;could&#x20;still&#x20;break&#x20;the&#x20;system&#x20;if&#x20;they&#x20;got&#x20;access&#x20;to&#x20;the&#x20;/etc/passwd&#x20;file.&#x20;This&#x20;can&#x20;be&#x20;mitigated&#x20;by&#x20;using&#x20;shadowed&#x20;passwords,&#x20;thus&#x20;moving&#x20;the&#x20;passwords&#x20;in&#x20;the&#x20;/etc/passwd&#x20;file&#x20;to&#x20;/etc/shadow.&#x20;The&#x20;/etc/shadow&#x20;file&#x20;is&#x20;set&#x20;so&#x20;only&#x20;root&#x20;will&#x20;be&#x20;able&#x20;to&#x20;read&#x20;and&#x20;write.&#x20;This&#x20;helps&#x20;mitigate&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;encoded&#x20;passwords&#x20;with&#x20;which&#x20;to&#x20;perform&#x20;a&#x20;dictionary&#x20;attack.&#x20;Note:&#x20;-&#x20;All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.&#x20;-&#x20;A&#x20;user&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;second&#x20;field&#x20;in&#x20;/etc/passwd&#x20;allows&#x20;the&#x20;account&#x20;to&#x20;be&#x20;logged&#x20;into&#x20;by&#x20;providing&#x20;only&#x20;the&#x20;username.','','Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;accounts&#x20;to&#x20;use&#x20;shadowed&#x20;passwords:&#x20;#&#x20;sed&#x20;-e&#x20;&#039;s/^&#40;[a-zA-Z0-9_]*&#41;:[^:]*:/1:x:/&#039;&#x20;-i&#x20;/etc/passwd&#x20;Investigate&#x20;to&#x20;determine&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for,&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.1\"]}, {\"cis_csc_v8\": [\"3.11\"]}, {\"cis_csc_v7\": [\"16.4\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.19\", \"IA.L2-3.5.10\", \"MP.L2-3.8.1\", \"SC.L2-3.13.11\", \"SC.L2-3.13.16\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(2)(ii)\"]}, {\"pci_dss_3.2.1\": [\"3.4\", \"3.4.1\", \"8.2.1\"]}, {\"pci_dss_4.0\": [\"3.1.1\", \"3.3.2\", \"3.3.3\", \"3.5.1\", \"3.5.1.2\", \"3.5.1.3\", \"8.3.2\"]}, {\"nist_sp_800-53\": [\"SC-28\", \"SC-28(1)\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.10.1.1\"]}, {\"mitre_techniques\": [\"T1003\", \"T1003.008\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(29696,'Ensure&#x20;/etc/shadow&#x20;password&#x20;fields&#x20;are&#x20;not&#x20;empty.','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password.','All&#x20;accounts&#x20;must&#x20;have&#x20;passwords&#x20;or&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;the&#x20;account&#x20;from&#x20;being&#x20;used&#x20;by&#x20;an&#x20;unauthorized&#x20;user.','','If&#x20;any&#x20;accounts&#x20;in&#x20;the&#x20;/etc/shadow&#x20;file&#x20;do&#x20;not&#x20;have&#x20;a&#x20;password,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;lock&#x20;the&#x20;account&#x20;until&#x20;it&#x20;can&#x20;be&#x20;determined&#x20;why&#x20;it&#x20;does&#x20;not&#x20;have&#x20;a&#x20;password:&#x20;#&#x20;passwd&#x20;-l&#x20;&lt;username&gt;&#x20;Also,&#x20;check&#x20;to&#x20;see&#x20;if&#x20;the&#x20;account&#x20;is&#x20;logged&#x20;in&#x20;and&#x20;investigate&#x20;what&#x20;it&#x20;is&#x20;being&#x20;used&#x20;for&#x20;to&#x20;determine&#x20;if&#x20;it&#x20;needs&#x20;to&#x20;be&#x20;forced&#x20;off.','[{\"cis\": [\"6.2.2\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"pci_dss_4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1078\", \"T1078.001\", \"T1078.003\"]}, {\"mitre_tactics\": [\"TA0003\"]}, {\"mitre_mitigations\": [\"M1027\"]}]'),(29697,'Ensure&#x20;root&#x20;is&#x20;the&#x20;only&#x20;UID&#x20;0&#x20;account.','Any&#x20;account&#x20;with&#x20;UID&#x20;0&#x20;has&#x20;superuser&#x20;privileges&#x20;on&#x20;the&#x20;system.','This&#x20;access&#x20;must&#x20;be&#x20;limited&#x20;to&#x20;only&#x20;the&#x20;default&#x20;root&#x20;account&#x20;and&#x20;only&#x20;from&#x20;the&#x20;system&#x20;console.&#x20;Administrative&#x20;access&#x20;must&#x20;be&#x20;through&#x20;an&#x20;unprivileged&#x20;account&#x20;using&#x20;an&#x20;approved&#x20;mechanism&#x20;as&#x20;noted&#x20;in&#x20;Item&#x20;5.6&#x20;Ensure&#x20;access&#x20;to&#x20;the&#x20;su&#x20;command&#x20;is&#x20;restricted.','','Remove&#x20;any&#x20;users&#x20;other&#x20;than&#x20;root&#x20;with&#x20;UID&#x20;0&#x20;or&#x20;assign&#x20;them&#x20;a&#x20;new&#x20;UID&#x20;if&#x20;appropriate.','[{\"cis\": [\"6.2.10\"]}, {\"mitre_techniques\": [\"T1548\"]}, {\"mitre_tactics\": [\"TA0001\"]}, {\"mitre_mitigations\": [\"M1026\"]}]'),(30001,'Install&#x20;and&#x20;configure&#x20;HP-UX&#x20;Secure&#x20;Shell.','OpenSSH&#x20;is&#x20;a&#x20;popular&#x20;free&#x20;distribution&#x20;of&#x20;the&#x20;standards-track&#x20;SSH&#x20;protocols&#x20;which&#x20;allows&#x20;secure&#x20;encrypted&#x20;network&#x20;logins&#x20;and&#x20;file&#x20;transfers.&#x20;HP-UX&#x20;Secure&#x20;Shell&#x20;is&#x20;HP&#039;s&#x20;pre-compiled&#x20;and&#x20;supported&#x20;version&#x20;of&#x20;OpenSSH.','Common&#x20;login&#x20;and&#x20;file&#x20;transfer&#x20;services&#x20;such&#x20;as&#x20;telnet,&#x20;FTP,&#x20;rsh,&#x20;rlogin,&#x20;and&#x20;rcp&#x20;use&#x20;insecure,&#x20;clear-text&#x20;protocols&#x20;that&#x20;are&#x20;vulnerable&#x20;to&#x20;attack.&#x20;OpenSSH&#x20;provides&#x20;a&#x20;secure,&#x20;encrypted&#x20;replacement&#x20;for&#x20;these&#x20;services.&#x20;Security&#x20;is&#x20;improved&#x20;by&#x20;further&#x20;constraining&#x20;services&#x20;in&#x20;the&#x20;default&#x20;configuration.','','Perform&#x20;the&#x20;following&#x20;to&#x20;install&#x20;and&#x20;securely&#x20;configure&#x20;Secure&#x20;Shell&#x20;&#40;SSH&#41;&#x20;1.&#x20;Download&#x20;and&#x20;install&#x20;HP-UX&#x20;Secure&#x20;Shell&#x20;if&#x20;not&#x20;already&#x20;installed&#x20;on&#x20;the&#x20;system.&#x20;2.&#x20;Perform&#x20;the&#x20;following&#x20;post-installation&#x20;actions&#x20;to&#x20;secure&#x20;the&#x20;SSH&#x20;service:&#x20;a.&#x20;Change&#x20;to&#x20;the&#x20;/opt/ssh/etc&#x20;directory&#x20;b.&#x20;Open&#x20;sshd_config&#x20;c.&#x20;Set&#x20;the&#x20;Protocol&#x20;token&#x20;to&#x20;2.&#x20;If&#x20;it&#x20;is&#x20;absent,&#x20;add&#x20;and&#x20;set&#x20;it.&#x20;d.&#x20;Set&#x20;the&#x20;X11Forwarding&#x20;token&#x20;to&#x20;yes.&#x20;If&#x20;it&#x20;is&#x20;absent,&#x20;add&#x20;and&#x20;set&#x20;it.&#x20;e.&#x20;Set&#x20;the&#x20;IgnoreRhosts&#x20;token&#x20;to&#x20;yes.&#x20;If&#x20;it&#x20;is&#x20;absent,&#x20;add&#x20;and&#x20;set&#x20;it.&#x20;f.&#x20;Set&#x20;the&#x20;RhostsAuthentication&#x20;token&#x20;to&#x20;no.&#x20;If&#x20;it&#x20;is&#x20;absent,&#x20;add&#x20;and&#x20;set&#x20;it.&#x20;g.&#x20;Set&#x20;the&#x20;RhostsRSAAuthentication&#x20;token&#x20;to&#x20;no.&#x20;If&#x20;it&#x20;is&#x20;absent,&#x20;add&#x20;and&#x20;set&#x20;it.&#x20;h.&#x20;Set&#x20;the&#x20;PermitRootLogin&#x20;token&#x20;to&#x20;no.&#x20;If&#x20;it&#x20;is&#x20;absent,&#x20;add&#x20;and&#x20;set&#x20;it.&#x20;i.&#x20;Set&#x20;the&#x20;PermitEmptyPasswords&#x20;token&#x20;to&#x20;no.&#x20;If&#x20;it&#x20;is&#x20;absent,&#x20;add&#x20;and&#x20;set&#x20;it.&#x20;j.&#x20;Set&#x20;the&#x20;Banner&#x20;token&#x20;to&#x20;/etc/issue.&#x20;If&#x20;it&#x20;is&#x20;absent,&#x20;add&#x20;and&#x20;set&#x20;it.&#x20;k.&#x20;Set&#x20;root&#x20;as&#x20;the&#x20;owner&#x20;of&#x20;sshd_config&#x20;and&#x20;ssh_config.&#x20;l.&#x20;Set&#x20;sys&#x20;as&#x20;the&#x20;group&#x20;owner&#x20;of&#x20;sshd_config&#x20;and&#x20;ssh_config.&#x20;m.&#x20;Restrict&#x20;write&#x20;access&#x20;to&#x20;sshd_config&#x20;and&#x20;ssh_config&#x20;to&#x20;the&#x20;file&#x20;owner.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;13&#x20;|&#x20;P&#x20;a&#x20;g&#x20;e&#x20;cd&#x20;/opt/ssh/etc&#x20;cp&#x20;-p&#x20;sshd_config&#x20;sshd_config.tmp&#x20;awk&#x20;&#039;&#x20;/^Protocol/&#x20;/^IgnoreRhosts/&#x20;/^RhostsAuthentication/&#x20;/^RhostsRSAAuthentication/&#x20;{&#x20;$2&#x20;=&quot;no&quot;&#x20;};&#x20;/&#40;^#|^&#41;PermitRootLogin/&#x20;&#x20;&#x20;&#x20;{&#x20;$1&#x20;=&#x20;&quot;PermitRootLogin&quot;;&#x20;$2&#x20;=&#x20;&quot;no&quot;&#x20;};&#x20;/^PermitEmptyPasswords/&#x20;&#x20;&#x20;&#x20;{&#x20;$2&#x20;=&#x20;&quot;no&quot;&#x20;};&#x20;/^#Banner/&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;&#x20;{&#x20;$1&#x20;=&#x20;&quot;Banner&quot;;&#x20;$2&#x20;=&#x20;&quot;/etc/issue&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;sshd_config.tmp&#x20;&gt;&#x20;sshd_config&#x20;{&#x20;$2&#x20;=&quot;2&quot;};&#x20;{&#x20;$2&#x20;=&#x20;&quot;yes&quot;&#x20;};&#x20;{&#x20;$2&#x20;=&#x20;&quot;no&quot;&#x20;};&#x20;rm&#x20;-f&#x20;sshd_config.tmp&#x20;chown&#x20;root:sys&#x20;ssh_config&#x20;sshd_config&#x20;chmod&#x20;go-w&#x20;ssh_config&#x20;sshd_config','[{\"cis\": [\"1.1.2\"]}, {\"cis_level\": [\"1\"]}]'),(30002,'Use&#x20;Bastille&#x20;to&#x20;report&#x20;security&#x20;configuration&#x20;state.','Bastille&#x20;is&#x20;a&#x20;security&#x20;hardening,&#x20;lockdown&#x20;tool&#x20;supplied&#x20;with&#x20;HP-UX&#x20;to&#x20;assist&#x20;administrators&#x20;in&#x20;securing&#x20;their&#x20;systems.&#x20;Included&#x20;is&#x20;an&#x20;assessment&#x20;function&#x20;that&#x20;covers&#x20;a&#x20;wide&#x20;range&#x20;of&#x20;lockdown&#x20;items&#x20;including&#x20;most&#x20;all&#x20;items&#x20;in&#x20;this&#x20;Benchmark.&#x20;Bastille&#x20;can&#x20;serve&#x20;as&#x20;a&#x20;reporting&#x20;and&#x20;audit&#x20;tool.&#x20;Appendix&#x20;D&#x20;provides&#x20;a&#x20;mapping&#x20;of&#x20;Benchmark&#x20;items&#x20;to&#x20;related&#x20;Bastille&#x20;configuration&#x20;items.','An&#x20;automated,&#x20;tested,&#x20;and&#x20;vendor&#x20;supported&#x20;reporting&#x20;tool&#x20;such&#x20;as&#x20;Bastille&#x20;is&#x20;more&#x20;efficient&#x20;and&#x20;less&#x20;error-prone&#x20;than&#x20;most&#x20;manual&#x20;or&#x20;custom&#x20;scripted&#x20;methods.','','Run&#x20;Bastille&#x20;to&#x20;create&#x20;an&#x20;assessment&#x20;report&#x20;as&#x20;shown:&#x20;/opt/sec_mgmt/bastille/bin/bastille&#x20;--assessnobrowser','[{\"cis\": [\"1.1.3\"]}]'),(30003,'Disable&#x20;Standard&#x20;Services.','The&#x20;stock&#x20;/etc/inetd.conf&#x20;file&#x20;shipped&#x20;with&#x20;HP-UX&#x20;contains&#x20;many&#x20;services&#x20;which&#x20;are&#x20;rarely&#x20;used,&#x20;or&#x20;which&#x20;have&#x20;more&#x20;secure&#x20;alternatives.&#x20;Indeed,&#x20;after&#x20;enabling&#x20;SSH&#x20;&#40;see&#x20;item&#x20;1.1.2&#41;&#x20;it&#x20;may&#x20;be&#x20;possible&#x20;to&#x20;completely&#x20;do&#x20;away&#x20;with&#x20;all&#x20;inetd-based&#x20;services,&#x20;since&#x20;SSH&#x20;provides&#x20;both&#x20;a&#x20;secure&#x20;login&#x20;mechanism&#x20;and&#x20;a&#x20;means&#x20;of&#x20;transferring&#x20;files&#x20;to&#x20;and&#x20;from&#x20;the&#x20;system.&#x20;The&#x20;steps&#x20;articulated&#x20;in&#x20;the&#x20;Remediation&#x20;section&#x20;will&#x20;disable&#x20;all&#x20;services&#x20;normally&#x20;enabled&#x20;in&#x20;the&#x20;HP-UX&#x20;inetd.conf&#x20;file.&#x20;The&#x20;rest&#x20;of&#x20;the&#x20;actions&#x20;in&#x20;this&#x20;section&#x20;give&#x20;the&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;re-enabling&#x20;certain&#x20;services&mdash;in&#x20;particular,&#x20;the&#x20;services&#x20;that&#x20;are&#x20;disabled&#x20;in&#x20;the&#x20;last&#x20;two&#x20;loops&#x20;in&#x20;the&#x20;Action&#x20;section&#x20;below.','The&#x20;stock&#x20;/etc/inetd.conf&#x20;file&#x20;shipped&#x20;with&#x20;HP-UX&#x20;contains&#x20;services&#x20;that&#x20;are&#x20;rarely&#x20;used&#x20;or&#x20;have&#x20;more&#x20;secure&#x20;alternatives.&#x20;Removing&#x20;these&#x20;from&#x20;inetd&#x20;will&#x20;avoid&#x20;exposure&#x20;to&#x20;possible&#x20;security&#x20;vulnerability&#x20;in&#x20;those&#x20;services.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;standard&#x20;inetd-based&#x20;services:&#x20;1.&#x20;Change&#x20;to&#x20;the&#x20;/etc&#x20;directory&#x20;2.&#x20;Open&#x20;inetd.conf&#x20;3.&#x20;Disable&#x20;the&#x20;following&#x20;services&#x20;by&#x20;adding&#x20;a&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;to&#x20;the&#x20;beginning&#x20;of&#x20;its&#x20;definition:&#x20;a.&#x20;echo&#x20;b.&#x20;discard&#x20;c.&#x20;daytime&#x20;d.&#x20;chargen&#x20;e.&#x20;dtspc&#x20;f.&#x20;exec&#x20;g.&#x20;ntalk&#x20;h.&#x20;finger&#x20;i.&#x20;uucp&#x20;j.&#x20;ident&#x20;k.&#x20;auth&#x20;l.&#x20;instl_boots&#x20;m.&#x20;registrar&#x20;n.&#x20;recserv&#x20;o.&#x20;rpc.rstatd&#x20;p.&#x20;rpc.rusersd&#x20;q.&#x20;rpc.rwalld&#x20;r.&#x20;rpc.sprayd&#x20;s.&#x20;rpc.cmsd&#x20;t.&#x20;kcms_server&#x20;u.&#x20;printer&#x20;v.&#x20;shell&#x20;w.&#x20;login&#x20;h.&#x20;finger&#x20;x.&#x20;telnet&#x20;y.&#x20;ftp&#x20;z.&#x20;tftp&#x20;aa.&#x20;bootps&#x20;bb.&#x20;kshell&#x20;cc.&#x20;klogin&#x20;dd.&#x20;rpc.rquotad&#x20;ee.&#x20;rpc.ttdbserver&#x20;4.&#x20;Save&#x20;inetd.conf.&#x20;5.&#x20;Set&#x20;root&#x20;as&#x20;the&#x20;owner&#x20;of&#x20;inetd.conf.&#x20;6.&#x20;Set&#x20;sys&#x20;as&#x20;the&#x20;group&#x20;owner&#x20;of&#x20;inetd.conf.&#x20;7.&#x20;Restrict&#x20;write&#x20;access&#x20;to&#x20;inetd.conf&#x20;to&#x20;the&#x20;file&#x20;owner.&#x20;8.&#x20;Remove&#x20;the&#x20;executable&#x20;and&#x20;sticky&#x20;bit&#x20;from&#x20;inetd.conf.&#x20;9.&#x20;Invoke&#x20;inetd&#x20;to&#x20;reread&#x20;it&#039;s&#x20;config&#x20;file:&#x20;inetd&#x20;-c&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;cd&#x20;/etc&#x20;for&#x20;svc&#x20;in&#x20;echo&#x20;discard&#x20;daytime&#x20;chargen&#x20;dtspc&#x20;&#x20;exec&#x20;ntalk&#x20;finger&#x20;uucp&#x20;ident&#x20;auth&#x20;&#x20;instl_boots&#x20;registrar&#x20;recserv;&#x20;do&#x20;awk&#x20;&quot;&#40;$1&#x20;==&#x20;&quot;$svc&quot;&#41;&#x20;{&#x20;$1&#x20;=&#x20;&quot;#&quot;&#x20;$1&#x20;};&#x20;{print}&quot;&#x20;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;done&#x20;for&#x20;svc&#x20;in&#x20;rpc.rstatd&#x20;rpc.rusersd&#x20;rpc.rwalld&#x20;&#x20;rpc.sprayd&#x20;rpc.cmsd&#x20;kcms_server;&#x20;do&#x20;awk&#x20;&quot;/&#92;/$svc/&#x20;{&#x20;$1&#x20;=&#x20;&quot;#&quot;&#x20;$1&#x20;};&#x20;{&#x20;print&#x20;}&quot;&#x20;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;done&#x20;for&#x20;svc&#x20;in&#x20;printer&#x20;shell&#x20;login&#x20;telnet&#x20;ftp&#x20;tftp&#x20;&#x20;bootps&#x20;kshell&#x20;klogin;&#x20;do&#x20;awk&#x20;&quot;&#40;$1&#x20;==&#x20;&quot;$svc&quot;&#41;&#x20;{&#x20;$1&#x20;=&#x20;&quot;#&quot;&#x20;$1&#x20;};&#x20;{print}&quot;&#x20;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;done&#x20;for&#x20;svc&#x20;in&#x20;rpc.rquotad&#x20;rpc.ttdbserver;&#x20;do&#x20;awk&#x20;&quot;/^$svc&#92;//&#x20;{&#x20;$1&#x20;=&#x20;&quot;#&quot;&#x20;$1&#x20;};&#x20;{&#x20;print&#x20;}&quot;&#x20;&#x20;/etc/inetd.conf&#x20;&gt;&#x20;/etc/inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;done&#x20;chown&#x20;root:sys&#x20;inetd.conf&#x20;chmod&#x20;go-w,a-xs&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf.new&#x20;inetd&#x20;-c','[{\"cis\": [\"1.2.1\"]}, {\"cis_level\": [\"1\"]}]'),(30004,'Only&#x20;enable&#x20;telnet&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;telnet.&#x20;Telnet&#x20;uses&#x20;an&#x20;unencrypted&#x20;network&#x20;protocol,&#x20;which&#x20;means&#x20;data&#x20;from&#x20;the&#x20;login&#x20;session&#x20;&#40;such&#x20;as&#x20;passwords&#x20;and&#x20;all&#x20;other&#x20;data&#x20;transmitted&#x20;during&#x20;the&#x20;session&#41;&#x20;can&#x20;be&#x20;stolen&#x20;by&#x20;eavesdroppers&#x20;on&#x20;the&#x20;network,&#x20;and&#x20;also&#x20;that&#x20;the&#x20;session&#x20;can&#x20;be&#x20;hijacked&#x20;by&#x20;outsiders&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;remote&#x20;system.&#x20;HP-UX&#x20;Secure&#x20;Shell&#x20;&#40;OpenSSH&#41;&#x20;provides&#x20;an&#x20;encrypted&#x20;alternative&#x20;to&#x20;telnet&#x20;&#40;and&#x20;other&#x20;utilities&#41;&#x20;and&#x20;should&#x20;be&#x20;used&#x20;instead.','There&#x20;is&#x20;a&#x20;mission-critical&#x20;reason&#x20;that&#x20;requires&#x20;users&#x20;to&#x20;access&#x20;the&#x20;system&#x20;via&#x20;telnet&#x20;instead&#x20;of&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;protocol.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;telnet:&#x20;1.&#x20;Open&#x20;/etc/inetd.conf.&#x20;2.&#x20;Delete&#x20;the&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;from&#x20;the&#x20;telnet&#x20;service&#x20;definition.&#x20;3.&#x20;Add&#x20;-b&#x20;/etc/issue&#x20;to&#x20;the&#x20;end&#x20;of&#x20;the&#x20;telnet&#x20;service&#x20;definition.&#x20;This&#x20;will&#x20;cause&#x20;telnet&#x20;to&#x20;display&#x20;the&#x20;contents&#x20;of&#x20;/etc/issue&#x20;to&#x20;users&#x20;attempting&#x20;to&#x20;access&#x20;the&#x20;system&#x20;via&#x20;telnet.&#x20;4.&#x20;Save&#x20;/etc/inetd.conf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;awk&#x20;&#039;/^#telnet/&#x20;{&#x20;$1&#x20;=&#x20;&quot;telnet&quot;&#x20;print&#x20;$0&#x20;&quot;&#x20;-b&#x20;/etc/issue&quot;;&#x20;next}&#x20;{&#x20;print&#x20;}&#x20;&#039;&#x20;inetd.conf&#x20;&gt;&#x20;/etc/inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf.new','[{\"cis\": [\"1.2.2\"]}]'),(30005,'Only&#x20;enable&#x20;FTP&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;ftp.&#x20;Like&#x20;telnet,&#x20;the&#x20;FTP&#x20;protocol&#x20;is&#x20;unencrypted,&#x20;which&#x20;means&#x20;passwords&#x20;and&#x20;other&#x20;data&#x20;transmitted&#x20;during&#x20;the&#x20;session&#x20;can&#x20;be&#x20;captured&#x20;by&#x20;sniffing&#x20;the&#x20;network,&#x20;and&#x20;that&#x20;the&#x20;FTP&#x20;session&#x20;itself&#x20;can&#x20;be&#x20;hijacked&#x20;by&#x20;an&#x20;external&#x20;attacker.&#x20;SSH&#x20;provides&#x20;two&#x20;alternative,&#x20;encrypted&#x20;file&#x20;transfer&#x20;mechanisms,&#x20;scp&#x20;and&#x20;sftp,&#x20;which&#x20;should&#x20;be&#x20;used&#x20;instead&#x20;of&#x20;FTP.&#x20;Even&#x20;if&#x20;FTP&#x20;is&#x20;required&#x20;because&#x20;the&#x20;local&#x20;system&#x20;is&#x20;an&#x20;anonymous&#x20;FTP&#x20;server,&#x20;consider&#x20;requiring&#x20;authenticated&#x20;users&#x20;on&#x20;the&#x20;system&#x20;to&#x20;transfer&#x20;files&#x20;via&#x20;SSH-based&#x20;protocols.&#x20;For&#x20;further&#x20;information&#x20;on&#x20;restricting&#x20;FTP&#x20;access&#x20;to&#x20;the&#x20;system,&#x20;see&#x20;item&#x20;1.6.2&#x20;below.&#x20;Sites&#x20;may&#x20;also&#x20;consider&#x20;augmenting&#x20;the&#x20;&#039;ftpd&#x20;-l&#039;&#x20;below&#x20;with&#x20;&#039;-v&#039;&#x20;&#40;10.x&#x20;and&#x20;11.x&#41;&#x20;or&#x20;&#039;-L&#039;&#x20;&#40;11.x&#x20;only&#41;&#x20;for&#x20;additional&#x20;logging&#x20;of&#x20;FTP&#x20;transactions,&#x20;or&#x20;with&#x20;&#039;-a&#039;&#x20;&#40;11.x&#x20;only&#41;&#x20;for&#x20;fine&#x20;grain&#x20;FTP&#x20;access&#x20;control&#x20;through&#x20;the&#x20;use&#x20;of&#x20;a&#x20;configuration&#x20;file&#x20;-&#x20;see&#x20;the&#x20;ftpd&#40;1M&#41;&#x20;man&#x20;page&#x20;on&#x20;your&#x20;systems&#x20;for&#x20;details.','This&#x20;machine&#x20;serves&#x20;as&#x20;an&#x20;&#40;anonymous&#41;&#x20;FTP&#x20;server&#x20;or&#x20;other&#x20;mission-critical&#x20;role&#x20;where&#x20;data&#x20;must&#x20;be&#x20;transferred&#x20;via&#x20;FTP&#x20;instead&#x20;of&#x20;the&#x20;more&#x20;secure&#x20;alternatives.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;FTP:&#x20;1.&#x20;Open&#x20;/etc/inetd.conf.&#x20;2.&#x20;Delete&#x20;the&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;from&#x20;the&#x20;ftp&#x20;service&#x20;definition.&#x20;3.&#x20;Save&#x20;/etc/inetd.conf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;awk&#x20;&#039;&#x20;/^#ftp/&#x20;{&#x20;$1&#x20;=&#x20;&quot;ftp&quot;;&#x20;print&#x20;$0;&#x20;next}&#x20;{&#x20;print&#x20;}&#x20;&#039;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf.new','[{\"cis\": [\"1.2.3\"]}]'),(30006,'Only&#x20;enable&#x20;rlogin/remsh/rcp&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;rlogin/remsh/rcp.&#x20;SSH&#x20;was&#x20;designed&#x20;to&#x20;be&#x20;a&#x20;drop-in&#x20;replacement&#x20;for&#x20;these&#x20;protocols.&#x20;Given&#x20;the&#x20;wide&#x20;availability&#x20;of&#x20;free&#x20;SSH&#x20;implementations,&#x20;there&#x20;are&#x20;few&#x20;cases&#x20;where&#x20;these&#x20;tools&#x20;cannot&#x20;be&#x20;replaced&#x20;with&#x20;SSH&#x20;&#40;again,&#x20;see&#x20;item&#x20;1.2.1&#x20;-&#x20;Install&#x20;SSH&#41;.','There&#x20;is&#x20;a&#x20;mission-critical&#x20;reason&#x20;to&#x20;use&#x20;rlogin/remsh/rcp&#x20;instead&#x20;of&#x20;the&#x20;more&#x20;secure&#x20;ssh/scp.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;rlogin/remsh/rcp:&#x20;1.&#x20;Open&#x20;/etc/inetd.conf.&#x20;2.&#x20;Delete&#x20;the&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;from&#x20;the&#x20;shell&#x20;and&#x20;login&#x20;service&#x20;definitions.&#x20;3.&#x20;Save&#x20;/etc/inetd.conf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;sed&#x20;&#039;s/^#shell/shell/;&#x20;s/^#login/login/&#039;&#x20;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf.new','[{\"cis\": [\"1.2.4\"]}]'),(30007,'Only&#x20;enable&#x20;TFTP&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;TFTP.&#x20;TFTP&#x20;is&#x20;typically&#x20;used&#x20;for&#x20;network&#x20;booting&#x20;of&#x20;diskless&#x20;workstations,&#x20;X-terminals,&#x20;and&#x20;other&#x20;similar&#x20;devices.&#x20;TFTP&#x20;is&#x20;also&#x20;used&#x20;during&#x20;network&#x20;installs&#x20;of&#x20;systems&#x20;via&#x20;the&#x20;HP-UX&#x20;Ignite&#x20;facility.&#x20;Routers&#x20;and&#x20;other&#x20;network&#x20;devices&#x20;may&#x20;copy&#x20;configuration&#x20;data&#x20;to&#x20;remote&#x20;systems&#x20;via&#x20;TFTP&#x20;for&#x20;backup.','This&#x20;system&#x20;serves&#x20;as&#x20;a&#x20;boot&#x20;server&#x20;or&#x20;has&#x20;other&#x20;mission-critical&#x20;roles&#x20;where&#x20;data&#x20;must&#x20;be&#x20;transferred&#x20;to&#x20;and&#x20;from&#x20;this&#x20;system&#x20;via&#x20;TFTP.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;TFTP:&#x20;1.&#x20;Open&#x20;/etc/inetd.conf.&#x20;2.&#x20;Delete&#x20;the&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;from&#x20;the&#x20;tftp&#x20;service&#x20;definition.&#x20;3.&#x20;Save&#x20;/etc/inetd.conf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;sed&#x20;&#039;s/^#tftp/tftp/&#039;&#x20;inetd.conf&#x20;&gt;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf.new&#x20;mkdir&#x20;-p&#x20;/var/opt/ignite','[{\"cis\": [\"1.2.5\"]}]'),(30008,'Only&#x20;enable&#x20;printer&#x20;service&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;rlpdaemon&#x20;based&#x20;printer&#x20;service.&#x20;rlpdaemon&#x20;provides&#x20;a&#x20;BSD-compatible&#x20;print&#x20;server&#x20;interface.&#x20;Even&#x20;machines&#x20;that&#x20;are&#x20;print&#x20;servers&#x20;may&#x20;wish&#x20;to&#x20;leave&#x20;this&#x20;service&#x20;disabled&#x20;if&#x20;they&#x20;do&#x20;not&#x20;need&#x20;to&#x20;support&#x20;BSD-style&#x20;printing.','This&#x20;machine&#x20;a&#x20;print&#x20;server&#x20;for&#x20;your&#x20;network.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;the&#x20;rlpdaemon&#x20;based&#x20;printer&#x20;service:&#x20;1.&#x20;Open&#x20;/etc/inetd.conf.&#x20;2.&#x20;Delete&#x20;the&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;from&#x20;the&#x20;printer&#x20;definition.&#x20;3.&#x20;Save&#x20;/etc/inetd.conf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;&#x20;sed&#x20;&#039;s/^#printer/printer/&#039;&#x20;inetd.conf&#x20;&gt;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf.new','[{\"cis\": [\"1.2.6\"]}]'),(30009,'Only&#x20;enable&#x20;rquotad&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;rquotad.&#x20;rquotad&#x20;allows&#x20;NFS&#x20;clients&#x20;to&#x20;enforce&#x20;disk&#x20;quotas&#x20;on&#x20;file&#x20;systems&#x20;that&#x20;are&#x20;mounted&#x20;from&#x20;the&#x20;local&#x20;system.&#x20;If&#x20;your&#x20;site&#x20;does&#x20;not&#x20;use&#x20;disk&#x20;quotas,&#x20;then&#x20;you&#x20;may&#x20;leave&#x20;the&#x20;rquotad&#x20;service&#x20;disabled.','This&#x20;system&#x20;an&#x20;NFS&#x20;file&#x20;server&#x20;that&#x20;requires&#x20;the&#x20;use&#x20;of&#x20;disk&#x20;quotas.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;rquotad:&#x20;1.&#x20;Open&#x20;/etc/inetd.conf.&#x20;2.&#x20;Delete&#x20;the&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;from&#x20;the&#x20;rquotad&#x20;definition.&#x20;3.&#x20;Save&#x20;/etc/inetd.conf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;awk&#x20;&#039;&#x20;$6&#x20;~&#x20;//rpc.rquotad$/&#x20;{&#x20;sub&#40;/^#/,&#x20;&quot;&quot;&#41;&#x20;}&#x20;{&#x20;print&#x20;}&#x20;&#039;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf.new','[{\"cis\": [\"1.2.7\"]}]'),(30010,'Only&#x20;enable&#x20;CDE-related&#x20;daemons&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;CDE-related&#x20;daemons.&#x20;The&#x20;rpc.ttdbserver&#x20;service&#x20;supports&#x20;HP&#039;s&#x20;CDE&#x20;windowing&#x20;environment.&#x20;This&#x20;service&#x20;has&#x20;a&#x20;history&#x20;of&#x20;security&#x20;problems.&#x20;Not&#x20;only&#x20;is&#x20;it&#x20;vital&#x20;to&#x20;keep&#x20;up&#x20;to&#x20;date&#x20;on&#x20;vendor&#x20;patches,&#x20;but&#x20;also&#x20;never&#x20;enable&#x20;this&#x20;service&#x20;on&#x20;any&#x20;system&#x20;which&#x20;is&#x20;not&#x20;well&#x20;protected&#x20;by&#x20;a&#x20;complete&#x20;network&#x20;security&#x20;infrastructure&#x20;&#40;including&#x20;network&#x20;and&#x20;host-based&#x20;firewalls,&#x20;packet&#x20;filters,&#x20;and&#x20;intrusion&#x20;detection&#x20;infrastructure&#41;.&#x20;Note&#x20;that&#x20;since&#x20;this&#x20;service&#x20;uses&#x20;ONC&#x20;RPC&#x20;mechanisms,&#x20;it&#x20;is&#x20;important&#x20;that&#x20;the&#x20;system&#039;s&#x20;RPC&#x20;portmapper&#x20;&#40;rpcbind&#41;&#x20;also&#x20;be&#x20;enabled&#x20;when&#x20;this&#x20;service&#x20;is&#x20;turned&#x20;on.','There&#x20;a&#x20;mission-critical&#x20;reason&#x20;to&#x20;run&#x20;a&#x20;CDE&#x20;GUI&#x20;on&#x20;this&#x20;system.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;CDE-related&#x20;daemons:&#x20;1.&#x20;Open&#x20;/etc/inetd.conf.&#x20;2.&#x20;Delete&#x20;the&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;from&#x20;the&#x20;rpc.ttdbserver&#x20;3.&#x20;Save&#x20;/etc/inetd.conf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;awk&#x20;&#039;&#x20;$6&#x20;~&#x20;//rpc.ttdbserver$/&#x20;{&#x20;sub&#40;/^#/,&#x20;&quot;&quot;&#41;&#x20;}&#x20;{&#x20;print&#x20;}&#x20;&#039;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf.new','[{\"cis\": [\"1.2.8\"]}]'),(30011,'Only&#x20;enable&#x20;Kerberos-related&#x20;daemons&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;Kerberos-related&#x20;daemons.&#x20;Kerberized&#x20;rlogin/remsh&#x20;offers&#x20;a&#x20;higher&#x20;degree&#x20;of&#x20;security&#x20;than&#x20;traditional&#x20;rlogin,&#x20;remsh,&#x20;or&#x20;telnet&#x20;by&#x20;eliminating&#x20;many&#x20;clear-text&#x20;password&#x20;exchanges&#x20;from&#x20;the&#x20;network.&#x20;However&#x20;it&#x20;is&#x20;still&#x20;not&#x20;as&#x20;secure&#x20;as&#x20;SSH,&#x20;which&#x20;encrypts&#x20;all&#x20;traffic.&#x20;Given&#x20;the&#x20;wide&#x20;availability&#x20;of&#x20;free&#x20;SSH&#x20;implementations,&#x20;there&#x20;are&#x20;few&#x20;cases&#x20;where&#x20;these&#x20;tools&#x20;cannot&#x20;be&#x20;replaced&#x20;with&#x20;SSH.','The&#x20;Kerberos&#x20;security&#x20;system&#x20;is&#x20;in&#x20;use&#x20;at&#x20;this&#x20;site&#x20;and&#x20;there&#x20;is&#x20;a&#x20;mission-critical&#x20;reason&#x20;that&#x20;requires&#x20;users&#x20;to&#x20;access&#x20;this&#x20;system&#x20;via&#x20;Kerberized&#x20;rlogin/remsh,&#x20;rather&#x20;than&#x20;the&#x20;more&#x20;secure&#x20;SSH&#x20;protocol.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;Kerberos-related&#x20;daemons:&#x20;1.&#x20;Open&#x20;/etc/inetd.conf.&#x20;2.&#x20;Delete&#x20;the&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;from&#x20;the&#x20;klogin&#x20;definition.&#x20;3.&#x20;Save&#x20;/etc/inetd.conf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;sed&#x20;&#039;s/^#kshell/kshell/;&#x20;s/^#klogin/klogin/&#039;&#x20;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf.new','[{\"cis\": [\"1.2.9\"]}]'),(30012,'Only&#x20;enable&#x20;BOOTP/DHCP&#x20;daemon&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;BOOTP/DHCP&#x20;services.&#x20;BOOTP/DHCP&#x20;is&#x20;a&#x20;popular&#x20;protocol&#x20;for&#x20;dynamically&#x20;assigning&#x20;IP&#x20;addresses&#x20;and&#x20;other&#x20;network&#x20;information&#x20;to&#x20;systems&#x20;on&#x20;the&#x20;network&#x20;&#40;rather&#x20;than&#x20;having&#x20;administrators&#x20;manually&#x20;manage&#x20;this&#x20;information&#x20;on&#x20;each&#x20;host&#41;.&#x20;However,&#x20;if&#x20;this&#x20;system&#x20;is&#x20;not&#x20;a&#x20;BOOTP/DHCP&#x20;server&#x20;for&#x20;the&#x20;network,&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;be&#x20;running&#x20;this&#x20;service.','This&#x20;server&#x20;a&#x20;BOOTP/DHCP&#x20;server&#x20;for&#x20;the&#x20;network.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;BOOTP/DHCP&#x20;services:&#x20;1.&#x20;Open&#x20;/etc/inetd.conf.&#x20;2.&#x20;Delete&#x20;the&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;from&#x20;the&#x20;bootps&#x20;definition.&#x20;3.&#x20;Save&#x20;/etc/inetd.conf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;sed&#x20;&#039;s/^#bootps/bootps/&#039;&#x20;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.new&#x20;cp&#x20;inetd.conf.new&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;/etc/inetd.conf','[{\"cis\": [\"1.2.10\"]}]'),(30013,'Disable&#x20;login:&#x20;prompts&#x20;on&#x20;serial&#x20;ports.','Disable&#x20;the&#x20;login:&#x20;prompt&#x20;on&#x20;the&#x20;system&#x20;serial&#x20;devices&#x20;to&#x20;make&#x20;it&#x20;more&#x20;difficult&#x20;for&#x20;unauthorized&#x20;users&#x20;to&#x20;attach&#x20;modems,&#x20;terminals,&#x20;and&#x20;other&#x20;remote&#x20;access&#x20;devices&#x20;to&#x20;these&#x20;ports.','If&#x20;there&#x20;is&#x20;not&#x20;a&#x20;mission-critical&#x20;need&#x20;to&#x20;provide&#x20;login&#x20;capability&#x20;from&#x20;any&#x20;serial&#x20;ports&#x20;&#40;such&#x20;as&#x20;for&#x20;a&#x20;modem&#41;&#x20;then&#x20;disabling&#x20;the&#x20;login:&#x20;prompt&#x20;on&#x20;the&#x20;system&#x20;serial&#x20;devices&#x20;reduces&#x20;the&#x20;risk&#x20;of&#x20;unauthorized&#x20;access&#x20;via&#x20;these&#x20;ports.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;the&#x20;login:&#x20;prompt&#x20;on&#x20;the&#x20;system&#x20;serial&#x20;devices:&#x20;1.&#x20;Open&#x20;/etc/inittab.&#x20;2.&#x20;Disable&#x20;each&#x20;getty&#x20;instance&#x20;associated&#x20;with&#x20;a&#x20;tty&#x20;device&#x20;by&#x20;adding&#x20;a&#x20;comment&#x20;character&#x20;&#40;#&#41;&#x20;to&#x20;the&#x20;beginning&#x20;of&#x20;the&#x20;line.&#x20;3.&#x20;Save&#x20;/etc/inittab.*&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;cp&#x20;-p&#x20;/etc/inittab&#x20;/etc/inittab.tmp&#x20;sed&#x20;&#039;s/^[^#].*getty.*tty.*$/#&amp;/&#039;&#x20;&#x20;/etc/inittab.tmp&#x20;&#x20;&gt;&#x20;/etc/inittab&#x20;rm&#x20;-f&#x20;/etc/inittab.tmp&#x20;-&#x20;Note&#x20;that&#x20;this&#x20;action&#x20;may&#x20;safely&#x20;be&#x20;performed&#x20;even&#x20;if&#x20;console&#x20;access&#x20;to&#x20;the&#x20;system&#x20;is&#x20;provided&#x20;via&#x20;the&#x20;serial&#x20;ports,&#x20;as&#x20;the&#x20;line&#x20;in&#x20;the&#x20;/etc/inittab&#x20;file&#x20;that&#x20;corresponds&#x20;to&#x20;the&#x20;console&#x20;does&#x20;not&#x20;match&#x20;the&#x20;supplied&#x20;pattern&#x20;&#40;i.e.,&#x20;it&#x20;doesn&#039;t&#x20;contain&#x20;the&#x20;string&#x20;&#039;tty&#039;&#41;.&#x20;-&#x20;Note&#x20;that&#x20;when&#x20;serial&#x20;port&#x20;connectivity&#x20;is&#x20;needed,&#x20;/etc/dialups&#x20;and&#x20;/etc/d_passwd&#x20;can&#x20;be&#x20;set&#x20;to&#x20;require&#x20;an&#x20;extra&#x20;password&#x20;for&#x20;serial&#x20;port&#x20;access.&#x20;See&#x20;the&#x20;dialups&#40;4&#41;&#x20;manual&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;-&#x20;Note&#x20;that&#x20;by&#x20;default&#x20;in&#x20;HP-UX&#x20;11i,&#x20;only&#x20;the&#x20;console&#x20;has&#x20;a&#x20;getty&#x20;instance&#x20;running&#x20;on&#x20;it.','[{\"cis\": [\"1.3.1\"]}, {\"cis_level\": [\"1\"]}]'),(30014,'Disable&#x20;NIS/NIS+&#x20;related&#x20;processes,&#x20;if&#x20;possible.','Disable&#x20;NIS/NIS+&#x20;related&#x20;processes.&#x20;Network&#x20;Information&#x20;Service&#x20;&#40;NIS&#41;&#x20;is&#x20;a&#x20;distributed&#x20;database&#x20;providing&#x20;centralized&#x20;control&#x20;of&#x20;names,&#x20;addresses,&#x20;services,&#x20;and&#x20;key&#x20;configuration&#x20;files&#x20;throughout&#x20;a&#x20;network&#x20;of&#x20;servers&#x20;and&#x20;clients.&#x20;NIS&#x20;was&#x20;formerly&#x20;known&#x20;as&#x20;Yellow&#x20;Pages&#x20;&#40;YP&#41;.&#x20;NIS+&#x20;is&#x20;a&#x20;replacement&#x20;for&#x20;NIS&#x20;services,&#x20;and&#x20;is&#x20;more&#x20;scalable,&#x20;flexible,&#x20;and&#x20;secure.&#x20;It&#x20;adds&#x20;a&#x20;security&#x20;system&#x20;with&#x20;authentication&#x20;and&#x20;authorization&#x20;services&#x20;to&#x20;validate&#x20;users&#x20;on&#x20;the&#x20;network&#x20;and&#x20;to&#x20;determine&#x20;if&#x20;they&#x20;allowed&#x20;to&#x20;access&#x20;or&#x20;modify&#x20;the&#x20;information&#x20;requested.&#x20;However,&#x20;both&#x20;systems&#x20;have&#x20;known&#x20;security&#x20;vulnerabilities,&#x20;and&#x20;have&#x20;been&#x20;an&#x20;entry&#x20;point&#x20;for&#x20;security&#x20;attacks.','Eliminate&#x20;exposure&#x20;to&#x20;NIS/NIS+&#x20;vulnerabilities&#x20;by&#x20;not&#x20;running&#x20;related&#x20;daemons&#x20;on&#x20;hosts&#x20;that&#x20;are&#x20;not&#x20;NIS/NIS+&#x20;servers&#x20;or&#x20;clients.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;the&#x20;startup&#x20;of&#x20;NIS/NIS+&#x20;related&#x20;processes:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NIS_MASTER_SERVER=0&#x20;-p&#x20;NIS_SLAVE_SERVER=0&#x20;&#x20;-p&#x20;NIS_CLIENT=0&#x20;-p&#x20;NISPLUS_SERVER=0&#x20;&#x20;-p&#x20;NISPLUS_CLIENT=0&#x20;/etc/rc.config.d/namesvrs','[{\"cis\": [\"1.3.2\"]}, {\"cis_level\": [\"1\"]}]'),(30015,'Disable&#x20;printer&#x20;daemons,&#x20;if&#x20;possible.','Disable&#x20;printer&#x20;daemons.&#x20;The&#x20;Technical&#x20;Print&#x20;Service&#x20;&#40;TPS&#41;&#x20;is&#x20;a&#x20;printer&#x20;service&#x20;used&#x20;in&#x20;the&#x20;X-Windows&#x20;and/or&#x20;CDE&#x20;environment.&#x20;It&#x20;is&#x20;recommended&#x20;that&#x20;this&#x20;service&#x20;be&#x20;disabled&#x20;if&#x20;the&#x20;hosting&#x20;system&#x20;does&#x20;not&#x20;participate&#x20;in&#x20;print&#x20;services&#x20;The&#x20;administrator&#x20;may&#x20;wish&#x20;to&#x20;consider&#x20;converting&#x20;to&#x20;the&#x20;LPRng&#x20;print&#x20;system&#x20;&#40;see&#x20;http://www.lprng.org/&#41;&#x20;which&#x20;was&#x20;designed&#x20;with&#x20;security&#x20;in&#x20;mind&#x20;and&#x20;is&#x20;widely&#x20;portable&#x20;across&#x20;many&#x20;different&#x20;Unix&#x20;platforms.&#x20;Note,&#x20;however,&#x20;that&#x20;LPRng&#x20;is&#x20;not&#x20;supported&#x20;by&#x20;Hewlett-Packard.','Disabling&#x20;unused&#x20;services,&#x20;such&#x20;as&#x20;TPS,&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;and&#x20;local&#x20;attack&#x20;surfaces&#x20;of&#x20;the&#x20;hosting&#x20;system.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;printer&#x20;daemons:&#x20;1.&#x20;Set&#x20;the&#x20;LP&#x20;parameter&#x20;to&#x20;zero&#x20;in&#x20;the&#x20;lp&#x20;system&#x20;configuration&#x20;file&#x20;/etc/rc.config.d/lp&#x20;2.&#x20;Set&#x20;the&#x20;XPRINTSERVERS&#x20;parameter&#x20;to&#x20;an&#x20;empty&#x20;string&#x20;in&#x20;the&#x20;tps&#x20;system&#x20;configuration&#x20;file&#x20;/etc/rc.config.d/tps&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;&#x20;ch_rc&#x20;-a&#x20;-p&#x20;XPRINTSERVERS=&quot;&#039;&#039;&quot;&#x20;/etc/rc.config.d/tps&#x20;ch_rc&#x20;-a&#x20;-p&#x20;LP=0&#x20;/etc/rc.config.d/lp','[{\"cis\": [\"1.3.3\"]}, {\"cis_level\": [\"1\"]}]'),(30016,'Disable&#x20;the&#x20;CDE&#x20;GUI&#x20;login,&#x20;if&#x20;possible.','CDE&#x20;stands&#x20;for&#x20;&#039;Common&#x20;Desktop&#x20;Environment,&#039;&#x20;and&#x20;is&#x20;an&#x20;environment&#x20;for&#x20;logging&#x20;on&#x20;to&#x20;and&#x20;interacting&#x20;with&#x20;your&#x20;system&#x20;via&#x20;an&#x20;X-windows&#x20;type&#x20;GUI&#x20;interface&#x20;from&#x20;the&#x20;console.&#x20;Intended&#x20;for&#x20;use&#x20;with&#x20;workstation&#x20;or&#x20;desktop&#x20;systems,&#x20;this&#x20;service&#x20;is&#x20;not&#x20;commonly&#x20;used&#x20;with&#x20;the&#x20;server-class&#x20;systems&#x20;or&#x20;in&#x20;large&#x20;enterprise&#x20;environments.&#x20;The&#x20;X&#x20;Windows-based&#x20;CDE&#x20;GUI&#x20;services&#x20;were&#x20;developed&#x20;with&#x20;a&#x20;different&#x20;set&#x20;of&#x20;security&#x20;expecations&#x20;from&#x20;those&#x20;expected&#x20;in&#x20;many&#x20;enterprise&#x20;deployments,&#x20;and&#x20;have&#x20;had&#x20;a&#x20;history&#x20;of&#x20;security&#x20;issues.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;mission-critical&#x20;need&#x20;for&#x20;a&#x20;CDE&#x20;GUI&#x20;login&#x20;to&#x20;the&#x20;system,&#x20;this&#x20;service&#x20;should&#x20;not&#x20;be&#x20;run&#x20;to&#x20;further&#x20;reduce&#x20;opportunities&#x20;for&#x20;security&#x20;attacks.','The&#x20;X&#x20;Windows-based&#x20;CDE&#x20;GUI&#x20;on&#x20;HP-UX&#x20;systems&#x20;has&#x20;had&#x20;a&#x20;history&#x20;of&#x20;security&#x20;issues,&#x20;and&#x20;should&#x20;be&#x20;disabled&#x20;if&#x20;unused.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;the&#x20;GUI&#x20;login:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;DESKTOP=&quot;&quot;&#x20;/etc/rc.config.d/desktop','[{\"cis\": [\"1.3.4\"]}, {\"cis_level\": [\"1\"]}]'),(30017,'Disable&#x20;email&#x20;server,&#x20;if&#x20;possible.','Disable&#x20;the&#x20;sendmail&#x20;daemon&#x20;to&#x20;avoid&#x20;processing&#x20;incoming&#x20;email.&#x20;It&#x20;is&#x20;possible&#x20;to&#x20;run&#x20;a&#x20;Unix&#x20;system&#x20;with&#x20;the&#x20;Sendmail&#x20;daemon&#x20;disabled&#x20;and&#x20;still&#x20;allow&#x20;users&#x20;on&#x20;that&#x20;system&#x20;to&#x20;send&#x20;email&#x20;out&#x20;from&#x20;that&#x20;machine.&#x20;Running&#x20;Sendmail&#x20;in&#x20;&#039;daemon&#x20;mode&#039;&#x20;&#40;with&#x20;the&#x20;-bd&#x20;command-line&#x20;option&#41;&#x20;is&#x20;only&#x20;required&#x20;on&#x20;machines&#x20;that&#x20;act&#x20;as&#x20;mail&#x20;servers,&#x20;receiving&#x20;and&#x20;processing&#x20;email&#x20;from&#x20;other&#x20;hosts&#x20;on&#x20;the&#x20;network.&#x20;The&#x20;remediation&#x20;below&#x20;will&#x20;result&#x20;in&#x20;a&#x20;machine&#x20;that&#x20;can&#x20;send&#x20;email&#x20;but&#x20;not&#x20;receive&#x20;it.&#x20;-&#x20;Note&#x20;that&#x20;after&#x20;disabling&#x20;the&#x20;-bd&#x20;option&#x20;on&#x20;the&#x20;local&#x20;mail&#x20;server&#x20;on&#x20;systems&#x20;running&#x20;Sendmail&#x20;v8.12&#x20;or&#x20;later&#x20;&#40;8.13&#x20;is&#x20;currently&#x20;shipped&#x20;as&#x20;part&#x20;of&#x20;HP-UX&#x20;11iv3&#41;,&#x20;it&#x20;is&#x20;also&#x20;necessary&#x20;to&#x20;modify&#x20;the&#x20;/etc/mail/submit.cf&#x20;file.&#x20;Find&#x20;the&#x20;line&#x20;that&#x20;reads&#x20;&#039;D{MTAHost}localhost&#039;&#x20;and&#x20;change&#x20;localhost&#x20;to&#x20;the&#x20;name&#x20;of&#x20;some&#x20;other&#x20;local&#x20;mail&#x20;server&#x20;for&#x20;the&#x20;organization.&#x20;This&#x20;will&#x20;cause&#x20;email&#x20;generated&#x20;on&#x20;the&#x20;local&#x20;system&#x20;to&#x20;be&#x20;relayed&#x20;to&#x20;that&#x20;mail&#x20;server&#x20;for&#x20;further&#x20;processing&#x20;and&#x20;delivery.&#x20;-&#x20;Note&#x20;that&#x20;if&#x20;the&#x20;system&#x20;is&#x20;an&#x20;email&#x20;server,&#x20;the&#x20;administrator&#x20;is&#x20;encouraged&#x20;to&#x20;search&#x20;the&#x20;Web&#x20;for&#x20;additional&#x20;documentation&#x20;on&#x20;Sendmail&#x20;security&#x20;issues.','Avoid&#x20;potential&#x20;vulnerabilities&#x20;in&#x20;the&#x20;sendmail&#x20;server&#x20;if&#x20;incoming&#x20;email&#x20;service&#x20;is&#x20;not&#x20;used.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;the&#x20;sendmail&#x20;server:&#x20;1.&#x20;Set&#x20;the&#x20;SENDMAIL_SERVER&#x20;parameter&#x20;to&#x20;zero&#x20;in&#x20;the&#x20;mailservs&#x20;system&#x20;configuration&#x20;file.&#x20;2.&#x20;Setup&#x20;a&#x20;cron&#x20;job&#x20;to&#x20;run&#x20;sendmail&#x20;at&#x20;regular&#x20;intervals&#x20;&#40;e.g.&#x20;every&#x20;hour&#41;&#x20;in&#x20;order&#x20;to&#x20;process&#x20;queued,&#x20;outgoing&#x20;mail.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;SENDMAIL_SERVER=0&#x20;/etc/rc.config.d/mailservs&#x20;cd&#x20;/var/spool/cron/crontabs&#x20;crontab&#x20;-l&#x20;&gt;root.tmp&#x20;echo&#x20;&#039;0&#x20;*&#x20;*&#x20;*&#x20;*&#x20;/usr/lib/sendmail&#x20;-q&#039;&#x20;&gt;&gt;root.tmp&#x20;crontab&#x20;root.tmp&#x20;rm&#x20;-f&#x20;root.tmp','[{\"cis\": [\"1.3.5\"]}, {\"cis_level\": [\"1\"]}]'),(30018,'Disable&#x20;SNMP&#x20;and&#x20;OpenView&#x20;Agents,&#x20;if&#x20;remote&#x20;management&#x20;or&#x20;monitoring&#x20;are&#x20;not&#x20;needed.','Disable&#x20;SNMP&#x20;and&#x20;OpenView&#x20;agents&#x20;if&#x20;they&#x20;are&#x20;not&#x20;needed.