--- /srv/reproducible-results/rbuild-debian/r-b-build.eX6vxjdz/b1/scap-security-guide_0.1.65-1_arm64.changes
+++ /srv/reproducible-results/rbuild-debian/r-b-build.eX6vxjdz/b2/scap-security-guide_0.1.65-1_arm64.changes
├── Files
│ @@ -1,6 +1,6 @@
│
│ d6416617fad0f985b9a3e54a25bd18b0 181960 admin optional ssg-applications_0.1.65-1_all.deb
│ f7bae0738ce4e633a16dbb487c1b30d5 27788 admin optional ssg-base_0.1.65-1_all.deb
│ - d25685a1025fbc489f936a51e9fe92c0 3378740 admin optional ssg-debderived_0.1.65-1_all.deb
│ - 5c779913026f82fe951154bf9861896b 828612 admin optional ssg-debian_0.1.65-1_all.deb
│ - 125905bcd3311ac3d259cd8166f14381 40215688 admin optional ssg-nondebian_0.1.65-1_all.deb
│ + dea77b39c5e186adcc8f0678e4b52c30 3380276 admin optional ssg-debderived_0.1.65-1_all.deb
│ + 70c3da9449f76a545986e2dcc5b671b2 828508 admin optional ssg-debian_0.1.65-1_all.deb
│ + 9ef0b7b63abc4f4b2bb118c4cfb99a5b 40218700 admin optional ssg-nondebian_0.1.65-1_all.deb
├── ssg-debderived_0.1.65-1_all.deb
│ ├── file list
│ │ @@ -1,3 +1,3 @@
│ │ -rw-r--r-- 0 0 0 4 2022-12-20 09:54:05.000000 debian-binary
│ │ --rw-r--r-- 0 0 0 2784 2022-12-20 09:54:05.000000 control.tar.xz
│ │ --rw-r--r-- 0 0 0 3375764 2022-12-20 09:54:05.000000 data.tar.xz
│ │ +-rw-r--r-- 0 0 0 2788 2022-12-20 09:54:05.000000 control.tar.xz
│ │ +-rw-r--r-- 0 0 0 3377296 2022-12-20 09:54:05.000000 data.tar.xz
│ ├── control.tar.xz
│ │ ├── control.tar
│ │ │ ├── ./md5sums
│ │ │ │ ├── ./md5sums
│ │ │ │ │┄ Files differ
│ ├── data.tar.xz
│ │ ├── data.tar
│ │ │ ├── ./usr/share/doc/ssg-debderived/ssg-ubuntu1804-guide-cis.html
│ │ │ │ @@ -18332,22 +18332,22 @@
│ │ │ │ 000479b0: 6e65 6564 6564 0a20 202d 2072 6573 7472 needed. - restr
│ │ │ │ 000479c0: 6963 745f 7374 7261 7465 6779 0a0a 2d20 ict_strategy..-
│ │ │ │ 000479d0: 6e61 6d65 3a20 5365 7420 6172 6368 6974 name: Set archit
│ │ │ │ 000479e0: 6563 7475 7265 2066 6f72 2061 7564 6974 ecture for audit
│ │ │ │ 000479f0: 2074 6173 6b73 0a20 2073 6574 5f66 6163 tasks. set_fac
│ │ │ │ 00047a00: 743a 0a20 2020 2061 7564 6974 5f61 7263 t:. audit_arc
│ │ │ │ 00047a10: 683a 2062 3634 0a20 2077 6865 6e3a 0a20 h: b64. when:.
│ │ │ │ -00047a20: 202d 2027 2261 7564 6974 2220 696e 2061 - '"audit" in a
│ │ │ │ -00047a30: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac
│ │ │ │ -00047a40: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib
│ │ │ │ -00047a50: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio
│ │ │ │ -00047a60: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in ["
│ │ │ │ -00047a70: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc",
│ │ │ │ -00047a80: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma
│ │ │ │ -00047a90: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"]
│ │ │ │ +00047a20: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu
│ │ │ │ +00047a30: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n
│ │ │ │ +00047a40: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker",
│ │ │ │ +00047a50: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz"
│ │ │ │ +00047a60: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con
│ │ │ │ +00047a70: 7461 696e 6572 225d 0a20 202d 2027 2261 tainer"]. - '"a
│ │ │ │ +00047a80: 7564 6974 2220 696e 2061 6e73 6962 6c65 udit" in ansible
│ │ │ │ +00047a90: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages'
│ │ │ │ 00047aa0: 0a20 202d 2061 6e73 6962 6c65 5f61 7263 . - ansible_arc
│ │ │ │ 00047ab0: 6869 7465 6374 7572 6520 3d3d 2022 6161 hitecture == "aa
│ │ │ │ 00047ac0: 7263 6836 3422 206f 7220 616e 7369 626c rch64" or ansibl
│ │ │ │ 00047ad0: 655f 6172 6368 6974 6563 7475 7265 203d e_architecture =
│ │ │ │ 00047ae0: 3d20 2270 7063 3634 2220 6f72 2061 6e73 = "ppc64" or ans
│ │ │ │ 00047af0: 6962 6c65 5f61 7263 6869 7465 6374 7572 ible_architectur
│ │ │ │ 00047b00: 650a 2020 2020 3d3d 2022 7070 6336 346c e. == "ppc64l
│ │ │ │ @@ -18644,23 +18644,23 @@
│ │ │ │ 00048d30: 6d65 5f72 756c 6573 0a20 2020 2020 2063 me_rules. c
│ │ │ │ 00048d40: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true.
│ │ │ │ 00048d50: 2020 6d6f 6465 3a20 6f2d 7277 780a 2020 mode: o-rwx.
│ │ │ │ 00048d60: 2020 2020 7374 6174 653a 2070 7265 7365 state: prese
│ │ │ │ 00048d70: 6e74 0a20 2020 2077 6865 6e3a 2073 7973 nt. when: sys
│ │ │ │ 00048d80: 6361 6c6c 735f 666f 756e 6420 7c20 6c65 calls_found | le
│ │ │ │ 00048d90: 6e67 7468 203d 3d20 300a 2020 7768 656e ngth == 0. when
│ │ │ │ -00048da0: 3a0a 2020 2d20 2722 6175 6469 7422 2069 :. - '"audit" i
│ │ │ │ -00048db0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts.
│ │ │ │ -00048dc0: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an
│ │ │ │ -00048dd0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza
│ │ │ │ -00048de0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in
│ │ │ │ -00048df0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc
│ │ │ │ -00048e00: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po
│ │ │ │ -00048e10: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe
│ │ │ │ -00048e20: 7222 5d0a 2020 7461 6773 3a0a 2020 2d20 r"]. tags:. -
│ │ │ │ +00048da0: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi
│ │ │ │ +00048db0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ
│ │ │ │ +00048dc0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke
│ │ │ │ +00048dd0: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open
│ │ │ │ +00048de0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", "
│ │ │ │ +00048df0: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. -
│ │ │ │ +00048e00: 2722 6175 6469 7422 2069 6e20 616e 7369 '"audit" in ansi
│ │ │ │ +00048e10: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag
│ │ │ │ +00048e20: 6573 270a 2020 7461 6773 3a0a 2020 2d20 es'. tags:. -
│ │ │ │ 00048e30: 434a 4953 2d35 2e34 2e31 2e31 0a20 202d CJIS-5.4.1.1. -
│ │ │ │ 00048e40: 204e 4953 542d 3830 302d 3137 312d 332e NIST-800-171-3.
│ │ │ │ 00048e50: 312e 370a 2020 2d20 4e49 5354 2d38 3030 1.7. - NIST-800
│ │ │ │ 00048e60: 2d35 332d 4143 2d36 2839 290a 2020 2d20 -53-AC-6(9). -
│ │ │ │ 00048e70: 4e49 5354 2d38 3030 2d35 332d 4155 2d31 NIST-800-53-AU-1
│ │ │ │ 00048e80: 3228 6329 0a20 202d 204e 4953 542d 3830 2(c). - NIST-80
│ │ │ │ 00048e90: 302d 3533 2d41 552d 3228 6429 0a20 202d 0-53-AU-2(d). -
│ │ │ │ @@ -18944,22 +18944,22 @@
│ │ │ │ 00049ff0: 756c 6573 0a20 2020 2020 2063 7265 6174 ules. creat
│ │ │ │ 0004a000: 653a 2074 7275 650a 2020 2020 2020 6d6f e: true. mo
│ │ │ │ 0004a010: 6465 3a20 6f2d 7277 780a 2020 2020 2020 de: o-rwx.
│ │ │ │ 0004a020: 7374 6174 653a 2070 7265 7365 6e74 0a20 state: present.
│ │ │ │ 0004a030: 2020 2077 6865 6e3a 2073 7973 6361 6c6c when: syscall
│ │ │ │ 0004a040: 735f 666f 756e 6420 7c20 6c65 6e67 7468 s_found | length
│ │ │ │ 0004a050: 203d 3d20 300a 2020 7768 656e 3a0a 2020 == 0. when:.
│ │ │ │ -0004a060: 2d20 2722 6175 6469 7422 2069 6e20 616e - '"audit" in an
│ │ │ │ -0004a070: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack
│ │ │ │ -0004a080: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl
│ │ │ │ -0004a090: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization
│ │ │ │ -0004a0a0: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d
│ │ │ │ -0004a0b0: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", "
│ │ │ │ -0004a0c0: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman
│ │ │ │ -0004a0d0: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"].
│ │ │ │ +0004a060: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua
│ │ │ │ +0004a070: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no
│ │ │ │ +0004a080: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker",
│ │ │ │ +0004a090: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz",
│ │ │ │ +0004a0a0: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont
│ │ │ │ +0004a0b0: 6169 6e65 7222 5d0a 2020 2d20 2722 6175 ainer"]. - '"au
│ │ │ │ +0004a0c0: 6469 7422 2069 6e20 616e 7369 626c 655f dit" in ansible_
│ │ │ │ +0004a0d0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'.
│ │ │ │ 0004a0e0: 2020 2d20 6175 6469 745f 6172 6368 203d - audit_arch =
│ │ │ │ 0004a0f0: 3d20 2262 3634 220a 2020 7461 6773 3a0a = "b64". tags:.
│ │ │ │ 0004a100: 2020 2d20 434a 4953 2d35 2e34 2e31 2e31 - CJIS-5.4.1.1
│ │ │ │ 0004a110: 0a20 202d 204e 4953 542d 3830 302d 3137 . - NIST-800-17
│ │ │ │ 0004a120: 312d 332e 312e 370a 2020 2d20 4e49 5354 1-3.1.7. - NIST
│ │ │ │ 0004a130: 2d38 3030 2d35 332d 4143 2d36 2839 290a -800-53-AC-6(9).
│ │ │ │ 0004a140: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53-
│ │ │ │ @@ -22393,23 +22393,23 @@
│ │ │ │ 00057780: 2063 6f6e 7461 696e 733a 205e 5c73 2a2d contains: ^\s*-
│ │ │ │ 00057790: 775c 732b 2f65 7463 2f73 7564 6f65 7273 w\s+/etc/sudoers
│ │ │ │ 000577a0: 5c73 2b2d 705c 732b 7761 285c 737c 2429 \s+-p\s+wa(\s|$)
│ │ │ │ 000577b0: 2b0a 2020 2020 7061 7474 6572 6e73 3a20 +. patterns:
│ │ │ │ 000577c0: 272a 2e72 756c 6573 270a 2020 7265 6769 '*.rules'. regi
│ │ │ │ 000577d0: 7374 6572 3a20 6669 6e64 5f65 7869 7374 ster: find_exist
│ │ │ │ 000577e0: 696e 675f 7761 7463 685f 7275 6c65 735f ing_watch_rules_
│ │ │ │ -000577f0: 640a 2020 7768 656e 3a0a 2020 2d20 2722 d. when:. - '"
│ │ │ │ -00057800: 6175 6469 7422 2069 6e20 616e 7369 626c audit" in ansibl
│ │ │ │ -00057810: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages
│ │ │ │ -00057820: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi
│ │ │ │ -00057830: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ
│ │ │ │ -00057840: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke
│ │ │ │ -00057850: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open
│ │ │ │ -00057860: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", "
│ │ │ │ -00057870: 636f 6e74 6169 6e65 7222 5d0a 2020 7461 container"]. ta
│ │ │ │ +000577f0: 640a 2020 7768 656e 3a0a 2020 2d20 616e d. when:. - an
│ │ │ │ +00057800: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza
│ │ │ │ +00057810: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in
│ │ │ │ +00057820: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc
│ │ │ │ +00057830: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po
│ │ │ │ +00057840: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe
│ │ │ │ +00057850: 7222 5d0a 2020 2d20 2722 6175 6469 7422 r"]. - '"audit"
│ │ │ │ +00057860: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact
│ │ │ │ +00057870: 732e 7061 636b 6167 6573 270a 2020 7461 s.packages'. ta
│ │ │ │ 00057880: 6773 3a0a 2020 2d20 434a 4953 2d35 2e34 gs:. - CJIS-5.4
│ │ │ │ 00057890: 2e31 2e31 0a20 202d 204e 4953 542d 3830 .1.1. - NIST-80
│ │ │ │ 000578a0: 302d 3137 312d 332e 312e 370a 2020 2d20 0-171-3.1.7. -
│ │ │ │ 000578b0: 4e49 5354 2d38 3030 2d35 332d 4143 2d32 NIST-800-53-AC-2
│ │ │ │ 000578c0: 2837 2928 6229 0a20 202d 204e 4953 542d (7)(b). - NIST-
│ │ │ │ 000578d0: 3830 302d 3533 2d41 432d 3628 3929 0a20 800-53-AC-6(9).
│ │ │ │ 000578e0: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A
│ │ │ │ @@ -22437,23 +22437,23 @@
│ │ │ │ 00057a40: 6574 632f 6175 6469 742f 7275 6c65 732e etc/audit/rules.
│ │ │ │ 00057a50: 640a 2020 2020 636f 6e74 6169 6e73 3a20 d. contains:
│ │ │ │ 00057a60: 5e2e 2a28 3f3a 2d46 206b 6579 3d7c 2d6b ^.*(?:-F key=|-k
│ │ │ │ 00057a70: 5c73 2b29 6163 7469 6f6e 7324 0a20 2020 \s+)actions$.
│ │ │ │ 00057a80: 2070 6174 7465 726e 733a 2027 2a2e 7275 patterns: '*.ru
│ │ │ │ 00057a90: 6c65 7327 0a20 2072 6567 6973 7465 723a les'. register:
│ │ │ │ 00057aa0: 2066 696e 645f 7761 7463 685f 6b65 790a find_watch_key.
│ │ │ │ -00057ab0: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au
│ │ │ │ -00057ac0: 6469 7422 2069 6e20 616e 7369 626c 655f dit" in ansible_
│ │ │ │ -00057ad0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'.
│ │ │ │ -00057ae0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt
│ │ │ │ -00057af0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type
│ │ │ │ -00057b00: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker"
│ │ │ │ -00057b10: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz
│ │ │ │ -00057b20: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co
│ │ │ │ -00057b30: 6e74 6169 6e65 7222 5d0a 2020 2d20 6669 ntainer"]. - fi
│ │ │ │ +00057ab0: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi
│ │ │ │ +00057ac0: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati
│ │ │ │ +00057ad0: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [
│ │ │ │ +00057ae0: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc",
│ │ │ │ +00057af0: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm
│ │ │ │ +00057b00: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container"
│ │ │ │ +00057b10: 5d0a 2020 2d20 2722 6175 6469 7422 2069 ]. - '"audit" i
│ │ │ │ +00057b20: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts.
│ │ │ │ +00057b30: 7061 636b 6167 6573 270a 2020 2d20 6669 packages'. - fi
│ │ │ │ 00057b40: 6e64 5f65 7869 7374 696e 675f 7761 7463 nd_existing_watc
│ │ │ │ 00057b50: 685f 7275 6c65 735f 642e 6d61 7463 6865 h_rules_d.matche
│ │ │ │ 00057b60: 6420 6973 2064 6566 696e 6564 2061 6e64 d is defined and
│ │ │ │ 00057b70: 2066 696e 645f 6578 6973 7469 6e67 5f77 find_existing_w
│ │ │ │ 00057b80: 6174 6368 5f72 756c 6573 5f64 2e6d 6174 atch_rules_d.mat
│ │ │ │ 00057b90: 6368 6564 0a20 2020 203d 3d20 300a 2020 ched. == 0.
│ │ │ │ 00057ba0: 7461 6773 3a0a 2020 2d20 434a 4953 2d35 tags:. - CJIS-5
│ │ │ │ @@ -22483,23 +22483,23 @@
│ │ │ │ 00057d20: 6163 7469 6f6e 732e 7275 6c65 7320 6173 actions.rules as
│ │ │ │ 00057d30: 2074 6865 2072 6563 6970 6965 6e74 2066 the recipient f
│ │ │ │ 00057d40: 6f72 2074 6865 2072 756c 650a 2020 7365 or the rule. se
│ │ │ │ 00057d50: 745f 6661 6374 3a0a 2020 2020 616c 6c5f t_fact:. all_
│ │ │ │ 00057d60: 6669 6c65 733a 0a20 2020 202d 202f 6574 files:. - /et
│ │ │ │ 00057d70: 632f 6175 6469 742f 7275 6c65 732e 642f c/audit/rules.d/
│ │ │ │ 00057d80: 6163 7469 6f6e 732e 7275 6c65 730a 2020 actions.rules.
│ │ │ │ -00057d90: 7768 656e 3a0a 2020 2d20 2722 6175 6469 when:. - '"audi
│ │ │ │ -00057da0: 7422 2069 6e20 616e 7369 626c 655f 6661 t" in ansible_fa
│ │ │ │ -00057db0: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'.
│ │ │ │ -00057dc0: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua
│ │ │ │ -00057dd0: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no
│ │ │ │ -00057de0: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker",
│ │ │ │ -00057df0: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz",
│ │ │ │ -00057e00: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont
│ │ │ │ -00057e10: 6169 6e65 7222 5d0a 2020 2d20 6669 6e64 ainer"]. - find
│ │ │ │ +00057d90: 7768 656e 3a0a 2020 2d20 616e 7369 626c when:. - ansibl
│ │ │ │ +00057da0: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization
│ │ │ │ +00057db0: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d
│ │ │ │ +00057dc0: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", "
│ │ │ │ +00057dd0: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman
│ │ │ │ +00057de0: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"].
│ │ │ │ +00057df0: 2020 2d20 2722 6175 6469 7422 2069 6e20 - '"audit" in
│ │ │ │ +00057e00: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa
│ │ │ │ +00057e10: 636b 6167 6573 270a 2020 2d20 6669 6e64 ckages'. - find
│ │ │ │ 00057e20: 5f77 6174 6368 5f6b 6579 2e6d 6174 6368 _watch_key.match
│ │ │ │ 00057e30: 6564 2069 7320 6465 6669 6e65 6420 616e ed is defined an
│ │ │ │ 00057e40: 6420 6669 6e64 5f77 6174 6368 5f6b 6579 d find_watch_key
│ │ │ │ 00057e50: 2e6d 6174 6368 6564 203d 3d20 3020 616e .matched == 0 an
│ │ │ │ 00057e60: 6420 6669 6e64 5f65 7869 7374 696e 675f d find_existing_
│ │ │ │ 00057e70: 7761 7463 685f 7275 6c65 735f 642e 6d61 watch_rules_d.ma
│ │ │ │ 00057e80: 7463 6865 640a 2020 2020 6973 2064 6566 tched. is def
│ │ │ │ @@ -22534,23 +22534,23 @@
│ │ │ │ 00058050: 6f72 2074 6865 2072 756c 650a 2020 7365 or the rule. se
│ │ │ │ 00058060: 745f 6661 6374 3a0a 2020 2020 616c 6c5f t_fact:. all_
│ │ │ │ 00058070: 6669 6c65 733a 0a20 2020 202d 2027 7b7b files:. - '{{
│ │ │ │ 00058080: 2066 696e 645f 7761 7463 685f 6b65 792e find_watch_key.
│ │ │ │ 00058090: 6669 6c65 7320 7c20 6d61 7028 6174 7472 files | map(attr
│ │ │ │ 000580a0: 6962 7574 653d 2727 7061 7468 2727 2920 ibute=''path'')
│ │ │ │ 000580b0: 7c20 6c69 7374 207c 2066 6972 7374 207d | list | first }
│ │ │ │ -000580c0: 7d27 0a20 2077 6865 6e3a 0a20 202d 2027 }'. when:. - '
│ │ │ │ -000580d0: 2261 7564 6974 2220 696e 2061 6e73 6962 "audit" in ansib
│ │ │ │ -000580e0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package
│ │ │ │ -000580f0: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v
│ │ │ │ -00058100: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty
│ │ │ │ -00058110: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock
│ │ │ │ -00058120: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope
│ │ │ │ -00058130: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman",
│ │ │ │ -00058140: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. -
│ │ │ │ +000580c0: 7d27 0a20 2077 6865 6e3a 0a20 202d 2061 }'. when:. - a
│ │ │ │ +000580d0: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz
│ │ │ │ +000580e0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i
│ │ │ │ +000580f0: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx
│ │ │ │ +00058100: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p
│ │ │ │ +00058110: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain
│ │ │ │ +00058120: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit
│ │ │ │ +00058130: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac
│ │ │ │ +00058140: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. -
│ │ │ │ 00058150: 2066 696e 645f 7761 7463 685f 6b65 792e find_watch_key.
│ │ │ │ 00058160: 6d61 7463 6865 6420 6973 2064 6566 696e matched is defin
│ │ │ │ 00058170: 6564 2061 6e64 2066 696e 645f 7761 7463 ed and find_watc
│ │ │ │ 00058180: 685f 6b65 792e 6d61 7463 6865 6420 2667 h_key.matched &g
│ │ │ │ 00058190: 743b 2030 2061 6e64 2066 696e 645f 6578 t; 0 and find_ex
│ │ │ │ 000581a0: 6973 7469 6e67 5f77 6174 6368 5f72 756c isting_watch_rul
│ │ │ │ 000581b0: 6573 5f64 2e6d 6174 6368 6564 0a20 2020 es_d.matched.
│ │ │ │ @@ -22588,22 +22588,22 @@
│ │ │ │ 000583b0: 683a 2027 7b7b 2061 6c6c 5f66 696c 6573 h: '{{ all_files
│ │ │ │ 000583c0: 5b30 5d20 7d7d 270a 2020 2020 6c69 6e65 [0] }}'. line
│ │ │ │ 000583d0: 3a20 2d77 202f 6574 632f 7375 646f 6572 : -w /etc/sudoer
│ │ │ │ 000583e0: 7320 2d70 2077 6120 2d6b 2061 6374 696f s -p wa -k actio
│ │ │ │ 000583f0: 6e73 0a20 2020 2063 7265 6174 653a 2074 ns. create: t
│ │ │ │ 00058400: 7275 650a 2020 2020 6d6f 6465 3a20 2730 rue. mode: '0
│ │ │ │ 00058410: 3634 3027 0a20 2077 6865 6e3a 0a20 202d 640'. when:. -
│ │ │ │ -00058420: 2027 2261 7564 6974 2220 696e 2061 6e73 '"audit" in ans
│ │ │ │ -00058430: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa
│ │ │ │ -00058440: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible
│ │ │ │ -00058450: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_
│ │ │ │ -00058460: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do
│ │ │ │ -00058470: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o
│ │ │ │ -00058480: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman"
│ │ │ │ -00058490: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"].
│ │ │ │ +00058420: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual
│ │ │ │ +00058430: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not
│ │ │ │ +00058440: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", "
│ │ │ │ +00058450: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz",
│ │ │ │ +00058460: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta
│ │ │ │ +00058470: 696e 6572 225d 0a20 202d 2027 2261 7564 iner"]. - '"aud
│ │ │ │ +00058480: 6974 2220 696e 2061 6e73 6962 6c65 5f66 it" in ansible_f
│ │ │ │ +00058490: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'.
│ │ │ │ 000584a0: 202d 2066 696e 645f 6578 6973 7469 6e67 - find_existing
│ │ │ │ 000584b0: 5f77 6174 6368 5f72 756c 6573 5f64 2e6d _watch_rules_d.m
│ │ │ │ 000584c0: 6174 6368 6564 2069 7320 6465 6669 6e65 atched is define
│ │ │ │ 000584d0: 6420 616e 6420 6669 6e64 5f65 7869 7374 d and find_exist
│ │ │ │ 000584e0: 696e 675f 7761 7463 685f 7275 6c65 735f ing_watch_rules_
│ │ │ │ 000584f0: 642e 6d61 7463 6865 640a 2020 2020 3d3d d.matched. ==
│ │ │ │ 00058500: 2030 0a20 2074 6167 733a 0a20 202d 2043 0. tags:. - C
│ │ │ │ @@ -22640,22 +22640,22 @@
│ │ │ │ 000586f0: 732b 2f65 7463 2f73 7564 6f65 7273 5c73 s+/etc/sudoers\s
│ │ │ │ 00058700: 2b2d 705c 732b 7761 285c 737c 2429 2b0a +-p\s+wa(\s|$)+.
│ │ │ │ 00058710: 2020 2020 7061 7474 6572 6e73 3a20 6175 patterns: au
│ │ │ │ 00058720: 6469 742e 7275 6c65 730a 2020 7265 6769 dit.rules. regi
│ │ │ │ 00058730: 7374 6572 3a20 6669 6e64 5f65 7869 7374 ster: find_exist
│ │ │ │ 00058740: 696e 675f 7761 7463 685f 6175 6469 745f ing_watch_audit_
│ │ │ │ 00058750: 7275 6c65 730a 2020 7768 656e 3a0a 2020 rules. when:.
│ │ │ │ -00058760: 2d20 2722 6175 6469 7422 2069 6e20 616e - '"audit" in an
│ │ │ │ -00058770: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack
│ │ │ │ -00058780: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl
│ │ │ │ -00058790: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization
│ │ │ │ -000587a0: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d
│ │ │ │ -000587b0: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", "
│ │ │ │ -000587c0: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman
│ │ │ │ -000587d0: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"].
│ │ │ │ +00058760: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua
│ │ │ │ +00058770: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no
│ │ │ │ +00058780: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker",
│ │ │ │ +00058790: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz",
│ │ │ │ +000587a0: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont
│ │ │ │ +000587b0: 6169 6e65 7222 5d0a 2020 2d20 2722 6175 ainer"]. - '"au
│ │ │ │ +000587c0: 6469 7422 2069 6e20 616e 7369 626c 655f dit" in ansible_
│ │ │ │ +000587d0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'.
│ │ │ │ 000587e0: 2020 7461 6773 3a0a 2020 2d20 434a 4953 tags:. - CJIS
│ │ │ │ 000587f0: 2d35 2e34 2e31 2e31 0a20 202d 204e 4953 -5.4.1.1. - NIS
│ │ │ │ 00058800: 542d 3830 302d 3137 312d 332e 312e 370a T-800-171-3.1.7.
│ │ │ │ 00058810: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53-
│ │ │ │ 00058820: 4143 2d32 2837 2928 6229 0a20 202d 204e AC-2(7)(b). - N
│ │ │ │ 00058830: 4953 542d 3830 302d 3533 2d41 432d 3628 IST-800-53-AC-6(
│ │ │ │ 00058840: 3929 0a20 202d 204e 4953 542d 3830 302d 9). - NIST-800-
│ │ │ │ @@ -22684,22 +22684,22 @@
│ │ │ │ 000589b0: 7761 202d 6b20 6163 7469 6f6e 730a 2020 wa -k actions.
│ │ │ │ 000589c0: 2020 7374 6174 653a 2070 7265 7365 6e74 state: present
│ │ │ │ 000589d0: 0a20 2020 2064 6573 743a 202f 6574 632f . dest: /etc/
│ │ │ │ 000589e0: 6175 6469 742f 6175 6469 742e 7275 6c65 audit/audit.rule
│ │ │ │ 000589f0: 730a 2020 2020 6372 6561 7465 3a20 7472 s. create: tr
│ │ │ │ 00058a00: 7565 0a20 2020 206d 6f64 653a 2027 3036 ue. mode: '06
│ │ │ │ 00058a10: 3430 270a 2020 7768 656e 3a0a 2020 2d20 40'. when:. -
│ │ │ │ -00058a20: 2722 6175 6469 7422 2069 6e20 616e 7369 '"audit" in ansi
│ │ │ │ -00058a30: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag
│ │ │ │ -00058a40: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_
│ │ │ │ -00058a50: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t
│ │ │ │ -00058a60: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc
│ │ │ │ -00058a70: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op
│ │ │ │ -00058a80: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman",
│ │ │ │ -00058a90: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"].
│ │ │ │ +00058a20: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali
│ │ │ │ +00058a30: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not
│ │ │ │ +00058a40: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l
│ │ │ │ +00058a50: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", "
│ │ │ │ +00058a60: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai
│ │ │ │ +00058a70: 6e65 7222 5d0a 2020 2d20 2722 6175 6469 ner"]. - '"audi
│ │ │ │ +00058a80: 7422 2069 6e20 616e 7369 626c 655f 6661 t" in ansible_fa
│ │ │ │ +00058a90: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'.
│ │ │ │ 00058aa0: 2d20 6669 6e64 5f65 7869 7374 696e 675f - find_existing_
│ │ │ │ 00058ab0: 7761 7463 685f 6175 6469 745f 7275 6c65 watch_audit_rule
│ │ │ │ 00058ac0: 732e 6d61 7463 6865 6420 6973 2064 6566 s.matched is def
│ │ │ │ 00058ad0: 696e 6564 2061 6e64 2066 696e 645f 6578 ined and find_ex
│ │ │ │ 00058ae0: 6973 7469 6e67 5f77 6174 6368 5f61 7564 isting_watch_aud
│ │ │ │ 00058af0: 6974 5f72 756c 6573 2e6d 6174 6368 6564 it_rules.matched
│ │ │ │ 00058b00: 0a20 2020 203d 3d20 300a 2020 7461 6773 . == 0. tags
│ │ │ │ @@ -22736,23 +22736,23 @@
│ │ │ │ 00058cf0: 7461 696e 733a 205e 5c73 2a2d 775c 732b tains: ^\s*-w\s+
│ │ │ │ 00058d00: 2f65 7463 2f73 7564 6f65 7273 2e64 2f5c /etc/sudoers.d/\
│ │ │ │ 00058d10: 732b 2d70 5c73 2b77 6128 5c73 7c24 292b s+-p\s+wa(\s|$)+
│ │ │ │ 00058d20: 0a20 2020 2070 6174 7465 726e 733a 2027 . patterns: '
│ │ │ │ 00058d30: 2a2e 7275 6c65 7327 0a20 2072 6567 6973 *.rules'. regis
│ │ │ │ 00058d40: 7465 723a 2066 696e 645f 6578 6973 7469 ter: find_existi
│ │ │ │ 00058d50: 6e67 5f77 6174 6368 5f72 756c 6573 5f64 ng_watch_rules_d
│ │ │ │ -00058d60: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a
│ │ │ │ -00058d70: 7564 6974 2220 696e 2061 6e73 6962 6c65 udit" in ansible
│ │ │ │ -00058d80: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages'
│ │ │ │ -00058d90: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir
│ │ │ │ -00058da0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type
│ │ │ │ -00058db0: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker
│ │ │ │ -00058dc0: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv
│ │ │ │ -00058dd0: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c
│ │ │ │ -00058de0: 6f6e 7461 696e 6572 225d 0a20 2074 6167 ontainer"]. tag
│ │ │ │ +00058d60: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans
│ │ │ │ +00058d70: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat
│ │ │ │ +00058d80: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in
│ │ │ │ +00058d90: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc"
│ │ │ │ +00058da0: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod
│ │ │ │ +00058db0: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container
│ │ │ │ +00058dc0: 225d 0a20 202d 2027 2261 7564 6974 2220 "]. - '"audit"
│ │ │ │ +00058dd0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts
│ │ │ │ +00058de0: 2e70 6163 6b61 6765 7327 0a20 2074 6167 .packages'. tag
│ │ │ │ 00058df0: 733a 0a20 202d 2043 4a49 532d 352e 342e s:. - CJIS-5.4.