&#x20;Note:&#x20;If&#x20;SNMP&#x20;is&#x20;used,&#x20;it&#x20;is&#x20;recommended&#x20;to&#x20;change&#x20;the&#x20;default&#x20;SNMP&#x20;community&#x20;string&#x20;by&#x20;modifying&#x20;the&#x20;get-community&#x20;and&#x20;set-community&#x20;parameters&#x20;in&#x20;the&#x20;SNMP&#x20;configuration&#x20;file&#x20;/etc/SnmpAgent.d/snmpd.conf.','If&#x20;SNMP&#x20;and&#x20;OpenView&#x20;agents&#x20;are&#x20;not&#x20;needed,&#x20;avoid&#x20;potential&#x20;security&#x20;vulnerabilities&#x20;in&#x20;these&#x20;programs&#x20;by&#x20;disabling&#x20;them.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;the&#x20;SNMP&#x20;and&#x20;OpenView&#x20;Agents:&#x20;cd&#x20;/sbin/rc2.d&#x20;mv&#x20;-f&#x20;S570SnmpFddi&#x20;.NOS570SnmpFddi&#x20;ch_rc&#x20;-a&#x20;-p&#x20;SNMP_HPUNIX_START=0&#x20;&#x20;/etc/rc.config.d/SnmpHpunix&#x20;ch_rc&#x20;-a&#x20;-p&#x20;SNMP_MASTER_START=0&#x20;&#x20;/etc/rc.config.d/SnmpMaster&#x20;ch_rc&#x20;-a&#x20;-p&#x20;SNMP_MIB2_START=0&#x20;&#x20;/etc/rc.config.d/SnmpMib2&#x20;ch_rc&#x20;-a&#x20;-p&#x20;SNMP_TRAPDEST_START=0&#x20;&#x20;/etc/rc.config.d/SnmpTrpDst&#x20;ch_rc&#x20;-a&#x20;-p&#x20;OSPFMIB=0&#x20;&#x20;/etc/rc.config.d/netdaemons&#x20;ch_rc&#x20;-a&#x20;-p&#x20;OPCAGT=0&#x20;&#x20;/etc/rc.config.d/opcagt','[{\"cis\": [\"1.3.6\"]}, {\"cis_level\": [\"1\"]}]'),(30019,'Disable&#x20;rarely&#x20;used&#x20;standard&#x20;boot&#x20;services.','Disable&#x20;other&#x20;standard&#x20;boot&#x20;services.&#x20;Setting&#x20;these&#x20;variables&#x20;in&#x20;the&#x20;/etc/rc.config.d&#x20;configuration&#x20;files&#x20;will&#x20;effectively&#x20;disable&#x20;a&#x20;wide&#x20;variety&#x20;of&#x20;infrequently&#x20;used&#x20;subsystems.&#x20;Variables&#x20;are&#x20;merely&#x20;set&#x20;&#40;rather&#x20;than&#x20;renaming&#x20;or&#x20;removing&#x20;startup&#x20;scripts&#41;&#x20;so&#x20;that&#x20;the&#x20;local&#x20;administrator&#x20;can&#x20;easily&#x20;&quot;restore&quot;&#x20;any&#x20;of&#x20;these&#x20;services&#x20;if&#x20;they&#x20;discover&#x20;a&#x20;mission-critical&#x20;need&#x20;to&#x20;have&#x20;it.&#x20;Additionally,&#x20;HP-UX&#x20;patches&#x20;tend&#x20;to&#x20;supply&#x20;fresh&#x20;copies&#x20;of&#x20;the&#x20;startup&#x20;scripts,&#x20;so&#x20;they&#x20;may&#x20;get&#x20;inadvertently&#x20;re-&#x20;enabled,&#x20;whereas&#x20;setting&#x20;configuration&#x20;variables&#x20;usually&#x20;survives&#x20;patch&#x20;installs.&#x20;Finally,&#x20;setting&#x20;configuration&#x20;variables&#x20;is&#x20;the&#x20;method&#x20;recommended&#x20;and&#x20;supported&#x20;by&#x20;HP.&#x20;Note&#x20;that&#x20;not&#x20;all&#x20;of&#x20;the&#x20;configuration&#x20;files&#x20;listed&#x20;above&#x20;will&#x20;exist&#x20;on&#x20;all&#x20;systems&#x20;&#40;some&#x20;are&#x20;only&#x20;valid&#x20;for&#x20;certain&#x20;releases,&#x20;others&#x20;only&#x20;exist&#x20;if&#x20;certain&#x20;OEM&#x20;vendor&#x20;software&#x20;is&#x20;installed&#41;.&#x20;The&#x20;rest&#x20;of&#x20;the&#x20;actions&#x20;in&#x20;this&#x20;section&#x20;give&#x20;the&#x20;administrator&#x20;the&#x20;option&#x20;of&#x20;re-enabling&#x20;certain&#x20;services&#x20;-&#x20;in&#x20;particular,&#x20;the&#x20;services&#x20;that&#x20;are&#x20;disabled&#x20;in&#x20;the&#x20;second&#x20;block&#x20;of&#x20;the&#x20;remediation&#x20;section&#x20;below.&#x20;Rather&#x20;than&#x20;disabling&#x20;and&#x20;then&#x20;re-enabling&#x20;these&#x20;services,&#x20;experienced&#x20;administrators&#x20;may&#x20;wish&#x20;to&#x20;simply&#x20;disable&#x20;only&#x20;those&#x20;services&#x20;that&#x20;they&#x20;know&#x20;are&#x20;unnecessary&#x20;for&#x20;their&#x20;systems.&#x20;Note:&#x20;that&#x20;HP-UX&#x20;11.31&#x20;was&#x20;the&#x20;first&#x20;version&#x20;to&#x20;support&#x20;disablement&#x20;of&#x20;the&#x20;NFS&#x20;core&#x20;services.&#x20;Disablement&#x20;on&#x20;earlier&#x20;versions&#x20;is&#x20;possible&#x20;by&#x20;moving&#x20;/sbin/rc2.d/S400nfs.core&#x20;to&#x20;/sbin/rc2.d/.NOS400nfs.core,&#x20;but&#x20;there&#x20;is&#x20;some&#x20;risk&#x20;of&#x20;system&#x20;instability.','Avoid&#x20;potential&#x20;security&#x20;vulnerabilities&#x20;in&#x20;infrequently&#x20;used&#x20;subsystems&#x20;by&#x20;disabling&#x20;them.','','Perform&#x20;the&#x20;following:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;START_SNAPLUS=0&#x20;-p&#x20;START_SNANODE=0&#x20;&#x20;-p&#x20;START_SNAINETD=0&#x20;/etc/rc.config.d/snaplus2&#x20;ch_rc&#x20;-a&#x20;-p&#x20;MROUTED=0&#x20;-p&#x20;RWHOD=0&#x20;-p&#x20;DDFA=0&#x20;&#x20;-p&#x20;START_RBOOTD=0&#x20;/etc/rc.config.d/netdaemons&#x20;ch_rc&#x20;-a&#x20;-p&#x20;RARPD=0&#x20;-p&#x20;RDPD=0&#x20;/etc/rc.config.d/netconf&#x20;ch_rc&#x20;-a&#x20;-p&#x20;PTYDAEMON_START=0&#x20;/etc/rc.config.d/ptydaemon&#x20;ch_rc&#x20;-a&#x20;-p&#x20;VTDAEMON_START=0&#x20;/etc/rc.config.d/vt&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NAMED=0&#x20;/etc/rc.config.d/namesvrs&#x20;ch_rc&#x20;-a&#x20;-p&#x20;START_I4LMD=0&#x20;/etc/rc.config.d/i4lmd&#x20;ch_rc&#x20;-a&#x20;-p&#x20;RUN_X_FONT_SERVER=0&#x20;/etc/rc.config.d/xfs&#x20;ch_rc&#x20;-a&#x20;-p&#x20;AUDIO_SERVER=0&#x20;/etc/rc.config.d/audio&#x20;ch_rc&#x20;-a&#x20;-p&#x20;SLSD_DAEMON=0&#x20;/etc/rc.config.d/slsd&#x20;ch_rc&#x20;-a&#x20;-p&#x20;RUN_SAMBA=0&#x20;/etc/rc.config.d/samba&#x20;ch_rc&#x20;-a&#x20;-p&#x20;RUN_CIFSCLIENT=0&#x20;&#x20;/etc/rc.config.d/cifsclient&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NFS_SERVER=0&#x20;&#x20;-p&#x20;NFS_CLIENT=0&#x20;/etc/rc.config.d/nfsconf&#x20;ch_rc&#x20;-a&#x20;-p&#x20;HPWS_APACHE_START=0&#x20;/etc/rc.config.d/hpws_apacheconf&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NFS_CORE=0&#x20;/etc/rc.config.d/nfsconf','[{\"cis\": [\"1.3.7\"]}, {\"cis_level\": [\"1\"]}]'),(30020,'Only&#x20;enable&#x20;Windows-compatibility&#x20;server&#x20;processes&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;CIFS&#x20;Server&#x20;&#40;Samba&#41;&#x20;services.&#x20;HP-UX&#x20;11i&#x20;includes&#x20;the&#x20;popular&#x20;Open&#x20;Source&#x20;Samba&#x20;server&#x20;&#40;HP-UX&#x20;CIFS&#x20;Server&#41;&#x20;for&#x20;providing&#x20;file&#x20;and&#x20;print&#x20;services&#x20;to&#x20;Windows-based&#x20;systems.&#x20;This&#x20;allows&#x20;an&#x20;HP-UX&#x20;system&#x20;to&#x20;act&#x20;as&#x20;a&#x20;file&#x20;or&#x20;print&#x20;server&#x20;on&#x20;a&#x20;Windows&#x20;network,&#x20;and&#x20;even&#x20;act&#x20;as&#x20;a&#x20;Domain&#x20;Controller&#x20;&#40;authentication&#x20;server&#41;&#x20;to&#x20;older&#x20;Windows&#x20;operating&#x20;systems.&#x20;However,&#x20;if&#x20;this&#x20;functionality&#x20;is&#x20;not&#x20;required&#x20;by&#x20;the&#x20;site,&#x20;this&#x20;service&#x20;should&#x20;be&#x20;disabled.','This&#x20;machine&#x20;provides&#x20;authentication,&#x20;file&#x20;sharing,&#x20;or&#x20;printer&#x20;sharing&#x20;services&#x20;to&#x20;systems&#x20;running&#x20;Microsoft&#x20;Windows&#x20;operating&#x20;systems.','','Perform&#x20;the&#x20;following&#x20;to&#x20;re-enable&#x20;CIFS&#x20;Server:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;RUN_SAMBA=1&#x20;/etc/rc.config.d/samba','[{\"cis\": [\"1.3.8\"]}]'),(30021,'Only&#x20;enable&#x20;Windows-compatibility&#x20;client&#x20;processes&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;the&#x20;HP&#x20;CIFS&#x20;Client&#x20;service.','This&#x20;system&#x20;requires&#x20;access&#x20;to&#x20;file&#x20;systems&#x20;from&#x20;remote&#x20;servers&#x20;via&#x20;the&#x20;Windows&#x20;&#40;SMB&#41;&#x20;file&#x20;services.','','Perform&#x20;the&#x20;following:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;RUN_CIFSCLIENT=1&#x20;/etc/rc.config.d/cifsclient','[{\"cis\": [\"1.3.9\"]}]'),(30022,'Only&#x20;enable&#x20;NFS&#x20;server&#x20;processes&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;the&#x20;NFS&#x20;file&#x20;service.&#x20;NFS&#x20;is&#x20;frequently&#x20;exploited&#x20;to&#x20;gain&#x20;unauthorized&#x20;access&#x20;to&#x20;files&#x20;and&#x20;systems.&#x20;Clearly&#x20;there&#x20;is&#x20;no&#x20;need&#x20;to&#x20;run&#x20;the&#x20;NFS&#x20;server-related&#x20;daemons&#x20;on&#x20;hosts&#x20;that&#x20;are&#x20;not&#x20;NFS&#x20;servers.&#x20;If&#x20;the&#x20;system&#x20;is&#x20;an&#x20;NFS&#x20;server,&#x20;the&#x20;admin&#x20;should&#x20;take&#x20;reasonable&#x20;precautions&#x20;when&#x20;exporting&#x20;file&#x20;systems,&#x20;including&#x20;restricting&#x20;NFS&#x20;access&#x20;to&#x20;a&#x20;specific&#x20;range&#x20;of&#x20;local&#x20;IP&#x20;addresses&#x20;and&#x20;exporting&#x20;file&#x20;systems&#x20;&quot;read-only&quot;&#x20;and&#x20;&quot;nosuid&quot;&#x20;where&#x20;appropriate.&#x20;For&#x20;more&#x20;information&#x20;consult&#x20;the&#x20;exportfs&#40;1M&#41;&#x20;manual&#x20;page.&#x20;Much&#x20;higher&#x20;levels&#x20;of&#x20;security&#x20;can&#x20;be&#x20;achieved&#x20;by&#x20;combining&#x20;NFS&#x20;with&#x20;secure&#x20;RPC&#x20;or&#x20;Kerberos,&#x20;although&#x20;there&#x20;is&#x20;significant&#x20;administrative&#x20;overhead&#x20;involved&#x20;in&#x20;this&#x20;transition.&#x20;Note&#x20;that&#x20;since&#x20;this&#x20;service&#x20;uses&#x20;ONC&#x20;RPC&#x20;mechanisms,&#x20;it&#x20;is&#x20;important&#x20;that&#x20;the&#x20;system&#039;s&#x20;RPC&#x20;portmapper&#x20;&#40;rpcbind&#41;&#x20;also&#x20;be&#x20;enabled&#x20;when&#x20;this&#x20;service&#x20;is&#x20;turned&#x20;on.&#x20;For&#x20;more&#x20;information&#x20;see&#x20;Item&#x20;1.3.12&#x20;below.&#x20;Also,&#x20;note&#x20;that&#x20;some&#x20;releases&#x20;of&#x20;Oracle&#x20;software&#x20;for&#x20;HP-UX&#x20;require&#x20;NFS&#x20;services&#x20;in&#x20;order&#x20;to&#x20;install&#x20;properly.&#x20;Therefore,&#x20;the&#x20;NFS&#x20;server&#x20;process&#x20;may&#x20;need&#x20;to&#x20;be&#x20;started&#x20;by&#x20;hand&#x20;on&#x20;systems&#x20;on&#x20;which&#x20;Oracle&#x20;software&#x20;is&#x20;to&#x20;be&#x20;installed/updated.&#x20;This&#x20;can&#x20;be&#x20;accomplished&#x20;by&#x20;performing&#x20;the&#x20;following:&#x20;1.&#x20;Temporarily&#x20;set&#x20;NFS_SERVER=1,&#x20;/etc/rc.config.d/nfsconf&#x20;2.&#x20;Execute:&#x20;&#x20;/sbin/init.d/nfs.core&#x20;start&#x20;/sbin/init.d/nfs.server&#x20;start&#x20;3.&#x20;Install&#x20;Oracle&#x20;4.&#x20;Stop&#x20;the&#x20;NFS&#x20;services:&#x20;&#x20;/sbin/init.d/nfs.core&#x20;stop&#x20;/sbin/init.d/nfs.server&#x20;stop&#x20;5.&#x20;Disable&#x20;the&#x20;NFS&#x20;services&#x20;by&#x20;resetting&#x20;NFS_SERVER=0,&#x20;NUM_NFSD=0,&#x20;and&#x20;NUM_NFSIOD=0&#x20;in&#x20;/etc/rc.config.d/nfsconf.','This&#x20;machine&#x20;is&#x20;a&#x20;NFS&#x20;file&#x20;server.','','Perform&#x20;the&#x20;following:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NFS_SERVER=1&#x20;/etc/rc.config.d/nfsconf','[{\"cis\": [\"1.3.10\"]}]'),(30023,'Only&#x20;enable&#x20;NFS&#x20;client&#x20;processes&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;the&#x20;NFS&#x20;Client&#x20;service.&#x20;Again,&#x20;unless&#x20;there&#x20;is&#x20;a&#x20;significant&#x20;need&#x20;for&#x20;this&#x20;system&#x20;to&#x20;acquire&#x20;data&#x20;via&#x20;NFS,&#x20;administrators&#x20;should&#x20;disable&#x20;NFS-related&#x20;services.&#x20;Note&#x20;that&#x20;other&#x20;file&#x20;transfer&#x20;schemes&#x20;&#40;such&#x20;as&#x20;rdist&#x20;via&#x20;SSH&#41;&#x20;can&#x20;often&#x20;be&#x20;more&#x20;secure&#x20;than&#x20;NFS&#x20;for&#x20;certain&#x20;applications,&#x20;although&#x20;again&#x20;the&#x20;use&#x20;of&#x20;secure&#x20;RPC&#x20;or&#x20;Kerberos&#x20;can&#x20;significantly&#x20;improve&#x20;NFS&#x20;security.&#x20;Also&#x20;note&#x20;that&#x20;if&#x20;the&#x20;machine&#x20;will&#x20;be&#x20;an&#x20;NFS&#x20;client,&#x20;then&#x20;the&#x20;rpcbind&#x20;process&#x20;must&#x20;be&#x20;running&#x20;&#40;see&#x20;Item&#x20;3.12&#x20;below&#41;.&#x20;-&#x20;Note&#x20;that&#x20;since&#x20;this&#x20;service&#x20;uses&#x20;ONC&#x20;RPC&#x20;mechanisms,&#x20;it&#x20;is&#x20;important&#x20;that&#x20;the&#x20;system&#039;s&#x20;RPC&#x20;portmapper&#x20;&#40;rpcbind&#41;&#x20;also&#x20;be&#x20;enabled&#x20;when&#x20;this&#x20;service&#x20;is&#x20;turned&#x20;on.&#x20;For&#x20;more&#x20;information&#x20;see&#x20;Item&#x20;3.12&#x20;below.','This&#x20;system&#x20;must&#x20;access&#x20;file&#x20;systems&#x20;from&#x20;remote&#x20;servers&#x20;via&#x20;NFS.','','Perform&#x20;the&#x20;following:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NFS_CLIENT=1&#x20;/etc/rc.config.d/nfsconf','[{\"cis\": [\"1.3.11\"]}]'),(30024,'Only&#x20;enable&#x20;RPC-based&#x20;services&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;RPC-based&#x20;services.&#x20;RPC-based&#x20;services&#x20;typically&#x20;use&#x20;very&#x20;weak&#x20;or&#x20;non-existent&#x20;authentication&#x20;and&#x20;yet&#x20;may&#x20;share&#x20;very&#x20;sensitive&#x20;information.&#x20;Unless&#x20;one&#x20;of&#x20;the&#x20;services&#x20;listed&#x20;above&#x20;is&#x20;required&#x20;on&#x20;this&#x20;machine,&#x20;it&#x20;is&#x20;best&#x20;to&#x20;disable&#x20;RPC-based&#x20;tools&#x20;completely.&#x20;If&#x20;you&#x20;are&#x20;unsure&#x20;whether&#x20;or&#x20;not&#x20;a&#x20;particular&#x20;third-party&#x20;application&#x20;requires&#x20;RPC&#x20;services,&#x20;consult&#x20;with&#x20;the&#x20;application&#x20;vendor.&#x20;Note&#x20;that&#x20;disabling&#x20;this&#x20;service&#x20;by&#x20;renaming&#x20;the&#x20;startup&#x20;file&#x20;may&#x20;not&#x20;survive&#x20;the&#x20;install&#x20;of&#x20;RPC-related&#x20;patches.','RPC-based&#x20;services&#x20;are&#x20;used&#x20;such&#x20;as:&#x20;-&#x20;This&#x20;machine&#x20;is&#x20;an&#x20;NFS&#x20;client&#x20;or&#x20;server.&#x20;-&#x20;This&#x20;machine&#x20;is&#x20;an&#x20;NIS&#x20;&#40;YP&#41;&#x20;or&#x20;NIS+&#x20;client&#x20;or&#x20;server.&#x20;-&#x20;This&#x20;machine&#x20;runs&#x20;a&#x20;GUI&#x20;or&#x20;GUI-based&#x20;administration&#x20;tool.&#x20;-&#x20;The&#x20;machine&#x20;runs&#x20;a&#x20;third-party&#x20;software&#x20;application&#x20;which&#x20;is&#x20;dependent&#x20;on&#x20;RPC&#x20;support&#x20;&#40;example:&#x20;FlexLM&#x20;License&#x20;managers&#41;.','','Perform&#x20;the&#x20;following&#x20;for&#x20;11.31&#x20;and&#x20;later:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NFS_CORE=1&#x20;/etc/rc.config.d/nfsconf&#x20;For&#x20;11.23&#x20;and&#x20;prior:&#x20;&#x20;mv&#x20;-f&#x20;/sbin/rc2.d/.NOS400nfs.core&#x20;&#x20;/sbin/rc2.d/400nfs.core','[{\"cis\": [\"1.3.12\"]}]'),(30025,'Only&#x20;enable&#x20;Web&#x20;server&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;the&#x20;Web&#x20;server&#x20;suite.&#x20;Even&#x20;if&#x20;this&#x20;machine&#x20;is&#x20;a&#x20;Web&#x20;server,&#x20;the&#x20;local&#x20;site&#x20;may&#x20;choose&#x20;not&#x20;to&#x20;use&#x20;the&#x20;Web&#x20;server&#x20;provided&#x20;with&#x20;HP-UX&#x20;in&#x20;favor&#x20;of&#x20;a&#x20;locally&#x20;developed&#x20;and&#x20;supported&#x20;Web&#x20;environment.&#x20;If&#x20;the&#x20;machine&#x20;is&#x20;a&#x20;Web&#x20;server,&#x20;the&#x20;administrator&#x20;is&#x20;encouraged&#x20;to&#x20;search&#x20;the&#x20;Web&#x20;for&#x20;additional&#x20;documentation&#x20;on&#x20;Web&#x20;server&#x20;security.&#x20;A&#x20;good&#x20;starting&#x20;point&#x20;is&#x20;http://httpd.apache.org/docs-2.0/misc/security_tips.html.&#x20;Note&#x20;that&#x20;this&#x20;action&#x20;only&#x20;disables&#x20;the&#x20;default&#x20;web&#x20;server&#x20;shipped&#x20;with&#x20;the&#x20;system.&#x20;Other&#x20;webservers&#x20;instances&#x20;may&#x20;still&#x20;be&#x20;running.','There&#x20;is&#x20;a&#x20;mission-critical&#x20;reason&#x20;why&#x20;this&#x20;system&#x20;must&#x20;run&#x20;a&#x20;Web&#x20;server.','','Perform&#x20;the&#x20;following:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NS_FTRACK=1&#x20;/etc/rc.config.d/ns-ftrack&#x20;ch_rc&#x20;-a&#x20;-p&#x20;APACHE_START=1&#x20;/etc/rc.config.d/apacheconf&#x20;ch_rc&#x20;-a&#x20;-p&#x20;HPWS_APACHE32_START=1&#x20;/etc/rc.config.d/hpws_apache32conf&#x20;ch_rc&#x20;-a&#x20;-p&#x20;HPWS_TOMCAT_START=1&#x20;/etc/rc.config.d/hpws_tomcatconf&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NS_FTRACK=1&#x20;/etc/rc.config.d/ns-ftrack&#x20;ch_rc&#x20;-a&#x20;-p&#x20;HPWS_WEBMIN_START=1&#x20;/etc/rc.config.d/hpws_webminconf','[{\"cis\": [\"1.3.13\"]}]'),(30026,'Only&#x20;enable&#x20;BIND&#x20;DNS&#x20;server&#x20;if&#x20;absolutely&#x20;necessary.','Re-enable&#x20;the&#x20;BIND&#x20;DNS&#x20;service.&#x20;The&#x20;BIND&#x20;DNS&#x20;server,&#x20;or&#x20;named,&#x20;maps&#x20;IP&#x20;addresses&#x20;to&#x20;hostnames&#x20;across&#x20;the&#x20;Internet&#x20;and&#x20;supplies&#x20;these&#x20;services&#x20;to&#x20;other&#x20;hosts&#x20;on&#x20;the&#x20;local&#x20;local&#x20;network.&#x20;Though&#x20;it&#x20;has&#x20;been&#x20;widely&#x20;implemented,&#x20;BIND&#x20;has&#x20;a&#x20;long&#x20;history&#x20;of&#x20;security&#x20;flaws,&#x20;especially&#x20;in&#x20;the&#x20;BIND&#x20;8.x&#x20;release&#x20;tree&#x20;generally&#x20;shipped&#x20;with&#x20;HP-UX&#x20;11.x&#x20;systems.&#x20;Therefore,&#x20;if&#x20;you&#x20;are&#x20;going&#x20;to&#x20;run&#x20;BIND,&#x20;you&#x20;should&#x20;strongly&#x20;consider&#x20;moving&#x20;to&#x20;the&#x20;BIND&#x20;9.x&#x20;release-tree.&#x20;HP&#x20;has&#x20;supported&#x20;BIND&#x20;9&#x20;packages&#x20;available&#x20;from&#x20;http://software.hp.com/portal/swdepot/displayProductInfo.do?productNumber=BIND9.2&#x20;.&#x20;Or&#x20;it&#x20;is&#x20;available&#x20;directly&#x20;from&#x20;the&#x20;Internet&#x20;Software&#x20;Consortium&#x20;&#40;the&#x20;developers&#x20;of&#x20;BIND&#41;,&#x20;whose&#x20;website&#x20;is&#x20;at&#x20;http://www.isc.org.','There&#x20;exists&#x20;a&#x20;mission-critical&#x20;reason&#x20;why&#x20;this&#x20;system&#x20;must&#x20;run&#x20;a&#x20;DNS&#x20;server.','','Perform&#x20;the&#x20;following:&#x20;11.23&#x20;and&#x20;prior:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NAMED=1&#x20;/etc/rc.config.d/namesvrs&#x20;11.31&#x20;and&#x20;later:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;NAMED=1&#x20;/etc/rc.config.d/namesvrs_dns','[{\"cis\": [\"1.3.14\"]}]'),(30027,'Enable&#x20;stack&#x20;protection.','Enabling&#x20;stack&#x20;protection&#x20;prevents&#x20;certain&#x20;classes&#x20;of&#x20;buffer&#x20;overflow&#x20;attacks&#x20;and&#x20;is&#x20;a&#x20;significant&#x20;security&#x20;enhancement.&#x20;-&#x20;Note&#x20;that&#x20;HP-UX&#x20;11i&#x20;is&#x20;much&#x20;more&#x20;capable&#x20;in&#x20;this&#x20;and&#x20;other&#x20;security&#x20;areas&#x20;than&#x20;older&#x20;releases;&#x20;therefore,&#x20;administrators&#x20;should&#x20;strongly&#x20;consider&#x20;upgrading&#x20;from&#x20;older&#x20;releases.&#x20;-&#x20;Note&#x20;that&#x20;this&#x20;action&#x20;requires&#x20;a&#x20;subsequent&#x20;reboot&#x20;to&#x20;take&#x20;effect&#x20;in&#x20;some&#x20;versions&#x20;of&#x20;HP-UX.','Buffer&#x20;overflow&#x20;exploits&#x20;have&#x20;been&#x20;the&#x20;basis&#x20;for&#x20;many&#x20;of&#x20;the&#x20;recent&#x20;highly&#x20;publicized&#x20;compromises&#x20;and&#x20;defacements&#x20;of&#x20;large&#x20;numbers&#x20;of&#x20;Internet&#x20;connected&#x20;systems.&#x20;Many&#x20;of&#x20;the&#x20;automated&#x20;tools&#x20;in&#x20;use&#x20;by&#x20;system&#x20;crackers&#x20;exploit&#x20;well-known&#x20;buffer&#x20;overflow&#x20;problems&#x20;in&#x20;vendor-supplied&#x20;and&#x20;third-party&#x20;software.&#x20;Enabling&#x20;stack&#x20;protection&#x20;prevents&#x20;certain&#x20;classes&#x20;of&#x20;buffer&#x20;overflow&#x20;attacks&#x20;and&#x20;is&#x20;a&#x20;significant&#x20;security&#x20;enhancement.','','For&#x20;11i&#x20;v2&#x20;and&#x20;later:&#x20;kctune&#x20;-K&#x20;executable_stack=0&#x20;For&#x20;11i&#x20;v1:&#x20;/usr/sbin/kmtune&#x20;-s&#x20;executable_stack=0&#x20;&amp;&amp;&#x20;mk_kernel&#x20;&amp;&amp;&#x20;kmupdate','[{\"cis\": [\"1.4.1\"]}, {\"cis_level\": [\"1\"]}]'),(30028,'Network&#x20;parameter&#x20;modifications.','Modify&#x20;the&#x20;network&#x20;parameter&#x20;boot&#x20;configuration&#x20;file&#x20;to&#x20;meet&#x20;current&#x20;best&#x20;practices.&#x20;Note:&#x20;HP-UX&#x20;11.11&#x20;systems&#x20;require&#x20;patch&#x20;PHNE_25644&#x20;for&#x20;ndd&#x20;to&#x20;set&#x20;arp_cleanup_interval&#x20;from&#x20;/etc/rc.config.d/nddconf.&#x20;-&#x20;Bastille&#x20;Note:&#x20;Bastille&#x20;performs&#x20;a&#x20;similar&#x20;action&#x20;but&#x20;does&#x20;not&#x20;support&#x20;the&#x20;exact&#x20;same&#x20;changes.','Network&#x20;parameter&#x20;default&#x20;values&#x20;should&#x20;align&#x20;with&#x20;current&#x20;best&#x20;practices&#x20;unless&#x20;there&#x20;is&#x20;a&#x20;specific&#x20;need&#x20;to&#x20;use&#x20;other&#x20;values.','','Perform&#x20;the&#x20;following&#x20;to&#x20;update&#x20;the&#x20;default&#x20;network&#x20;parameter&#x20;values:&#x20;1.&#x20;Change&#x20;to&#x20;the&#x20;/etc/rc.config.d&#x20;directory&#x20;2.&#x20;Open&#x20;nddconf&#x20;and&#x20;review&#x20;the&#x20;comment&#x20;lines&#x20;on&#x20;how&#x20;to&#x20;use&#x20;the&#x20;configuration&#x20;file&#x20;3.&#x20;Set&#x20;each&#x20;of&#x20;the&#x20;following&#x20;network&#x20;parameters&#x20;to&#x20;the&#x20;recommended&#x20;value.&#x20;If&#x20;a&#x20;parameter&#x20;does&#x20;not&#x20;have&#x20;an&#x20;entry&#x20;in&#x20;nddconf&#x20;then&#x20;add&#x20;a&#x20;new&#x20;entry&#x20;to&#x20;the&#x20;end&#x20;of&#x20;the&#x20;file&#x20;while&#x20;properly&#x20;incrementing&#x20;the&#x20;parameter&#x20;index.&#x20;4.&#x20;Save&#x20;nddconf.&#x20;-&#x20;If&#x20;creating&#x20;this&#x20;file&#x20;for&#x20;the&#x20;first&#x20;time:&#x20;1.&#x20;Set&#x20;root&#x20;as&#x20;the&#x20;owner&#x20;of&#x20;nddconf.&#x20;2.&#x20;Set&#x20;sys&#x20;as&#x20;the&#x20;group&#x20;owner&#x20;of&#x20;nddconf.&#x20;3.&#x20;Restrict&#x20;write&#x20;access&#x20;to&#x20;nddconf&#x20;to&#x20;the&#x20;file&#x20;owner.&#x20;4.&#x20;Remove&#x20;the&#x20;executable&#x20;and&#x20;sticky&#x20;bit&#x20;from&#x20;nddconf.&#x20;If&#x20;the&#x20;existing&#x20;nddconf&#x20;file&#x20;contains&#x20;no&#x20;entries,&#x20;then&#x20;the&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure:&#x20;cd&#x20;/etc/rc.config.d&#x20;cat&#x20;&lt;&lt;EOF&#x20;&gt;&#x20;nddconf&#x20;#&#x20;Increase&#x20;size&#x20;of&#x20;half-open&#x20;connection&#x20;queue&#x20;TRANSPORT_NAME[0]=tcp&#x20;NDD_NAME[0]=tcp_syn_rcvd_max&#x20;NDD_VALUE[0]=4096&#x20;#&#x20;Reduce&#x20;timeouts&#x20;on&#x20;ARP&#x20;cache&#x20;TRANSPORT_NAME[1]=arp&#x20;NDD_NAME[1]=arp_cleanup_interval&#x20;NDD_VALUE[1]=60000&#x20;#&#x20;Drop&#x20;source-routed&#x20;packets&#x20;TRANSPORT_NAME[2]=ip&#x20;NDD_NAME[2]=ip_forward_src_routed&#x20;NDD_VALUE[2]=0&#x20;#&#x20;Don&#039;t&#x20;forward&#x20;directed&#x20;broadcasts&#x20;TRANSPORT_NAME[3]=ip&#x20;NDD_NAME[3]=ip_forward_directed_broadcasts&#x20;NDD_VALUE[3]=0&#x20;#&#x20;Don&#039;t&#x20;respond&#x20;to&#x20;unicast&#x20;ICMP&#x20;timestamp&#x20;requests&#x20;TRANSPORT_NAME[4]=ip&#x20;NDD_NAME[4]=ip_respond_to_timestamp&#x20;NDD_VALUE[4]=0&#x20;#&#x20;Don&#039;t&#x20;respond&#x20;to&#x20;broadcast&#x20;ICMP&#x20;tstamp&#x20;reqs&#x20;TRANSPORT_NAME[5]=ip&#x20;NDD_NAME[5]=ip_respond_to_timestamp_broadcast&#x20;NDD_VALUE[5]=0&#x20;#&#x20;Don&#039;t&#x20;respond&#x20;to&#x20;ICMP&#x20;address&#x20;mask&#x20;requests&#x20;TRANSPORT_NAME[6]=ip&#x20;NDD_NAME[6]=ip_respond_to_address_mask_broadcast&#x20;NDD_VALUE[6]=0&#x20;#&#x20;Don‟t&#x20;respond&#x20;to&#x20;broadcast&#x20;echo&#x20;requests&#x20;TRANSPORT_NAME[7]=ip&#x20;NDD_NAME[7]=ip_respond_to_echo_broadcast&#x20;NDD_VALUE[7]=0&#x20;EOF&#x20;chown&#x20;root:sys&#x20;nddconf&#x20;chmod&#x20;go-w,ug-s&#x20;nddconf','[{\"cis\": [\"1.4.2\"]}, {\"cis_level\": [\"1\"]}]'),(30029,'Use&#x20;more&#x20;random&#x20;TCP&#x20;sequence&#x20;numbers.','Generate&#x20;initial&#x20;TCP&#x20;sequence&#x20;numbers&#x20;that&#x20;comply&#x20;with&#x20;RFC1948.&#x20;-&#x20;Note:&#x20;In&#x20;HP-UX&#x20;11i&#x20;v1&#x20;and&#x20;later,&#x20;an&#x20;algorithm&#x20;largely&#x20;compliant&#x20;with&#x20;RFC1948&#x20;is&#x20;already&#x20;used.&#x20;However,&#x20;setting&#x20;the&#x20;isn&#x20;passphrase&#x20;closes&#x20;the&#x20;small&#x20;remaining&#x20;gap,&#x20;and&#x20;adds&#x20;entropy&#x20;to&#x20;the&#x20;seed.','Makes&#x20;remote&#x20;off-net&#x20;session&#x20;hijacking&#x20;attacks&#x20;more&#x20;difficult.','','Perform&#x20;the&#x20;following&#x20;to&#x20;use&#x20;more&#x20;random&#x20;TCP&#x20;sequence&#x20;numbers&#x20;upon&#x20;system&#x20;startup:&#x20;1.&#x20;Create/open&#x20;the&#x20;file&#x20;/sbin/rc2.d/S999tcpisn&#x20;2.&#x20;Add&#x20;the&#x20;following&#x20;line:&#x20;ndd&#x20;-set&#x20;/dev/tcp&#x20;tcp_isn_passprase=&lt;random&#x20;string&gt;&#x20;replacing&#x20;&lt;random&#x20;string&gt;&#x20;with&#x20;a&#x20;string&#x20;of&#x20;random&#x20;characters.&#x20;3.&#x20;Save&#x20;the&#x20;file.&#x20;4.&#x20;Set&#x20;root&#x20;as&#x20;the&#x20;owner&#x20;and&#x20;bin&#x20;as&#x20;the&#x20;group&#x20;owner&#x20;of&#x20;the&#x20;file.&#x20;5.&#x20;Restrict&#x20;write&#x20;access&#x20;to&#x20;the&#x20;file.&#x20;6.&#x20;Set&#x20;the&#x20;execution&#x20;bit&#x20;for&#x20;the&#x20;file.','[{\"cis\": [\"1.4.3\"]}, {\"cis_level\": [\"1\"]}]'),(30030,'Additional&#x20;network&#x20;parameter&#x20;modifications.','Configure&#x20;networking&#x20;to&#x20;NOT&#x20;forward&#x20;TCP/IP&#x20;packets&#x20;between&#x20;multiple&#x20;networks,&#x20;even&#x20;if&#x20;the&#x20;machine&#x20;has&#x20;multiple&#x20;network&#x20;adapters&#x20;connected&#x20;to&#x20;multiple&#x20;networks.','System&#x20;is&#x20;not&#x20;going&#x20;to&#x20;be&#x20;used&#x20;as&#x20;a&#x20;firewall&#x20;or&#x20;gateway&#x20;to&#x20;pass&#x20;network&#x20;traffic&#x20;between&#x20;different&#x20;networks.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;forwarding&#x20;TCP/IP&#x20;packets&#x20;between&#x20;networks:&#x20;1.&#x20;Change&#x20;to&#x20;the&#x20;/etc/rc.config.d&#x20;directory&#x20;2.&#x20;Open&#x20;nddconf&#x20;and&#x20;review&#x20;the&#x20;comment&#x20;lines&#x20;on&#x20;how&#x20;to&#x20;use&#x20;the&#x20;configuration&#x20;file&#x20;3.&#x20;Set&#x20;each&#x20;of&#x20;the&#x20;following&#x20;network&#x20;parameters&#x20;to&#x20;the&#x20;recommended&#x20;value.&#x20;If&#x20;a&#x20;parameter&#x20;does&#x20;not&#x20;have&#x20;an&#x20;entry&#x20;in&#x20;nddconf&#x20;then&#x20;add&#x20;a&#x20;new&#x20;entry&#x20;to&#x20;the&#x20;end&#x20;of&#x20;the&#x20;file&#x20;while&#x20;properly&#x20;incrementing&#x20;the&#x20;parameter&#x20;index.&#x20;4.&#x20;Save&#x20;nddconf.&#x20;If&#x20;creating&#x20;this&#x20;file&#x20;for&#x20;the&#x20;first&#x20;time:&#x20;5.&#x20;Set&#x20;root&#x20;as&#x20;the&#x20;owner&#x20;of&#x20;nddconf.&#x20;6.&#x20;Set&#x20;sys&#x20;as&#x20;the&#x20;group&#x20;owner&#x20;of&#x20;nddconf.&#x20;7.&#x20;Restrict&#x20;write&#x20;access&#x20;to&#x20;nddconf&#x20;to&#x20;the&#x20;file&#x20;owner.&#x20;8.&#x20;Remove&#x20;the&#x20;executable&#x20;and&#x20;sticky&#x20;bit&#x20;from&#x20;nddconf.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;above&#x20;procedure&#x20;properly&#x20;if&#x20;used&#x20;as&#x20;a&#x20;follow-on&#x20;from&#x20;the&#x20;script&#x20;in&#x20;item&#x20;1.4.2:&#x20;cat&#x20;&lt;&lt;EOF&#x20;&gt;&gt;&#x20;/etc/rc.config.d/nddconf&#x20;#&#x20;Don‟t&#x20;act&#x20;as&#x20;a&#x20;router&#x20;TRANSPORT_NAME[8]=ip&#x20;NDD_NAME[8]=ip_forwarding&#x20;NDD_VALUE[8]=0&#x20;TRANSPORT_NAME[9]=ip&#x20;NDD_NAME[9]=ip_send_redirects&#x20;NDD_VALUE[9]=0&#x20;EOF','[{\"cis\": [\"1.4.4\"]}, {\"cis_level\": [\"1\"]}]'),(30032,'Enable&#x20;Hidden&#x20;Passwords.','Enable&#x20;hidden&#x20;passwords&#x20;by&#x20;converting&#x20;the&#x20;system&#x20;to&#x20;a&#x20;Trusted&#x20;System&#x20;or&#x20;to&#x20;use&#x20;Shadow&#x20;Passwords.&#x20;-&#x20;Note:&#x20;do&#x20;not&#x20;perform&#x20;this&#x20;if&#x20;the&#x20;system&#x20;runs&#x20;applications&#x20;that&#x20;read&#x20;the&#x20;encrypted&#x20;password&#x20;entries&#x20;in&#x20;/etc/passwd&#x20;directly.','Without&#x20;hidden&#x20;passwords,&#x20;an&#x20;intruder&#x20;could&#x20;use&#x20;any&#x20;user&#039;s&#x20;account&#x20;to&#x20;obtain&#x20;hashed&#x20;passwords&#x20;and&#x20;use&#x20;crack&#x20;or&#x20;similar&#x20;utilities&#x20;to&#x20;find&#x20;easily&#x20;guessed&#x20;passwords.&#x20;Password&#x20;aging&#x20;&#40;covered&#x20;in&#x20;item&#x20;1.8.3&#41;&#x20;ensures&#x20;that&#x20;users&#x20;change&#x20;their&#x20;passwords&#x20;on&#x20;a&#x20;regular&#x20;basis&#x20;and&#x20;helps&#x20;stop&#x20;the&#x20;use&#x20;of&#x20;stolen&#x20;passwords.','','Perform&#x20;one&#x20;of&#x20;the&#x20;following&#x20;to&#x20;convert&#x20;the&#x20;system&#x20;to&#x20;trusted&#x20;mode&#x20;or&#x20;shadowed&#x20;mode:&#x20;A.&#x20;Use&#x20;the&#x20;system&#x20;management&#x20;program&#x20;smh&#x20;or&#x20;sam&#x20;to&#x20;convert&#x20;to&#x20;a&#x20;trusted&#x20;system&#x20;-or-&#x20;B.&#x20;Use&#x20;the&#x20;command&#x20;pwconv&#x20;to&#x20;convert&#x20;to&#x20;shadowed&#x20;passwords.','[{\"cis\": [\"1.6.1\"]}, {\"cis_level\": [\"1\"]}]'),(30033,'Restrict&#x20;users&#x20;who&#x20;can&#x20;access&#x20;to&#x20;FTP.','Configure&#x20;FTP&#x20;to&#x20;prevent&#x20;certain&#x20;users&#x20;from&#x20;accessing&#x20;the&#x20;system&#x20;via&#x20;FTP.&#x20;The&#x20;file&#x20;ftpusers&#x20;contains&#x20;a&#x20;list&#x20;of&#x20;users&#x20;who&#x20;are&#x20;not&#x20;allowed&#x20;to&#x20;access&#x20;the&#x20;system&#x20;via&#x20;FTP.&#x20;Generally,&#x20;only&#x20;normal&#x20;users&#x20;should&#x20;ever&#x20;access&#x20;the&#x20;system&#x20;via&#x20;FTP&#x20;-&#x20;there&#x20;should&#x20;be&#x20;no&#x20;reason&#x20;for&#x20;&#039;system&#039;&#x20;type&#x20;accounts&#x20;to&#x20;be&#x20;transferring&#x20;information&#x20;via&#x20;this&#x20;mechanism.&#x20;Certainly,&#x20;the&#x20;root&#x20;account&#x20;should&#x20;never&#x20;be&#x20;allowed&#x20;to&#x20;transfer&#x20;files&#x20;directly&#x20;via&#x20;FTP.&#x20;-&#x20;Note:&#x20;more&#x20;fine-grained&#x20;FTP&#x20;access&#x20;controls&#x20;can&#x20;be&#x20;placed&#x20;in&#x20;/etc/ftpd/ftpaccess.','Privileged&#x20;users&#x20;such&#x20;as&#x20;root&#x20;and&#x20;other&#x20;&#039;system&#039;&#x20;type&#x20;accounts&#x20;should&#x20;never&#x20;be&#x20;transferring&#x20;information&#x20;via&#x20;such&#x20;an&#x20;insecure&#x20;service&#x20;as&#x20;FTP.','','Perform&#x20;the&#x20;following&#x20;to&#x20;restrict&#x20;default&#x20;priviledged&#x20;users&#x20;from&#x20;access&#x20;to&#x20;FTP:&#x20;1.&#x20;Add&#x20;the&#x20;users&#x20;root&#x20;daemon&#x20;bin&#x20;sys&#x20;adm&#x20;lp&#x20;uucp&#x20;nuucp&#x20;nobody&#x20;hpdb&#x20;useradm&#x20;to&#x20;the&#x20;file&#x20;/etc/ftpd/ftpusers&#x20;&#40;each&#x20;user&#x20;on&#x20;a&#x20;single&#x20;line&#41;.&#x20;2.&#x20;Set&#x20;the&#x20;file&#x20;owner&#x20;and&#x20;group&#x20;owner&#x20;to&#x20;the&#x20;user&#x20;bin.&#x20;3.&#x20;Set&#x20;the&#x20;file&#x20;permissions&#x20;so&#x20;that&#x20;only&#x20;the&#x20;file&#x20;owner&#x20;has&#x20;read&#x20;or&#x20;write&#x20;perms&#x20;and&#x20;no&#x20;user&#x20;has&#x20;execute&#x20;permission&#x20;&#40;600&#41;.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;create&#x20;and&#x20;populate&#x20;the&#x20;ftpusers&#x20;file&#x20;as&#x20;described&#x20;above:&#x20;for&#x20;name&#x20;in&#x20;root&#x20;daemon&#x20;bin&#x20;sys&#x20;adm&#x20;lp&#x20;&#x20;uucp&#x20;nuucp&#x20;nobody&#x20;hpdb&#x20;useradm&#x20;do&#x20;echo&#x20;$name&#x20;done&#x20;&gt;&gt;&#x20;$ftpusers&#x20;sort&#x20;-u&#x20;$ftpusers&#x20;&gt;&#x20;$ftpusers.tmp&#x20;cp&#x20;$ftpusers.tmp&#x20;$ftpusers&#x20;rm&#x20;-f&#x20;$ftpusers.tmp&#x20;chown&#x20;bin:bin&#x20;$ftpusers&#x20;chmod&#x20;600&#x20;$ftpusers','[{\"cis\": [\"1.6.2\"]}, {\"cis_level\": [\"1\"]}]'),(30034,'Prevent&#x20;Syslog&#x20;from&#x20;accepting&#x20;messages&#x20;from&#x20;the&#x20;network.','Prevent&#x20;syslogd&#x20;from&#x20;accepting&#x20;messages&#x20;from&#x20;the&#x20;network.&#x20;By&#x20;default&#x20;the&#x20;system&#x20;logging&#x20;daemon,&#x20;syslogd,&#x20;listens&#x20;for&#x20;log&#x20;messages&#x20;from&#x20;other&#x20;systems&#x20;on&#x20;network&#x20;port&#x20;514/udp.&#x20;Unfortunately,&#x20;the&#x20;protocol&#x20;used&#x20;to&#x20;transfer&#x20;these&#x20;messages&#x20;does&#x20;not&#x20;include&#x20;any&#x20;form&#x20;of&#x20;authentication,&#x20;so&#x20;a&#x20;malicious&#x20;outsider&#x20;could&#x20;simply&#x20;barrage&#x20;the&#x20;local&#x20;system&#039;s&#x20;Syslog&#x20;port&#x20;with&#x20;spurious&#x20;traffic&mdash;either&#x20;as&#x20;a&#x20;denial-of-service&#x20;attack&#x20;on&#x20;the&#x20;system,&#x20;or&#x20;to&#x20;fill&#x20;up&#x20;the&#x20;local&#x20;system&#039;s&#x20;logging&#x20;file&#x20;systems&#x20;so&#x20;that&#x20;subsequent&#x20;attacks&#x20;will&#x20;not&#x20;be&#x20;logged.&#x20;-&#x20;Note:&#x20;Do&#x20;not&#x20;perform&#x20;this&#x20;action&#x20;if&#x20;this&#x20;machine&#x20;is&#x20;a&#x20;log&#x20;server,&#x20;or&#x20;needs&#x20;to&#x20;receive&#x20;Syslog&#x20;messages&#x20;via&#x20;the&#x20;network&#x20;from&#x20;other&#x20;systems.&#x20;-&#x20;Note:&#x20;It&#x20;is&#x20;considered&#x20;good&#x20;practice&#x20;to&#x20;setup&#x20;one&#x20;or&#x20;more&#x20;machines&#x20;as&#x20;central&#x20;&#039;log&#x20;servers&#039;&#x20;to&#x20;aggregate&#x20;log&#x20;traffic&#x20;from&#x20;all&#x20;machines&#x20;at&#x20;a&#x20;site.&#x20;However,&#x20;unless&#x20;a&#x20;system&#x20;is&#x20;set&#x20;up&#x20;to&#x20;be&#x20;one&#x20;of&#x20;these&#x20;&#039;log&#x20;server&#039;&#x20;systems,&#x20;it&#x20;should&#x20;not&#x20;be&#x20;listening&#x20;on&#x20;514/udp&#x20;for&#x20;incoming&#x20;log&#x20;messages.','Disabling&#x20;unused&#x20;network&#x20;services&#x20;will&#x20;reduce&#x20;the&#x20;remote&#x20;attack&#x20;surfaces&#x20;of&#x20;the&#x20;hosting&#x20;system.','','Disable&#x20;the&#x20;syslog&#x20;network&#x20;option&#x20;by&#x20;doing&#x20;the&#x20;following:&#x20;1.&#x20;Open&#x20;the&#x20;syslogd&#x20;startup&#x20;configuration&#x20;file&#x20;/etc/rc.config.d/syslogd&#x20;2.&#x20;Add&#x20;the&#x20;parameter&#x20;&quot;-N&quot;&#x20;to&#x20;the&#x20;SYSLOGD_OPTS=&#x20;line&#x20;if&#x20;it&#x20;is&#x20;not&#x20;already&#x20;present&#x20;3.&#x20;Save&#x20;and&#x20;close&#x20;the&#x20;file.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;SYSLOGD_OPTS=&quot;`sh&#x20;-c&#x20;&quot;.&#x20;/etc/rc.config.d/syslogd&#x20;;&#x20;&#x20;echo&#x20;&quot;$SYSLOGD_OPTS&quot;&#039;`&quot;&#x20;if&#x20;[[&#x20;&quot;$SYSLOGD_OPTS&quot;&#x20;=&#x20;*-N*&#x20;]];&#x20;then&#x20;ch_rc&#x20;-a&#x20;-p&#x20;SYSLOGD_OPTS=&quot;-N&#x20;$SYSLOGD_OPTS&quot;&#x20;&#x20;/etc/rc.config.d/syslogd&#x20;fi','[{\"cis\": [\"1.6.3\"]}, {\"cis_level\": [\"1\"]}]'),(30035,'Disable&#x20;XDMCP&#x20;port.','Disable&#x20;the&#x20;XDMCP&#x20;port&#x20;for&#x20;remote&#x20;login&#x20;services.&#x20;The&#x20;standard&#x20;GUI&#x20;login&#x20;provided&#x20;on&#x20;most&#x20;Unix&#x20;systems&#x20;can&#x20;act&#x20;as&#x20;a&#x20;remote&#x20;login&#x20;server&#x20;to&#x20;other&#x20;devices&#x20;&#40;including&#x20;X&#x20;terminals&#x20;and&#x20;other&#x20;workstations&#41;.&#x20;Access&#x20;control&#x20;is&#x20;handled&#x20;via&#x20;the&#x20;Xaccess&#x20;file&mdash;by&#x20;default&#x20;under&#x20;HP-UX,&#x20;this&#x20;file&#x20;allows&#x20;any&#x20;system&#x20;on&#x20;the&#x20;network&#x20;to&#x20;get&#x20;a&#x20;remote&#x20;login&#x20;screen&#x20;from&#x20;the&#x20;local&#x20;system.&#x20;This&#x20;behavior&#x20;can&#x20;be&#x20;overridden&#x20;in&#x20;the&#x20;/etc/dt/config/Xaccess&#x20;file.','XDMCP&#x20;is&#x20;an&#x20;unencrypted&#x20;protocol&#x20;that&#x20;may&#x20;reduce&#x20;the&#x20;confidentiality&#x20;and&#x20;integrity&#x20;of&#x20;data&#x20;that&#x20;traverses&#x20;it.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;the&#x20;XDMCP&#x20;port:&#x20;1.&#x20;Open&#x20;the&#x20;file&#x20;/etc/dt/config/Xconfig.&#x20;If&#x20;it&#x20;does&#x20;not&#x20;exist,&#x20;copy&#x20;it&#x20;from&#x20;/usr/dt/config/Xconfig.&#x20;2.&#x20;Append&#x20;the&#x20;line&#x20;Dtlogin.requestPort:0&#x20;to&#x20;the&#x20;file&#x20;and&#x20;close.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;if&#x20;[&#x20;!&#x20;-f&#x20;/etc/dt/config/Xconfig&#x20;];&#x20;then&#x20;mkdir&#x20;-p&#x20;/etc/dt/config&#x20;cp&#x20;-p&#x20;/usr/dt/config/Xconfig&#x20;/etc/dt/config&#x20;fi&#x20;cd&#x20;/etc/dt/config&#x20;awk&#x20;&#039;/Dtlogin.requestPort:/&#x20;&#x20;{&#x20;print&#x20;&quot;Dtlogin.requestPort:&#x20;0&quot;;&#x20;next&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;Xconfig&#x20;&gt;&#x20;Xconfig.new&#x20;cp&#x20;Xconfig.new&#x20;Xconfig&#x20;rm&#x20;-f&#x20;Xconfig.new','[{\"cis\": [\"1.6.4\"]}, {\"cis_level\": [\"1\"]}]'),(30036,'Set&#x20;default&#x20;locking&#x20;screensaver&#x20;timeout.','The&#x20;default&#x20;timeout&#x20;is&#x20;between&#x20;10&#x20;and&#x20;30&#x20;minutes&#x20;of&#x20;keyboard/mouse&#x20;inactivity&#x20;before&#x20;a&#x20;password-protected&#x20;screen&#x20;saver&#x20;is&#x20;invoked&#x20;by&#x20;the&#x20;CDE&#x20;session&#x20;manager&#x20;depending&#x20;on&#x20;the&#x20;OS&#x20;release&#x20;and&#x20;the&#x20;locale.&#x20;Uniformly&#x20;reduce&#x20;this&#x20;default&#x20;timeout&#x20;value&#x20;to&#x20;10&#x20;minutes&#x20;&#40;this&#x20;setting&#x20;can&#x20;still&#x20;be&#x20;overridden&#x20;by&#x20;individual&#x20;users&#x20;in&#x20;their&#x20;own&#x20;environment.&#41;','Setting&#x20;the&#x20;inactivity&#x20;timer&#x20;to&#x20;a&#x20;low&#x20;value&#x20;will&#x20;reduce&#x20;the&#x20;probability&#x20;of&#x20;a&#x20;malicious&#x20;entity&#x20;compromising&#x20;the&#x20;system&#x20;via&#x20;the&#x20;console.','','Perform&#x20;the&#x20;following&#x20;to&#x20;set&#x20;a&#x20;default&#x20;screensaver&#x20;timeout&#x20;for&#x20;all&#x20;environments:&#x20;1.&#x20;For&#x20;every&#x20;sys.resources&#x20;file&#x20;in&#x20;each&#x20;directory&#x20;in&#x20;/usr/dt/config/&#x20;create&#x20;a&#x20;corresponding&#x20;/etc/dt/config&#47;&#42;/sys.resources&#x20;file&#x20;if&#x20;it&#x20;does&#x20;not&#x20;already&#x20;exist.&#x20;2.&#x20;Append&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;each&#x20;/etc/dt/config&#47;&#42;/sys.resources&#x20;dtsession*saverTimeout:&#x20;10&#x20;dtsession*lockTimeout:&#x20;10&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;for&#x20;file&#x20;in&#x20;/usr/dt/config&#47;&#42;/sys.resources;&#x20;do&#x20;dir=&quot;$&#40;dirname&#x20;&quot;$file&quot;&#x20;|&#x20;sed&#x20;&#039;s|^/usr/|/etc/|&#039;&#41;&quot;&#x20;mkdir&#x20;-p&#x20;&quot;$dir&quot;&#x20;echo&#x20;&#039;dtsession*saverTimeout:&#x20;10&#039;&#x20;&gt;&gt;&quot;$dir/sys.resources&quot;&#x20;echo&#x20;&#039;dtsession*lockTimeout:&#x20;10&#039;&#x20;&gt;&gt;&quot;$dir/sys.resources&quot;&#x20;done','[{\"cis\": [\"1.6.5\"]}, {\"cis_level\": [\"1\"]}]'),(30037,'Configure&#x20;IPFilter&#x20;to&#x20;allow&#x20;only&#x20;select&#x20;communication.','HP-UX&#x20;IPFilter&#x20;&#40;B9901AA&#41;&#x20;is&#x20;a&#x20;stateful&#x20;system&#x20;firewall&#x20;that&#x20;controls&#x20;IP&#x20;packet&#x20;flow&#x20;in&#x20;or&#x20;out&#x20;of&#x20;a&#x20;machine.&#x20;It&#x20;is&#x20;installed&#x20;by&#x20;default&#x20;on&#x20;HP-UX&#x20;11iv2&#x20;&#40;11.23&#41;&#x20;and&#x20;later.&#x20;On&#x20;older&#x20;systems,&#x20;IPFilter&#x20;can&#x20;be&#x20;obtained&#x20;from&#x20;http://www.hp.com/go/ipfilter.&#x20;The&#x20;rules&#x20;below&#x20;will&#x20;work&#x20;in&#x20;an&#x20;otherwise-empty&#x20;ipf.conf&#x20;file,&#x20;or,&#x20;if&#x20;there&#x20;are&#x20;rules&#x20;already&#x20;present,&#x20;it&#x20;will&#x20;block&#x20;all&#x20;that&#x20;were&#x20;not&#x20;passed&#x20;earlier&#x20;in&#x20;the&#x20;ruleset.&#x20;This&#x20;is&#x20;less&#x20;likely&#x20;to&#x20;break&#x20;things,&#x20;but&#x20;will&#x20;allow&#x20;more&#x20;traffic&#x20;through.&#x20;Alternatively,&#x20;you&#x20;can&#x20;instead&#x20;take&#x20;the&#x20;pass&#x20;lines&#x20;below&#x20;&#40;not&#x20;using&#x20;the&#x20;block&#x20;rule&#41;,&#x20;and&#x20;change&#x20;them&#x20;into&#x20;&#039;block&#x20;in&#x20;quick&#039;&#x20;rules,&#x20;and&#x20;place&#x20;those&#x20;at&#x20;the&#x20;top&#x20;of&#x20;the&#x20;file.&#x20;This&#x20;will&#x20;error&#x20;on&#x20;the&#x20;side&#x20;of&#x20;blocking&#x20;traffic.&#x20;See&#x20;ipf&#40;5&#41;&#x20;for&#x20;detail.&#x20;Your&#x20;ruleset&#x20;can&#x20;be&#x20;tested&#x20;using&#x20;ipftest&#40;1&#41;.&#x20;Bastille&#x20;note:&#x20;if&#x20;using&#x20;to&#x20;change&#x20;and&#x20;monitor&#x20;the&#x20;IPFilter&#x20;firewall,&#x20;ensure&#x20;that&#x20;rules&#x20;are&#x20;added&#x20;to&#x20;/etc/opt/sec_mgmt/bastille/ipf.customrules,&#x20;and&#x20;that&#x20;Bastille&#x20;is&#x20;rerun&#x20;with&#x20;the&#x20;last&#x20;config&#x20;file,&#x20;so&#x20;they&#x20;will&#x20;not&#x20;be&#x20;overwritten&#x20;in&#x20;a&#x20;subsequent&#x20;lockdown.','Restricting&#x20;incoming&#x20;network&#x20;traffic&#x20;to&#x20;explicitly&#x20;allowed&#x20;hosts&#x20;will&#x20;help&#x20;prevent&#x20;unauthorized&#x20;access&#x20;the&#x20;system.','','Perform&#x20;the&#x20;following&#x20;to&#x20;add&#x20;enable&#x20;ipfilter&#x20;and&#x20;install&#x20;a&#x20;default&#x20;ruleset&#x20;to&#x20;block&#x20;unauthorized&#x20;incoming&#x20;connections:&#x20;1.&#x20;Enable&#x20;ipfilter:&#x20;ipfilter&#x20;-e&#x20;2.&#x20;Append&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;/etc/opt/ipf/ipf.conf:&#x20;&#x20;block&#x20;in&#x20;all&#x20;pass&#x20;in&#x20;from&#x20;&lt;allowed&#x20;net&gt;/&lt;mask&gt;&#x20;pass&#x20;in&#x20;from&#x20;&lt;allowed&#x20;net&gt;/&lt;mask&gt;&#x20;replacing&#x20;each&#x20;&lt;allowed&#x20;net&gt;/&lt;mask&gt;&#x20;with&#x20;an&#x20;authorized&#x20;IP&#x20;address&#x20;and&#x20;mask.&#x20;3.&#x20;Flush&#x20;the&#x20;old&#x20;rules&#x20;and&#x20;read&#x20;in&#x20;the&#x20;updated&#x20;rules:&#x20;ipf&#x20;-Fa&#x20;-f&#x20;/etc/opt/ipf/ipf.conf&#x20;The&#x20;following&#x20;script&#x20;can&#x20;be&#x20;used&#x20;to&#x20;as&#x20;a&#x20;template&#x20;for&#x20;creating&#x20;your&#x20;own&#x20;script&#x20;to&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;ipfilter&#x20;-e&#x20;cat&#x20;&lt;&lt;EOF&#x20;&gt;&gt;&#x20;/etc/opt/ipf/ipf.conf&#x20;block&#x20;in&#x20;all&#x20;pass&#x20;in&#x20;from&#x20;&lt;allowed&#x20;net&gt;/&lt;mask&gt;&#x20;pass&#x20;in&#x20;from&#x20;&lt;allowed&#x20;net&gt;/&lt;mask&gt;&#x20;EOF&#x20;ipf&#x20;-Fa&#x20;-f&#x20;/etc/opt/ipf/ipf.conf','[{\"cis\": [\"1.6.6\"]}, {\"cis_level\": [\"1\"]}]'),(30038,'Restrict&#x20;at/cron&#x20;to&#x20;authorized&#x20;users.','The&#x20;cron.allow&#x20;and&#x20;at.allow&#x20;files&#x20;are&#x20;a&#x20;list&#x20;of&#x20;users&#x20;who&#x20;are&#x20;allowed&#x20;to&#x20;run&#x20;the&#x20;crontab&#x20;and&#x20;at&#x20;commands&#x20;to&#x20;submit&#x20;jobs&#x20;to&#x20;be&#x20;run&#x20;at&#x20;scheduled&#x20;intervals.&#x20;-&#x20;Note&#x20;that&#x20;even&#x20;though&#x20;a&#x20;given&#x20;user&#x20;is&#x20;not&#x20;listed&#x20;in&#x20;cron.allow,&#x20;cron&#x20;jobs&#x20;can&#x20;still&#x20;be&#x20;run&#x20;as&#x20;that&#x20;user.&#x20;cron.allow&#x20;only&#x20;controls&#x20;administrative&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;command&#x20;for&#x20;scheduling&#x20;and&#x20;modifying&#x20;cron&#x20;jobs.','On&#x20;many&#x20;systems,&#x20;only&#x20;the&#x20;system&#x20;administrator&#x20;needs&#x20;the&#x20;ability&#x20;to&#x20;schedule&#x20;jobs.','','Perform&#x20;the&#x20;following&#x20;to&#x20;restrict&#x20;at/cron&#x20;to&#x20;root&#x20;only:&#x20;1.&#x20;Change&#x20;to&#x20;the&#x20;/var/adm/cron&#x20;directory&#x20;2.&#x20;Archive&#x20;or&#x20;delete&#x20;any&#x20;existing&#x20;cron.deny&#x20;and&#x20;at.deny&#x20;files&#x20;3.&#x20;Create&#x20;or&#x20;replace&#x20;the&#x20;cron.allow&#x20;and&#x20;at.allow&#x20;files&#x20;with&#x20;a&#x20;single&#x20;line&#x20;file&#x20;containing&#x20;just&#x20;root&#x20;4.&#x20;Ensure&#x20;that&#x20;the&#x20;files&#x20;are&#x20;owned&#x20;by&#x20;root&#x20;and&#x20;group&#x20;owned&#x20;by&#x20;sys&#x20;5.&#x20;Ensure&#x20;that&#x20;no&#x20;users&#x20;have&#x20;write/execute&#x20;permission&#x20;to&#x20;the&#x20;files,&#x20;and&#x20;that&#x20;only&#x20;root&#x20;has&#x20;read&#x20;access&#x20;to&#x20;the&#x20;files.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedures&#x20;above:&#x20;cd&#x20;/var/adm/cron&#x20;rm&#x20;-f&#x20;cron.deny&#x20;at.deny&#x20;echo&#x20;root&#x20;&gt;cron.allow&#x20;echo&#x20;root&#x20;&gt;at.allow&#x20;chown&#x20;root:sys&#x20;cron.allow&#x20;at.allow&#x20;chmod&#x20;400&#x20;cron.allow&#x20;at.allow','[{\"cis\": [\"1.6.7\"]}, {\"cis_level\": [\"1\"]}]'),(30039,'Restrict&#x20;crontab&#x20;file&#x20;permissions.','The&#x20;system&#x20;crontab&#x20;files&#x20;are&#x20;only&#x20;accessed&#x20;by&#x20;the&#x20;cron&#x20;daemon&#x20;&#40;which&#x20;runs&#x20;with&#x20;superuser&#x20;privileges&#41;&#x20;and&#x20;the&#x20;crontab&#x20;command&#x20;&#40;which&#x20;is&#x20;set-UID&#x20;to&#x20;root&#41;.','Allowing&#x20;unprivileged&#x20;users&#x20;to&#x20;read&#x20;or&#x20;&#40;even&#x20;worse&#41;&#x20;modify&#x20;system&#x20;crontab&#x20;files&#x20;can&#x20;create&#x20;the&#x20;potential&#x20;for&#x20;a&#x20;local&#x20;user&#x20;on&#x20;the&#x20;system&#x20;to&#x20;gain&#x20;elevated&#x20;privileges.','','Perform&#x20;the&#x20;following&#x20;so&#x20;that&#x20;only&#x20;root&#x20;has&#x20;access&#x20;to&#x20;the&#x20;crontab&#x20;files:&#x20;1.&#x20;Change&#x20;to&#x20;the&#x20;/var/spool/cron/crontabs&#x20;directory&#x20;2.&#x20;Change&#x20;the&#x20;file&#x20;owner&#x20;to&#x20;root&#x20;and&#x20;file&#x20;group&#x20;owner&#x20;to&#x20;sys&#x20;3.&#x20;Set&#x20;file&#x20;permissions&#x20;so&#x20;that&#x20;only&#x20;root&#x20;has&#x20;access&#x20;to&#x20;the&#x20;files.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;cd&#x20;/var/spool/cron/crontabs&#x20;chown&#x20;root:sys&#x20;*&#x20;chmod&#x20;og-rwx&#x20;*','[{\"cis\": [\"1.6.8\"]}, {\"cis_level\": [\"1\"]}]'),(30040,'Restrict&#x20;root&#x20;logins&#x20;to&#x20;system&#x20;console.','Anonymous&#x20;root&#x20;logins&#x20;should&#x20;never&#x20;be&#x20;allowed&#x20;except&#x20;on&#x20;the&#x20;system&#x20;console&#x20;in&#x20;emergency&#x20;situations.&#x20;At&#x20;all&#x20;other&#x20;times,&#x20;the&#x20;administrator&#x20;should&#x20;access&#x20;the&#x20;system&#x20;via&#x20;an&#x20;unprivileged&#x20;account&#x20;and&#x20;use&#x20;some&#x20;authorized&#x20;mechanism&#x20;to&#x20;gain&#x20;additional&#x20;privilege,&#x20;such&#x20;as&#x20;the&#x20;su&#x20;command,&#x20;the&#x20;freely-available&#x20;sudo&#x20;package&#x20;discussed&#x20;in&#x20;item&#x20;SN.6,&#x20;or&#x20;the&#x20;HP&#x20;Role&#x20;Based&#x20;Authorization&#x20;system&#x20;also&#x20;discussed&#x20;in&#x20;item&#x20;SN.6.&#x20;These&#x20;mechanisms&#x20;provide&#x20;at&#x20;least&#x20;a&#x20;limited&#x20;audit&#x20;trail&#x20;in&#x20;the&#x20;event&#x20;of&#x20;problems.','Anonymous&#x20;root&#x20;logins&#x20;do&#x20;not&#x20;provide&#x20;an&#x20;audit&#x20;trail,&#x20;nor&#x20;are&#x20;subject&#x20;to&#x20;additional&#x20;authorization&#x20;provisions.','','Perform&#x20;the&#x20;following&#x20;to&#x20;restrict&#x20;root&#x20;logins&#x20;to&#x20;the&#x20;system&#x20;console&#x20;only:&#x20;1.&#x20;Replace&#x20;the&#x20;file&#x20;/etc/securetty&#x20;with&#x20;a&#x20;single&#x20;line&#x20;file&#x20;containing&#x20;console&#x20;2.&#x20;Change&#x20;the&#x20;file&#x20;owner&#x20;to&#x20;root&#x20;and&#x20;file&#x20;group&#x20;owner&#x20;to&#x20;sys&#x20;3.&#x20;Set&#x20;file&#x20;permissions&#x20;so&#x20;that&#x20;only&#x20;root&#x20;has&#x20;access&#x20;to&#x20;the&#x20;file.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;&#x20;echo&#x20;console&#x20;&gt;&#x20;/etc/securetty&#x20;chown&#x20;root:sys&#x20;/etc/securetty&#x20;chmod&#x20;og-rwx&#x20;/etc/securetty','[{\"cis\": [\"1.6.9\"]}, {\"cis_level\": [\"1\"]}]'),(30041,'Disable&#x20;nobody&#x20;access&#x20;for&#x20;secure&#x20;RPC.','The&#x20;keyserv&#x20;process&#x20;stores&#x20;user&#x20;keys&#x20;that&#x20;are&#x20;utilized&#x20;with&#x20;the&#x20;ONC&#x20;secure&#x20;RPC&#x20;mechanism.&#x20;The&#x20;action&#x20;below&#x20;prevents&#x20;keyserv&#x20;from&#x20;using&#x20;default&#x20;keys&#x20;for&#x20;the&#x20;&quot;nobody&quot;&#x20;user,&#x20;effectively&#x20;stopping&#x20;this&#x20;user&#x20;from&#x20;accessing&#x20;information&#x20;via&#x20;secure&#x20;RPC.','The&#x20;default&#x20;&#039;nobody&#039;&#x20;user&#x20;should&#x20;not&#x20;be&#x20;accessing&#x20;information&#x20;via&#x20;secure&#x20;RPC.','','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;nobody&#x20;access&#x20;for&#x20;secure&#x20;RPC:&#x20;1.&#x20;Add&#x20;the&#x20;&#039;-d&#039;&#x20;option&#x20;to&#x20;the&#x20;KEYSERV_OPTIONS&#x20;parameter&#x20;in&#x20;the&#x20;system&#x20;startup&#x20;configuration&#x20;file&#x20;/etc/rc.config.d/namesvrs&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;KEYSERV_OPTIONS=&quot;`sh&#x20;-c&#x20;&#039;.&#x20;/etc/rc.config.d/namesvrs&#x20;;&#x20;echo&#x20;&quot;$KEYSERV_OPTIONS&quot;&#039;`&quot;&#x20;ch_rc&#x20;-a&#x20;-p&#x20;KEYSERV_OPTIONS=&quot;-d&#x20;$KEYSERV_OPTIONS&#x20;&quot;&#x20;&#x20;/etc/rc.config.d/namesvrs','[{\"cis\": [\"1.6.11\"]}, {\"cis_level\": [\"1\"]}]'),(30042,'Enable&#x20;kernel-level&#x20;auditing.','If&#x20;inetd&#x20;is&#x20;running,&#x20;it&#x20;is&#x20;a&#x20;good&#x20;idea&#x20;to&#x20;make&#x20;use&#x20;of&#x20;the&#x20;&#039;logging&#039;&#x20;&#40;-l&#41;&#x20;feature&#x20;of&#x20;the&#x20;HP-UX&#x20;inetd&#x20;that&#x20;logs&#x20;information&#x20;about&#x20;the&#x20;source&#x20;of&#x20;any&#x20;network&#x20;connections&#x20;seen&#x20;by&#x20;the&#x20;daemon,&#x20;allowing&#x20;the&#x20;administrator&#x20;&#40;or&#x20;software&#41;&#x20;to&#x20;scan&#x20;the&#x20;logs&#x20;for&#x20;unusual&#x20;activity.&#x20;This&#x20;is&#x20;especially&#x20;powerful&#x20;when&#x20;combined&#x20;with&#x20;the&#x20;access&#x20;control&#x20;capabilities&#x20;accessible&#x20;through&#x20;inetd‟s&#x20;/var/adm/inetd.sec&#x20;configuration&#x20;file.&#x20;This&#x20;information&#x20;is&#x20;logged&#x20;via&#x20;Syslog&#x20;and&#x20;by&#x20;default&#x20;HP-UX&#x20;systemsdeposit&#x20;this&#x20;logging&#x20;information&#x20;in&#x20;var/adm/syslog/syslog.log&#x20;with&#x20;other&#x20;system&#x20;log&#x20;messages.&#x20;Should&#x20;the&#x20;administrator&#x20;wish&#x20;to&#x20;capture&#x20;this&#x20;information&#x20;in&#x20;a&#x20;separate&#x20;file,&#x20;simply&#x20;modify&#x20;/etc/syslog.conf&#x20;to&#x20;log&#x20;daemon.notice&#x20;to&#x20;some&#x20;other&#x20;log&#x20;file&#x20;destination.&#x20;IPFilter,&#x20;which&#x20;comes&#x20;with&#x20;HP-UX,&#x20;can&#x20;log&#x20;inetd&#x20;and&#x20;other&#x20;connections&#x20;or&#x20;attempted&#x20;connections&#x20;with&#x20;its&#x20;&#039;ipmon&#039;&#x20;daemon&#x20;as&#x20;either&#x20;a&#x20;compliment&#x20;or&#x20;alternative&#x20;to&#x20;inetd&#x20;logging.','By&#x20;recording&#x20;key&#x20;system&#x20;events&#x20;in&#x20;log&#x20;files,&#x20;kernel-level&#x20;auditing&#x20;provides&#x20;a&#x20;trail&#x20;to&#x20;detect&#x20;and&#x20;analyze&#x20;security&#x20;breaches.&#x20;Moreover,&#x20;this&#x20;data&#x20;can&#x20;be&#x20;used&#x20;to&#x20;detect&#x20;potential&#x20;security&#x20;weakness,&#x20;and&#x20;also&#x20;serves&#x20;as&#x20;a&#x20;deterrent&#x20;against&#x20;system&#x20;abuses.','','Use&#x20;the&#x20;Systems&#x20;Management&#x20;Homepage&#x20;&#40;SMH&#41;&#x20;facility&#x20;to&#x20;configure&#x20;and&#x20;enable&#x20;the&#x20;type&#x20;and&#x20;level&#x20;of&#x20;auditing&#x20;appropriate&#x20;for&#x20;your&#x20;environment.','[{\"cis\": [\"1.7.1\"]}, {\"cis_level\": [\"1\"]}]'),(30043,'Enable&#x20;logging&#x20;from&#x20;inetd.','If&#x20;inetd&#x20;is&#x20;running,&#x20;it&#x20;is&#x20;a&#x20;good&#x20;idea&#x20;to&#x20;make&#x20;use&#x20;of&#x20;the&#x20;&quot;logging&quot;&#x20;&#40;-l&#41;&#x20;feature&#x20;of&#x20;the&#x20;HP-UX&#x20;inetd&#x20;that&#x20;logs&#x20;information&#x20;about&#x20;the&#x20;source&#x20;of&#x20;any&#x20;network&#x20;connections&#x20;seen&#x20;by&#x20;the&#x20;daemon,&#x20;allowing&#x20;the&#x20;administrator&#x20;&#40;or&#x20;software&#41;&#x20;to&#x20;scan&#x20;the&#x20;logs&#x20;for&#x20;unusual&#x20;activity.&#x20;This&#x20;is&#x20;especially&#x20;powerful&#x20;when&#x20;combined&#x20;with&#x20;the&#x20;access&#x20;control&#x20;capabilities&#x20;accessible&#x20;through&#x20;inetd&#039;s&#x20;/var/adm/inetd.sec&#x20;configuration&#x20;file.&#x20;This&#x20;information&#x20;is&#x20;logged&#x20;via&#x20;Syslog&#x20;and&#x20;by&#x20;default&#x20;HP-UX&#x20;systems&#x20;deposit&#x20;this&#x20;logging&#x20;information&#x20;in&#x20;var/adm/syslog/syslog.log&#x20;with&#x20;other&#x20;system&#x20;log&#x20;messages.&#x20;Should&#x20;the&#x20;administrator&#x20;wish&#x20;to&#x20;capture&#x20;this&#x20;information&#x20;in&#x20;a&#x20;separate&#x20;file,&#x20;simply&#x20;modify&#x20;/etc/syslog.conf&#x20;to&#x20;log&#x20;daemon.notice&#x20;to&#x20;some&#x20;other&#x20;log&#x20;file&#x20;destination.&#x20;IPFilter,&#x20;which&#x20;comes&#x20;with&#x20;HP-UX,&#x20;can&#x20;log&#x20;inetd&#x20;and&#x20;other&#x20;connections&#x20;or&#x20;attempted&#x20;connections&#x20;with&#x20;its&#x20;&quot;ipmon&quot;&#x20;daemon&#x20;as&#x20;either&#x20;a&#x20;compliment&#x20;or&#x20;alternative&#x20;to&#x20;inetd&#x20;logging.','Logging&#x20;information&#x20;about&#x20;the&#x20;source&#x20;of&#x20;inetd&#x20;network&#x20;connections&#x20;assists&#x20;in&#x20;the&#x20;detection&#x20;and&#x20;identification&#x20;of&#x20;unusual&#x20;activity&#x20;that&#x20;may&#x20;be&#x20;associated&#x20;with&#x20;security&#x20;intrusions.','','Perform&#x20;the&#x20;following:&#x20;ch_rc&#x20;-a&#x20;-p&#x20;INETD_ARGS=-l&#x20;/etc/rc.config.d/netdaemons','[{\"cis\": [\"1.7.2\"]}, {\"cis_level\": [\"1\"]}]'),(30045,'Block&#x20;system&#x20;accounts.','Accounts&#x20;that&#x20;are&#x20;not&#x20;being&#x20;used&#x20;by&#x20;regular&#x20;users&#x20;should&#x20;be&#x20;locked.&#x20;Not&#x20;only&#x20;should&#x20;the&#x20;password&#x20;field&#x20;for&#x20;the&#x20;account&#x20;be&#x20;set&#x20;to&#x20;an&#x20;invalid&#x20;string,&#x20;but&#x20;the&#x20;shell&#x20;field&#x20;in&#x20;the&#x20;password&#x20;file&#x20;should&#x20;contain&#x20;an&#x20;invalid&#x20;shell.&#x20;Access&#x20;to&#x20;the&#x20;uucp&#x20;and&#x20;nuucp&#x20;accounts&#x20;is&#x20;only&#x20;needed&#x20;when&#x20;the&#x20;deprecated&#x20;Unix&#x20;to&#x20;Unix&#x20;Copy&#x20;&#40;UUCP&#41;&#x20;service&#x20;is&#x20;in&#x20;use.&#x20;The&#x20;other&#x20;listed&#x20;accounts&#x20;should&#x20;never&#x20;require&#x20;direct&#x20;access.&#x20;The&#x20;actions&#x20;below&#x20;locks&#x20;the&#x20;passwords&#x20;to&#x20;these&#x20;accounts&#x20;&#40;on&#x20;systems&#x20;converted&#x20;to&#x20;Trusted&#x20;Mode&#x20;only&#41;&#x20;and&#x20;sets&#x20;the&#x20;login&#x20;shell&#x20;to&#x20;/bin/false.&#x20;Note&#x20;that&#x20;the&#x20;above&#x20;is&#x20;not&#x20;an&#x20;exhaustive&#x20;list&#x20;of&#x20;possible&#x20;system/application&#x20;accounts&#x20;that&#x20;could&#x20;be&#x20;installed&#x20;on&#x20;the&#x20;system.&#x20;An&#x20;audit&#x20;of&#x20;all&#x20;users&#x20;on&#x20;the&#x20;system&#x20;is&#x20;the&#x20;only&#x20;way&#x20;to&#x20;be&#x20;sure&#x20;that&#x20;only&#x20;authorized&#x20;accounts&#x20;are&#x20;in&#x20;place.','System&#x20;accounts&#x20;are&#x20;not&#x20;used&#x20;by&#x20;regular&#x20;users,&#x20;and&#x20;almost&#x20;never&#x20;require&#x20;direct&#x20;access;&#x20;thus,&#x20;they&#x20;should&#x20;be&#x20;locked&#x20;to&#x20;prevent&#x20;accidental&#x20;or&#x20;malicious&#x20;usage.','','Perform&#x20;the&#x20;following&#x20;to&#x20;properly&#x20;lock&#x20;the&#x20;following&#x20;known&#x20;system&#x20;users:&#x20;www&#x20;sys&#x20;smbnull&#x20;iwww&#x20;owww&#x20;sshd&#x20;hpsmh&#x20;named&#x20;uucp&#x20;nuucp&#x20;adm&#x20;daemon&#x20;bin&#x20;lp&#x20;nobody&#x20;noaccess&#x20;hpdb&#x20;useradm&#x20;1.&#x20;Lock&#x20;the&#x20;account:&#x20;passwd&#x20;-l&#x20;&lt;user&gt;&#x20;2.&#x20;Set&#x20;the&#x20;login&#x20;shell&#x20;to&#x20;an&#x20;invalid&#x20;program:&#x20;/usr/sbin/usermod&#x20;-s&#x20;/bin/false&#x20;&lt;user&gt;&#x20;3.&#x20;If&#x20;a&#x20;trusted&#x20;system,&#x20;set&#x20;the&#x20;adminstrator&#x20;lock:&#x20;/usr/lbin/modprpw&#x20;-m&#x20;alock=YES&#x20;&lt;user&gt;&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;for&#x20;user&#x20;in&#x20;www&#x20;sys&#x20;smbnull&#x20;iwww&#x20;owww&#x20;sshd&#x20;&#x20;hpsmh&#x20;named&#x20;uucp&#x20;nuucp&#x20;adm&#x20;daemon&#x20;bin&#x20;lp&#x20;&#x20;nobody&#x20;noaccess&#x20;hpdb&#x20;useradm;&#x20;do&#x20;passwd&#x20;-l&#x20;&quot;$user&quot;&#x20;/usr/sbin/usermod&#x20;-s&#x20;/bin/false&#x20;&quot;$user&quot;&#x20;if&#x20;[[&#x20;-f&#x20;/tcb&#x20;]];&#x20;then&#x20;/usr/lbin/modprpw&#x20;-m&#x20;alock=YES&#x20;&quot;$user&quot;&#x20;fi&#x20;done','[{\"cis\": [\"1.8.1\"]}, {\"cis_level\": [\"1\"]}]'),(30046,'Verify&#x20;that&#x20;there&#x20;are&#x20;no&#x20;accounts&#x20;with&#x20;empty&#x20;password&#x20;fields.','An&#x20;account&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field&#x20;means&#x20;that&#x20;anybody&#x20;may&#x20;log&#x20;in&#x20;as&#x20;that&#x20;user&#x20;without&#x20;providing&#x20;a&#x20;password&#x20;at&#x20;all.&#x20;All&#x20;accounts&#x20;should&#x20;have&#x20;strong&#x20;passwords&#x20;or&#x20;should&#x20;be&#x20;locked&#x20;by&#x20;using&#x20;a&#x20;password&#x20;string&#x20;like&#x20;&quot;*&quot;,&#x20;&quot;NP&quot;,&#x20;or&#x20;&quot;*LOCKED*&quot;','User&#x20;accounts&#x20;should&#x20;have&#x20;passwords,&#x20;or&#x20;be&#x20;locked.','','Perform&#x20;the&#x20;following&#x20;to&#x20;ensure&#x20;that&#x20;no&#x20;accounts&#x20;have&#x20;an&#x20;empty&#x20;password&#x20;field:&#x20;1.&#x20;Identify&#x20;all&#x20;user&#x20;accounts&#x20;with&#x20;an&#x20;empty&#x20;password&#x20;field:&#x20;logins&#x20;-p&#x20;2.&#x20;Lock&#x20;each&#x20;account:&#x20;passwd&#x20;-l&#x20;&lt;user&gt;&#x20;3.&#x20;If&#x20;a&#x20;trusted&#x20;system,&#x20;set&#x20;the&#x20;administrator&#x20;lock:&#x20;/usr/lbin/modprpw&#x20;-m&#x20;alock=YES&#x20;&lt;user&gt;','[{\"cis\": [\"1.8.2\"]}, {\"cis_level\": [\"1\"]}]'),(30047,'Set&#x20;account&#x20;expiration&#x20;parameters&#x20;on&#x20;active&#x20;accounts.','The&#x20;commands&#x20;below&#x20;will&#x20;set&#x20;all&#x20;active&#x20;accounts&#x20;&#40;except&#x20;the&#x20;root&#x20;account&#41;&#x20;to&#x20;force&#x20;password&#x20;changes&#x20;every&#x20;90&#x20;days&#x20;&#40;91&#x20;days&#x20;when&#x20;not&#x20;running&#x20;in&#x20;HP-UX&#x20;Trusted&#x20;Mode&#41;&#x20;and&#x20;then&#x20;prevent&#x20;password&#x20;changes&#x20;for&#x20;seven&#x20;days&#x20;&#40;one&#x20;week&#41;&#x20;thereafter.&#x20;Users&#x20;will&#x20;begin&#x20;receiving&#x20;warnings&#x20;30&#x20;days&#x20;&#40;28&#x20;days&#x20;when&#x20;not&#x20;running&#x20;in&#x20;HP-UX&#x20;Trusted&#x20;Mode&#41;&#x20;before&#x20;their&#x20;password&#x20;expires.&#x20;Sites&#x20;also&#x20;have&#x20;the&#x20;option&#x20;of&#x20;expiring&#x20;idle&#x20;accounts&#x20;after&#x20;a&#x20;certain&#x20;number&#x20;of&#x20;days&#x20;&#40;see&#x20;the&#x20;on-line&#x20;manual&#x20;page&#x20;for&#x20;the&#x20;usermod&#x20;command,&#x20;particularly&#x20;the&#x20;-f&#x20;option&#41;.&#x20;These&#x20;are&#x20;recommended&#x20;starting&#x20;values,&#x20;but&#x20;sites&#x20;may&#x20;choose&#x20;to&#x20;make&#x20;them&#x20;more&#x20;restrictive&#x20;depending&#x20;on&#x20;local&#x20;policies.','It&#x20;is&#x20;a&#x20;good&#x20;idea&#x20;to&#x20;force&#x20;users&#x20;to&#x20;change&#x20;passwords&#x20;on&#x20;a&#x20;regular&#x20;basis.','','Perform&#x20;the&#x20;following&#x20;to&#x20;set&#x20;password&#x20;expiration&#x20;parameters&#x20;on&#x20;all&#x20;active&#x20;accounts:&#x20;1.&#x20;Identify&#x20;all&#x20;user&#x20;accounts&#x20;excluding&#x20;root&#x20;that&#x20;are&#x20;not&#x20;locked,&#x20;and&#x20;for&#x20;each:&#x20;2.&#x20;Set&#x20;password&#x20;expiration&#x20;parameters&#x20;for&#x20;the&#x20;account&#x20;&#40;logname&#41;&#x20;by&#x20;executing&#x20;the&#x20;following:&#x20;passwd&#x20;-x&#x20;91&#x20;-n&#x20;7&#x20;-w&#x20;28&#x20;&lt;logname&gt;&#x20;for&#x20;trusted&#x20;systems,&#x20;perform&#x20;the&#x20;following:&#x20;/usr/lbin/modprpw&#x20;-m&#x20;exptm=90,mintm=7,expwarn=30&#x20;&lt;logname&gt;&#x20;3.&#x20;Set&#x20;the&#x20;default&#x20;account&#x20;expiration&#x20;parameters&#x20;by&#x20;appending&#x20;the&#x20;following&#x20;lines&#x20;to&#x20;/etc/default/security:&#x20;a.&#x20;PASSWORD_MAXDAYS=91&#x20;b.&#x20;PASSWORD_MINDAYS=7&#x20;c.&#x20;PASSWORD_WARNDAYS=28&#x20;4.&#x20;Set&#x20;the&#x20;default&#x20;parameters&#x20;for&#x20;trusted&#x20;systems&#x20;with:&#x20;/usr/lbin/modprdef&#x20;-m&#x20;exptm=90,mintm=7,expwarn=30&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above.&#x20;logins&#x20;-ox&#x20;&#x20;|&#x20;awk&#x20;-F:&#x20;&#039;&#40;$8&#x20;!=&#x20;&quot;LK&quot;&#x20;&amp;&amp;&#x20;$1&#x20;!=&#x20;&quot;root&quot;&#41;&#x20;{&#x20;print&#x20;$1&#x20;}&#039;&#x20;&#x20;|&#x20;while&#x20;read&#x20;logname;&#x20;do&#x20;passwd&#x20;-x&#x20;91&#x20;-n&#x20;7&#x20;-w&#x20;28&#x20;&quot;$logname&quot;&#x20;/usr/lbin/modprpw&#x20;-m&#x20;exptm=90,mintm=7,expwarn=30&#x20;&#x20;&quot;$logname&quot;&#x20;done&#x20;echo&#x20;PASSWORD_MAXDAYS=91&#x20;&gt;&gt;&#x20;/etc/default/security&#x20;echo&#x20;PASSWORD_MINDAYS=7&#x20;&gt;&gt;&#x20;/etc/default/security&#x20;echo&#x20;PASSWORD_WARNDAYS=28&#x20;&gt;&gt;&#x20;/etc/default/security&#x20;/usr/lbin/modprdef&#x20;-m&#x20;exptm=90,mintm=7,expwarn=30','[{\"cis\": [\"1.8.3\"]}, {\"cis_level\": [\"1\"]}]'),(30048,'Set&#x20;strong&#x20;password&#x20;enforcement&#x20;policies.','The&#x20;policies&#x20;set&#x20;here&#x20;are&#x20;designed&#x20;to&#x20;force&#x20;users&#x20;to&#x20;make&#x20;better&#x20;password&#x20;choices&#x20;when&#x20;changing&#x20;their&#x20;passwords.&#x20;Sites&#x20;often&#x20;have&#x20;differing&#x20;opinions&#x20;on&#x20;the&#x20;optimal&#x20;value&#x20;of&#x20;the&#x20;MIN_PASSWORD_LENGTH&#x20;and&#x20;PASSWORD_HISTORY_DEPTH&#x20;parameters.&#x20;A&#x20;minimum&#x20;password&#x20;length&#x20;of&#x20;seven&#x20;is&#x20;in&#x20;line&#x20;with&#x20;industry&#x20;standards,&#x20;especially&#x20;the&#x20;Payment&#x20;Card&#x20;Industry&#x20;&#40;PCI&#41;&#x20;Security&#x20;Standard;&#x20;however,&#x20;a&#x20;longer&#x20;value&#x20;may&#x20;be&#x20;warranted&#x20;if&#x20;account&#x20;locks&#x20;are&#x20;not&#x20;enabled&#x20;&#40;item&#x20;1.6.10&#41;.&#x20;A&#x20;password&#x20;history&#x20;depth&#x20;of&#x20;ten&#x20;combined&#x20;with&#x20;passwords&#x20;that&#x20;expire&#x20;four&#x20;times&#x20;per&#x20;year&#x20;&#40;item&#x20;1.8.3&#41;&#x20;means&#x20;users&#x20;will&#x20;typically&#x20;not&#x20;re-use&#x20;the&#x20;same&#x20;password&#x20;in&#x20;any&#x20;given&#x20;year.&#x20;Requiring&#x20;an&#x20;upper/lowercase&#x20;and&#x20;special&#x20;character&#x20;password&#x20;will&#x20;dramatically&#x20;increase&#x20;the&#x20;password&#x20;search&#x20;space&#x20;and&#x20;lower&#x20;the&#x20;chances&#x20;for&#x20;brute-force&#x20;attack&#x20;significantly.&#x20;-&#x20;Note:&#x20;these&#x20;settings&#x20;are&#x20;known&#x20;to&#x20;exist&#x20;for&#x20;HP-UX&#x20;11iv2,&#x20;0512&#x20;and&#x20;later.&#x20;The&#x20;man&#x20;page&#x20;for&#x20;security&#40;5&#41;&#x20;will&#x20;indicate&#x20;if&#x20;these&#x20;exist&#x20;on&#x20;your&#x20;particular&#x20;system.&#x20;Be&#x20;sure&#x20;to&#x20;consult&#x20;you&#x20;local&#x20;security&#x20;standards&#x20;before&#x20;adopting&#x20;the&#x20;values&#x20;given&#x20;above.','All&#x20;users&#x20;should&#x20;use&#x20;strong&#x20;passwords.','','Perform&#x20;the&#x20;following&#x20;to&#x20;set&#x20;strong&#x20;password&#x20;enforcement&#x20;policies:&#x20;1.&#x20;Change&#x20;the&#x20;following&#x20;parameters&#x20;in&#x20;the&#x20;/etc/default/security&#x20;file&#x20;to&#x20;establish&#x20;default&#x20;password&#x20;policies&#x20;for&#x20;new&#x20;users:&#x20;a.&#x20;MIN_PASSORD_LENGTH=7&#x20;b.&#x20;PASSWORD_HISTORY_DEPTH=10&#x20;c.&#x20;PASSWORD_MIN_UPPER_CASE_CHARS=1&#x20;d.&#x20;PASSWORD_MIN_DIGIT_CHARS=1&#x20;e.&#x20;PASSWORD_MIN_SPECIAL_CHARS=1&#x20;f.&#x20;PASSWORD_MIN_LOWER_CASE_CHARS=1&#x20;2.&#x20;If&#x20;using&#x20;a&#x20;trusted&#x20;system,&#x20;issue&#x20;the&#x20;following&#x20;modprdef&#x20;commands&#x20;to&#x20;disallow&#x20;null&#x20;or&#x20;trivial&#x20;passwords:&#x20;&#x20;modprdef&#x20;-m&#x20;nullpw=NO&#x20;modprdef&#x20;-m&#x20;rstrpw=YES&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;modprdef&#x20;-m&#x20;nullpw=NO&#x20;modprdef&#x20;-m&#x20;rstrpw=YES&#x20;ch_rc&#x20;-a&#x20;-p&#x20;MIN_PASSORD_LENGTH=7&#x20;/etc/default/security&#x20;ch_rc&#x20;-a&#x20;-p&#x20;PASSWORD_HISTORY_DEPTH=10&#x20;&#x20;/etc/default/security&#x20;ch_rc&#x20;-a&#x20;-p&#x20;PASSWORD_MIN_UPPER_CASE_CHARS=1&#x20;&#x20;/etc/default/security&#x20;ch_rc&#x20;-a&#x20;-p&#x20;PASSWORD_MIN_DIGIT_CHARS=1&#x20;&#x20;/etc/default/security&#x20;ch_rc&#x20;-a&#x20;-p&#x20;PASSWORD_MIN_SPECIAL_CHARS=1&#x20;&#x20;/etc/default/security&#x20;ch_rc&#x20;-a&#x20;-p&#x20;PASSWORD_MIN_LOWER_CASE_CHARS=1&#x20;&#x20;/etc/default/security&#x20;modprdef&#x20;-m&#x20;nullpw=NO&#x20;modprdef&#x20;-m&#x20;rstrpw=YES','[{\"cis\": [\"1.8.4\"]}, {\"cis_level\": [\"1\"]}]'),(30049,'Verify&#x20;no&#x20;legacy&#x20;&#039;+&#039;&#x20;entries&#x20;exist&#x20;in&#x20;passwd&#x20;and&#x20;group&#x20;files.','&#039;+&#039;&#x20;entries&#x20;in&#x20;various&#x20;passwd&#x20;and&#x20;group&#x20;files&#x20;served&#x20;as&#x20;markers&#x20;for&#x20;systems&#x20;to&#x20;insert&#x20;data&#x20;from&#x20;NIS&#x20;maps&#x20;at&#x20;a&#x20;certain&#x20;point&#x20;in&#x20;a&#x20;system&#x20;configuration&#x20;file.&#x20;HP-UX&#x20;does&#x20;not&#x20;use&#x20;these&#x20;markers,&#x20;but&#x20;they&#x20;may&#x20;exist&#x20;in&#x20;files&#x20;that&#x20;have&#x20;been&#x20;imported&#x20;from&#x20;other&#x20;platforms.&#x20;They&#x20;should&#x20;be&#x20;deleted&#x20;if&#x20;they&#x20;exist.','Legacy&#x20;&#039;+&#039;&#x20;entries&#x20;are&#x20;no&#x20;longer&#x20;required&#x20;on&#x20;HP-UX&#x20;systems,&#x20;and&#x20;may&#x20;provide&#x20;an&#x20;avenue&#x20;for&#x20;attackers&#x20;to&#x20;gain&#x20;privileged&#x20;access&#x20;on&#x20;the&#x20;system.','','Perform&#x20;the&#x20;following&#x20;to&#x20;remove&#x20;any&#x20;legacy&#x20;&#039;+&#039;&#x20;entries&#x20;in&#x20;passwd&#x20;and&#x20;group&#x20;files:&#x20;1.&#x20;Display&#x20;legacy&#x20;&#039;+&#039;&#x20;entries:&#x20;grep&#x20;&#039;^+:&#039;&#x20;/etc/passwd&#x20;/etc/group&#x20;2.&#x20;Remove&#x20;any&#x20;entries&#x20;found&#x20;from&#x20;the&#x20;passwd&#x20;and&#x20;group&#x20;files.','[{\"cis\": [\"1.8.5\"]}, {\"cis_level\": [\"1\"]}]'),(30050,'No&#x20;&#039;.&#039;&#x20;or&#x20;group/world-writable&#x20;directory&#x20;in&#x20;root&#x20;$PATH.','Remove&#x20;the&#x20;current&#x20;working&#x20;directory&#x20;&#40;&#039;.&#039;&#41;&#x20;or&#x20;other&#x20;world-writable&#x20;directories&#x20;from&#x20;the&#x20;root&#x20;user&#039;s&#x20;execution&#x20;path.&#x20;To&#x20;execute&#x20;a&#x20;file&#x20;in&#x20;the&#x20;current&#x20;directory&#x20;when&#x20;&bdquo;.‟&#x20;is&#x20;not&#x20;in&#x20;the&#x20;$PATH,&#x20;use&#x20;the&#x20;format&#x20;&ldquo;./filename&rdquo;.','Including&#x20;these&#x20;paths&#x20;in&#x20;the&#x20;root&#039;s&#x20;executable&#x20;path&#x20;allows&#x20;an&#x20;attacker&#x20;to&#x20;gain&#x20;superuser&#x20;access&#x20;if&#x20;an&#x20;administrator&#x20;operating&#x20;as&#x20;root&#x20;executes&#x20;a&#x20;Trojan&#x20;horse&#x20;program.','','Remove&#x20;the&#x20;following&#x20;path&#x20;components&#x20;if&#x20;they&#x20;exist&#x20;in&#x20;the&#x20;root&#x20;user&#039;s&#x20;$PATH:&#x20;1.&#x20;current&#x20;working&#x20;directory&#x20;&#40;&#039;.&#039;&#41;&#x20;2.&#x20;empty&#x20;directories&#x20;&#40;&bdquo;::‟&#41;&#x20;3.&#x20;a&#x20;trailing&#x20;path&#x20;seperator&#x20;at&#x20;the&#x20;end&#x20;of&#x20;the&#x20;$PATH&#x20;&#40;&#039;:&#039;&#41;&#x20;4.&#x20;any&#x20;directory&#x20;with&#x20;world&#x20;or&#x20;group&#x20;-write&#x20;permissions&#x20;set','[{\"cis\": [\"1.8.6\"]}, {\"cis_level\": [\"1\"]}]'),(30051,'Secure&#x20;user&#x20;home&#x20;directories.','Remove&#x20;group&#x20;write&#x20;and&#x20;world&#x20;access&#x20;to&#x20;all&#x20;user&#x20;home&#x20;directories.&#x20;While&#x20;the&#x20;modifications&#x20;below&#x20;are&#x20;relatively&#x20;benign,&#x20;making&#x20;global&#x20;modifications&#x20;to&#x20;user&#x20;home&#x20;directories&#x20;without&#x20;alerting&#x20;your&#x20;user&#x20;community&#x20;can&#x20;result&#x20;in&#x20;unexpected&#x20;outages&#x20;and&#x20;unhappy&#x20;users.','Group&#x20;or&#x20;world-writable&#x20;user&#x20;home&#x20;directories&#x20;may&#x20;enable&#x20;malicious&#x20;users&#x20;to&#x20;steal&#x20;or&#x20;modify&#x20;other&#x20;users&#039;&#x20;data&#x20;or&#x20;to&#x20;gain&#x20;another&#x20;user&#039;s&#x20;system&#x20;privileges.','','Perform&#x20;the&#x20;following&#x20;to&#x20;secure&#x20;user&#x20;home&#x20;directories:&#x20;1.&#x20;Identify&#x20;all&#x20;user&#x20;accounts&#x20;excluding&#x20;root&#x20;that&#x20;are&#x20;not&#x20;locked,&#x20;and&#x20;for&#x20;each&#x20;of&#x20;these&#x20;user&#x20;home&#x20;directories:&#x20;2.&#x20;Remove&#x20;group&#x20;write&#x20;permission&#x20;&#40;g-w&#41;&#x20;and&#x20;all&#x20;other&#x20;permissions&#x20;&#40;o-rwx&#41;&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;logins&#x20;-ox&#x20;&#x20;|&#x20;awk&#x20;-F:&#x20;&#039;&#40;$8&#x20;==&#x20;&quot;PS&quot;&#x20;&amp;&amp;&#x20;$1&#x20;!=&#x20;&quot;root&quot;&#41;&#x20;{&#x20;print&#x20;$6&#x20;}&#039;&#x20;&#x20;|&#x20;grep&#x20;/home/&#x20;&#x20;|&#x20;while&#x20;read&#x20;dir&#x20;do&#x20;&#x20;chmod&#x20;g-w,o-rwx&#x20;&quot;$dir&quot;&#x20;done','[{\"cis\": [\"1.8.7\"]}, {\"cis_level\": [\"1\"]}]'),(30052,'No&#x20;user&#x20;dot-files&#x20;should&#x20;be&#x20;group/world&#x20;writable.','Remove&#x20;group&#x20;and&#x20;world&#x20;write&#x20;permissions&#x20;from&#x20;user&#x20;dot-files.&#x20;While&#x20;the&#x20;modifications&#x20;below&#x20;are&#x20;relatively&#x20;benign,&#x20;making&#x20;global&#x20;modifications&#x20;to&#x20;user&#x20;dot-files&#x20;without&#x20;alerting&#x20;your&#x20;user&#x20;community&#x20;can&#x20;result&#x20;in&#x20;unexpected&#x20;outages&#x20;and&#x20;unhappy&#x20;users.','Group&#x20;or&#x20;world-writable&#x20;user&#x20;configuration&#x20;files&#x20;may&#x20;enable&#x20;malicious&#x20;users&#x20;to&#x20;steal&#x20;or&#x20;modify&#x20;other&#x20;users&#039;&#x20;data&#x20;or&#x20;to&#x20;gain&#x20;another&#x20;user&#039;s&#x20;system&#x20;privileges.','','Perform&#x20;the&#x20;following:&#x20;1.&#x20;Identify&#x20;all&#x20;user&#x20;accounts&#x20;excluding&#x20;root&#x20;that&#x20;are&#x20;not&#x20;locked,&#x20;and&#x20;for&#x20;each&#x20;of&#x20;these&#x20;user&#x20;home&#x20;directories:&#x20;2.&#x20;Remove&#x20;group/other&#x20;write&#x20;permissions&#x20;&#40;go-w&#41;&#x20;from&#x20;any&#x20;files&#x20;beginning&#x20;with&#x20;&#039;.&#039;&#x20;The&#x20;following&#x20;script&#x20;performs&#x20;the&#x20;procedure&#x20;above:&#x20;logins&#x20;-ox&#x20;&#x20;|&#x20;awk&#x20;-F:&#x20;&#039;&#40;$8&#x20;==&#x20;&quot;PS&quot;&#41;&#x20;{&#x20;print&#x20;$6&#x20;}&#039;&#x20;&#x20;|&#x20;while&#x20;read&#x20;dir&#x20;do&#x20;ls&#x20;-d&#x20;&quot;$dir/&quot;.[!.]*&#x20;|&#x20;while&#x20;read&#x20;file&#x20;do&#x20;&#x20;if&#x20;[&#x20;!&#x20;-h&#x20;&quot;$file&quot;&#x20;-a&#x20;-f&#x20;&quot;$file&quot;&#x20;]&#x20;then&#x20;chmod&#x20;go-w&#x20;&quot;$file&quot;&#x20;fi&#x20;done&#x20;done','[{\"cis\": [\"1.8.8\"]}, {\"cis_level\": [\"1\"]}]'),(30053,'Remove&#x20;user&#x20;.netrc,&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files.','Remove&#x20;user&#x20;.netrc,&#x20;.rhosts,&#x20;and&#x20;.shosts&#x20;files.&#x20;Note&#x20;that&#x20;making&#x20;global&#x20;modifications&#x20;to&#x20;user&#x20;security&#x20;files&#x20;in&#x20;their&#x20;home&#x20;directories&#x20;without&#x20;alerting&#x20;your&#x20;user&#x20;community&#x20;can&#x20;result&#x20;in&#x20;unexpected&#x20;outages&#x20;and&#x20;unhappy&#x20;users.','.netrc&#x20;files&#x20;may&#x20;contain&#x20;unencrypted&#x20;passwords&#x20;that&#x20;may&#x20;be&#x20;used&#x20;to&#x20;attack&#x20;other&#x20;systems,&#x20;while&#x20;.rhosts&#x20;and&#x20;.shosts&#x20;files&#x20;used&#x20;in&#x20;conjunction&#x20;with&#x20;the&#x20;BSD-style&#x20;&ldquo;r-commands&rdquo;&#x20;&#40;rlogin,&#x20;remsh,&#x20;rcp&#41;&#x20;or&#x20;SSH&#x20;implement&#x20;a&#x20;weak&#x20;form&#x20;of&#x20;authentication&#x20;based&#x20;on&#x20;the&#x20;network&#x20;address&#x20;or&#x20;host&#x20;name&#x20;of&#x20;the&#x20;remote&#x20;computer&#x20;&#40;which&#x20;can&#x20;be&#x20;spoofed&#x20;by&#x20;a&#x20;potential&#x20;attacker&#x20;to&#x20;exploit&#x20;the&#x20;local&#x20;system&#41;.','','Perform&#x20;the&#x20;following&#x20;to&#x20;remove&#x20;user&#x20;.netrc,&#x20;.rhosts,&#x20;and&#x20;.shosts&#x20;files.&#x20;1.&#x20;Identify&#x20;all&#x20;user&#x20;accounts,&#x20;and&#x20;for&#x20;each&#x20;existing&#x20;home&#x20;directory:&#x20;2.&#x20;Remove&#x20;.netrc,&#x20;.rhosts,&#x20;and&#x20;.shosts&#x20;files&#x20;The&#x20;following&#x20;script&#x20;performs&#x20;the&#x20;procedure&#x20;above:&#x20;logins&#x20;-ox&#x20;|&#x20;cut&#x20;-f6&#x20;-d:&#x20;|&#x20;while&#x20;read&#x20;h&#x20;do&#x20;for&#x20;file&#x20;in&#x20;&quot;$h/.netrc&quot;&#x20;&quot;$h/.rhosts&quot;&#x20;&quot;$h/.shosts&quot;&#x20;do&#x20;&#x20;if&#x20;[&#x20;-f&#x20;&quot;$file&quot;&#x20;]&#x20;then&#x20;&#x20;echo&#x20;&quot;removing&#x20;$file&quot;&#x20;rm&#x20;-f&#x20;&quot;$file&quot;&#x20;fi&#x20;done&#x20;done','[{\"cis\": [\"1.8.9\"]}, {\"cis_level\": [\"1\"]}]'),(30054,'Set&#x20;default&#x20;umask&#x20;for&#x20;users.','Set&#x20;the&#x20;default&#x20;umask&#x20;to&#x20;077&#x20;so&#x20;that&#x20;files&#x20;created&#x20;by&#x20;users&#x20;will&#x20;not&#x20;be&#x20;readable&#x20;by&#x20;any&#x20;other&#x20;user&#x20;on&#x20;the&#x20;system.&#x20;A&#x20;umask&#x20;of&#x20;027&#x20;would&#x20;make&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;users&#x20;in&#x20;the&#x20;same&#x20;Unix&#x20;group,&#x20;while&#x20;a&#x20;umask&#x20;of&#x20;022&#x20;would&#x20;make&#x20;files&#x20;readable&#x20;by&#x20;every&#x20;user&#x20;on&#x20;the&#x20;system.&#x20;-&#x20;Bastille&#x20;Note:&#x20;sets&#x20;the&#x20;default&#x20;umask,&#x20;but&#x20;uses&#x20;a&#x20;umask&#x20;of&#x20;027&#x20;rather&#x20;than&#x20;the&#x20;077.','Restricting&#x20;access&#x20;to&#x20;files&#x20;and&#x20;directories&#x20;created&#x20;by&#x20;a&#x20;user&#x20;from&#x20;any&#x20;other&#x20;user&#x20;on&#x20;the&#x20;system&#x20;reduces&#x20;the&#x20;possibility&#x20;of&#x20;an&#x20;unauthorized&#x20;account&#x20;accessing&#x20;that&#x20;user&#039;s&#x20;files.&#x20;The&#x20;user&#x20;creating&#x20;the&#x20;file&#x20;has&#x20;the&#x20;discretion&#x20;of&#x20;making&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;readable&#x20;by&#x20;others&#x20;via&#x20;the&#x20;chmod&#x20;command.&#x20;Users&#x20;who&#x20;wish&#x20;to&#x20;allow&#x20;their&#x20;files&#x20;and&#x20;directories&#x20;to&#x20;be&#x20;readable&#x20;by&#x20;others&#x20;by&#x20;default&#x20;may&#x20;choose&#x20;a&#x20;different&#x20;default&#x20;umask&#x20;by&#x20;inserting&#x20;the&#x20;umask&#x20;command&#x20;into&#x20;the&#x20;standard&#x20;shell&#x20;configuration&#x20;files&#x20;&#40;.profile,&#x20;.cshrc,&#x20;etc.&#41;&#x20;in&#x20;their&#x20;home&#x20;directories.','','Perform&#x20;the&#x20;following&#x20;to&#x20;set&#x20;a&#x20;default&#x20;umask&#x20;for&#x20;users:&#x20;1.&#x20;Change&#x20;directory&#x20;to&#x20;/etc&#x20;2.&#x20;Append&#x20;the&#x20;line&#x20;umask&#x20;077&#x20;to&#x20;the&#x20;following&#x20;files:&#x20;a.&#x20;profile&#x20;b.&#x20;csh.login&#x20;c.&#x20;d.profile&#x20;d.&#x20;d.login&#x20;3.&#x20;Update&#x20;the&#x20;UMASK&#x20;parameter&#x20;to&#x20;077&#x20;in&#x20;the&#x20;file&#x20;/etc/default/security&#x20;The&#x20;following&#x20;script&#x20;performs&#x20;the&#x20;procedure&#x20;above:&#x20;cd&#x20;/etc&#x20;for&#x20;file&#x20;in&#x20;profile&#x20;csh.login&#x20;d.profile&#x20;d.login&#x20;do&#x20;echo&#x20;umask&#x20;077&#x20;&gt;&gt;&#x20;&quot;$file&quot;&#x20;done&#x20;ch_rc&#x20;-a&#x20;-p&#x20;UMASK=077&#x20;/etc/default/security','[{\"cis\": [\"1.8.10\"]}, {\"cis_level\": [\"1\"]}]'),(30055,'Set&#x20;&#039;mesg&#x20;n&#039;&#x20;as&#x20;default&#x20;for&#x20;all&#x20;users.','Block&#x20;the&#x20;use&#x20;of&#x20;write&#x20;or&#x20;talk&#x20;commands&#x20;to&#x20;contact&#x20;the&#x20;user&#x20;at&#x20;their&#x20;terminal&#x20;in&#x20;order&#x20;to&#x20;slightly&#x20;strengthen&#x20;permissions&#x20;on&#x20;the&#x20;user&#039;s&#x20;tty&#x20;device.&#x20;Note&#x20;that&#x20;this&#x20;setting&#x20;is&#x20;the&#x20;default&#x20;on&#x20;HP-UX&#x20;11i.','Since&#x20;write&#x20;and&#x20;talk&#x20;are&#x20;no&#x20;longer&#x20;widely&#x20;used&#x20;at&#x20;most&#x20;sites,&#x20;the&#x20;incremental&#x20;security&#x20;increase&#x20;is&#x20;worth&#x20;the&#x20;loss&#x20;of&#x20;functionality.','','Perform&#x20;the&#x20;following:&#x20;1.&#x20;Change&#x20;directory&#x20;to&#x20;/etc&#x20;2.&#x20;Append&#x20;the&#x20;line&#x20;mesg&#x20;n&#x20;to&#x20;the&#x20;following&#x20;files:&#x20;a.&#x20;profile&#x20;b.&#x20;csh.login&#x20;c.&#x20;d.profile&#x20;d.&#x20;d.login&#x20;The&#x20;following&#x20;script&#x20;performs&#x20;the&#x20;procedure&#x20;above:&#x20;&#x20;cd&#x20;/etc&#x20;for&#x20;file&#x20;in&#x20;profile&#x20;csh.login&#x20;d.profile&#x20;d.login&#x20;do&#x20;&#x20;echo&#x20;mesg&#x20;n&#x20;&gt;&gt;&#x20;&quot;$file&quot;&#x20;done','[{\"cis\": [\"1.8.11\"]}, {\"cis_level\": [\"1\"]}]'),(30056,'Create&#x20;warning&#x20;banners&#x20;for&#x20;terminal-session&#x20;logins.','The&#x20;contents&#x20;of&#x20;the&#x20;/etc/issue&#x20;file&#x20;are&#x20;displayed&#x20;prior&#x20;to&#x20;the&#x20;login&#x20;prompt&#x20;on&#x20;the&#x20;system&#039;s&#x20;console&#x20;and&#x20;serial&#x20;devices,&#x20;as&#x20;well&#x20;as&#x20;for&#x20;remote&#x20;terminal-session&#x20;logins&#x20;such&#x20;as&#x20;through&#x20;SSH&#x20;or&#x20;Telnet.&#x20;&#x20;/etc/motd&#x20;is&#x20;generally&#x20;displayed&#x20;after&#x20;all&#x20;successful&#x20;logins,&#x20;no&#x20;matter&#x20;where&#x20;the&#x20;user&#x20;is&#x20;logging&#x20;in&#x20;from,&#x20;but&#x20;is&#x20;thought&#x20;to&#x20;be&#x20;less&#x20;useful&#x20;because&#x20;it&#x20;only&#x20;provides&#x20;notification&#x20;to&#x20;the&#x20;user&#x20;after&#x20;the&#x20;machine&#x20;has&#x20;been&#x20;accessed.','Presenting&#x20;some&#x20;sort&#x20;of&#x20;statutory&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;logon&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.&#x20;Changing&#x20;some&#x20;of&#x20;these&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;hiding&#x20;OS&#x20;version&#x20;information&#x20;and&#x20;other&#x20;detailed&#x20;system&#x20;information&#x20;from&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;attacks&#x20;at&#x20;a&#x20;system.','','Perform&#x20;the&#x20;following&#x20;to&#x20;create&#x20;warning&#x20;banners&#x20;for&#x20;terminal-session&#x20;logins:&#x20;1.&#x20;Compose&#x20;a&#x20;default&#x20;banner&#x20;text&#x20;string&#x20;2.&#x20;Append&#x20;this&#x20;string&#x20;to&#x20;the&#x20;files&#x20;&#x20;/etc/motd&#x20;and&#x20;/etc/motd&#x20;3.&#x20;Change&#x20;the&#x20;owner&#x20;to&#x20;root&#x20;and&#x20;group&#x20;owner&#x20;to&#x20;sys&#x20;&#x20;for&#x20;the&#x20;file&#x20;/etc/motd&#x20;4.&#x20;Change&#x20;the&#x20;owner&#x20;to&#x20;root&#x20;and&#x20;group&#x20;owner&#x20;to&#x20;root&#x20;for&#x20;the&#x20;file&#x20;/etc/issue&#x20;5.&#x20;Change&#x20;file&#x20;permissions&#x20;to&#x20;&#40;644&#41;&#x20;for&#x20;the&#x20;files&#x20;/etc/motd&#x20;and&#x20;/etc/issue','[{\"cis\": [\"1.9.1\"]}, {\"cis_level\": [\"1\"]}]'),(30057,'Create&#x20;warning&#x20;banners&#x20;for&#x20;GUI&#x20;logins.','The&#x20;standard&#x20;graphical&#x20;login&#x20;program&#x20;for&#x20;HP-UX&#x20;requires&#x20;the&#x20;user&#x20;to&#x20;enter&#x20;their&#x20;username&#x20;in&#x20;one&#x20;dialog&#x20;box&#x20;and&#x20;their&#x20;password&#x20;in&#x20;a&#x20;second&#x20;separate&#x20;dialog.&#x20;The&#x20;commands&#x20;below&#x20;set&#x20;the&#x20;warning&#x20;message&#x20;on&#x20;both&#x20;to&#x20;be&#x20;the&#x20;same&#x20;message,&#x20;but&#x20;the&#x20;site&#x20;has&#x20;the&#x20;option&#x20;of&#x20;using&#x20;different&#x20;messages&#x20;on&#x20;each&#x20;screen.&#x20;The&#x20;Dtlogin*greeting.labelString&#x20;is&#x20;the&#x20;message&#x20;for&#x20;the&#x20;first&#x20;dialog&#x20;where&#x20;the&#x20;user&#x20;is&#x20;prompted&#x20;for&#x20;their&#x20;username,&#x20;and&#x20;.perslabelString&#x20;is&#x20;the&#x20;message&#x20;on&#x20;the&#x20;second&#x20;dialog&#x20;box.&#x20;Note&#x20;that&#x20;system&#x20;administrators&#x20;may&#x20;wish&#x20;to&#x20;consult&#x20;with&#x20;their&#x20;site&rsquo;s&#x20;legal&#x20;council&#x20;about&#x20;the&#x20;specifics&#x20;of&#x20;any&#x20;warning&#x20;banners.','Presenting&#x20;some&#x20;sort&#x20;of&#x20;statutory&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;logon&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.