│ │ │ │ 00058e00: 312e 310a 2020 2d20 4e49 5354 2d38 3030 1.1. - NIST-800
│ │ │ │ 00058e10: 2d31 3731 2d33 2e31 2e37 0a20 202d 204e -171-3.1.7. - N
│ │ │ │ 00058e20: 4953 542d 3830 302d 3533 2d41 432d 3228 IST-800-53-AC-2(
│ │ │ │ 00058e30: 3729 2862 290a 2020 2d20 4e49 5354 2d38 7)(b). - NIST-8
│ │ │ │ 00058e40: 3030 2d35 332d 4143 2d36 2839 290a 2020 00-53-AC-6(9).
│ │ │ │ 00058e50: 2d20 4e49 5354 2d38 3030 2d35 332d 4155 - NIST-800-53-AU
│ │ │ │ @@ -22780,23 +22780,23 @@
│ │ │ │ 00058fb0: 7463 2f61 7564 6974 2f72 756c 6573 2e64 tc/audit/rules.d
│ │ │ │ 00058fc0: 0a20 2020 2063 6f6e 7461 696e 733a 205e . contains: ^
│ │ │ │ 00058fd0: 2e2a 283f 3a2d 4620 6b65 793d 7c2d 6b5c .*(?:-F key=|-k\
│ │ │ │ 00058fe0: 732b 2961 6374 696f 6e73 240a 2020 2020 s+)actions$.
│ │ │ │ 00058ff0: 7061 7474 6572 6e73 3a20 272a 2e72 756c patterns: '*.rul
│ │ │ │ 00059000: 6573 270a 2020 7265 6769 7374 6572 3a20 es'. register:
│ │ │ │ 00059010: 6669 6e64 5f77 6174 6368 5f6b 6579 0a20 find_watch_key.
│ │ │ │ -00059020: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud
│ │ │ │ -00059030: 6974 2220 696e 2061 6e73 6962 6c65 5f66 it" in ansible_f
│ │ │ │ -00059040: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'.
│ │ │ │ -00059050: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu
│ │ │ │ -00059060: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n
│ │ │ │ -00059070: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker",
│ │ │ │ -00059080: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz"
│ │ │ │ -00059090: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con
│ │ │ │ -000590a0: 7461 696e 6572 225d 0a20 202d 2066 696e tainer"]. - fin
│ │ │ │ +00059020: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib
│ │ │ │ +00059030: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio
│ │ │ │ +00059040: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in ["
│ │ │ │ +00059050: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc",
│ │ │ │ +00059060: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma
│ │ │ │ +00059070: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"]
│ │ │ │ +00059080: 0a20 202d 2027 2261 7564 6974 2220 696e . - '"audit" in
│ │ │ │ +00059090: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p
│ │ │ │ +000590a0: 6163 6b61 6765 7327 0a20 202d 2066 696e ackages'. - fin
│ │ │ │ 000590b0: 645f 6578 6973 7469 6e67 5f77 6174 6368 d_existing_watch
│ │ │ │ 000590c0: 5f72 756c 6573 5f64 2e6d 6174 6368 6564 _rules_d.matched
│ │ │ │ 000590d0: 2069 7320 6465 6669 6e65 6420 616e 6420 is defined and
│ │ │ │ 000590e0: 6669 6e64 5f65 7869 7374 696e 675f 7761 find_existing_wa
│ │ │ │ 000590f0: 7463 685f 7275 6c65 735f 642e 6d61 7463 tch_rules_d.matc
│ │ │ │ 00059100: 6865 640a 2020 2020 3d3d 2030 0a20 2074 hed. == 0. t
│ │ │ │ 00059110: 6167 733a 0a20 202d 2043 4a49 532d 352e ags:. - CJIS-5.
│ │ │ │ @@ -22826,23 +22826,23 @@
│ │ │ │ 00059290: 6374 696f 6e73 2e72 756c 6573 2061 7320 ctions.rules as
│ │ │ │ 000592a0: 7468 6520 7265 6369 7069 656e 7420 666f the recipient fo
│ │ │ │ 000592b0: 7220 7468 6520 7275 6c65 0a20 2073 6574 r the rule. set
│ │ │ │ 000592c0: 5f66 6163 743a 0a20 2020 2061 6c6c 5f66 _fact:. all_f
│ │ │ │ 000592d0: 696c 6573 3a0a 2020 2020 2d20 2f65 7463 iles:. - /etc
│ │ │ │ 000592e0: 2f61 7564 6974 2f72 756c 6573 2e64 2f61 /audit/rules.d/a
│ │ │ │ 000592f0: 6374 696f 6e73 2e72 756c 6573 0a20 2077 ctions.rules. w
│ │ │ │ -00059300: 6865 6e3a 0a20 202d 2027 2261 7564 6974 hen:. - '"audit
│ │ │ │ -00059310: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac
│ │ │ │ -00059320: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. -
│ │ │ │ -00059330: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual
│ │ │ │ -00059340: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not
│ │ │ │ -00059350: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", "
│ │ │ │ -00059360: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz",
│ │ │ │ -00059370: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta
│ │ │ │ -00059380: 696e 6572 225d 0a20 202d 2066 696e 645f iner"]. - find_
│ │ │ │ +00059300: 6865 6e3a 0a20 202d 2061 6e73 6962 6c65 hen:. - ansible
│ │ │ │ +00059310: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_
│ │ │ │ +00059320: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do
│ │ │ │ +00059330: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o
│ │ │ │ +00059340: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman"
│ │ │ │ +00059350: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"].
│ │ │ │ +00059360: 202d 2027 2261 7564 6974 2220 696e 2061 - '"audit" in a
│ │ │ │ +00059370: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac
│ │ │ │ +00059380: 6b61 6765 7327 0a20 202d 2066 696e 645f kages'. - find_
│ │ │ │ 00059390: 7761 7463 685f 6b65 792e 6d61 7463 6865 watch_key.matche
│ │ │ │ 000593a0: 6420 6973 2064 6566 696e 6564 2061 6e64 d is defined and
│ │ │ │ 000593b0: 2066 696e 645f 7761 7463 685f 6b65 792e find_watch_key.
│ │ │ │ 000593c0: 6d61 7463 6865 6420 3d3d 2030 2061 6e64 matched == 0 and
│ │ │ │ 000593d0: 2066 696e 645f 6578 6973 7469 6e67 5f77 find_existing_w
│ │ │ │ 000593e0: 6174 6368 5f72 756c 6573 5f64 2e6d 6174 atch_rules_d.mat
│ │ │ │ 000593f0: 6368 6564 0a20 2020 2069 7320 6465 6669 ched. is defi
│ │ │ │ @@ -22877,23 +22877,23 @@
│ │ │ │ 000595c0: 7220 7468 6520 7275 6c65 0a20 2073 6574 r the rule. set
│ │ │ │ 000595d0: 5f66 6163 743a 0a20 2020 2061 6c6c 5f66 _fact:. all_f
│ │ │ │ 000595e0: 696c 6573 3a0a 2020 2020 2d20 277b 7b20 iles:. - '{{
│ │ │ │ 000595f0: 6669 6e64 5f77 6174 6368 5f6b 6579 2e66 find_watch_key.f
│ │ │ │ 00059600: 696c 6573 207c 206d 6170 2861 7474 7269 iles | map(attri
│ │ │ │ 00059610: 6275 7465 3d27 2770 6174 6827 2729 207c bute=''path'') |
│ │ │ │ 00059620: 206c 6973 7420 7c20 6669 7273 7420 7d7d list | first }}
│ │ │ │ -00059630: 270a 2020 7768 656e 3a0a 2020 2d20 2722 '. when:. - '"
│ │ │ │ -00059640: 6175 6469 7422 2069 6e20 616e 7369 626c audit" in ansibl
│ │ │ │ -00059650: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages
│ │ │ │ -00059660: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi
│ │ │ │ -00059670: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ
│ │ │ │ -00059680: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke
│ │ │ │ -00059690: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open
│ │ │ │ -000596a0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", "
│ │ │ │ -000596b0: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. -
│ │ │ │ +00059630: 270a 2020 7768 656e 3a0a 2020 2d20 616e '. when:. - an
│ │ │ │ +00059640: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza
│ │ │ │ +00059650: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in
│ │ │ │ +00059660: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc
│ │ │ │ +00059670: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po
│ │ │ │ +00059680: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe
│ │ │ │ +00059690: 7222 5d0a 2020 2d20 2722 6175 6469 7422 r"]. - '"audit"
│ │ │ │ +000596a0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact
│ │ │ │ +000596b0: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. -
│ │ │ │ 000596c0: 6669 6e64 5f77 6174 6368 5f6b 6579 2e6d find_watch_key.m
│ │ │ │ 000596d0: 6174 6368 6564 2069 7320 6465 6669 6e65 atched is define
│ │ │ │ 000596e0: 6420 616e 6420 6669 6e64 5f77 6174 6368 d and find_watch
│ │ │ │ 000596f0: 5f6b 6579 2e6d 6174 6368 6564 2026 6774 _key.matched >
│ │ │ │ 00059700: 3b20 3020 616e 6420 6669 6e64 5f65 7869 ; 0 and find_exi
│ │ │ │ 00059710: 7374 696e 675f 7761 7463 685f 7275 6c65 sting_watch_rule
│ │ │ │ 00059720: 735f 642e 6d61 7463 6865 640a 2020 2020 s_d.matched.
│ │ │ │ @@ -22931,23 +22931,23 @@
│ │ │ │ 00059920: 6174 683a 2027 7b7b 2061 6c6c 5f66 696c ath: '{{ all_fil
│ │ │ │ 00059930: 6573 5b30 5d20 7d7d 270a 2020 2020 6c69 es[0] }}'. li
│ │ │ │ 00059940: 6e65 3a20 2d77 202f 6574 632f 7375 646f ne: -w /etc/sudo
│ │ │ │ 00059950: 6572 732e 642f 202d 7020 7761 202d 6b20 ers.d/ -p wa -k
│ │ │ │ 00059960: 6163 7469 6f6e 730a 2020 2020 6372 6561 actions. crea
│ │ │ │ 00059970: 7465 3a20 7472 7565 0a20 2020 206d 6f64 te: true. mod
│ │ │ │ 00059980: 653a 2027 3036 3430 270a 2020 7768 656e e: '0640'. when
│ │ │ │ -00059990: 3a0a 2020 2d20 2722 6175 6469 7422 2069 :. - '"audit" i
│ │ │ │ -000599a0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts.
│ │ │ │ -000599b0: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an
│ │ │ │ -000599c0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza
│ │ │ │ -000599d0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in
│ │ │ │ -000599e0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc
│ │ │ │ -000599f0: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po
│ │ │ │ -00059a00: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe
│ │ │ │ -00059a10: 7222 5d0a 2020 2d20 6669 6e64 5f65 7869 r"]. - find_exi
│ │ │ │ +00059990: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi
│ │ │ │ +000599a0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ
│ │ │ │ +000599b0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke
│ │ │ │ +000599c0: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open
│ │ │ │ +000599d0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", "
│ │ │ │ +000599e0: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. -
│ │ │ │ +000599f0: 2722 6175 6469 7422 2069 6e20 616e 7369 '"audit" in ansi
│ │ │ │ +00059a00: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag
│ │ │ │ +00059a10: 6573 270a 2020 2d20 6669 6e64 5f65 7869 es'. - find_exi
│ │ │ │ 00059a20: 7374 696e 675f 7761 7463 685f 7275 6c65 sting_watch_rule
│ │ │ │ 00059a30: 735f 642e 6d61 7463 6865 6420 6973 2064 s_d.matched is d
│ │ │ │ 00059a40: 6566 696e 6564 2061 6e64 2066 696e 645f efined and find_
│ │ │ │ 00059a50: 6578 6973 7469 6e67 5f77 6174 6368 5f72 existing_watch_r
│ │ │ │ 00059a60: 756c 6573 5f64 2e6d 6174 6368 6564 0a20 ules_d.matched.
│ │ │ │ 00059a70: 2020 203d 3d20 300a 2020 7461 6773 3a0a == 0. tags:.
│ │ │ │ 00059a80: 2020 2d20 434a 4953 2d35 2e34 2e31 2e31 - CJIS-5.4.1.1
│ │ │ │ @@ -22983,23 +22983,23 @@
│ │ │ │ 00059c60: 205e 5c73 2a2d 775c 732b 2f65 7463 2f73 ^\s*-w\s+/etc/s
│ │ │ │ 00059c70: 7564 6f65 7273 2e64 2f5c 732b 2d70 5c73 udoers.d/\s+-p\s
│ │ │ │ 00059c80: 2b77 6128 5c73 7c24 292b 0a20 2020 2070 +wa(\s|$)+. p
│ │ │ │ 00059c90: 6174 7465 726e 733a 2061 7564 6974 2e72 atterns: audit.r
│ │ │ │ 00059ca0: 756c 6573 0a20 2072 6567 6973 7465 723a ules. register:
│ │ │ │ 00059cb0: 2066 696e 645f 6578 6973 7469 6e67 5f77 find_existing_w
│ │ │ │ 00059cc0: 6174 6368 5f61 7564 6974 5f72 756c 6573 atch_audit_rules
│ │ │ │ -00059cd0: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a
│ │ │ │ -00059ce0: 7564 6974 2220 696e 2061 6e73 6962 6c65 udit" in ansible
│ │ │ │ -00059cf0: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages'
│ │ │ │ -00059d00: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir
│ │ │ │ -00059d10: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type
│ │ │ │ -00059d20: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker
│ │ │ │ -00059d30: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv
│ │ │ │ -00059d40: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c
│ │ │ │ -00059d50: 6f6e 7461 696e 6572 225d 0a20 2074 6167 ontainer"]. tag
│ │ │ │ +00059cd0: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans
│ │ │ │ +00059ce0: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat
│ │ │ │ +00059cf0: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in
│ │ │ │ +00059d00: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc"
│ │ │ │ +00059d10: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod
│ │ │ │ +00059d20: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container
│ │ │ │ +00059d30: 225d 0a20 202d 2027 2261 7564 6974 2220 "]. - '"audit"
│ │ │ │ +00059d40: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts
│ │ │ │ +00059d50: 2e70 6163 6b61 6765 7327 0a20 2074 6167 .packages'. tag
│ │ │ │ 00059d60: 733a 0a20 202d 2043 4a49 532d 352e 342e s:. - CJIS-5.4.
│ │ │ │ 00059d70: 312e 310a 2020 2d20 4e49 5354 2d38 3030 1.1. - NIST-800
│ │ │ │ 00059d80: 2d31 3731 2d33 2e31 2e37 0a20 202d 204e -171-3.1.7. - N
│ │ │ │ 00059d90: 4953 542d 3830 302d 3533 2d41 432d 3228 IST-800-53-AC-2(
│ │ │ │ 00059da0: 3729 2862 290a 2020 2d20 4e49 5354 2d38 7)(b). - NIST-8
│ │ │ │ 00059db0: 3030 2d35 332d 4143 2d36 2839 290a 2020 00-53-AC-6(9).
│ │ │ │ 00059dc0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155 - NIST-800-53-AU
│ │ │ │ @@ -23028,22 +23028,22 @@
│ │ │ │ 00059f30: 2077 6120 2d6b 2061 6374 696f 6e73 0a20 wa -k actions.
│ │ │ │ 00059f40: 2020 2073 7461 7465 3a20 7072 6573 656e state: presen
│ │ │ │ 00059f50: 740a 2020 2020 6465 7374 3a20 2f65 7463 t. dest: /etc
│ │ │ │ 00059f60: 2f61 7564 6974 2f61 7564 6974 2e72 756c /audit/audit.rul
│ │ │ │ 00059f70: 6573 0a20 2020 2063 7265 6174 653a 2074 es. create: t
│ │ │ │ 00059f80: 7275 650a 2020 2020 6d6f 6465 3a20 2730 rue. mode: '0
│ │ │ │ 00059f90: 3634 3027 0a20 2077 6865 6e3a 0a20 202d 640'. when:. -
│ │ │ │ -00059fa0: 2027 2261 7564 6974 2220 696e 2061 6e73 '"audit" in ans
│ │ │ │ -00059fb0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa
│ │ │ │ -00059fc0: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible
│ │ │ │ -00059fd0: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_
│ │ │ │ -00059fe0: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do
│ │ │ │ -00059ff0: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o
│ │ │ │ -0005a000: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman"
│ │ │ │ -0005a010: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"].
│ │ │ │ +00059fa0: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual
│ │ │ │ +00059fb0: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not
│ │ │ │ +00059fc0: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", "
│ │ │ │ +00059fd0: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz",
│ │ │ │ +00059fe0: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta
│ │ │ │ +00059ff0: 696e 6572 225d 0a20 202d 2027 2261 7564 iner"]. - '"aud
│ │ │ │ +0005a000: 6974 2220 696e 2061 6e73 6962 6c65 5f66 it" in ansible_f
│ │ │ │ +0005a010: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'.
│ │ │ │ 0005a020: 202d 2066 696e 645f 6578 6973 7469 6e67 - find_existing
│ │ │ │ 0005a030: 5f77 6174 6368 5f61 7564 6974 5f72 756c _watch_audit_rul
│ │ │ │ 0005a040: 6573 2e6d 6174 6368 6564 2069 7320 6465 es.matched is de
│ │ │ │ 0005a050: 6669 6e65 6420 616e 6420 6669 6e64 5f65 fined and find_e
│ │ │ │ 0005a060: 7869 7374 696e 675f 7761 7463 685f 6175 xisting_watch_au
│ │ │ │ 0005a070: 6469 745f 7275 6c65 732e 6d61 7463 6865 dit_rules.matche
│ │ │ │ 0005a080: 640a 2020 2020 3d3d 2030 0a20 2074 6167 d. == 0. tag
│ │ │ │ @@ -25930,26 +25930,26 @@
│ │ │ │ 00065490: 3c62 723e 3c64 6976 2063 6c61 7373 3d22
# Remediation │ │ │ │ 000654e0: 6973 2061 7070 6c69 6361 626c 6520 6f6e is applicable on │ │ │ │ 000654f0: 6c79 2069 6e20 6365 7274 6169 6e20 706c ly in certain pl │ │ │ │ -00065500: 6174 666f 726d 730a 6966 2064 706b 672d atforms.if dpkg- │ │ │ │ -00065510: 7175 6572 7920 2d2d 7368 6f77 202d 2d73 query --show --s │ │ │ │ -00065520: 686f 7766 6f72 6d61 743d 2724 7b64 623a howformat='${db: │ │ │ │ -00065530: 5374 6174 7573 2d53 7461 7475 737d 5c6e Status-Status}\n │ │ │ │ -00065540: 2720 2761 7564 6974 2720 3226 6774 3b2f ' 'audit' 2>/ │ │ │ │ -00065550: 6465 762f 6e75 6c6c 207c 2067 7265 7020 dev/null | grep │ │ │ │ -00065560: 2d71 2069 6e73 7461 6c6c 6564 2026 616d -q installed &am │ │ │ │ -00065570: 703b 2661 6d70 3b20 5b20 2120 2d66 202f p;& [ ! -f / │ │ │ │ -00065580: 2e64 6f63 6b65 7265 6e76 205d 2026 616d .dockerenv ] &am │ │ │ │ -00065590: 703b 2661 6d70 3b20 5b20 2120 2d66 202f p;& [ ! -f / │ │ │ │ -000655a0: 7275 6e2f 2e63 6f6e 7461 696e 6572 656e run/.containeren │ │ │ │ -000655b0: 7620 5d3b 2074 6865 6e0a 0a76 6172 5f61 v ]; then..var_a │ │ │ │ +00065500: 6174 666f 726d 730a 6966 205b 2021 202d atforms.if [ ! - │ │ │ │ +00065510: 6620 2f2e 646f 636b 6572 656e 7620 5d20 f /.dockerenv ] │ │ │ │ +00065520: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ +00065530: 6620 2f72 756e 2f2e 636f 6e74 6169 6e65 f /run/.containe │ │ │ │ +00065540: 7265 6e76 205d 2026 616d 703b 2661 6d70 renv ] && │ │ │ │ +00065550: 3b20 6470 6b67 2d71 7565 7279 202d 2d73 ; dpkg-query --s │ │ │ │ +00065560: 686f 7720 2d2d 7368 6f77 666f 726d 6174 how --showformat │ │ │ │ +00065570: 3d27 247b 6462 3a53 7461 7475 732d 5374 ='${db:Status-St │ │ │ │ +00065580: 6174 7573 7d5c 6e27 2027 6175 6469 7427 atus}\n' 'audit' │ │ │ │ +00065590: 2032 2667 743b 2f64 6576 2f6e 756c 6c20 2>/dev/null │ │ │ │ +000655a0: 7c20 6772 6570 202d 7120 696e 7374 616c | grep -q instal │ │ │ │ +000655b0: 6c65 643b 2074 6865 6e0a 0a76 6172 5f61 led; then..var_a │ │ │ │ 000655c0: 7564 6974 645f 7370 6163 655f 6c65 6674 uditd_space_left │ │ │ │ 000655d0: 5f61 6374 696f 6e3d 273c 6162 6272 2074 _action=' 0 and │ │ │ │ │ find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ @@ -939,16 +939,16 @@ │ │ │ │ │ - name: Add watch rule for /etc/sudoers in /etc/audit/rules.d/ │ │ │ │ │ lineinfile: │ │ │ │ │ path: '{{ all_files[0] }}' │ │ │ │ │ line: -w /etc/sudoers -p wa -k actions │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"audit" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"audit" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ @@ -967,16 +967,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/sudoers already exists in /etc/audit/audit.rules │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/ │ │ │ │ │ contains: ^\s*-w\s+/etc/sudoers\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: audit.rules │ │ │ │ │ register: find_existing_watch_audit_rules │ │ │ │ │ when: │ │ │ │ │ - - '"audit" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"audit" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -994,16 +994,16 @@ │ │ │ │ │ lineinfile: │ │ │ │ │ line: -w /etc/sudoers -p wa -k actions │ │ │ │ │ state: present │ │ │ │ │ dest: /etc/audit/audit.rules │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"audit" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"audit" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_audit_rules.matched is defined and find_existing_watch_audit_rules.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ @@ -1022,16 +1022,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/sudoers.d/ already exists in /etc/audit/rules.d/ │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^\s*-w\s+/etc/sudoers.d/\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_existing_watch_rules_d │ │ │ │ │ when: │ │ │ │ │ - - '"audit" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"audit" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -1048,16 +1048,16 @@ │ │ │ │ │ - name: Search /etc/audit/rules.d for other rules with specified key actions │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^.*(?:-F key=|-k\s+)actions$ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_watch_key │ │ │ │ │ when: │ │ │ │ │ - - '"audit" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"audit" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ @@ -1074,16 +1074,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use /etc/audit/rules.d/actions.rules as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - /etc/audit/rules.d/actions.rules │ │ │ │ │ when: │ │ │ │ │ - - '"audit" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"audit" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched == 0 and │ │ │ │ │ find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ @@ -1101,16 +1101,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use matched file as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - '{{ find_watch_key.files | map(attribute=''path'') | list | first }}' │ │ │ │ │ when: │ │ │ │ │ - - '"audit" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"audit" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched > 0 and │ │ │ │ │ find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ @@ -1130,16 +1130,16 @@ │ │ │ │ │ - name: Add watch rule for /etc/sudoers.d/ in /etc/audit/rules.d/ │ │ │ │ │ lineinfile: │ │ │ │ │ path: '{{ all_files[0] }}' │ │ │ │ │ line: -w /etc/sudoers.d/ -p wa -k actions │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"audit" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"audit" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ @@ -1158,16 +1158,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/sudoers.d/ already exists in /etc/audit/audit.rules │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/ │ │ │ │ │ contains: ^\s*-w\s+/etc/sudoers.d/\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: audit.rules │ │ │ │ │ register: find_existing_watch_audit_rules │ │ │ │ │ when: │ │ │ │ │ - - '"audit" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"audit" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -1185,16 +1185,16 @@ │ │ │ │ │ lineinfile: │ │ │ │ │ line: -w /etc/sudoers.d/ -p wa -k actions │ │ │ │ │ state: present │ │ │ │ │ dest: /etc/audit/audit.rules │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"audit" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"audit" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_audit_rules.matched is defined and find_existing_watch_audit_rules.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ @@ -1347,16 +1347,16 @@ │ │ │ │ │ and 4.4.2.2, 4.4.2.4, SR_2.10, SR_2.11, SR_2.12, SR_2.8, SR_2.9, SR_6.1, SR_7.1, SR_7.2, │ │ │ │ │ References A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1, A.16.1.4, A.16.1.5, │ │ │ │ │ A.16.1.7, A.17.2.1, AU-5(b), AU-5(2), AU-5(1), AU-5(4), CM-6(a), DE.AE-3, DE.AE-5, │ │ │ │ │ PR.DS-4, PR.PT-1, RS.AN-1, RS.AN-4, Req-10.7, SRG-OS-000343-GPOS-00134, SRG-OS- │ │ │ │ │ 000343-VMM-001240 │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'audit' 2>/dev/null | grep - │ │ │ │ │ -q installed && [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db: │ │ │ │ │ +Status-Status}\n' 'audit' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ var_auditd_space_left_action='email' │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ # │ │ │ │ │ # If space_left_action present in /etc/audit/auditd.conf, change value │ │ │ │ │ # to var_auditd_space_left_action, else │ │ │ ├── ./usr/share/doc/ssg-debderived/ssg-ubuntu2004-guide-cis_level1_server.html │ │ │ │ @@ -38517,22 +38517,22 @@ │ │ │ │ 00096740: 616d 653a 2054 6573 7420 666f 7220 6578 ame: Test for ex │ │ │ │ 00096750: 6973 7465 6e63 6520 2f62 6f6f 742f 6772 istence /boot/gr │ │ │ │ 00096760: 7562 2f67 7275 622e 6366 670a 2020 7374 ub/grub.cfg. st │ │ │ │ 00096770: 6174 3a0a 2020 2020 7061 7468 3a20 2f62 at:. path: /b │ │ │ │ 00096780: 6f6f 742f 6772 7562 2f67 7275 622e 6366 oot/grub/grub.cf │ │ │ │ 00096790: 670a 2020 7265 6769 7374 6572 3a20 6669 g. register: fi │ │ │ │ 000967a0: 6c65 5f65 7869 7374 730a 2020 7768 656e le_exists. when │ │ │ │ -000967b0: 3a0a 2020 2d20 2722 2f62 6f6f 742f 6566 :. - '"/boot/ef │ │ │ │ -000967c0: 6922 206e 6f74 2069 6e20 616e 7369 626c i" not in ansibl │ │ │ │ -000967d0: 655f 6d6f 756e 7473 207c 206d 6170 2861 e_mounts | map(a │ │ │ │ -000967e0: 7474 7269 6275 7465 3d22 6d6f 756e 7422 ttribute="mount" │ │ │ │ -000967f0: 2920 7c20 6c69 7374 270a 2020 2d20 2722 ) | list'. - '" │ │ │ │ -00096800: 6772 7562 322d 636f 6d6d 6f6e 2220 696e grub2-common" in │ │ │ │ -00096810: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -00096820: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ +000967b0: 3a0a 2020 2d20 2722 6772 7562 322d 636f :. - '"grub2-co │ │ │ │ +000967c0: 6d6d 6f6e 2220 696e 2061 6e73 6962 6c65 mmon" in ansible │ │ │ │ +000967d0: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ +000967e0: 0a20 202d 2027 222f 626f 6f74 2f65 6669 . - '"/boot/efi │ │ │ │ +000967f0: 2220 6e6f 7420 696e 2061 6e73 6962 6c65 " not in ansible │ │ │ │ +00096800: 5f6d 6f75 6e74 7320 7c20 6d61 7028 6174 _mounts | map(at │ │ │ │ +00096810: 7472 6962 7574 653d 226d 6f75 6e74 2229 tribute="mount") │ │ │ │ +00096820: 207c 206c 6973 7427 0a20 202d 2061 6e73 | list'. - ans │ │ │ │ 00096830: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ 00096840: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ 00096850: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ 00096860: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ 00096870: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ 00096880: 225d 0a20 2074 6167 733a 0a20 202d 2043 "]. tags:. - C │ │ │ │ 00096890: 4a49 532d 352e 352e 322e 320a 2020 2d20 JIS-5.5.2.2. - │ │ │ │ @@ -38552,22 +38552,22 @@ │ │ │ │ 00096970: 6565 6465 640a 0a2d 206e 616d 653a 2045 eeded..