&#x20;Changing&#x20;some&#x20;of&#x20;these&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;hiding&#x20;OS&#x20;version&#x20;information&#x20;and&#x20;other&#x20;detailed&#x20;system&#x20;information&#x20;from&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;attacks&#x20;at&#x20;a&#x20;system.','','Perform&#x20;the&#x20;following&#x20;to&#x20;install&#x20;default&#x20;warning&#x20;banners&#x20;for&#x20;GUI&#x20;logins:&#x20;1.&#x20;Create&#x20;a&#x20;default&#x20;banner&#x20;text&#x20;string&#x20;&#40;$banner&#41;&#x20;2.&#x20;For&#x20;each&#x20;directory&#x20;in&#x20;/usr/dt/config&#x20;that&#x20;contains&#x20;a&#x20;Xresources&#x20;file,&#x20;copy&#x20;that&#x20;Xresources&#x20;file&#x20;into&#x20;a&#x20;corresponding&#x20;directory&#x20;in&#x20;/etc/dt/config&#x20;&#40;creating&#x20;the&#x20;directory&#x20;if&#x20;needed&#41;&#x20;3.&#x20;Append&#x20;the&#x20;following&#x20;lines&#x20;&#40;replacing&#x20;$banner&#x20;with&#x20;the&#x20;string&#x20;in&#x20;step&#x20;1&#41;&#x20;to&#x20;each&#x20;/etc/dt/config&#47;&#42;/Xresources&#x20;file:&#x20;a.&#x20;Dtlogin*greeting.labelString:&#x20;$banner&#x20;b.&#x20;Dtlogin*greeting.persLabelString:&#x20;$banner&#x20;4.&#x20;Change&#x20;the&#x20;owner&#x20;to&#x20;root&#x20;and&#x20;group&#x20;owner&#x20;to&#x20;sys&#x20;for&#x20;each&#x20;Xresource&#x20;file&#x20;5.&#x20;Change&#x20;the&#x20;file&#x20;permissions&#x20;to&#x20;644&#x20;for&#x20;each&#x20;Xresource&#x20;file&#x20;The&#x20;following&#x20;script&#x20;performs&#x20;the&#x20;procedure&#x20;above:&#x20;banner=&quot;Authorized&#x20;users&#x20;only.&#x20;All&#x20;activity&#x20;may&#x20;&#x20;be&#x20;monitored&#x20;and&#x20;reported.&quot;&#x20;for&#x20;file&#x20;in&#x20;/usr/dt/config&#47;&#42;/Xresources;&#x20;do&#x20;dir=&quot;$&#40;dirname&#x20;&quot;$file&quot;&#x20;|&#x20;sed&#x20;&#039;s|^/usr/|/etc/|&#039;&#41;&quot;&#x20;mkdir&#x20;-p&#x20;&quot;$dir&quot;&#x20;if&#x20;[&#x20;!&#x20;-f&#x20;&quot;$dir/Xresources&quot;&#x20;];&#x20;then&#x20;cp&#x20;-p&#x20;&quot;$file&quot;&#x20;&quot;$dir/Xresources&quot;&#x20;fi&#x20;echo&#x20;&quot;Dtlogin*greeting.labelString:&#x20;$banner&quot;&#x20;&#x20;&gt;&gt;&#x20;&quot;$dir/Xresources&quot;&#x20;echo&#x20;&quot;Dtlogin*greeting.persLabelString:&#x20;$banner&quot;&#x20;&#x20;&gt;&gt;&#x20;&quot;$dir/Xresources&quot;&#x20;done&#x20;chown&#x20;root:sys&#x20;/etc/dt/config&#47;&#42;/Xresources&#x20;chmod&#x20;644&#x20;/etc/dt/config&#47;&#42;/Xresources','[{\"cis\": [\"1.9.2\"]}, {\"cis_level\": [\"1\"]}]'),(30058,'Create&#x20;warning&#x20;banners&#x20;for&#x20;FTP&#x20;daemon.','The&#x20;FTP&#x20;daemon&#x20;in&#x20;HP-UX&#x20;11&#x20;is&#x20;based&#x20;on&#x20;the&#x20;popular&#x20;Washington&#x20;University&#x20;FTP&#x20;daemon&#x20;&#40;WU-FTPD&#41;,&#x20;which&#x20;is&#x20;an&#x20;Open&#x20;Source&#x20;program&#x20;widely&#x20;distributed&#x20;on&#x20;the&#x20;Internet.&#x20;Note&#x20;that&#x20;this&#x20;setting&#x20;has&#x20;no&#x20;effect&#x20;if&#x20;the&#x20;FTP&#x20;daemon&#x20;remains&#x20;de-activated&#x20;from&#x20;item&#x20;1.2.1.','Presenting&#x20;some&#x20;sort&#x20;of&#x20;statutory&#x20;warning&#x20;message&#x20;prior&#x20;to&#x20;the&#x20;normal&#x20;user&#x20;logon&#x20;may&#x20;assist&#x20;the&#x20;prosecution&#x20;of&#x20;trespassers&#x20;on&#x20;the&#x20;computer&#x20;system.&#x20;Changing&#x20;some&#x20;of&#x20;these&#x20;login&#x20;banners&#x20;also&#x20;has&#x20;the&#x20;side&#x20;effect&#x20;of&#x20;hiding&#x20;OS&#x20;version&#x20;information&#x20;and&#x20;other&#x20;detailed&#x20;system&#x20;information&#x20;from&#x20;attackers&#x20;attempting&#x20;to&#x20;target&#x20;specific&#x20;attacks&#x20;at&#x20;a&#x20;system.','','Perform&#x20;the&#x20;following&#x20;to&#x20;install&#x20;a&#x20;default&#x20;warning&#x20;banner&#x20;for&#x20;the&#x20;FTP&#x20;daemon:&#x20;1.&#x20;Ensure&#x20;that&#x20;an&#x20;appropriate&#x20;warning&#x20;message&#x20;exists&#x20;in&#x20;the&#x20;/etc/issue&#x20;file&#x20;.&#x20;2.&#x20;Append&#x20;the&#x20;line&#x20;&quot;banner&#x20;/etc/issue&quot;&#x20;to&#x20;the&#x20;file&#x20;/etc/ftpd/ftpaccess&#x20;3.&#x20;Change&#x20;file&#x20;permissions&#x20;to&#x20;600&#x20;for&#x20;/etc/ftpd/ftpaccess&#x20;4.&#x20;Change&#x20;owner&#x20;to&#x20;root&#x20;and&#x20;group&#x20;owner&#x20;to&#x20;sys&#x20;for&#x20;both&#x20;/etc/ftpd&#x20;and&#x20;/etc/ftpd/ftpaccess&#x20;The&#x20;following&#x20;script&#x20;performs&#x20;the&#x20;procedure&#x20;above:&#x20;if&#x20;[&#x20;-d&#x20;/etc/ftpd&#x20;];&#x20;then&#x20;echo&#x20;&quot;banner&#x20;/etc/issue&quot;&#x20;&gt;&gt;/etc/ftpd/ftpaccess&#x20;chmod&#x20;600&#x20;/etc/ftpd/ftpaccess&#x20;chown&#x20;root:sys&#x20;/etc/ftpd&#x20;/etc/ftpd/ftpaccess&#x20;fi','[{\"cis\": [\"1.9.3\"]}, {\"cis_level\": [\"1\"]}]'),(30131,'Resolve&#x20;&#039;unowned&#039;&#x20;files&#x20;and&#x20;directories.','Evaluate&#x20;ownership&#x20;of&#x20;any&#x20;files&#x20;that&#x20;are&#x20;not&#x20;owned&#x20;by&#x20;a&#x20;locally&#x20;defined&#x20;user,&#x20;and&#x20;consider&#x20;reassignment&#x20;to&#x20;an&#x20;active&#x20;user.','Sometimes&#x20;when&#x20;administrators&#x20;delete&#x20;users&#x20;from&#x20;the&#x20;system&#x20;they&#x20;neglect&#x20;to&#x20;remove&#x20;all&#x20;files&#x20;owned&#x20;by&#x20;those&#x20;users&#x20;from&#x20;the&#x20;system.&#x20;A&#x20;new&#x20;user&#x20;who&#x20;is&#x20;assigned&#x20;the&#x20;deleted&#x20;user&#039;s&#x20;user&#x20;ID&#x20;or&#x20;group&#x20;ID&#x20;may&#x20;then&#x20;end&#x20;up&#x20;&#039;owning&#039;&#x20;these&#x20;files,&#x20;and&#x20;thus&#x20;have&#x20;more&#x20;access&#x20;on&#x20;the&#x20;system&#x20;than&#x20;was&#x20;intended.&#x20;It&#x20;is&#x20;a&#x20;good&#x20;idea&#x20;to&#x20;locate&#x20;files&#x20;that&#x20;are&#x20;owned&#x20;by&#x20;users&#x20;or&#x20;groups&#x20;not&#x20;listed&#x20;in&#x20;the&#x20;system&#x20;configuration&#x20;files,&#x20;and&#x20;make&#x20;sure&#x20;to&#x20;reset&#x20;the&#x20;ownership&#x20;of&#x20;these&#x20;files&#x20;to&#x20;some&#x20;active&#x20;user&#x20;on&#x20;the&#x20;system&#x20;&#40;in&#x20;this&#x20;example,&#x20;&#039;bin&#039;&#41;&#x20;as&#x20;appropriate.','','Perform&#x20;the&#x20;following&#x20;to&#x20;identify&#x20;&quot;unowned&quot;&#x20;files&#x20;and&#x20;directories,&#x20;and&#x20;consider&#x20;resetting&#x20;ownership&#x20;to&#x20;a&#x20;default&#x20;owner&#x20;and&#x20;restricting&#x20;access&#x20;permissions:&#x20;1.&#x20;Locate&#x20;all&#x20;local&#x20;files&#x20;that&#x20;are&#x20;owned&#x20;by&#x20;users&#x20;or&#x20;groups&#x20;not&#x20;listed&#x20;in&#x20;the&#x20;system&#x20;configuration&#x20;files.&#x20;find&#x20;/&#x20;&#40;&#x20;-nouser&#x20;-o&#x20;-nogroup&#x20;&#41;&#x20;2.&#x20;Consider&#x20;resetting&#x20;user&#x20;and&#x20;group&#x20;ownership&#x20;of&#x20;these&#x20;files&#x20;to&#x20;a&#x20;default&#x20;active&#x20;user&#x20;&#40;e.g.&#x20;bin&#41;&#x20;chown&#x20;bin:bin&#x20;&lt;filename&gt;&#x20;3.&#x20;Consider&#x20;restricting&#x20;world-write&#x20;permissions,&#x20;and&#x20;removing&#x20;any&#x20;SUID/SGID&#x20;bits&#x20;on&#x20;these&#x20;files.&#x20;chmod&#x20;ug-s,o-w&#x20;&lt;filename&gt;&#x20;-&#x20;Note:&#x20;there&#x20;is&#x20;no&#x20;reason&#x20;for&#x20;an&#x20;application&#x20;to&#x20;require&#x20;an&#x20;unowned&#x20;file,&#x20;so&#x20;these&#x20;changes&#x20;should&#x20;be&#x20;application-safe.','[{\"cis\": [\"1.5.3\"]}, {\"cis_level\": [\"1\"]}]'),(30144,'Turn&#x20;on&#x20;additional&#x20;logging&#x20;for&#x20;FTP&#x20;daemon.','If&#x20;the&#x20;FTP&#x20;daemon&#x20;is&#x20;left&#x20;on,&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;the&#x20;command&#x20;logging&#x20;&#40;-L&#41;&#x20;and&#x20;connection&#x20;logging&#x20;&#40;-l&#41;&#x20;flags&#x20;also&#x20;be&#x20;enabled&#x20;to&#x20;track&#x20;FTP&#x20;activity&#x20;on&#x20;the&#x20;system,&#x20;allowing&#x20;the&#x20;administrator&#x20;&#40;or&#x20;software&#41;&#x20;to&#x20;scan&#x20;the&#x20;logs&#x20;for&#x20;unusual&#x20;activity.&#x20;This&#x20;is&#x20;especially&#x20;powerful&#x20;when&#x20;combined&#x20;with&#x20;the&#x20;access&#x20;control&#x20;capabilities&#x20;accessible&#x20;through&#x20;inetd&#039;s&#x20;/var/adm/inetd.sec&#x20;configuration&#x20;file.&#x20;Note&#x20;that&#x20;this&#x20;setting&#x20;has&#x20;no&#x20;effect&#x20;if&#x20;the&#x20;FTP&#x20;daemon&#x20;remains&#x20;de-activated&#x20;from&#x20;item&#x20;2.1.&#x20;Also&#x20;note&#x20;that&#x20;enabling&#x20;command&#x20;logging&#x20;on&#x20;the&#x20;FTP&#x20;daemon&#x20;&#40;HP-UX&#x20;11.x&#x20;only&#41;&#x20;can&#x20;cause&#x20;user&#x20;passwords&#x20;to&#x20;appear&#x20;in&#x20;clear-text&#x20;form&#x20;in&#x20;the&#x20;system&#x20;logs,&#x20;if&#x20;the&#x20;user&#x20;accidentally&#x20;types&#x20;their&#x20;password&#x20;at&#x20;the&#x20;username&#x20;prompt.&#x20;Information&#x20;about&#x20;FTP&#x20;sessions&#x20;will&#x20;be&#x20;logged&#x20;to&#x20;Syslog&#x20;and&#x20;by&#x20;default&#x20;HP-UX&#x20;systems&#x20;deposit&#x20;this&#x20;logging&#x20;information&#x20;in&#x20;/var/adm/syslog/syslog.log&#x20;with&#x20;other&#x20;system&#x20;log&#x20;messages.&#x20;Should&#x20;the&#x20;administrator&#x20;wish&#x20;to&#x20;capture&#x20;this&#x20;information&#x20;in&#x20;a&#x20;separate&#x20;file,&#x20;simply&#x20;modify&#x20;/etc/syslog.conf&#x20;to&#x20;log&#x20;daemon.notice&#x20;to&#x20;some&#x20;other&#x20;log&#x20;file&#x20;destination.','Logging&#x20;information&#x20;about&#x20;the&#x20;source&#x20;of&#x20;ftp&#x20;network&#x20;connections&#x20;assists&#x20;in&#x20;the&#x20;detection&#x20;and&#x20;identification&#x20;of&#x20;unusual&#x20;activity&#x20;that&#x20;may&#x20;be&#x20;associated&#x20;with&#x20;security&#x20;intrusions.','','Perform&#x20;the&#x20;following&#x20;to&#x20;enable&#x20;logging&#x20;for&#x20;the&#x20;FTP&#x20;daemon:&#x20;1.&#x20;Change&#x20;directory&#x20;to&#x20;/etc.&#x20;2.&#x20;Open&#x20;the&#x20;inetd.conf&#x20;file&#x20;and&#x20;locate&#x20;the&#x20;ftpd&#x20;configuration&#x20;entry&#x20;line.&#x20;3.&#x20;Add&#x20;the&#x20;&quot;-L&quot;&#x20;and&#x20;&quot;-l&quot;&#x20;flags&#x20;to&#x20;the&#x20;ftpd&#x20;entry&#x20;if&#x20;not&#x20;already&#x20;present.&#x20;4.&#x20;Save&#x20;and&#x20;close&#x20;file.&#x20;The&#x20;following&#x20;script&#x20;will&#x20;perform&#x20;the&#x20;procedure&#x20;above:&#x20;cd&#x20;/etc&#x20;awk&#x20;&#039;/^ftpd/&#x20;&amp;&amp;&#x20;!/-L/&#x20;{&#x20;$NF&#x20;=&#x20;$NF&#x20;&quot;&#x20;-L&quot;&#x20;}&#x20;/^ftpd/&#x20;&amp;&amp;&#x20;!/-l/&#x20;{&#x20;$NF&#x20;=&#x20;$NF&#x20;&quot;&#x20;-l&quot;&#x20;}&#x20;{&#x20;print&#x20;}&#039;&#x20;inetd.conf&#x20;&gt;&#x20;inetd.conf.tmp&#x20;cp&#x20;inetd.conf.tmp&#x20;inetd.conf&#x20;rm&#x20;-f&#x20;inetd.conf.tmp','[{\"cis\": [\"1.7.3\"]}, {\"cis_level\": [\"1\"]}]'),(31000,'Ensure&#x20;All&#x20;Apple-provided&#x20;Software&#x20;Is&#x20;Current.','Software&#x20;vendors&#x20;release&#x20;security&#x20;patches&#x20;and&#x20;software&#x20;updates&#x20;for&#x20;their&#x20;products&#x20;when&#x20;security&#x20;vulnerabilities&#x20;are&#x20;discovered.&#x20;There&#x20;is&#x20;no&#x20;simple&#x20;way&#x20;to&#x20;complete&#x20;this&#x20;action&#x20;without&#x20;a&#x20;network&#x20;connection&#x20;to&#x20;an&#x20;Apple&#x20;software&#x20;repository.&#x20;Please&#x20;ensure&#x20;appropriate&#x20;access&#x20;for&#x20;this&#x20;control.&#x20;This&#x20;check&#x20;is&#x20;only&#x20;for&#x20;what&#x20;Apple&#x20;provides&#x20;through&#x20;software&#x20;update.&#x20;Software&#x20;updates&#x20;should&#x20;be&#x20;run&#x20;at&#x20;minimum&#x20;every&#x20;30&#x20;days.&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;verify&#x20;when&#x20;software&#x20;update&#x20;was&#x20;previously&#x20;run:&#x20;$&#x20;/usr/bin/sudo&#x20;defaults&#x20;read&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;|&#x20;grep&#x20;-e&#x20;LastFullSuccessfulDate.&#x20;The&#x20;response&#x20;should&#x20;be&#x20;in&#x20;the&#x20;last&#x20;30&#x20;days&#x20;&#40;Example&#41;:&#x20;LastFullSuccessfulDate&#x20;=&#x20;&quot;2020-07-30&#x20;12:45:25&#x20;+0000&quot;;.','It&#x20;is&#x20;important&#x20;that&#x20;these&#x20;updates&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;prevent&#x20;unauthorized&#x20;persons&#x20;from&#x20;exploiting&#x20;the&#x20;identified&#x20;vulnerabilities.','Missing&#x20;patches&#x20;can&#x20;lead&#x20;to&#x20;more&#x20;exploit&#x20;opportunities.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;to&#x20;install&#x20;all&#x20;available&#x20;software&#x20;updates:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Software&#x20;Update&#x20;4.&#x20;Select&#x20;Update&#x20;All&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;verify&#x20;what&#x20;packages&#x20;need&#x20;to&#x20;be&#x20;installed:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/softwareupdate&#x20;-l&#x20;The&#x20;output&#x20;will&#x20;include&#x20;the&#x20;following:&#x20;Software&#x20;Update&#x20;found&#x20;the&#x20;following&#x20;new&#x20;or&#x20;updated&#x20;software:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;all&#x20;the&#x20;packages&#x20;that&#x20;need&#x20;to&#x20;be&#x20;updated:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/softwareupdate&#x20;-i&#x20;-a&#x20;-R&#x20;Or&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;install&#x20;individual&#x20;packages:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/softwareupdate&#x20;-i&#x20;&#039;&lt;package&#x20;name&gt;&#039;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/softwareupdate&#x20;-l&#x20;Software&#x20;Update&#x20;Tool&#x20;Finding&#x20;available&#x20;software&#x20;Software&#x20;Update&#x20;found&#x20;the&#x20;following&#x20;new&#x20;or&#x20;updated&#x20;software:&#x20;*&#x20;iTunesX-12.8.2&#x20;iTunes&#x20;&#40;12.8.2&#41;,&#x20;273614K&#x20;[recommended]&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/softwareupdate&#x20;-i&#x20;&#039;iTunesX-12.8.2&#039;&#x20;Software&#x20;Update&#x20;Tool&#x20;Downloaded&#x20;iTunes&#x20;Installing&#x20;iTunes&#x20;Done&#x20;with&#x20;iTunes&#x20;Done.','[{\"cis\": [\"1.1\"]}, {\"cis_csc_v8\": [\"7.3\", \"7.4\"]}, {\"cis_csc_v7\": [\"3.4\", \"3.5\"]}, {\"cmmc_v2.0\": [\"SI.L1-3.14.1\"]}, {\"mitre_techniques\": [\"T1017\", \"T1019\", \"T1031\", \"T1034\", \"T1038\", \"T1044\", \"T1053\", \"T1068\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1078\", \"T1081\", \"T1088\", \"T1100\", \"T1103\", \"T1114\", \"T1137\", \"T1138\", \"T1145\", \"T1161\", \"T1176\", \"T1189\", \"T1190\", \"T1195\", \"T1210\", \"T1211\", \"T1212\", \"T1213\", \"T1214\", \"T1482\", \"T1484\", \"T1495\", \"T1505\", \"T1525\", \"T1527\", \"T1528\", \"T1530\"]}, {\"nist_sp_800-53\": [\"SI-2(2)\"]}, {\"pci_dss_v3.2.1\": [\"6.2\"]}, {\"soc_2\": [\"CC7.1\"]}]'),(31001,'Ensure&#x20;Auto&#x20;Update&#x20;Is&#x20;Enabled.','Auto&#x20;Update&#x20;verifies&#x20;that&#x20;your&#x20;system&#x20;has&#x20;the&#x20;newest&#x20;security&#x20;patches&#x20;and&#x20;software&#x20;updates.&#x20;If&#x20;&quot;Automatically&#x20;check&#x20;for&#x20;updates&quot;&#x20;is&#x20;not&#x20;selected,&#x20;background&#x20;updates&#x20;for&#x20;new&#x20;malware&#x20;definition&#x20;files&#x20;from&#x20;Apple&#x20;for&#x20;XProtect&#x20;and&#x20;Gatekeeper&#x20;will&#x20;not&#x20;occur.&#x20;http://macops.ca/os-x-admins-your-clients-are-not-getting-background-security-updates/&#x20;https://derflounder.wordpress.com/2014/12/17/forcing-xprotect-blacklist-updates-on-mavericks-and-yosemite/.','It&#x20;is&#x20;important&#x20;that&#x20;a&#x20;system&#x20;has&#x20;the&#x20;newest&#x20;updates&#x20;applied&#x20;so&#x20;as&#x20;to&#x20;prevent&#x20;unauthorized&#x20;persons&#x20;from&#x20;exploiting&#x20;identified&#x20;vulnerabilities.','Without&#x20;automatic&#x20;update,&#x20;updates&#x20;may&#x20;not&#x20;be&#x20;made&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;and&#x20;the&#x20;system&#x20;will&#x20;be&#x20;exposed&#x20;to&#x20;additional&#x20;risk.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;steps&#x20;following&#x20;to&#x20;enable&#x20;the&#x20;system&#x20;to&#x20;automatically&#x20;check&#x20;for&#x20;updates:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Software&#x20;Update&#x20;4.&#x20;Select&#x20;the&#x20;i&#x20;5.&#x20;Set&#x20;Check&#x20;for&#x20;updates&#x20;to&#x20;enabled&#x20;6.&#x20;Select&#x20;Done&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;auto&#x20;update:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;AutomaticCheckEnabled&#x20;-bool&#x20;true&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.SoftwareUpdate&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;AutomaticCheckEnabled&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"1.2\"]}, {\"cis_csc_v8\": [\"7.3\", \"7.4\"]}, {\"cis_csc_v7\": [\"3.4\", \"3.5\"]}, {\"cmmc_v2.0\": [\"SI.L1-3.14.1\"]}, {\"nist_sp_800-53\": [\"SI-2(2)\"]}, {\"pci_dss_v3.2.1\": [\"6.2\"]}, {\"soc_2\": [\"CC7.1\"]}, {\"mitre_techniques\": [\"T1103\", \"T1017\", \"T1138\", \"T1189\", \"T1190\", \"T1212\", \"T1211\", \"T1068\", \"T1210\", \"T1495\", \"T1137\", \"T1075\", \"T1195\", \"T1019\", \"T1072\", \"T1100\", \"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\"]}]'),(31002,'Ensure&#x20;Download&#x20;New&#x20;Updates&#x20;When&#x20;Available&#x20;Is&#x20;Enabled.','In&#x20;the&#x20;GUI,&#x20;both&#x20;&quot;Install&#x20;macOS&#x20;updates&quot;&#x20;and&#x20;&quot;Install&#x20;app&#x20;updates&#x20;from&#x20;the&#x20;App&#x20;Store&quot;&#x20;are&#x20;dependent&#x20;on&#x20;whether&#x20;&quot;Download&#x20;new&#x20;updates&#x20;when&#x20;available&quot;&#x20;is&#x20;selected.','It&#x20;is&#x20;important&#x20;that&#x20;a&#x20;system&#x20;has&#x20;the&#x20;newest&#x20;updates&#x20;downloaded&#x20;so&#x20;that&#x20;they&#x20;can&#x20;be&#x20;applied.','If&#x20;&quot;Download&#x20;new&#x20;updates&#x20;when&#x20;available&quot;&#x20;is&#x20;not&#x20;selected,&#x20;updates&#x20;may&#x20;not&#x20;be&#x20;made&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;and&#x20;the&#x20;system&#x20;will&#x20;be&#x20;exposed&#x20;to&#x20;additional&#x20;risk.','Perform&#x20;the&#x20;following&#x20;to&#x20;enable&#x20;the&#x20;system&#x20;to&#x20;automatically&#x20;check&#x20;for&#x20;updates:&#x20;Graphical&#x20;Method:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Software&#x20;Update&#x20;4.&#x20;Select&#x20;the&#x20;i&#x20;5.&#x20;Set&#x20;Download&#x20;new&#x20;updates&#x20;when&#x20;available&#x20;to&#x20;enabled&#x20;6.&#x20;Select&#x20;Done&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;auto&#x20;update:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;AutomaticDownload&#x20;-bool&#x20;true&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.SoftwareUpdate&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;AutomaticDownload&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"1.3\"]}, {\"cis_csc_v8\": [\"7.3\", \"7.4\"]}, {\"cis_csc_v7\": [\"3.4\", \"3.5\"]}, {\"cmmc_v2.0\": [\"SI.L1-3.14.1\"]}, {\"nist_sp_800-53\": [\"SI-2(2)\"]}, {\"pci_dss_v3.2.1\": [\"6.2\"]}, {\"soc_2\": [\"CC7.1\"]}, {\"mitre_techniques\": [\"T1103\", \"T1017\", \"T1138\", \"T1189\", \"T1190\", \"T1212\", \"T1211\", \"T1068\", \"T1210\", \"T1495\", \"T1137\", \"T1075\", \"T1195\", \"T1019\", \"T1072\", \"T1100\", \"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\"]}]'),(31003,'Ensure&#x20;Install&#x20;of&#x20;macOS&#x20;Updates&#x20;Is&#x20;Enabled.','Ensure&#x20;that&#x20;macOS&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;This&#x20;setting&#x20;enables&#x20;macOS&#x20;updates&#x20;to&#x20;be&#x20;automatically&#x20;installed.&#x20;Some&#x20;environments&#x20;will&#x20;want&#x20;to&#x20;approve&#x20;and&#x20;test&#x20;updates&#x20;before&#x20;they&#x20;are&#x20;delivered.&#x20;It&#x20;is&#x20;best&#x20;practice&#x20;to&#x20;test&#x20;first&#x20;where&#x20;updates&#x20;can&#x20;and&#x20;have&#x20;caused&#x20;disruptions&#x20;to&#x20;operations.&#x20;Automatic&#x20;updates&#x20;should&#x20;be&#x20;turned&#x20;off&#x20;where&#x20;changes&#x20;are&#x20;tightly&#x20;controlled&#x20;and&#x20;there&#x20;are&#x20;mature&#x20;testing&#x20;and&#x20;approval&#x20;processes.&#x20;Automatic&#x20;updates&#x20;should&#x20;not&#x20;be&#x20;turned&#x20;off&#x20;simply&#x20;to&#x20;allow&#x20;the&#x20;administrator&#x20;to&#x20;contact&#x20;users&#x20;in&#x20;order&#x20;to&#x20;verify&#x20;installation.&#x20;A&#x20;dependable,&#x20;repeatable&#x20;process&#x20;involving&#x20;a&#x20;patch&#x20;agent&#x20;or&#x20;remote&#x20;management&#x20;tool&#x20;should&#x20;be&#x20;in&#x20;place&#x20;before&#x20;auto-updates&#x20;are&#x20;turned&#x20;off.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited.','Unpatched&#x20;software&#x20;may&#x20;be&#x20;exploited.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;macOS&#x20;updates&#x20;to&#x20;run&#x20;automatically:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Software&#x20;Update&#x20;4.&#x20;Select&#x20;the&#x20;i&#x20;5.&#x20;Set&#x20;Install&#x20;macOS&#x20;updates&#x20;to&#x20;enabled&#x20;6.&#x20;Select&#x20;Done&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;to&#x20;enable&#x20;automatic&#x20;checking&#x20;and&#x20;installing&#x20;of&#x20;macOS&#x20;updates:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;AutomaticallyInstallMacOSUpdates&#x20;-bool&#x20;TRUE&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.SoftwareUpdate&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;AutomaticallyInstallMacOSUpdates&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"1.4\"]}, {\"cis_csc_v8\": [\"7.3\", \"7.4\"]}, {\"cis_csc_v7\": [\"3.4\", \"3.5\"]}, {\"cmmc_v2.0\": [\"SI.L1-3.14.1\"]}, {\"nist_sp_800-53\": [\"SI-2(2)\"]}, {\"pci_dss_v3.2.1\": [\"6.2\"]}, {\"soc_2\": [\"CC7.1\"]}, {\"mitre_techniques\": [\"T1103\", \"T1017\", \"T1138\", \"T1189\", \"T1190\", \"T1212\", \"T1211\", \"T1068\", \"T1210\", \"T1495\", \"T1137\", \"T1075\", \"T1195\", \"T1019\", \"T1072\", \"T1100\", \"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\"]}]'),(31004,'Ensure&#x20;Install&#x20;Application&#x20;Updates&#x20;from&#x20;the&#x20;App&#x20;Store&#x20;Is&#x20;Enabled.','Ensure&#x20;that&#x20;application&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;These&#x20;updates&#x20;do&#x20;not&#x20;require&#x20;reboots&#x20;or&#x20;administrator&#x20;privileges&#x20;for&#x20;end&#x20;users.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited.','Unpatched&#x20;software&#x20;may&#x20;be&#x20;exploited.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;App&#x20;Store&#x20;updates&#x20;to&#x20;install&#x20;automatically:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Software&#x20;Update&#x20;4.&#x20;Select&#x20;the&#x20;i&#x20;5.&#x20;Set&#x20;Install&#x20;application&#x20;updates&#x20;from&#x20;the&#x20;App&#x20;Store&#x20;to&#x20;enabled&#x20;6.&#x20;Select&#x20;Done&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;turn&#x20;on&#x20;App&#x20;Store&#x20;auto&#x20;updating:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.commerce&#x20;AutoUpdate&#x20;-bool&#x20;TRUE&#x20;Note:&#x20;This&#x20;remediation&#x20;requires&#x20;a&#x20;log&#x20;out&#x20;and&#x20;log&#x20;in&#x20;to&#x20;show&#x20;in&#x20;the&#x20;GUI.&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.SoftwareUpdate&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;AutomaticallyInstallAppUpdates&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"1.5\"]}, {\"cis_csc_v8\": [\"7.3\", \"7.4\"]}, {\"cis_csc_v7\": [\"3.4\", \"3.5\"]}, {\"cmmc_v2.0\": [\"SI.L1-3.14.1\"]}, {\"nist_sp_800-53\": [\"SI-2(2)\"]}, {\"pci_dss_v3.2.1\": [\"6.2\"]}, {\"soc_2\": [\"CC7.1\"]}, {\"mitre_techniques\": [\"T1103\", \"T1017\", \"T1138\", \"T1189\", \"T1190\", \"T1212\", \"T1211\", \"T1068\", \"T1210\", \"T1495\", \"T1137\", \"T1075\", \"T1195\", \"T1019\", \"T1072\", \"T1100\", \"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\"]}]'),(31005,'Ensure&#x20;Install&#x20;Security&#x20;Responses&#x20;and&#x20;System&#x20;Files&#x20;Is&#x20;Enabled.','Ensure&#x20;that&#x20;system&#x20;and&#x20;security&#x20;updates&#x20;are&#x20;installed&#x20;after&#x20;they&#x20;are&#x20;available&#x20;from&#x20;Apple.&#x20;This&#x20;setting&#x20;enables&#x20;definition&#x20;updates&#x20;for&#x20;XProtect&#x20;and&#x20;Gatekeeper.&#x20;With&#x20;this&#x20;setting&#x20;in&#x20;place,&#x20;new&#x20;malware&#x20;and&#x20;adware&#x20;that&#x20;Apple&#x20;has&#x20;added&#x20;to&#x20;the&#x20;list&#x20;of&#x20;malware&#x20;or&#x20;untrusted&#x20;software&#x20;will&#x20;not&#x20;execute.&#x20;These&#x20;updates&#x20;do&#x20;not&#x20;require&#x20;reboots&#x20;or&#x20;end&#x20;user&#x20;admin&#x20;rights.','Patches&#x20;need&#x20;to&#x20;be&#x20;applied&#x20;in&#x20;a&#x20;timely&#x20;manner&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;vulnerabilities&#x20;being&#x20;exploited.','Unpatched&#x20;software&#x20;may&#x20;be&#x20;exploited.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;system&#x20;data&#x20;files&#x20;and&#x20;security&#x20;updates&#x20;to&#x20;install&#x20;automatically:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Software&#x20;Update&#x20;4.&#x20;Select&#x20;the&#x20;i&#x20;5.&#x20;Set&#x20;Install&#x20;Security&#x20;Responses&#x20;and&#x20;System&#x20;files&#x20;to&#x20;enabled&#x20;6.&#x20;Select&#x20;Done&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;enable&#x20;automatic&#x20;checking&#x20;of&#x20;system&#x20;data&#x20;files&#x20;and&#x20;security&#x20;updates:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;ConfigDataInstall&#x20;-bool&#x20;true&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.SoftwareUpdate&#x20;CriticalUpdateInstall&#x20;-bool&#x20;true&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.SoftwareUpdate&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;ConfigDataInstall&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;&#x20;4.&#x20;The&#x20;key&#x20;to&#x20;also&#x20;include&#x20;is&#x20;CriticalUpdateInstall&#x20;5.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"1.6\"]}, {\"cis_csc_v8\": [\"7.3\", \"7.4\", \"7.7\"]}, {\"cis_csc_v7\": [\"3.4\", \"3.5\"]}, {\"cmmc_v2.0\": [\"CA.L2-3.12.2\", \"RA.L2-3.11.3\", \"SI.L1-3.14.1\"]}, {\"nist_sp_800-53\": [\"SI-2(2)\"]}, {\"pci_dss_v3.2.1\": [\"6.2\"]}, {\"pci_dss_v4.0\": [\"11.3.1\", \"11.3.2\", \"11.3.2.1\"]}, {\"soc_2\": [\"CC7.1\"]}, {\"mitre_techniques\": [\"T1103\", \"T1017\", \"T1138\", \"T1189\", \"T1190\", \"T1212\", \"T1211\", \"T1068\", \"T1210\", \"T1495\", \"T1137\", \"T1075\", \"T1195\", \"T1019\", \"T1072\", \"T1100\", \"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\"]}]'),(31006,'Ensure&#x20;Software&#x20;Update&#x20;Deferment&#x20;Is&#x20;Less&#x20;Than&#x20;or&#x20;Equal&#x20;to&#x20;30&#x20;Days.','Apple&#x20;provides&#x20;the&#x20;capability&#x20;to&#x20;manage&#x20;software&#x20;updates&#x20;on&#x20;Apple&#x20;devices&#x20;through&#x20;mobile&#x20;device&#x20;management.&#x20;Part&#x20;of&#x20;those&#x20;capabilities&#x20;permit&#x20;organizations&#x20;to&#x20;defer&#x20;software&#x20;updates&#x20;and&#x20;allow&#x20;for&#x20;testing.&#x20;Many&#x20;organizations&#x20;have&#x20;specialized&#x20;software&#x20;and&#x20;configurations&#x20;that&#x20;may&#x20;be&#x20;negatively&#x20;impacted&#x20;by&#x20;Apple&#x20;updates.&#x20;If&#x20;software&#x20;updates&#x20;are&#x20;deferred,&#x20;they&#x20;should&#x20;not&#x20;be&#x20;deferred&#x20;for&#x20;more&#x20;than&#x20;30&#x20;days.&#x20;This&#x20;control&#x20;only&#x20;verifies&#x20;that&#x20;deferred&#x20;software&#x20;updates&#x20;are&#x20;not&#x20;deferred&#x20;for&#x20;more&#x20;than&#x20;30&#x20;days.','Apple&#x20;software&#x20;updates&#x20;almost&#x20;always&#x20;include&#x20;security&#x20;updates.&#x20;Attackers&#x20;evaluate&#x20;updates&#x20;to&#x20;create&#x20;exploit&#x20;code&#x20;in&#x20;order&#x20;to&#x20;attack&#x20;unpatched&#x20;systems.&#x20;The&#x20;longer&#x20;a&#x20;system&#x20;remains&#x20;unpatched,&#x20;the&#x20;greater&#x20;an&#x20;exploit&#x20;possibility&#x20;exists&#x20;in&#x20;which&#x20;there&#x20;are&#x20;publicly&#x20;reported&#x20;vulnerabilities.','Some&#x20;organizations&#x20;may&#x20;need&#x20;more&#x20;than&#x20;30&#x20;days&#x20;to&#x20;evaluate&#x20;the&#x20;impact&#x20;of&#x20;software&#x20;updates.','Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.applicationaccess&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;enforcedSoftwareUpdateDelay&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;integer&gt;&lt;1-30&gt;&lt;/integer&gt;.','[{\"cis\": [\"1.7\"]}, {\"cis_csc_v8\": [\"7.3\", \"7.4\"]}, {\"cis_csc_v7\": [\"3.4\", \"3.5\"]}, {\"cmmc_v2.0\": [\"SI.L1-3.14.1\"]}, {\"nist_sp_800-53\": [\"SI-2(2)\"]}, {\"pci_dss_v3.2.1\": [\"6.2\"]}, {\"soc_2\": [\"CC7.1\"]}, {\"mitre_techniques\": [\"T1103\", \"T1017\", \"T1138\", \"T1189\", \"T1190\", \"T1212\", \"T1211\", \"T1068\", \"T1210\", \"T1495\", \"T1137\", \"T1075\", \"T1195\", \"T1019\", \"T1072\", \"T1100\", \"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\"]}]'),(31007,'Ensure&#x20;Firewall&#x20;Is&#x20;Enabled.','A&#x20;firewall&#x20;is&#x20;a&#x20;piece&#x20;of&#x20;software&#x20;that&#x20;blocks&#x20;unwanted&#x20;incoming&#x20;connections&#x20;to&#x20;a&#x20;system.&#x20;Apple&#x20;has&#x20;posted&#x20;general&#x20;documentation&#x20;about&#x20;the&#x20;application&#x20;firewall:.','A&#x20;firewall&#x20;minimizes&#x20;the&#x20;threat&#x20;of&#x20;unauthorized&#x20;users&#x20;gaining&#x20;access&#x20;to&#x20;your&#x20;system&#x20;while&#x20;connected&#x20;to&#x20;a&#x20;network&#x20;or&#x20;the&#x20;Internet.','The&#x20;firewall&#x20;may&#x20;block&#x20;legitimate&#x20;traffic.&#x20;Applications&#x20;that&#x20;are&#x20;unsigned&#x20;will&#x20;require&#x20;special&#x20;handling.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;turn&#x20;the&#x20;firewall&#x20;on:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Network&#x20;3.&#x20;Select&#x20;Firewall&#x20;4.&#x20;Set&#x20;Firewall&#x20;to&#x20;enabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;firewall:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.alf&#x20;globalstate&#x20;-int&#x20;&lt;value&gt;&#x20;For&#x20;the&#x20;&lt;value&gt;,&#x20;use&#x20;either&#x20;1,&#x20;specific&#x20;services,&#x20;or&#x20;2,&#x20;essential&#x20;services&#x20;only.&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.security.firewall&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;EnableFirewall&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"2.2.1\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.5\", \"13.1\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.4\", \"9.5\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L1-3.1.20\", \"AU.L2-3.3.5\", \"AU.L2-3.3.6\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\", \"SI.L2-3.14.3\", \"SI.L2-3.14.7\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"iso_27001-2013\": [\"A.13.1.1\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"AU-6(1)\", \"AU-7\", \"CM-7(1)\", \"CM-9\", \"IR-4(1)\", \"SA-10\", \"SC-7(5)\", \"SI-4(2)\", \"SI-4(5)\"]}, {\"pci_dss_v3.2.1\": [\"1.1.4\", \"1.4\", \"10.5.3\", \"10.6.1\", \"11.5\", \"2.2\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"10.7\", \"10.7.1\", \"10.7.2\", \"10.7.3\", \"11.5\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC6.6\", \"CC7.1\", \"CC7.2\", \"CC8.1\"]}]'),(31008,'Ensure&#x20;Firewall&#x20;Stealth&#x20;Mode&#x20;Is&#x20;Enabled.','While&#x20;in&#x20;Stealth&#x20;mode,&#x20;the&#x20;computer&#x20;will&#x20;not&#x20;respond&#x20;to&#x20;unsolicited&#x20;probes,&#x20;dropping&#x20;that&#x20;traffic.','Stealth&#x20;mode&#x20;on&#x20;the&#x20;firewall&#x20;minimizes&#x20;the&#x20;threat&#x20;of&#x20;system&#x20;discovery&#x20;tools&#x20;while&#x20;connected&#x20;to&#x20;a&#x20;network&#x20;or&#x20;the&#x20;Internet.','Traditional&#x20;network&#x20;discovery&#x20;tools&#x20;like&#x20;ping&#x20;will&#x20;not&#x20;succeed.&#x20;Other&#x20;network&#x20;tools&#x20;that&#x20;measure&#x20;activity&#x20;and&#x20;approved&#x20;applications&#x20;will&#x20;work&#x20;as&#x20;expected.&#x20;This&#x20;control&#x20;aligns&#x20;with&#x20;the&#x20;primary&#x20;macOS&#x20;use&#x20;case&#x20;of&#x20;a&#x20;laptop&#x20;that&#x20;is&#x20;often&#x20;connected&#x20;to&#x20;untrusted&#x20;networks&#x20;where&#x20;host&#x20;segregation&#x20;may&#x20;be&#x20;non-existent.&#x20;In&#x20;that&#x20;use&#x20;case,&#x20;hiding&#x20;from&#x20;the&#x20;other&#x20;inmates&#x20;is&#x20;likely&#x20;more&#x20;than&#x20;desirable.&#x20;In&#x20;use&#x20;cases&#x20;where&#x20;use&#x20;is&#x20;only&#x20;on&#x20;trusted&#x20;LANs&#x20;with&#x20;static&#x20;IP&#x20;addresses,&#x20;stealth&#x20;mode&#x20;may&#x20;not&#x20;be&#x20;desirable.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;firewall&#x20;stealth&#x20;mode:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Network&#x20;3.&#x20;Select&#x20;Firewall&#x20;4.&#x20;Select&#x20;Options...&#x20;5.&#x20;Set&#x20;Enabled&#x20;stealth&#x20;mode&#x20;to&#x20;enabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;stealth&#x20;mode:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/libexec/ApplicationFirewall/socketfilterfw&#x20;--setstealthmode&#x20;on&#x20;Stealth&#x20;mode&#x20;enabled&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.security.firewall&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;EnableStealthMode&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;&#x20;Note:&#x20;This&#x20;key&#x20;must&#x20;be&#x20;set&#x20;in&#x20;the&#x20;same&#x20;configuration&#x20;profile&#x20;with&#x20;EnableFirewall&#x20;set&#x20;to&#x20;&lt;true/&gt;.&#x20;If&#x20;it&#x20;is&#x20;set&#x20;in&#x20;its&#x20;own&#x20;configuration&#x20;profile,&#x20;it&#x20;will&#x20;fail.','[{\"cis\": [\"2.2.2\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.5\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L1-3.1.20\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L1-3.13.1\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\", \"SC-7(5)\"]}, {\"pci_dss_v3.2.1\": [\"1.1.4\", \"1.1.6\", \"1.2.1\", \"1.4\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31009,'Ensure&#x20;Set&#x20;Time&#x20;and&#x20;Date&#x20;Automatically&#x20;Is&#x20;Enabled.','Correct&#x20;date&#x20;and&#x20;time&#x20;settings&#x20;are&#x20;required&#x20;for&#x20;authentication&#x20;protocols,&#x20;file&#x20;creation,&#x20;modification&#x20;dates,&#x20;and&#x20;log&#x20;entries.&#x20;Note:&#x20;If&#x20;your&#x20;organization&#x20;has&#x20;internal&#x20;time&#x20;servers,&#x20;enter&#x20;them&#x20;here.&#x20;Enterprise&#x20;mobile&#x20;devices&#x20;may&#x20;need&#x20;to&#x20;use&#x20;a&#x20;mix&#x20;of&#x20;internal&#x20;and&#x20;external&#x20;time&#x20;servers.&#x20;If&#x20;multiple&#x20;servers&#x20;are&#x20;required,&#x20;use&#x20;the&#x20;Date&#x20;&amp;&#x20;Time&#x20;System&#x20;Preference&#x20;with&#x20;each&#x20;server&#x20;separated&#x20;by&#x20;a&#x20;space.&#x20;Additional&#x20;Note:&#x20;The&#x20;default&#x20;Apple&#x20;time&#x20;server&#x20;is&#x20;time.apple.com.&#x20;Variations&#x20;include&#x20;time.euro.apple.com.&#x20;While&#x20;it&#x20;is&#x20;certainly&#x20;more&#x20;efficient&#x20;to&#x20;use&#x20;internal&#x20;time&#x20;servers,&#x20;there&#x20;is&#x20;no&#x20;reason&#x20;to&#x20;block&#x20;access&#x20;to&#x20;global&#x20;Apple&#x20;time&#x20;servers&#x20;or&#x20;to&#x20;add&#x20;a&#x20;time.apple.com&#x20;alias&#x20;to&#x20;internal&#x20;DNS&#x20;records.&#x20;There&#x20;are&#x20;no&#x20;reports&#x20;that&#x20;Apple&#x20;gathers&#x20;any&#x20;information&#x20;from&#x20;NTP&#x20;synchronization,&#x20;as&#x20;the&#x20;computers&#x20;already&#x20;phone&#x20;home&#x20;to&#x20;Apple&#x20;for&#x20;Apple&#x20;services&#x20;including&#x20;iCloud&#x20;use&#x20;and&#x20;software&#x20;updates.&#x20;Best&#x20;practice&#x20;is&#x20;to&#x20;allow&#x20;DNS&#x20;resolution&#x20;to&#x20;an&#x20;authoritative&#x20;time&#x20;service&#x20;for&#x20;time.apple.com,&#x20;preferably&#x20;to&#x20;connect&#x20;to&#x20;Apple&#x20;servers,&#x20;but&#x20;local&#x20;servers&#x20;are&#x20;acceptable&#x20;as&#x20;well.','Kerberos&#x20;may&#x20;not&#x20;operate&#x20;correctly&#x20;if&#x20;the&#x20;time&#x20;on&#x20;the&#x20;Mac&#x20;is&#x20;off&#x20;by&#x20;more&#x20;than&#x20;5&#x20;minutes.&#x20;This&#x20;in&#x20;turn&#x20;can&#x20;affect&#x20;Apple&#039;s&#x20;single&#x20;sign-on&#x20;feature,&#x20;Active&#x20;Directory&#x20;logons,&#x20;and&#x20;other&#x20;features.','The&#x20;timed&#x20;service&#x20;will&#x20;periodically&#x20;synchronize&#x20;with&#x20;named&#x20;time&#x20;servers&#x20;and&#x20;will&#x20;make&#x20;the&#x20;computer&#x20;time&#x20;more&#x20;accurate.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;to&#x20;enable&#x20;the&#x20;date&#x20;and&#x20;time&#x20;to&#x20;be&#x20;set&#x20;automatically:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Date&#x20;&amp;&#x20;Time&#x20;4.&#x20;Set&#x20;Set&#x20;time&#x20;and&#x20;date&#x20;automatically&#x20;to&#x20;enabled&#x20;Note:&#x20;By&#x20;default,&#x20;the&#x20;operating&#x20;system&#x20;will&#x20;use&#x20;time.apple.com&#x20;as&#x20;the&#x20;time&#x20;server.&#x20;You&#x20;can&#x20;change&#x20;to&#x20;any&#x20;time&#x20;server&#x20;that&#x20;meets&#x20;your&#x20;organization&#039;s&#x20;requirements.&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;enable&#x20;the&#x20;date&#x20;and&#x20;time&#x20;setting&#x20;automatically:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-setnetworktimeserver&#x20;&lt;your.time.server&gt;&#x20;setNetworkTimeServer:&#x20;&lt;your.time.server&gt;&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-setusingnetworktime&#x20;on&#x20;setUsingNetworkTime:&#x20;On&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-setnetworktimeserver&#x20;time.apple.com&#x20;setNetworkTimeServer:&#x20;time.apple.com&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-setusingnetworktime&#x20;on&#x20;setUsingNetworkTime:&#x20;On&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;if&#x20;you&#x20;have&#x20;not&#x20;set,&#x20;or&#x20;need&#x20;to&#x20;set,&#x20;a&#x20;new&#x20;time&#x20;zone:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-listtimezones&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-settimezone&#x20;&lt;selected&#x20;time&#x20;zone&gt;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-listtimezones&#x20;Time&#x20;Zones:&#x20;Africa/Abidjan&#x20;Africa/Accra&#x20;Africa/Addis_Ababa&#x20;...&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-settimezone&#x20;America/New_York&#x20;Set&#x20;TimeZone:&#x20;America/New_York.','[{\"cis\": [\"2.3.2.1\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"pci_dss_v3.2.1\": [\"10.4\"]}, {\"pci_dss_v4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}]'),(31010,'Ensure&#x20;Time&#x20;Is&#x20;Set&#x20;Within&#x20;Appropriate&#x20;Limits.','Correct&#x20;date&#x20;and&#x20;time&#x20;settings&#x20;are&#x20;required&#x20;for&#x20;authentication&#x20;protocols,&#x20;file&#x20;creation,&#x20;modification&#x20;dates&#x20;and&#x20;log&#x20;entries.&#x20;Ensure&#x20;that&#x20;time&#x20;on&#x20;the&#x20;computer&#x20;is&#x20;within&#x20;acceptable&#x20;limits.&#x20;Truly&#x20;accurate&#x20;time&#x20;is&#x20;measured&#x20;within&#x20;milliseconds.&#x20;For&#x20;this&#x20;audit,&#x20;a&#x20;drift&#x20;under&#x20;four&#x20;and&#x20;a&#x20;half&#x20;minutes&#x20;passes&#x20;the&#x20;control&#x20;check.&#x20;Since&#x20;Kerberos&#x20;is&#x20;one&#x20;of&#x20;the&#x20;important&#x20;features&#x20;of&#x20;macOS&#x20;integration&#x20;into&#x20;Directory&#x20;systems,&#x20;the&#x20;guidance&#x20;here&#x20;is&#x20;to&#x20;warn&#x20;you&#x20;before&#x20;there&#x20;could&#x20;be&#x20;an&#x20;impact&#x20;to&#x20;operations.&#x20;From&#x20;the&#x20;perspective&#x20;of&#x20;accurate&#x20;time,&#x20;this&#x20;check&#x20;is&#x20;not&#x20;strict,&#x20;so&#x20;it&#x20;may&#x20;be&#x20;too&#x20;great&#x20;for&#x20;your&#x20;organization.&#x20;Your&#x20;organization&#x20;can&#x20;adjust&#x20;to&#x20;a&#x20;smaller&#x20;offset&#x20;value&#x20;as&#x20;needed.&#x20;If&#x20;there&#x20;are&#x20;consistent&#x20;drift&#x20;issues&#x20;on&#x20;the&#x20;OS,&#x20;some&#x20;of&#x20;the&#x20;most&#x20;common&#x20;drift&#x20;issues&#x20;should&#x20;be&#x20;investigated:&#x20;-&#x20;The&#x20;chosen&#x20;time&#x20;server&#x20;is&#x20;not&#x20;reachable&#x20;based&#x20;on&#x20;network&#x20;firewall&#x20;rules&#x20;on&#x20;the&#x20;current&#x20;network&#x20;-&#x20;The&#x20;computer&#x20;is&#x20;offline&#x20;often&#x20;and&#x20;the&#x20;battery&#x20;drains,&#x20;and&#x20;the&#x20;network&#x20;is&#x20;not&#x20;immediately&#x20;available&#x20;-&#x20;The&#x20;chosen&#x20;time&#x20;server&#x20;is&#x20;a&#x20;special&#x20;internal&#x20;or&#x20;non-public&#x20;time&#x20;server&#x20;that&#x20;does&#x20;not&#x20;provide&#x20;a&#x20;reliable&#x20;time&#x20;source&#x20;Note:&#x20;ntpdate&#x20;has&#x20;been&#x20;deprecated&#x20;with&#x20;10.14.