- name: E │ │ │ │ 00096980: 6e73 7572 6520 6f77 6e65 7220 3020 6f6e nsure owner 0 on │ │ │ │ 00096990: 202f 626f 6f74 2f67 7275 622f 6772 7562 /boot/grub/grub │ │ │ │ 000969a0: 2e63 6667 0a20 2066 696c 653a 0a20 2020 .cfg. file:. │ │ │ │ 000969b0: 2070 6174 683a 202f 626f 6f74 2f67 7275 path: /boot/gru │ │ │ │ 000969c0: 622f 6772 7562 2e63 6667 0a20 2020 206f b/grub.cfg. o │ │ │ │ 000969d0: 776e 6572 3a20 2730 270a 2020 7768 656e wner: '0'. when │ │ │ │ -000969e0: 3a0a 2020 2d20 2722 2f62 6f6f 742f 6566 :. - '"/boot/ef │ │ │ │ -000969f0: 6922 206e 6f74 2069 6e20 616e 7369 626c i" not in ansibl │ │ │ │ -00096a00: 655f 6d6f 756e 7473 207c 206d 6170 2861 e_mounts | map(a │ │ │ │ -00096a10: 7474 7269 6275 7465 3d22 6d6f 756e 7422 ttribute="mount" │ │ │ │ -00096a20: 2920 7c20 6c69 7374 270a 2020 2d20 2722 ) | list'. - '" │ │ │ │ -00096a30: 6772 7562 322d 636f 6d6d 6f6e 2220 696e grub2-common" in │ │ │ │ -00096a40: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -00096a50: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ +000969e0: 3a0a 2020 2d20 2722 6772 7562 322d 636f :. - '"grub2-co │ │ │ │ +000969f0: 6d6d 6f6e 2220 696e 2061 6e73 6962 6c65 mmon" in ansible │ │ │ │ +00096a00: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ +00096a10: 0a20 202d 2027 222f 626f 6f74 2f65 6669 . - '"/boot/efi │ │ │ │ +00096a20: 2220 6e6f 7420 696e 2061 6e73 6962 6c65 " not in ansible │ │ │ │ +00096a30: 5f6d 6f75 6e74 7320 7c20 6d61 7028 6174 _mounts | map(at │ │ │ │ +00096a40: 7472 6962 7574 653d 226d 6f75 6e74 2229 tribute="mount") │ │ │ │ +00096a50: 207c 206c 6973 7427 0a20 202d 2061 6e73 | list'. - ans │ │ │ │ 00096a60: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ 00096a70: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ 00096a80: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ 00096a90: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ 00096aa0: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ 00096ab0: 225d 0a20 202d 2066 696c 655f 6578 6973 "]. - file_exis │ │ │ │ 00096ac0: 7473 2e73 7461 7420 6973 2064 6566 696e ts.stat is defin │ │ │ │ @@ -38617,24 +38617,24 @@ │ │ │ │ 00096d80: 3c74 723e 3c74 683e 5374 7261 7465 6779 Strategy │ │ │ │ 00096d90: 3a3c 2f74 683e 3c74 643e 636f 6e66 6967 : config │ │ │ │ 00096da0: 7572 653c 2f74 643e 3c2f 7472 3e3c 2f74 ure │ │ │ │ 00096dc0: 2320 5265 6d65 6469 6174 696f 6e20 6973 # Remediation is │ │ │ │ 00096dd0: 2061 7070 6c69 6361 626c 6520 6f6e 6c79 applicable only │ │ │ │ 00096de0: 2069 6e20 6365 7274 6169 6e20 706c 6174 in certain plat │ │ │ │ -00096df0: 666f 726d 730a 6966 205b 2021 202d 6620 forms.if [ ! -f │ │ │ │ -00096e00: 2f73 7973 2f66 6972 6d77 6172 652f 6566 /sys/firmware/ef │ │ │ │ -00096e10: 6920 5d20 2661 6d70 3b26 616d 703b 2064 i ] && d │ │ │ │ -00096e20: 706b 672d 7175 6572 7920 2d2d 7368 6f77 pkg-query --show │ │ │ │ -00096e30: 202d 2d73 686f 7766 6f72 6d61 743d 2724 --showformat='$ │ │ │ │ -00096e40: 7b64 623a 5374 6174 7573 2d53 7461 7475 {db:Status-Statu │ │ │ │ -00096e50: 737d 5c6e 2720 2767 7275 6232 2d63 6f6d s}\n' 'grub2-com │ │ │ │ -00096e60: 6d6f 6e27 2032 2667 743b 2f64 6576 2f6e mon' 2>/dev/n │ │ │ │ -00096e70: 756c 6c20 7c20 6772 6570 202d 7120 696e ull | grep -q in │ │ │ │ -00096e80: 7374 616c 6c65 6420 2661 6d70 3b26 616d stalled &&am │ │ │ │ +00096df0: 666f 726d 730a 6966 2064 706b 672d 7175 forms.if dpkg-qu │ │ │ │ +00096e00: 6572 7920 2d2d 7368 6f77 202d 2d73 686f ery --show --sho │ │ │ │ +00096e10: 7766 6f72 6d61 743d 2724 7b64 623a 5374 wformat='${db:St │ │ │ │ +00096e20: 6174 7573 2d53 7461 7475 737d 5c6e 2720 atus-Status}\n' │ │ │ │ +00096e30: 2767 7275 6232 2d63 6f6d 6d6f 6e27 2032 'grub2-common' 2 │ │ │ │ +00096e40: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20 >/dev/null | │ │ │ │ +00096e50: 6772 6570 202d 7120 696e 7374 616c 6c65 grep -q installe │ │ │ │ +00096e60: 6420 2661 6d70 3b26 616d 703b 205b 2021 d && [ ! │ │ │ │ +00096e70: 202d 6620 2f73 7973 2f66 6972 6d77 6172 -f /sys/firmwar │ │ │ │ +00096e80: 652f 6566 6920 5d20 2661 6d70 3b26 616d e/efi ] &&am │ │ │ │ 00096e90: 703b 207b 205b 2021 202d 6620 2f2e 646f p; { [ ! -f /.do │ │ │ │ 00096ea0: 636b 6572 656e 7620 5d20 2661 6d70 3b26 ckerenv ] && │ │ │ │ 00096eb0: 616d 703b 205b 2021 202d 6620 2f72 756e amp; [ ! -f /run │ │ │ │ 00096ec0: 2f2e 636f 6e74 6169 6e65 7265 6e76 205d /.containerenv ] │ │ │ │ 00096ed0: 3b20 7d3b 2074 6865 6e0a 0a63 686f 776e ; }; then..chown │ │ │ │ 00096ee0: 2030 202f 626f 6f74 2f67 7275 622f 6772 0 /boot/grub/gr │ │ │ │ 00096ef0: 7562 2e63 6667 0a0a 656c 7365 0a20 2020 ub.cfg..else. │ │ │ │ @@ -39085,22 +39085,22 @@ │ │ │ │ 00098ac0: 0a2d 206e 616d 653a 2054 6573 7420 666f .- name: Test fo │ │ │ │ 00098ad0: 7220 6578 6973 7465 6e63 6520 2f62 6f6f r existence /boo │ │ │ │ 00098ae0: 742f 6772 7562 2f67 7275 622e 6366 670a t/grub/grub.cfg. │ │ │ │ 00098af0: 2020 7374 6174 3a0a 2020 2020 7061 7468 stat:. path │ │ │ │ 00098b00: 3a20 2f62 6f6f 742f 6772 7562 2f67 7275 : /boot/grub/gru │ │ │ │ 00098b10: 622e 6366 670a 2020 7265 6769 7374 6572 b.cfg. register │ │ │ │ 00098b20: 3a20 6669 6c65 5f65 7869 7374 730a 2020 : file_exists. │ │ │ │ -00098b30: 7768 656e 3a0a 2020 2d20 2722 2f62 6f6f when:. - '"/boo │ │ │ │ -00098b40: 742f 6566 6922 206e 6f74 2069 6e20 616e t/efi" not in an │ │ │ │ -00098b50: 7369 626c 655f 6d6f 756e 7473 207c 206d sible_mounts | m │ │ │ │ -00098b60: 6170 2861 7474 7269 6275 7465 3d22 6d6f ap(attribute="mo │ │ │ │ -00098b70: 756e 7422 2920 7c20 6c69 7374 270a 2020 unt") | list'. │ │ │ │ -00098b80: 2d20 2722 6772 7562 322d 636f 6d6d 6f6e - '"grub2-common │ │ │ │ -00098b90: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ -00098ba0: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ +00098b30: 7768 656e 3a0a 2020 2d20 2722 6772 7562 when:. - '"grub │ │ │ │ +00098b40: 322d 636f 6d6d 6f6e 2220 696e 2061 6e73 2-common" in ans │ │ │ │ +00098b50: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +00098b60: 6765 7327 0a20 202d 2027 222f 626f 6f74 ges'. - '"/boot │ │ │ │ +00098b70: 2f65 6669 2220 6e6f 7420 696e 2061 6e73 /efi" not in ans │ │ │ │ +00098b80: 6962 6c65 5f6d 6f75 6e74 7320 7c20 6d61 ible_mounts | ma │ │ │ │ +00098b90: 7028 6174 7472 6962 7574 653d 226d 6f75 p(attribute="mou │ │ │ │ +00098ba0: 6e74 2229 207c 206c 6973 7427 0a20 202d nt") | list'. - │ │ │ │ 00098bb0: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ 00098bc0: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ 00098bd0: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ 00098be0: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ 00098bf0: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ 00098c00: 696e 6572 225d 0a20 2074 6167 733a 0a20 iner"]. tags:. │ │ │ │ 00098c10: 202d 204e 4953 542d 3830 302d 3137 312d - NIST-800-171- │ │ │ │ @@ -39121,21 +39121,21 @@ │ │ │ │ 00098d00: 732c 6f2d 7877 7274 206f 6e20 2f62 6f6f s,o-xwrt on /boo │ │ │ │ 00098d10: 742f 6772 7562 2f67 7275 622e 6366 670a t/grub/grub.cfg. │ │ │ │ 00098d20: 2020 6669 6c65 3a0a 2020 2020 7061 7468 file:. path │ │ │ │ 00098d30: 3a20 2f62 6f6f 742f 6772 7562 2f67 7275 : /boot/grub/gru │ │ │ │ 00098d40: 622e 6366 670a 2020 2020 6d6f 6465 3a20 b.cfg. mode: │ │ │ │ 00098d50: 752d 7873 2c67 2d78 7772 732c 6f2d 7877 u-xs,g-xwrs,o-xw │ │ │ │ 00098d60: 7274 0a20 2077 6865 6e3a 0a20 202d 2027 rt. when:. - ' │ │ │ │ -00098d70: 222f 626f 6f74 2f65 6669 2220 6e6f 7420 "/boot/efi" not │ │ │ │ -00098d80: 696e 2061 6e73 6962 6c65 5f6d 6f75 6e74 in ansible_mount │ │ │ │ -00098d90: 7320 7c20 6d61 7028 6174 7472 6962 7574 s | map(attribut │ │ │ │ -00098da0: 653d 226d 6f75 6e74 2229 207c 206c 6973 e="mount") | lis │ │ │ │ -00098db0: 7427 0a20 202d 2027 2267 7275 6232 2d63 t'. - '"grub2-c │ │ │ │ -00098dc0: 6f6d 6d6f 6e22 2069 6e20 616e 7369 626c ommon" in ansibl │ │ │ │ -00098dd0: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ +00098d70: 2267 7275 6232 2d63 6f6d 6d6f 6e22 2069 "grub2-common" i │ │ │ │ +00098d80: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +00098d90: 7061 636b 6167 6573 270a 2020 2d20 2722 packages'. - '" │ │ │ │ +00098da0: 2f62 6f6f 742f 6566 6922 206e 6f74 2069 /boot/efi" not i │ │ │ │ +00098db0: 6e20 616e 7369 626c 655f 6d6f 756e 7473 n ansible_mounts │ │ │ │ +00098dc0: 207c 206d 6170 2861 7474 7269 6275 7465 | map(attribute │ │ │ │ +00098dd0: 3d22 6d6f 756e 7422 2920 7c20 6c69 7374 ="mount") | list │ │ │ │ 00098de0: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ 00098df0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ 00098e00: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ 00098e10: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ 00098e20: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ 00098e30: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ 00098e40: 6669 6c65 5f65 7869 7374 732e 7374 6174 file_exists.stat │ │ │ │ @@ -39184,24 +39184,24 @@ │ │ │ │ 000990f0: 683e 5374 7261 7465 6779 3a3c 2f74 683e h>Strategy: │ │ │ │ 00099100: 3c74 643e 636f 6e66 6967 7572 653c 2f74
configure< │ │ │ │ 00099120: 7072 653e 3c63 6f64 653e 2320 5265 6d65 pre> # Reme │ │ │ │ 00099130: 6469 6174 696f 6e20 6973 2061 7070 6c69 diation is appli │ │ │ │ 00099140: 6361 626c 6520 6f6e 6c79 2069 6e20 6365 cable only in ce │ │ │ │ 00099150: 7274 6169 6e20 706c 6174 666f 726d 730a rtain platforms. │ │ │ │ -00099160: 6966 205b 2021 202d 6620 2f73 7973 2f66 if [ ! -f /sys/f │ │ │ │ -00099170: 6972 6d77 6172 652f 6566 6920 5d20 2661 irmware/efi ] &a │ │ │ │ -00099180: 6d70 3b26 616d 703b 2064 706b 672d 7175 mp;& dpkg-qu │ │ │ │ -00099190: 6572 7920 2d2d 7368 6f77 202d 2d73 686f ery --show --sho │ │ │ │ -000991a0: 7766 6f72 6d61 743d 2724 7b64 623a 5374 wformat='${db:St │ │ │ │ -000991b0: 6174 7573 2d53 7461 7475 737d 5c6e 2720 atus-Status}\n' │ │ │ │ -000991c0: 2767 7275 6232 2d63 6f6d 6d6f 6e27 2032 'grub2-common' 2 │ │ │ │ -000991d0: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20 >/dev/null | │ │ │ │ -000991e0: 6772 6570 202d 7120 696e 7374 616c 6c65 grep -q installe │ │ │ │ -000991f0: 6420 2661 6d70 3b26 616d 703b 207b 205b d && { [ │ │ │ │ +00099160: 6966 2064 706b 672d 7175 6572 7920 2d2d if dpkg-query -- │ │ │ │ +00099170: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ +00099180: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ +00099190: 7461 7475 737d 5c6e 2720 2767 7275 6232 tatus}\n' 'grub2 │ │ │ │ +000991a0: 2d63 6f6d 6d6f 6e27 2032 2667 743b 2f64 -common' 2>/d │ │ │ │ +000991b0: 6576 2f6e 756c 6c20 7c20 6772 6570 202d ev/null | grep - │ │ │ │ +000991c0: 7120 696e 7374 616c 6c65 6420 2661 6d70 q installed & │ │ │ │ +000991d0: 3b26 616d 703b 205b 2021 202d 6620 2f73 ;& [ ! -f /s │ │ │ │ +000991e0: 7973 2f66 6972 6d77 6172 652f 6566 6920 ys/firmware/efi │ │ │ │ +000991f0: 5d20 2661 6d70 3b26 616d 703b 207b 205b ] && { [ │ │ │ │ 00099200: 2021 202d 6620 2f2e 646f 636b 6572 656e ! -f /.dockeren │ │ │ │ 00099210: 7620 5d20 2661 6d70 3b26 616d 703b 205b v ] && [ │ │ │ │ 00099220: 2021 202d 6620 2f72 756e 2f2e 636f 6e74 ! -f /run/.cont │ │ │ │ 00099230: 6169 6e65 7265 6e76 205d 3b20 7d3b 2074 ainerenv ]; }; t │ │ │ │ 00099240: 6865 6e0a 0a63 686d 6f64 2075 2d78 732c hen..chmod u-xs, │ │ │ │ 00099250: 672d 7877 7273 2c6f 2d78 7772 7420 2f62 g-xwrs,o-xwrt /b │ │ │ │ 00099260: 6f6f 742f 6772 7562 2f67 7275 622e 6366 oot/grub/grub.cf │ │ │ │ ├── html2text {} │ │ │ │ │ @@ -3223,16 +3223,16 @@ │ │ │ │ │ - no_reboot_needed │ │ │ │ │ │ │ │ │ │ - name: Test for existence /boot/grub/grub.cfg │ │ │ │ │ stat: │ │ │ │ │ path: /boot/grub/grub.cfg │ │ │ │ │ register: file_exists │ │ │ │ │ when: │ │ │ │ │ - - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - '"grub2-common" in ansible_facts.packages' │ │ │ │ │ + - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.5.2.2 │ │ │ │ │ - NIST-800-171-3.4.5 │ │ │ │ │ - NIST-800-53-AC-6(1) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-7.1 │ │ │ │ │ @@ -3244,16 +3244,16 @@ │ │ │ │ │ - no_reboot_needed │ │ │ │ │ │ │ │ │ │ - name: Ensure owner 0 on /boot/grub/grub.cfg │ │ │ │ │ file: │ │ │ │ │ path: /boot/grub/grub.cfg │ │ │ │ │ owner: '0' │ │ │ │ │ when: │ │ │ │ │ - - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - '"grub2-common" in ansible_facts.packages' │ │ │ │ │ + - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ - file_exists.stat is defined and file_exists.stat.exists │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.5.2.2 │ │ │ │ │ - NIST-800-171-3.4.5 │ │ │ │ │ - NIST-800-53-AC-6(1) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -3265,16 +3265,16 @@ │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ Complexity: low │ │ │ │ │ Disruption: low │ │ │ │ │ Strategy: configure │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if [ ! -f /sys/firmware/efi ] && dpkg-query --show --showformat='${db:Status-Status}\n' 'grub2-common' 2>/dev/ │ │ │ │ │ -null | grep -q installed && { [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; }; then │ │ │ │ │ +if dpkg-query --show --showformat='${db:Status-Status}\n' 'grub2-common' 2>/dev/null | grep -q installed && [ ! │ │ │ │ │ +-f /sys/firmware/efi ] && { [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; }; then │ │ │ │ │ │ │ │ │ │ chown 0 /boot/grub/grub.cfg │ │ │ │ │ │ │ │ │ │ else │ │ │ │ │ >&2 echo 'Remediation is not applicable, nothing was done' │ │ │ │ │ fi │ │ │ │ │ *** Rule Verify /boot/grub/grub.cfg Permissions [ref] *** │ │ │ │ │ @@ -3310,16 +3310,16 @@ │ │ │ │ │ - no_reboot_needed │ │ │ │ │ │ │ │ │ │ - name: Test for existence /boot/grub/grub.cfg │ │ │ │ │ stat: │ │ │ │ │ path: /boot/grub/grub.cfg │ │ │ │ │ register: file_exists │ │ │ │ │ when: │ │ │ │ │ - - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - '"grub2-common" in ansible_facts.packages' │ │ │ │ │ + - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ tags: │ │ │ │ │ - NIST-800-171-3.4.5 │ │ │ │ │ - NIST-800-53-AC-6(1) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - configure_strategy │ │ │ │ │ - file_permissions_grub2_cfg │ │ │ │ │ @@ -3329,16 +3329,16 @@ │ │ │ │ │ - no_reboot_needed │ │ │ │ │ │ │ │ │ │ - name: Ensure permission u-xs,g-xwrs,o-xwrt on /boot/grub/grub.cfg │ │ │ │ │ file: │ │ │ │ │ path: /boot/grub/grub.cfg │ │ │ │ │ mode: u-xs,g-xwrs,o-xwrt │ │ │ │ │ when: │ │ │ │ │ - - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - '"grub2-common" in ansible_facts.packages' │ │ │ │ │ + - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ - file_exists.stat is defined and file_exists.stat.exists │ │ │ │ │ tags: │ │ │ │ │ - NIST-800-171-3.4.5 │ │ │ │ │ - NIST-800-53-AC-6(1) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - configure_strategy │ │ │ │ │ @@ -3348,16 +3348,16 @@ │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ Complexity: low │ │ │ │ │ Disruption: low │ │ │ │ │ Strategy: configure │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if [ ! -f /sys/firmware/efi ] && dpkg-query --show --showformat='${db:Status-Status}\n' 'grub2-common' 2>/ │ │ │ │ │ -dev/null | grep -q installed && { [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; }; then │ │ │ │ │ +if dpkg-query --show --showformat='${db:Status-Status}\n' 'grub2-common' 2>/dev/null | grep -q installed && │ │ │ │ │ +[ ! -f /sys/firmware/efi ] && { [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; }; then │ │ │ │ │ │ │ │ │ │ chmod u-xs,g-xwrs,o-xwrt /boot/grub/grub.cfg │ │ │ │ │ │ │ │ │ │ else │ │ │ │ │ >&2 echo 'Remediation is not applicable, nothing was done' │ │ │ │ │ fi │ │ │ │ │ *** Rule Set Boot Loader Password in grub2 [ref] *** │ │ │ ├── ./usr/share/doc/ssg-debderived/ssg-ubuntu2004-guide-cis_level1_workstation.html │ │ │ │ @@ -40080,22 +40080,22 @@ │ │ │ │ 0009c8f0: 6564 0a0a 2d20 6e61 6d65 3a20 5465 7374 ed..- name: Test │ │ │ │ 0009c900: 2066 6f72 2065 7869 7374 656e 6365 202f for existence / │ │ │ │ 0009c910: 626f 6f74 2f67 7275 622f 6772 7562 2e63 boot/grub/grub.c │ │ │ │ 0009c920: 6667 0a20 2073 7461 743a 0a20 2020 2070 fg. stat:. p │ │ │ │ 0009c930: 6174 683a 202f 626f 6f74 2f67 7275 622f ath: /boot/grub/ │ │ │ │ 0009c940: 6772 7562 2e63 6667 0a20 2072 6567 6973 grub.cfg. regis │ │ │ │ 0009c950: 7465 723a 2066 696c 655f 6578 6973 7473 ter: file_exists │ │ │ │ -0009c960: 0a20 2077 6865 6e3a 0a20 202d 2027 222f . when:. - '"/ │ │ │ │ -0009c970: 626f 6f74 2f65 6669 2220 6e6f 7420 696e boot/efi" not in │ │ │ │ -0009c980: 2061 6e73 6962 6c65 5f6d 6f75 6e74 7320 ansible_mounts │ │ │ │ -0009c990: 7c20 6d61 7028 6174 7472 6962 7574 653d | map(attribute= │ │ │ │ -0009c9a0: 226d 6f75 6e74 2229 207c 206c 6973 7427 "mount") | list' │ │ │ │ -0009c9b0: 0a20 202d 2027 2267 7275 6232 2d63 6f6d . - '"grub2-com │ │ │ │ -0009c9c0: 6d6f 6e22 2069 6e20 616e 7369 626c 655f mon" in ansible_ │ │ │ │ -0009c9d0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ +0009c960: 0a20 2077 6865 6e3a 0a20 202d 2027 2267 . when:. - '"g │ │ │ │ +0009c970: 7275 6232 2d63 6f6d 6d6f 6e22 2069 6e20 rub2-common" in │ │ │ │ +0009c980: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ +0009c990: 636b 6167 6573 270a 2020 2d20 2722 2f62 ckages'. - '"/b │ │ │ │ +0009c9a0: 6f6f 742f 6566 6922 206e 6f74 2069 6e20 oot/efi" not in │ │ │ │ +0009c9b0: 616e 7369 626c 655f 6d6f 756e 7473 207c ansible_mounts | │ │ │ │ +0009c9c0: 206d 6170 2861 7474 7269 6275 7465 3d22 map(attribute=" │ │ │ │ +0009c9d0: 6d6f 756e 7422 2920 7c20 6c69 7374 270a mount") | list'. │ │ │ │ 0009c9e0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ 0009c9f0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ 0009ca00: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ 0009ca10: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ 0009ca20: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ 0009ca30: 6e74 6169 6e65 7222 5d0a 2020 7461 6773 ntainer"]. tags │ │ │ │ 0009ca40: 3a0a 2020 2d20 434a 4953 2d35 2e35 2e32 :. - CJIS-5.5.2 │ │ │ │ @@ -40115,22 +40115,22 @@ │ │ │ │ 0009cb20: 6562 6f6f 745f 6e65 6564 6564 0a0a 2d20 eboot_needed..- │ │ │ │ 0009cb30: 6e61 6d65 3a20 456e 7375 7265 206f 776e name: Ensure own │ │ │ │ 0009cb40: 6572 2030 206f 6e20 2f62 6f6f 742f 6772 er 0 on /boot/gr │ │ │ │ 0009cb50: 7562 2f67 7275 622e 6366 670a 2020 6669 ub/grub.cfg. fi │ │ │ │ 0009cb60: 6c65 3a0a 2020 2020 7061 7468 3a20 2f62 le:. path: /b │ │ │ │ 0009cb70: 6f6f 742f 6772 7562 2f67 7275 622e 6366 oot/grub/grub.cf │ │ │ │ 0009cb80: 670a 2020 2020 6f77 6e65 723a 2027 3027 g. owner: '0' │ │ │ │ -0009cb90: 0a20 2077 6865 6e3a 0a20 202d 2027 222f . when:. - '"/ │ │ │ │ -0009cba0: 626f 6f74 2f65 6669 2220 6e6f 7420 696e boot/efi" not in │ │ │ │ -0009cbb0: 2061 6e73 6962 6c65 5f6d 6f75 6e74 7320 ansible_mounts │ │ │ │ -0009cbc0: 7c20 6d61 7028 6174 7472 6962 7574 653d | map(attribute= │ │ │ │ -0009cbd0: 226d 6f75 6e74 2229 207c 206c 6973 7427 "mount") | list' │ │ │ │ -0009cbe0: 0a20 202d 2027 2267 7275 6232 2d63 6f6d . - '"grub2-com │ │ │ │ -0009cbf0: 6d6f 6e22 2069 6e20 616e 7369 626c 655f mon" in ansible_ │ │ │ │ -0009cc00: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ +0009cb90: 0a20 2077 6865 6e3a 0a20 202d 2027 2267 . when:. - '"g │ │ │ │ +0009cba0: 7275 6232 2d63 6f6d 6d6f 6e22 2069 6e20 rub2-common" in │ │ │ │ +0009cbb0: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ +0009cbc0: 636b 6167 6573 270a 2020 2d20 2722 2f62 ckages'. - '"/b │ │ │ │ +0009cbd0: 6f6f 742f 6566 6922 206e 6f74 2069 6e20 oot/efi" not in │ │ │ │ +0009cbe0: 616e 7369 626c 655f 6d6f 756e 7473 207c ansible_mounts | │ │ │ │ +0009cbf0: 206d 6170 2861 7474 7269 6275 7465 3d22 map(attribute=" │ │ │ │ +0009cc00: 6d6f 756e 7422 2920 7c20 6c69 7374 270a mount") | list'. │ │ │ │ 0009cc10: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ 0009cc20: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ 0009cc30: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ 0009cc40: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ 0009cc50: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ 0009cc60: 6e74 6169 6e65 7222 5d0a 2020 2d20 6669 ntainer"]. - fi │ │ │ │ 0009cc70: 6c65 5f65 7869 7374 732e 7374 6174 2069 le_exists.stat i │ │ │ │ @@ -40181,23 +40181,23 @@ │ │ │ │ 0009cf40: 7472 6174 6567 793a 3c2f 7468 3e3c 7464 trategy:
configure < │ │ │ │ 0009cf60: 2f74 723e 3c2f 7461 626c 653e 3c70 7265 /tr># Remedia │ │ │ │ 0009cf80: 7469 6f6e 2069 7320 6170 706c 6963 6162 tion is applicab │ │ │ │ 0009cf90: 6c65 206f 6e6c 7920 696e 2063 6572 7461 le only in certa │ │ │ │ 0009cfa0: 696e 2070 6c61 7466 6f72 6d73 0a69 6620 in platforms.if │ │ │ │ -0009cfb0: 5b20 2120 2d66 202f 7379 732f 6669 726d [ ! -f /sys/firm │ │ │ │ -0009cfc0: 7761 7265 2f65 6669 205d 2026 616d 703b ware/efi ] & │ │ │ │ -0009cfd0: 2661 6d70 3b20 6470 6b67 2d71 7565 7279 & dpkg-query │ │ │ │ -0009cfe0: 202d 2d73 686f 7720 2d2d 7368 6f77 666f --show --showfo │ │ │ │ -0009cff0: 726d 6174 3d27 247b 6462 3a53 7461 7475 rmat='${db:Statu │ │ │ │ -0009d000: 732d 5374 6174 7573 7d5c 6e27 2027 6772 s-Status}\n' 'gr │ │ │ │ -0009d010: 7562 322d 636f 6d6d 6f6e 2720 3226 6774 ub2-common' 2> │ │ │ │ -0009d020: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265 ;/dev/null | gre │ │ │ │ -0009d030: 7020 2d71 2069 6e73 7461 6c6c 6564 2026 p -q installed & │ │ │ │ +0009cfb0: 6470 6b67 2d71 7565 7279 202d 2d73 686f dpkg-query --sho │ │ │ │ +0009cfc0: 7720 2d2d 7368 6f77 666f 726d 6174 3d27 w --showformat=' │ │ │ │ +0009cfd0: 247b 6462 3a53 7461 7475 732d 5374 6174 ${db:Status-Stat │ │ │ │ +0009cfe0: 7573 7d5c 6e27 2027 6772 7562 322d 636f us}\n' 'grub2-co │ │ │ │ +0009cff0: 6d6d 6f6e 2720 3226 6774 3b2f 6465 762f mmon' 2>/dev/ │ │ │ │ +0009d000: 6e75 6c6c 207c 2067 7265 7020 2d71 2069 null | grep -q i │ │ │ │ +0009d010: 6e73 7461 6c6c 6564 2026 616d 703b 2661 nstalled &&a │ │ │ │ +0009d020: 6d70 3b20 5b20 2120 2d66 202f 7379 732f mp; [ ! -f /sys/ │ │ │ │ +0009d030: 6669 726d 7761 7265 2f65 6669 205d 2026 firmware/efi ] & │ │ │ │ 0009d040: 616d 703b 2661 6d70 3b20 7b20 5b20 2120 amp;& { [ ! │ │ │ │ 0009d050: 2d66 202f 2e64 6f63 6b65 7265 6e76 205d -f /.dockerenv ] │ │ │ │ 0009d060: 2026 616d 703b 2661 6d70 3b20 5b20 2120 && [ ! │ │ │ │ 0009d070: 2d66 202f 7275 6e2f 2e63 6f6e 7461 696e -f /run/.contain │ │ │ │ 0009d080: 6572 656e 7620 5d3b 207d 3b20 7468 656e erenv ]; }; then │ │ │ │ 0009d090: 0a0a 6368 6f77 6e20 3020 2f62 6f6f 742f ..chown 0 /boot/ │ │ │ │ 0009d0a0: 6772 7562 2f67 7275 622e 6366 670a 0a65 grub/grub.cfg..e │ │ │ │ @@ -40649,22 +40649,22 @@ │ │ │ │ 0009ec80: 5465 7374 2066 6f72 2065 7869 7374 656e Test for existen │ │ │ │ 0009ec90: 6365 202f 626f 6f74 2f67 7275 622f 6772 ce /boot/grub/gr │ │ │ │ 0009eca0: 7562 2e63 6667 0a20 2073 7461 743a 0a20 ub.cfg. stat:. │ │ │ │ 0009ecb0: 2020 2070 6174 683a 202f 626f 6f74 2f67 path: /boot/g │ │ │ │ 0009ecc0: 7275 622f 6772 7562 2e63 6667 0a20 2072 rub/grub.cfg. r │ │ │ │ 0009ecd0: 6567 6973 7465 723a 2066 696c 655f 6578 egister: file_ex │ │ │ │ 0009ece0: 6973 7473 0a20 2077 6865 6e3a 0a20 202d ists. when:. - │ │ │ │ -0009ecf0: 2027 222f 626f 6f74 2f65 6669 2220 6e6f '"/boot/efi" no │ │ │ │ -0009ed00: 7420 696e 2061 6e73 6962 6c65 5f6d 6f75 t in ansible_mou │ │ │ │ -0009ed10: 6e74 7320 7c20 6d61 7028 6174 7472 6962 nts | map(attrib │ │ │ │ -0009ed20: 7574 653d 226d 6f75 6e74 2229 207c 206c ute="mount") | l │ │ │ │ -0009ed30: 6973 7427 0a20 202d 2027 2267 7275 6232 ist'. - '"grub2 │ │ │ │ -0009ed40: 2d63 6f6d 6d6f 6e22 2069 6e20 616e 7369 -common" in ansi │ │ │ │ -0009ed50: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -0009ed60: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ +0009ecf0: 2027 2267 7275 6232 2d63 6f6d 6d6f 6e22 '"grub2-common" │ │ │ │ +0009ed00: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +0009ed10: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ +0009ed20: 2722 2f62 6f6f 742f 6566 6922 206e 6f74 '"/boot/efi" not │ │ │ │ +0009ed30: 2069 6e20 616e 7369 626c 655f 6d6f 756e in ansible_moun │ │ │ │ +0009ed40: 7473 207c 206d 6170 2861 7474 7269 6275 ts | map(attribu │ │ │ │ +0009ed50: 7465 3d22 6d6f 756e 7422 2920 7c20 6c69 te="mount") | li │ │ │ │ +0009ed60: 7374 270a 2020 2d20 616e 7369 626c 655f st'. - ansible_ │ │ │ │ 0009ed70: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ 0009ed80: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ 0009ed90: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ 0009eda0: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ 0009edb0: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ 0009edc0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38 tags:. - NIST-8 │ │ │ │ 0009edd0: 3030 2d31 3731 2d33 2e34 2e35 0a20 202d 00-171-3.4.5. - │ │ │ │ @@ -40684,22 +40684,22 @@ │ │ │ │ 0009eeb0: 732c 672d 7877 7273 2c6f 2d78 7772 7420 s,g-xwrs,o-xwrt │ │ │ │ 0009eec0: 6f6e 202f 626f 6f74 2f67 7275 622f 6772 on /boot/grub/gr │ │ │ │ 0009eed0: 7562 2e63 6667 0a20 2066 696c 653a 0a20 ub.cfg. file:. │ │ │ │ 0009eee0: 2020 2070 6174 683a 202f 626f 6f74 2f67 path: /boot/g │ │ │ │ 0009eef0: 7275 622f 6772 7562 2e63 6667 0a20 2020 rub/grub.cfg. │ │ │ │ 0009ef00: 206d 6f64 653a 2075 2d78 732c 672d 7877 mode: u-xs,g-xw │ │ │ │ 0009ef10: 7273 2c6f 2d78 7772 740a 2020 7768 656e rs,o-xwrt. when │ │ │ │ -0009ef20: 3a0a 2020 2d20 2722 2f62 6f6f 742f 6566 :. - '"/boot/ef │ │ │ │ -0009ef30: 6922 206e 6f74 2069 6e20 616e 7369 626c i" not in ansibl │ │ │ │ -0009ef40: 655f 6d6f 756e 7473 207c 206d 6170 2861 e_mounts | map(a │ │ │ │ -0009ef50: 7474 7269 6275 7465 3d22 6d6f 756e 7422 ttribute="mount" │ │ │ │ -0009ef60: 2920 7c20 6c69 7374 270a 2020 2d20 2722 ) | list'. - '" │ │ │ │ -0009ef70: 6772 7562 322d 636f 6d6d 6f6e 2220 696e grub2-common" in │ │ │ │ -0009ef80: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -0009ef90: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ +0009ef20: 3a0a 2020 2d20 2722 6772 7562 322d 636f :. - '"grub2-co │ │ │ │ +0009ef30: 6d6d 6f6e 2220 696e 2061 6e73 6962 6c65 mmon" in ansible │ │ │ │ +0009ef40: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ +0009ef50: 0a20 202d 2027 222f 626f 6f74 2f65 6669 . - '"/boot/efi │ │ │ │ +0009ef60: 2220 6e6f 7420 696e 2061 6e73 6962 6c65 " not in ansible │ │ │ │ +0009ef70: 5f6d 6f75 6e74 7320 7c20 6d61 7028 6174 _mounts | map(at │ │ │ │ +0009ef80: 7472 6962 7574 653d 226d 6f75 6e74 2229 tribute="mount") │ │ │ │ +0009ef90: 207c 206c 6973 7427 0a20 202d 2061 6e73 | list'. - ans │ │ │ │ 0009efa0: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ 0009efb0: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ 0009efc0: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ 0009efd0: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ 0009efe0: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ 0009eff0: 225d 0a20 202d 2066 696c 655f 6578 6973 "]. - file_exis │ │ │ │ 0009f000: 7473 2e73 7461 7420 6973 2064 6566 696e ts.stat is defin │ │ │ │ @@ -40747,24 +40747,24 @@ │ │ │ │ 0009f2a0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567 >
│ │ │ │ 0009f2d0: 7461 626c 653e 3c70 7265 3e3c 636f 6465 table> Strateg │ │ │ │ 0009f2b0: 793a 3c2f 7468 3e3c 7464 3e63 6f6e 6669 y: confi │ │ │ │ 0009f2c0: 6775 7265 3c2f 7464 3e3c 2f74 723e 3c2f gure # Remediation i │ │ │ │ 0009f2f0: 7320 6170 706c 6963 6162 6c65 206f 6e6c s applicable onl │ │ │ │ 0009f300: 7920 696e 2063 6572 7461 696e 2070 6c61 y in certain pla │ │ │ │ -0009f310: 7466 6f72 6d73 0a69 6620 5b20 2120 2d66 tforms.if [ ! -f │ │ │ │ -0009f320: 202f 7379 732f 6669 726d 7761 7265 2f65 /sys/firmware/e │ │ │ │ -0009f330: 6669 205d 2026 616d 703b 2661 6d70 3b20 fi ] && │ │ │ │ -0009f340: 6470 6b67 2d71 7565 7279 202d 2d73 686f dpkg-query --sho │ │ │ │ -0009f350: 7720 2d2d 7368 6f77 666f 726d 6174 3d27 w --showformat=' │ │ │ │ -0009f360: 247b 6462 3a53 7461 7475 732d 5374 6174 ${db:Status-Stat │ │ │ │ -0009f370: 7573 7d5c 6e27 2027 6772 7562 322d 636f us}\n' 'grub2-co │ │ │ │ -0009f380: 6d6d 6f6e 2720 3226 6774 3b2f 6465 762f mmon' 2>/dev/ │ │ │ │ -0009f390: 6e75 6c6c 207c 2067 7265 7020 2d71 2069 null | grep -q i │ │ │ │ -0009f3a0: 6e73 7461 6c6c 6564 2026 616d 703b 2661 nstalled &&a │ │ │ │ +0009f310: 7466 6f72 6d73 0a69 6620 6470 6b67 2d71 tforms.if dpkg-q │ │ │ │ +0009f320: 7565 7279 202d 2d73 686f 7720 2d2d 7368 uery --show --sh │ │ │ │ +0009f330: 6f77 666f 726d 6174 3d27 247b 6462 3a53 owformat='${db:S │ │ │ │ +0009f340: 7461 7475 732d 5374 6174 7573 7d5c 6e27 tatus-Status}\n' │ │ │ │ +0009f350: 2027 6772 7562 322d 636f 6d6d 6f6e 2720 'grub2-common' │ │ │ │ +0009f360: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c 2>/dev/null | │ │ │ │ +0009f370: 2067 7265 7020 2d71 2069 6e73 7461 6c6c grep -q install │ │ │ │ +0009f380: 6564 2026 616d 703b 2661 6d70 3b20 5b20 ed && [ │ │ │ │ +0009f390: 2120 2d66 202f 7379 732f 6669 726d 7761 ! -f /sys/firmwa │ │ │ │ +0009f3a0: 7265 2f65 6669 205d 2026 616d 703b 2661 re/efi ] &&a │ │ │ │ 0009f3b0: 6d70 3b20 7b20 5b20 2120 2d66 202f 2e64 mp; { [ ! -f /.d │ │ │ │ 0009f3c0: 6f63 6b65 7265 6e76 205d 2026 616d 703b ockerenv ] & │ │ │ │ 0009f3d0: 2661 6d70 3b20 5b20 2120 2d66 202f 7275 & [ ! -f /ru │ │ │ │ 0009f3e0: 6e2f 2e63 6f6e 7461 696e 6572 656e 7620 n/.containerenv │ │ │ │ 0009f3f0: 5d3b 207d 3b20 7468 656e 0a0a 6368 6d6f ]; }; then..chmo │ │ │ │ 0009f400: 6420 752d 7873 2c67 2d78 7772 732c 6f2d d u-xs,g-xwrs,o- │ │ │ │ 0009f410: 7877 7274 202f 626f 6f74 2f67 7275 622f xwrt /boot/grub/ │ │ │ │ ├── html2text {} │ │ │ │ │ @@ -3459,16 +3459,16 @@ │ │ │ │ │ - no_reboot_needed │ │ │ │ │ │ │ │ │ │ - name: Test for existence /boot/grub/grub.cfg │ │ │ │ │ stat: │ │ │ │ │ path: /boot/grub/grub.cfg │ │ │ │ │ register: file_exists │ │ │ │ │ when: │ │ │ │ │ - - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - '"grub2-common" in ansible_facts.packages' │ │ │ │ │ + - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.5.2.2 │ │ │ │ │ - NIST-800-171-3.4.5 │ │ │ │ │ - NIST-800-53-AC-6(1) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-7.1 │ │ │ │ │ @@ -3480,16 +3480,16 @@ │ │ │ │ │ - no_reboot_needed │ │ │ │ │ │ │ │ │ │ - name: Ensure owner 0 on /boot/grub/grub.cfg │ │ │ │ │ file: │ │ │ │ │ path: /boot/grub/grub.cfg │ │ │ │ │ owner: '0' │ │ │ │ │ when: │ │ │ │ │ - - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - '"grub2-common" in ansible_facts.packages' │ │ │ │ │ + - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ - file_exists.stat is defined and file_exists.stat.exists │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.5.2.2 │ │ │ │ │ - NIST-800-171-3.4.5 │ │ │ │ │ - NIST-800-53-AC-6(1) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -3501,16 +3501,16 @@ │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ Complexity: low │ │ │ │ │ Disruption: low │ │ │ │ │ Strategy: configure │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if [ ! -f /sys/firmware/efi ] && dpkg-query --show --showformat='${db:Status-Status}\n' 'grub2-common' 2>/dev/ │ │ │ │ │ -null | grep -q installed && { [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; }; then │ │ │ │ │ +if dpkg-query --show --showformat='${db:Status-Status}\n' 'grub2-common' 2>/dev/null | grep -q installed && [ ! │ │ │ │ │ +-f /sys/firmware/efi ] && { [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; }; then │ │ │ │ │ │ │ │ │ │ chown 0 /boot/grub/grub.cfg │ │ │ │ │ │ │ │ │ │ else │ │ │ │ │ >&2 echo 'Remediation is not applicable, nothing was done' │ │ │ │ │ fi │ │ │ │ │ *** Rule Verify /boot/grub/grub.cfg Permissions [ref] *** │ │ │ │ │ @@ -3546,16 +3546,16 @@ │ │ │ │ │ - no_reboot_needed │ │ │ │ │ │ │ │ │ │ - name: Test for existence /boot/grub/grub.cfg │ │ │ │ │ stat: │ │ │ │ │ path: /boot/grub/grub.cfg │ │ │ │ │ register: file_exists │ │ │ │ │ when: │ │ │ │ │ - - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - '"grub2-common" in ansible_facts.packages' │ │ │ │ │ + - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ tags: │ │ │ │ │ - NIST-800-171-3.4.5 │ │ │ │ │ - NIST-800-53-AC-6(1) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - configure_strategy │ │ │ │ │ - file_permissions_grub2_cfg │ │ │ │ │ @@ -3565,16 +3565,16 @@ │ │ │ │ │ - no_reboot_needed │ │ │ │ │ │ │ │ │ │ - name: Ensure permission u-xs,g-xwrs,o-xwrt on /boot/grub/grub.cfg │ │ │ │ │ file: │ │ │ │ │ path: /boot/grub/grub.cfg │ │ │ │ │ mode: u-xs,g-xwrs,o-xwrt │ │ │ │ │ when: │ │ │ │ │ - - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - '"grub2-common" in ansible_facts.packages' │ │ │ │ │ + - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ - file_exists.stat is defined and file_exists.stat.exists │ │ │ │ │ tags: │ │ │ │ │ - NIST-800-171-3.4.5 │ │ │ │ │ - NIST-800-53-AC-6(1) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - configure_strategy │ │ │ │ │ @@ -3584,16 +3584,16 @@ │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ Complexity: low │ │ │ │ │ Disruption: low │ │ │ │ │ Strategy: configure │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if [ ! -f /sys/firmware/efi ] && dpkg-query --show --showformat='${db:Status-Status}\n' 'grub2-common' 2>/ │ │ │ │ │ -dev/null | grep -q installed && { [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; }; then │ │ │ │ │ +if dpkg-query --show --showformat='${db:Status-Status}\n' 'grub2-common' 2>/dev/null | grep -q installed && │ │ │ │ │ +[ ! -f /sys/firmware/efi ] && { [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; }; then │ │ │ │ │ │ │ │ │ │ chmod u-xs,g-xwrs,o-xwrt /boot/grub/grub.cfg │ │ │ │ │ │ │ │ │ │ else │ │ │ │ │ >&2 echo 'Remediation is not applicable, nothing was done' │ │ │ │ │ fi │ │ │ │ │ *** Rule Set Boot Loader Password in grub2 [ref] *** │ │ │ ├── ./usr/share/doc/ssg-debderived/ssg-ubuntu2004-guide-cis_level2_server.html │ │ │ │ @@ -41162,22 +41162,22 @@ │ │ │ │ 000a0c90: 202d 2072 6573 7472 6963 745f 7374 7261 - restrict_stra │ │ │ │ 000a0ca0: 7465 6779 0a0a 2d20 6e61 6d65 3a20 5365 tegy..- name: Se │ │ │ │ 000a0cb0: 7420 6172 6368 6974 6563 7475 7265 2066 t architecture f │ │ │ │ 000a0cc0: 6f72 2061 7564 6974 2063 686d 6f64 2074 or audit chmod t │ │ │ │ 000a0cd0: 6173 6b73 0a20 2073 6574 5f66 6163 743a asks. set_fact: │ │ │ │ 000a0ce0: 0a20 2020 2061 7564 6974 5f61 7263 683a . audit_arch: │ │ │ │ 000a0cf0: 2062 3634 0a20 2077 6865 6e3a 0a20 202d b64. when:. - │ │ │ │ -000a0d00: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ -000a0d10: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ -000a0d20: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl │ │ │ │ -000a0d30: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ -000a0d40: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ -000a0d50: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ -000a0d60: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ -000a0d70: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +000a0d00: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ +000a0d10: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ +000a0d20: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ +000a0d30: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ +000a0d40: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ +000a0d50: 696e 6572 225d 0a20 202d 2027 2261 7564 iner"]. - '"aud │ │ │ │ +000a0d60: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ +000a0d70: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ 000a0d80: 2020 2d20 616e 7369 626c 655f 6172 6368 - ansible_arch │ │ │ │ 000a0d90: 6974 6563 7475 7265 203d 3d20 2261 6172 itecture == "aar │ │ │ │ 000a0da0: 6368 3634 2220 6f72 2061 6e73 6962 6c65 ch64" or ansible │ │ │ │ 000a0db0: 5f61 7263 6869 7465 6374 7572 6520 3d3d _architecture == │ │ │ │ 000a0dc0: 2022 7070 6336 3422 206f 7220 616e 7369 "ppc64" or ansi │ │ │ │ 000a0dd0: 626c 655f 6172 6368 6974 6563 7475 7265 ble_architecture │ │ │ │ 000a0de0: 0a20 2020 203d 3d20 2270 7063 3634 6c65 . == "ppc64le │ │ │ │ @@ -41485,23 +41485,23 @@ │ │ │ │ 000a20c0: 6572 6d5f 6d6f 640a 2020 2020 2020 6372 erm_mod. cr │ │ │ │ 000a20d0: 6561 7465 3a20 7472 7565 0a20 2020 2020 eate: true. │ │ │ │ 000a20e0: 206d 6f64 653a 206f 2d72 7778 0a20 2020 mode: o-rwx. │ │ │ │ 000a20f0: 2020 2073 7461 7465 3a20 7072 6573 656e state: presen │ │ │ │ 000a2100: 740a 2020 2020 7768 656e 3a20 7379 7363 t. when: sysc │ │ │ │ 000a2110: 616c 6c73 5f66 6f75 6e64 207c 206c 656e alls_found | len │ │ │ │ 000a2120: 6774 6820 3d3d 2030 0a20 2077 6865 6e3a gth == 0. when: │ │ │ │ -000a2130: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -000a2140: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -000a2150: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -000a2160: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -000a2170: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -000a2180: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -000a2190: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -000a21a0: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -000a21b0: 7222 5d0a 2020 7461 6773 3a0a 2020 2d20 r"]. tags:. - │ │ │ │ +000a2130: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +000a2140: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +000a2150: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +000a2160: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +000a2170: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +000a2180: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +000a2190: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +000a21a0: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +000a21b0: 6573 270a 2020 7461 6773 3a0a 2020 2d20 es'. tags:. - │ │ │ │ 000a21c0: 434a 4953 2d35 2e34 2e31 2e31 0a20 202d CJIS-5.4.1.1. - │ │ │ │ 000a21d0: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 000a21e0: 3230 2d30 3130 3135 320a 2020 2d20 4e49 20-010152. - NI │ │ │ │ 000a21f0: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 000a2200: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 000a2210: 2d41 552d 3132 2863 290a 2020 2d20 4e49 -AU-12(c). - NI │ │ │ │ 000a2220: 5354 2d38 3030 2d35 332d 4155 2d32 2864 ST-800-53-AU-2(d │ │ │ │ @@ -41797,22 +41797,22 @@ │ │ │ │ 000a3440: 6f64 0a20 2020 2020 2063 7265 6174 653a od. create: │ │ │ │ 000a3450: 2074 7275 650a 2020 2020 2020 6d6f 6465 true. mode │ │ │ │ 000a3460: 3a20 6f2d 7277 780a 2020 2020 2020 7374 : o-rwx. st │ │ │ │ 000a3470: 6174 653a 2070 7265 7365 6e74 0a20 2020 ate: present. │ │ │ │ 000a3480: 2077 6865 6e3a 2073 7973 6361 6c6c 735f when: syscalls_ │ │ │ │ 000a3490: 666f 756e 6420 7c20 6c65 6e67 7468 203d found | length = │ │ │ │ 000a34a0: 3d20 300a 2020 7768 656e 3a0a 2020 2d20 = 0. when:. - │ │ │ │ -000a34b0: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ -000a34c0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ -000a34d0: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ -000a34e0: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ -000a34f0: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ -000a3500: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ -000a3510: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ -000a3520: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +000a34b0: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ +000a34c0: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ +000a34d0: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ +000a34e0: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ +000a34f0: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ +000a3500: 6e65 7222 5d0a 2020 2d20 2722 6175 6469 ner"]. - '"audi │ │ │ │ +000a3510: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ +000a3520: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ 000a3530: 202d 2061 7564 6974 5f61 7263 6820 3d3d - audit_arch == │ │ │ │ 000a3540: 2022 6236 3422 0a20 2074 6167 733a 0a20 "b64". tags:. │ │ │ │ 000a3550: 202d 2043 4a49 532d 352e 342e 312e 310a - CJIS-5.4.1.1. │ │ │ │ 000a3560: 2020 2d20 4449 5341 2d53 5449 472d 5542 - DISA-STIG-UB │ │ │ │ 000a3570: 5455 2d32 302d 3031 3031 3532 0a20 202d TU-20-010152. - │ │ │ │ 000a3580: 204e 4953 542d 3830 302d 3137 312d 332e NIST-800-171-3. │ │ │ │ 000a3590: 312e 370a 2020 2d20 4e49 5354 2d38 3030 1.7. - NIST-800 │ │ │ │ @@ -41846,26 +41846,26 @@ │ │ │ │ 000a3750: 613e 3c62 723e 3c64 6976 2063 6c61 7373 a>
# Remediatio │ │ │ │ 000a37a0: 6e20 6973 2061 7070 6c69 6361 626c 6520 n is applicable │ │ │ │ 000a37b0: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20 only in certain │ │ │ │ -000a37c0: 706c 6174 666f 726d 730a 6966 2064 706b platforms.if dpk │ │ │ │ -000a37d0: 672d 7175 6572 7920 2d2d 7368 6f77 202d g-query --show - │ │ │ │ -000a37e0: 2d73 686f 7766 6f72 6d61 743d 2724 7b64 -showformat='${d │ │ │ │ -000a37f0: 623a 5374 6174 7573 2d53 7461 7475 737d b:Status-Status} │ │ │ │ -000a3800: 5c6e 2720 2761 7564 6974 6427 2032 2667 \n' 'auditd' 2&g │ │ │ │ -000a3810: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772 t;/dev/null | gr │ │ │ │ -000a3820: 6570 202d 7120 696e 7374 616c 6c65 6420 ep -q installed │ │ │ │ -000a3830: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ -000a3840: 6620 2f2e 646f 636b 6572 656e 7620 5d20 f /.dockerenv ] │ │ │ │ -000a3850: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ -000a3860: 6620 2f72 756e 2f2e 636f 6e74 6169 6e65 f /run/.containe │ │ │ │ -000a3870: 7265 6e76 205d 3b20 7468 656e 0a0a 2320 renv ]; then..# │ │ │ │ +000a37c0: 706c 6174 666f 726d 730a 6966 205b 2021 platforms.if [ ! │ │ │ │ +000a37d0: 202d 6620 2f2e 646f 636b 6572 656e 7620 -f /.dockerenv │ │ │ │ +000a37e0: 5d20 2661 6d70 3b26 616d 703b 205b 2021 ] && [ ! │ │ │ │ +000a37f0: 202d 6620 2f72 756e 2f2e 636f 6e74 6169 -f /run/.contai │ │ │ │ +000a3800: 6e65 7265 6e76 205d 2026 616d 703b 2661 nerenv ] &&a │ │ │ │ +000a3810: 6d70 3b20 6470 6b67 2d71 7565 7279 202d mp; dpkg-query - │ │ │ │ +000a3820: 2d73 686f 7720 2d2d 7368 6f77 666f 726d -show --showform │ │ │ │ +000a3830: 6174 3d27 247b 6462 3a53 7461 7475 732d at='${db:Status- │ │ │ │ +000a3840: 5374 6174 7573 7d5c 6e27 2027 6175 6469 Status}\n' 'audi │ │ │ │ +000a3850: 7464 2720 3226 6774 3b2f 6465 762f 6e75 td' 2>/dev/nu │ │ │ │ +000a3860: 6c6c 207c 2067 7265 7020 2d71 2069 6e73 ll | grep -q ins │ │ │ │ +000a3870: 7461 6c6c 6564 3b20 7468 656e 0a0a 2320 talled; then..# │ │ │ │ 000a3880: 4669 7273 7420 7065 7266 6f72 6d20 7468 First perform th │ │ │ │ 000a3890: 6520 7265 6d65 6469 6174 696f 6e20 6f66 e remediation of │ │ │ │ 000a38a0: 2074 6865 2073 7973 6361 6c6c 2072 756c the syscall rul │ │ │ │ 000a38b0: 650a 2320 5265 7472 6965 7665 2068 6172 e.# Retrieve har │ │ │ │ 000a38c0: 6477 6172 6520 6172 6368 6974 6563 7475 dware architectu │ │ │ │ 000a38d0: 7265 206f 6620 7468 6520 756e 6465 726c re of the underl │ │ │ │ 000a38e0: 7969 6e67 2073 7973 7465 6d0a 5b20 2224 ying system.[ "$ │ │ │ │ @@ -43663,22 +43663,22 @@ │ │ │ │ 000aa8e0: 2d20 7265 7374 7269 6374 5f73 7472 6174 - restrict_strat │ │ │ │ 000aa8f0: 6567 790a 0a2d 206e 616d 653a 2053 6574 egy..- name: Set │ │ │ │ 000aa900: 2061 7263 6869 7465 6374 7572 6520 666f architecture fo │ │ │ │ 000aa910: 7220 6175 6469 7420 6368 6f77 6e20 7461 r audit chown ta │ │ │ │ 000aa920: 736b 730a 2020 7365 745f 6661 6374 3a0a sks. set_fact:. │ │ │ │ 000aa930: 2020 2020 6175 6469 745f 6172 6368 3a20 audit_arch: │ │ │ │ 000aa940: 6236 340a 2020 7768 656e 3a0a 2020 2d20 b64. when:. - │ │ │ │ -000aa950: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ -000aa960: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ -000aa970: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ -000aa980: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ -000aa990: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ -000aa9a0: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ -000aa9b0: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ -000aa9c0: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +000aa950: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ +000aa960: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ +000aa970: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ +000aa980: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ +000aa990: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ +000aa9a0: 6e65 7222 5d0a 2020 2d20 2722 6175 6469 ner"]. - '"audi │ │ │ │ +000aa9b0: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ +000aa9c0: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ 000aa9d0: 202d 2061 6e73 6962 6c65 5f61 7263 6869 - ansible_archi │ │ │ │ 000aa9e0: 7465 6374 7572 6520 3d3d 2022 6161 7263 tecture == "aarc │ │ │ │ 000aa9f0: 6836 3422 206f 7220 616e 7369 626c 655f h64" or ansible_ │ │ │ │ 000aaa00: 6172 6368 6974 6563 7475 7265 203d 3d20 architecture == │ │ │ │ 000aaa10: 2270 7063 3634 2220 6f72 2061 6e73 6962 "ppc64" or ansib │ │ │ │ 000aaa20: 6c65 5f61 7263 6869 7465 6374 7572 650a le_architecture. │ │ │ │ 000aaa30: 2020 2020 3d3d 2022 7070 6336 346c 6522 == "ppc64le" │ │ │ │ @@ -43988,22 +43988,22 @@ │ │ │ │ 000abd30: 5f6d 6f64 0a20 2020 2020 2063 7265 6174 _mod. creat │ │ │ │ 000abd40: 653a 2074 7275 650a 2020 2020 2020 6d6f e: true. mo │ │ │ │ 000abd50: 6465 3a20 6f2d 7277 780a 2020 2020 2020 de: o-rwx. │ │ │ │ 000abd60: 7374 6174 653a 2070 7265 7365 6e74 0a20 state: present. │ │ │ │ 000abd70: 2020 2077 6865 6e3a 2073 7973 6361 6c6c when: syscall │ │ │ │ 000abd80: 735f 666f 756e 6420 7c20 6c65 6e67 7468 s_found | length │ │ │ │ 000abd90: 203d 3d20 300a 2020 7768 656e 3a0a 2020 == 0. when:. │ │ │ │ -000abda0: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ -000abdb0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ -000abdc0: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ -000abdd0: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ -000abde0: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ -000abdf0: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ -000abe00: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ -000abe10: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +000abda0: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ +000abdb0: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ +000abdc0: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ +000abdd0: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ +000abde0: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ +000abdf0: 6169 6e65 7222 5d0a 2020 2d20 2722 6175 ainer"]. - '"au │ │ │ │ +000abe00: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ +000abe10: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ 000abe20: 0a20 2074 6167 733a 0a20 202d 2043 4a49 . tags:. - CJI │ │ │ │ 000abe30: 532d 352e 342e 312e 310a 2020 2d20 4449 S-5.4.1.1. - DI │ │ │ │ 000abe40: 5341 2d53 5449 472d 5542 5455 2d32 302d SA-STIG-UBTU-20- │ │ │ │ 000abe50: 3031 3031 3438 0a20 202d 204e 4953 542d 010148. - NIST- │ │ │ │ 000abe60: 3830 302d 3137 312d 332e 312e 370a 2020 800-171-3.1.7. │ │ │ │ 000abe70: 2d20 4e49 5354 2d38 3030 2d35 332d 4155 - NIST-800-53-AU │ │ │ │ 000abe80: 2d31 3228 6329 0a20 202d 204e 4953 542d -12(c). - NIST- │ │ │ │ @@ -44301,23 +44301,23 @@ │ │ │ │ 000ad0c0: 206b 6579 3d70 6572 6d5f 6d6f 640a 2020 key=perm_mod. │ │ │ │ 000ad0d0: 2020 2020 6372 6561 7465 3a20 7472 7565 create: true │ │ │ │ 000ad0e0: 0a20 2020 2020 206d 6f64 653a 206f 2d72 . mode: o-r │ │ │ │ 000ad0f0: 7778 0a20 2020 2020 2073 7461 7465 3a20 wx. state: │ │ │ │ 000ad100: 7072 6573 656e 740a 2020 2020 7768 656e present. when │ │ │ │ 000ad110: 3a20 7379 7363 616c 6c73 5f66 6f75 6e64 : syscalls_found │ │ │ │ 000ad120: 207c 206c 656e 6774 6820 3d3d 2030 0a20 | length == 0. │ │ │ │ -000ad130: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -000ad140: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -000ad150: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -000ad160: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -000ad170: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -000ad180: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -000ad190: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -000ad1a0: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -000ad1b0: 6e74 6169 6e65 7222 5d0a 2020 2d20 6175 ntainer"]. - au │ │ │ │ +000ad130: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +000ad140: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +000ad150: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +000ad160: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +000ad170: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +000ad180: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +000ad190: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +000ad1a0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +000ad1b0: 7061 636b 6167 6573 270a 2020 2d20 6175 packages'. - au │ │ │ │ 000ad1c0: 6469 745f 6172 6368 203d 3d20 2262 3634 dit_arch == "b64 │ │ │ │ 000ad1d0: 220a 2020 7461 6773 3a0a 2020 2d20 434a ". tags:. - CJ │ │ │ │ 000ad1e0: 4953 2d35 2e34 2e31 2e31 0a20 202d 2044 IS-5.4.1.1. - D │ │ │ │ 000ad1f0: 4953 412d 5354 4947 2d55 4254 552d 3230 ISA-STIG-UBTU-20 │ │ │ │ 000ad200: 2d30 3130 3134 380a 2020 2d20 4e49 5354 -010148. - NIST │ │ │ │ 000ad210: 2d38 3030 2d31 3731 2d33 2e31 2e37 0a20 -800-171-3.1.7. │ │ │ │ 000ad220: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ @@ -44351,26 +44351,26 @@ │ │ │ │ 000ad3e0: 3e3c 6469 7620 636c 6173 733d 2270 616e > # │ │ │ │ 000ad420: 2052 656d 6564 6961 7469 6f6e 2069 7320 Remediation is │ │ │ │ 000ad430: 6170 706c 6963 6162 6c65 206f 6e6c 7920 applicable only │ │ │ │ 000ad440: 696e 2063 6572 7461 696e 2070 6c61 7466 in certain platf │ │ │ │ -000ad450: 6f72 6d73 0a69 6620 6470 6b67 2d71 7565 orms.if dpkg-que │ │ │ │ -000ad460: 7279 202d 2d73 686f 7720 2d2d 7368 6f77 ry --show --show │ │ │ │ -000ad470: 666f 726d 6174 3d27 247b 6462 3a53 7461 format='${db:Sta │ │ │ │ -000ad480: 7475 732d 5374 6174 7573 7d5c 6e27 2027 tus-Status}\n' ' │ │ │ │ -000ad490: 6175 6469 7464 2720 3226 6774 3b2f 6465 auditd' 2>/de │ │ │ │ -000ad4a0: 762f 6e75 6c6c 207c 2067 7265 7020 2d71 v/null | grep -q │ │ │ │ -000ad4b0: 2069 6e73 7461 6c6c 6564 2026 616d 703b installed & │ │ │ │ -000ad4c0: 2661 6d70 3b20 5b20 2120 2d66 202f 2e64 & [ ! -f /.d │ │ │ │ -000ad4d0: 6f63 6b65 7265 6e76 205d 2026 616d 703b ockerenv ] & │ │ │ │ -000ad4e0: 2661 6d70 3b20 5b20 2120 2d66 202f 7275 & [ ! -f /ru │ │ │ │ -000ad4f0: 6e2f 2e63 6f6e 7461 696e 6572 656e 7620 n/.containerenv │ │ │ │ -000ad500: 5d3b 2074 6865 6e0a 0a23 2046 6972 7374 ]; then..# First │ │ │ │ +000ad450: 6f72 6d73 0a69 6620 5b20 2120 2d66 202f orms.if [ ! -f / │ │ │ │ +000ad460: 2e64 6f63 6b65 7265 6e76 205d 2026 616d .dockerenv ] &am │ │ │ │ +000ad470: 703b 2661 6d70 3b20 5b20 2120 2d66 202f p;& [ ! -f / │ │ │ │ +000ad480: 7275 6e2f 2e63 6f6e 7461 696e 6572 656e run/.containeren │ │ │ │ +000ad490: 7620 5d20 2661 6d70 3b26 616d 703b 2064 v ] && d │ │ │ │ +000ad4a0: 706b 672d 7175 6572 7920 2d2d 7368 6f77 pkg-query --show │ │ │ │ +000ad4b0: 202d 2d73 686f 7766 6f72 6d61 743d 2724 --showformat='$ │ │ │ │ +000ad4c0: 7b64 623a 5374 6174 7573 2d53 7461 7475 {db:Status-Statu │ │ │ │ +000ad4d0: 737d 5c6e 2720 2761 7564 6974 6427 2032 s}\n' 'auditd' 2 │ │ │ │ +000ad4e0: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20 >/dev/null | │ │ │ │ +000ad4f0: 6772 6570 202d 7120 696e 7374 616c 6c65 grep -q installe │ │ │ │ +000ad500: 643b 2074 6865 6e0a 0a23 2046 6972 7374 d; then..# First │ │ │ │ 000ad510: 2070 6572 666f 726d 2074 6865 2072 656d perform the rem │ │ │ │ 000ad520: 6564 6961 7469 6f6e 206f 6620 7468 6520 ediation of the │ │ │ │ 000ad530: 7379 7363 616c 6c20 7275 6c65 0a23 2052 syscall rule.# R │ │ │ │ 000ad540: 6574 7269 6576 6520 6861 7264 7761 7265 etrieve hardware │ │ │ │ 000ad550: 2061 7263 6869 7465 6374 7572 6520 6f66 architecture of │ │ │ │ 000ad560: 2074 6865 2075 6e64 6572 6c79 696e 6720 the underlying │ │ │ │ 000ad570: 7379 7374 656d 0a5b 2022 2428 6765 7463 system.[ "$(getc │ │ │ │ @@ -46160,23 +46160,23 @@ │ │ │ │ 000b44f0: 2020 2d20 7265 7374 7269 6374 5f73 7472 - restrict_str │ │ │ │ 000b4500: 6174 6567 790a 0a2d 206e 616d 653a 2053 ategy..