&#x20;sntp&#x20;replaces&#x20;that&#x20;command.','Kerberos&#x20;may&#x20;not&#x20;operate&#x20;correctly&#x20;if&#x20;the&#x20;time&#x20;on&#x20;the&#x20;Mac&#x20;is&#x20;off&#x20;by&#x20;more&#x20;than&#x20;5&#x20;minutes.&#x20;This&#x20;in&#x20;turn&#x20;can&#x20;affect&#x20;Apple&#039;s&#x20;single&#x20;sign-on&#x20;feature,&#x20;Active&#x20;Directory&#x20;logons,&#x20;and&#x20;other&#x20;features.&#x20;Audit&#x20;check&#x20;is&#x20;for&#x20;more&#x20;than&#x20;4&#x20;minutes&#x20;and&#x20;30&#x20;seconds&#x20;ahead&#x20;or&#x20;behind.','Accurate&#x20;time&#x20;is&#x20;required&#x20;for&#x20;many&#x20;computer&#x20;functions.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;ensure&#x20;your&#x20;time&#x20;is&#x20;set&#x20;within&#x20;an&#x20;appropriate&#x20;limit:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-getnetworktimeserver&#x20;The&#x20;output&#x20;will&#x20;include&#x20;Network&#x20;Time&#x20;Server:&#x20;and&#x20;the&#x20;name&#x20;of&#x20;your&#x20;time&#x20;server&#x20;example:&#x20;Network&#x20;Time&#x20;Server:&#x20;time.apple.com.&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/sntp&#x20;-sS&#x20;&lt;your.time.server&gt;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-getnetworktimeserver&#x20;Network&#x20;Time&#x20;Server:&#x20;time.apple.com&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/sntp&#x20;-sS&#x20;time.apple.com.','[{\"cis\": [\"2.3.2.2\"]}, {\"cis_csc_v8\": [\"8.4\"]}, {\"cis_csc_v7\": [\"6.1\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.7\"]}, {\"iso_27001-2013\": [\"A.12.4.4\"]}, {\"nist_sp_800-53\": [\"AU-7\"]}, {\"pci_dss_v3.2.1\": [\"10.4\"]}, {\"pci_dss_v4.0\": [\"10.6\", \"10.6.1\", \"10.6.2\", \"10.6.3\"]}, {\"soc_2\": [\"CC4.1\", \"CC5.2\"]}]'),(31011,'Ensure&#x20;DVD&#x20;or&#x20;CD&#x20;Sharing&#x20;Is&#x20;Disabled.','DVD&#x20;or&#x20;CD&#x20;Sharing&#x20;allows&#x20;users&#x20;to&#x20;remotely&#x20;access&#x20;the&#x20;system&#039;s&#x20;optical&#x20;drive.&#x20;While&#x20;Apple&#x20;does&#x20;not&#x20;ship&#x20;Macs&#x20;with&#x20;built-in&#x20;optical&#x20;drives&#x20;any&#x20;longer,&#x20;external&#x20;optical&#x20;drives&#x20;are&#x20;still&#x20;recognized&#x20;when&#x20;they&#x20;are&#x20;connected.&#x20;In&#x20;testing,&#x20;the&#x20;sharing&#x20;of&#x20;an&#x20;external&#x20;optical&#x20;drive&#x20;persists&#x20;when&#x20;a&#x20;drive&#x20;is&#x20;reconnected.','Disabling&#x20;DVD&#x20;or&#x20;CD&#x20;Sharing&#x20;minimizes&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;using&#x20;the&#x20;optical&#x20;drive&#x20;as&#x20;a&#x20;vector&#x20;for&#x20;attack&#x20;and&#x20;exposure&#x20;of&#x20;sensitive&#x20;data.','Many&#x20;Apple&#x20;devices&#x20;are&#x20;now&#x20;sold&#x20;without&#x20;optical&#x20;drives,&#x20;however&#x20;drive&#x20;sharing&#x20;may&#x20;be&#x20;needed&#x20;for&#x20;legacy&#x20;optical&#x20;media.&#x20;The&#x20;media&#x20;should&#x20;be&#x20;explicitly&#x20;re-shared&#x20;as&#x20;needed&#x20;rather&#x20;than&#x20;using&#x20;a&#x20;persistent&#x20;share.&#x20;Optical&#x20;drives&#x20;should&#x20;not&#x20;be&#x20;used&#x20;for&#x20;long-term&#x20;storage.&#x20;To&#x20;store&#x20;necessary&#x20;data&#x20;from&#x20;an&#x20;optical&#x20;drive&#x20;it&#x20;should&#x20;be&#x20;copied&#x20;to&#x20;another&#x20;form&#x20;of&#x20;external&#x20;storage.&#x20;Optionally,&#x20;an&#x20;image&#x20;can&#x20;be&#x20;made&#x20;of&#x20;the&#x20;optical&#x20;drive&#x20;so&#x20;that&#x20;it&#x20;is&#x20;stored&#x20;in&#x20;its&#x20;original&#x20;form&#x20;on&#x20;another&#x20;form&#x20;of&#x20;external&#x20;storage.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;DVD&#x20;or&#x20;CD&#x20;Sharing:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Sharing&#x20;4.&#x20;Set&#x20;DVD&#x20;or&#x20;CD&#x20;sharing&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;DVD&#x20;or&#x20;CD&#x20;Sharing:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/launchctl&#x20;disable&#x20;system/com.apple.ODSAgent&#x20;Note:&#x20;If&#x20;using&#x20;the&#x20;Terminal&#x20;method,&#x20;the&#x20;GUI&#x20;will&#x20;still&#x20;show&#x20;the&#x20;service&#x20;checked&#x20;until&#x20;after&#x20;a&#x20;reboot.','[{\"cis\": [\"2.3.3.1\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31012,'Ensure&#x20;Screen&#x20;Sharing&#x20;Is&#x20;Disabled.','Screen&#x20;Sharing&#x20;allows&#x20;a&#x20;computer&#x20;to&#x20;connect&#x20;to&#x20;another&#x20;computer&#x20;on&#x20;a&#x20;network&#x20;and&#x20;display&#x20;the&#x20;computer&#039;s&#x20;screen.&#x20;While&#x20;sharing&#x20;the&#x20;computer&#039;s&#x20;screen,&#x20;the&#x20;user&#x20;can&#x20;control&#x20;what&#x20;happens&#x20;on&#x20;that&#x20;computer,&#x20;such&#x20;as&#x20;opening&#x20;documents&#x20;or&#x20;applications,&#x20;opening,&#x20;moving,&#x20;or&#x20;closing&#x20;windows,&#x20;and&#x20;even&#x20;shutting&#x20;down&#x20;the&#x20;computer.&#x20;While&#x20;mature&#x20;administration&#x20;and&#x20;management&#x20;does&#x20;not&#x20;use&#x20;graphical&#x20;connections&#x20;for&#x20;standard&#x20;maintenance,&#x20;most&#x20;help&#x20;desks&#x20;have&#x20;capabilities&#x20;to&#x20;assist&#x20;users&#x20;in&#x20;performing&#x20;their&#x20;work&#x20;when&#x20;they&#x20;have&#x20;technical&#x20;issues&#x20;and&#x20;need&#x20;support.&#x20;Help&#x20;desks&#x20;use&#x20;graphical&#x20;remote&#x20;tools&#x20;to&#x20;understand&#x20;what&#x20;the&#x20;user&#x20;sees&#x20;and&#x20;assist&#x20;them&#x20;so&#x20;they&#x20;can&#x20;get&#x20;back&#x20;to&#x20;work.&#x20;For&#x20;MacOS,&#x20;some&#x20;of&#x20;these&#x20;remote&#x20;capabilities&#x20;can&#x20;use&#x20;Apple&#039;s&#x20;OS&#x20;tools.&#x20;Control&#x20;is&#x20;therefore&#x20;not&#x20;meant&#x20;to&#x20;prohibit&#x20;the&#x20;use&#x20;of&#x20;a&#x20;just-in-time&#x20;graphical&#x20;view&#x20;from&#x20;authorized&#x20;personnel&#x20;with&#x20;authentication&#x20;controls.&#x20;Sharing&#x20;should&#x20;not&#x20;be&#x20;enabled&#x20;except&#x20;in&#x20;narrow&#x20;windows&#x20;when&#x20;help&#x20;desk&#x20;support&#x20;is&#x20;required.','Disabling&#x20;Screen&#x20;Sharing&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;remote&#x20;connections&#x20;being&#x20;made&#x20;without&#x20;the&#x20;user&#x20;of&#x20;the&#x20;console&#x20;knowing&#x20;that&#x20;they&#x20;are&#x20;sharing&#x20;the&#x20;computer.','Help&#x20;desks&#x20;may&#x20;require&#x20;the&#x20;periodic&#x20;use&#x20;of&#x20;a&#x20;graphical&#x20;connection&#x20;mechanism&#x20;to&#x20;assist&#x20;users.&#x20;Any&#x20;support&#x20;that&#x20;relies&#x20;on&#x20;native&#x20;MacOS&#x20;components&#x20;will&#x20;not&#x20;work&#x20;unless&#x20;a&#x20;scripted&#x20;solution&#x20;to&#x20;enable&#x20;and&#x20;disable&#x20;sharing&#x20;as&#x20;neccessary.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;Screen&#x20;Sharing:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Sharing&#x20;4.&#x20;Set&#x20;Screen&#x20;Sharing&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;turn&#x20;off&#x20;Screen&#x20;Sharing:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/launchctl&#x20;disable&#x20;system/com.apple.screensharing.','[{\"cis\": [\"2.3.3.2\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31013,'Ensure&#x20;File&#x20;Sharing&#x20;Is&#x20;Disabled.','File&#x20;sharing&#x20;from&#x20;a&#x20;user&#x20;workstation&#x20;creates&#x20;additional&#x20;risks,&#x20;such&#x20;as:&#x20;-&#x20;Open&#x20;ports&#x20;are&#x20;created&#x20;that&#x20;can&#x20;be&#x20;probed&#x20;and&#x20;attacked&#x20;-&#x20;Passwords&#x20;are&#x20;attached&#x20;to&#x20;user&#x20;accounts&#x20;for&#x20;access&#x20;that&#x20;may&#x20;be&#x20;exposed&#x20;and&#x20;endanger&#x20;other&#x20;parts&#x20;of&#x20;the&#x20;organizational&#x20;environment,&#x20;including&#x20;directory&#x20;accounts&#x20;Increased&#x20;complexity&#x20;makes&#x20;security&#x20;more&#x20;difficult&#x20;and&#x20;may&#x20;expose&#x20;additional&#x20;attack&#x20;vectors&#x20;-&#x20;Apple&#039;s&#x20;File&#x20;Sharing&#x20;uses&#x20;the&#x20;Server&#x20;Message&#x20;Block&#x20;&#40;SMB&#41;&#x20;protocol&#x20;to&#x20;share&#x20;to&#x20;other&#x20;computers&#x20;that&#x20;can&#x20;mount&#x20;SMB&#x20;shares.&#x20;This&#x20;includes&#x20;other&#x20;macOS&#x20;computers.&#x20;Apple&#x20;warns&#x20;that&#x20;SMB&#x20;sharing&#x20;stored&#x20;passwords&#x20;is&#x20;less&#x20;secure,&#x20;and&#x20;anyone&#x20;with&#x20;system&#x20;access&#x20;can&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;password&#x20;for&#x20;that&#x20;account.&#x20;When&#x20;sharing&#x20;with&#x20;SMB,&#x20;each&#x20;user&#x20;accessing&#x20;the&#x20;Mac&#x20;must&#x20;have&#x20;SMB&#x20;enabled.&#x20;Storing&#x20;passwords,&#x20;especially&#x20;copies&#x20;of&#x20;valid&#x20;directory&#x20;passwords,&#x20;decrease&#x20;security&#x20;for&#x20;the&#x20;directory&#x20;account&#x20;and&#x20;should&#x20;not&#x20;be&#x20;used.','By&#x20;disabling&#x20;File&#x20;Sharing,&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;and&#x20;risk&#x20;of&#x20;unauthorized&#x20;access&#x20;to&#x20;files&#x20;stored&#x20;on&#x20;the&#x20;system&#x20;is&#x20;reduced.','File&#x20;Sharing&#x20;can&#x20;be&#x20;used&#x20;to&#x20;share&#x20;documents&#x20;with&#x20;other&#x20;users,&#x20;but&#x20;hardened&#x20;servers&#x20;should&#x20;be&#x20;used&#x20;rather&#x20;than&#x20;user&#x20;endpoints.&#x20;Turning&#x20;on&#x20;File&#x20;Sharing&#x20;increases&#x20;the&#x20;visibility&#x20;and&#x20;attack&#x20;surface&#x20;of&#x20;a&#x20;system&#x20;unnecessarily.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;File&#x20;Sharing:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Sharing&#x20;4.&#x20;Set&#x20;File&#x20;Sharing&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;File&#x20;Sharing:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/launchctl&#x20;disable&#x20;system/com.apple.smbd.','[{\"cis\": [\"2.3.3.3\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\", \"5.4\"]}, {\"cis_csc_v7\": [\"4.3\", \"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.3\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\", \"A.9.2.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\", \"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\", \"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31014,'Ensure&#x20;Printer&#x20;Sharing&#x20;Is&#x20;Disabled.','By&#x20;enabling&#x20;Printer&#x20;Sharing,&#x20;the&#x20;computer&#x20;is&#x20;set&#x20;up&#x20;as&#x20;a&#x20;print&#x20;server&#x20;to&#x20;accept&#x20;print&#x20;jobs&#x20;from&#x20;other&#x20;computers.&#x20;Dedicated&#x20;print&#x20;servers&#x20;or&#x20;direct&#x20;IP&#x20;printing&#x20;should&#x20;be&#x20;used&#x20;instead.','Disabling&#x20;Printer&#x20;Sharing&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;attackers&#x20;attempting&#x20;to&#x20;exploit&#x20;the&#x20;print&#x20;server&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system.','','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;Printer&#x20;Sharing:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Sharing&#x20;4.&#x20;Set&#x20;Printer&#x20;Sharing&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Printer&#x20;Sharing:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/cupsctl&#x20;--no-share-printers.','[{\"cis\": [\"2.3.3.4\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31015,'Ensure&#x20;Remote&#x20;Login&#x20;Is&#x20;Disabled.','Remote&#x20;Login&#x20;allows&#x20;an&#x20;interactive&#x20;terminal&#x20;connection&#x20;to&#x20;a&#x20;computer.','Disabling&#x20;Remote&#x20;Login&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;unauthorized&#x20;person&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;system&#x20;via&#x20;Secure&#x20;Shell&#x20;&#40;SSH&#41;.&#x20;While&#x20;SSH&#x20;is&#x20;an&#x20;industry&#x20;standard&#x20;to&#x20;connect&#x20;to&#x20;posix&#x20;servers,&#x20;the&#x20;scope&#x20;of&#x20;the&#x20;benchmark&#x20;is&#x20;for&#x20;Apple&#x20;macOS&#x20;clients,&#x20;not&#x20;servers.&#x20;macOS&#x20;does&#x20;have&#x20;an&#x20;IP-based&#x20;firewall&#x20;available&#x20;&#40;pf,&#x20;ipfw&#x20;has&#x20;been&#x20;deprecated&#41;&#x20;that&#x20;is&#x20;not&#x20;enabled&#x20;or&#x20;configured.&#x20;There&#x20;are&#x20;more&#x20;details&#x20;and&#x20;links&#x20;in&#x20;the&#x20;Network&#x20;sub-section.&#x20;macOS&#x20;no&#x20;longer&#x20;has&#x20;TCP&#x20;Wrappers&#x20;support&#x20;built&#x20;in&#x20;and&#x20;does&#x20;not&#x20;have&#x20;strong&#x20;Brute-Force&#x20;password&#x20;guessing&#x20;mitigations,&#x20;or&#x20;frequent&#x20;patching&#x20;of&#x20;openssh&#x20;by&#x20;Apple.&#x20;Since&#x20;most&#x20;macOS&#x20;computers&#x20;are&#x20;mobile&#x20;workstations,&#x20;managing&#x20;IP-based&#x20;firewall&#x20;rules&#x20;on&#x20;mobile&#x20;devices&#x20;can&#x20;be&#x20;very&#x20;resource&#x20;intensive.&#x20;All&#x20;of&#x20;these&#x20;factors&#x20;can&#x20;be&#x20;parts&#x20;of&#x20;running&#x20;a&#x20;hardened&#x20;SSH&#x20;server.','The&#x20;SSH&#x20;server&#x20;built&#x20;into&#x20;macOS&#x20;should&#x20;not&#x20;be&#x20;enabled&#x20;on&#x20;a&#x20;standard&#x20;user&#x20;computer,&#x20;particularly&#x20;one&#x20;that&#x20;changes&#x20;locations&#x20;and&#x20;IP&#x20;addresses.&#x20;A&#x20;standard&#x20;user&#x20;that&#x20;runs&#x20;local&#x20;applications,&#x20;including&#x20;email,&#x20;web&#x20;browser,&#x20;and&#x20;productivity&#x20;tools,&#x20;should&#x20;not&#x20;use&#x20;the&#x20;same&#x20;device&#x20;as&#x20;a&#x20;server.&#x20;There&#x20;are&#x20;Enterprise&#x20;management&#x20;toolsets&#x20;that&#x20;do&#x20;utilize&#x20;SSH.&#x20;If&#x20;they&#x20;are&#x20;in&#x20;use,&#x20;the&#x20;computer&#x20;should&#x20;be&#x20;locked&#x20;down&#x20;to&#x20;only&#x20;respond&#x20;to&#x20;known,&#x20;trusted&#x20;IP&#x20;addresses&#x20;and&#x20;appropriate&#x20;administrator&#x20;service&#x20;accounts.&#x20;For&#x20;macOS&#x20;computers&#x20;that&#x20;are&#x20;being&#x20;used&#x20;for&#x20;specialized&#x20;functions,&#x20;there&#x20;are&#x20;several&#x20;options&#x20;to&#x20;harden&#x20;the&#x20;SSH&#x20;server&#x20;to&#x20;protect&#x20;against&#x20;unauthorized&#x20;access&#x20;including&#x20;brute&#x20;force&#x20;attacks.&#x20;There&#x20;are&#x20;some&#x20;basic&#x20;criteria&#x20;that&#x20;need&#x20;to&#x20;be&#x20;considered:&#x20;-&#x20;Do&#x20;not&#x20;open&#x20;an&#x20;SSH&#x20;server&#x20;to&#x20;the&#x20;internet&#x20;without&#x20;controls&#x20;in&#x20;place&#x20;to&#x20;mitigate&#x20;SSH&#x20;brute&#x20;force&#x20;attacks.&#x20;This&#x20;is&#x20;particularly&#x20;important&#x20;for&#x20;systems&#x20;bound&#x20;to&#x20;Directory&#x20;environments.&#x20;It&#x20;is&#x20;great&#x20;to&#x20;have&#x20;controls&#x20;in&#x20;place&#x20;to&#x20;protect&#x20;the&#x20;system,&#x20;but&#x20;if&#x20;they&#x20;trigger&#x20;after&#x20;the&#x20;user&#x20;is&#x20;already&#x20;locked&#x20;out&#x20;of&#x20;their&#x20;account,&#x20;they&#x20;are&#x20;not&#x20;optimal.&#x20;If&#x20;authorization&#x20;happens&#x20;after&#x20;authentication,&#x20;directory&#x20;accounts&#x20;for&#x20;users&#x20;that&#x20;don&#039;t&#x20;even&#x20;use&#x20;the&#x20;system&#x20;can&#x20;be&#x20;locked&#x20;out.&#x20;-&#x20;Do&#x20;not&#x20;use&#x20;SSH&#x20;key&#x20;pairs&#x20;when&#x20;there&#x20;is&#x20;no&#x20;insight&#x20;to&#x20;the&#x20;security&#x20;on&#x20;the&#x20;client&#x20;system&#x20;that&#x20;will&#x20;authenticate&#x20;into&#x20;the&#x20;server&#x20;with&#x20;a&#x20;private&#x20;key.&#x20;If&#x20;an&#x20;attacker&#x20;gets&#x20;access&#x20;to&#x20;the&#x20;remote&#x20;system&#x20;and&#x20;can&#x20;find&#x20;the&#x20;key,&#x20;they&#x20;may&#x20;not&#x20;need&#x20;a&#x20;password&#x20;or&#x20;a&#x20;key&#x20;logger&#x20;to&#x20;access&#x20;the&#x20;SSH&#x20;server.&#x20;-&#x20;Detailed&#x20;instructions&#x20;on&#x20;hardening&#x20;an&#x20;SSH&#x20;server,&#x20;if&#x20;needed,&#x20;are&#x20;available&#x20;in&#x20;the&#x20;CIS&#x20;Linux&#x20;Benchmarks,&#x20;but&#x20;it&#x20;is&#x20;beyond&#x20;the&#x20;scope&#x20;of&#x20;this&#x20;benchmark.','Perform&#x20;the&#x20;following&#x20;to&#x20;disable&#x20;Remote&#x20;Login:&#x20;Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;Remote&#x20;Login:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Sharing&#x20;4.&#x20;Set&#x20;Remote&#x20;Login&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Remote&#x20;Login:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-setremotelogin&#x20;off&#x20;Do&#x20;you&#x20;really&#x20;want&#x20;to&#x20;turn&#x20;remote&#x20;login&#x20;off?&#x20;If&#x20;you&#x20;do,&#x20;you&#x20;will&#x20;lose&#x20;this&#x20;connection&#x20;and&#x20;can&#x20;only&#x20;turn&#x20;it&#x20;back&#x20;on&#x20;locally&#x20;at&#x20;the&#x20;server&#x20;&#40;yes/no&#41;?&#x20;Entering&#x20;yes&#x20;will&#x20;disable&#x20;remote&#x20;login.','[{\"cis\": [\"2.3.3.5\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31016,'Ensure&#x20;Remote&#x20;Management&#x20;Is&#x20;Disabled.','Remote&#x20;Management&#x20;is&#x20;the&#x20;client&#x20;portion&#x20;of&#x20;Apple&#x20;Remote&#x20;Desktop&#x20;&#40;ARD&#41;.&#x20;Remote&#x20;Management&#x20;can&#x20;be&#x20;used&#x20;by&#x20;remote&#x20;administrators&#x20;to&#x20;view&#x20;the&#x20;current&#x20;screen,&#x20;install&#x20;software,&#x20;report&#x20;on,&#x20;and&#x20;generally&#x20;manage&#x20;client&#x20;Macs.&#x20;The&#x20;screen&#x20;sharing&#x20;options&#x20;in&#x20;Remote&#x20;Management&#x20;are&#x20;identical&#x20;to&#x20;those&#x20;in&#x20;the&#x20;Screen&#x20;Sharing&#x20;section.&#x20;In&#x20;fact,&#x20;only&#x20;one&#x20;of&#x20;the&#x20;two&#x20;can&#x20;be&#x20;configured.&#x20;If&#x20;Remote&#x20;Management&#x20;is&#x20;used,&#x20;refer&#x20;to&#x20;the&#x20;Screen&#x20;Sharing&#x20;section&#x20;above&#x20;on&#x20;issues&#x20;regard&#x20;screen&#x20;sharing.&#x20;Remote&#x20;Management&#x20;should&#x20;only&#x20;be&#x20;enabled&#x20;when&#x20;a&#x20;Directory&#x20;is&#x20;in&#x20;place&#x20;to&#x20;manage&#x20;the&#x20;accounts&#x20;with&#x20;access.&#x20;Computers&#x20;will&#x20;be&#x20;available&#x20;on&#x20;port&#x20;5900&#x20;on&#x20;a&#x20;macOS&#x20;System&#x20;and&#x20;could&#x20;accept&#x20;connections&#x20;from&#x20;untrusted&#x20;hosts&#x20;depending&#x20;on&#x20;the&#x20;configuration,&#x20;which&#x20;is&#x20;a&#x20;major&#x20;concern&#x20;for&#x20;mobile&#x20;systems.&#x20;As&#x20;with&#x20;other&#x20;sharing&#x20;options,&#x20;an&#x20;open&#x20;port&#x20;even&#x20;for&#x20;authorized&#x20;management&#x20;functions&#x20;can&#x20;be&#x20;attacked,&#x20;and&#x20;both&#x20;unauthorized&#x20;access&#x20;and&#x20;Denial-of-Service&#x20;vulnerabilities&#x20;could&#x20;be&#x20;exploited.&#x20;If&#x20;remote&#x20;management&#x20;is&#x20;required,&#x20;the&#x20;pf&#x20;firewall&#x20;should&#x20;restrict&#x20;access&#x20;only&#x20;to&#x20;known,&#x20;trusted&#x20;management&#x20;consoles.&#x20;Remote&#x20;management&#x20;should&#x20;not&#x20;be&#x20;used&#x20;across&#x20;the&#x20;Internet&#x20;without&#x20;the&#x20;use&#x20;of&#x20;a&#x20;VPN&#x20;tunnel.','Remote&#x20;Management&#x20;should&#x20;only&#x20;be&#x20;enabled&#x20;on&#x20;trusted&#x20;networks&#x20;with&#x20;strong&#x20;user&#x20;controls&#x20;present&#x20;in&#x20;a&#x20;Directory&#x20;system.&#x20;Mobile&#x20;devices&#x20;without&#x20;strict&#x20;controls&#x20;are&#x20;vulnerable&#x20;to&#x20;exploit&#x20;and&#x20;monitoring.','Many&#x20;organizations&#x20;utilize&#x20;ARD&#x20;for&#x20;client&#x20;management.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;Remote&#x20;Management:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Sharing&#x20;4.&#x20;Set&#x20;Remote&#x20;Management&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Remote&#x20;Management:&#x20;$&#x20;/usr/bin/sudo&#x20;/System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources&#x20;/kickstart&#x20;-deactivate&#x20;-stop&#x20;Starting...&#x20;Removed&#x20;preference&#x20;to&#x20;start&#x20;ARD&#x20;after&#x20;reboot.&#x20;Done.','[{\"cis\": [\"2.3.3.6\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\", \"5.4\"]}, {\"cis_csc_v7\": [\"4.3\", \"9.2\", \"14.3\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.3\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.1\", \"A.13.1.3\", \"A.9.2.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1035\", \"T1047\", \"T1051\", \"T1053\", \"T1055\", \"T1067\", \"T1072\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1084\", \"T1086\", \"T1088\", \"T1097\", \"T1098\", \"T1100\", \"T1133\", \"T1134\", \"T1136\", \"T1169\", \"T1175\", \"T1176\", \"T1184\", \"T1190\", \"T1200\", \"T1206\", \"T1208\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1495\", \"T1501\", \"T1505\", \"T1525\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\", \"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\", \"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31017,'Ensure&#x20;Remote&#x20;Apple&#x20;Events&#x20;Is&#x20;Disabled.','Apple&#x20;Events&#x20;is&#x20;a&#x20;technology&#x20;that&#x20;allows&#x20;one&#x20;program&#x20;to&#x20;communicate&#x20;with&#x20;other&#x20;programs.&#x20;Remote&#x20;Apple&#x20;Events&#x20;allows&#x20;a&#x20;program&#x20;on&#x20;one&#x20;computer&#x20;to&#x20;communicate&#x20;with&#x20;a&#x20;program&#x20;on&#x20;a&#x20;different&#x20;computer.','Disabling&#x20;Remote&#x20;Apple&#x20;Events&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;unauthorized&#x20;program&#x20;gaining&#x20;access&#x20;to&#x20;the&#x20;system.','With&#x20;remote&#x20;Apple&#x20;events&#x20;turned&#x20;on,&#x20;an&#x20;AppleScript&#x20;program&#x20;running&#x20;on&#x20;another&#x20;Mac&#x20;can&#x20;interact&#x20;with&#x20;the&#x20;local&#x20;computer.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;Remote&#x20;Apple&#x20;Events:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Sharing&#x20;4.&#x20;Set&#x20;Remote&#x20;Apple&#x20;Events&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;Remote&#x20;Apple&#x20;Events&#x20;to&#x20;Off:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/systemsetup&#x20;-setremoteappleevents&#x20;off&#x20;setremoteappleevents:&#x20;Off.','[{\"cis\": [\"2.3.3.7\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31018,'Ensure&#x20;Internet&#x20;Sharing&#x20;Is&#x20;Disabled.','Internet&#x20;Sharing&#x20;uses&#x20;the&#x20;open&#x20;source&#x20;natd&#x20;process&#x20;to&#x20;share&#x20;an&#x20;internet&#x20;connection&#x20;with&#x20;other&#x20;computers&#x20;and&#x20;devices&#x20;on&#x20;a&#x20;local&#x20;network.&#x20;This&#x20;allows&#x20;the&#x20;Mac&#x20;to&#x20;function&#x20;as&#x20;a&#x20;router&#x20;and&#x20;share&#x20;the&#x20;connection&#x20;to&#x20;other,&#x20;possibly&#x20;unauthorized,&#x20;devices.','Disabling&#x20;Internet&#x20;Sharing&#x20;reduces&#x20;the&#x20;remote&#x20;attack&#x20;surface&#x20;of&#x20;the&#x20;system.','Internet&#x20;Sharing&#x20;allows&#x20;the&#x20;computer&#x20;to&#x20;function&#x20;as&#x20;a&#x20;router&#x20;and&#x20;other&#x20;computers&#x20;to&#x20;use&#x20;it&#x20;for&#x20;access.&#x20;This&#x20;can&#x20;expose&#x20;both&#x20;the&#x20;computer&#x20;itself&#x20;and&#x20;the&#x20;networks&#x20;it&#x20;is&#x20;accessing&#x20;to&#x20;unacceptable&#x20;access&#x20;from&#x20;unapproved&#x20;devices.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;Internet&#x20;Sharing:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Sharing&#x20;4.&#x20;Set&#x20;Internet&#x20;Sharing&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;turn&#x20;off&#x20;Internet&#x20;Sharing:&#x20;$&#x20;usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/SystemConfiguration/com.apple.nat&#x20;NAT&#x20;-dict&#x20;Enabled&#x20;-int&#x20;0&#x20;Note:&#x20;Using&#x20;the&#x20;Terminal&#x20;Method&#x20;will&#x20;not&#x20;be&#x20;reflected&#x20;in&#x20;the&#x20;GUI,&#x20;but&#x20;will&#x20;disable&#x20;the&#x20;underlying&#x20;service.&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.MCX&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;forceInternetSharingOff&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"2.3.3.8\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31019,'Ensure&#x20;Content&#x20;Caching&#x20;Is&#x20;Disabled.','Starting&#x20;with&#x20;10.13&#x20;&#40;macOS&#x20;High&#x20;Sierra&#41;,&#x20;Apple&#x20;introduced&#x20;a&#x20;service&#x20;to&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;deploy&#x20;data&#x20;from&#x20;Apple,&#x20;including&#x20;software&#x20;updates,&#x20;where&#x20;there&#x20;are&#x20;bandwidth&#x20;constraints&#x20;to&#x20;the&#x20;Internet&#x20;and&#x20;fewer&#x20;constraints&#x20;or&#x20;greater&#x20;bandwidth&#x20;exist&#x20;on&#x20;the&#x20;local&#x20;subnet.&#x20;This&#x20;capability&#x20;can&#x20;be&#x20;very&#x20;valuable&#x20;for&#x20;organizations&#x20;that&#x20;have&#x20;throttled&#x20;and&#x20;possibly&#x20;metered&#x20;Internet&#x20;connections.&#x20;In&#x20;heterogeneous&#x20;enterprise&#x20;networks&#x20;with&#x20;multiple&#x20;subnets,&#x20;the&#x20;effectiveness&#x20;of&#x20;this&#x20;capability&#x20;would&#x20;be&#x20;determined&#x20;by&#x20;how&#x20;many&#x20;Macs&#x20;were&#x20;on&#x20;each&#x20;subnet&#x20;at&#x20;the&#x20;time&#x20;new,&#x20;large&#x20;updates&#x20;were&#x20;made&#x20;available&#x20;upstream.&#x20;This&#x20;capability&#x20;requires&#x20;the&#x20;use&#x20;of&#x20;mac&#x20;OS&#x20;clients&#x20;as&#x20;P2P&#x20;nodes&#x20;for&#x20;updated&#x20;Apple&#x20;content.&#x20;Unless&#x20;there&#x20;is&#x20;a&#x20;business&#x20;requirement&#x20;to&#x20;manage&#x20;operational&#x20;Internet&#x20;connectivity&#x20;and&#x20;bandwidth&#x20;user&#x20;endpoints&#x20;should&#x20;not&#x20;store&#x20;content&#x20;and&#x20;act&#x20;as&#x20;a&#x20;cluster&#x20;to&#x20;provision&#x20;data.&#x20;Content&#x20;types&#x20;supported&#x20;by&#x20;Content&#x20;Caching&#x20;in&#x20;macOS.','The&#x20;main&#x20;use&#x20;case&#x20;for&#x20;Mac&#x20;computers&#x20;is&#x20;as&#x20;mobile&#x20;user&#x20;endpoints.&#x20;P2P&#x20;sharing&#x20;services&#x20;should&#x20;not&#x20;be&#x20;enabled&#x20;on&#x20;laptops&#x20;that&#x20;are&#x20;using&#x20;untrusted&#x20;networks.&#x20;Content&#x20;Caching&#x20;can&#x20;allow&#x20;a&#x20;computer&#x20;to&#x20;be&#x20;a&#x20;server&#x20;for&#x20;local&#x20;nodes&#x20;on&#x20;an&#x20;untrusted&#x20;network.&#x20;While&#x20;there&#x20;are&#x20;certainly&#x20;logical&#x20;controls&#x20;that&#x20;could&#x20;be&#x20;used&#x20;to&#x20;mitigate&#x20;risk,&#x20;they&#x20;add&#x20;to&#x20;the&#x20;management&#x20;complexity.&#x20;Since&#x20;the&#x20;value&#x20;of&#x20;the&#x20;service&#x20;is&#x20;in&#x20;specific&#x20;use&#x20;cases&#x20;organizations&#x20;with&#x20;the&#x20;use&#x20;case&#x20;described&#x20;above&#x20;can&#x20;accept&#x20;risk&#x20;as&#x20;necessary.','This&#x20;setting&#x20;will&#x20;adversely&#x20;affect&#x20;bandwidth&#x20;usage&#x20;between&#x20;local&#x20;subnets&#x20;and&#x20;the&#x20;Internet.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;Content&#x20;Caching:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Sharing&#x20;4.&#x20;Set&#x20;Content&#x20;Caching&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Content&#x20;Caching:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/AssetCacheManagerUtil&#x20;deactivate&#x20;The&#x20;output&#x20;will&#x20;include&#x20;Content&#x20;caching&#x20;deactivated&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.applicationaccess&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;allowContentCaching&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;false/&gt;.','[{\"cis\": [\"2.3.3.9\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1015\", \"T1051\", \"T1076\", \"T1133\", \"T1200\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(31020,'Ensure&#x20;Backup&#x20;Automatically&#x20;is&#x20;Enabled&#x20;If&#x20;Time&#x20;Machine&#x20;Is&#x20;Enabled.','Backup&#x20;solutions&#x20;are&#x20;only&#x20;effective&#x20;if&#x20;the&#x20;backups&#x20;run&#x20;on&#x20;a&#x20;regular&#x20;basis.&#x20;The&#x20;time&#x20;to&#x20;check&#x20;for&#x20;backups&#x20;is&#x20;before&#x20;the&#x20;hard&#x20;drive&#x20;fails&#x20;or&#x20;the&#x20;computer&#x20;goes&#x20;missing.&#x20;In&#x20;order&#x20;to&#x20;simplify&#x20;the&#x20;user&#x20;experience&#x20;so&#x20;that&#x20;backups&#x20;are&#x20;more&#x20;likely&#x20;to&#x20;occur,&#x20;Time&#x20;Machine&#x20;should&#x20;be&#x20;on&#x20;and&#x20;set&#x20;to&#x20;Back&#x20;Up&#x20;Automatically&#x20;whenever&#x20;the&#x20;target&#x20;volume&#x20;is&#x20;available.&#x20;Operational&#x20;staff&#x20;should&#x20;ensure&#x20;that&#x20;backups&#x20;complete&#x20;on&#x20;a&#x20;regular&#x20;basis&#x20;and&#x20;the&#x20;backups&#x20;are&#x20;tested&#x20;to&#x20;ensure&#x20;that&#x20;file&#x20;restoration&#x20;from&#x20;backup&#x20;is&#x20;possible&#x20;when&#x20;needed.&#x20;Backup&#x20;dates&#x20;are&#x20;available&#x20;even&#x20;when&#x20;the&#x20;target&#x20;volume&#x20;is&#x20;not&#x20;available&#x20;in&#x20;the&#x20;Time&#x20;Machine&#x20;plist.&#x20;SnapshotDates&#x20;=&#x20;&#40;&#x20;&quot;2012-08-20&#x20;12:10:22&#x20;+0000&quot;,&#x20;&quot;2013-02-03&#x20;23:43:22&#x20;+0000&quot;,&#x20;&quot;2014-02-19&#x20;21:37:21&#x20;+0000&quot;,&#x20;&quot;2015-02-22&#x20;13:07:25&#x20;+0000&quot;,&#x20;&quot;2016-08-20&#x20;14:07:14&#x20;+0000&quot;&#x20;When&#x20;the&#x20;backup&#x20;volume&#x20;is&#x20;connected&#x20;to&#x20;the&#x20;computer&#x20;more&#x20;extensive&#x20;information&#x20;is&#x20;available&#x20;through&#x20;tmutil.&#x20;See&#x20;man&#x20;tmutil.','Backups&#x20;should&#x20;automatically&#x20;run&#x20;whenever&#x20;the&#x20;backup&#x20;drive&#x20;is&#x20;available.','The&#x20;backup&#x20;will&#x20;run&#x20;periodically&#x20;in&#x20;the&#x20;background&#x20;and&#x20;could&#x20;have&#x20;user&#x20;impact&#x20;while&#x20;running.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;Time&#x20;Machine&#x20;automatic&#x20;backup:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Time&#x20;Machine&#x20;4.&#x20;Select&#x20;Options...&#x20;5.&#x20;Set&#x20;Back&#x20;up&#x20;frequency&#x20;to&#x20;Automatically&#x20;&lt;every&#x20;hour/every&#x20;day/every&#x20;week&gt;&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;automatic&#x20;backups&#x20;if&#x20;Time&#x20;Machine&#x20;is&#x20;enabled:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.TimeMachine.plist&#x20;AutoBackup&#x20;-bool&#x20;true&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.TimeMachine&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;Forced&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to:&#x20;&lt;array&gt;&#x20;&lt;dict&gt;&#x20;&lt;key&gt;mcx_preference_settings&lt;/key&gt;&#x20;&lt;dict&gt;&#x20;&lt;key&gt;AutoBackup&lt;/key&gt;&#x20;&lt;true/&gt;&#x20;&lt;/dict&gt;&#x20;&lt;/dict&gt;&#x20;&lt;/array&gt;.','[{\"cis\": [\"2.3.4.1\"]}, {\"cis_csc_v8\": [\"11.2\"]}, {\"cis_csc_v7\": [\"10.1\"]}, {\"hipaa\": [\"164.308(a)(7)(ii)(A)\"]}, {\"iso_27001-2013\": [\"A.12.3.1\"]}, {\"mitre_techniques\": [\"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1490\", \"T1491\"]}, {\"pci_dss_v3.2.1\": [\"12.10.1\"]}]'),(31021,'Ensure&#x20;Time&#x20;Machine&#x20;Volumes&#x20;Are&#x20;Encrypted&#x20;If&#x20;Time&#x20;Machine&#x20;Is&#x20;Enabled.','One&#x20;of&#x20;the&#x20;most&#x20;important&#x20;security&#x20;tools&#x20;for&#x20;data&#x20;protection&#x20;on&#x20;macOS&#x20;is&#x20;FileVault.&#x20;With&#x20;encryption&#x20;in&#x20;place&#x20;it&#x20;makes&#x20;it&#x20;difficult&#x20;for&#x20;an&#x20;outside&#x20;party&#x20;to&#x20;access&#x20;your&#x20;data&#x20;if&#x20;they&#x20;get&#x20;physical&#x20;possession&#x20;of&#x20;the&#x20;computer.&#x20;One&#x20;very&#x20;large&#x20;weakness&#x20;in&#x20;data&#x20;protection&#x20;with&#x20;FileVault&#x20;is&#x20;the&#x20;level&#x20;of&#x20;protection&#x20;on&#x20;backup&#x20;volumes.&#x20;If&#x20;the&#x20;internal&#x20;drive&#x20;is&#x20;encrypted&#x20;but&#x20;the&#x20;external&#x20;backup&#x20;volume&#x20;that&#x20;goes&#x20;home&#x20;in&#x20;the&#x20;same&#x20;laptop&#x20;bag&#x20;is&#x20;not&#x20;it&#x20;is&#x20;self-defeating.&#x20;Apple&#x20;tries&#x20;to&#x20;make&#x20;this&#x20;mistake&#x20;easily&#x20;avoided&#x20;by&#x20;providing&#x20;a&#x20;checkbox&#x20;to&#x20;enable&#x20;encryption&#x20;when&#x20;setting-up&#x20;a&#x20;Time&#x20;Machine&#x20;backup.&#x20;Using&#x20;this&#x20;option&#x20;does&#x20;require&#x20;some&#x20;password&#x20;management,&#x20;particularly&#x20;if&#x20;a&#x20;large&#x20;drive&#x20;is&#x20;used&#x20;with&#x20;multiple&#x20;computers.&#x20;A&#x20;unique&#x20;complex&#x20;password&#x20;to&#x20;unlock&#x20;the&#x20;drive&#x20;can&#x20;be&#x20;stored&#x20;in&#x20;keychains&#x20;on&#x20;multiple&#x20;systems&#x20;for&#x20;ease&#x20;of&#x20;use.&#x20;While&#x20;some&#x20;portable&#x20;drives&#x20;may&#x20;contain&#x20;non-sensitive&#x20;data&#x20;and&#x20;encryption&#x20;may&#x20;make&#x20;interoperability&#x20;with&#x20;other&#x20;systems&#x20;difficult&#x20;backup&#x20;volumes&#x20;should&#x20;be&#x20;protected&#x20;just&#x20;like&#x20;boot&#x20;volumes.','Backup&#x20;volumes&#x20;need&#x20;to&#x20;be&#x20;encrypted.','','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;encryption&#x20;on&#x20;the&#x20;Time&#x20;Machine&#x20;drive:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;General&#x20;3.&#x20;Select&#x20;Time&#x20;Machine&#x20;4.&#x20;Select&#x20;the&#x20;unencrypted&#x20;drive&#x20;5.&#x20;Select&#x20;-&#x20;to&#x20;forget&#x20;that&#x20;drive&#x20;as&#x20;a&#x20;destination&#x20;6.&#x20;Select&#x20;+&#x20;to&#x20;add&#x20;a&#x20;different&#x20;drive&#x20;as&#x20;the&#x20;destination&#x20;7.&#x20;Select&#x20;Set&#x20;Up&#x20;Disk...&#x20;8.&#x20;Set&#x20;Encrypt&#x20;Backup&#x20;to&#x20;enabled&#x20;9.&#x20;Enter&#x20;a&#x20;password&#x20;in&#x20;the&#x20;New&#x20;Password&#x20;and&#x20;the&#x20;same&#x20;password&#x20;in&#x20;the&#x20;Re-enter&#x20;Password&#x20;fields&#x20;10.&#x20;A&#x20;password&#x20;hint&#x20;is&#x20;required,&#x20;but&#x20;it&#x20;is&#x20;recommended&#x20;that&#x20;you&#x20;do&#x20;not&#x20;use&#x20;any&#x20;identifying&#x20;information&#x20;for&#x20;the&#x20;password&#x20;Note:&#x20;In&#x20;macOS&#x20;12.0&#x20;Monterey&#x20;and&#x20;previous,&#x20;the&#x20;existing&#x20;Time&#x20;Machine&#x20;drive&#x20;could&#x20;have&#x20;encryption&#x20;added&#x20;without&#x20;formatting&#x20;it.&#x20;This&#x20;is&#x20;no&#x20;longer&#x20;possible&#x20;in&#x20;macOS&#x20;13.0&#x20;Ventura.&#x20;If&#x20;you&#x20;with&#x20;to&#x20;keep&#x20;previous&#x20;backups&#x20;from&#x20;the&#x20;unencrypted&#x20;volume,&#x20;you&#x20;will&#x20;need&#x20;to&#x20;manually&#x20;move&#x20;those&#x20;files&#x20;over&#x20;to&#x20;the&#x20;new&#x20;encrypted&#x20;drive.','[{\"cis\": [\"2.3.4.2\"]}, {\"cis_csc_v8\": [\"3.6\", \"3.11\", \"11.3\"]}, {\"cis_csc_v7\": [\"10.4\", \"13.6\", \"14.8\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.19\", \"IA.L2-3.5.10\", \"MP.L2-3.8.1\", \"MP.L2-3.8.9\", \"SC.L2-3.13.11\", \"SC.L2-3.13.16\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(2)(ii)\"]}, {\"iso_27001-2013\": [\"A.10.1.1\", \"A.12.3.1\", \"A.6.2.1\"]}, {\"mitre_techniques\": [\"T1040\", \"T1070\", \"T1072\", \"T1114\", \"T1119\", \"T1145\", \"T1208\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1490\", \"T1491\", \"T1492\", \"T1493\", \"T1527\", \"T1530\"]}, {\"nist_sp_800-53\": [\"CP-9(8)\", \"SC-28\", \"SC-28(1)\"]}, {\"pci_dss_v3.2.1\": [\"3.4\", \"3.4.1\", \"8.2.1\", \"9.5\", \"9.5.1\"]}, {\"pci_dss_v4.0\": [\"3.1.1\", \"3.3.2\", \"3.3.3\", \"3.5.1\", \"3.5.1.2\", \"3.5.1.3\", \"8.3.2\"]}, {\"soc_2\": [\"A1.2\", \"CC6.1\", \"CC6.4\", \"CC6.7\"]}]'),(31022,'Ensure&#x20;Location&#x20;Services&#x20;Is&#x20;Enabled.','macOS&#x20;uses&#x20;location&#x20;information&#x20;gathered&#x20;through&#x20;local&#x20;Wi-Fi&#x20;networks&#x20;to&#x20;enable&#x20;applications&#x20;to&#x20;supply&#x20;relevant&#x20;information&#x20;to&#x20;users.&#x20;With&#x20;the&#x20;operating&#x20;system&#x20;verifying&#x20;the&#x20;location,&#x20;users&#x20;do&#x20;not&#x20;need&#x20;to&#x20;change&#x20;the&#x20;time&#x20;or&#x20;the&#x20;time&#x20;zone.&#x20;The&#x20;computer&#x20;will&#x20;change&#x20;them&#x20;based&#x20;on&#x20;the&#x20;user&#039;s&#x20;location.&#x20;They&#x20;do&#x20;not&#x20;need&#x20;to&#x20;specify&#x20;their&#x20;location&#x20;for&#x20;weather&#x20;or&#x20;travel&#x20;times,&#x20;and&#x20;they&#x20;will&#x20;receive&#x20;alerts&#x20;on&#x20;travel&#x20;times&#x20;to&#x20;meetings&#x20;and&#x20;appointment&#x20;where&#x20;location&#x20;information&#x20;is&#x20;supplied.&#x20;Location&#x20;Services&#x20;simplify&#x20;some&#x20;processes&#x20;with&#x20;mobile&#x20;computers,&#x20;such&#x20;as&#x20;asset&#x20;management&#x20;and&#x20;time&#x20;or&#x20;log&#x20;management.&#x20;There&#x20;are&#x20;some&#x20;use&#x20;cases&#x20;where&#x20;it&#x20;is&#x20;important&#x20;that&#x20;the&#x20;computer&#x20;not&#x20;be&#x20;able&#x20;to&#x20;report&#x20;its&#x20;exact&#x20;location.&#x20;While&#x20;the&#x20;general&#x20;use&#x20;case&#x20;is&#x20;to&#x20;enable&#x20;Location&#x20;Services,&#x20;it&#x20;should&#x20;not&#x20;be&#x20;allowed&#x20;if&#x20;the&#x20;physical&#x20;location&#x20;of&#x20;the&#x20;computer&#x20;and&#x20;the&#x20;user&#x20;should&#x20;not&#x20;be&#x20;public&#x20;knowledge.','Location&#x20;Services&#x20;are&#x20;helpful&#x20;in&#x20;most&#x20;use&#x20;cases&#x20;and&#x20;can&#x20;simplify&#x20;log&#x20;and&#x20;time&#x20;management&#x20;where&#x20;computers&#x20;change&#x20;time&#x20;zones.','','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;Location&#x20;Services:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Privacy&#x20;&amp;&#x20;Security&#x20;3.&#x20;Select&#x20;Location&#x20;Services&#x20;4.&#x20;Set&#x20;Location&#x20;Services&#x20;to&#x20;enabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;Location&#x20;Services:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/launchctl&#x20;load&#x20;-w&#x20;/System/Library/LaunchDaemons/com.apple.locationd.plist&#x20;If&#x20;the&#x20;com.apple.locationd.plist&#x20;outputs&#x20;0,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;also&#x20;ensure&#x20;Location&#x20;Services&#x20;is&#x20;running:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/var/db/locationd/Library/Preferences/ByHost/com.apple.locationd&#x20;LocationServicesEnabled&#x20;-bool&#x20;false&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/launchctl&#x20;kickstart&#x20;-k&#x20;system/com.apple.locationd&#x20;Note:&#x20;In&#x20;some&#x20;use&#x20;cases,&#x20;organizations&#x20;may&#x20;not&#x20;want&#x20;Location&#x20;Services&#x20;running.&#x20;To&#x20;disable&#x20;Location&#x20;Services,&#x20;System&#x20;Integrity&#x20;Protection&#x20;must&#x20;be&#x20;disabled.','[{\"cis\": [\"2.6.1.1\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31023,'Ensure&#x20;Location&#x20;Services&#x20;Is&#x20;in&#x20;the&#x20;Menu&#x20;Bar.','This&#x20;setting&#x20;provides&#x20;the&#x20;user&#x20;to&#x20;understand&#x20;the&#x20;current&#x20;status&#x20;of&#x20;Location&#x20;Services&#x20;and&#x20;which&#x20;applications&#x20;are&#x20;using&#x20;it.','Apple&#x20;has&#x20;fully&#x20;integrated&#x20;location&#x20;services&#x20;into&#x20;macOS.&#x20;Where&#x20;the&#x20;computer&#x20;is&#x20;currently&#x20;located&#x20;is&#x20;used&#x20;for&#x20;Timezones,&#x20;weather,&#x20;travel&#x20;times,&#x20;geolocation,&#x20;&quot;Find&#x20;my&#x20;Mac&quot;&#x20;and&#x20;advertising&#x20;services.&#x20;This&#x20;benchmark&#x20;recommends&#x20;that&#x20;location&#x20;services&#x20;are&#x20;enabled&#x20;for&#x20;most&#x20;users.&#x20;Many&#x20;users&#x20;may&#x20;have&#x20;occasions&#x20;when&#x20;they&#x20;do&#x20;not&#x20;want&#x20;to&#x20;share&#x20;their&#x20;current&#x20;locations,&#x20;some&#x20;users&#x20;may&#x20;need&#x20;to&#x20;rarely&#x20;share&#x20;their&#x20;locations.&#x20;The&#x20;immediate&#x20;availability&#x20;of&#x20;Location&#x20;Services&#x20;in&#x20;the&#x20;menu&#x20;bar&#x20;provides&#x20;easy&#x20;access&#x20;to&#x20;the&#x20;current&#x20;status,&#x20;which&#x20;applications&#x20;are&#x20;using&#x20;the&#x20;service&#x20;and&#x20;a&#x20;quick&#x20;shortcut&#x20;to&#x20;making&#x20;changes.&#x20;This&#x20;setting&#x20;provides&#x20;better&#x20;user&#x20;control&#x20;in&#x20;managing&#x20;user&#x20;privacy.','Users&#x20;may&#x20;be&#x20;provided&#x20;visibility&#x20;to&#x20;a&#x20;setting&#x20;they&#x20;cannot&#x20;control&#x20;if&#x20;organizations&#x20;control&#x20;Location&#x20;Services&#x20;globally&#x20;by&#x20;policy.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;set&#x20;whether&#x20;the&#x20;location&#x20;services&#x20;icon&#x20;is&#x20;in&#x20;the&#x20;menu&#x20;bar:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Privacy&#x20;&amp;&#x20;Security&#x20;3.&#x20;Select&#x20;Location&#x20;Services&#x20;4.&#x20;Select&#x20;Details...&#x20;5.&#x20;Set&#x20;Show&#x20;location&#x20;icon&#x20;in&#x20;menu&#x20;bar&#x20;when&#x20;System&#x20;Services&#x20;request&#x20;your&#x20;location&#x20;to&#x20;your&#x20;organization&#039;s&#x20;parameters&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;set&#x20;the&#x20;option&#x20;of&#x20;the&#x20;location&#x20;services&#x20;icon&#x20;being&#x20;in&#x20;the&#x20;menu&#x20;bar:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.locationmenu.plist&#x20;ShowSystemServices&#x20;-bool&#x20;&lt;true/false&gt;.','[{\"cis\": [\"2.6.1.2\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31024,'Ensure&#x20;Gatekeeper&#x20;Is&#x20;Enabled.','Gatekeeper&#x20;is&#x20;Apple&#039;s&#x20;application&#x20;that&#x20;utilizes&#x20;allowlisting&#x20;to&#x20;restrict&#x20;downloaded&#x20;applications&#x20;from&#x20;launching.&#x20;It&#x20;functions&#x20;as&#x20;a&#x20;control&#x20;to&#x20;limit&#x20;applications&#x20;from&#x20;unverified&#x20;sources&#x20;from&#x20;running&#x20;without&#x20;authorization.&#x20;In&#x20;an&#x20;update&#x20;to&#x20;Gatekeeper&#x20;in&#x20;macOS&#x20;13&#x20;Ventura,&#x20;Gatekeeper&#x20;checks&#x20;every&#x20;application&#x20;on&#x20;every&#x20;launch,&#x20;not&#x20;just&#x20;quarantined&#x20;apps.','Disallowing&#x20;unsigned&#x20;software&#x20;will&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;unauthorized&#x20;or&#x20;malicious&#x20;applications&#x20;from&#x20;running&#x20;on&#x20;the&#x20;system.','','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;Gatekeeper:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Privacy&#x20;&amp;&#x20;Security&#x20;3.&#x20;Set&#x20;&#039;Allow&#x20;apps&#x20;downloaded&#x20;from&#039;&#x20;to&#x20;&#039;App&#x20;Store&#x20;and&#x20;identified&#x20;developers&#039;&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;Gatekeeper&#x20;to&#x20;allow&#x20;applications&#x20;from&#x20;App&#x20;Store&#x20;and&#x20;identified&#x20;developers:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/spctl&#x20;--master-enable&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.systempolicy.control&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;AllowIdentifiedDevelopers&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;&#x20;4.&#x20;The&#x20;key&#x20;to&#x20;also&#x20;include&#x20;is&#x20;EnableAssessment&#x20;5.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"2.6.4\"]}, {\"cis_csc_v8\": [\"10.1\", \"10.2\", \"10.5\"]}, {\"cis_csc_v7\": [\"8.2\", \"8.4\"]}, {\"cmmc_v2.0\": [\"SI.L1-3.14.2\", \"SI.L1-3.14.4\"]}, {\"hipaa\": [\"164.308(a)(5)(ii)(B)\"]}, {\"iso_27001-2013\": [\"A.12.2.1\"]}, {\"mitre_techniques\": [\"T1017\", \"T1019\", \"T1027\", \"T1045\", \"T1068\", \"T1072\", \"T1073\", \"T1075\", \"T1091\", \"T1100\", \"T1103\", \"T1137\", \"T1138\", \"T1189\", \"T1190\", \"T1193\", \"T1194\", \"T1195\", \"T1200\", \"T1210\", \"T1211\", \"T1212\", \"T1215\", \"T1221\", \"T1495\"]}, {\"nist_sp_800-53\": [\"SI-16\"]}, {\"pci_dss_v3.2.1\": [\"1.4\", \"11.4\", \"5.1\", \"5.1.1\", \"5.2\"]}, {\"pci_dss_v4.0\": [\"5.1.1\", \"5.2.1\", \"5.2.2\", \"5.3.1\", \"5.3.2\"]}, {\"soc_2\": [\"CC6.8\"]}]'),(31025,'Ensure&#x20;FileVault&#x20;Is&#x20;Enabled.','FileVault&#x20;secures&#x20;a&#x20;system&#039;s&#x20;data&#x20;by&#x20;automatically&#x20;encrypting&#x20;its&#x20;boot&#x20;volume&#x20;and&#x20;requiring&#x20;a&#x20;password&#x20;or&#x20;recovery&#x20;key&#x20;to&#x20;access&#x20;it.&#x20;FileVault&#x20;should&#x20;be&#x20;used&#x20;with&#x20;a&#x20;saved&#x20;escrow&#x20;key&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;owner&#x20;can&#x20;decrypt&#x20;their&#x20;data&#x20;if&#x20;the&#x20;password&#x20;is&#x20;lost.&#x20;FileVault&#x20;may&#x20;also&#x20;be&#x20;enabled&#x20;using&#x20;command&#x20;line&#x20;using&#x20;the&#x20;fdesetup&#x20;command.&#x20;To&#x20;use&#x20;this&#x20;functionality,&#x20;consult&#x20;the&#x20;Der&#x20;Flounder&#x20;blog&#x20;for&#x20;more&#x20;details&#x20;&#40;see&#x20;link&#x20;below&#x20;under&#x20;References&#41;.','Encrypting&#x20;sensitive&#x20;data&#x20;minimizes&#x20;the&#x20;likelihood&#x20;of&#x20;unauthorized&#x20;users&#x20;gaining&#x20;access&#x20;to&#x20;it.','Mounting&#x20;a&#x20;FileVault&#x20;encrypted&#x20;volume&#x20;from&#x20;an&#x20;alternate&#x20;boot&#x20;source&#x20;will&#x20;require&#x20;a&#x20;valid&#x20;password&#x20;to&#x20;decrypt&#x20;it.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;FileVault:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Security&#x20;&amp;&#x20;Privacy&#x20;3.&#x20;Select&#x20;Turn&#x20;On...&#x20;Note:&#x20;This&#x20;will&#x20;allow&#x20;you&#x20;to&#x20;create&#x20;a&#x20;recovery&#x20;key&#x20;for&#x20;FileVault.&#x20;Keep&#x20;the&#x20;key&#x20;saved&#x20;securely&#x20;in&#x20;case&#x20;it&#x20;is&#x20;needed&#x20;at&#x20;a&#x20;later&#x20;date.&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.MCX&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;dontAllowFDEDisable&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;&#x20;Note:&#x20;This&#x20;profile&#x20;is&#x20;required&#x20;to&#x20;pass&#x20;the&#x20;audit.','[{\"cis\": [\"2.6.5\"]}, {\"cis_csc_v8\": [\"3.6\", \"3.11\"]}, {\"cis_csc_v7\": [\"13.6\", \"14.8\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.19\", \"IA.L2-3.5.10\", \"MP.L2-3.8.1\", \"SC.L2-3.13.11\", \"SC.L2-3.13.16\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(2)(ii)\"]}, {\"iso_27001-2013\": [\"A.10.1.1\", \"A.6.2.1\"]}, {\"mitre_techniques\": [\"T1040\", \"T1070\", \"T1072\", \"T1114\", \"T1119\", \"T1145\", \"T1208\", \"T1492\", \"T1493\", \"T1527\", \"T1530\"]}, {\"nist_sp_800-53\": [\"SC-28\", \"SC-28(1)\"]}, {\"pci_dss_v3.2.1\": [\"3.4\", \"3.4.1\", \"8.2.1\"]}, {\"pci_dss_v4.0\": [\"3.1.1\", \"3.3.2\", \"3.3.3\", \"3.5.1\", \"3.5.1.2\", \"3.5.1.3\", \"8.3.2\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(31026,'Ensure&#x20;an&#x20;Administrator&#x20;Password&#x20;Is&#x20;Required&#x20;to&#x20;Access&#x20;System-Wide&#x20;Preferences.','System&#x20;Preferences&#x20;controls&#x20;system&#x20;and&#x20;user&#x20;settings&#x20;on&#x20;a&#x20;macOS&#x20;Computer.&#x20;System&#x20;Preferences&#x20;allows&#x20;the&#x20;user&#x20;to&#x20;tailor&#x20;their&#x20;experience&#x20;on&#x20;the&#x20;computer&#x20;as&#x20;well&#x20;as&#x20;allowing&#x20;the&#x20;System&#x20;Administrator&#x20;to&#x20;configure&#x20;global&#x20;security&#x20;settings.&#x20;Some&#x20;of&#x20;the&#x20;settings&#x20;should&#x20;only&#x20;be&#x20;altered&#x20;by&#x20;the&#x20;person&#x20;responsible&#x20;for&#x20;the&#x20;computer.','By&#x20;requiring&#x20;a&#x20;password&#x20;to&#x20;unlock&#x20;system-wide&#x20;System&#x20;Preferences,&#x20;the&#x20;risk&#x20;is&#x20;mitigated&#x20;of&#x20;a&#x20;user&#x20;changing&#x20;configurations&#x20;that&#x20;affect&#x20;the&#x20;entire&#x20;system&#x20;and&#x20;requires&#x20;an&#x20;admin&#x20;user&#x20;to&#x20;re-authenticate&#x20;to&#x20;make&#x20;changes.','Users&#x20;will&#x20;need&#x20;to&#x20;enter&#x20;their&#x20;password&#x20;to&#x20;unlock&#x20;some&#x20;additional&#x20;preference&#x20;panes&#x20;that&#x20;are&#x20;unlocked&#x20;by&#x20;default&#x20;like&#x20;Network,&#x20;Startup&#x20;and&#x20;Printers&#x20;&amp;&#x20;Scanners.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;verify&#x20;that&#x20;an&#x20;administrator&#x20;password&#x20;is&#x20;required&#x20;to&#x20;access&#x20;system-wide&#x20;preferences:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Privacy&#x20;&amp;&#x20;Security&#x20;3.&#x20;Select&#x20;Advanced&#x20;4.&#x20;Set&#x20;Require&#x20;an&#x20;administrator&#x20;password&#x20;to&#x20;access&#x20;system-wide&#x20;settings&#x20;to&#x20;enabled.&#x20;Terminal&#x20;Method:&#x20;The&#x20;authorizationdb&#x20;settings&#x20;cannot&#x20;be&#x20;written&#x20;to&#x20;directly,&#x20;so&#x20;the&#x20;plist&#x20;must&#x20;be&#x20;exported&#x20;out&#x20;to&#x20;temporary&#x20;file.&#x20;Changes&#x20;can&#x20;be&#x20;made&#x20;to&#x20;the&#x20;temporary&#x20;plist,&#x20;then&#x20;imported&#x20;back&#x20;into&#x20;the&#x20;authorizationdb&#x20;settings.&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;enable&#x20;that&#x20;an&#x20;administrator&#x20;password&#x20;is&#x20;required&#x20;to&#x20;access&#x20;system-wide&#x20;preferences:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/security&#x20;authorizationdb&#x20;read&#x20;system.preferences&#x20;&gt;&#x20;/tmp/system.preferences.plist&#x20;YES&#x20;&#40;0&#41;&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/tmp/system.preferences.plist&#x20;shared&#x20;-bool&#x20;false&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/security&#x20;authorizationdb&#x20;write&#x20;system.preferences&#x20;&lt;&#x20;/tmp/system.preferences.plist&#x20;YES&#x20;&#40;0&#41;.','[{\"cis\": [\"2.6.7\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\"]}, {\"iso_27001-2013\": [\"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"11.5\", \"2.2\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(31027,'Ensure&#x20;Power&#x20;Nap&#x20;Is&#x20;Disabled&#x20;for&#x20;Intel&#x20;Macs.','Power&#x20;Nap&#x20;allows&#x20;the&#x20;system&#x20;to&#x20;stay&#x20;in&#x20;low&#x20;power&#x20;mode,&#x20;especially&#x20;while&#x20;on&#x20;battery&#x20;power,&#x20;and&#x20;periodically&#x20;connect&#x20;to&#x20;previously&#x20;known&#x20;networks&#x20;with&#x20;stored&#x20;credentials&#x20;for&#x20;user&#x20;applications&#x20;to&#x20;phone&#x20;home&#x20;and&#x20;get&#x20;updates.&#x20;This&#x20;capability&#x20;requires&#x20;FileVault&#x20;to&#x20;remain&#x20;unlocked&#x20;and&#x20;the&#x20;use&#x20;of&#x20;previously&#x20;joined&#x20;networks&#x20;to&#x20;be&#x20;risk&#x20;accepted&#x20;based&#x20;on&#x20;the&#x20;SSID&#x20;without&#x20;user&#x20;input.&#x20;This&#x20;control&#x20;has&#x20;been&#x20;updated&#x20;to&#x20;check&#x20;the&#x20;status&#x20;on&#x20;both&#x20;battery&#x20;and&#x20;AC&#x20;Power.&#x20;The&#x20;presence&#x20;of&#x20;an&#x20;electrical&#x20;outlet&#x20;does&#x20;not&#x20;completely&#x20;correlate&#x20;with&#x20;logical&#x20;and&#x20;physical&#x20;security&#x20;of&#x20;the&#x20;device&#x20;or&#x20;available&#x20;networks.','Disabling&#x20;this&#x20;feature&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;remotely&#x20;waking&#x20;the&#x20;system&#x20;and&#x20;gaining&#x20;access.&#x20;The&#x20;use&#x20;of&#x20;Power&#x20;Nap&#x20;adds&#x20;to&#x20;the&#x20;risk&#x20;of&#x20;compromised&#x20;physical&#x20;and&#x20;logical&#x20;security.&#x20;The&#x20;user&#x20;should&#x20;be&#x20;able&#x20;to&#x20;decrypt&#x20;FileVault&#x20;and&#x20;have&#x20;the&#x20;applications&#x20;download&#x20;what&#x20;is&#x20;required&#x20;when&#x20;the&#x20;computer&#x20;is&#x20;actively&#x20;used.&#x20;The&#x20;control&#x20;to&#x20;prevent&#x20;computer&#x20;sleep&#x20;has&#x20;been&#x20;retired&#x20;for&#x20;this&#x20;version&#x20;of&#x20;the&#x20;Benchmark.&#x20;Forcing&#x20;the&#x20;computer&#x20;to&#x20;stay&#x20;on&#x20;and&#x20;use&#x20;energy&#x20;in&#x20;case&#x20;a&#x20;management&#x20;push&#x20;is&#x20;needed&#x20;is&#x20;contrary&#x20;to&#x20;most&#x20;current&#x20;management&#x20;processes.&#x20;Only&#x20;keep&#x20;computers&#x20;unslept&#x20;if&#x20;after&#x20;hours&#x20;pushes&#x20;are&#x20;required&#x20;on&#x20;closed&#x20;LANs.','Power&#x20;Nap&#x20;exists&#x20;for&#x20;unattended&#x20;user&#x20;application&#x20;updates&#x20;like&#x20;email&#x20;and&#x20;social&#x20;media&#x20;clients.&#x20;With&#x20;Power&#x20;Nap&#x20;disabled,&#x20;the&#x20;computer&#x20;will&#x20;not&#x20;wake&#x20;and&#x20;reconnect&#x20;to&#x20;known&#x20;wireless&#x20;SSIDs&#x20;intermittently&#x20;when&#x20;slept.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;Power&#x20;Nap:&#x20;Desktop&#x20;Instructions:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Energy&#x20;Saver&#x20;3.&#x20;Set&#x20;Power&#x20;Nap&#x20;to&#x20;disabled&#x20;4.&#x20;Select&#x20;UPS&#x20;&#40;if&#x20;applicable&#41;&#x20;5.&#x20;Set&#x20;Power&#x20;Nap&#x20;to&#x20;disabled&#x20;Laptop&#x20;Instructions:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Battery&#x20;3.&#x20;Select&#x20;Power&#x20;Adapter&#x20;&#40;for&#x20;laptops&#x20;only&#41;&#x20;4.&#x20;Set&#x20;Power&#x20;Nap&#x20;to&#x20;disabled&#x20;5.&#x20;Select&#x20;Battery&#x20;6.&#x20;Set&#x20;Power&#x20;Nap&#x20;to&#x20;disabled&#x20;7.&#x20;Select&#x20;UPS&#x20;&#40;if&#x20;applicable&#41;&#x20;8.&#x20;Set&#x20;Power&#x20;Nap&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Power&#x20;Nap:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pmset&#x20;-a&#x20;powernap&#x20;0.','[{\"cis\": [\"2.9.1\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31028,'Ensure&#x20;Wake&#x20;for&#x20;Network&#x20;Access&#x20;Is&#x20;Disabled.','This&#x20;feature&#x20;allows&#x20;the&#x20;computer&#x20;to&#x20;take&#x20;action&#x20;when&#x20;the&#x20;user&#x20;is&#x20;not&#x20;present&#x20;and&#x20;the&#x20;computer&#x20;is&#x20;in&#x20;energy&#x20;saving&#x20;mode.&#x20;These&#x20;tools&#x20;require&#x20;FileVault&#x20;to&#x20;remain&#x20;unlocked&#x20;and&#x20;fully&#x20;rejoin&#x20;known&#x20;networks.&#x20;This&#x20;macOS&#x20;feature&#x20;is&#x20;meant&#x20;to&#x20;allow&#x20;the&#x20;computer&#x20;to&#x20;resume&#x20;activity&#x20;as&#x20;needed&#x20;regardless&#x20;of&#x20;physical&#x20;security&#x20;controls.&#x20;This&#x20;feature&#x20;allows&#x20;other&#x20;users&#x20;to&#x20;be&#x20;able&#x20;to&#x20;access&#x20;your&#x20;computer&#039;s&#x20;shared&#x20;resources,&#x20;such&#x20;as&#x20;shared&#x20;printers&#x20;or&#x20;Apple&#x20;Music&#x20;playlists,&#x20;even&#x20;when&#x20;your&#x20;computer&#x20;is&#x20;in&#x20;sleep&#x20;mode.&#x20;In&#x20;a&#x20;closed&#x20;network&#x20;when&#x20;only&#x20;authorized&#x20;devices&#x20;could&#x20;wake&#x20;a&#x20;computer,&#x20;it&#x20;could&#x20;be&#x20;valuable&#x20;to&#x20;wake&#x20;computers&#x20;in&#x20;order&#x20;to&#x20;do&#x20;management&#x20;push&#x20;activity.&#x20;Where&#x20;mobile&#x20;workstations&#x20;and&#x20;agents&#x20;exist,&#x20;the&#x20;device&#x20;will&#x20;more&#x20;likely&#x20;check&#x20;in&#x20;to&#x20;receive&#x20;updates&#x20;when&#x20;already&#x20;awake.&#x20;Mobile&#x20;devices&#x20;should&#x20;not&#x20;be&#x20;listening&#x20;for&#x20;signals&#x20;on&#x20;any&#x20;unmanaged&#x20;network&#x20;or&#x20;where&#x20;untrusted&#x20;devices&#x20;exist&#x20;that&#x20;could&#x20;send&#x20;wake&#x20;signals.','Disabling&#x20;this&#x20;feature&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;attacker&#x20;remotely&#x20;waking&#x20;the&#x20;system&#x20;and&#x20;gaining&#x20;access.','Management&#x20;programs&#x20;like&#x20;Apple&#x20;Remote&#x20;Desktop&#x20;Administrator&#x20;use&#x20;wake-on-LAN&#x20;to&#x20;connect&#x20;with&#x20;computers.&#x20;If&#x20;turned&#x20;off,&#x20;such&#x20;management&#x20;programs&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;wake&#x20;a&#x20;computer&#x20;over&#x20;the&#x20;LAN.&#x20;If&#x20;the&#x20;wake-on-LAN&#x20;feature&#x20;is&#x20;needed,&#x20;do&#x20;not&#x20;turn&#x20;off&#x20;this&#x20;feature.&#x20;The&#x20;control&#x20;to&#x20;prevent&#x20;computer&#x20;sleep&#x20;has&#x20;been&#x20;retired&#x20;for&#x20;this&#x20;version&#x20;of&#x20;the&#x20;Benchmark.&#x20;Forcing&#x20;the&#x20;computer&#x20;to&#x20;stay&#x20;on&#x20;and&#x20;use&#x20;energy&#x20;in&#x20;case&#x20;a&#x20;management&#x20;push&#x20;is&#x20;needed&#x20;is&#x20;contrary&#x20;to&#x20;most&#x20;current&#x20;management&#x20;processes.&#x20;Only&#x20;keep&#x20;computers&#x20;unslept&#x20;if&#x20;after&#x20;hours&#x20;pushes&#x20;are&#x20;required&#x20;on&#x20;closed&#x20;LANs.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;Wake&#x20;for&#x20;network&#x20;access:&#x20;Desktop&#x20;Instructions:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Energy&#x20;Saver&#x20;3.&#x20;Set&#x20;Wake&#x20;for&#x20;network&#x20;access&#x20;to&#x20;disabled&#x20;Laptop&#x20;Instructions:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Battery&#x20;3.&#x20;Select&#x20;Options...&#x20;4.&#x20;Set&#x20;Wake&#x20;for&#x20;network&#x20;access&#x20;to&#x20;Never&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Wake&#x20;for&#x20;network&#x20;access:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pmset&#x20;-a&#x20;womp&#x20;0&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.MCX&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;com.apple.EnergySaver.desktop.ACPower&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to:&#x20;&lt;dict&gt;&#x20;&lt;key&gt;Wake&#x20;On&#x20;LAN&lt;/key&gt;&#x20;&lt;integer&gt;0&lt;/integer&gt;&#x20;&lt;key&gt;Wake&#x20;On&#x20;Modem&#x20;Ring&lt;/key&gt;&#x20;&lt;integer&gt;0&lt;/integer&gt;&#x20;&lt;/dict&gt;&#x20;4.&#x20;The&#x20;key&#x20;to&#x20;also&#x20;include&#x20;is&#x20;com.apple.EnergySaver.portable.ACPower&#x20;5.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to:&#x20;&lt;dict&gt;&#x20;&lt;key&gt;Wake&#x20;On&#x20;LAN&lt;/key&gt;&#x20;&lt;integer&gt;0&lt;/integer&gt;&#x20;&lt;key&gt;Wake&#x20;On&#x20;Modem&#x20;Ring&lt;/key&gt;&#x20;&lt;integer&gt;0&lt;/integer&gt;&#x20;&lt;/dict&gt;&#x20;6.&#x20;The&#x20;key&#x20;to&#x20;also&#x20;include&#x20;is&#x20;com.apple.EnergySaver.portable.BatteryPower&#x20;7.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to:&#x20;&lt;dict&gt;&#x20;&lt;key&gt;Wake&#x20;On&#x20;LAN&lt;/key&gt;&#x20;&lt;integer&gt;0&lt;/integer&gt;&#x20;&lt;key&gt;Wake&#x20;On&#x20;Modem&#x20;Ring&lt;/key&gt;&#x20;&lt;integer&gt;0&lt;/integer&gt;&#x20;&lt;/dict&gt;&#x20;Note:&#x20;Both&#x20;Wake&#x20;on&#x20;LAN&#x20;and&#x20;Wake&#x20;on&#x20;Modem&#x20;Ring&#x20;need&#x20;to&#x20;be&#x20;set.&#x20;Only&#x20;setting&#x20;Wake&#x20;On&#x20;LAN&#x20;will&#x20;allow&#x20;the&#x20;profile&#x20;to&#x20;install&#x20;but&#x20;not&#x20;set&#x20;any&#x20;settings.&#x20;This&#x20;profile&#x20;will&#x20;only&#x20;apply&#x20;the&#x20;setting&#x20;at&#x20;installation&#x20;and&#x20;is&#x20;not&#x20;sticky.','[{\"cis\": [\"2.9.2\"]}, {\"cis_csc_v8\": [\"4.8\"]}, {\"cis_csc_v7\": [\"9.2\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\"]}, {\"mitre_techniques\": [\"T1015\", \"T1051\", \"T1076\", \"T1133\", \"T1200\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\"]}]'),(31029,'Ensure&#x20;a&#x20;Password&#x20;is&#x20;Required&#x20;to&#x20;Wake&#x20;the&#x20;Computer&#x20;From&#x20;Sleep&#x20;or&#x20;Screen&#x20;Saver&#x20;Is&#x20;Enabled.','Sleep&#x20;and&#x20;screen&#x20;saver&#x20;modes&#x20;are&#x20;low&#x20;power&#x20;modes&#x20;that&#x20;reduce&#x20;electrical&#x20;consumption&#x20;while&#x20;the&#x20;system&#x20;is&#x20;not&#x20;in&#x20;use.','Prompting&#x20;for&#x20;a&#x20;password&#x20;when&#x20;waking&#x20;from&#x20;sleep&#x20;or&#x20;screen&#x20;saver&#x20;mode&#x20;mitigates&#x20;the&#x20;threat&#x20;of&#x20;an&#x20;unauthorized&#x20;person&#x20;gaining&#x20;access&#x20;to&#x20;a&#x20;system&#x20;in&#x20;the&#x20;user&#039;s&#x20;absence.','Without&#x20;a&#x20;screenlock&#x20;in&#x20;place&#x20;anyone&#x20;with&#x20;physical&#x20;access&#x20;to&#x20;the&#x20;computer&#x20;would&#x20;be&#x20;logged&#x20;in&#x20;and&#x20;able&#x20;to&#x20;use&#x20;the&#x20;active&#x20;user&#039;s&#x20;session.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;a&#x20;password&#x20;for&#x20;unlock&#x20;after&#x20;a&#x20;screen&#x20;saver&#x20;begins&#x20;or&#x20;after&#x20;sleep:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Lock&#x20;Screen&#x20;3.&#x20;Set&#x20;Require&#x20;password&#x20;after&#x20;screensaver&#x20;begins&#x20;or&#x20;display&#x20;is&#x20;turned&#x20;off&#x20;to&#x20;either&#x20;After&#x20;0&#x20;seconds&#x20;or&#x20;After&#x20;5&#x20;seconds&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;require&#x20;a&#x20;password&#x20;to&#x20;unlock&#x20;the&#x20;computer&#x20;after&#x20;the&#x20;screen&#x20;saver&#x20;engages&#x20;or&#x20;the&#x20;computer&#x20;sleeps:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/sysadminctl&#x20;-screenLock&#x20;immediate&#x20;-password&#x20;&lt;administrator&#x20;password&gt;&#x20;or&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/sysadminctl&#x20;-screenLock&#x20;5&#x20;seconds&#x20;-password&#x20;&lt;administrator&#x20;password&gt;&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.screensaver&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;askForPassword&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;&#x20;4.&#x20;The&#x20;key&#x20;to&#x20;also&#x20;include&#x20;is&#x20;askForPasswordDelay&#x20;5.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;integer&gt;&lt;0,5&gt;&lt;/integer&gt;.','[{\"cis\": [\"2.10.2\"]}, {\"cis_csc_v8\": [\"4.7\"]}, {\"cis_csc_v7\": [\"4.2\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1017\", \"T1019\", \"T1028\", \"T1035\", \"T1047\", \"T1051\", \"T1053\", \"T1055\", \"T1067\", \"T1072\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1084\", \"T1086\", \"T1088\", \"T1097\", \"T1098\", \"T1100\", \"T1134\", \"T1136\", \"T1169\", \"T1175\", \"T1184\", \"T1190\", \"T1206\", \"T1208\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1495\", \"T1501\", \"T1505\", \"T1525\"]}, {\"pci_dss_v3.2.1\": [\"2.1\", \"2.1.1\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \"2.3.1\"]}, {\"soc_2\": [\"CC6.3\"]}]'),(31030,'Ensure&#x20;a&#x20;Custom&#x20;Message&#x20;for&#x20;the&#x20;Login&#x20;Screen&#x20;Is&#x20;Enabled.','An&#x20;access&#x20;warning&#x20;informs&#x20;the&#x20;user&#x20;that&#x20;the&#x20;system&#x20;is&#x20;reserved&#x20;for&#x20;authorized&#x20;use&#x20;only,&#x20;and&#x20;that&#x20;the&#x20;use&#x20;of&#x20;the&#x20;system&#x20;may&#x20;be&#x20;monitored.','An&#x20;access&#x20;warning&#x20;may&#x20;reduce&#x20;a&#x20;casual&#x20;attacker&#039;s&#x20;tendency&#x20;to&#x20;target&#x20;the&#x20;system.&#x20;Access&#x20;warnings&#x20;may&#x20;also&#x20;aid&#x20;in&#x20;the&#x20;prosecution&#x20;of&#x20;an&#x20;attacker&#x20;by&#x20;evincing&#x20;the&#x20;attacker&#039;s&#x20;knowledge&#x20;of&#x20;the&#x20;system&#039;s&#x20;private&#x20;status,&#x20;acceptable&#x20;use&#x20;policy,&#x20;and&#x20;authorization&#x20;requirements.','If&#x20;users&#x20;are&#x20;not&#x20;informed&#x20;of&#x20;their&#x20;responsibilities,&#x20;unapproved&#x20;activities&#x20;may&#x20;occur.&#x20;Users&#x20;that&#x20;are&#x20;not&#x20;approved&#x20;for&#x20;access&#x20;may&#x20;take&#x20;the&#x20;lack&#x20;of&#x20;a&#x20;warning&#x20;banner&#x20;as&#x20;implied&#x20;consent&#x20;to&#x20;access.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;a&#x20;login&#x20;banner&#x20;set&#x20;to&#x20;your&#x20;organization&#039;s&#x20;required&#x20;text:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Lock&#x20;Screen&#x20;3.&#x20;Set&#x20;Show&#x20;message&#x20;when&#x20;locked&#x20;to&#x20;enabled&#x20;4.&#x20;Select&#x20;Set&#x20;5.&#x20;Insert&#x20;text&#x20;in&#x20;the&#x20;Set&#x20;a&#x20;message&#x20;to&#x20;appear&#x20;on&#x20;the&#x20;lock&#x20;screen&#x20;that&#x20;matches&#x20;your&#x20;organization&#039;s&#x20;required&#x20;text&#x20;6.&#x20;Select&#x20;Done&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;a&#x20;custom&#x20;login&#x20;screen&#x20;message:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;LoginwindowText&#x20;&quot;&lt;custom&#x20;message&gt;&quot;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;LoginwindowText&#x20;&quot;Center&#x20;for&#x20;Internet&#x20;Security&#x20;Test&#x20;Message&quot;&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.loginwindow&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;LoginwindowText&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;string&gt;&lt;Your&#x20;organization&#039;s&#x20;required&#x20;text&gt;&lt;/string&gt;.','[{\"cis\": [\"2.10.3\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\"]}, {\"iso_27001-2013\": [\"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"11.5\", \"2.2\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(31031,'Ensure&#x20;Login&#x20;Window&#x20;Displays&#x20;as&#x20;Name&#x20;and&#x20;Password&#x20;Is&#x20;Enabled.','The&#x20;login&#x20;window&#x20;prompts&#x20;a&#x20;user&#x20;for&#x20;his/her&#x20;credentials,&#x20;verifies&#x20;their&#x20;authorization&#x20;level,&#x20;and&#x20;then&#x20;allows&#x20;or&#x20;denies&#x20;the&#x20;user&#x20;access&#x20;to&#x20;the&#x20;system.','Prompting&#x20;the&#x20;user&#x20;to&#x20;enter&#x20;both&#x20;their&#x20;username&#x20;and&#x20;password&#x20;makes&#x20;it&#x20;twice&#x20;as&#x20;hard&#x20;for&#x20;unauthorized&#x20;users&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system&#x20;since&#x20;they&#x20;must&#x20;discover&#x20;two&#x20;attributes.','','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;ensure&#x20;the&#x20;login&#x20;window&#x20;display&#x20;name&#x20;and&#x20;password:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Lock&#x20;Screen&#x20;3.&#x20;Set&#x20;&#039;Login&#x20;window&#x20;showstoName&#x20;and&#x20;Password`&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;login&#x20;window&#x20;to&#x20;display&#x20;name&#x20;and&#x20;password:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;SHOWFULLNAME&#x20;-bool&#x20;true&#x20;Note:&#x20;The&#x20;GUI&#x20;will&#x20;not&#x20;display&#x20;the&#x20;updated&#x20;setting&#x20;until&#x20;the&#x20;current&#x20;user&#40;s&#41;&#x20;logs&#x20;out.&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.loginwindow&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;SHOWFULLNAME&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"2.10.4\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\"]}, {\"iso_27001-2013\": [\"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"11.5\", \"2.2\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(31032,'Ensure&#x20;Show&#x20;Password&#x20;Hints&#x20;Is&#x20;Disabled.','Password&#x20;hints&#x20;are&#x20;user-created&#x20;text&#x20;displayed&#x20;when&#x20;an&#x20;incorrect&#x20;password&#x20;is&#x20;used&#x20;for&#x20;an&#x20;account.','Password&#x20;hints&#x20;make&#x20;it&#x20;easier&#x20;for&#x20;unauthorized&#x20;persons&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;systems&#x20;by&#x20;displaying&#x20;information&#x20;provided&#x20;by&#x20;the&#x20;user&#x20;to&#x20;assist&#x20;in&#x20;remembering&#x20;the&#x20;password.&#x20;This&#x20;info&#x20;could&#x20;include&#x20;the&#x20;password&#x20;itself&#x20;or&#x20;other&#x20;information&#x20;that&#x20;might&#x20;be&#x20;readily&#x20;discerned&#x20;with&#x20;basic&#x20;knowledge&#x20;of&#x20;the&#x20;end&#x20;user.','The&#x20;user&#x20;can&#x20;set&#x20;the&#x20;hint&#x20;to&#x20;any&#x20;value,&#x20;including&#x20;the&#x20;password&#x20;itself&#x20;or&#x20;clues&#x20;that&#x20;allow&#x20;trivial&#x20;social&#x20;engineering&#x20;attacks.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;password&#x20;hints&#x20;from&#x20;being&#x20;shown:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Lock&#x20;Screen&#x20;3.&#x20;Set&#x20;&#039;Show&#x20;password&#x20;hints`&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;password&#x20;hints:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;RetriesUntilHint&#x20;-int&#x20;0&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.loginwindow&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;RetriesUntilHint&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;integer&gt;0&lt;/integer&gt;.','[{\"cis\": [\"2.10.5\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\"]}, {\"iso_27001-2013\": [\"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"11.5\", \"2.2\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}]'),(31033,'Ensure&#x20;Users&#039;&#x20;Accounts&#x20;Do&#x20;Not&#x20;Have&#x20;a&#x20;Password&#x20;Hint.','Password&#x20;hints&#x20;help&#x20;the&#x20;user&#x20;recall&#x20;their&#x20;passwords&#x20;for&#x20;various&#x20;systems&#x20;and/or&#x20;accounts.&#x20;In&#x20;most&#x20;cases,&#x20;password&#x20;hints&#x20;are&#x20;simple&#x20;and&#x20;closely&#x20;related&#x20;to&#x20;the&#x20;user&#039;s&#x20;password.','Password&#x20;hints&#x20;that&#x20;are&#x20;closely&#x20;related&#x20;to&#x20;the&#x20;user&#039;s&#x20;password&#x20;are&#x20;a&#x20;security&#x20;vulnerability,&#x20;especially&#x20;in&#x20;the&#x20;social&#x20;media&#x20;age.&#x20;Unauthorized&#x20;users&#x20;are&#x20;more&#x20;likely&#x20;to&#x20;guess&#x20;a&#x20;user&#039;s&#x20;password&#x20;if&#x20;there&#x20;is&#x20;a&#x20;password&#x20;hint.&#x20;The&#x20;password&#x20;hint&#x20;is&#x20;very&#x20;susceptible&#x20;to&#x20;social&#x20;engineering&#x20;attacks&#x20;and&#x20;information&#x20;exposure&#x20;on&#x20;social&#x20;media&#x20;networks.','','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;remove&#x20;a&#x20;user&#039;s&#x20;password&#x20;hint:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Touch&#x20;ID&#x20;&amp;&#x20;Passwords&#x20;&#40;or&#x20;Login&#x20;Password&#x20;on&#x20;non-Touch&#x20;ID&#x20;Macs&#41;&#x20;3.&#x20;Select&#x20;Change...&#x20;4.&#x20;Change&#x20;the&#x20;password&#x20;and&#x20;ensure&#x20;that&#x20;no&#x20;text&#x20;is&#x20;entered&#x20;in&#x20;the&#x20;Password&#x20;hint&#x20;box&#x20;Note:&#x20;This&#x20;will&#x20;only&#x20;change&#x20;the&#x20;currently&#x20;logged-in&#x20;user&#039;s&#x20;password,&#x20;and&#x20;not&#x20;any&#x20;others&#x20;that&#x20;are&#x20;not&#x20;compliant&#x20;on&#x20;the&#x20;Mac.&#x20;Use&#x20;the&#x20;terminal&#x20;method&#x20;if&#x20;multiple&#x20;users&#x20;are&#x20;not&#x20;in&#x20;compliance.&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;a&#x20;user&#039;s&#x20;password&#x20;hint:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/dscl&#x20;.&#x20;-list&#x20;/Users&#x20;hint&#x20;.&#x20;-delete&#x20;/Users/&lt;username&gt;&#x20;hint&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/dscl&#x20;.&#x20;-list&#x20;/Users&#x20;hint&#x20;.&#x20;-delete&#x20;/Users/firstuser&#x20;hint&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/dscl&#x20;.&#x20;-list&#x20;/Users&#x20;hint&#x20;.&#x20;-delete&#x20;/Users/seconduser&#x20;hint.','[{\"cis\": [\"2.11.1\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1017\", \"T1019\", \"T1028\", \"T1035\", \"T1047\", \"T1051\", \"T1053\", \"T1055\", \"T1067\", \"T1072\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1084\", \"T1086\", \"T1088\", \"T1097\", \"T1098\", \"T1100\", \"T1134\", \"T1136\", \"T1169\", \"T1175\", \"T1184\", \"T1190\", \"T1206\", \"T1208\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1495\", \"T1501\", \"T1505\", \"T1525\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(31034,'Ensure&#x20;Guest&#x20;Account&#x20;Is&#x20;Disabled.','The&#x20;guest&#x20;account&#x20;allows&#x20;users&#x20;access&#x20;to&#x20;the&#x20;system&#x20;without&#x20;having&#x20;to&#x20;create&#x20;an&#x20;account&#x20;or&#x20;password.&#x20;Guest&#x20;users&#x20;are&#x20;unable&#x20;to&#x20;make&#x20;setting&#x20;changes&#x20;and&#x20;cannot&#x20;remotely&#x20;login&#x20;to&#x20;the&#x20;system.&#x20;All&#x20;files,&#x20;caches,&#x20;and&#x20;passwords&#x20;created&#x20;by&#x20;the&#x20;guest&#x20;user&#x20;are&#x20;deleted&#x20;upon&#x20;logging&#x20;out.','Disabling&#x20;the&#x20;guest&#x20;account&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;untrusted&#x20;user&#x20;doing&#x20;basic&#x20;reconnaissance&#x20;and&#x20;possibly&#x20;using&#x20;privilege&#x20;escalation&#x20;attacks&#x20;to&#x20;take&#x20;control&#x20;of&#x20;the&#x20;system.','A&#x20;guest&#x20;user&#x20;can&#x20;use&#x20;that&#x20;access&#x20;to&#x20;find&#x20;out&#x20;additional&#x20;information&#x20;about&#x20;the&#x20;system&#x20;and&#x20;might&#x20;be&#x20;able&#x20;to&#x20;use&#x20;privilege&#x20;escalation&#x20;vulnerabilities&#x20;to&#x20;establish&#x20;greater&#x20;access.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;disable&#x20;guest&#x20;account&#x20;availability:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Users&#x20;&amp;&#x20;Groups&#x20;3.&#x20;Select&#x20;the&#x20;i&#x20;next&#x20;to&#x20;the&#x20;Guest&#x20;User&#x20;4.&#x20;Set&#x20;Allow&#x20;guests&#x20;to&#x20;log&#x20;in&#x20;to&#x20;this&#x20;computer&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;the&#x20;guest&#x20;account:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.loginwindow&#x20;GuestEnabled&#x20;-bool&#x20;false&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.MCX&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;DisableGuestAccount&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;.','[{\"cis\": [\"2.12.1\"]}, {\"cis_csc_v8\": [\"5.2\", \"6.2\", \"6.8\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.4\", \"AC.L2-3.1.5\", \"IA.L2-3.5.7\", \"SC.L2-3.13.3\"]}, {\"hipaa\": [\"164.308(a)(3)(ii)(B)\", \"164.308(a)(3)(ii)(C)\", \"164.308(a)(4)(i)\", \"164.308(a)(4)(ii)(C)\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1017\", \"T1019\", \"T1028\", \"T1035\", \"T1047\", \"T1051\", \"T1053\", \"T1055\", \"T1067\", \"T1072\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1084\", \"T1086\", \"T1088\", \"T1097\", \"T1098\", \"T1100\", \"T1134\", \"T1136\", \"T1169\", \"T1175\", \"T1184\", \"T1190\", \"T1206\", \"T1208\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1495\", \"T1501\", \"T1505\", \"T1525\"]}, {\"nist_sp_800-53\": [\"AC-2(1)\", \"AC-5\", \"AC-6\", \"AC-6(1)\", \"AC-6(7)\", \"AU-9(4)\"]}, {\"pci_dss_v3.2.1\": [\"8.1.3\"]}, {\"pci_dss_v4.0\": [\"10.3.1\", \"2.2.2\", \"7.1\", \"7.1.1\", \"7.2\", \"7.2.1\", \"7.2.2\", \"7.2.4\", \"7.2.6\", \"7.3\", \"7.3.1\", \"7.3.2\", \"8.2.4\", \"8.2.5\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\", \"CC6.2\", \"CC6.3\"]}]'),(31035,'Ensure&#x20;Guest&#x20;Access&#x20;to&#x20;Shared&#x20;Folders&#x20;Is&#x20;Disabled.','Allowing&#x20;guests&#x20;to&#x20;connect&#x20;to&#x20;shared&#x20;folders&#x20;enables&#x20;users&#x20;to&#x20;access&#x20;selected&#x20;shared&#x20;folders&#x20;and&#x20;their&#x20;contents&#x20;from&#x20;different&#x20;computers&#x20;on&#x20;a&#x20;network.','Not&#x20;allowing&#x20;guests&#x20;to&#x20;connect&#x20;to&#x20;shared&#x20;folders&#x20;mitigates&#x20;the&#x20;risk&#x20;of&#x20;an&#x20;untrusted&#x20;user&#x20;doing&#x20;basic&#x20;reconnaissance&#x20;and&#x20;possibly&#x20;use&#x20;privilege&#x20;escalation&#x20;attacks&#x20;to&#x20;take&#x20;control&#x20;of&#x20;the&#x20;system.','Unauthorized&#x20;users&#x20;could&#x20;access&#x20;shared&#x20;files&#x20;on&#x20;the&#x20;system.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;no&#x20;longer&#x20;allow&#x20;guest&#x20;user&#x20;access&#x20;to&#x20;shared&#x20;folders:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Users&#x20;&amp;&#x20;Groups&#x20;3.&#x20;Select&#x20;the&#x20;i&#x20;next&#x20;to&#x20;the&#x20;Guest&#x20;User&#x20;4.&#x20;Set&#x20;Allow&#x20;guests&#x20;to&#x20;connect&#x20;to&#x20;shared&#x20;folders&#x20;to&#x20;disabled&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;verify&#x20;that&#x20;shared&#x20;folders&#x20;are&#x20;not&#x20;accessible&#x20;to&#x20;guest&#x20;users:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/sysadminctl&#x20;-smbGuestAccess&#x20;off.','[{\"cis\": [\"2.12.2\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.3\", \"AC.L2-3.1.5\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1004\", \"T1015\", \"T1021\", \"T1023\", \"T1031\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1050\", \"T1051\", \"T1053\", \"T1054\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1089\", \"T1096\", \"T1097\", \"T1133\", \"T1134\", \"T1145\", \"T1146\", \"T1150\", \"T1152\", \"T1156\", \"T1157\", \"T1159\", \"T1160\", \"T1162\", \"T1163\", \"T1165\", \"T1168\", \"T1169\", \"T1184\", \"T1185\", \"T1196\", \"T1197\", \"T1198\", \"T1200\", \"T1209\", \"T1213\", \"T1484\", \"T1489\", \"T1492\", \"T1494\", \"T1501\", \"T1504\", \"T1528\", \"T1530\", \"T1537\", \"T1538\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(31036,'Ensure&#x20;Automatic&#x20;Login&#x20;Is&#x20;Disabled.','The&#x20;automatic&#x20;login&#x20;feature&#x20;saves&#x20;a&#x20;user&#039;s&#x20;system&#x20;access&#x20;credentials&#x20;and&#x20;bypasses&#x20;the&#x20;login&#x20;screen.&#x20;Instead,&#x20;the&#x20;system&#x20;automatically&#x20;loads&#x20;to&#x20;the&#x20;user&#039;s&#x20;desktop&#x20;screen.','Disabling&#x20;automatic&#x20;login&#x20;decreases&#x20;the&#x20;likelihood&#x20;of&#x20;an&#x20;unauthorized&#x20;person&#x20;gaining&#x20;access&#x20;to&#x20;a&#x20;system.','If&#x20;automatic&#x20;login&#x20;is&#x20;not&#x20;disabled,&#x20;an&#x20;unauthorized&#x20;user&#x20;could&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system&#x20;without&#x20;supplying&#x20;any&#x20;credentials.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;set&#x20;automatic&#x20;login&#x20;to&#x20;off:&#x20;1.&#x20;Open&#x20;System&#x20;Settings&#x20;2.&#x20;Select&#x20;Users&#x20;&amp;&#x20;Groups&#x20;3.&#x20;Set&#x20;Automatic&#x20;login&#x20;in&#x20;as...&#x20;to&#x20;Off&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;automatic&#x20;login:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;delete&#x20;/Library/Preferences/com.apple.loginwindow&#x20;autoLoginUser&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.loginwindow&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;com.apple.login.mcx.DisableAutoLoginClient&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;&#x20;Note:&#x20;If&#x20;both&#x20;the&#x20;profile&#x20;is&#x20;enabled&#x20;and&#x20;a&#x20;user&#x20;is&#x20;set&#x20;to&#x20;autologin,&#x20;the&#x20;profile&#x20;will&#x20;take&#x20;precedent.&#x20;In&#x20;this&#x20;case,&#x20;the&#x20;graphical&#x20;or&#x20;terminal&#x20;remediation&#x20;method&#x20;should&#x20;also&#x20;be&#x20;applied&#x20;in&#x20;case&#x20;the&#x20;profile&#x20;is&#x20;ever&#x20;removed.','[{\"cis\": [\"2.12.3\"]}, {\"cis_csc_v8\": [\"4.7\"]}, {\"cis_csc_v7\": [\"4.2\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1017\", \"T1019\", \"T1028\", \"T1035\", \"T1047\", \"T1051\", \"T1053\", \"T1055\", \"T1067\", \"T1072\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1084\", \"T1086\", \"T1088\", \"T1097\", \"T1098\", \"T1100\", \"T1134\", \"T1136\", \"T1169\", \"T1175\", \"T1184\", \"T1190\", \"T1206\", \"T1208\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1495\", \"T1501\", \"T1505\", \"T1525\"]}, {\"pci_dss_v3.2.1\": [\"2.1\", \"2.1.1\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \"2.3.1\"]}, {\"soc_2\": [\"CC6.3\"]}]'),(31037,'Ensure&#x20;Security&#x20;Auditing&#x20;Is&#x20;Enabled.','macOS&#039;s&#x20;audit&#x20;facility,&#x20;auditd,&#x20;receives&#x20;notifications&#x20;from&#x20;the&#x20;kernel&#x20;when&#x20;certain&#x20;system&#x20;calls,&#x20;such&#x20;as&#x20;open,&#x20;fork,&#x20;and&#x20;exit,&#x20;are&#x20;made.&#x20;These&#x20;notifications&#x20;are&#x20;captured&#x20;and&#x20;written&#x20;to&#x20;an&#x20;audit&#x20;log.','Logs&#x20;generated&#x20;by&#x20;auditd&#x20;may&#x20;be&#x20;useful&#x20;when&#x20;investigating&#x20;a&#x20;security&#x20;incident&#x20;as&#x20;they&#x20;may&#x20;help&#x20;reveal&#x20;the&#x20;vulnerable&#x20;application&#x20;and&#x20;the&#x20;actions&#x20;taken&#x20;by&#x20;a&#x20;malicious&#x20;actor.','','Terminal&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;to&#x20;enable&#x20;security&#x20;auditing:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;load&#x20;auditd:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/launchctl&#x20;load&#x20;-w&#x20;/System/Library/LaunchDaemons/com.apple.auditd.plist.','[{\"cis\": [\"3.1\"]}, {\"cis_csc_v8\": [\"8.2\", \"8.5\"]}, {\"cis_csc_v7\": [\"4.9\", \"6.2\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"iso_27001-2013\": [\"A.12.4.1\", \"A.9.4.2\"]}, {\"nist_sp_800-53\": [\"AU-3(1)\", \"AU-7\"]}, {\"pci_dss_v3.2.1\": [\"10.1\", \"10.2\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\"]}, {\"pci_dss_v4.0\": [\"10.