- name: S │ │ │ │ 000b4510: 6574 2061 7263 6869 7465 6374 7572 6520 et architecture │ │ │ │ 000b4520: 666f 7220 6175 6469 7420 6663 686d 6f64 for audit fchmod │ │ │ │ 000b4530: 2074 6173 6b73 0a20 2073 6574 5f66 6163 tasks. set_fac │ │ │ │ 000b4540: 743a 0a20 2020 2061 7564 6974 5f61 7263 t:. audit_arc │ │ │ │ 000b4550: 683a 2062 3634 0a20 2077 6865 6e3a 0a20 h: b64. when:. │ │ │ │ -000b4560: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ -000b4570: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ -000b4580: 636b 6167 6573 270a 2020 2d20 616e 7369 ckages'. - ansi │ │ │ │ -000b4590: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ -000b45a0: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ -000b45b0: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ -000b45c0: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ -000b45d0: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ -000b45e0: 5d0a 2020 2d20 616e 7369 626c 655f 6172 ]. - ansible_ar │ │ │ │ +000b4560: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ +000b4570: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ +000b4580: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ +000b4590: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ +000b45a0: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ +000b45b0: 7461 696e 6572 225d 0a20 202d 2027 2261 tainer"]. - '"a │ │ │ │ +000b45c0: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ +000b45d0: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ +000b45e0: 270a 2020 2d20 616e 7369 626c 655f 6172 '. - ansible_ar │ │ │ │ 000b45f0: 6368 6974 6563 7475 7265 203d 3d20 2261 chitecture == "a │ │ │ │ 000b4600: 6172 6368 3634 2220 6f72 2061 6e73 6962 arch64" or ansib │ │ │ │ 000b4610: 6c65 5f61 7263 6869 7465 6374 7572 6520 le_architecture │ │ │ │ 000b4620: 3d3d 2022 7070 6336 3422 206f 7220 616e == "ppc64" or an │ │ │ │ 000b4630: 7369 626c 655f 6172 6368 6974 6563 7475 sible_architectu │ │ │ │ 000b4640: 7265 0a20 2020 203d 3d20 2270 7063 3634 re. == "ppc64 │ │ │ │ 000b4650: 6c65 2220 6f72 2061 6e73 6962 6c65 5f61 le" or ansible_a │ │ │ │ @@ -46483,23 +46483,23 @@ │ │ │ │ 000b5920: 2d46 206b 6579 3d70 6572 6d5f 6d6f 640a -F key=perm_mod. │ │ │ │ 000b5930: 2020 2020 2020 6372 6561 7465 3a20 7472 create: tr │ │ │ │ 000b5940: 7565 0a20 2020 2020 206d 6f64 653a 206f ue. mode: o │ │ │ │ 000b5950: 2d72 7778 0a20 2020 2020 2073 7461 7465 -rwx. state │ │ │ │ 000b5960: 3a20 7072 6573 656e 740a 2020 2020 7768 : present. wh │ │ │ │ 000b5970: 656e 3a20 7379 7363 616c 6c73 5f66 6f75 en: syscalls_fou │ │ │ │ 000b5980: 6e64 207c 206c 656e 6774 6820 3d3d 2030 nd | length == 0 │ │ │ │ -000b5990: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -000b59a0: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -000b59b0: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -000b59c0: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -000b59d0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -000b59e0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -000b59f0: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -000b5a00: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -000b5a10: 636f 6e74 6169 6e65 7222 5d0a 2020 7461 container"]. ta │ │ │ │ +000b5990: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +000b59a0: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +000b59b0: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +000b59c0: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +000b59d0: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +000b59e0: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +000b59f0: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +000b5a00: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +000b5a10: 732e 7061 636b 6167 6573 270a 2020 7461 s.packages'. ta │ │ │ │ 000b5a20: 6773 3a0a 2020 2d20 434a 4953 2d35 2e34 gs:. - CJIS-5.4 │ │ │ │ 000b5a30: 2e31 2e31 0a20 202d 2044 4953 412d 5354 .1.1. - DISA-ST │ │ │ │ 000b5a40: 4947 2d55 4254 552d 3230 2d30 3130 3135 IG-UBTU-20-01015 │ │ │ │ 000b5a50: 330a 2020 2d20 4e49 5354 2d38 3030 2d31 3. - NIST-800-1 │ │ │ │ 000b5a60: 3731 2d33 2e31 2e37 0a20 202d 204e 4953 71-3.1.7. - NIS │ │ │ │ 000b5a70: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ 000b5a80: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ @@ -46795,23 +46795,23 @@ │ │ │ │ 000b6ca0: 202d 4620 6b65 793d 7065 726d 5f6d 6f64 -F key=perm_mod │ │ │ │ 000b6cb0: 0a20 2020 2020 2063 7265 6174 653a 2074 . create: t │ │ │ │ 000b6cc0: 7275 650a 2020 2020 2020 6d6f 6465 3a20 rue. mode: │ │ │ │ 000b6cd0: 6f2d 7277 780a 2020 2020 2020 7374 6174 o-rwx. stat │ │ │ │ 000b6ce0: 653a 2070 7265 7365 6e74 0a20 2020 2077 e: present. w │ │ │ │ 000b6cf0: 6865 6e3a 2073 7973 6361 6c6c 735f 666f hen: syscalls_fo │ │ │ │ 000b6d00: 756e 6420 7c20 6c65 6e67 7468 203d 3d20 und | length == │ │ │ │ -000b6d10: 300a 2020 7768 656e 3a0a 2020 2d20 2722 0. when:. - '" │ │ │ │ -000b6d20: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -000b6d30: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -000b6d40: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -000b6d50: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -000b6d60: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -000b6d70: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -000b6d80: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -000b6d90: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +000b6d10: 300a 2020 7768 656e 3a0a 2020 2d20 616e 0. when:. - an │ │ │ │ +000b6d20: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +000b6d30: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +000b6d40: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +000b6d50: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +000b6d60: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +000b6d70: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +000b6d80: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +000b6d90: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ 000b6da0: 2061 7564 6974 5f61 7263 6820 3d3d 2022 audit_arch == " │ │ │ │ 000b6db0: 6236 3422 0a20 2074 6167 733a 0a20 202d b64". tags:. - │ │ │ │ 000b6dc0: 2043 4a49 532d 352e 342e 312e 310a 2020 CJIS-5.4.1.1. │ │ │ │ 000b6dd0: 2d20 4449 5341 2d53 5449 472d 5542 5455 - DISA-STIG-UBTU │ │ │ │ 000b6de0: 2d32 302d 3031 3031 3533 0a20 202d 204e -20-010153. - N │ │ │ │ 000b6df0: 4953 542d 3830 302d 3137 312d 332e 312e IST-800-171-3.1. │ │ │ │ 000b6e00: 370a 2020 2d20 4e49 5354 2d38 3030 2d35 7. - NIST-800-5 │ │ │ │ @@ -46845,26 +46845,26 @@ │ │ │ │ 000b6fc0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d >
# Remediation │ │ │ │ 000b7010: 2069 7320 6170 706c 6963 6162 6c65 206f is applicable o │ │ │ │ 000b7020: 6e6c 7920 696e 2063 6572 7461 696e 2070 nly in certain p │ │ │ │ -000b7030: 6c61 7466 6f72 6d73 0a69 6620 6470 6b67 latforms.if dpkg │ │ │ │ -000b7040: 2d71 7565 7279 202d 2d73 686f 7720 2d2d -query --show -- │ │ │ │ -000b7050: 7368 6f77 666f 726d 6174 3d27 247b 6462 showformat='${db │ │ │ │ -000b7060: 3a53 7461 7475 732d 5374 6174 7573 7d5c :Status-Status}\ │ │ │ │ -000b7070: 6e27 2027 6175 6469 7464 2720 3226 6774 n' 'auditd' 2> │ │ │ │ -000b7080: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265 ;/dev/null | gre │ │ │ │ -000b7090: 7020 2d71 2069 6e73 7461 6c6c 6564 2026 p -q installed & │ │ │ │ -000b70a0: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -000b70b0: 202f 2e64 6f63 6b65 7265 6e76 205d 2026 /.dockerenv ] & │ │ │ │ -000b70c0: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -000b70d0: 202f 7275 6e2f 2e63 6f6e 7461 696e 6572 /run/.container │ │ │ │ -000b70e0: 656e 7620 5d3b 2074 6865 6e0a 0a23 2046 env ]; then..# F │ │ │ │ +000b7030: 6c61 7466 6f72 6d73 0a69 6620 5b20 2120 latforms.if [ ! │ │ │ │ +000b7040: 2d66 202f 2e64 6f63 6b65 7265 6e76 205d -f /.dockerenv ] │ │ │ │ +000b7050: 2026 616d 703b 2661 6d70 3b20 5b20 2120 && [ ! │ │ │ │ +000b7060: 2d66 202f 7275 6e2f 2e63 6f6e 7461 696e -f /run/.contain │ │ │ │ +000b7070: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +000b7080: 703b 2064 706b 672d 7175 6572 7920 2d2d p; dpkg-query -- │ │ │ │ +000b7090: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ +000b70a0: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ +000b70b0: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ +000b70c0: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ +000b70d0: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ +000b70e0: 616c 6c65 643b 2074 6865 6e0a 0a23 2046 alled; then..# F │ │ │ │ 000b70f0: 6972 7374 2070 6572 666f 726d 2074 6865 irst perform the │ │ │ │ 000b7100: 2072 656d 6564 6961 7469 6f6e 206f 6620 remediation of │ │ │ │ 000b7110: 7468 6520 7379 7363 616c 6c20 7275 6c65 the syscall rule │ │ │ │ 000b7120: 0a23 2052 6574 7269 6576 6520 6861 7264 .# Retrieve hard │ │ │ │ 000b7130: 7761 7265 2061 7263 6869 7465 6374 7572 ware architectur │ │ │ │ 000b7140: 6520 6f66 2074 6865 2075 6e64 6572 6c79 e of the underly │ │ │ │ 000b7150: 696e 6720 7379 7374 656d 0a5b 2022 2428 ing system.[ "$( │ │ │ │ @@ -48655,23 +48655,23 @@ │ │ │ │ 000be0e0: 7265 640a 2020 2d20 7265 7374 7269 6374 red. - restrict │ │ │ │ 000be0f0: 5f73 7472 6174 6567 790a 0a2d 206e 616d _strategy..- nam │ │ │ │ 000be100: 653a 2053 6574 2061 7263 6869 7465 6374 e: Set architect │ │ │ │ 000be110: 7572 6520 666f 7220 6175 6469 7420 6663 ure for audit fc │ │ │ │ 000be120: 686d 6f64 6174 2074 6173 6b73 0a20 2073 hmodat tasks. s │ │ │ │ 000be130: 6574 5f66 6163 743a 0a20 2020 2061 7564 et_fact:. aud │ │ │ │ 000be140: 6974 5f61 7263 683a 2062 3634 0a20 2077 it_arch: b64. w │ │ │ │ -000be150: 6865 6e3a 0a20 202d 2027 2261 7564 6974 hen:. - '"audit │ │ │ │ -000be160: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ -000be170: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ -000be180: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ -000be190: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ -000be1a0: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ -000be1b0: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ -000be1c0: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ -000be1d0: 6169 6e65 7222 5d0a 2020 2d20 616e 7369 ainer"]. - ansi │ │ │ │ +000be150: 6865 6e3a 0a20 202d 2061 6e73 6962 6c65 hen:. - ansible │ │ │ │ +000be160: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ +000be170: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ +000be180: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ +000be190: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ +000be1a0: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +000be1b0: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ +000be1c0: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ +000be1d0: 636b 6167 6573 270a 2020 2d20 616e 7369 ckages'. - ansi │ │ │ │ 000be1e0: 626c 655f 6172 6368 6974 6563 7475 7265 ble_architecture │ │ │ │ 000be1f0: 203d 3d20 2261 6172 6368 3634 2220 6f72 == "aarch64" or │ │ │ │ 000be200: 2061 6e73 6962 6c65 5f61 7263 6869 7465 ansible_archite │ │ │ │ 000be210: 6374 7572 6520 3d3d 2022 7070 6336 3422 cture == "ppc64" │ │ │ │ 000be220: 206f 7220 616e 7369 626c 655f 6172 6368 or ansible_arch │ │ │ │ 000be230: 6974 6563 7475 7265 0a20 2020 203d 3d20 itecture. == │ │ │ │ 000be240: 2270 7063 3634 6c65 2220 6f72 2061 6e73 "ppc64le" or ans │ │ │ │ @@ -48979,23 +48979,23 @@ │ │ │ │ 000bf520: 7420 2d46 206b 6579 3d70 6572 6d5f 6d6f t -F key=perm_mo │ │ │ │ 000bf530: 640a 2020 2020 2020 6372 6561 7465 3a20 d. create: │ │ │ │ 000bf540: 7472 7565 0a20 2020 2020 206d 6f64 653a true. mode: │ │ │ │ 000bf550: 206f 2d72 7778 0a20 2020 2020 2073 7461 o-rwx. sta │ │ │ │ 000bf560: 7465 3a20 7072 6573 656e 740a 2020 2020 te: present. │ │ │ │ 000bf570: 7768 656e 3a20 7379 7363 616c 6c73 5f66 when: syscalls_f │ │ │ │ 000bf580: 6f75 6e64 207c 206c 656e 6774 6820 3d3d ound | length == │ │ │ │ -000bf590: 2030 0a20 2077 6865 6e3a 0a20 202d 2027 0. when:. - ' │ │ │ │ -000bf5a0: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -000bf5b0: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -000bf5c0: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -000bf5d0: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -000bf5e0: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -000bf5f0: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -000bf600: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -000bf610: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +000bf590: 2030 0a20 2077 6865 6e3a 0a20 202d 2061 0. when:. - a │ │ │ │ +000bf5a0: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +000bf5b0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +000bf5c0: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +000bf5d0: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +000bf5e0: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +000bf5f0: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +000bf600: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +000bf610: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 000bf620: 7461 6773 3a0a 2020 2d20 434a 4953 2d35 tags:. - CJIS-5 │ │ │ │ 000bf630: 2e34 2e31 2e31 0a20 202d 2044 4953 412d .4.1.1. - DISA- │ │ │ │ 000bf640: 5354 4947 2d55 4254 552d 3230 2d30 3130 STIG-UBTU-20-010 │ │ │ │ 000bf650: 3135 340a 2020 2d20 4e49 5354 2d38 3030 154. - NIST-800 │ │ │ │ 000bf660: 2d31 3731 2d33 2e31 2e37 0a20 202d 204e -171-3.1.7. - N │ │ │ │ 000bf670: 4953 542d 3830 302d 3533 2d41 552d 3132 IST-800-53-AU-12 │ │ │ │ 000bf680: 2863 290a 2020 2d20 4e49 5354 2d38 3030 (c). - NIST-800 │ │ │ │ @@ -49292,23 +49292,23 @@ │ │ │ │ 000c08b0: 4620 6b65 793d 7065 726d 5f6d 6f64 0a20 F key=perm_mod. │ │ │ │ 000c08c0: 2020 2020 2063 7265 6174 653a 2074 7275 create: tru │ │ │ │ 000c08d0: 650a 2020 2020 2020 6d6f 6465 3a20 6f2d e. mode: o- │ │ │ │ 000c08e0: 7277 780a 2020 2020 2020 7374 6174 653a rwx. state: │ │ │ │ 000c08f0: 2070 7265 7365 6e74 0a20 2020 2077 6865 present. whe │ │ │ │ 000c0900: 6e3a 2073 7973 6361 6c6c 735f 666f 756e n: syscalls_foun │ │ │ │ 000c0910: 6420 7c20 6c65 6e67 7468 203d 3d20 300a d | length == 0. │ │ │ │ -000c0920: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -000c0930: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -000c0940: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -000c0950: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -000c0960: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -000c0970: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -000c0980: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -000c0990: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -000c09a0: 6f6e 7461 696e 6572 225d 0a20 202d 2061 ontainer"]. - a │ │ │ │ +000c0920: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +000c0930: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +000c0940: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +000c0950: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +000c0960: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +000c0970: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +000c0980: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +000c0990: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +000c09a0: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ 000c09b0: 7564 6974 5f61 7263 6820 3d3d 2022 6236 udit_arch == "b6 │ │ │ │ 000c09c0: 3422 0a20 2074 6167 733a 0a20 202d 2043 4". tags:. - C │ │ │ │ 000c09d0: 4a49 532d 352e 342e 312e 310a 2020 2d20 JIS-5.4.1.1. - │ │ │ │ 000c09e0: 4449 5341 2d53 5449 472d 5542 5455 2d32 DISA-STIG-UBTU-2 │ │ │ │ 000c09f0: 302d 3031 3031 3534 0a20 202d 204e 4953 0-010154. - NIS │ │ │ │ 000c0a00: 542d 3830 302d 3137 312d 332e 312e 370a T-800-171-3.1.7. │ │ │ │ 000c0a10: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ @@ -49342,26 +49342,26 @@ │ │ │ │ 000c0bd0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d > # Remediation │ │ │ │ 000c0c20: 2069 7320 6170 706c 6963 6162 6c65 206f is applicable o │ │ │ │ 000c0c30: 6e6c 7920 696e 2063 6572 7461 696e 2070 nly in certain p │ │ │ │ -000c0c40: 6c61 7466 6f72 6d73 0a69 6620 6470 6b67 latforms.if dpkg │ │ │ │ -000c0c50: 2d71 7565 7279 202d 2d73 686f 7720 2d2d -query --show -- │ │ │ │ -000c0c60: 7368 6f77 666f 726d 6174 3d27 247b 6462 showformat='${db │ │ │ │ -000c0c70: 3a53 7461 7475 732d 5374 6174 7573 7d5c :Status-Status}\ │ │ │ │ -000c0c80: 6e27 2027 6175 6469 7464 2720 3226 6774 n' 'auditd' 2> │ │ │ │ -000c0c90: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265 ;/dev/null | gre │ │ │ │ -000c0ca0: 7020 2d71 2069 6e73 7461 6c6c 6564 2026 p -q installed & │ │ │ │ -000c0cb0: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -000c0cc0: 202f 2e64 6f63 6b65 7265 6e76 205d 2026 /.dockerenv ] & │ │ │ │ -000c0cd0: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -000c0ce0: 202f 7275 6e2f 2e63 6f6e 7461 696e 6572 /run/.container │ │ │ │ -000c0cf0: 656e 7620 5d3b 2074 6865 6e0a 0a23 2046 env ]; then..# F │ │ │ │ +000c0c40: 6c61 7466 6f72 6d73 0a69 6620 5b20 2120 latforms.if [ ! │ │ │ │ +000c0c50: 2d66 202f 2e64 6f63 6b65 7265 6e76 205d -f /.dockerenv ] │ │ │ │ +000c0c60: 2026 616d 703b 2661 6d70 3b20 5b20 2120 && [ ! │ │ │ │ +000c0c70: 2d66 202f 7275 6e2f 2e63 6f6e 7461 696e -f /run/.contain │ │ │ │ +000c0c80: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +000c0c90: 703b 2064 706b 672d 7175 6572 7920 2d2d p; dpkg-query -- │ │ │ │ +000c0ca0: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ +000c0cb0: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ +000c0cc0: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ +000c0cd0: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ +000c0ce0: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ +000c0cf0: 616c 6c65 643b 2074 6865 6e0a 0a23 2046 alled; then..# F │ │ │ │ 000c0d00: 6972 7374 2070 6572 666f 726d 2074 6865 irst perform the │ │ │ │ 000c0d10: 2072 656d 6564 6961 7469 6f6e 206f 6620 remediation of │ │ │ │ 000c0d20: 7468 6520 7379 7363 616c 6c20 7275 6c65 the syscall rule │ │ │ │ 000c0d30: 0a23 2052 6574 7269 6576 6520 6861 7264 .# Retrieve hard │ │ │ │ 000c0d40: 7761 7265 2061 7263 6869 7465 6374 7572 ware architectur │ │ │ │ 000c0d50: 6520 6f66 2074 6865 2075 6e64 6572 6c79 e of the underly │ │ │ │ 000c0d60: 696e 6720 7379 7374 656d 0a5b 2022 2428 ing system.[ "$( │ │ │ │ @@ -51159,23 +51159,23 @@ │ │ │ │ 000c7d60: 6f74 5f72 6571 7569 7265 640a 2020 2d20 ot_required. - │ │ │ │ 000c7d70: 7265 7374 7269 6374 5f73 7472 6174 6567 restrict_strateg │ │ │ │ 000c7d80: 790a 0a2d 206e 616d 653a 2053 6574 2061 y..- name: Set a │ │ │ │ 000c7d90: 7263 6869 7465 6374 7572 6520 666f 7220 rchitecture for │ │ │ │ 000c7da0: 6175 6469 7420 6663 686f 776e 2074 6173 audit fchown tas │ │ │ │ 000c7db0: 6b73 0a20 2073 6574 5f66 6163 743a 0a20 ks. set_fact:. │ │ │ │ 000c7dc0: 2020 2061 7564 6974 5f61 7263 683a 2062 audit_arch: b │ │ │ │ -000c7dd0: 3634 0a20 2077 6865 6e3a 0a20 202d 2027 64. when:. - ' │ │ │ │ -000c7de0: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -000c7df0: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -000c7e00: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -000c7e10: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -000c7e20: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -000c7e30: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -000c7e40: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -000c7e50: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +000c7dd0: 3634 0a20 2077 6865 6e3a 0a20 202d 2061 64. when:. - a │ │ │ │ +000c7de0: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +000c7df0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +000c7e00: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +000c7e10: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +000c7e20: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +000c7e30: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +000c7e40: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +000c7e50: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 000c7e60: 2d20 616e 7369 626c 655f 6172 6368 6974 - ansible_archit │ │ │ │ 000c7e70: 6563 7475 7265 203d 3d20 2261 6172 6368 ecture == "aarch │ │ │ │ 000c7e80: 3634 2220 6f72 2061 6e73 6962 6c65 5f61 64" or ansible_a │ │ │ │ 000c7e90: 7263 6869 7465 6374 7572 6520 3d3d 2022 rchitecture == " │ │ │ │ 000c7ea0: 7070 6336 3422 206f 7220 616e 7369 626c ppc64" or ansibl │ │ │ │ 000c7eb0: 655f 6172 6368 6974 6563 7475 7265 0a20 e_architecture. │ │ │ │ 000c7ec0: 2020 203d 3d20 2270 7063 3634 6c65 2220 == "ppc64le" │ │ │ │ @@ -51485,23 +51485,23 @@ │ │ │ │ 000c91c0: 3d70 6572 6d5f 6d6f 640a 2020 2020 2020 =perm_mod. │ │ │ │ 000c91d0: 6372 6561 7465 3a20 7472 7565 0a20 2020 create: true. │ │ │ │ 000c91e0: 2020 206d 6f64 653a 206f 2d72 7778 0a20 mode: o-rwx. │ │ │ │ 000c91f0: 2020 2020 2073 7461 7465 3a20 7072 6573 state: pres │ │ │ │ 000c9200: 656e 740a 2020 2020 7768 656e 3a20 7379 ent. when: sy │ │ │ │ 000c9210: 7363 616c 6c73 5f66 6f75 6e64 207c 206c scalls_found | l │ │ │ │ 000c9220: 656e 6774 6820 3d3d 2030 0a20 2077 6865 ength == 0. whe │ │ │ │ -000c9230: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -000c9240: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -000c9250: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -000c9260: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -000c9270: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -000c9280: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -000c9290: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -000c92a0: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -000c92b0: 6e65 7222 5d0a 2020 7461 6773 3a0a 2020 ner"]. tags:. │ │ │ │ +000c9230: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +000c9240: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +000c9250: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +000c9260: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +000c9270: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +000c9280: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +000c9290: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +000c92a0: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +000c92b0: 6167 6573 270a 2020 7461 6773 3a0a 2020 ages'. tags:. │ │ │ │ 000c92c0: 2d20 434a 4953 2d35 2e34 2e31 2e31 0a20 - CJIS-5.4.1.1. │ │ │ │ 000c92d0: 202d 2044 4953 412d 5354 4947 2d55 4254 - DISA-STIG-UBT │ │ │ │ 000c92e0: 552d 3230 2d30 3130 3134 390a 2020 2d20 U-20-010149. - │ │ │ │ 000c92f0: 4e49 5354 2d38 3030 2d31 3731 2d33 2e31 NIST-800-171-3.1 │ │ │ │ 000c9300: 2e37 0a20 202d 204e 4953 542d 3830 302d .7. - NIST-800- │ │ │ │ 000c9310: 3533 2d41 552d 3132 2863 290a 2020 2d20 53-AU-12(c). - │ │ │ │ 000c9320: 4e49 5354 2d38 3030 2d35 332d 4155 2d32 NIST-800-53-AU-2 │ │ │ │ @@ -51799,23 +51799,23 @@ │ │ │ │ 000ca560: 7065 726d 5f6d 6f64 0a20 2020 2020 2063 perm_mod. c │ │ │ │ 000ca570: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 000ca580: 2020 6d6f 6465 3a20 6f2d 7277 780a 2020 mode: o-rwx. │ │ │ │ 000ca590: 2020 2020 7374 6174 653a 2070 7265 7365 state: prese │ │ │ │ 000ca5a0: 6e74 0a20 2020 2077 6865 6e3a 2073 7973 nt. when: sys │ │ │ │ 000ca5b0: 6361 6c6c 735f 666f 756e 6420 7c20 6c65 calls_found | le │ │ │ │ 000ca5c0: 6e67 7468 203d 3d20 300a 2020 7768 656e ngth == 0. when │ │ │ │ -000ca5d0: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -000ca5e0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -000ca5f0: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -000ca600: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -000ca610: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -000ca620: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -000ca630: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -000ca640: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -000ca650: 6572 225d 0a20 202d 2061 7564 6974 5f61 er"]. - audit_a │ │ │ │ +000ca5d0: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +000ca5e0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +000ca5f0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +000ca600: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +000ca610: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +000ca620: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +000ca630: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +000ca640: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +000ca650: 6765 7327 0a20 202d 2061 7564 6974 5f61 ges'. - audit_a │ │ │ │ 000ca660: 7263 6820 3d3d 2022 6236 3422 0a20 2074 rch == "b64". t │ │ │ │ 000ca670: 6167 733a 0a20 202d 2043 4a49 532d 352e ags:. - CJIS-5. │ │ │ │ 000ca680: 342e 312e 310a 2020 2d20 4449 5341 2d53 4.1.1. - DISA-S │ │ │ │ 000ca690: 5449 472d 5542 5455 2d32 302d 3031 3031 TIG-UBTU-20-0101 │ │ │ │ 000ca6a0: 3439 0a20 202d 204e 4953 542d 3830 302d 49. - NIST-800- │ │ │ │ 000ca6b0: 3137 312d 332e 312e 370a 2020 2d20 4e49 171-3.1.7. - NI │ │ │ │ 000ca6c0: 5354 2d38 3030 2d35 332d 4155 2d31 3228 ST-800-53-AU-12( │ │ │ │ @@ -51849,25 +51849,25 @@ │ │ │ │ 000ca880: 7620 636c 6173 733d 2270 616e 656c 2d63 v class="panel-c │ │ │ │ 000ca890: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365 ollapse collapse │ │ │ │ 000ca8a0: 2220 6964 3d22 6964 6d31 3333 3039 223e " id="idm13309"> │ │ │ │ 000ca8b0: 3c70 7265 3e3c 636f 6465 3e23 2052 656d # Rem │ │ │ │ 000ca8c0: 6564 6961 7469 6f6e 2069 7320 6170 706c ediation is appl │ │ │ │ 000ca8d0: 6963 6162 6c65 206f 6e6c 7920 696e 2063 icable only in c │ │ │ │ 000ca8e0: 6572 7461 696e 2070 6c61 7466 6f72 6d73 ertain platforms │ │ │ │ -000ca8f0: 0a69 6620 6470 6b67 2d71 7565 7279 202d .if dpkg-query - │ │ │ │ -000ca900: 2d73 686f 7720 2d2d 7368 6f77 666f 726d -show --showform │ │ │ │ -000ca910: 6174 3d27 247b 6462 3a53 7461 7475 732d at='${db:Status- │ │ │ │ -000ca920: 5374 6174 7573 7d5c 6e27 2027 6175 6469 Status}\n' 'audi │ │ │ │ -000ca930: 7464 2720 3226 6774 3b2f 6465 762f 6e75 td' 2>/dev/nu │ │ │ │ -000ca940: 6c6c 207c 2067 7265 7020 2d71 2069 6e73 ll | grep -q ins │ │ │ │ -000ca950: 7461 6c6c 6564 2026 616d 703b 2661 6d70 talled && │ │ │ │ -000ca960: 3b20 5b20 2120 2d66 202f 2e64 6f63 6b65 ; [ ! -f /.docke │ │ │ │ -000ca970: 7265 6e76 205d 2026 616d 703b 2661 6d70 renv ] && │ │ │ │ -000ca980: 3b20 5b20 2120 2d66 202f 7275 6e2f 2e63 ; [ ! -f /run/.c │ │ │ │ -000ca990: 6f6e 7461 696e 6572 656e 7620 5d3b 2074 ontainerenv ]; t │ │ │ │ +000ca8f0: 0a69 6620 5b20 2120 2d66 202f 2e64 6f63 .if [ ! -f /.doc │ │ │ │ +000ca900: 6b65 7265 6e76 205d 2026 616d 703b 2661 kerenv ] &&a │ │ │ │ +000ca910: 6d70 3b20 5b20 2120 2d66 202f 7275 6e2f mp; [ ! -f /run/ │ │ │ │ +000ca920: 2e63 6f6e 7461 696e 6572 656e 7620 5d20 .containerenv ] │ │ │ │ +000ca930: 2661 6d70 3b26 616d 703b 2064 706b 672d && dpkg- │ │ │ │ +000ca940: 7175 6572 7920 2d2d 7368 6f77 202d 2d73 query --show --s │ │ │ │ +000ca950: 686f 7766 6f72 6d61 743d 2724 7b64 623a howformat='${db: │ │ │ │ +000ca960: 5374 6174 7573 2d53 7461 7475 737d 5c6e Status-Status}\n │ │ │ │ +000ca970: 2720 2761 7564 6974 6427 2032 2667 743b ' 'auditd' 2> │ │ │ │ +000ca980: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570 /dev/null | grep │ │ │ │ +000ca990: 202d 7120 696e 7374 616c 6c65 643b 2074 -q installed; t │ │ │ │ 000ca9a0: 6865 6e0a 0a23 2046 6972 7374 2070 6572 hen..# First per │ │ │ │ 000ca9b0: 666f 726d 2074 6865 2072 656d 6564 6961 form the remedia │ │ │ │ 000ca9c0: 7469 6f6e 206f 6620 7468 6520 7379 7363 tion of the sysc │ │ │ │ 000ca9d0: 616c 6c20 7275 6c65 0a23 2052 6574 7269 all rule.# Retri │ │ │ │ 000ca9e0: 6576 6520 6861 7264 7761 7265 2061 7263 eve hardware arc │ │ │ │ 000ca9f0: 6869 7465 6374 7572 6520 6f66 2074 6865 hitecture of the │ │ │ │ 000caa00: 2075 6e64 6572 6c79 696e 6720 7379 7374 underlying syst │ │ │ │ @@ -53668,22 +53668,22 @@ │ │ │ │ 000d1a30: 7265 7374 7269 6374 5f73 7472 6174 6567 restrict_strateg │ │ │ │ 000d1a40: 790a 0a2d 206e 616d 653a 2053 6574 2061 y..