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\", \"5.3.4\", \"6.4.1\", \"6.4.2\", \"9.4.5\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.2\"]}, {\"mitre_techniques\": [\"T1110\", \"T1134\", \"T1098\", \"T1017\", \"T1067\", \"T1088\", \"T1175\", \"T1136\", \"T1003\", \"T1214\", \"T1190\", \"T1210\", \"T1495\", \"T1525\", \"T1208\", \"T1215\", \"T1075\", \"T1097\", \"T1086\", \"T1055\", \"T1076\", \"T1053\", \"T1505\", \"T1035\", \"T1051\", \"T1218\", \"T1184\", \"T1169\", \"T1206\", \"T1019\", \"T1501\", \"T1072\", \"T1078\", \"T1100\", \"T1077\", \"T1047\", \"T1084\", \"T1028\", \"T1156\", \"T1146\", \"T1196\", \"T1081\", \"T1530\", \"T1089\", \"T1073\", \"T1157\", \"T1054\", \"T1070\", \"T1037\", \"T1036\", \"T1096\", \"T1034\", \"T1150\", \"T1504\", \"T1145\", \"T1494\", \"T1489\", \"T1198\", \"T1165\", \"T1492\", \"T1080\", \"T1209\"]}]'),(31038,'Ensure&#x20;Security&#x20;Auditing&#x20;Flags&#x20;For&#x20;User-Attributable&#x20;Events&#x20;Are&#x20;Configured&#x20;Per&#x20;Local&#x20;Organizational&#x20;Requirements.','Auditing&#x20;is&#x20;the&#x20;capture&#x20;and&#x20;maintenance&#x20;of&#x20;information&#x20;about&#x20;security-related&#x20;events.&#x20;Auditable&#x20;events&#x20;often&#x20;depend&#x20;on&#x20;differing&#x20;organizational&#x20;requirements.','Maintaining&#x20;an&#x20;audit&#x20;trail&#x20;of&#x20;system&#x20;activity&#x20;logs&#x20;can&#x20;help&#x20;identify&#x20;configuration&#x20;errors,&#x20;troubleshoot&#x20;service&#x20;disruptions,&#x20;and&#x20;analyze&#x20;compromises&#x20;or&#x20;attacks&#x20;that&#x20;have&#x20;occurred,&#x20;have&#x20;begun,&#x20;or&#x20;are&#x20;about&#x20;to&#x20;begin.&#x20;Audit&#x20;logs&#x20;are&#x20;necessary&#x20;to&#x20;provide&#x20;a&#x20;trail&#x20;of&#x20;evidence&#x20;in&#x20;case&#x20;the&#x20;system&#x20;or&#x20;network&#x20;is&#x20;compromised.&#x20;Depending&#x20;on&#x20;the&#x20;governing&#x20;authority,&#x20;organizations&#x20;can&#x20;have&#x20;vastly&#x20;different&#x20;auditing&#x20;requirements.&#x20;In&#x20;this&#x20;control&#x20;we&#x20;have&#x20;selected&#x20;a&#x20;minimal&#x20;set&#x20;of&#x20;audit&#x20;flags&#x20;that&#x20;should&#x20;be&#x20;a&#x20;part&#x20;of&#x20;any&#x20;organizational&#x20;requirements.&#x20;The&#x20;flags&#x20;selected&#x20;below&#x20;may&#x20;not&#x20;adequately&#x20;meet&#x20;organizational&#x20;requirements&#x20;for&#x20;users&#x20;of&#x20;this&#x20;benchmark.&#x20;The&#x20;auditing&#x20;checks&#x20;for&#x20;the&#x20;flags&#x20;proposed&#x20;here&#x20;will&#x20;not&#x20;impact&#x20;additional&#x20;flags&#x20;that&#x20;are&#x20;selected.','','Terminal&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;to&#x20;set&#x20;the&#x20;required&#x20;Security&#x20;Auditing&#x20;Flags:&#x20;Edit&#x20;the&#x20;/etc/security/audit_control&#x20;file&#x20;and&#x20;add&#x20;-fm,&#x20;ad,&#x20;-ex,&#x20;aa,&#x20;-fr,&#x20;lo,&#x20;and&#x20;-fw&#x20;to&#x20;flags.&#x20;You&#x20;can&#x20;also&#x20;substitute&#x20;-all&#x20;for&#x20;-fm,&#x20;-ex,&#x20;-fr,&#x20;and&#x20;-fw.','[{\"cis\": [\"3.2\"]}, {\"cis_csc_v8\": [\"3.14\", \"8.2\", \"8.5\"]}, {\"cis_csc_v7\": [\"6.2\", \"14.9\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.7\", \"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\", \"164.312(c)(1)\", \"164.312(c)(2)\"]}, {\"iso_27001-2013\": [\"A.12.4.1\", \"A.12.4.3\"]}, {\"nist_sp_800-53\": [\"AC-6(9)\", \"AU-3(1)\", \"AU-7\"]}, {\"pci_dss_v3.2.1\": [\"10.1\", \"10.2\", \"10.2.1\", \"10.2.2\", \"10.2.4\", \"10.2.5\", \"10.3\", \"11.5\"]}, {\"pci_dss_v4.0\": [\"10.2\", \"10.2.1\", \"10.2.1.1\", \"10.2.1.2\", \"10.2.1.3\", \"10.2.1.4\", \"10.2.1.5\", \"10.2.1.6\", \"10.2.1.7\", \"10.2.2\", \"5.3.4\", \"6.4.1\", \"6.4.2\", \"9.4.5\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\", \"CC7.2\"]}]'),(31039,'Ensure&#x20;install.log&#x20;Is&#x20;Retained&#x20;for&#x20;365&#x20;or&#x20;More&#x20;Days&#x20;and&#x20;No&#x20;Maximum&#x20;Size.','macOS&#x20;writes&#x20;information&#x20;pertaining&#x20;to&#x20;system-related&#x20;events&#x20;to&#x20;the&#x20;file&#x20;/var/log/install.log&#x20;and&#x20;has&#x20;a&#x20;configurable&#x20;retention&#x20;policy&#x20;for&#x20;this&#x20;file.&#x20;The&#x20;default&#x20;logging&#x20;setting&#x20;limits&#x20;the&#x20;file&#x20;size&#x20;of&#x20;the&#x20;logs&#x20;and&#x20;the&#x20;maximum&#x20;size&#x20;for&#x20;all&#x20;logs.&#x20;The&#x20;default&#x20;allows&#x20;for&#x20;an&#x20;errant&#x20;application&#x20;to&#x20;fill&#x20;the&#x20;log&#x20;files&#x20;and&#x20;does&#x20;not&#x20;enforce&#x20;sufficient&#x20;log&#x20;retention.&#x20;The&#x20;Benchmark&#x20;recommends&#x20;a&#x20;value&#x20;based&#x20;on&#x20;standard&#x20;use&#x20;cases.&#x20;The&#x20;value&#x20;should&#x20;align&#x20;with&#x20;local&#x20;requirements&#x20;within&#x20;the&#x20;organization.&#x20;The&#x20;default&#x20;value&#x20;has&#x20;an&#x20;&quot;all_max&quot;&#x20;file&#x20;limitation,&#x20;no&#x20;reference&#x20;to&#x20;a&#x20;minimum&#x20;retention,&#x20;and&#x20;a&#x20;less&#x20;precise&#x20;rotation&#x20;argument.&#x20;The&#x20;all_max&#x20;flag&#x20;control&#x20;will&#x20;remove&#x20;old&#x20;log&#x20;entries&#x20;based&#x20;only&#x20;on&#x20;the&#x20;size&#x20;of&#x20;the&#x20;log&#x20;files.&#x20;Log&#x20;size&#x20;can&#x20;vary&#x20;widely&#x20;depending&#x20;on&#x20;how&#x20;verbose&#x20;installing&#x20;applications&#x20;are&#x20;in&#x20;their&#x20;log&#x20;entries.&#x20;The&#x20;decision&#x20;here&#x20;is&#x20;to&#x20;ensure&#x20;that&#x20;logs&#x20;go&#x20;back&#x20;a&#x20;year,&#x20;and&#x20;depending&#x20;on&#x20;the&#x20;applications&#x20;a&#x20;size&#x20;restriction&#x20;could&#x20;compromise&#x20;the&#x20;ability&#x20;to&#x20;store&#x20;a&#x20;full&#x20;year.&#x20;While&#x20;this&#x20;Benchmark&#x20;is&#x20;not&#x20;scoring&#x20;for&#x20;a&#x20;rotation&#x20;flag,&#x20;the&#x20;default&#x20;rotation&#x20;is&#x20;sequential&#x20;rather&#x20;than&#x20;using&#x20;a&#x20;timestamp.&#x20;Auditors&#x20;may&#x20;prefer&#x20;timestamps&#x20;in&#x20;order&#x20;to&#x20;simply&#x20;review&#x20;specific&#x20;dates&#x20;where&#x20;event&#x20;information&#x20;is&#x20;desired.&#x20;Please&#x20;review&#x20;the&#x20;File&#x20;Rotation&#x20;section&#x20;in&#x20;the&#x20;man&#x20;page&#x20;for&#x20;more&#x20;information.&#x20;man&#x20;asl.conf&#x20;-&#x20;The&#x20;maximum&#x20;file&#x20;size&#x20;limitation&#x20;string&#x20;should&#x20;be&#x20;removed&#x20;&quot;all_max=&quot;&#x20;-&#x20;An&#x20;organization&#x20;appropriate&#x20;retention&#x20;should&#x20;be&#x20;added&#x20;&quot;ttl=&quot;&#x20;-&#x20;The&#x20;rotation&#x20;should&#x20;be&#x20;set&#x20;with&#x20;timestamps&#x20;&quot;rotate=utc&quot;&#x20;or&#x20;&quot;rotate=local&quot;.','Archiving&#x20;and&#x20;retaining&#x20;install.log&#x20;for&#x20;at&#x20;least&#x20;a&#x20;year&#x20;is&#x20;beneficial&#x20;in&#x20;the&#x20;event&#x20;of&#x20;an&#x20;incident&#x20;as&#x20;it&#x20;will&#x20;allow&#x20;the&#x20;user&#x20;to&#x20;view&#x20;the&#x20;various&#x20;changes&#x20;to&#x20;the&#x20;system&#x20;along&#x20;with&#x20;the&#x20;date&#x20;and&#x20;time&#x20;they&#x20;occurred.','Without&#x20;log&#x20;files&#x20;system&#x20;maintenance&#x20;and&#x20;security&#x20;forensics&#x20;cannot&#x20;be&#x20;properly&#x20;performed.','Terminal&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;to&#x20;ensure&#x20;that&#x20;install&#x20;logs&#x20;are&#x20;retained&#x20;for&#x20;at&#x20;least&#x20;365&#x20;days:&#x20;Edit&#x20;the&#x20;/etc/asl/com.apple.install&#x20;file&#x20;and&#x20;add&#x20;or&#x20;modify&#x20;the&#x20;ttl&#x20;value&#x20;to&#x20;365&#x20;or&#x20;greater&#x20;on&#x20;the&#x20;file&#x20;line.&#x20;Also,&#x20;remove&#x20;the&#x20;all_max=&#x20;setting&#x20;and&#x20;value&#x20;from&#x20;the&#x20;file&#x20;line.','[{\"cis\": [\"3.3\"]}, {\"cis_csc_v8\": [\"8.1\", \"8.3\"]}, {\"cis_csc_v7\": [\"6.4\", \"6.7\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"iso_27001-2013\": [\"A.12.4.1\", \"A.12.4.3\"]}, {\"pci_dss_v3.2.1\": [\"10.7\"]}, {\"pci_dss_v4.0\": [\"10.1\", \"10.1.1\"]}, {\"soc_2\": [\"A1.1\"]}]'),(31040,'Ensure&#x20;Security&#x20;Auditing&#x20;Retention&#x20;Is&#x20;Enabled.','The&#x20;macOS&#x20;audit&#x20;capability&#x20;contains&#x20;important&#x20;information&#x20;to&#x20;investigate&#x20;security&#x20;or&#x20;operational&#x20;issues.&#x20;This&#x20;resource&#x20;is&#x20;only&#x20;completely&#x20;useful&#x20;if&#x20;it&#x20;is&#x20;retained&#x20;long&#x20;enough&#x20;to&#x20;allow&#x20;technical&#x20;staff&#x20;to&#x20;find&#x20;the&#x20;root&#x20;cause&#x20;of&#x20;anomalies&#x20;in&#x20;the&#x20;records.&#x20;Retention&#x20;can&#x20;be&#x20;set&#x20;to&#x20;respect&#x20;both&#x20;size&#x20;and&#x20;longevity.&#x20;To&#x20;retain&#x20;as&#x20;much&#x20;as&#x20;possible&#x20;under&#x20;a&#x20;certain&#x20;size,&#x20;the&#x20;recommendation&#x20;is&#x20;to&#x20;use&#x20;the&#x20;following:&#x20;expire-after:60d&#x20;OR&#x20;5G&#x20;This&#x20;recomendation&#x20;is&#x20;based&#x20;on&#x20;minimum&#x20;storage&#x20;for&#x20;review&#x20;and&#x20;investigation.&#x20;When&#x20;a&#x20;third&#x20;party&#x20;tool&#x20;is&#x20;in&#x20;use&#x20;to&#x20;allow&#x20;remote&#x20;logging&#x20;or&#x20;the&#x20;store&#x20;and&#x20;forwarding&#x20;of&#x20;logs,&#x20;this&#x20;local&#x20;storage&#x20;requirement&#x20;is&#x20;not&#x20;required.','The&#x20;audit&#x20;records&#x20;need&#x20;to&#x20;be&#x20;retained&#x20;long&#x20;enough&#x20;to&#x20;be&#x20;reviewed&#x20;as&#x20;necessary.','The&#x20;recommendation&#x20;is&#x20;that&#x20;at&#x20;least&#x20;60&#x20;days&#x20;or&#x20;5&#x20;gigabytes&#x20;of&#x20;audit&#x20;records&#x20;are&#x20;retained.&#x20;Systems&#x20;that&#x20;have&#x20;very&#x20;little&#x20;remaining&#x20;disk&#x20;space&#x20;may&#x20;have&#x20;issues&#x20;retaining&#x20;sufficient&#x20;data.','Terminal&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;to&#x20;set&#x20;the&#x20;audit&#x20;retention&#x20;length:&#x20;Edit&#x20;the&#x20;/etc/security/audit_control&#x20;file&#x20;so&#x20;that&#x20;expire-after:&#x20;is&#x20;at&#x20;least&#x20;60d&#x20;OR&#x20;5G.','[{\"cis\": [\"3.4\"]}, {\"cis_csc_v8\": [\"8.1\", \"8.3\"]}, {\"cis_csc_v7\": [\"6.4\", \"6.7\"]}, {\"cmmc_v2.0\": [\"AU.L2-3.3.1\"]}, {\"hipaa\": [\"164.312(b)\"]}, {\"iso_27001-2013\": [\"A.12.4.1\", \"A.12.4.3\"]}, {\"pci_dss_v3.2.1\": [\"10.7\"]}, {\"pci_dss_v4.0\": [\"10.1\", \"10.1.1\"]}, {\"soc_2\": [\"A1.1\"]}]'),(31041,'Ensure&#x20;Bonjour&#x20;Advertising&#x20;Services&#x20;Is&#x20;Disabled.','Bonjour&#x20;is&#x20;an&#x20;auto-discovery&#x20;mechanism&#x20;for&#x20;TCP/IP&#x20;devices&#x20;which&#x20;enumerate&#x20;devices&#x20;and&#x20;services&#x20;within&#x20;a&#x20;local&#x20;subnet.&#x20;DNS&#x20;on&#x20;macOS&#x20;is&#x20;integrated&#x20;with&#x20;Bonjour&#x20;and&#x20;should&#x20;not&#x20;be&#x20;turned&#x20;off,&#x20;but&#x20;the&#x20;Bonjour&#x20;advertising&#x20;service&#x20;can&#x20;be&#x20;disabled.','Bonjour&#x20;can&#x20;simplify&#x20;device&#x20;discovery&#x20;from&#x20;an&#x20;internal&#x20;rogue&#x20;or&#x20;compromised&#x20;host.&#x20;An&#x20;attacker&#x20;could&#x20;use&#x20;Bonjour&#039;s&#x20;multicast&#x20;DNS&#x20;feature&#x20;to&#x20;discover&#x20;a&#x20;vulnerable&#x20;or&#x20;poorly-configured&#x20;service&#x20;or&#x20;additional&#x20;information&#x20;to&#x20;aid&#x20;a&#x20;targeted&#x20;attack.&#x20;Implementing&#x20;this&#x20;control&#x20;disables&#x20;the&#x20;continuous&#x20;broadcasting&#x20;of&#x20;&quot;I&#039;m&#x20;here!&quot;&#x20;messages.&#x20;Typical&#x20;end-user&#x20;endpoints&#x20;should&#x20;not&#x20;have&#x20;to&#x20;advertise&#x20;services&#x20;to&#x20;other&#x20;computers.&#x20;This&#x20;setting&#x20;does&#x20;not&#x20;stop&#x20;the&#x20;computer&#x20;from&#x20;sending&#x20;out&#x20;service&#x20;discovery&#x20;messages&#x20;when&#x20;looking&#x20;for&#x20;services&#x20;on&#x20;an&#x20;internal&#x20;subnet,&#x20;if&#x20;the&#x20;computer&#x20;is&#x20;looking&#x20;for&#x20;a&#x20;printer&#x20;or&#x20;server&#x20;and&#x20;using&#x20;service&#x20;discovery.&#x20;To&#x20;block&#x20;all&#x20;Bonjour&#x20;traffic&#x20;except&#x20;to&#x20;approved&#x20;devices,&#x20;the&#x20;pf&#x20;or&#x20;other&#x20;firewall&#x20;would&#x20;be&#x20;needed.','Some&#x20;applications,&#x20;like&#x20;Final&#x20;Cut&#x20;Studio&#x20;and&#x20;AirPort&#x20;Base&#x20;Station&#x20;management,&#x20;may&#x20;not&#x20;operate&#x20;properly&#x20;if&#x20;the&#x20;mDNSResponder&#x20;is&#x20;turned&#x20;off.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;Bonjour&#x20;Advertising&#x20;services:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/defaults&#x20;write&#x20;/Library/Preferences/com.apple.mDNSResponder.plist&#x20;NoMulticastAdvertisements&#x20;-bool&#x20;true&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.mDNSResponder&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;NoMulticastAdvertisements.','[{\"cis\": [\"4.1\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31042,'Ensure&#x20;HTTP&#x20;Server&#x20;Is&#x20;Disabled.','macOS&#x20;used&#x20;to&#x20;have&#x20;a&#x20;graphical&#x20;front-end&#x20;to&#x20;the&#x20;embedded&#x20;Apache&#x20;web&#x20;server&#x20;in&#x20;the&#x20;Operating&#x20;System.&#x20;Personal&#x20;web&#x20;sharing&#x20;could&#x20;be&#x20;enabled&#x20;to&#x20;allow&#x20;someone&#x20;on&#x20;another&#x20;computer&#x20;to&#x20;download&#x20;files&#x20;or&#x20;information&#x20;from&#x20;the&#x20;user&#039;s&#x20;computer.&#x20;Personal&#x20;web&#x20;sharing&#x20;from&#x20;a&#x20;user&#x20;endpoint&#x20;has&#x20;long&#x20;been&#x20;considered&#x20;questionable,&#x20;and&#x20;Apple&#x20;has&#x20;removed&#x20;that&#x20;capability&#x20;from&#x20;the&#x20;GUI.&#x20;Apache,&#x20;however,&#x20;is&#x20;still&#x20;part&#x20;of&#x20;the&#x20;Operating&#x20;System&#x20;and&#x20;can&#x20;be&#x20;easily&#x20;turned&#x20;on&#x20;to&#x20;share&#x20;files&#x20;and&#x20;provide&#x20;remote&#x20;connectivity&#x20;to&#x20;an&#x20;end-user&#x20;computer.&#x20;Web&#x20;sharing&#x20;should&#x20;only&#x20;be&#x20;done&#x20;through&#x20;hardened&#x20;web&#x20;servers&#x20;and&#x20;appropriate&#x20;cloud&#x20;services.','Web&#x20;serving&#x20;should&#x20;not&#x20;be&#x20;done&#x20;from&#x20;a&#x20;user&#x20;desktop.&#x20;Dedicated&#x20;webservers&#x20;or&#x20;appropriate&#x20;cloud&#x20;storage&#x20;should&#x20;be&#x20;used.&#x20;Open&#x20;ports&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;exploit&#x20;the&#x20;computer.','The&#x20;web&#x20;server&#x20;is&#x20;both&#x20;a&#x20;point&#x20;of&#x20;attack&#x20;for&#x20;the&#x20;system&#x20;and&#x20;a&#x20;means&#x20;for&#x20;unauthorized&#x20;file&#x20;transfers.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;the&#x20;HTTP&#x20;server&#x20;services:&#x20;$&#x20;sudo&#x20;/usr/bin/sudo&#x20;/bin/launchctl&#x20;unload&#x20;-w&#x20;/System/Library/LaunchDaemons/org.apache.httpd.plist.','[{\"cis\": [\"4.2\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31043,'Ensure&#x20;NFS&#x20;Server&#x20;Is&#x20;Disabled.','macOS&#x20;can&#x20;act&#x20;as&#x20;an&#x20;NFS&#x20;fileserver.&#x20;NFS&#x20;sharing&#x20;could&#x20;be&#x20;enabled&#x20;to&#x20;allow&#x20;someone&#x20;on&#x20;another&#x20;computer&#x20;to&#x20;mount&#x20;shares&#x20;and&#x20;gain&#x20;access&#x20;to&#x20;information&#x20;from&#x20;the&#x20;user&#039;s&#x20;computer.&#x20;File&#x20;sharing&#x20;from&#x20;a&#x20;user&#x20;endpoint&#x20;has&#x20;long&#x20;been&#x20;considered&#x20;questionable,&#x20;and&#x20;Apple&#x20;has&#x20;removed&#x20;that&#x20;capability&#x20;from&#x20;the&#x20;GUI.&#x20;NFSD&#x20;is&#x20;still&#x20;part&#x20;of&#x20;the&#x20;Operating&#x20;System&#x20;and&#x20;can&#x20;be&#x20;easily&#x20;turned&#x20;on&#x20;to&#x20;export&#x20;shares&#x20;and&#x20;provide&#x20;remote&#x20;connectivity&#x20;to&#x20;an&#x20;end-user&#x20;computer.&#x20;The&#x20;etc/exports&#x20;file&#x20;contains&#x20;the&#x20;list&#x20;of&#x20;NFS&#x20;shared&#x20;directories.&#x20;If&#x20;the&#x20;file&#x20;exists,&#x20;it&#x20;is&#x20;likely&#x20;that&#x20;NFS&#x20;sharing&#x20;has&#x20;been&#x20;enabled&#x20;in&#x20;the&#x20;past&#x20;or&#x20;may&#x20;be&#x20;available&#x20;periodically.&#x20;As&#x20;an&#x20;additional&#x20;check,&#x20;the&#x20;audit&#x20;verifies&#x20;that&#x20;there&#x20;is&#x20;no&#x20;/etc/exports&#x20;file.','File&#x20;serving&#x20;should&#x20;not&#x20;be&#x20;done&#x20;from&#x20;a&#x20;user&#x20;desktop.&#x20;Dedicated&#x20;servers&#x20;should&#x20;be&#x20;used.&#x20;Open&#x20;ports&#x20;make&#x20;it&#x20;easier&#x20;to&#x20;exploit&#x20;the&#x20;computer.','The&#x20;nfs&#x20;server&#x20;is&#x20;both&#x20;a&#x20;point&#x20;of&#x20;attack&#x20;for&#x20;the&#x20;system&#x20;and&#x20;a&#x20;means&#x20;for&#x20;unauthorized&#x20;file&#x20;transfers.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;the&#x20;nfsd&#x20;fileserver&#x20;services:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/launchctl&#x20;disable&#x20;system/com.apple.nfsd&#x20;Remove&#x20;the&#x20;exported&#x20;Directory&#x20;listing.&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/rm&#x20;/etc/exports.','[{\"cis\": [\"4.3\"]}, {\"cis_csc_v8\": [\"4.1\", \"4.8\"]}, {\"cis_csc_v7\": [\"5.1\", \"9.2\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\", \"CM.L2-3.4.8\", \"SC.L2-3.13.6\"]}, {\"iso_27001-2013\": [\"A.13.1.3\", \"A.14.2.5\", \"A.8.1.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1011\", \"T1015\", \"T1017\", \"T1019\", \"T1028\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1051\", \"T1053\", \"T1054\", \"T1055\", \"T1058\", \"T1067\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1086\", \"T1087\", \"T1088\", \"T1089\", \"T1092\", \"T1096\", \"T1097\", \"T1098\", \"T1100\", \"T1110\", \"T1112\", \"T1130\", \"T1133\", \"T1134\", \"T1136\", \"T1137\", \"T1138\", \"T1139\", \"T1142\", \"T1145\", \"T1146\", \"T1147\", \"T1148\", \"T1150\", \"T1156\", \"T1157\", \"T1165\", \"T1166\", \"T1169\", \"T1173\", \"T1174\", \"T1175\", \"T1176\", \"T1177\", \"T1178\", \"T1184\", \"T1187\", \"T1190\", \"T1196\", \"T1197\", \"T1198\", \"T1199\", \"T1200\", \"T1201\", \"T1206\", \"T1208\", \"T1209\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1485\", \"T1486\", \"T1487\", \"T1488\", \"T1489\", \"T1490\", \"T1491\", \"T1492\", \"T1494\", \"T1495\", \"T1501\", \"T1503\", \"T1504\", \"T1505\", \"T1506\", \"T1525\", \"T1530\", \"T1535\", \"T1537\", \"T1539\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"1.1.6\", \"1.2.1\", \"11.5\", \"2.2\", \"2.2.2\", \"2.2.5\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.5\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\", \"2.2.4\", \"6.4.1\"]}, {\"soc_2\": [\"CC6.3\", \"CC6.6\", \"CC7.1\", \"CC8.1\"]}]'),(31044,'Ensure&#x20;Home&#x20;Folders&#x20;Are&#x20;Secure.','By&#x20;default,&#x20;macOS&#x20;allows&#x20;all&#x20;valid&#x20;users&#x20;into&#x20;the&#x20;top&#x20;level&#x20;of&#x20;every&#x20;other&#x20;user&#039;s&#x20;home&#x20;folder&#x20;and&#x20;restricts&#x20;access&#x20;to&#x20;the&#x20;Apple&#x20;default&#x20;folders&#x20;within.&#x20;Another&#x20;user&#x20;on&#x20;the&#x20;same&#x20;system&#x20;can&#x20;see&#x20;you&#x20;have&#x20;a&#x20;&quot;Documents&quot;&#x20;folder&#x20;but&#x20;cannot&#x20;see&#x20;inside&#x20;it.&#x20;This&#x20;configuration&#x20;does&#x20;work&#x20;for&#x20;personal&#x20;file&#x20;sharing&#x20;but&#x20;can&#x20;expose&#x20;user&#x20;files&#x20;to&#x20;standard&#x20;accounts&#x20;on&#x20;the&#x20;system.&#x20;The&#x20;best&#x20;parallel&#x20;for&#x20;Enterprise&#x20;environments&#x20;is&#x20;that&#x20;everyone&#x20;who&#x20;has&#x20;a&#x20;Dropbox&#x20;account&#x20;can&#x20;see&#x20;everything&#x20;that&#x20;is&#x20;at&#x20;the&#x20;top&#x20;level&#x20;but&#x20;can&#039;t&#x20;see&#x20;your&#x20;pictures.&#x20;Similarly&#x20;with&#x20;macOS,&#x20;users&#x20;can&#x20;see&#x20;into&#x20;every&#x20;new&#x20;Directory&#x20;that&#x20;is&#x20;created&#x20;because&#x20;of&#x20;the&#x20;default&#x20;permissions.&#x20;Home&#x20;folders&#x20;should&#x20;be&#x20;restricted&#x20;to&#x20;access&#x20;only&#x20;by&#x20;the&#x20;user.&#x20;Sharing&#x20;should&#x20;be&#x20;used&#x20;on&#x20;dedicated&#x20;servers&#x20;or&#x20;cloud&#x20;instances&#x20;that&#x20;are&#x20;managing&#x20;access&#x20;controls.&#x20;Some&#x20;environments&#x20;may&#x20;encounter&#x20;problems&#x20;if&#x20;execute&#x20;rights&#x20;are&#x20;removed&#x20;as&#x20;well&#x20;as&#x20;read&#x20;and&#x20;write.&#x20;Either&#x20;no&#x20;access&#x20;or&#x20;execute&#x20;only&#x20;for&#x20;group&#x20;or&#x20;others&#x20;is&#x20;acceptable.','Allowing&#x20;all&#x20;users&#x20;to&#x20;view&#x20;the&#x20;top&#x20;level&#x20;of&#x20;all&#x20;networked&#x20;users&#039;&#x20;home&#x20;folder&#x20;may&#x20;not&#x20;be&#x20;desirable&#x20;since&#x20;it&#x20;may&#x20;lead&#x20;to&#x20;the&#x20;revelation&#x20;of&#x20;sensitive&#x20;information.','If&#x20;implemented,&#x20;users&#x20;will&#x20;not&#x20;be&#x20;able&#x20;to&#x20;use&#x20;the&#x20;&quot;Public&quot;&#x20;folders&#x20;in&#x20;other&#x20;users&#039;&#x20;home&#x20;folders.&#x20;&quot;Public&quot;&#x20;folders&#x20;with&#x20;appropriate&#x20;permissions&#x20;would&#x20;need&#x20;to&#x20;be&#x20;set&#x20;up&#x20;in&#x20;the&#x20;/Shared&#x20;folder.','Terminal&#x20;Method:&#x20;For&#x20;each&#x20;user,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;secure&#x20;all&#x20;home&#x20;folders:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/chmod&#x20;-R&#x20;og-rwx&#x20;/Users/&lt;username&gt;&#x20;Alternately,&#x20;run&#x20;the&#x20;following&#x20;command&#x20;if&#x20;there&#x20;needs&#x20;to&#x20;be&#x20;executable&#x20;access&#x20;for&#x20;a&#x20;home&#x20;folder:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/chmod&#x20;-R&#x20;og-rw&#x20;/Users/&lt;username&gt;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/chmod&#x20;-R&#x20;og-rw&#x20;/Users/thirduser/&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/chmod&#x20;-R&#x20;og-rwx&#x20;/Users/fourthuser/&#x20;#&#x20;/bin/ls&#x20;-l&#x20;/Users/&#x20;total&#x20;0&#x20;drwxr-xr-x+&#x20;12&#x20;Guest&#x20;_guest&#x20;384&#x20;24&#x20;Jul&#x20;13:42&#x20;Guest&#x20;drwxrwxrwt&#x20;4&#x20;root&#x20;wheel&#x20;128&#x20;22&#x20;Jul&#x20;11:00&#x20;Shared&#x20;drwx--x--x+&#x20;18&#x20;firstuser&#x20;staff&#x20;576&#x20;10&#x20;Aug&#x20;14:36&#x20;firstuser&#x20;drwx--x--x+&#x20;15&#x20;seconduser&#x20;staff&#x20;480&#x20;10&#x20;Aug&#x20;09:16&#x20;seconduser&#x20;drwx--x--x+&#x20;11&#x20;thirduser&#x20;staff&#x20;352&#x20;10&#x20;Aug&#x20;14:53&#x20;thirduser&#x20;drwx------+&#x20;11&#x20;fourthuser&#x20;staff&#x20;352&#x20;10&#x20;Aug&#x20;14:53&#x20;fourthuser.','[{\"cis\": [\"5.1.1\"]}, {\"cis_csc_v8\": [\"3.3\"]}, {\"cis_csc_v7\": [\"14.6\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"AC.L2-3.1.3\", \"AC.L2-3.1.5\", \"MP.L2-3.8.2\"]}, {\"hipaa\": [\"164.308(a)(3)(i)\", \"164.308(a)(3)(ii)(A)\", \"164.312(a)(1)\"]}, {\"iso_27001-2013\": [\"A.9.1.1\"]}, {\"mitre_techniques\": [\"T1004\", \"T1015\", \"T1021\", \"T1023\", \"T1031\", \"T1034\", \"T1035\", \"T1036\", \"T1037\", \"T1044\", \"T1047\", \"T1050\", \"T1051\", \"T1053\", \"T1054\", \"T1070\", \"T1072\", \"T1073\", \"T1075\", \"T1076\", \"T1078\", \"T1080\", \"T1081\", \"T1084\", \"T1089\", \"T1096\", \"T1097\", \"T1133\", \"T1134\", \"T1145\", \"T1146\", \"T1150\", \"T1152\", \"T1156\", \"T1157\", \"T1159\", \"T1160\", \"T1162\", \"T1163\", \"T1165\", \"T1168\", \"T1169\", \"T1184\", \"T1185\", \"T1196\", \"T1197\", \"T1198\", \"T1200\", \"T1209\", \"T1213\", \"T1484\", \"T1489\", \"T1492\", \"T1494\", \"T1501\", \"T1504\", \"T1528\", \"T1530\", \"T1537\", \"T1538\"]}, {\"nist_sp_800-53\": [\"AC-5\", \"AC-6\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"pci_dss_v4.0\": [\"1.3.1\", \"7.1\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.1\"]}]'),(31045,'Ensure&#x20;System&#x20;Integrity&#x20;Protection&#x20;Status&#x20;&#40;SIP&#41;&#x20;Is&#x20;Enabled.','System&#x20;Integrity&#x20;Protection&#x20;is&#x20;a&#x20;security&#x20;feature&#x20;introduced&#x20;in&#x20;OS&#x20;X&#x20;10.11&#x20;El&#x20;Capitan.&#x20;System&#x20;Integrity&#x20;Protection&#x20;restricts&#x20;access&#x20;to&#x20;System&#x20;domain&#x20;locations&#x20;and&#x20;restricts&#x20;runtime&#x20;attachment&#x20;to&#x20;system&#x20;processes.&#x20;Any&#x20;attempt&#x20;to&#x20;inspect&#x20;or&#x20;attach&#x20;to&#x20;a&#x20;system&#x20;process&#x20;will&#x20;fail.&#x20;Kernel&#x20;Extensions&#x20;are&#x20;now&#x20;restricted&#x20;to&#x20;/Library/Extensions&#x20;and&#x20;are&#x20;required&#x20;to&#x20;be&#x20;signed&#x20;with&#x20;a&#x20;Developer&#x20;ID.','Running&#x20;without&#x20;System&#x20;Integrity&#x20;Protection&#x20;on&#x20;a&#x20;production&#x20;system&#x20;runs&#x20;the&#x20;risk&#x20;of&#x20;the&#x20;modification&#x20;of&#x20;system&#x20;binaries&#x20;or&#x20;code&#x20;injection&#x20;of&#x20;system&#x20;processes&#x20;that&#x20;would&#x20;otherwise&#x20;be&#x20;protected&#x20;by&#x20;SIP.','System&#x20;binaries&#x20;and&#x20;processes&#x20;could&#x20;become&#x20;compromised.','Terminal&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;enable&#x20;System&#x20;Integrity&#x20;Protection:&#x20;1.&#x20;Reboot&#x20;into&#x20;the&#x20;Recovery&#x20;Partition&#x20;&#40;reboot&#x20;and&#x20;hold&#x20;down&#x20;Command&#x20;+&#x20;R&#41;&#x20;2.&#x20;Select&#x20;Utilities&#x20;3.&#x20;Select&#x20;Terminal&#x20;4.&#x20;Run&#x20;the&#x20;following&#x20;command:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/csrutil&#x20;enable&#x20;Successfully&#x20;enabled&#x20;System&#x20;Integrity&#x20;Protection.&#x20;Please&#x20;restart&#x20;the&#x20;machine&#x20;for&#x20;the&#x20;changes&#x20;to&#x20;take&#x20;effect.&#x20;5.&#x20;Reboot&#x20;the&#x20;computer&#x20;Note:&#x20;You&#x20;should&#x20;research&#x20;why&#x20;the&#x20;system&#x20;had&#x20;SIP&#x20;disabled.&#x20;It&#x20;might&#x20;be&#x20;a&#x20;better&#x20;option&#x20;to&#x20;erase&#x20;the&#x20;Mac&#x20;and&#x20;reinstall&#x20;the&#x20;operating&#x20;system.&#x20;That&#x20;is&#x20;at&#x20;your&#x20;discretion.&#x20;Note:&#x20;You&#x20;cannot&#x20;enable&#x20;System&#x20;Integrity&#x20;Protection&#x20;from&#x20;the&#x20;booted&#x20;operating&#x20;system.&#x20;If&#x20;the&#x20;remediation&#x20;is&#x20;attempted&#x20;in&#x20;the&#x20;booted&#x20;OS&#x20;and&#x20;not&#x20;the&#x20;Recovery&#x20;Partition&#x20;the&#x20;output&#x20;will&#x20;give&#x20;the&#x20;error&#x20;csrutil:&#x20;failed&#x20;to&#x20;modify&#x20;system&#x20;integrity&#x20;configuration.&#x20;This&#x20;tool&#x20;needs&#x20;to&#x20;be&#x20;executed&#x20;from&#x20;the&#x20;Recovery&#x20;OS.','[{\"cis\": [\"5.1.2\"]}, {\"cis_csc_v8\": [\"2.3\", \"2.6\", \"10.5\"]}, {\"cis_csc_v7\": [\"2.6\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.9\"]}, {\"iso_27001-2013\": [\"A.12.5.1\", \"A.12.6.2\"]}, {\"nist_sp_800-53\": [\"CM-10\", \"CM-7(1)\", \"CM-7(2)\", \"CM-8(3)\", \"SI-16\"]}, {\"pci_dss_v3.2.1\": [\"1.4\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"12.3.4\", \"2.2.4\"]}, {\"soc_2\": [\"CC5.2\", \"CC6.8\", \"CC7.1\"]}, {\"mitre_techniques\": [\"T1191\", \"T1092\", \"T1175\", \"T1173\", \"T1519\", \"T1052\", \"T1210\", \"T1133\", \"T1118\", \"T1171\", \"T1170\", \"T1046\", \"T1137\", \"T1086\", \"T1164\", \"T1121\", \"T1076\", \"T1091\", \"T1180\", \"T1064\", \"T1184\", \"T1221\", \"T1127\", \"T1028\"]}]'),(31046,'Ensure&#x20;Apple&#x20;Mobile&#x20;File&#x20;Integrity&#x20;&#40;AMFI&#41;&#x20;Is&#x20;Enabled.','Apple&#x20;Mobile&#x20;File&#x20;Integrity&#x20;&#40;AMFI&#41;&#x20;was&#x20;first&#x20;released&#x20;in&#x20;macOS&#x20;10.12.&#x20;The&#x20;daemon&#x20;and&#x20;service&#x20;block&#x20;attempts&#x20;to&#x20;run&#x20;unsigned&#x20;code.&#x20;AMFI&#x20;uses&#x20;lanchd,&#x20;code&#x20;signatures,&#x20;certificates,&#x20;entitlements,&#x20;and&#x20;provisioning&#x20;profiles&#x20;to&#x20;create&#x20;a&#x20;filtered&#x20;entitlement&#x20;dictionary&#x20;for&#x20;an&#x20;app.&#x20;AMFI&#x20;is&#x20;the&#x20;macOS&#x20;kernel&#x20;module&#x20;that&#x20;enforces&#x20;code-signing&#x20;and&#x20;library&#x20;validation.','Apple&#x20;Mobile&#x20;File&#x20;Integrity&#x20;validates&#x20;that&#x20;application&#x20;code&#x20;is&#x20;validated.','Applications&#x20;could&#x20;be&#x20;compromised&#x20;with&#x20;malicious&#x20;code.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;enable&#x20;the&#x20;Apple&#x20;Mobile&#x20;File&#x20;Integrity&#x20;service:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/nvram&#x20;boot-args=&quot;&quot;.','[{\"cis\": [\"5.1.3\"]}, {\"cis_csc_v8\": [\"2.3\", \"2.6\"]}, {\"cis_csc_v7\": [\"2.6\"]}, {\"cmmc_v2.0\": [\"CM.L2-3.4.7\", \"CM.L2-3.4.9\"]}, {\"iso_27001-2013\": [\"A.12.5.1\", \"A.12.6.2\"]}, {\"nist_sp_800-53\": [\"CM-10\", \"CM-7(1)\", \"CM-7(2)\", \"CM-8(3)\"]}, {\"pci_dss_v4.0\": [\"1.2.5\", \"12.3.4\", \"2.2.4\"]}, {\"soc_2\": [\"CC5.2\", \"CC7.1\"]}, {\"mitre_techniques\": [\"T1191\", \"T1092\", \"T1175\", \"T1173\", \"T1519\", \"T1052\", \"T1210\", \"T1133\", \"T1118\", \"T1171\", \"T1170\", \"T1046\", \"T1137\", \"T1086\", \"T1164\", \"T1121\", \"T1076\", \"T1091\", \"T1180\", \"T1064\", \"T1184\", \"T1221\", \"T1127\", \"T1028\"]}]'),(31047,'Ensure&#x20;Sealed&#x20;System&#x20;Volume&#x20;&#40;SSV&#41;&#x20;Is&#x20;Enabled.','Sealed&#x20;System&#x20;Volume&#x20;is&#x20;a&#x20;security&#x20;feature&#x20;introduced&#x20;in&#x20;macOS&#x20;11.0&#x20;Big&#x20;Sur.&#x20;During&#x20;system&#x20;installation,&#x20;a&#x20;SHA-256&#x20;cryptographic&#x20;hash&#x20;is&#x20;calculated&#x20;for&#x20;all&#x20;immutable&#x20;system&#x20;files&#x20;and&#x20;stored&#x20;in&#x20;a&#x20;Merkle&#x20;tree&#x20;which&#x20;itself&#x20;is&#x20;hashed&#x20;as&#x20;the&#x20;Seal.&#x20;Both&#x20;are&#x20;stored&#x20;in&#x20;the&#x20;metadata&#x20;of&#x20;the&#x20;snapshot&#x20;created&#x20;of&#x20;the&#x20;System&#x20;volume.&#x20;The&#x20;seal&#x20;is&#x20;verified&#x20;by&#x20;the&#x20;boot&#x20;loader&#x20;at&#x20;startup.&#x20;macOS&#x20;will&#x20;not&#x20;boot&#x20;if&#x20;system&#x20;files&#x20;have&#x20;been&#x20;tampered&#x20;with.&#x20;If&#x20;validation&#x20;fails,&#x20;the&#x20;user&#x20;will&#x20;be&#x20;instructed&#x20;to&#x20;reinstall&#x20;the&#x20;operating&#x20;system.&#x20;During&#x20;read&#x20;operations&#x20;for&#x20;files&#x20;located&#x20;in&#x20;the&#x20;Sealed&#x20;System&#x20;Volume,&#x20;a&#x20;hash&#x20;is&#x20;calculated&#x20;and&#x20;compared&#x20;to&#x20;the&#x20;value&#x20;stored&#x20;in&#x20;the&#x20;Merkle&#x20;tree.','Running&#x20;without&#x20;Sealed&#x20;System&#x20;Volume&#x20;on&#x20;a&#x20;production&#x20;system&#x20;could&#x20;run&#x20;the&#x20;risk&#x20;of&#x20;Apple&#x20;software&#x20;that&#x20;integrates&#x20;directly&#x20;with&#x20;macOS&#x20;being&#x20;modified.','Apple&#x20;Software&#x20;that&#x20;integrates&#x20;with&#x20;the&#x20;operating&#x20;system&#x20;could&#x20;become&#x20;compromised.','If&#x20;SSV&#x20;has&#x20;been&#x20;disabled,&#x20;assume&#x20;that&#x20;the&#x20;operating&#x20;system&#x20;has&#x20;been&#x20;compromised.&#x20;Back&#x20;up&#x20;any&#x20;files,&#x20;and&#x20;do&#x20;a&#x20;clean&#x20;install&#x20;to&#x20;a&#x20;known&#x20;good&#x20;Operating&#x20;System.','[{\"cis\": [\"5.1.4\"]}, {\"cis_csc_v8\": [\"3.6\", \"3.11\"]}, {\"cis_csc_v7\": [\"13.6\", \"14.8\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.19\", \"IA.L2-3.5.10\", \"MP.L2-3.8.1\", \"SC.L2-3.13.11\", \"SC.L2-3.13.16\"]}, {\"hipaa\": [\"164.312(a)(2)(iv)\", \"164.312(e)(2)(ii)\"]}, {\"iso_27001-2013\": [\"A.10.1.1\", \"A.6.2.1\"]}, {\"nist_sp_800-53\": [\"SC-28\", \"SC-28(1)\"]}, {\"pci_dss_v3.2.1\": [\"3.4\", \"3.4.1\", \"8.2.1\"]}, {\"pci_dss_v4.0\": [\"3.1.1\", \"3.3.2\", \"3.3.3\", \"3.5.1\", \"3.5.1.2\", \"3.5.1.3\", \"8.3.2\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"mitre_techniques\": [\"T1527\", \"T1119\", \"T1530\", \"T1114\", \"T1070\", \"T1208\", \"T1040\", \"T1145\", \"T1492\", \"T1493\", \"T1072\"]}]'),(31048,'Ensure&#x20;Password&#x20;Account&#x20;Lockout&#x20;Threshold&#x20;Is&#x20;Configured.','The&#x20;account&#x20;lockout&#x20;threshold&#x20;specifies&#x20;the&#x20;amount&#x20;of&#x20;times&#x20;a&#x20;user&#x20;can&#x20;enter&#x20;an&#x20;incorrect&#x20;password&#x20;before&#x20;a&#x20;lockout&#x20;will&#x20;occur.&#x20;Ensure&#x20;that&#x20;a&#x20;lockout&#x20;threshold&#x20;is&#x20;part&#x20;of&#x20;the&#x20;password&#x20;policy&#x20;on&#x20;the&#x20;computer.','The&#x20;account&#x20;lockout&#x20;feature&#x20;mitigates&#x20;brute-force&#x20;password&#x20;attacks&#x20;on&#x20;the&#x20;system.','The&#x20;number&#x20;of&#x20;incorrect&#x20;log&#x20;on&#x20;attempts&#x20;should&#x20;be&#x20;reasonably&#x20;small&#x20;to&#x20;minimize&#x20;the&#x20;possibility&#x20;of&#x20;a&#x20;successful&#x20;password&#x20;attack,&#x20;while&#x20;allowing&#x20;for&#x20;honest&#x20;errors&#x20;made&#x20;during&#x20;a&#x20;normal&#x20;user&#x20;log&#x20;on.&#x20;The&#x20;locked&#x20;account&#x20;will&#x20;auto-unlock&#x20;after&#x20;a&#x20;few&#x20;minutes&#x20;when&#x20;bad&#x20;password&#x20;attempts&#x20;stop.&#x20;The&#x20;computer&#x20;will&#x20;accept&#x20;the&#x20;still-valid&#x20;password&#x20;if&#x20;remembered&#x20;or&#x20;recovered.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;maximum&#x20;number&#x20;of&#x20;failed&#x20;login&#x20;attempts&#x20;to&#x20;less&#x20;than&#x20;or&#x20;equal&#x20;to&#x20;5:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;maxFailedLoginAttempts=&lt;value=&lt;5&gt;&quot;&#x20;Note:&#x20;When&#x20;the&#x20;account&#x20;lockout&#x20;threshold&#x20;is&#x20;set&#x20;with&#x20;pwpolicy,&#x20;it&#x20;will&#x20;also&#x20;set&#x20;a&#x20;reset&#x20;value&#x20;to&#x20;policyAttributeMinutesUntilFailedAuthenticationReset&#x20;that&#x20;defaults&#x20;to&#x20;1&#x20;minute.&#x20;You&#x20;can&#x20;change&#x20;this&#x20;value&#x20;with&#x20;the&#x20;command:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;policyAttributeMinutesUntilFailedAuthenticationReset=&lt;value&#x20;in&#x20;minutes&gt;&quot;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;maxFailedLoginAttempts=5&quot;&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;policyAttributeMinutesUntilFailedAuthenticationReset=10&quot;&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.mobiledevice.passwordpolicy&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;maxFailedAttempts&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;integer&gt;&lt;value&lt;=5&gt;&lt;/integer&gt;&#x20;Note:&#x20;When&#x20;setting&#x20;the&#x20;lockout&#x20;threshold&#x20;with&#x20;a&#x20;mobile&#x20;configuration&#x20;profile&#x20;there&#x20;is&#x20;no&#x20;default&#x20;reset&#x20;to&#x20;the&#x20;lockout.&#x20;To&#x20;set&#x20;the&#x20;reset&#x20;value&#x20;use&#x20;the&#x20;key&#x20;autoEnableInSeconds&#x20;and&#x20;set&#x20;the&#x20;key&#x20;to&#x20;&lt;integer&gt;&lt;value&#x20;in&#x20;seconds&gt;&lt;/integer&gt;.&#x20;Note:&#x20;The&#x20;profile&#x20;method&#x20;is&#x20;the&#x20;preferred&#x20;method&#x20;for&#x20;setting&#x20;password&#x20;policy&#x20;since&#x20;-&#x20;setglobalpolicy&#x20;in&#x20;pwpolicy&#x20;is&#x20;deprecated&#x20;and&#x20;will&#x20;likely&#x20;be&#x20;removed&#x20;in&#x20;a&#x20;future&#x20;macOS&#x20;release.','[{\"cis\": [\"5.2.1\"]}, {\"cis_csc_v8\": [\"6.2\"]}, {\"cis_csc_v7\": [\"16.7\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\"]}, {\"hipaa\": [\"164.308(a)(3)(ii)(C)\"]}, {\"iso_27001-2013\": [\"A.9.2.6\"]}, {\"nist_sp_800-53\": [\"AC-2(1)\"]}, {\"pci_dss_v3.2.1\": [\"8.1.3\"]}, {\"pci_dss_v4.0\": [\"8.2.4\", \"8.2.5\"]}, {\"soc_2\": [\"CC6.2\", \"CC6.3\"]}, {\"mitre_techniques\": [\"T1134\", \"T1197\", \"T1538\", \"T1530\", \"T1213\", \"T1089\", \"T1157\", \"T1044\", \"T1484\", \"T1054\", \"T1159\", \"T1160\", \"T1152\", \"T1168\", \"T1162\", \"T1185\", \"T1031\", \"T1050\", \"T1075\", \"T1097\", \"T1034\", \"T1163\", \"T1076\", \"T1021\", \"T1053\", \"T1489\", \"T1051\", \"T1023\", \"T1165\", \"T1528\", \"T1501\", \"T1072\", \"T1537\", \"T1078\", \"T1047\", \"T1084\", \"T1004\"]}]'),(31049,'Ensure&#x20;Password&#x20;Minimum&#x20;Length&#x20;Is&#x20;Configured.','A&#x20;minimum&#x20;password&#x20;length&#x20;is&#x20;the&#x20;fewest&#x20;number&#x20;of&#x20;characters&#x20;a&#x20;password&#x20;can&#x20;contain&#x20;to&#x20;meet&#x20;a&#x20;system&#039;s&#x20;requirements.&#x20;Ensure&#x20;that&#x20;a&#x20;minimum&#x20;of&#x20;a&#x20;15-character&#x20;password&#x20;is&#x20;part&#x20;of&#x20;the&#x20;password&#x20;policy&#x20;on&#x20;the&#x20;computer.&#x20;Where&#x20;the&#x20;confidentiality&#x20;of&#x20;encrypted&#x20;information&#x20;in&#x20;FileVault&#x20;is&#x20;more&#x20;of&#x20;a&#x20;concern,&#x20;requiring&#x20;a&#x20;longer&#x20;password&#x20;or&#x20;passphrase&#x20;may&#x20;be&#x20;sufficient&#x20;rather&#x20;than&#x20;imposing&#x20;additional&#x20;complexity&#x20;requirements&#x20;that&#x20;may&#x20;be&#x20;self-defeating.','Information&#x20;systems&#x20;that&#x20;are&#x20;not&#x20;protected&#x20;with&#x20;strong&#x20;password&#x20;schemes&#x20;including&#x20;passwords&#x20;of&#x20;minimum&#x20;length&#x20;provide&#x20;a&#x20;greater&#x20;opportunity&#x20;for&#x20;attackers&#x20;to&#x20;crack&#x20;the&#x20;password&#x20;and&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system.','Short&#x20;passwords&#x20;can&#x20;be&#x20;easily&#x20;attacked.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;password&#x20;length&#x20;to&#x20;greater&#x20;than&#x20;or&#x20;equal&#x20;to&#x20;15:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;minChars=&lt;value&gt;=15&gt;&quot;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;minChars=15&quot;&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.mobiledevice.passwordpolicy&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;minLength&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;integer&gt;&lt;value&gt;=15&gt;&lt;/integer&gt;&#x20;Note:&#x20;The&#x20;profile&#x20;method&#x20;is&#x20;the&#x20;preferred&#x20;method&#x20;for&#x20;setting&#x20;password&#x20;policy&#x20;since&#x20;-&#x20;setglobalpolicy&#x20;in&#x20;pwpolicy&#x20;is&#x20;deprecated&#x20;and&#x20;will&#x20;likely&#x20;be&#x20;removed&#x20;in&#x20;a&#x20;future&#x20;macOS&#x20;release.','[{\"cis\": [\"5.2.2\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"mitre_techniques\": [\"T1134\", \"T1098\", \"T1017\", \"T1067\", \"T1088\", \"T1175\", \"T1136\", \"T1003\", \"T1214\", \"T1190\", \"T1210\", \"T1495\", \"T1525\", \"T1208\", \"T1215\", \"T1075\", \"T1097\", \"T1086\", \"T1055\", \"T1076\", \"T1053\", \"T1505\", \"T1035\", \"T1051\", \"T1218\", \"T1184\", \"T1169\", \"T1206\", \"T1019\", \"T1501\", \"T1072\", \"T1078\", \"T1100\", \"T1077\", \"T1047\", \"T1084\", \"T1028\"]}]'),(31050,'Ensure&#x20;Complex&#x20;Password&#x20;Must&#x20;Contain&#x20;Alphabetic&#x20;Characters&#x20;Is&#x20;Configured.','Complex&#x20;passwords&#x20;contain&#x20;one&#x20;character&#x20;from&#x20;each&#x20;of&#x20;the&#x20;following&#x20;classes:&#x20;English&#x20;uppercase&#x20;letters,&#x20;English&#x20;lowercase&#x20;letters,&#x20;Westernized&#x20;Arabic&#x20;numerals,&#x20;and&#x20;non-alphanumeric&#x20;characters.&#x20;Ensure&#x20;that&#x20;an&#x20;Alphabetic&#x20;character&#x20;is&#x20;part&#x20;of&#x20;the&#x20;password&#x20;policy&#x20;on&#x20;the&#x20;computer.','The&#x20;more&#x20;complex&#x20;a&#x20;password,&#x20;the&#x20;more&#x20;resistant&#x20;it&#x20;will&#x20;be&#x20;against&#x20;persons&#x20;seeking&#x20;unauthorized&#x20;access&#x20;to&#x20;a&#x20;system.','Password&#x20;policy&#x20;should&#x20;be&#x20;in&#x20;effect&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;exposed&#x20;services&#x20;being&#x20;compromised&#x20;easily&#x20;through&#x20;dictionary&#x20;attacks&#x20;or&#x20;other&#x20;social&#x20;engineering&#x20;attempts.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;the&#x20;that&#x20;passwords&#x20;must&#x20;contain&#x20;at&#x20;least&#x20;one&#x20;letter:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;-&#x20;setaccountpolicies&#x20;&quot;requiresAlpha=&lt;value&gt;=1&gt;&quot;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;requiresAlpha=1&quot;&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.mobiledevice.passwordpolicy&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;requireAlphanumeric&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;&#x20;Note:&#x20;This&#x20;profile&#x20;sets&#x20;a&#x20;requirement&#x20;of&#x20;both&#x20;an&#x20;alphabetical&#x20;and&#x20;a&#x20;numeric&#x20;character.&#x20;Note:&#x20;The&#x20;profile&#x20;method&#x20;is&#x20;the&#x20;preferred&#x20;method&#x20;for&#x20;setting&#x20;password&#x20;policy&#x20;since&#x20;-&#x20;setglobalpolicy&#x20;in&#x20;pwpolicy&#x20;is&#x20;deprecated&#x20;and&#x20;will&#x20;likely&#x20;be&#x20;removed&#x20;in&#x20;a&#x20;future&#x20;macOS&#x20;release.','[{\"cis\": [\"5.2.3\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1017\", \"T1019\", \"T1028\", \"T1035\", \"T1047\", \"T1051\", \"T1053\", \"T1055\", \"T1067\", \"T1072\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1084\", \"T1086\", \"T1088\", \"T1097\", \"T1098\", \"T1100\", \"T1134\", \"T1136\", \"T1169\", \"T1175\", \"T1184\", \"T1190\", \"T1206\", \"T1208\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1495\", \"T1501\", \"T1505\", \"T1525\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(31051,'Ensure&#x20;Complex&#x20;Password&#x20;Must&#x20;Contain&#x20;Numeric&#x20;Character&#x20;Is&#x20;Configured.','Complex&#x20;passwords&#x20;contain&#x20;one&#x20;character&#x20;from&#x20;each&#x20;of&#x20;the&#x20;following&#x20;classes:&#x20;English&#x20;uppercase&#x20;letters,&#x20;English&#x20;lowercase&#x20;letters,&#x20;Westernized&#x20;Arabic&#x20;numerals,&#x20;and&#x20;non-alphanumeric&#x20;characters.&#x20;Ensure&#x20;that&#x20;a&#x20;number&#x20;or&#x20;numeric&#x20;value&#x20;is&#x20;part&#x20;of&#x20;the&#x20;password&#x20;policy&#x20;on&#x20;the&#x20;computer.','The&#x20;more&#x20;complex&#x20;a&#x20;password,&#x20;the&#x20;more&#x20;resistant&#x20;it&#x20;will&#x20;be&#x20;against&#x20;persons&#x20;seeking&#x20;unauthorized&#x20;access&#x20;to&#x20;a&#x20;system.','Password&#x20;policy&#x20;should&#x20;be&#x20;in&#x20;effect&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;exposed&#x20;services&#x20;being&#x20;compromised&#x20;easily&#x20;through&#x20;dictionary&#x20;attacks&#x20;or&#x20;other&#x20;social&#x20;engineering&#x20;attempts.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;passwords&#x20;to&#x20;require&#x20;at&#x20;least&#x20;one&#x20;number:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;-&#x20;setaccountpolicies&#x20;&quot;requiresNumeric=&lt;value&gt;=1&gt;&quot;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;requiresNumeric=2&quot;&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.mobiledevice.passwordpolicy&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;requireAlphanumeric&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;true/&gt;&#x20;Note:&#x20;This&#x20;profile&#x20;sets&#x20;a&#x20;requirement&#x20;of&#x20;both&#x20;an&#x20;alphabetical&#x20;and&#x20;a&#x20;numeric&#x20;character.&#x20;Note:&#x20;The&#x20;profile&#x20;method&#x20;is&#x20;the&#x20;preferred&#x20;method&#x20;for&#x20;setting&#x20;password&#x20;policy&#x20;since&#x20;-&#x20;setglobalpolicy&#x20;in&#x20;pwpolicy&#x20;is&#x20;deprecated&#x20;and&#x20;will&#x20;likely&#x20;be&#x20;removed&#x20;in&#x20;a&#x20;future&#x20;macOS&#x20;release.','[{\"cis\": [\"5.2.4\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1017\", \"T1019\", \"T1028\", \"T1035\", \"T1047\", \"T1051\", \"T1053\", \"T1055\", \"T1067\", \"T1072\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1084\", \"T1086\", \"T1088\", \"T1097\", \"T1098\", \"T1100\", \"T1134\", \"T1136\", \"T1169\", \"T1175\", \"T1184\", \"T1190\", \"T1206\", \"T1208\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1495\", \"T1501\", \"T1505\", \"T1525\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(31052,'Ensure&#x20;Complex&#x20;Password&#x20;Must&#x20;Contain&#x20;Uppercase&#x20;and&#x20;Lowercase&#x20;Characters&#x20;Is&#x20;Configured.','Complex&#x20;passwords&#x20;contain&#x20;one&#x20;character&#x20;from&#x20;each&#x20;of&#x20;the&#x20;following&#x20;classes:&#x20;English&#x20;uppercase&#x20;letters,&#x20;English&#x20;lowercase&#x20;letters,&#x20;Westernized&#x20;Arabic&#x20;numerals,&#x20;and&#x20;non-alphanumeric&#x20;characters.&#x20;Ensure&#x20;that&#x20;both&#x20;uppercase&#x20;and&#x20;lowercase&#x20;letters&#x20;are&#x20;part&#x20;of&#x20;the&#x20;password&#x20;policy&#x20;on&#x20;the&#x20;computer.','The&#x20;more&#x20;complex&#x20;a&#x20;password,&#x20;the&#x20;more&#x20;resistant&#x20;it&#x20;will&#x20;be&#x20;against&#x20;persons&#x20;seeking&#x20;unauthorized&#x20;access&#x20;to&#x20;a&#x20;system.','Password&#x20;policy&#x20;should&#x20;be&#x20;in&#x20;effect&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;exposed&#x20;services&#x20;being&#x20;compromised&#x20;easily&#x20;through&#x20;dictionary&#x20;attacks&#x20;or&#x20;other&#x20;social&#x20;engineering&#x20;attempts.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;set&#x20;passwords&#x20;to&#x20;require&#x20;at&#x20;upper&#x20;and&#x20;lower&#x20;case&#x20;letter:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;requiresMixedCase=&lt;value&gt;=1&gt;&quot;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;requiresMixedCase=1&quot;.','[{\"cis\": [\"5.2.6\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"mitre_techniques\": [\"T1003\", \"T1017\", \"T1019\", \"T1028\", \"T1035\", \"T1047\", \"T1051\", \"T1053\", \"T1055\", \"T1067\", \"T1072\", \"T1075\", \"T1076\", \"T1077\", \"T1078\", \"T1084\", \"T1086\", \"T1088\", \"T1097\", \"T1098\", \"T1100\", \"T1134\", \"T1136\", \"T1169\", \"T1175\", \"T1184\", \"T1190\", \"T1206\", \"T1208\", \"T1210\", \"T1214\", \"T1215\", \"T1218\", \"T1495\", \"T1501\", \"T1505\", \"T1525\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}]'),(31053,'Ensure&#x20;Password&#x20;Age&#x20;Is&#x20;Configured.','Over&#x20;time,&#x20;passwords&#x20;can&#x20;be&#x20;captured&#x20;by&#x20;third&#x20;parties&#x20;through&#x20;mistakes,&#x20;phishing&#x20;attacks,&#x20;third-party&#x20;breaches,&#x20;or&#x20;merely&#x20;brute-force&#x20;attacks.&#x20;To&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;exposure&#x20;and&#x20;to&#x20;decrease&#x20;the&#x20;incentives&#x20;of&#x20;password&#x20;reuse&#x20;&#40;passwords&#x20;that&#x20;are&#x20;not&#x20;forced&#x20;to&#x20;be&#x20;changed&#x20;periodically&#x20;generally&#x20;are&#x20;not&#x20;ever&#x20;changed&#41;,&#x20;users&#x20;should&#x20;reset&#x20;passwords&#x20;periodically.&#x20;This&#x20;control&#x20;uses&#x20;365&#x20;days&#x20;as&#x20;the&#x20;acceptable&#x20;value.&#x20;Some&#x20;organizations&#x20;may&#x20;be&#x20;more&#x20;or&#x20;less&#x20;restrictive.&#x20;This&#x20;control&#x20;mainly&#x20;exists&#x20;to&#x20;mitigate&#x20;against&#x20;password&#x20;reuse&#x20;of&#x20;the&#x20;macOS&#x20;account&#x20;password&#x20;in&#x20;other&#x20;realms&#x20;that&#x20;may&#x20;be&#x20;more&#x20;prone&#x20;to&#x20;compromise.&#x20;Attackers&#x20;take&#x20;advantage&#x20;of&#x20;exposed&#x20;information&#x20;to&#x20;attack&#x20;other&#x20;accounts.','Passwords&#x20;should&#x20;be&#x20;changed&#x20;periodically&#x20;to&#x20;reduce&#x20;exposure.','Required&#x20;password&#x20;changes&#x20;will&#x20;lead&#x20;to&#x20;some&#x20;locked&#x20;computers&#x20;requiring&#x20;admin&#x20;assistance.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;require&#x20;that&#x20;passwords&#x20;expire&#x20;after&#x20;at&#x20;most&#x20;365&#x20;days:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;maxMinutesUntilChangePassword=&lt;value&lt;=525600&gt;&quot;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;maxMinutesUntilChangePassword=43200&quot;&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.mobiledevice.passwordpolicy&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;maxPINAgeInDays&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;integer&gt;&lt;value&gt;=365&gt;&lt;/integer&gt;&#x20;Note:&#x20;The&#x20;profile&#x20;method&#x20;is&#x20;the&#x20;preferred&#x20;method&#x20;for&#x20;setting&#x20;password&#x20;policy&#x20;since&#x20;-&#x20;setglobalpolicy&#x20;in&#x20;pwpolicy&#x20;is&#x20;deprecated&#x20;and&#x20;will&#x20;likely&#x20;be&#x20;removed&#x20;in&#x20;a&#x20;future&#x20;macOS&#x20;release.','[{\"cis\": [\"5.2.7\"]}, {\"cis_csc_v8\": [\"5.3\"]}, {\"cis_csc_v7\": [\"16.9\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.6\"]}, {\"nist_sp_800-53\": [\"AC-2(3)\"]}, {\"pci_dss_v3.2.1\": [\"8.1.4\"]}, {\"pci_dss_v4.0\": [\"8.3.7\"]}, {\"mitre_techniques\": [\"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\", \"T1134\", \"T1197\", \"T1538\", \"T1089\", \"T1157\", \"T1054\", \"T1159\", \"T1160\", \"T1152\", \"T1168\", \"T1162\", \"T1185\", \"T1050\", \"T1075\", \"T1097\", \"T1163\", \"T1021\", \"T1489\", \"T1051\", \"T1023\", \"T1165\", \"T1501\", \"T1072\", \"T1537\", \"T1047\", \"T1084\", \"T1004\"]}]'),(31054,'Ensure&#x20;Password&#x20;History&#x20;Is&#x20;Configured.','Over&#x20;time,&#x20;passwords&#x20;can&#x20;be&#x20;captured&#x20;by&#x20;third&#x20;parties&#x20;through&#x20;mistakes,&#x20;phishing&#x20;attacks,&#x20;third-party&#x20;breaches,&#x20;or&#x20;merely&#x20;brute-force&#x20;attacks.&#x20;To&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;exposure&#x20;and&#x20;to&#x20;decrease&#x20;the&#x20;incentives&#x20;of&#x20;password&#x20;reuse&#x20;&#40;passwords&#x20;that&#x20;are&#x20;not&#x20;forced&#x20;to&#x20;be&#x20;changed&#x20;periodically&#x20;generally&#x20;are&#x20;not&#x20;ever&#x20;changed&#41;,&#x20;users&#x20;must&#x20;reset&#x20;passwords&#x20;periodically.&#x20;This&#x20;control&#x20;ensures&#x20;that&#x20;previous&#x20;passwords&#x20;are&#x20;not&#x20;reused&#x20;immediately&#x20;by&#x20;keeping&#x20;a&#x20;history&#x20;of&#x20;previous&#x20;password&#x20;hashes.&#x20;Ensure&#x20;that&#x20;password&#x20;history&#x20;checks&#x20;are&#x20;part&#x20;of&#x20;the&#x20;password&#x20;policy&#x20;on&#x20;the&#x20;computer.&#x20;This&#x20;control&#x20;checks&#x20;whether&#x20;a&#x20;new&#x20;password&#x20;is&#x20;different&#x20;than&#x20;the&#x20;previous&#x20;15.&#x20;The&#x20;latest&#x20;NIST&#x20;guidance&#x20;based&#x20;on&#x20;exploit&#x20;research&#x20;referenced&#x20;in&#x20;this&#x20;section&#x20;details&#x20;how&#x20;one&#x20;of&#x20;the&#x20;greatest&#x20;risks&#x20;is&#x20;password&#x20;exposure&#x20;rather&#x20;than&#x20;password&#x20;cracking.&#x20;Passwords&#x20;should&#x20;be&#x20;changed&#x20;to&#x20;a&#x20;new&#x20;unique&#x20;value&#x20;whenever&#x20;a&#x20;password&#x20;might&#x20;have&#x20;been&#x20;exposed&#x20;to&#x20;anyone&#x20;other&#x20;than&#x20;the&#x20;account&#x20;holder.&#x20;Attackers&#x20;have&#x20;maintained&#x20;persistent&#x20;control&#x20;based&#x20;on&#x20;predictable&#x20;password&#x20;change&#x20;patterns&#x20;and&#x20;substantially&#x20;different&#x20;patterns&#x20;should&#x20;be&#x20;used&#x20;in&#x20;case&#x20;of&#x20;a&#x20;leak.','Old&#x20;passwords&#x20;should&#x20;not&#x20;be&#x20;reused.','Required&#x20;password&#x20;changes&#x20;will&#x20;lead&#x20;to&#x20;some&#x20;locked&#x20;computers&#x20;requiring&#x20;admin&#x20;assistance.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;require&#x20;that&#x20;the&#x20;password&#x20;must&#x20;to&#x20;be&#x20;different&#x20;from&#x20;at&#x20;least&#x20;the&#x20;last&#x20;15&#x20;passwords:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;usingHistory=&lt;value&gt;=15&gt;&quot;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/pwpolicy&#x20;-n&#x20;/Local/Default&#x20;-setglobalpolicy&#x20;&quot;usingHistory=15&quot;&#x20;Profile&#x20;Method:&#x20;Create&#x20;or&#x20;edit&#x20;a&#x20;configuration&#x20;profile&#x20;with&#x20;the&#x20;following&#x20;information:&#x20;1.&#x20;The&#x20;PayloadType&#x20;string&#x20;is&#x20;com.apple.mobiledevice.passwordpolicy&#x20;2.&#x20;The&#x20;key&#x20;to&#x20;include&#x20;is&#x20;pinHistory&#x20;3.&#x20;The&#x20;key&#x20;must&#x20;be&#x20;set&#x20;to&#x20;&lt;integer&gt;&lt;value&gt;=15&gt;&lt;/integer&gt;&#x20;Note:&#x20;The&#x20;profile&#x20;method&#x20;is&#x20;the&#x20;preferred&#x20;method&#x20;for&#x20;setting&#x20;password&#x20;policy&#x20;since&#x20;-&#x20;setglobalpolicy&#x20;in&#x20;pwpolicy&#x20;is&#x20;deprecated&#x20;and&#x20;will&#x20;likely&#x20;be&#x20;removed&#x20;in&#x20;a&#x20;future&#x20;macOS&#x20;release.','[{\"cis\": [\"5.2.8\"]}, {\"cis_csc_v8\": [\"5.2\"]}, {\"cis_csc_v7\": [\"4.4\"]}, {\"cmmc_v2.0\": [\"IA.L2-3.5.7\"]}, {\"iso_27001-2013\": [\"A.9.4.3\"]}, {\"pci_dss_v4.0\": [\"2.2.2\", \"8.3.5\", \"8.3.6\", \"8.6.3\"]}, {\"soc_2\": [\"CC6.1\"]}, {\"mitre_techniques\": [\"T1134\", \"T1098\", \"T1017\", \"T1067\", \"T1088\", \"T1175\", \"T1136\", \"T1003\", \"T1214\", \"T1190\", \"T1210\", \"T1495\", \"T1525\", \"T1208\", \"T1215\", \"T1075\", \"T1097\", \"T1086\", \"T1055\", \"T1076\", \"T1053\", \"T1505\", \"T1035\", \"T1051\", \"T1218\", \"T1184\", \"T1169\", \"T1206\", \"T1019\", \"T1501\", \"T1072\", \"T1078\", \"T1100\", \"T1077\", \"T1047\", \"T1084\", \"T1028\"]}]'),(31055,'Ensure&#x20;the&#x20;Sudo&#x20;Timeout&#x20;Period&#x20;Is&#x20;Set&#x20;to&#x20;Zero.','The&#x20;sudo&#x20;command&#x20;allows&#x20;the&#x20;user&#x20;to&#x20;run&#x20;programs&#x20;as&#x20;the&#x20;root&#x20;user.&#x20;Working&#x20;as&#x20;the&#x20;root&#x20;user&#x20;allows&#x20;the&#x20;user&#x20;an&#x20;extremely&#x20;high&#x20;level&#x20;of&#x20;configurability&#x20;within&#x20;the&#x20;system.&#x20;This&#x20;control,&#x20;along&#x20;with&#x20;the&#x20;control&#x20;to&#x20;use&#x20;a&#x20;separate&#x20;timestamp&#x20;for&#x20;each&#x20;tty,&#x20;limits&#x20;the&#x20;window&#x20;where&#x20;an&#x20;unauthorized&#x20;user,&#x20;process,&#x20;or&#x20;attacker&#x20;could&#x20;utilize&#x20;legitimate&#x20;credentials&#x20;that&#x20;are&#x20;valid&#x20;for&#x20;longer&#x20;than&#x20;required.','The&#x20;sudo&#x20;command&#x20;stays&#x20;logged&#x20;in&#x20;as&#x20;the&#x20;root&#x20;user&#x20;for&#x20;five&#x20;minutes&#x20;before&#x20;timing&#x20;out&#x20;and&#x20;re-requesting&#x20;a&#x20;password.&#x20;This&#x20;five-minute&#x20;window&#x20;should&#x20;be&#x20;eliminated&#x20;since&#x20;it&#x20;leaves&#x20;the&#x20;system&#x20;extremely&#x20;vulnerable.&#x20;This&#x20;is&#x20;especially&#x20;true&#x20;if&#x20;an&#x20;exploit&#x20;were&#x20;to&#x20;gain&#x20;access&#x20;to&#x20;the&#x20;system,&#x20;since&#x20;they&#x20;would&#x20;be&#x20;able&#x20;to&#x20;make&#x20;changes&#x20;as&#x20;a&#x20;root&#x20;user.','This&#x20;control&#x20;has&#x20;a&#x20;serious&#x20;impact&#x20;where&#x20;users&#x20;often&#x20;have&#x20;to&#x20;use&#x20;sudo.&#x20;It&#x20;is&#x20;even&#x20;more&#x20;of&#x20;an&#x20;impact&#x20;where&#x20;users&#x20;have&#x20;to&#x20;use&#x20;sudo&#x20;multiple&#x20;times&#x20;in&#x20;quick&#x20;succession&#x20;as&#x20;part&#x20;of&#x20;normal&#x20;work&#x20;processes.&#x20;Organizations&#x20;with&#x20;that&#x20;common&#x20;use&#x20;case&#x20;will&#x20;likely&#x20;find&#x20;this&#x20;control&#x20;too&#x20;onerous&#x20;and&#x20;are&#x20;better&#x20;to&#x20;accept&#x20;the&#x20;risk&#x20;of&#x20;not&#x20;requiring&#x20;a&#x20;0&#x20;grace&#x20;period.&#x20;In&#x20;some&#x20;ways&#x20;the&#x20;use&#x20;of&#x20;sudo&#x20;-s,&#x20;which&#x20;is&#x20;undesirable,&#x20;is&#x20;better&#x20;than&#x20;a&#x20;long&#x20;grace&#x20;period&#x20;since&#x20;that&#x20;use&#x20;does&#x20;change&#x20;the&#x20;hash&#x20;to&#x20;show&#x20;that&#x20;it&#x20;is&#x20;a&#x20;root&#x20;shell&#x20;rather&#x20;than&#x20;a&#x20;normal&#x20;shell&#x20;where&#x20;sudo&#x20;commands&#x20;will&#x20;be&#x20;implemented&#x20;without&#x20;a&#x20;password.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;edit&#x20;the&#x20;sudo&#x20;settings:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/visudo&#x20;-f&#x20;/etc/sudoers.d/&lt;configuration&#x20;file&#x20;name&gt;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/visudo&#x20;-f&#x20;/etc/sudoers.d/10_cissudoconfiguration&#x20;Note:&#x20;Unlike&#x20;other&#x20;Unix&#x20;and/or&#x20;Linux&#x20;distros,&#x20;macOS&#x20;will&#x20;ignore&#x20;configuration&#x20;files&#x20;in&#x20;the&#x20;sudoers.d&#x20;folder&#x20;that&#x20;contain&#x20;a&#x20;.&#x20;so&#x20;do&#x20;not&#x20;add&#x20;a&#x20;file&#x20;extension&#x20;to&#x20;the&#x20;configuration&#x20;file.&#x20;Add&#x20;the&#x20;line&#x20;Defaults&#x20;timestamp_timeout=0&#x20;to&#x20;the&#x20;configuration&#x20;file.&#x20;If&#x20;/etc/sudoers.d/&#x20;is&#x20;not&#x20;owned&#x20;by&#x20;root&#x20;or&#x20;in&#x20;the&#x20;wheel&#x20;group,&#x20;run&#x20;the&#x20;following&#x20;to&#x20;change&#x20;ownership&#x20;and&#x20;group:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/chown&#x20;-R&#x20;root:wheel&#x20;/etc/security/sudoers.d/.','[{\"cis\": [\"5.4\"]}, {\"cis_csc_v8\": [\"4.3\"]}, {\"cis_csc_v7\": [\"16.11\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.10\", \"AC.L2-3.1.11\"]}, {\"hipaa\": [\"164.312(a)(2)(iii)\"]}, {\"nist_sp_800-53\": [\"AC-11\", \"AC-11(1)\", \"AC-12\", \"AC-2(5)\"]}, {\"iso_27001-2013\": [\"A.8.1.3\"]}, {\"pci_dss_v3.2.1\": [\"8.1.8\"]}, {\"pci_dss_v4.0\": [\"8.2.8\"]}, {\"mitre_techniques\": [\"T1110\", \"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\"]}]'),(31056,'Ensure&#x20;a&#x20;Separate&#x20;Timestamp&#x20;Is&#x20;Enabled&#x20;for&#x20;Each&#x20;User/tty&#x20;Combo.','Using&#x20;tty&#x20;tickets&#x20;ensures&#x20;that&#x20;a&#x20;user&#x20;must&#x20;enter&#x20;the&#x20;sudo&#x20;password&#x20;in&#x20;each&#x20;Terminal&#x20;session.&#x20;With&#x20;sudo&#x20;versions&#x20;1.8&#x20;and&#x20;higher,&#x20;introduced&#x20;in&#x20;10.12,&#x20;the&#x20;default&#x20;value&#x20;is&#x20;to&#x20;have&#x20;tty&#x20;tickets&#x20;for&#x20;each&#x20;interface&#x20;so&#x20;that&#x20;root&#x20;access&#x20;is&#x20;limited&#x20;to&#x20;a&#x20;specific&#x20;terminal.&#x20;The&#x20;default&#x20;configuration&#x20;can&#x20;be&#x20;overwritten&#x20;or&#x20;not&#x20;configured&#x20;correctly&#x20;on&#x20;earlier&#x20;versions&#x20;of&#x20;macOS.','In&#x20;combination&#x20;with&#x20;removing&#x20;the&#x20;sudo&#x20;timeout&#x20;grace&#x20;period,&#x20;a&#x20;further&#x20;mitigation&#x20;should&#x20;be&#x20;in&#x20;place&#x20;to&#x20;reduce&#x20;the&#x20;possibility&#x20;of&#x20;a&#x20;background&#x20;process&#x20;using&#x20;elevated&#x20;rights&#x20;when&#x20;a&#x20;user&#x20;elevates&#x20;to&#x20;root&#x20;in&#x20;an&#x20;explicit&#x20;context&#x20;or&#x20;tty.&#x20;Additional&#x20;mitigation&#x20;should&#x20;be&#x20;in&#x20;place&#x20;to&#x20;reduce&#x20;the&#x20;risk&#x20;of&#x20;privilege&#x20;escalation&#x20;of&#x20;background&#x20;processes.','This&#x20;control&#x20;should&#x20;have&#x20;no&#x20;user&#x20;impact.&#x20;Developers&#x20;or&#x20;installers&#x20;may&#x20;have&#x20;issues&#x20;if&#x20;background&#x20;processes&#x20;are&#x20;spawned&#x20;with&#x20;different&#x20;interfaces&#x20;than&#x20;where&#x20;sudo&#x20;was&#x20;executed.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;edit&#x20;the&#x20;sudo&#x20;settings:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/visudo&#x20;-f&#x20;/etc/sudoers.d/&lt;configuration&#x20;file&#x20;name&gt;&#x20;example:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/visudo&#x20;-f&#x20;/etc/sudoers.d/10_cissudoconfiguration&#x20;Note:&#x20;Unlike&#x20;other&#x20;Unix&#x20;and/or&#x20;Linux&#x20;distros,&#x20;macOS&#x20;will&#x20;ignore&#x20;configuration&#x20;files&#x20;in&#x20;the&#x20;sudoers.d&#x20;folder&#x20;that&#x20;contain&#x20;a&#x20;.&#x20;so&#x20;do&#x20;not&#x20;add&#x20;a&#x20;file&#x20;extension&#x20;to&#x20;the&#x20;configuration&#x20;file.&#x20;Add&#x20;the&#x20;line&#x20;Defaults&#x20;timestamp_type=tty&#x20;to&#x20;the&#x20;configuration&#x20;file.&#x20;Note:&#x20;The&#x20;Defaults&#x20;timestamp_type=tty&#x20;line&#x20;can&#x20;be&#x20;added&#x20;to&#x20;an&#x20;existing&#x20;configuration&#x20;file&#x20;or&#x20;a&#x20;new&#x20;one.&#x20;That&#x20;will&#x20;depend&#x20;on&#x20;your&#x20;organization&#039;s&#x20;preference&#x20;and&#x20;works&#x20;either&#x20;way.','[{\"cis\": [\"5.5\"]}, {\"cis_csc_v8\": [\"4.3\"]}, {\"cis_csc_v7\": [\"16.11\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.10\", \"AC.L2-3.1.11\"]}, {\"hipaa\": [\"164.312(a)(2)(iii)\"]}, {\"nist_sp_800-53\": [\"AC-11\", \"AC-11(1)\", \"AC-12\", \"AC-2(5)\"]}, {\"iso_27001-2013\": [\"A.8.1.3\"]}, {\"pci_dss_v3.2.1\": [\"8.1.8\"]}, {\"pci_dss_v4.0\": [\"8.2.8\"]}, {\"mitre_techniques\": [\"T1110\", \"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\"]}]'),(31057,'Ensure&#x20;the&#x20;&quot;root&quot;&#x20;Account&#x20;Is&#x20;Disabled.','The&#x20;root&#x20;account&#x20;is&#x20;a&#x20;superuser&#x20;account&#x20;that&#x20;has&#x20;access&#x20;privileges&#x20;to&#x20;perform&#x20;any&#x20;actions&#x20;and&#x20;read/write&#x20;to&#x20;any&#x20;file&#x20;on&#x20;the&#x20;computer.&#x20;With&#x20;some&#x20;versions&#x20;of&#x20;Linux,&#x20;the&#x20;system&#x20;administrator&#x20;may&#x20;commonly&#x20;use&#x20;the&#x20;root&#x20;account&#x20;to&#x20;perform&#x20;administrative&#x20;functions.','Enabling&#x20;and&#x20;using&#x20;the&#x20;root&#x20;account&#x20;puts&#x20;the&#x20;system&#x20;at&#x20;risk&#x20;since&#x20;any&#x20;successful&#x20;exploit&#x20;or&#x20;mistake&#x20;while&#x20;the&#x20;root&#x20;account&#x20;is&#x20;in&#x20;use&#x20;could&#x20;have&#x20;unlimited&#x20;access&#x20;privileges&#x20;within&#x20;the&#x20;system.&#x20;Using&#x20;the&#x20;sudo&#x20;command&#x20;allows&#x20;users&#x20;to&#x20;perform&#x20;functions&#x20;as&#x20;a&#x20;root&#x20;user&#x20;while&#x20;limiting&#x20;and&#x20;password&#x20;protecting&#x20;the&#x20;access&#x20;privileges.&#x20;By&#x20;default&#x20;the&#x20;root&#x20;account&#x20;is&#x20;not&#x20;enabled&#x20;on&#x20;a&#x20;macOS&#x20;computer.&#x20;An&#x20;administrator&#x20;can&#x20;escalate&#x20;privileges&#x20;using&#x20;the&#x20;sudo&#x20;command&#x20;&#40;use&#x20;-s&#x20;or&#x20;-i&#x20;to&#x20;get&#x20;a&#x20;root&#x20;shell&#41;.','Some&#x20;legacy&#x20;POSIX&#x20;software&#x20;might&#x20;expect&#x20;an&#x20;available&#x20;root&#x20;account.','Graphical&#x20;Method:&#x20;Perform&#x20;the&#x20;following&#x20;steps&#x20;to&#x20;ensure&#x20;that&#x20;the&#x20;root&#x20;user&#x20;is&#x20;disabled:&#x20;1.&#x20;Open&#x20;/System/Library/CoreServices/Applications/Directory&#x20;Utility&#x20;2.&#x20;Click&#x20;the&#x20;lock&#x20;icon&#x20;to&#x20;unlock&#x20;the&#x20;service&#x20;3.&#x20;Click&#x20;Edit&#x20;in&#x20;the&#x20;menu&#x20;bar&#x20;4.&#x20;Click&#x20;Disable&#x20;Root&#x20;User&#x20;Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;the&#x20;root&#x20;user:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/dsenableroot&#x20;-d&#x20;username&#x20;=&#x20;root&#x20;user&#x20;password:.','[{\"cis\": [\"5.6\"]}, {\"cis_csc_v8\": [\"5.4\"]}, {\"cis_csc_v7\": [\"4.3\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.5\", \"AC.L2-3.1.6\", \"AC.L2-3.1.7\", \"SC.L2-3.13.3\"]}, {\"iso_27001-2013\": [\"A.9.2.3\"]}, {\"nist_sp_800-53\": [\"AC-6(2)\", \"AC-6(5)\"]}, {\"pci_dss_v3.2.1\": [\"7.1\", \"7.1.1\", \"7.1.2\", \"7.1.3\"]}, {\"soc_2\": [\"CC6.1\", \"CC6.3\"]}, {\"mitre_techniques\": [\"T1176\", \"T1501\", \"T1134\", \"T1098\", \"T1017\", \"T1067\", \"T1088\", \"T1175\", \"T1136\", \"T1003\", \"T1214\", \"T1190\", \"T1210\", \"T1495\", \"T1525\", \"T1208\", \"T1215\", \"T1075\", \"T1097\", \"T1086\", \"T1055\", \"T1076\", \"T1053\", \"T1505\", \"T1035\", \"T1051\", \"T1218\", \"T1184\", \"T1169\", \"T1206\", \"T1019\", \"T1072\", \"T1078\", \"T1100\", \"T1077\", \"T1047\", \"T1084\", \"T1028\"]}]'),(31058,'Ensure&#x20;an&#x20;Administrator&#x20;Account&#x20;Cannot&#x20;Login&#x20;to&#x20;Another&#x20;User&#039;s&#x20;Active&#x20;and&#x20;Locked&#x20;Session.','macOS&#x20;has&#x20;a&#x20;privilege&#x20;that&#x20;can&#x20;be&#x20;granted&#x20;to&#x20;any&#x20;user&#x20;that&#x20;will&#x20;allow&#x20;that&#x20;user&#x20;to&#x20;unlock&#x20;active&#x20;user&#039;s&#x20;sessions.','Disabling&#x20;the&#x20;administrator&#039;s&#x20;and/or&#x20;user&#039;s&#x20;ability&#x20;to&#x20;log&#x20;into&#x20;another&#x20;user&#039;s&#x20;active&#x20;and&#x20;locked&#x20;session&#x20;prevents&#x20;unauthorized&#x20;persons&#x20;from&#x20;viewing&#x20;potentially&#x20;sensitive&#x20;and/or&#x20;personal&#x20;information.','While&#x20;Fast&#x20;user&#x20;switching&#x20;is&#x20;a&#x20;workaround&#x20;for&#x20;some&#x20;lab&#x20;environments,&#x20;especially&#x20;where&#x20;there&#x20;is&#x20;even&#x20;less&#x20;of&#x20;an&#x20;expectation&#x20;of&#x20;privacy,&#x20;this&#x20;setting&#x20;change&#x20;may&#x20;impact&#x20;some&#x20;maintenance&#x20;workflows.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;disable&#x20;a&#x20;user&#x20;logging&#x20;into&#x20;another&#x20;user&#039;s&#x20;active&#x20;and/or&#x20;locked&#x20;session:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/bin/security&#x20;authorizationdb&#x20;write&#x20;system.login.screensaver&#x20;use-login-window-ui&#x20;YES&#x20;&#40;0&#41;.','[{\"cis\": [\"5.7\"]}, {\"cis_csc_v8\": [\"4.3\"]}, {\"cis_csc_v7\": [\"16.11\"]}, {\"cmmc_v2.0\": [\"AC.L2-3.1.10\", \"AC.L2-3.1.11\"]}, {\"hipaa\": [\"164.312(a)(2)(iii)\"]}, {\"nist_sp_800-53\": [\"AC-11\", \"AC-11(1)\", \"AC-12\", \"AC-2(5)\"]}, {\"iso_27001-2013\": [\"A.8.1.3\"]}, {\"pci_dss_v3.2.1\": [\"8.1.8\"]}, {\"pci_dss_v4.0\": [\"8.2.8\"]}, {\"mitre_techniques\": [\"T1110\", \"T1527\", \"T1176\", \"T1088\", \"T1081\", \"T1214\", \"T1530\", \"T1213\", \"T1038\", \"T1073\", \"T1482\", \"T1114\", \"T1044\", \"T1484\", \"T1525\", \"T1161\", \"T1031\", \"T1034\", \"T1145\", \"T1076\", \"T1053\", \"T1505\", \"T1528\", \"T1078\"]}]'),(31059,'Ensure&#x20;a&#x20;Login&#x20;Window&#x20;Banner&#x20;Exists.','A&#x20;Login&#x20;window&#x20;banner&#x20;warning&#x20;informs&#x20;the&#x20;user&#x20;that&#x20;the&#x20;system&#x20;is&#x20;reserved&#x20;for&#x20;authorized&#x20;use&#x20;only.&#x20;It&#x20;enforces&#x20;an&#x20;acknowledgment&#x20;by&#x20;the&#x20;user&#x20;that&#x20;they&#x20;have&#x20;been&#x20;informed&#x20;of&#x20;the&#x20;use&#x20;policy&#x20;in&#x20;the&#x20;banner&#x20;if&#x20;required.&#x20;The&#x20;system&#x20;recognizes&#x20;either&#x20;the&#x20;.txt&#x20;and&#x20;the&#x20;.rtf&#x20;formats.','An&#x20;access&#x20;warning&#x20;may&#x20;reduce&#x20;a&#x20;casual&#x20;attacker&#039;s&#x20;tendency&#x20;to&#x20;target&#x20;the&#x20;system.&#x20;Access&#x20;warnings&#x20;may&#x20;also&#x20;aid&#x20;in&#x20;the&#x20;prosecution&#x20;of&#x20;an&#x20;attacker&#x20;by&#x20;evincing&#x20;the&#x20;attacker&#039;s&#x20;knowledge&#x20;of&#x20;the&#x20;system&#039;s&#x20;private&#x20;status,&#x20;acceptable&#x20;use&#x20;policy,&#x20;and&#x20;authorization&#x20;requirements.','Users&#x20;will&#x20;have&#x20;to&#x20;click&#x20;on&#x20;the&#x20;window&#x20;with&#x20;the&#x20;Login&#x20;text&#x20;before&#x20;logging&#x20;into&#x20;the&#x20;computer.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;commands&#x20;to&#x20;create&#x20;or&#x20;edit&#x20;the&#x20;login&#x20;window&#x20;text&#x20;and&#x20;set&#x20;the&#x20;proper&#x20;permissions:&#x20;Edit&#x20;&#40;or&#x20;create&#41;&#x20;a&#x20;PolicyBanner.txt&#x20;or&#x20;PolicyBanner.rtf&#x20;file,&#x20;in&#x20;the&#x20;/Library/Security/&#x20;folder,&#x20;to&#x20;include&#x20;the&#x20;required&#x20;login&#x20;window&#x20;banner&#x20;text.&#x20;Perform&#x20;the&#x20;following&#x20;to&#x20;set&#x20;permissions&#x20;on&#x20;the&#x20;policy&#x20;banner&#x20;file:&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/chown&#x20;o+r&#x20;/Library/Security/PolicyBanner.txt&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/chown&#x20;o+r&#x20;/Library/Security/PolicyBanner.rtf&#x20;Note:&#x20;If&#x20;your&#x20;organization&#x20;uses&#x20;an&#x20;.rtfd&#x20;file&#x20;to&#x20;set&#x20;the&#x20;policy&#x20;banner,&#x20;run&#x20;$&#x20;/usr/bin/sudo&#x20;/usr/sbin/chown&#x20;-R&#x20;o+rx&#x20;/Library/Security/PolicyBanner.rtfd&#x20;to&#x20;update&#x20;the&#x20;permissions.','[{\"cis\": [\"5.8\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\"]}, {\"iso_27001-2013\": [\"A.14.2.5\", \"A.8.1.3\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"11.5\", \"2.2\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"mitre_techniques\": [\"T1110\", \"T1003\", \"T1081\", \"T1097\", \"T1178\", \"T1072\", \"T1067\", \"T1495\", \"T1019\", \"T1177\", \"T1485\", \"T1486\", \"T1491\", \"T1488\", \"T1487\", \"T1490\", \"T1146\", \"T1148\", \"T1015\", \"T1133\", \"T1200\", \"T1076\", \"T1051\", \"T1176\", \"T1501\", \"T1087\", \"T1098\", \"T1139\", \"T1197\", \"T1092\", \"T1136\", \"T1011\", \"T1147\", \"T1130\", \"T1174\", \"T1053\", \"T1166\", \"T1206\", \"T1503\", \"T1214\", \"T1187\", \"T1208\", \"T1142\", \"T1075\", \"T1201\", \"T1145\", \"T1184\", \"T1537\", \"T1078\", \"T1077\", \"T1134\", \"T1017\", \"T1088\", \"T1175\", \"T1190\", \"T1210\", \"T1525\", \"T1215\", \"T1086\", \"T1055\", \"T1505\", \"T1035\", \"T1218\", \"T1169\", \"T1100\", \"T1047\", \"T1084\", \"T1028\", \"T1156\", \"T1196\", \"T1530\", \"T1089\", \"T1073\", \"T1157\", \"T1054\", \"T1070\", \"T1037\", \"T1036\", \"T1096\", \"T1034\", \"T1150\", \"T1504\", \"T1494\", \"T1489\", \"T1198\", \"T1165\", \"T1492\", \"T1080\", \"T1209\", \"T1112\", \"T1058\", \"T1173\", \"T1137\", \"T1539\", \"T1535\", \"T1506\", \"T1138\", \"T1044\", \"T1199\"]}]'),(31060,'Ensure&#x20;the&#x20;Guest&#x20;Home&#x20;Folder&#x20;Does&#x20;Not&#x20;Exist.','In&#x20;the&#x20;previous&#x20;two&#x20;controls,&#x20;the&#x20;guest&#x20;account&#x20;login&#x20;has&#x20;been&#x20;disabled&#x20;and&#x20;sharing&#x20;to&#x20;guests&#x20;has&#x20;been&#x20;disabled,&#x20;as&#x20;well.&#x20;There&#x20;is&#x20;no&#x20;need&#x20;for&#x20;the&#x20;legacy&#x20;Guest&#x20;home&#x20;folder&#x20;to&#x20;remain&#x20;in&#x20;the&#x20;file&#x20;system.&#x20;When&#x20;normal&#x20;user&#x20;accounts&#x20;are&#x20;removed,&#x20;you&#x20;have&#x20;the&#x20;option&#x20;to&#x20;archive&#x20;it,&#x20;leave&#x20;it&#x20;in&#x20;place,&#x20;or&#x20;delete.&#x20;In&#x20;the&#x20;case&#x20;of&#x20;the&#x20;guest&#x20;folder,&#x20;the&#x20;folder&#x20;remains&#x20;in&#x20;place&#x20;without&#x20;a&#x20;GUI&#x20;option&#x20;to&#x20;remove&#x20;it.&#x20;If&#x20;at&#x20;some&#x20;point&#x20;in&#x20;the&#x20;future&#x20;a&#x20;Guest&#x20;account&#x20;is&#x20;needed,&#x20;it&#x20;will&#x20;be&#x20;re-created.&#x20;The&#x20;presence&#x20;of&#x20;the&#x20;Guest&#x20;home&#x20;folder&#x20;can&#x20;cause&#x20;automated&#x20;audits&#x20;to&#x20;fail&#x20;when&#x20;looking&#x20;for&#x20;compliant&#x20;settings&#x20;within&#x20;all&#x20;User&#x20;folders,&#x20;as&#x20;well.&#x20;Rather&#x20;than&#x20;ignoring&#x20;the&#x20;folder&#039;s&#x20;continued&#x20;existence,&#x20;it&#x20;is&#x20;best&#x20;removed.','The&#x20;Guest&#x20;home&#x20;folders&#x20;are&#x20;unneeded&#x20;after&#x20;the&#x20;Guest&#x20;account&#x20;is&#x20;disabled&#x20;and&#x20;could&#x20;be&#x20;used&#x20;inappropriately.','The&#x20;Guest&#x20;account&#x20;should&#x20;not&#x20;be&#x20;necessary&#x20;after&#x20;it&#x20;is&#x20;disabled,&#x20;and&#x20;it&#x20;will&#x20;be&#x20;automatically&#x20;re-created&#x20;if&#x20;the&#x20;Guest&#x20;account&#x20;is&#x20;re-enabled.','Terminal&#x20;Method:&#x20;Run&#x20;the&#x20;following&#x20;command&#x20;to&#x20;remove&#x20;the&#x20;Guest&#x20;user&#x20;home&#x20;folder:&#x20;$&#x20;/usr/bin/sudo&#x20;/bin/rm&#x20;-R&#x20;/Users/Guest.','[{\"cis\": [\"5.10\"]}, {\"cis_csc_v8\": [\"4.1\"]}, {\"cis_csc_v7\": [\"5.1\"]}, {\"cmmc_v2.0\": [\"AC.L1-3.1.1\", \"AC.L1-3.1.2\", \"CM.L2-3.4.1\", \"CM.L2-3.4.2\", \"CM.L2-3.4.6\", \"CM.L2-3.4.7\"]}, {\"iso_27001-2013\": [\"A.14.2.5\", \"A.8.1.3\"]}, {\"nist_sp_800-53\": [\"CM-7(1)\", \"CM-9\", \"SA-10\"]}, {\"pci_dss_v3.2.1\": [\"11.5\", \"2.2\"]}, {\"pci_dss_v4.0\": [\"1.1.1\", \"1.2.1\", \"1.2.6\", \"1.2.7\", \"1.5.1\", \"2.1.1\", \"2.2.1\"]}, {\"soc_2\": [\"CC7.1\", \"CC8.1\"]}, {\"mitre_techniques\": [\"T1110\", \"T1003\", \"T1081\", \"T1097\", \"T1178\", \"T1072\", \"T1067\", \"T1495\", \"T1019\", \"T1177\", \"T1485\", \"T1486\", \"T1491\", \"T1488\", \"T1487\", \"T1490\", \"T1146\", \"T1148\", \"T1015\", \"T1133\", \"T1200\", \"T1076\", \"T1051\", \"T1176\", \"T1501\", \"T1087\", \"T1098\", \"T1139\", \"T1197\", \"T1092\", \"T1136\", \"T1011\", \"T1147\", \"T1130\", \"T1174\", \"T1053\", \"T1166\", \"T1206\", \"T1503\", \"T1214\", \"T1187\", \"T1208\", \"T1142\", \"T1075\", \"T1201\", \"T1145\", \"T1184\", \"T1537\", \"T1078\", \"T1077\", \"T1134\", \"T1017\", \"T1088\", \"T1175\", \"T1190\", \"T1210\", \"T1525\", \"T1215\", \"T1086\", \"T1055\", \"T1505\", \"T1035\", \"T1218\", \"T1169\", \"T1100\", \"T1047\", \"T1084\", \"T1028\", \"T1156\", \"T1196\", \"T1530\", \"T1089\", \"T1073\", \"T1157\", \"T1054\", \"T1070\", \"T1037\", \"T1036\", \"T1096\", \"T1034\", \"T1150\", \"T1504\", \"T1494\", \"T1489\", \"T1198\", \"T1165\", \"T1492\", \"T1080\", \"T1209\", \"T1112\", \"T1058\", \"T1173\", \"T1137\", \"T1539\", \"T1535\", \"T1506\", \"T1138\", \"T1044\", \"T1199\"]}]');
 
+INSERT INTO `tmodule_inventory` (`id_module_inventory`, `id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) VALUES (41,1,'Security','Hardening&#x20;plugin&#x20;for&#x20;security&#x20;compliance&#x20;analysis','','ID;STATUS','',0,2);
 
-SET @tmodule_name = 'CPU';
-SET @tmodule_description = 'CPU';
-SET @id_os = 2;
-
-INSERT INTO tmodule_inventory (`id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) 
-SELECT * FROM (SELECT @id_os id_os, @tmodule_name name, @tmodule_description description, '' interpreter, 'Brand;Clock;Model' data_format, '' code, '0' block_mode, 2 script_mode) AS tmp 
-WHERE NOT EXISTS (SELECT name, description FROM tmodule_inventory WHERE name = @tmodule_name and description = @tmodule_description and id_os = @id_os);
-
-SET @tmodule_name = 'RAM';
-SET @tmodule_description = 'RAM';
-SET @id_os = 2;
-
-INSERT INTO tmodule_inventory (`id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) 
-SELECT * FROM (SELECT @id_os id_os, @tmodule_name name, @tmodule_description description, '' interpreter, 'Size' data_format, '' code, '0' block_mode, 2 script_mode) AS tmp 
-WHERE NOT EXISTS (SELECT name, description FROM tmodule_inventory WHERE name = @tmodule_name and description = @tmodule_description and id_os = @id_os);
-
-SET @tmodule_name = 'NIC';
-SET @tmodule_description = 'NIC';
-SET @id_os = 2;
-
-INSERT INTO tmodule_inventory (`id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) 
-SELECT * FROM (SELECT @id_os id_os, @tmodule_name name, @tmodule_description description, '' interpreter, 'NIC;Mac;Speed' data_format, '' code, '0' block_mode, 2 script_mode) AS tmp 
-WHERE NOT EXISTS (SELECT name, description FROM tmodule_inventory WHERE name = @tmodule_name and description = @tmodule_description and id_os = @id_os);
-
-SET @tmodule_name = 'Software';
-SET @tmodule_description = 'Software';
-SET @id_os = 2;
-
-INSERT INTO tmodule_inventory (`id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) 
-SELECT * FROM (SELECT @id_os id_os, @tmodule_name name, @tmodule_description description, '' interpreter, 'PKGINST;VERSION;NAME' data_format, '' code, '0' block_mode, 2 script_mode) AS tmp 
-WHERE NOT EXISTS (SELECT name, description FROM tmodule_inventory WHERE name = @tmodule_name and description = @tmodule_description and id_os = @id_os);
-
-SET @tmodule_name = 'Security';
-SET @tmodule_description = 'Hardening&#x20;plugin&#x20;for&#x20;security&#x20;compliance&#x20;analysis';
-SET @id_os = 1;
-
-INSERT INTO tmodule_inventory (`id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`)
-SELECT * FROM (SELECT @id_os id_os, @tmodule_name name, @tmodule_description description, '' interpreter, 'ID:STATUS' data_format, '' code, '0' block_mode, 2 script_mode) AS tmp 
-WHERE NOT EXISTS (SELECT name, description FROM tmodule_inventory WHERE name = @tmodule_name and description = @tmodule_description and id_os = @id_os);
-
-SET @tmodule_name = 'Security';
-SET @tmodule_description = 'Hardening&#x20;plugin&#x20;for&#x20;security&#x20;compliance&#x20;analysis';
-SET @id_os = 9;
-
-INSERT INTO tmodule_inventory (`id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`)
-SELECT * FROM (SELECT @id_os id_os, @tmodule_name name, @tmodule_description description, '' interpreter, 'ID:STATUS' data_format, '' code, '0' block_mode, 2 script_mode) AS tmp 
-WHERE NOT EXISTS (SELECT name, description FROM tmodule_inventory WHERE name = @tmodule_name and description = @tmodule_description and id_os = @id_os);
+INSERT INTO `tmodule_inventory` (`id_module_inventory`, `id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) VALUES (42,9,'Security','Hardening&#x20;plugin&#x20;for&#x20;security&#x20;compliance&#x20;analysis','','ID;STATUS','',0,2);
 
 UPDATE tconfig
    SET value = ''

From ac0f89b24ffd8e5a78f34abf3100bf78a6693a98 Mon Sep 17 00:00:00 2001
From: Jonathan <jonathan.leon@pandorafms.com>
Date: Wed, 18 Oct 2023 09:15:46 +0200
Subject: [PATCH 3/3] #12256 remove id and check duplicate before insert

---
 pandora_console/extras/mr/66.sql | 49 ++++++++++++++++++++++++++++++++
 1 file changed, 49 insertions(+)

diff --git a/pandora_console/extras/mr/66.sql b/pandora_console/extras/mr/66.sql
index e19339bc30..b7b2b400d7 100644
--- a/pandora_console/extras/mr/66.sql
+++ b/pandora_console/extras/mr/66.sql
@@ -219,4 +219,53 @@ ALTER TABLE `treport_content`  ADD COLUMN `status_of_check` TINYTEXT;
 
 ALTER TABLE `tservice` ADD COLUMN `enable_horizontal_tree` TINYINT NOT NULL DEFAULT 0;
 INSERT INTO tmodule_group (name) SELECT ('Security') WHERE NOT EXISTS (SELECT name FROM tmodule_group WHERE LOWER(name) = 'security');
+
+SET @tmodule_name = 'CPU';
+SET @tmodule_description = 'CPU';
+SET @id_os = 2;
+
+INSERT INTO tmodule_inventory (`id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) 
+SELECT * FROM (SELECT @id_os id_os, @tmodule_name name, @tmodule_description description, '' interpreter, 'Brand;Clock;Model' data_format, '' code, '0' block_mode, 2 script_mode) AS tmp 
+WHERE NOT EXISTS (SELECT name, description FROM tmodule_inventory WHERE name = @tmodule_name and description = @tmodule_description and id_os = @id_os);
+
+SET @tmodule_name = 'RAM';
+SET @tmodule_description = 'RAM';
+SET @id_os = 2;
+
+INSERT INTO tmodule_inventory (`id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) 
+SELECT * FROM (SELECT @id_os id_os, @tmodule_name name, @tmodule_description description, '' interpreter, 'Size' data_format, '' code, '0' block_mode, 2 script_mode) AS tmp 
+WHERE NOT EXISTS (SELECT name, description FROM tmodule_inventory WHERE name = @tmodule_name and description = @tmodule_description and id_os = @id_os);
+
+SET @tmodule_name = 'NIC';
+SET @tmodule_description = 'NIC';
+SET @id_os = 2;
+
+INSERT INTO tmodule_inventory (`id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) 
+SELECT * FROM (SELECT @id_os id_os, @tmodule_name name, @tmodule_description description, '' interpreter, 'NIC;Mac;Speed' data_format, '' code, '0' block_mode, 2 script_mode) AS tmp 
+WHERE NOT EXISTS (SELECT name, description FROM tmodule_inventory WHERE name = @tmodule_name and description = @tmodule_description and id_os = @id_os);
+
+SET @tmodule_name = 'Software';
+SET @tmodule_description = 'Software';
+SET @id_os = 2;
+
+INSERT INTO tmodule_inventory (`id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`) 
+SELECT * FROM (SELECT @id_os id_os, @tmodule_name name, @tmodule_description description, '' interpreter, 'PKGINST;VERSION;NAME' data_format, '' code, '0' block_mode, 2 script_mode) AS tmp 
+WHERE NOT EXISTS (SELECT name, description FROM tmodule_inventory WHERE name = @tmodule_name and description = @tmodule_description and id_os = @id_os);
+
+SET @tmodule_name = 'Security';
+SET @tmodule_description = 'Hardening&#x20;plugin&#x20;for&#x20;security&#x20;compliance&#x20;analysis';
+SET @id_os = 1;
+
+INSERT INTO tmodule_inventory (`id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`)
+SELECT * FROM (SELECT @id_os id_os, @tmodule_name name, @tmodule_description description, '' interpreter, 'ID:STATUS' data_format, '' code, '0' block_mode, 2 script_mode) AS tmp 
+WHERE NOT EXISTS (SELECT name, description FROM tmodule_inventory WHERE name = @tmodule_name and description = @tmodule_description and id_os = @id_os);
+
+SET @tmodule_name = 'Security';
+SET @tmodule_description = 'Hardening&#x20;plugin&#x20;for&#x20;security&#x20;compliance&#x20;analysis';
+SET @id_os = 9;
+
+INSERT INTO tmodule_inventory (`id_os`, `name`, `description`, `interpreter`, `data_format`, `code`, `block_mode`,`script_mode`)
+SELECT * FROM (SELECT @id_os id_os, @tmodule_name name, @tmodule_description description, '' interpreter, 'ID:STATUS' data_format, '' code, '0' block_mode, 2 script_mode) AS tmp 
+WHERE NOT EXISTS (SELECT name, description FROM tmodule_inventory WHERE name = @tmodule_name and description = @tmodule_description and id_os = @id_os);
+
 COMMIT;