- name: Set a │ │ │ │ 000d1a50: 7263 6869 7465 6374 7572 6520 666f 7220 rchitecture for │ │ │ │ 000d1a60: 6175 6469 7420 6663 686f 776e 6174 2074 audit fchownat t │ │ │ │ 000d1a70: 6173 6b73 0a20 2073 6574 5f66 6163 743a asks. set_fact: │ │ │ │ 000d1a80: 0a20 2020 2061 7564 6974 5f61 7263 683a . audit_arch: │ │ │ │ 000d1a90: 2062 3634 0a20 2077 6865 6e3a 0a20 202d b64. when:. - │ │ │ │ -000d1aa0: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ -000d1ab0: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ -000d1ac0: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl │ │ │ │ -000d1ad0: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ -000d1ae0: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ -000d1af0: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ -000d1b00: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ -000d1b10: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +000d1aa0: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ +000d1ab0: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ +000d1ac0: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ +000d1ad0: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ +000d1ae0: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ +000d1af0: 696e 6572 225d 0a20 202d 2027 2261 7564 iner"]. - '"aud │ │ │ │ +000d1b00: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ +000d1b10: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ 000d1b20: 2020 2d20 616e 7369 626c 655f 6172 6368 - ansible_arch │ │ │ │ 000d1b30: 6974 6563 7475 7265 203d 3d20 2261 6172 itecture == "aar │ │ │ │ 000d1b40: 6368 3634 2220 6f72 2061 6e73 6962 6c65 ch64" or ansible │ │ │ │ 000d1b50: 5f61 7263 6869 7465 6374 7572 6520 3d3d _architecture == │ │ │ │ 000d1b60: 2022 7070 6336 3422 206f 7220 616e 7369 "ppc64" or ansi │ │ │ │ 000d1b70: 626c 655f 6172 6368 6974 6563 7475 7265 ble_architecture │ │ │ │ 000d1b80: 0a20 2020 203d 3d20 2270 7063 3634 6c65 . == "ppc64le │ │ │ │ @@ -53994,23 +53994,23 @@ │ │ │ │ 000d2e90: 6572 6d5f 6d6f 640a 2020 2020 2020 6372 erm_mod. cr │ │ │ │ 000d2ea0: 6561 7465 3a20 7472 7565 0a20 2020 2020 eate: true. │ │ │ │ 000d2eb0: 206d 6f64 653a 206f 2d72 7778 0a20 2020 mode: o-rwx. │ │ │ │ 000d2ec0: 2020 2073 7461 7465 3a20 7072 6573 656e state: presen │ │ │ │ 000d2ed0: 740a 2020 2020 7768 656e 3a20 7379 7363 t. when: sysc │ │ │ │ 000d2ee0: 616c 6c73 5f66 6f75 6e64 207c 206c 656e alls_found | len │ │ │ │ 000d2ef0: 6774 6820 3d3d 2030 0a20 2077 6865 6e3a gth == 0. when: │ │ │ │ -000d2f00: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -000d2f10: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -000d2f20: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -000d2f30: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -000d2f40: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -000d2f50: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -000d2f60: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -000d2f70: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -000d2f80: 7222 5d0a 2020 7461 6773 3a0a 2020 2d20 r"]. tags:. - │ │ │ │ +000d2f00: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +000d2f10: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +000d2f20: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +000d2f30: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +000d2f40: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +000d2f50: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +000d2f60: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +000d2f70: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +000d2f80: 6573 270a 2020 7461 6773 3a0a 2020 2d20 es'. tags:. - │ │ │ │ 000d2f90: 434a 4953 2d35 2e34 2e31 2e31 0a20 202d CJIS-5.4.1.1. - │ │ │ │ 000d2fa0: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 000d2fb0: 3230 2d30 3130 3135 300a 2020 2d20 4e49 20-010150. - NI │ │ │ │ 000d2fc0: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 000d2fd0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 000d2fe0: 2d41 552d 3132 2863 290a 2020 2d20 4e49 -AU-12(c). - NI │ │ │ │ 000d2ff0: 5354 2d38 3030 2d35 332d 4155 2d32 2864 ST-800-53-AU-2(d │ │ │ │ @@ -54309,22 +54309,22 @@ │ │ │ │ 000d4240: 6f64 0a20 2020 2020 2063 7265 6174 653a od. create: │ │ │ │ 000d4250: 2074 7275 650a 2020 2020 2020 6d6f 6465 true. mode │ │ │ │ 000d4260: 3a20 6f2d 7277 780a 2020 2020 2020 7374 : o-rwx. st │ │ │ │ 000d4270: 6174 653a 2070 7265 7365 6e74 0a20 2020 ate: present. │ │ │ │ 000d4280: 2077 6865 6e3a 2073 7973 6361 6c6c 735f when: syscalls_ │ │ │ │ 000d4290: 666f 756e 6420 7c20 6c65 6e67 7468 203d found | length = │ │ │ │ 000d42a0: 3d20 300a 2020 7768 656e 3a0a 2020 2d20 = 0. when:. - │ │ │ │ -000d42b0: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ -000d42c0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ -000d42d0: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ -000d42e0: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ -000d42f0: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ -000d4300: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ -000d4310: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ -000d4320: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +000d42b0: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ +000d42c0: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ +000d42d0: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ +000d42e0: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ +000d42f0: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ +000d4300: 6e65 7222 5d0a 2020 2d20 2722 6175 6469 ner"]. - '"audi │ │ │ │ +000d4310: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ +000d4320: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ 000d4330: 202d 2061 7564 6974 5f61 7263 6820 3d3d - audit_arch == │ │ │ │ 000d4340: 2022 6236 3422 0a20 2074 6167 733a 0a20 "b64". tags:. │ │ │ │ 000d4350: 202d 2043 4a49 532d 352e 342e 312e 310a - CJIS-5.4.1.1. │ │ │ │ 000d4360: 2020 2d20 4449 5341 2d53 5449 472d 5542 - DISA-STIG-UB │ │ │ │ 000d4370: 5455 2d32 302d 3031 3031 3530 0a20 202d TU-20-010150. - │ │ │ │ 000d4380: 204e 4953 542d 3830 302d 3137 312d 332e NIST-800-171-3. │ │ │ │ 000d4390: 312e 370a 2020 2d20 4e49 5354 2d38 3030 1.7. - NIST-800 │ │ │ │ @@ -54359,25 +54359,25 @@ │ │ │ │ 000d4560: 6173 733d 2270 616e 656c 2d63 6f6c 6c61 ass="panel-colla │ │ │ │ 000d4570: 7073 6520 636f 6c6c 6170 7365 2220 6964 pse collapse" id │ │ │ │ 000d4580: 3d22 6964 6d31 3334 3637 223e 3c70 7265 ="idm13467">
# Remedia │ │ │ │ 000d45a0: 7469 6f6e 2069 7320 6170 706c 6963 6162 tion is applicab │ │ │ │ 000d45b0: 6c65 206f 6e6c 7920 696e 2063 6572 7461 le only in certa │ │ │ │ 000d45c0: 696e 2070 6c61 7466 6f72 6d73 0a69 6620 in platforms.if │ │ │ │ -000d45d0: 6470 6b67 2d71 7565 7279 202d 2d73 686f dpkg-query --sho │ │ │ │ -000d45e0: 7720 2d2d 7368 6f77 666f 726d 6174 3d27 w --showformat=' │ │ │ │ -000d45f0: 247b 6462 3a53 7461 7475 732d 5374 6174 ${db:Status-Stat │ │ │ │ -000d4600: 7573 7d5c 6e27 2027 6175 6469 7464 2720 us}\n' 'auditd' │ │ │ │ -000d4610: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c 2>/dev/null | │ │ │ │ -000d4620: 2067 7265 7020 2d71 2069 6e73 7461 6c6c grep -q install │ │ │ │ -000d4630: 6564 2026 616d 703b 2661 6d70 3b20 5b20 ed && [ │ │ │ │ -000d4640: 2120 2d66 202f 2e64 6f63 6b65 7265 6e76 ! -f /.dockerenv │ │ │ │ -000d4650: 205d 2026 616d 703b 2661 6d70 3b20 5b20 ] && [ │ │ │ │ -000d4660: 2120 2d66 202f 7275 6e2f 2e63 6f6e 7461 ! -f /run/.conta │ │ │ │ -000d4670: 696e 6572 656e 7620 5d3b 2074 6865 6e0a inerenv ]; then. │ │ │ │ +000d45d0: 5b20 2120 2d66 202f 2e64 6f63 6b65 7265 [ ! -f /.dockere │ │ │ │ +000d45e0: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ +000d45f0: 5b20 2120 2d66 202f 7275 6e2f 2e63 6f6e [ ! -f /run/.con │ │ │ │ +000d4600: 7461 696e 6572 656e 7620 5d20 2661 6d70 tainerenv ] & │ │ │ │ +000d4610: 3b26 616d 703b 2064 706b 672d 7175 6572 ;& dpkg-quer │ │ │ │ +000d4620: 7920 2d2d 7368 6f77 202d 2d73 686f 7766 y --show --showf │ │ │ │ +000d4630: 6f72 6d61 743d 2724 7b64 623a 5374 6174 ormat='${db:Stat │ │ │ │ +000d4640: 7573 2d53 7461 7475 737d 5c6e 2720 2761 us-Status}\n' 'a │ │ │ │ +000d4650: 7564 6974 6427 2032 2667 743b 2f64 6576 uditd' 2>/dev │ │ │ │ +000d4660: 2f6e 756c 6c20 7c20 6772 6570 202d 7120 /null | grep -q │ │ │ │ +000d4670: 696e 7374 616c 6c65 643b 2074 6865 6e0a installed; then. │ │ │ │ 000d4680: 0a23 2046 6972 7374 2070 6572 666f 726d .# First perform │ │ │ │ 000d4690: 2074 6865 2072 656d 6564 6961 7469 6f6e the remediation │ │ │ │ 000d46a0: 206f 6620 7468 6520 7379 7363 616c 6c20 of the syscall │ │ │ │ 000d46b0: 7275 6c65 0a23 2052 6574 7269 6576 6520 rule.# Retrieve │ │ │ │ 000d46c0: 6861 7264 7761 7265 2061 7263 6869 7465 hardware archite │ │ │ │ 000d46d0: 6374 7572 6520 6f66 2074 6865 2075 6e64 cture of the und │ │ │ │ 000d46e0: 6572 6c79 696e 6720 7379 7374 656d 0a5b erlying system.[ │ │ │ │ @@ -56196,23 +56196,23 @@ │ │ │ │ 000db830: 2d20 7265 7374 7269 6374 5f73 7472 6174 - restrict_strat │ │ │ │ 000db840: 6567 790a 0a2d 206e 616d 653a 2053 6574 egy..- name: Set │ │ │ │ 000db850: 2061 7263 6869 7465 6374 7572 6520 666f architecture fo │ │ │ │ 000db860: 7220 6175 6469 7420 6672 656d 6f76 6578 r audit fremovex │ │ │ │ 000db870: 6174 7472 2074 6173 6b73 0a20 2073 6574 attr tasks. set │ │ │ │ 000db880: 5f66 6163 743a 0a20 2020 2061 7564 6974 _fact:. audit │ │ │ │ 000db890: 5f61 7263 683a 2062 3634 0a20 2077 6865 _arch: b64. whe │ │ │ │ -000db8a0: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -000db8b0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -000db8c0: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -000db8d0: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -000db8e0: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -000db8f0: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -000db900: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -000db910: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -000db920: 6e65 7222 5d0a 2020 2d20 616e 7369 626c ner"]. - ansibl │ │ │ │ +000db8a0: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +000db8b0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +000db8c0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +000db8d0: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +000db8e0: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +000db8f0: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +000db900: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +000db910: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +000db920: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl │ │ │ │ 000db930: 655f 6172 6368 6974 6563 7475 7265 203d e_architecture = │ │ │ │ 000db940: 3d20 2261 6172 6368 3634 2220 6f72 2061 = "aarch64" or a │ │ │ │ 000db950: 6e73 6962 6c65 5f61 7263 6869 7465 6374 nsible_architect │ │ │ │ 000db960: 7572 6520 3d3d 2022 7070 6336 3422 206f ure == "ppc64" o │ │ │ │ 000db970: 7220 616e 7369 626c 655f 6172 6368 6974 r ansible_archit │ │ │ │ 000db980: 6563 7475 7265 0a20 2020 203d 3d20 2270 ecture. == "p │ │ │ │ 000db990: 7063 3634 6c65 2220 6f72 2061 6e73 6962 pc64le" or ansib │ │ │ │ @@ -56810,23 +56810,23 @@ │ │ │ │ 000dde90: 3d70 6572 6d5f 6d6f 640a 2020 2020 2020 =perm_mod. │ │ │ │ 000ddea0: 6372 6561 7465 3a20 7472 7565 0a20 2020 create: true. │ │ │ │ 000ddeb0: 2020 206d 6f64 653a 206f 2d72 7778 0a20 mode: o-rwx. │ │ │ │ 000ddec0: 2020 2020 2073 7461 7465 3a20 7072 6573 state: pres │ │ │ │ 000dded0: 656e 740a 2020 2020 7768 656e 3a20 7379 ent. when: sy │ │ │ │ 000ddee0: 7363 616c 6c73 5f66 6f75 6e64 207c 206c scalls_found | l │ │ │ │ 000ddef0: 656e 6774 6820 3d3d 2030 0a20 2077 6865 ength == 0. whe │ │ │ │ -000ddf00: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -000ddf10: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -000ddf20: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -000ddf30: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -000ddf40: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -000ddf50: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -000ddf60: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -000ddf70: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -000ddf80: 6e65 7222 5d0a 2020 7461 6773 3a0a 2020 ner"]. tags:. │ │ │ │ +000ddf00: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +000ddf10: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +000ddf20: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +000ddf30: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +000ddf40: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +000ddf50: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +000ddf60: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +000ddf70: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +000ddf80: 6167 6573 270a 2020 7461 6773 3a0a 2020 ages'. tags:. │ │ │ │ 000ddf90: 2d20 434a 4953 2d35 2e34 2e31 2e31 0a20 - CJIS-5.4.1.1. │ │ │ │ 000ddfa0: 202d 2044 4953 412d 5354 4947 2d55 4254 - DISA-STIG-UBT │ │ │ │ 000ddfb0: 552d 3230 2d30 3130 3134 370a 2020 2d20 U-20-010147. - │ │ │ │ 000ddfc0: 4e49 5354 2d38 3030 2d31 3731 2d33 2e31 NIST-800-171-3.1 │ │ │ │ 000ddfd0: 2e37 0a20 202d 204e 4953 542d 3830 302d .7. - NIST-800- │ │ │ │ 000ddfe0: 3533 2d41 552d 3132 2863 290a 2020 2d20 53-AU-12(c). - │ │ │ │ 000ddff0: 4e49 5354 2d38 3030 2d35 332d 4155 2d32 NIST-800-53-AU-2 │ │ │ │ @@ -57412,23 +57412,23 @@ │ │ │ │ 000e0430: 2020 2020 6b65 793d 7065 726d 5f6d 6f64 key=perm_mod │ │ │ │ 000e0440: 0a20 2020 2020 2063 7265 6174 653a 2074 . create: t │ │ │ │ 000e0450: 7275 650a 2020 2020 2020 6d6f 6465 3a20 rue. mode: │ │ │ │ 000e0460: 6f2d 7277 780a 2020 2020 2020 7374 6174 o-rwx. stat │ │ │ │ 000e0470: 653a 2070 7265 7365 6e74 0a20 2020 2077 e: present. w │ │ │ │ 000e0480: 6865 6e3a 2073 7973 6361 6c6c 735f 666f hen: syscalls_fo │ │ │ │ 000e0490: 756e 6420 7c20 6c65 6e67 7468 203d 3d20 und | length == │ │ │ │ -000e04a0: 300a 2020 7768 656e 3a0a 2020 2d20 2722 0. when:. - '" │ │ │ │ -000e04b0: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -000e04c0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -000e04d0: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -000e04e0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -000e04f0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -000e0500: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -000e0510: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -000e0520: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +000e04a0: 300a 2020 7768 656e 3a0a 2020 2d20 616e 0. when:. - an │ │ │ │ +000e04b0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +000e04c0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +000e04d0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +000e04e0: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +000e04f0: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +000e0500: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +000e0510: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +000e0520: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ 000e0530: 2061 7564 6974 5f61 7263 6820 3d3d 2022 audit_arch == " │ │ │ │ 000e0540: 6236 3422 0a20 2074 6167 733a 0a20 202d b64". tags:. - │ │ │ │ 000e0550: 2043 4a49 532d 352e 342e 312e 310a 2020 CJIS-5.4.1.1. │ │ │ │ 000e0560: 2d20 4449 5341 2d53 5449 472d 5542 5455 - DISA-STIG-UBTU │ │ │ │ 000e0570: 2d32 302d 3031 3031 3437 0a20 202d 204e -20-010147. - N │ │ │ │ 000e0580: 4953 542d 3830 302d 3137 312d 332e 312e IST-800-171-3.1. │ │ │ │ 000e0590: 370a 2020 2d20 4e49 5354 2d38 3030 2d35 7. - NIST-800-5 │ │ │ │ @@ -57463,25 +57463,25 @@ │ │ │ │ 000e0760: 636c 6173 733d 2270 616e 656c 2d63 6f6c class="panel-col │ │ │ │ 000e0770: 6c61 7073 6520 636f 6c6c 6170 7365 2220 lapse collapse" │ │ │ │ 000e0780: 6964 3d22 6964 6d31 3336 3334 223e 3c70 id="idm13634">
# Remed │ │ │ │ 000e07a0: 6961 7469 6f6e 2069 7320 6170 706c 6963 iation is applic │ │ │ │ 000e07b0: 6162 6c65 206f 6e6c 7920 696e 2063 6572 able only in cer │ │ │ │ 000e07c0: 7461 696e 2070 6c61 7466 6f72 6d73 0a69 tain platforms.i │ │ │ │ -000e07d0: 6620 6470 6b67 2d71 7565 7279 202d 2d73 f dpkg-query --s │ │ │ │ -000e07e0: 686f 7720 2d2d 7368 6f77 666f 726d 6174 how --showformat │ │ │ │ -000e07f0: 3d27 247b 6462 3a53 7461 7475 732d 5374 ='${db:Status-St │ │ │ │ -000e0800: 6174 7573 7d5c 6e27 2027 6175 6469 7464 atus}\n' 'auditd │ │ │ │ -000e0810: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c ' 2>/dev/null │ │ │ │ -000e0820: 207c 2067 7265 7020 2d71 2069 6e73 7461 | grep -q insta │ │ │ │ -000e0830: 6c6c 6564 2026 616d 703b 2661 6d70 3b20 lled && │ │ │ │ -000e0840: 5b20 2120 2d66 202f 2e64 6f63 6b65 7265 [ ! -f /.dockere │ │ │ │ -000e0850: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ -000e0860: 5b20 2120 2d66 202f 7275 6e2f 2e63 6f6e [ ! -f /run/.con │ │ │ │ -000e0870: 7461 696e 6572 656e 7620 5d3b 2074 6865 tainerenv ]; the │ │ │ │ +000e07d0: 6620 5b20 2120 2d66 202f 2e64 6f63 6b65 f [ ! -f /.docke │ │ │ │ +000e07e0: 7265 6e76 205d 2026 616d 703b 2661 6d70 renv ] && │ │ │ │ +000e07f0: 3b20 5b20 2120 2d66 202f 7275 6e2f 2e63 ; [ ! -f /run/.c │ │ │ │ +000e0800: 6f6e 7461 696e 6572 656e 7620 5d20 2661 ontainerenv ] &a │ │ │ │ +000e0810: 6d70 3b26 616d 703b 2064 706b 672d 7175 mp;& dpkg-qu │ │ │ │ +000e0820: 6572 7920 2d2d 7368 6f77 202d 2d73 686f ery --show --sho │ │ │ │ +000e0830: 7766 6f72 6d61 743d 2724 7b64 623a 5374 wformat='${db:St │ │ │ │ +000e0840: 6174 7573 2d53 7461 7475 737d 5c6e 2720 atus-Status}\n' │ │ │ │ +000e0850: 2761 7564 6974 6427 2032 2667 743b 2f64 'auditd' 2>/d │ │ │ │ +000e0860: 6576 2f6e 756c 6c20 7c20 6772 6570 202d ev/null | grep - │ │ │ │ +000e0870: 7120 696e 7374 616c 6c65 643b 2074 6865 q installed; the │ │ │ │ 000e0880: 6e0a 0a23 2046 6972 7374 2070 6572 666f n..# First perfo │ │ │ │ 000e0890: 726d 2074 6865 2072 656d 6564 6961 7469 rm the remediati │ │ │ │ 000e08a0: 6f6e 206f 6620 7468 6520 7379 7363 616c on of the syscal │ │ │ │ 000e08b0: 6c20 7275 6c65 0a23 2052 6574 7269 6576 l rule.# Retriev │ │ │ │ 000e08c0: 6520 6861 7264 7761 7265 2061 7263 6869 e hardware archi │ │ │ │ 000e08d0: 7465 6374 7572 6520 6f66 2074 6865 2075 tecture of the u │ │ │ │ 000e08e0: 6e64 6572 6c79 696e 6720 7379 7374 656d nderlying system │ │ │ │ @@ -60112,23 +60112,23 @@ │ │ │ │ 000eacf0: 6972 6564 0a20 202d 2072 6573 7472 6963 ired. - restric │ │ │ │ 000ead00: 745f 7374 7261 7465 6779 0a0a 2d20 6e61 t_strategy..- na │ │ │ │ 000ead10: 6d65 3a20 5365 7420 6172 6368 6974 6563 me: Set architec │ │ │ │ 000ead20: 7475 7265 2066 6f72 2061 7564 6974 2066 ture for audit f │ │ │ │ 000ead30: 7365 7478 6174 7472 2074 6173 6b73 0a20 setxattr tasks. │ │ │ │ 000ead40: 2073 6574 5f66 6163 743a 0a20 2020 2061 set_fact:. a │ │ │ │ 000ead50: 7564 6974 5f61 7263 683a 2062 3634 0a20 udit_arch: b64. │ │ │ │ -000ead60: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -000ead70: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -000ead80: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -000ead90: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -000eada0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -000eadb0: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -000eadc0: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -000eadd0: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -000eade0: 6e74 6169 6e65 7222 5d0a 2020 2d20 616e ntainer"]. - an │ │ │ │ +000ead60: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +000ead70: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +000ead80: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +000ead90: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +000eada0: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +000eadb0: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +000eadc0: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +000eadd0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +000eade0: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ 000eadf0: 7369 626c 655f 6172 6368 6974 6563 7475 sible_architectu │ │ │ │ 000eae00: 7265 203d 3d20 2261 6172 6368 3634 2220 re == "aarch64" │ │ │ │ 000eae10: 6f72 2061 6e73 6962 6c65 5f61 7263 6869 or ansible_archi │ │ │ │ 000eae20: 7465 6374 7572 6520 3d3d 2022 7070 6336 tecture == "ppc6 │ │ │ │ 000eae30: 3422 206f 7220 616e 7369 626c 655f 6172 4" or ansible_ar │ │ │ │ 000eae40: 6368 6974 6563 7475 7265 0a20 2020 203d chitecture. = │ │ │ │ 000eae50: 3d20 2270 7063 3634 6c65 2220 6f72 2061 = "ppc64le" or a │ │ │ │ @@ -60724,23 +60724,23 @@ │ │ │ │ 000ed330: 2020 206b 6579 3d70 6572 6d5f 6d6f 640a key=perm_mod. │ │ │ │ 000ed340: 2020 2020 2020 6372 6561 7465 3a20 7472 create: tr │ │ │ │ 000ed350: 7565 0a20 2020 2020 206d 6f64 653a 206f ue. mode: o │ │ │ │ 000ed360: 2d72 7778 0a20 2020 2020 2073 7461 7465 -rwx. state │ │ │ │ 000ed370: 3a20 7072 6573 656e 740a 2020 2020 7768 : present. wh │ │ │ │ 000ed380: 656e 3a20 7379 7363 616c 6c73 5f66 6f75 en: syscalls_fou │ │ │ │ 000ed390: 6e64 207c 206c 656e 6774 6820 3d3d 2030 nd | length == 0 │ │ │ │ -000ed3a0: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -000ed3b0: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -000ed3c0: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -000ed3d0: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -000ed3e0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -000ed3f0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -000ed400: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -000ed410: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -000ed420: 636f 6e74 6169 6e65 7222 5d0a 2020 7461 container"]. ta │ │ │ │ +000ed3a0: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +000ed3b0: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +000ed3c0: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +000ed3d0: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +000ed3e0: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +000ed3f0: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +000ed400: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +000ed410: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +000ed420: 732e 7061 636b 6167 6573 270a 2020 7461 s.packages'. ta │ │ │ │ 000ed430: 6773 3a0a 2020 2d20 434a 4953 2d35 2e34 gs:. - CJIS-5.4 │ │ │ │ 000ed440: 2e31 2e31 0a20 202d 2044 4953 412d 5354 .1.1. - DISA-ST │ │ │ │ 000ed450: 4947 2d55 4254 552d 3230 2d30 3130 3134 IG-UBTU-20-01014 │ │ │ │ 000ed460: 340a 2020 2d20 4e49 5354 2d38 3030 2d31 4. - NIST-800-1 │ │ │ │ 000ed470: 3731 2d33 2e31 2e37 0a20 202d 204e 4953 71-3.1.7. - NIS │ │ │ │ 000ed480: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ 000ed490: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ @@ -61325,23 +61325,23 @@ │ │ │ │ 000ef8c0: 7065 726d 5f6d 6f64 0a20 2020 2020 2063 perm_mod. c │ │ │ │ 000ef8d0: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 000ef8e0: 2020 6d6f 6465 3a20 6f2d 7277 780a 2020 mode: o-rwx. │ │ │ │ 000ef8f0: 2020 2020 7374 6174 653a 2070 7265 7365 state: prese │ │ │ │ 000ef900: 6e74 0a20 2020 2077 6865 6e3a 2073 7973 nt. when: sys │ │ │ │ 000ef910: 6361 6c6c 735f 666f 756e 6420 7c20 6c65 calls_found | le │ │ │ │ 000ef920: 6e67 7468 203d 3d20 300a 2020 7768 656e ngth == 0. when │ │ │ │ -000ef930: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -000ef940: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -000ef950: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -000ef960: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -000ef970: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -000ef980: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -000ef990: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -000ef9a0: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -000ef9b0: 6572 225d 0a20 202d 2061 7564 6974 5f61 er"]. - audit_a │ │ │ │ +000ef930: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +000ef940: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +000ef950: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +000ef960: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +000ef970: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +000ef980: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +000ef990: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +000ef9a0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +000ef9b0: 6765 7327 0a20 202d 2061 7564 6974 5f61 ges'. - audit_a │ │ │ │ 000ef9c0: 7263 6820 3d3d 2022 6236 3422 0a20 2074 rch == "b64". t │ │ │ │ 000ef9d0: 6167 733a 0a20 202d 2043 4a49 532d 352e ags:. - CJIS-5. │ │ │ │ 000ef9e0: 342e 312e 310a 2020 2d20 4449 5341 2d53 4.1.1. - DISA-S │ │ │ │ 000ef9f0: 5449 472d 5542 5455 2d32 302d 3031 3031 TIG-UBTU-20-0101 │ │ │ │ 000efa00: 3434 0a20 202d 204e 4953 542d 3830 302d 44. - NIST-800- │ │ │ │ 000efa10: 3137 312d 332e 312e 370a 2020 2d20 4e49 171-3.1.7. - NI │ │ │ │ 000efa20: 5354 2d38 3030 2d35 332d 4155 2d31 3228 ST-800-53-AU-12( │ │ │ │ @@ -61375,25 +61375,25 @@ │ │ │ │ 000efbe0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65
# │ │ │ │ 000efc20: 5265 6d65 6469 6174 696f 6e20 6973 2061 Remediation is a │ │ │ │ 000efc30: 7070 6c69 6361 626c 6520 6f6e 6c79 2069 pplicable only i │ │ │ │ 000efc40: 6e20 6365 7274 6169 6e20 706c 6174 666f n certain platfo │ │ │ │ -000efc50: 726d 730a 6966 2064 706b 672d 7175 6572 rms.if dpkg-quer │ │ │ │ -000efc60: 7920 2d2d 7368 6f77 202d 2d73 686f 7766 y --show --showf │ │ │ │ -000efc70: 6f72 6d61 743d 2724 7b64 623a 5374 6174 ormat='${db:Stat │ │ │ │ -000efc80: 7573 2d53 7461 7475 737d 5c6e 2720 2761 us-Status}\n' 'a │ │ │ │ -000efc90: 7564 6974 6427 2032 2667 743b 2f64 6576 uditd' 2>/dev │ │ │ │ -000efca0: 2f6e 756c 6c20 7c20 6772 6570 202d 7120 /null | grep -q │ │ │ │ -000efcb0: 696e 7374 616c 6c65 6420 2661 6d70 3b26 installed && │ │ │ │ -000efcc0: 616d 703b 205b 2021 202d 6620 2f2e 646f amp; [ ! -f /.do │ │ │ │ -000efcd0: 636b 6572 656e 7620 5d20 2661 6d70 3b26 ckerenv ] && │ │ │ │ -000efce0: 616d 703b 205b 2021 202d 6620 2f72 756e amp; [ ! -f /run │ │ │ │ -000efcf0: 2f2e 636f 6e74 6169 6e65 7265 6e76 205d /.containerenv ] │ │ │ │ +000efc50: 726d 730a 6966 205b 2021 202d 6620 2f2e rms.if [ ! -f /. │ │ │ │ +000efc60: 646f 636b 6572 656e 7620 5d20 2661 6d70 dockerenv ] & │ │ │ │ +000efc70: 3b26 616d 703b 205b 2021 202d 6620 2f72 ;& [ ! -f /r │ │ │ │ +000efc80: 756e 2f2e 636f 6e74 6169 6e65 7265 6e76 un/.containerenv │ │ │ │ +000efc90: 205d 2026 616d 703b 2661 6d70 3b20 6470 ] && dp │ │ │ │ +000efca0: 6b67 2d71 7565 7279 202d 2d73 686f 7720 kg-query --show │ │ │ │ +000efcb0: 2d2d 7368 6f77 666f 726d 6174 3d27 247b --showformat='${ │ │ │ │ +000efcc0: 6462 3a53 7461 7475 732d 5374 6174 7573 db:Status-Status │ │ │ │ +000efcd0: 7d5c 6e27 2027 6175 6469 7464 2720 3226 }\n' 'auditd' 2& │ │ │ │ +000efce0: 6774 3b2f 6465 762f 6e75 6c6c 207c 2067 gt;/dev/null | g │ │ │ │ +000efcf0: 7265 7020 2d71 2069 6e73 7461 6c6c 6564 rep -q installed │ │ │ │ 000efd00: 3b20 7468 656e 0a0a 2320 4669 7273 7420 ; then..# First │ │ │ │ 000efd10: 7065 7266 6f72 6d20 7468 6520 7265 6d65 perform the reme │ │ │ │ 000efd20: 6469 6174 696f 6e20 6f66 2074 6865 2073 diation of the s │ │ │ │ 000efd30: 7973 6361 6c6c 2072 756c 650a 2320 5265 yscall rule.# Re │ │ │ │ 000efd40: 7472 6965 7665 2068 6172 6477 6172 6520 trieve hardware │ │ │ │ 000efd50: 6172 6368 6974 6563 7475 7265 206f 6620 architecture of │ │ │ │ 000efd60: 7468 6520 756e 6465 726c 7969 6e67 2073 the underlying s │ │ │ │ @@ -64005,23 +64005,23 @@ │ │ │ │ 000fa040: 0a20 202d 2072 6573 7472 6963 745f 7374 . - restrict_st │ │ │ │ 000fa050: 7261 7465 6779 0a0a 2d20 6e61 6d65 3a20 rategy..- name: │ │ │ │ 000fa060: 5365 7420 6172 6368 6974 6563 7475 7265 Set architecture │ │ │ │ 000fa070: 2066 6f72 2061 7564 6974 206c 6368 6f77 for audit lchow │ │ │ │ 000fa080: 6e20 7461 736b 730a 2020 7365 745f 6661 n tasks. set_fa │ │ │ │ 000fa090: 6374 3a0a 2020 2020 6175 6469 745f 6172 ct:. audit_ar │ │ │ │ 000fa0a0: 6368 3a20 6236 340a 2020 7768 656e 3a0a ch: b64. when:. │ │ │ │ -000fa0b0: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ -000fa0c0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -000fa0d0: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ -000fa0e0: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ -000fa0f0: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ -000fa100: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ -000fa110: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ -000fa120: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ -000fa130: 225d 0a20 202d 2061 6e73 6962 6c65 5f61 "]. - ansible_a │ │ │ │ +000fa0b0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ +000fa0c0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ +000fa0d0: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ +000fa0e0: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ +000fa0f0: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ +000fa100: 6e74 6169 6e65 7222 5d0a 2020 2d20 2722 ntainer"]. - '" │ │ │ │ +000fa110: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ +000fa120: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ +000fa130: 7327 0a20 202d 2061 6e73 6962 6c65 5f61 s'. - ansible_a │ │ │ │ 000fa140: 7263 6869 7465 6374 7572 6520 3d3d 2022 rchitecture == " │ │ │ │ 000fa150: 6161 7263 6836 3422 206f 7220 616e 7369 aarch64" or ansi │ │ │ │ 000fa160: 626c 655f 6172 6368 6974 6563 7475 7265 ble_architecture │ │ │ │ 000fa170: 203d 3d20 2270 7063 3634 2220 6f72 2061 == "ppc64" or a │ │ │ │ 000fa180: 6e73 6962 6c65 5f61 7263 6869 7465 6374 nsible_architect │ │ │ │ 000fa190: 7572 650a 2020 2020 3d3d 2022 7070 6336 ure. == "ppc6 │ │ │ │ 000fa1a0: 346c 6522 206f 7220 616e 7369 626c 655f 4le" or ansible_ │ │ │ │ @@ -64330,23 +64330,23 @@ │ │ │ │ 000fb490: 4620 6b65 793d 7065 726d 5f6d 6f64 0a20 F key=perm_mod. │ │ │ │ 000fb4a0: 2020 2020 2063 7265 6174 653a 2074 7275 create: tru │ │ │ │ 000fb4b0: 650a 2020 2020 2020 6d6f 6465 3a20 6f2d e. mode: o- │ │ │ │ 000fb4c0: 7277 780a 2020 2020 2020 7374 6174 653a rwx. state: │ │ │ │ 000fb4d0: 2070 7265 7365 6e74 0a20 2020 2077 6865 present. whe │ │ │ │ 000fb4e0: 6e3a 2073 7973 6361 6c6c 735f 666f 756e n: syscalls_foun │ │ │ │ 000fb4f0: 6420 7c20 6c65 6e67 7468 203d 3d20 300a d | length == 0. │ │ │ │ -000fb500: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -000fb510: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -000fb520: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -000fb530: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -000fb540: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -000fb550: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -000fb560: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -000fb570: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -000fb580: 6f6e 7461 696e 6572 225d 0a20 2074 6167 ontainer"]. tag │ │ │ │ +000fb500: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +000fb510: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +000fb520: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +000fb530: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +000fb540: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +000fb550: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +000fb560: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +000fb570: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +000fb580: 2e70 6163 6b61 6765 7327 0a20 2074 6167 .packages'. tag │ │ │ │ 000fb590: 733a 0a20 202d 2043 4a49 532d 352e 342e s:. - CJIS-5.4. │ │ │ │ 000fb5a0: 312e 310a 2020 2d20 4449 5341 2d53 5449 1.1. - DISA-STI │ │ │ │ 000fb5b0: 472d 5542 5455 2d32 302d 3031 3031 3531 G-UBTU-20-010151 │ │ │ │ 000fb5c0: 0a20 202d 204e 4953 542d 3830 302d 3137 . - NIST-800-17 │ │ │ │ 000fb5d0: 312d 332e 312e 370a 2020 2d20 4e49 5354 1-3.1.7. - NIST │ │ │ │ 000fb5e0: 2d38 3030 2d35 332d 4155 2d31 3228 6329 -800-53-AU-12(c) │ │ │ │ 000fb5f0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ @@ -64644,23 +64644,23 @@ │ │ │ │ 000fc830: 206b 6579 3d70 6572 6d5f 6d6f 640a 2020 key=perm_mod. │ │ │ │ 000fc840: 2020 2020 6372 6561 7465 3a20 7472 7565 create: true │ │ │ │ 000fc850: 0a20 2020 2020 206d 6f64 653a 206f 2d72 . mode: o-r │ │ │ │ 000fc860: 7778 0a20 2020 2020 2073 7461 7465 3a20 wx. state: │ │ │ │ 000fc870: 7072 6573 656e 740a 2020 2020 7768 656e present. when │ │ │ │ 000fc880: 3a20 7379 7363 616c 6c73 5f66 6f75 6e64 : syscalls_found │ │ │ │ 000fc890: 207c 206c 656e 6774 6820 3d3d 2030 0a20 | length == 0. │ │ │ │ -000fc8a0: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -000fc8b0: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -000fc8c0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -000fc8d0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -000fc8e0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -000fc8f0: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -000fc900: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -000fc910: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -000fc920: 6e74 6169 6e65 7222 5d0a 2020 2d20 6175 ntainer"]. - au │ │ │ │ +000fc8a0: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +000fc8b0: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +000fc8c0: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +000fc8d0: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +000fc8e0: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +000fc8f0: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +000fc900: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +000fc910: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +000fc920: 7061 636b 6167 6573 270a 2020 2d20 6175 packages'. - au │ │ │ │ 000fc930: 6469 745f 6172 6368 203d 3d20 2262 3634 dit_arch == "b64 │ │ │ │ 000fc940: 220a 2020 7461 6773 3a0a 2020 2d20 434a ". tags:. - CJ │ │ │ │ 000fc950: 4953 2d35 2e34 2e31 2e31 0a20 202d 2044 IS-5.4.1.1. - D │ │ │ │ 000fc960: 4953 412d 5354 4947 2d55 4254 552d 3230 ISA-STIG-UBTU-20 │ │ │ │ 000fc970: 2d30 3130 3135 310a 2020 2d20 4e49 5354 -010151. - NIST │ │ │ │ 000fc980: 2d38 3030 2d31 3731 2d33 2e31 2e37 0a20 -800-171-3.1.7. │ │ │ │ 000fc990: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ @@ -64694,26 +64694,26 @@ │ │ │ │ 000fcb50: 723e 3c64 6976 2063 6c61 7373 3d22 7061 r>
│ │ │ │ 000fcb90: 2320 5265 6d65 6469 6174 696f 6e20 6973 # Remediation is │ │ │ │ 000fcba0: 2061 7070 6c69 6361 626c 6520 6f6e 6c79 applicable only │ │ │ │ 000fcbb0: 2069 6e20 6365 7274 6169 6e20 706c 6174 in certain plat │ │ │ │ -000fcbc0: 666f 726d 730a 6966 2064 706b 672d 7175 forms.if dpkg-qu │ │ │ │ -000fcbd0: 6572 7920 2d2d 7368 6f77 202d 2d73 686f ery --show --sho │ │ │ │ -000fcbe0: 7766 6f72 6d61 743d 2724 7b64 623a 5374 wformat='${db:St │ │ │ │ -000fcbf0: 6174 7573 2d53 7461 7475 737d 5c6e 2720 atus-Status}\n' │ │ │ │ -000fcc00: 2761 7564 6974 6427 2032 2667 743b 2f64 'auditd' 2>/d │ │ │ │ -000fcc10: 6576 2f6e 756c 6c20 7c20 6772 6570 202d ev/null | grep - │ │ │ │ -000fcc20: 7120 696e 7374 616c 6c65 6420 2661 6d70 q installed & │ │ │ │ -000fcc30: 3b26 616d 703b 205b 2021 202d 6620 2f2e ;& [ ! -f /. │ │ │ │ -000fcc40: 646f 636b 6572 656e 7620 5d20 2661 6d70 dockerenv ] & │ │ │ │ -000fcc50: 3b26 616d 703b 205b 2021 202d 6620 2f72 ;& [ ! -f /r │ │ │ │ -000fcc60: 756e 2f2e 636f 6e74 6169 6e65 7265 6e76 un/.containerenv │ │ │ │ -000fcc70: 205d 3b20 7468 656e 0a0a 2320 4669 7273 ]; then..# Firs │ │ │ │ +000fcbc0: 666f 726d 730a 6966 205b 2021 202d 6620 forms.if [ ! -f │ │ │ │ +000fcbd0: 2f2e 646f 636b 6572 656e 7620 5d20 2661 /.dockerenv ] &a │ │ │ │ +000fcbe0: 6d70 3b26 616d 703b 205b 2021 202d 6620 mp;& [ ! -f │ │ │ │ +000fcbf0: 2f72 756e 2f2e 636f 6e74 6169 6e65 7265 /run/.containere │ │ │ │ +000fcc00: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ +000fcc10: 6470 6b67 2d71 7565 7279 202d 2d73 686f dpkg-query --sho │ │ │ │ +000fcc20: 7720 2d2d 7368 6f77 666f 726d 6174 3d27 w --showformat=' │ │ │ │ +000fcc30: 247b 6462 3a53 7461 7475 732d 5374 6174 ${db:Status-Stat │ │ │ │ +000fcc40: 7573 7d5c 6e27 2027 6175 6469 7464 2720 us}\n' 'auditd' │ │ │ │ +000fcc50: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c 2>/dev/null | │ │ │ │ +000fcc60: 2067 7265 7020 2d71 2069 6e73 7461 6c6c grep -q install │ │ │ │ +000fcc70: 6564 3b20 7468 656e 0a0a 2320 4669 7273 ed; then..# Firs │ │ │ │ 000fcc80: 7420 7065 7266 6f72 6d20 7468 6520 7265 t perform the re │ │ │ │ 000fcc90: 6d65 6469 6174 696f 6e20 6f66 2074 6865 mediation of the │ │ │ │ 000fcca0: 2073 7973 6361 6c6c 2072 756c 650a 2320 syscall rule.# │ │ │ │ 000fccb0: 5265 7472 6965 7665 2068 6172 6477 6172 Retrieve hardwar │ │ │ │ 000fccc0: 6520 6172 6368 6974 6563 7475 7265 206f e architecture o │ │ │ │ 000fccd0: 6620 7468 6520 756e 6465 726c 7969 6e67 f the underlying │ │ │ │ 000fcce0: 2073 7973 7465 6d0a 5b20 2224 2867 6574 system.[ "$(get │ │ │ │ @@ -66531,23 +66531,23 @@ │ │ │ │ 00103e20: 6972 6564 0a20 202d 2072 6573 7472 6963 ired. - restric │ │ │ │ 00103e30: 745f 7374 7261 7465 6779 0a0a 2d20 6e61 t_strategy..- na │ │ │ │ 00103e40: 6d65 3a20 5365 7420 6172 6368 6974 6563 me: Set architec │ │ │ │ 00103e50: 7475 7265 2066 6f72 2061 7564 6974 206c ture for audit l │ │ │ │ 00103e60: 7265 6d6f 7665 7861 7474 7220 7461 736b removexattr task │ │ │ │ 00103e70: 730a 2020 7365 745f 6661 6374 3a0a 2020 s. set_fact:. │ │ │ │ 00103e80: 2020 6175 6469 745f 6172 6368 3a20 6236 audit_arch: b6 │ │ │ │ -00103e90: 340a 2020 7768 656e 3a0a 2020 2d20 2722 4. when:. - '" │ │ │ │ -00103ea0: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -00103eb0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -00103ec0: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -00103ed0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -00103ee0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -00103ef0: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -00103f00: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -00103f10: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +00103e90: 340a 2020 7768 656e 3a0a 2020 2d20 616e 4. when:. - an │ │ │ │ +00103ea0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +00103eb0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +00103ec0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +00103ed0: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +00103ee0: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +00103ef0: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +00103f00: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +00103f10: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ 00103f20: 2061 6e73 6962 6c65 5f61 7263 6869 7465 ansible_archite │ │ │ │ 00103f30: 6374 7572 6520 3d3d 2022 6161 7263 6836 cture == "aarch6 │ │ │ │ 00103f40: 3422 206f 7220 616e 7369 626c 655f 6172 4" or ansible_ar │ │ │ │ 00103f50: 6368 6974 6563 7475 7265 203d 3d20 2270 chitecture == "p │ │ │ │ 00103f60: 7063 3634 2220 6f72 2061 6e73 6962 6c65 pc64" or ansible │ │ │ │ 00103f70: 5f61 7263 6869 7465 6374 7572 650a 2020 _architecture. │ │ │ │ 00103f80: 2020 3d3d 2022 7070 6336 346c 6522 206f == "ppc64le" o │ │ │ │ @@ -67145,23 +67145,23 @@ │ │ │ │ 00106480: 2020 2020 6b65 793d 7065 726d 5f6d 6f64 key=perm_mod │ │ │ │ 00106490: 0a20 2020 2020 2063 7265 6174 653a 2074 . create: t │ │ │ │ 001064a0: 7275 650a 2020 2020 2020 6d6f 6465 3a20 rue. mode: │ │ │ │ 001064b0: 6f2d 7277 780a 2020 2020 2020 7374 6174 o-rwx. stat │ │ │ │ 001064c0: 653a 2070 7265 7365 6e74 0a20 2020 2077 e: present. w │ │ │ │ 001064d0: 6865 6e3a 2073 7973 6361 6c6c 735f 666f hen: syscalls_fo │ │ │ │ 001064e0: 756e 6420 7c20 6c65 6e67 7468 203d 3d20 und | length == │ │ │ │ -001064f0: 300a 2020 7768 656e 3a0a 2020 2d20 2722 0. when:. - '" │ │ │ │ -00106500: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -00106510: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -00106520: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -00106530: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -00106540: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -00106550: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -00106560: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -00106570: 2263 6f6e 7461 696e 6572 225d 0a20 2074 "container"]. t │ │ │ │ +001064f0: 300a 2020 7768 656e 3a0a 2020 2d20 616e 0. when:. - an │ │ │ │ +00106500: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +00106510: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +00106520: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +00106530: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +00106540: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +00106550: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +00106560: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +00106570: 7473 2e70 6163 6b61 6765 7327 0a20 2074 ts.packages'. t │ │ │ │ 00106580: 6167 733a 0a20 202d 2043 4a49 532d 352e ags:. - CJIS-5. │ │ │ │ 00106590: 342e 312e 310a 2020 2d20 4449 5341 2d53 4.1.1. - DISA-S │ │ │ │ 001065a0: 5449 472d 5542 5455 2d32 302d 3031 3031 TIG-UBTU-20-0101 │ │ │ │ 001065b0: 3436 0a20 202d 204e 4953 542d 3830 302d 46. - NIST-800- │ │ │ │ 001065c0: 3137 312d 332e 312e 370a 2020 2d20 4e49 171-3.1.7. - NI │ │ │ │ 001065d0: 5354 2d38 3030 2d35 332d 4155 2d31 3228 ST-800-53-AU-12( │ │ │ │ 001065e0: 6329 0a20 202d 204e 4953 542d 3830 302d c). - NIST-800- │ │ │ │ @@ -67748,23 +67748,23 @@ │ │ │ │ 00108a30: 6572 6d5f 6d6f 640a 2020 2020 2020 6372 erm_mod. cr │ │ │ │ 00108a40: 6561 7465 3a20 7472 7565 0a20 2020 2020 eate: true. │ │ │ │ 00108a50: 206d 6f64 653a 206f 2d72 7778 0a20 2020 mode: o-rwx. │ │ │ │ 00108a60: 2020 2073 7461 7465 3a20 7072 6573 656e state: presen │ │ │ │ 00108a70: 740a 2020 2020 7768 656e 3a20 7379 7363 t. when: sysc │ │ │ │ 00108a80: 616c 6c73 5f66 6f75 6e64 207c 206c 656e alls_found | len │ │ │ │ 00108a90: 6774 6820 3d3d 2030 0a20 2077 6865 6e3a gth == 0. when: │ │ │ │ -00108aa0: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -00108ab0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -00108ac0: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -00108ad0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -00108ae0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -00108af0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -00108b00: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -00108b10: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -00108b20: 7222 5d0a 2020 2d20 6175 6469 745f 6172 r"]. - audit_ar │ │ │ │ +00108aa0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +00108ab0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +00108ac0: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +00108ad0: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +00108ae0: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +00108af0: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +00108b00: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +00108b10: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +00108b20: 6573 270a 2020 2d20 6175 6469 745f 6172 es'. - audit_ar │ │ │ │ 00108b30: 6368 203d 3d20 2262 3634 220a 2020 7461 ch == "b64". ta │ │ │ │ 00108b40: 6773 3a0a 2020 2d20 434a 4953 2d35 2e34 gs:. - CJIS-5.4 │ │ │ │ 00108b50: 2e31 2e31 0a20 202d 2044 4953 412d 5354 .1.1. - DISA-ST │ │ │ │ 00108b60: 4947 2d55 4254 552d 3230 2d30 3130 3134 IG-UBTU-20-01014 │ │ │ │ 00108b70: 360a 2020 2d20 4e49 5354 2d38 3030 2d31 6. - NIST-800-1 │ │ │ │ 00108b80: 3731 2d33 2e31 2e37 0a20 202d 204e 4953 71-3.1.7. - NIS │ │ │ │ 00108b90: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ @@ -67798,26 +67798,26 @@ │ │ │ │ 00108d50: 723e 3c64 6976 2063 6c61 7373 3d22 7061 r>
│ │ │ │ 00108d90: 2320 5265 6d65 6469 6174 696f 6e20 6973 # Remediation is │ │ │ │ 00108da0: 2061 7070 6c69 6361 626c 6520 6f6e 6c79 applicable only │ │ │ │ 00108db0: 2069 6e20 6365 7274 6169 6e20 706c 6174 in certain plat │ │ │ │ -00108dc0: 666f 726d 730a 6966 2064 706b 672d 7175 forms.if dpkg-qu │ │ │ │ -00108dd0: 6572 7920 2d2d 7368 6f77 202d 2d73 686f ery --show --sho │ │ │ │ -00108de0: 7766 6f72 6d61 743d 2724 7b64 623a 5374 wformat='${db:St │ │ │ │ -00108df0: 6174 7573 2d53 7461 7475 737d 5c6e 2720 atus-Status}\n' │ │ │ │ -00108e00: 2761 7564 6974 6427 2032 2667 743b 2f64 'auditd' 2>/d │ │ │ │ -00108e10: 6576 2f6e 756c 6c20 7c20 6772 6570 202d ev/null | grep - │ │ │ │ -00108e20: 7120 696e 7374 616c 6c65 6420 2661 6d70 q installed & │ │ │ │ -00108e30: 3b26 616d 703b 205b 2021 202d 6620 2f2e ;& [ ! -f /. │ │ │ │ -00108e40: 646f 636b 6572 656e 7620 5d20 2661 6d70 dockerenv ] & │ │ │ │ -00108e50: 3b26 616d 703b 205b 2021 202d 6620 2f72 ;& [ ! -f /r │ │ │ │ -00108e60: 756e 2f2e 636f 6e74 6169 6e65 7265 6e76 un/.containerenv │ │ │ │ -00108e70: 205d 3b20 7468 656e 0a0a 2320 4669 7273 ]; then..# Firs │ │ │ │ +00108dc0: 666f 726d 730a 6966 205b 2021 202d 6620 forms.if [ ! -f │ │ │ │ +00108dd0: 2f2e 646f 636b 6572 656e 7620 5d20 2661 /.dockerenv ] &a │ │ │ │ +00108de0: 6d70 3b26 616d 703b 205b 2021 202d 6620 mp;& [ ! -f │ │ │ │ +00108df0: 2f72 756e 2f2e 636f 6e74 6169 6e65 7265 /run/.containere │ │ │ │ +00108e00: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ +00108e10: 6470 6b67 2d71 7565 7279 202d 2d73 686f dpkg-query --sho │ │ │ │ +00108e20: 7720 2d2d 7368 6f77 666f 726d 6174 3d27 w --showformat=' │ │ │ │ +00108e30: 247b 6462 3a53 7461 7475 732d 5374 6174 ${db:Status-Stat │ │ │ │ +00108e40: 7573 7d5c 6e27 2027 6175 6469 7464 2720 us}\n' 'auditd' │ │ │ │ +00108e50: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c 2>/dev/null | │ │ │ │ +00108e60: 2067 7265 7020 2d71 2069 6e73 7461 6c6c grep -q install │ │ │ │ +00108e70: 6564 3b20 7468 656e 0a0a 2320 4669 7273 ed; then..# Firs │ │ │ │ 00108e80: 7420 7065 7266 6f72 6d20 7468 6520 7265 t perform the re │ │ │ │ 00108e90: 6d65 6469 6174 696f 6e20 6f66 2074 6865 mediation of the │ │ │ │ 00108ea0: 2073 7973 6361 6c6c 2072 756c 650a 2320 syscall rule.# │ │ │ │ 00108eb0: 5265 7472 6965 7665 2068 6172 6477 6172 Retrieve hardwar │ │ │ │ 00108ec0: 6520 6172 6368 6974 6563 7475 7265 206f e architecture o │ │ │ │ 00108ed0: 6620 7468 6520 756e 6465 726c 7969 6e67 f the underlying │ │ │ │ 00108ee0: 2073 7973 7465 6d0a 5b20 2224 2867 6574 system.[ "$(get │ │ │ │ @@ -70448,22 +70448,22 @@ │ │ │ │ 001132f0: 7265 7374 7269 6374 5f73 7472 6174 6567 restrict_strateg │ │ │ │ 00113300: 790a 0a2d 206e 616d 653a 2053 6574 2061 y..- name: Set a │ │ │ │ 00113310: 7263 6869 7465 6374 7572 6520 666f 7220 rchitecture for │ │ │ │ 00113320: 6175 6469 7420 6c73 6574 7861 7474 7220 audit lsetxattr │ │ │ │ 00113330: 7461 736b 730a 2020 7365 745f 6661 6374 tasks. set_fact │ │ │ │ 00113340: 3a0a 2020 2020 6175 6469 745f 6172 6368 :. audit_arch │ │ │ │ 00113350: 3a20 6236 340a 2020 7768 656e 3a0a 2020 : b64. when:. │ │ │ │ -00113360: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ -00113370: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ -00113380: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ -00113390: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ -001133a0: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ -001133b0: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ -001133c0: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ -001133d0: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +00113360: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ +00113370: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ +00113380: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ +00113390: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ +001133a0: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ +001133b0: 6169 6e65 7222 5d0a 2020 2d20 2722 6175 ainer"]. - '"au │ │ │ │ +001133c0: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ +001133d0: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ 001133e0: 0a20 202d 2061 6e73 6962 6c65 5f61 7263 . - ansible_arc │ │ │ │ 001133f0: 6869 7465 6374 7572 6520 3d3d 2022 6161 hitecture == "aa │ │ │ │ 00113400: 7263 6836 3422 206f 7220 616e 7369 626c rch64" or ansibl │ │ │ │ 00113410: 655f 6172 6368 6974 6563 7475 7265 203d e_architecture = │ │ │ │ 00113420: 3d20 2270 7063 3634 2220 6f72 2061 6e73 = "ppc64" or ans │ │ │ │ 00113430: 6962 6c65 5f61 7263 6869 7465 6374 7572 ible_architectur │ │ │ │ 00113440: 650a 2020 2020 3d3d 2022 7070 6336 346c e. == "ppc64l │ │ │ │ @@ -71060,23 +71060,23 @@ │ │ │ │ 00115930: 726d 5f6d 6f64 0a20 2020 2020 2063 7265 rm_mod. cre │ │ │ │ 00115940: 6174 653a 2074 7275 650a 2020 2020 2020 ate: true. │ │ │ │ 00115950: 6d6f 6465 3a20 6f2d 7277 780a 2020 2020 mode: o-rwx. │ │ │ │ 00115960: 2020 7374 6174 653a 2070 7265 7365 6e74 state: present │ │ │ │ 00115970: 0a20 2020 2077 6865 6e3a 2073 7973 6361 . when: sysca │ │ │ │ 00115980: 6c6c 735f 666f 756e 6420 7c20 6c65 6e67 lls_found | leng │ │ │ │ 00115990: 7468 203d 3d20 300a 2020 7768 656e 3a0a th == 0. when:. │ │ │ │ -001159a0: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ -001159b0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -001159c0: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ -001159d0: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ -001159e0: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ -001159f0: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ -00115a00: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ -00115a10: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ -00115a20: 225d 0a20 2074 6167 733a 0a20 202d 2043 "]. tags:. - C │ │ │ │ +001159a0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ +001159b0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ +001159c0: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ +001159d0: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ +001159e0: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ +001159f0: 6e74 6169 6e65 7222 5d0a 2020 2d20 2722 ntainer"]. - '" │ │ │ │ +00115a00: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ +00115a10: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ +00115a20: 7327 0a20 2074 6167 733a 0a20 202d 2043 s'. tags:. - C │ │ │ │ 00115a30: 4a49 532d 352e 342e 312e 310a 2020 2d20 JIS-5.4.1.1. - │ │ │ │ 00115a40: 4449 5341 2d53 5449 472d 5542 5455 2d32 DISA-STIG-UBTU-2 │ │ │ │ 00115a50: 302d 3031 3031 3433 0a20 202d 204e 4953 0-010143. - NIS │ │ │ │ 00115a60: 542d 3830 302d 3137 312d 332e 312e 370a T-800-171-3.1.7. │ │ │ │ 00115a70: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ 00115a80: 4155 2d31 3228 6329 0a20 202d 204e 4953 AU-12(c). - NIS │ │ │ │ 00115a90: 542d 3830 302d 3533 2d41 552d 3228 6429 T-800-53-AU-2(d) │ │ │ │ @@ -71660,23 +71660,23 @@ │ │ │ │ 00117eb0: 2020 206b 6579 3d70 6572 6d5f 6d6f 640a key=perm_mod. │ │ │ │ 00117ec0: 2020 2020 2020 6372 6561 7465 3a20 7472 create: tr │ │ │ │ 00117ed0: 7565 0a20 2020 2020 206d 6f64 653a 206f ue. mode: o │ │ │ │ 00117ee0: 2d72 7778 0a20 2020 2020 2073 7461 7465 -rwx. state │ │ │ │ 00117ef0: 3a20 7072 6573 656e 740a 2020 2020 7768 : present. wh │ │ │ │ 00117f00: 656e 3a20 7379 7363 616c 6c73 5f66 6f75 en: syscalls_fou │ │ │ │ 00117f10: 6e64 207c 206c 656e 6774 6820 3d3d 2030 nd | length == 0 │ │ │ │ -00117f20: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -00117f30: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -00117f40: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -00117f50: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -00117f60: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -00117f70: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -00117f80: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -00117f90: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -00117fa0: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +00117f20: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +00117f30: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +00117f40: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +00117f50: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +00117f60: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +00117f70: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +00117f80: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +00117f90: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +00117fa0: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ 00117fb0: 6175 6469 745f 6172 6368 203d 3d20 2262 audit_arch == "b │ │ │ │ 00117fc0: 3634 220a 2020 7461 6773 3a0a 2020 2d20 64". tags:. - │ │ │ │ 00117fd0: 434a 4953 2d35 2e34 2e31 2e31 0a20 202d CJIS-5.4.1.1. - │ │ │ │ 00117fe0: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 00117ff0: 3230 2d30 3130 3134 330a 2020 2d20 4e49 20-010143. - NI │ │ │ │ 00118000: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 00118010: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ @@ -71710,26 +71710,26 @@ │ │ │ │ 001181d0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173 /a>
< │ │ │ │ 00118210: 636f 6465 3e23 2052 656d 6564 6961 7469 code># Remediati │ │ │ │ 00118220: 6f6e 2069 7320 6170 706c 6963 6162 6c65 on is applicable │ │ │ │ 00118230: 206f 6e6c 7920 696e 2063 6572 7461 696e only in certain │ │ │ │ -00118240: 2070 6c61 7466 6f72 6d73 0a69 6620 6470 platforms.if dp │ │ │ │ -00118250: 6b67 2d71 7565 7279 202d 2d73 686f 7720 kg-query --show │ │ │ │ -00118260: 2d2d 7368 6f77 666f 726d 6174 3d27 247b --showformat='${ │ │ │ │ -00118270: 6462 3a53 7461 7475 732d 5374 6174 7573 db:Status-Status │ │ │ │ -00118280: 7d5c 6e27 2027 6175 6469 7464 2720 3226 }\n' 'auditd' 2& │ │ │ │ -00118290: 6774 3b2f 6465 762f 6e75 6c6c 207c 2067 gt;/dev/null | g │ │ │ │ -001182a0: 7265 7020 2d71 2069 6e73 7461 6c6c 6564 rep -q installed │ │ │ │ -001182b0: 2026 616d 703b 2661 6d70 3b20 5b20 2120 && [ ! │ │ │ │ -001182c0: 2d66 202f 2e64 6f63 6b65 7265 6e76 205d -f /.dockerenv ] │ │ │ │ -001182d0: 2026 616d 703b 2661 6d70 3b20 5b20 2120 && [ ! │ │ │ │ -001182e0: 2d66 202f 7275 6e2f 2e63 6f6e 7461 696e -f /run/.contain │ │ │ │ -001182f0: 6572 656e 7620 5d3b 2074 6865 6e0a 0a23 erenv ]; then..# │ │ │ │ +00118240: 2070 6c61 7466 6f72 6d73 0a69 6620 5b20 platforms.if [ │ │ │ │ +00118250: 2120 2d66 202f 2e64 6f63 6b65 7265 6e76 ! -f /.dockerenv │ │ │ │ +00118260: 205d 2026 616d 703b 2661 6d70 3b20 5b20 ] && [ │ │ │ │ +00118270: 2120 2d66 202f 7275 6e2f 2e63 6f6e 7461 ! -f /run/.conta │ │ │ │ +00118280: 696e 6572 656e 7620 5d20 2661 6d70 3b26 inerenv ] && │ │ │ │ +00118290: 616d 703b 2064 706b 672d 7175 6572 7920 amp; dpkg-query │ │ │ │ +001182a0: 2d2d 7368 6f77 202d 2d73 686f 7766 6f72 --show --showfor │ │ │ │ +001182b0: 6d61 743d 2724 7b64 623a 5374 6174 7573 mat='${db:Status │ │ │ │ +001182c0: 2d53 7461 7475 737d 5c6e 2720 2761 7564 -Status}\n' 'aud │ │ │ │ +001182d0: 6974 6427 2032 2667 743b 2f64 6576 2f6e itd' 2>/dev/n │ │ │ │ +001182e0: 756c 6c20 7c20 6772 6570 202d 7120 696e ull | grep -q in │ │ │ │ +001182f0: 7374 616c 6c65 643b 2074 6865 6e0a 0a23 stalled; then..# │ │ │ │ 00118300: 2046 6972 7374 2070 6572 666f 726d 2074 First perform t │ │ │ │ 00118310: 6865 2072 656d 6564 6961 7469 6f6e 206f he remediation o │ │ │ │ 00118320: 6620 7468 6520 7379 7363 616c 6c20 7275 f the syscall ru │ │ │ │ 00118330: 6c65 0a23 2052 6574 7269 6576 6520 6861 le.# Retrieve ha │ │ │ │ 00118340: 7264 7761 7265 2061 7263 6869 7465 6374 rdware architect │ │ │ │ 00118350: 7572 6520 6f66 2074 6865 2075 6e64 6572 ure of the under │ │ │ │ 00118360: 6c79 696e 6720 7379 7374 656d 0a5b 2022 lying system.[ " │ │ │ │ @@ -74359,23 +74359,23 @@ │ │ │ │ 00122760: 7175 6972 6564 0a20 202d 2072 6573 7472 quired. - restr │ │ │ │ 00122770: 6963 745f 7374 7261 7465 6779 0a0a 2d20 ict_strategy..- │ │ │ │ 00122780: 6e61 6d65 3a20 5365 7420 6172 6368 6974 name: Set archit │ │ │ │ 00122790: 6563 7475 7265 2066 6f72 2061 7564 6974 ecture for audit │ │ │ │ 001227a0: 2072 656d 6f76 6578 6174 7472 2074 6173 removexattr tas │ │ │ │ 001227b0: 6b73 0a20 2073 6574 5f66 6163 743a 0a20 ks. set_fact:. │ │ │ │ 001227c0: 2020 2061 7564 6974 5f61 7263 683a 2062 audit_arch: b │ │ │ │ -001227d0: 3634 0a20 2077 6865 6e3a 0a20 202d 2027 64. when:. - ' │ │ │ │ -001227e0: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -001227f0: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -00122800: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -00122810: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -00122820: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -00122830: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -00122840: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -00122850: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +001227d0: 3634 0a20 2077 6865 6e3a 0a20 202d 2061 64. when:. - a │ │ │ │ +001227e0: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +001227f0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +00122800: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +00122810: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +00122820: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +00122830: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +00122840: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +00122850: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 00122860: 2d20 616e 7369 626c 655f 6172 6368 6974 - ansible_archit │ │ │ │ 00122870: 6563 7475 7265 203d 3d20 2261 6172 6368 ecture == "aarch │ │ │ │ 00122880: 3634 2220 6f72 2061 6e73 6962 6c65 5f61 64" or ansible_a │ │ │ │ 00122890: 7263 6869 7465 6374 7572 6520 3d3d 2022 rchitecture == " │ │ │ │ 001228a0: 7070 6336 3422 206f 7220 616e 7369 626c ppc64" or ansibl │ │ │ │ 001228b0: 655f 6172 6368 6974 6563 7475 7265 0a20 e_architecture. │ │ │ │ 001228c0: 2020 203d 3d20 2270 7063 3634 6c65 2220 == "ppc64le" │ │ │ │ @@ -74973,23 +74973,23 @@ │ │ │ │ 00124dc0: 6572 6d5f 6d6f 640a 2020 2020 2020 6372 erm_mod. cr │ │ │ │ 00124dd0: 6561 7465 3a20 7472 7565 0a20 2020 2020 eate: true. │ │ │ │ 00124de0: 206d 6f64 653a 206f 2d72 7778 0a20 2020 mode: o-rwx. │ │ │ │ 00124df0: 2020 2073 7461 7465 3a20 7072 6573 656e state: presen │ │ │ │ 00124e00: 740a 2020 2020 7768 656e 3a20 7379 7363 t. when: sysc │ │ │ │ 00124e10: 616c 6c73 5f66 6f75 6e64 207c 206c 656e alls_found | len │ │ │ │ 00124e20: 6774 6820 3d3d 2030 0a20 2077 6865 6e3a gth == 0. when: │ │ │ │ -00124e30: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -00124e40: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -00124e50: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -00124e60: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -00124e70: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -00124e80: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -00124e90: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -00124ea0: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -00124eb0: 7222 5d0a 2020 7461 6773 3a0a 2020 2d20 r"]. tags:. - │ │ │ │ +00124e30: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +00124e40: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +00124e50: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +00124e60: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +00124e70: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +00124e80: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +00124e90: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +00124ea0: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +00124eb0: 6573 270a 2020 7461 6773 3a0a 2020 2d20 es'. tags:. - │ │ │ │ 00124ec0: 434a 4953 2d35 2e34 2e31 2e31 0a20 202d CJIS-5.4.1.1. - │ │ │ │ 00124ed0: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 00124ee0: 3230 2d30 3130 3134 350a 2020 2d20 4e49 20-010145. - NI │ │ │ │ 00124ef0: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 00124f00: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 00124f10: 2d41 552d 3132 2863 290a 2020 2d20 4e49 -AU-12(c). - NI │ │ │ │ 00124f20: 5354 2d38 3030 2d35 332d 4155 2d32 2864 ST-800-53-AU-2(d │ │ │ │ @@ -75575,22 +75575,22 @@ │ │ │ │ 00127360: 5f6d 6f64 0a20 2020 2020 2063 7265 6174 _mod. creat │ │ │ │ 00127370: 653a 2074 7275 650a 2020 2020 2020 6d6f e: true. mo │ │ │ │ 00127380: 6465 3a20 6f2d 7277 780a 2020 2020 2020 de: o-rwx. │ │ │ │ 00127390: 7374 6174 653a 2070 7265 7365 6e74 0a20 state: present. │ │ │ │ 001273a0: 2020 2077 6865 6e3a 2073 7973 6361 6c6c when: syscall │ │ │ │ 001273b0: 735f 666f 756e 6420 7c20 6c65 6e67 7468 s_found | length │ │ │ │ 001273c0: 203d 3d20 300a 2020 7768 656e 3a0a 2020 == 0. when:. │ │ │ │ -001273d0: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ -001273e0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ -001273f0: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ -00127400: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ -00127410: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ -00127420: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ -00127430: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ -00127440: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +001273d0: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ +001273e0: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ +001273f0: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ +00127400: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ +00127410: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ +00127420: 6169 6e65 7222 5d0a 2020 2d20 2722 6175 ainer"]. - '"au │ │ │ │ +00127430: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ +00127440: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ 00127450: 0a20 202d 2061 7564 6974 5f61 7263 6820 . - audit_arch │ │ │ │ 00127460: 3d3d 2022 6236 3422 0a20 2074 6167 733a == "b64". tags: │ │ │ │ 00127470: 0a20 202d 2043 4a49 532d 352e 342e 312e . - CJIS-5.4.1. │ │ │ │ 00127480: 310a 2020 2d20 4449 5341 2d53 5449 472d 1. - DISA-STIG- │ │ │ │ 00127490: 5542 5455 2d32 302d 3031 3031 3435 0a20 UBTU-20-010145. │ │ │ │ 001274a0: 202d 204e 4953 542d 3830 302d 3137 312d - NIST-800-171- │ │ │ │ 001274b0: 332e 312e 370a 2020 2d20 4e49 5354 2d38 3.1.7. - NIST-8 │ │ │ │ @@ -75625,25 +75625,25 @@ │ │ │ │ 00127680: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d iv class="panel- │ │ │ │ 00127690: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073 collapse collaps │ │ │ │ 001276a0: 6522 2069 643d 2269 646d 3134 3434 3622 e" id="idm14446" │ │ │ │ 001276b0: 3e3c 7072 653e 3c63 6f64 653e 2320 5265 ># Re │ │ │ │ 001276c0: 6d65 6469 6174 696f 6e20 6973 2061 7070 mediation is app │ │ │ │ 001276d0: 6c69 6361 626c 6520 6f6e 6c79 2069 6e20 licable only in │ │ │ │ 001276e0: 6365 7274 6169 6e20 706c 6174 666f 726d certain platform │ │ │ │ -001276f0: 730a 6966 2064 706b 672d 7175 6572 7920 s.if dpkg-query │ │ │ │ -00127700: 2d2d 7368 6f77 202d 2d73 686f 7766 6f72 --show --showfor │ │ │ │ -00127710: 6d61 743d 2724 7b64 623a 5374 6174 7573 mat='${db:Status │ │ │ │ -00127720: 2d53 7461 7475 737d 5c6e 2720 2761 7564 -Status}\n' 'aud │ │ │ │ -00127730: 6974 6427 2032 2667 743b 2f64 6576 2f6e itd' 2>/dev/n │ │ │ │ -00127740: 756c 6c20 7c20 6772 6570 202d 7120 696e ull | grep -q in │ │ │ │ -00127750: 7374 616c 6c65 6420 2661 6d70 3b26 616d stalled &&am │ │ │ │ -00127760: 703b 205b 2021 202d 6620 2f2e 646f 636b p; [ ! -f /.dock │ │ │ │ -00127770: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ -00127780: 703b 205b 2021 202d 6620 2f72 756e 2f2e p; [ ! -f /run/. │ │ │ │ -00127790: 636f 6e74 6169 6e65 7265 6e76 205d 3b20 containerenv ]; │ │ │ │ +001276f0: 730a 6966 205b 2021 202d 6620 2f2e 646f s.if [ ! -f /.do │ │ │ │ +00127700: 636b 6572 656e 7620 5d20 2661 6d70 3b26 ckerenv ] && │ │ │ │ +00127710: 616d 703b 205b 2021 202d 6620 2f72 756e amp; [ ! -f /run │ │ │ │ +00127720: 2f2e 636f 6e74 6169 6e65 7265 6e76 205d /.containerenv ] │ │ │ │ +00127730: 2026 616d 703b 2661 6d70 3b20 6470 6b67 && dpkg │ │ │ │ +00127740: 2d71 7565 7279 202d 2d73 686f 7720 2d2d -query --show -- │ │ │ │ +00127750: 7368 6f77 666f 726d 6174 3d27 247b 6462 showformat='${db │ │ │ │ +00127760: 3a53 7461 7475 732d 5374 6174 7573 7d5c :Status-Status}\ │ │ │ │ +00127770: 6e27 2027 6175 6469 7464 2720 3226 6774 n' 'auditd' 2> │ │ │ │ +00127780: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265 ;/dev/null | gre │ │ │ │ +00127790: 7020 2d71 2069 6e73 7461 6c6c 6564 3b20 p -q installed; │ │ │ │ 001277a0: 7468 656e 0a0a 2320 4669 7273 7420 7065 then..# First pe │ │ │ │ 001277b0: 7266 6f72 6d20 7468 6520 7265 6d65 6469 rform the remedi │ │ │ │ 001277c0: 6174 696f 6e20 6f66 2074 6865 2073 7973 ation of the sys │ │ │ │ 001277d0: 6361 6c6c 2072 756c 650a 2320 5265 7472 call rule.# Retr │ │ │ │ 001277e0: 6965 7665 2068 6172 6477 6172 6520 6172 ieve hardware ar │ │ │ │ 001277f0: 6368 6974 6563 7475 7265 206f 6620 7468 chitecture of th │ │ │ │ 00127800: 6520 756e 6465 726c 7969 6e67 2073 7973 e underlying sys │ │ │ │ @@ -78248,23 +78248,23 @@ │ │ │ │ 00131a70: 2020 2d20 7265 7374 7269 6374 5f73 7472 - restrict_str │ │ │ │ 00131a80: 6174 6567 790a 0a2d 206e 616d 653a 2053 ategy..- name: S │ │ │ │ 00131a90: 6574 2061 7263 6869 7465 6374 7572 6520 et architecture │ │ │ │ 00131aa0: 666f 7220 6175 6469 7420 7365 7478 6174 for audit setxat │ │ │ │ 00131ab0: 7472 2074 6173 6b73 0a20 2073 6574 5f66 tr tasks. set_f │ │ │ │ 00131ac0: 6163 743a 0a20 2020 2061 7564 6974 5f61 act:. audit_a │ │ │ │ 00131ad0: 7263 683a 2062 3634 0a20 2077 6865 6e3a rch: b64. when: │ │ │ │ -00131ae0: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -00131af0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -00131b00: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -00131b10: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -00131b20: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -00131b30: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -00131b40: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -00131b50: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -00131b60: 7222 5d0a 2020 2d20 616e 7369 626c 655f r"]. - ansible_ │ │ │ │ +00131ae0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +00131af0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +00131b00: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +00131b10: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +00131b20: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +00131b30: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +00131b40: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +00131b50: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +00131b60: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ 00131b70: 6172 6368 6974 6563 7475 7265 203d 3d20 architecture == │ │ │ │ 00131b80: 2261 6172 6368 3634 2220 6f72 2061 6e73 "aarch64" or ans │ │ │ │ 00131b90: 6962 6c65 5f61 7263 6869 7465 6374 7572 ible_architectur │ │ │ │ 00131ba0: 6520 3d3d 2022 7070 6336 3422 206f 7220 e == "ppc64" or │ │ │ │ 00131bb0: 616e 7369 626c 655f 6172 6368 6974 6563 ansible_architec │ │ │ │ 00131bc0: 7475 7265 0a20 2020 203d 3d20 2270 7063 ture. == "ppc │ │ │ │ 00131bd0: 3634 6c65 2220 6f72 2061 6e73 6962 6c65 64le" or ansible │ │ │ │ @@ -78859,23 +78859,23 @@ │ │ │ │ 001340a0: 2020 206b 6579 3d70 6572 6d5f 6d6f 640a key=perm_mod. │ │ │ │ 001340b0: 2020 2020 2020 6372 6561 7465 3a20 7472 create: tr │ │ │ │ 001340c0: 7565 0a20 2020 2020 206d 6f64 653a 206f ue. mode: o │ │ │ │ 001340d0: 2d72 7778 0a20 2020 2020 2073 7461 7465 -rwx. state │ │ │ │ 001340e0: 3a20 7072 6573 656e 740a 2020 2020 7768 : present. wh │ │ │ │ 001340f0: 656e 3a20 7379 7363 616c 6c73 5f66 6f75 en: syscalls_fou │ │ │ │ 00134100: 6e64 207c 206c 656e 6774 6820 3d3d 2030 nd | length == 0 │ │ │ │ -00134110: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -00134120: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -00134130: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -00134140: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -00134150: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -00134160: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -00134170: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -00134180: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -00134190: 636f 6e74 6169 6e65 7222 5d0a 2020 7461 container"]. ta │ │ │ │ +00134110: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +00134120: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +00134130: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +00134140: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +00134150: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +00134160: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +00134170: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +00134180: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +00134190: 732e 7061 636b 6167 6573 270a 2020 7461 s.packages'. ta │ │ │ │ 001341a0: 6773 3a0a 2020 2d20 434a 4953 2d35 2e34 gs:. - CJIS-5.4 │ │ │ │ 001341b0: 2e31 2e31 0a20 202d 2044 4953 412d 5354 .1.1. - DISA-ST │ │ │ │ 001341c0: 4947 2d55 4254 552d 3230 2d30 3130 3134 IG-UBTU-20-01014 │ │ │ │ 001341d0: 320a 2020 2d20 4e49 5354 2d38 3030 2d31 2. - NIST-800-1 │ │ │ │ 001341e0: 3731 2d33 2e31 2e37 0a20 202d 204e 4953 71-3.1.7. - NIS │ │ │ │ 001341f0: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ 00134200: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ @@ -79459,23 +79459,23 @@ │ │ │ │ 00136620: 2020 6b65 793d 7065 726d 5f6d 6f64 0a20 key=perm_mod. │ │ │ │ 00136630: 2020 2020 2063 7265 6174 653a 2074 7275 create: tru │ │ │ │ 00136640: 650a 2020 2020 2020 6d6f 6465 3a20 6f2d e. mode: o- │ │ │ │ 00136650: 7277 780a 2020 2020 2020 7374 6174 653a rwx. state: │ │ │ │ 00136660: 2070 7265 7365 6e74 0a20 2020 2077 6865 present. whe │ │ │ │ 00136670: 6e3a 2073 7973 6361 6c6c 735f 666f 756e n: syscalls_foun │ │ │ │ 00136680: 6420 7c20 6c65 6e67 7468 203d 3d20 300a d | length == 0. │ │ │ │ -00136690: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -001366a0: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -001366b0: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -001366c0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -001366d0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -001366e0: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -001366f0: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -00136700: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -00136710: 6f6e 7461 696e 6572 225d 0a20 202d 2061 ontainer"]. - a │ │ │ │ +00136690: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +001366a0: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +001366b0: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +001366c0: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +001366d0: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +001366e0: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +001366f0: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +00136700: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +00136710: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ 00136720: 7564 6974 5f61 7263 6820 3d3d 2022 6236 udit_arch == "b6 │ │ │ │ 00136730: 3422 0a20 2074 6167 733a 0a20 202d 2043 4". tags:. - C │ │ │ │ 00136740: 4a49 532d 352e 342e 312e 310a 2020 2d20 JIS-5.4.1.1. - │ │ │ │ 00136750: 4449 5341 2d53 5449 472d 5542 5455 2d32 DISA-STIG-UBTU-2 │ │ │ │ 00136760: 302d 3031 3031 3432 0a20 202d 204e 4953 0-010142. - NIS │ │ │ │ 00136770: 542d 3830 302d 3137 312d 332e 312e 370a T-800-171-3.1.7. │ │ │ │ 00136780: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ @@ -79509,26 +79509,26 @@ │ │ │ │ 00136940: 3e3c 6272 3e3c 6469 7620 636c 6173 733d >
# Remediation │ │ │ │ 00136990: 2069 7320 6170 706c 6963 6162 6c65 206f is applicable o │ │ │ │ 001369a0: 6e6c 7920 696e 2063 6572 7461 696e 2070 nly in certain p │ │ │ │ -001369b0: 6c61 7466 6f72 6d73 0a69 6620 6470 6b67 latforms.if dpkg │ │ │ │ -001369c0: 2d71 7565 7279 202d 2d73 686f 7720 2d2d -query --show -- │ │ │ │ -001369d0: 7368 6f77 666f 726d 6174 3d27 247b 6462 showformat='${db │ │ │ │ -001369e0: 3a53 7461 7475 732d 5374 6174 7573 7d5c :Status-Status}\ │ │ │ │ -001369f0: 6e27 2027 6175 6469 7464 2720 3226 6774 n' 'auditd' 2> │ │ │ │ -00136a00: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265 ;/dev/null | gre │ │ │ │ -00136a10: 7020 2d71 2069 6e73 7461 6c6c 6564 2026 p -q installed & │ │ │ │ -00136a20: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -00136a30: 202f 2e64 6f63 6b65 7265 6e76 205d 2026 /.dockerenv ] & │ │ │ │ -00136a40: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -00136a50: 202f 7275 6e2f 2e63 6f6e 7461 696e 6572 /run/.container │ │ │ │ -00136a60: 656e 7620 5d3b 2074 6865 6e0a 0a23 2046 env ]; then..# F │ │ │ │ +001369b0: 6c61 7466 6f72 6d73 0a69 6620 5b20 2120 latforms.if [ ! │ │ │ │ +001369c0: 2d66 202f 2e64 6f63 6b65 7265 6e76 205d -f /.dockerenv ] │ │ │ │ +001369d0: 2026 616d 703b 2661 6d70 3b20 5b20 2120 && [ ! │ │ │ │ +001369e0: 2d66 202f 7275 6e2f 2e63 6f6e 7461 696e -f /run/.contain │ │ │ │ +001369f0: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +00136a00: 703b 2064 706b 672d 7175 6572 7920 2d2d p; dpkg-query -- │ │ │ │ +00136a10: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ +00136a20: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ +00136a30: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ +00136a40: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ +00136a50: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ +00136a60: 616c 6c65 643b 2074 6865 6e0a 0a23 2046 alled; then..# F │ │ │ │ 00136a70: 6972 7374 2070 6572 666f 726d 2074 6865 irst perform the │ │ │ │ 00136a80: 2072 656d 6564 6961 7469 6f6e 206f 6620 remediation of │ │ │ │ 00136a90: 7468 6520 7379 7363 616c 6c20 7275 6c65 the syscall rule │ │ │ │ 00136aa0: 0a23 2052 6574 7269 6576 6520 6861 7264 .# Retrieve hard │ │ │ │ 00136ab0: 7761 7265 2061 7263 6869 7465 6374 7572 ware architectur │ │ │ │ 00136ac0: 6520 6f66 2074 6865 2075 6e64 6572 6c79 e of the underly │ │ │ │ 00136ad0: 696e 6720 7379 7374 656d 0a5b 2022 2428 ing system.[ "$( │ │ │ │ @@ -82233,23 +82233,23 @@ │ │ │ │ 00141380: 6564 0a20 202d 2072 6573 7472 6963 745f ed. - restrict_ │ │ │ │ 00141390: 7374 7261 7465 6779 0a0a 2d20 6e61 6d65 strategy..- name │ │ │ │ 001413a0: 3a20 5365 7420 6172 6368 6974 6563 7475 : Set architectu │ │ │ │ 001413b0: 7265 2066 6f72 2061 7564 6974 2072 656e re for audit ren │ │ │ │ 001413c0: 616d 6520 7461 736b 730a 2020 7365 745f ame tasks. set_ │ │ │ │ 001413d0: 6661 6374 3a0a 2020 2020 6175 6469 745f fact:. audit_ │ │ │ │ 001413e0: 6172 6368 3a20 6236 340a 2020 7768 656e arch: b64. when │ │ │ │ -001413f0: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -00141400: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -00141410: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -00141420: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -00141430: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -00141440: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -00141450: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -00141460: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -00141470: 6572 225d 0a20 202d 2061 6e73 6962 6c65 er"]. - ansible │ │ │ │ +001413f0: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +00141400: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +00141410: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +00141420: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +00141430: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +00141440: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +00141450: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +00141460: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +00141470: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ 00141480: 5f61 7263 6869 7465 6374 7572 6520 3d3d _architecture == │ │ │ │ 00141490: 2022 6161 7263 6836 3422 206f 7220 616e "aarch64" or an │ │ │ │ 001414a0: 7369 626c 655f 6172 6368 6974 6563 7475 sible_architectu │ │ │ │ 001414b0: 7265 203d 3d20 2270 7063 3634 2220 6f72 re == "ppc64" or │ │ │ │ 001414c0: 2061 6e73 6962 6c65 5f61 7263 6869 7465 ansible_archite │ │ │ │ 001414d0: 6374 7572 650a 2020 2020 3d3d 2022 7070 cture. == "pp │ │ │ │ 001414e0: 6336 346c 6522 206f 7220 616e 7369 626c c64le" or ansibl │ │ │ │ @@ -82559,23 +82559,23 @@ │ │ │ │ 001427e0: 2d46 206b 6579 3d64 656c 6574 650a 2020 -F key=delete. │ │ │ │ 001427f0: 2020 2020 6372 6561 7465 3a20 7472 7565 create: true │ │ │ │ 00142800: 0a20 2020 2020 206d 6f64 653a 206f 2d72 . mode: o-r │ │ │ │ 00142810: 7778 0a20 2020 2020 2073 7461 7465 3a20 wx. state: │ │ │ │ 00142820: 7072 6573 656e 740a 2020 2020 7768 656e present. when │ │ │ │ 00142830: 3a20 7379 7363 616c 6c73 5f66 6f75 6e64 : syscalls_found │ │ │ │ 00142840: 207c 206c 656e 6774 6820 3d3d 2030 0a20 | length == 0. │ │ │ │ -00142850: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -00142860: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -00142870: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -00142880: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -00142890: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -001428a0: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -001428b0: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -001428c0: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -001428d0: 6e74 6169 6e65 7222 5d0a 2020 7461 6773 ntainer"]. tags │ │ │ │ +00142850: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +00142860: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +00142870: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +00142880: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +00142890: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +001428a0: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +001428b0: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +001428c0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +001428d0: 7061 636b 6167 6573 270a 2020 7461 6773 packages'. tags │ │ │ │ 001428e0: 3a0a 2020 2d20 4449 5341 2d53 5449 472d :. - DISA-STIG- │ │ │ │ 001428f0: 5542 5455 2d32 302d 3031 3032 3639 0a20 UBTU-20-010269. │ │ │ │ 00142900: 202d 204e 4953 542d 3830 302d 3137 312d - NIST-800-171- │ │ │ │ 00142910: 332e 312e 370a 2020 2d20 4e49 5354 2d38 3.1.7. - NIST-8 │ │ │ │ 00142920: 3030 2d35 332d 4155 2d31 3228 6329 0a20 00-53-AU-12(c). │ │ │ │ 00142930: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ 00142940: 552d 3228 6429 0a20 202d 204e 4953 542d U-2(d). - NIST- │ │ │ │ @@ -82874,23 +82874,23 @@ │ │ │ │ 00143b90: 6579 3d64 656c 6574 650a 2020 2020 2020 ey=delete. │ │ │ │ 00143ba0: 6372 6561 7465 3a20 7472 7565 0a20 2020 create: true. │ │ │ │ 00143bb0: 2020 206d 6f64 653a 206f 2d72 7778 0a20 mode: o-rwx. │ │ │ │ 00143bc0: 2020 2020 2073 7461 7465 3a20 7072 6573 state: pres │ │ │ │ 00143bd0: 656e 740a 2020 2020 7768 656e 3a20 7379 ent. when: sy │ │ │ │ 00143be0: 7363 616c 6c73 5f66 6f75 6e64 207c 206c scalls_found | l │ │ │ │ 00143bf0: 656e 6774 6820 3d3d 2030 0a20 2077 6865 ength == 0. whe │ │ │ │ -00143c00: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -00143c10: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -00143c20: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -00143c30: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -00143c40: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -00143c50: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -00143c60: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -00143c70: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -00143c80: 6e65 7222 5d0a 2020 2d20 6175 6469 745f ner"]. - audit_ │ │ │ │ +00143c00: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +00143c10: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +00143c20: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +00143c30: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +00143c40: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +00143c50: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +00143c60: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +00143c70: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +00143c80: 6167 6573 270a 2020 2d20 6175 6469 745f ages'. - audit_ │ │ │ │ 00143c90: 6172 6368 203d 3d20 2262 3634 220a 2020 arch == "b64". │ │ │ │ 00143ca0: 7461 6773 3a0a 2020 2d20 4449 5341 2d53 tags:. - DISA-S │ │ │ │ 00143cb0: 5449 472d 5542 5455 2d32 302d 3031 3032 TIG-UBTU-20-0102 │ │ │ │ 00143cc0: 3639 0a20 202d 204e 4953 542d 3830 302d 69. - NIST-800- │ │ │ │ 00143cd0: 3137 312d 332e 312e 370a 2020 2d20 4e49 171-3.1.7. - NI │ │ │ │ 00143ce0: 5354 2d38 3030 2d35 332d 4155 2d31 3228 ST-800-53-AU-12( │ │ │ │ 00143cf0: 6329 0a20 202d 204e 4953 542d 3830 302d c). - NIST-800- │ │ │ │ @@ -82923,26 +82923,26 @@ │ │ │ │ 00143ea0: 3e3c 6469 7620 636c 6173 733d 2270 616e > # │ │ │ │ 00143ee0: 2052 656d 6564 6961 7469 6f6e 2069 7320 Remediation is │ │ │ │ 00143ef0: 6170 706c 6963 6162 6c65 206f 6e6c 7920 applicable only │ │ │ │ 00143f00: 696e 2063 6572 7461 696e 2070 6c61 7466 in certain platf │ │ │ │ -00143f10: 6f72 6d73 0a69 6620 6470 6b67 2d71 7565 orms.if dpkg-que │ │ │ │ -00143f20: 7279 202d 2d73 686f 7720 2d2d 7368 6f77 ry --show --show │ │ │ │ -00143f30: 666f 726d 6174 3d27 247b 6462 3a53 7461 format='${db:Sta │ │ │ │ -00143f40: 7475 732d 5374 6174 7573 7d5c 6e27 2027 tus-Status}\n' ' │ │ │ │ -00143f50: 6175 6469 7464 2720 3226 6774 3b2f 6465 auditd' 2>/de │ │ │ │ -00143f60: 762f 6e75 6c6c 207c 2067 7265 7020 2d71 v/null | grep -q │ │ │ │ -00143f70: 2069 6e73 7461 6c6c 6564 2026 616d 703b installed & │ │ │ │ -00143f80: 2661 6d70 3b20 5b20 2120 2d66 202f 2e64 & [ ! -f /.d │ │ │ │ -00143f90: 6f63 6b65 7265 6e76 205d 2026 616d 703b ockerenv ] & │ │ │ │ -00143fa0: 2661 6d70 3b20 5b20 2120 2d66 202f 7275 & [ ! -f /ru │ │ │ │ -00143fb0: 6e2f 2e63 6f6e 7461 696e 6572 656e 7620 n/.containerenv │ │ │ │ -00143fc0: 5d3b 2074 6865 6e0a 0a23 2046 6972 7374 ]; then..# First │ │ │ │ +00143f10: 6f72 6d73 0a69 6620 5b20 2120 2d66 202f orms.if [ ! -f / │ │ │ │ +00143f20: 2e64 6f63 6b65 7265 6e76 205d 2026 616d .dockerenv ] &am │ │ │ │ +00143f30: 703b 2661 6d70 3b20 5b20 2120 2d66 202f p;& [ ! -f / │ │ │ │ +00143f40: 7275 6e2f 2e63 6f6e 7461 696e 6572 656e run/.containeren │ │ │ │ +00143f50: 7620 5d20 2661 6d70 3b26 616d 703b 2064 v ] && d │ │ │ │ +00143f60: 706b 672d 7175 6572 7920 2d2d 7368 6f77 pkg-query --show │ │ │ │ +00143f70: 202d 2d73 686f 7766 6f72 6d61 743d 2724 --showformat='$ │ │ │ │ +00143f80: 7b64 623a 5374 6174 7573 2d53 7461 7475 {db:Status-Statu │ │ │ │ +00143f90: 737d 5c6e 2720 2761 7564 6974 6427 2032 s}\n' 'auditd' 2 │ │ │ │ +00143fa0: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20 >/dev/null | │ │ │ │ +00143fb0: 6772 6570 202d 7120 696e 7374 616c 6c65 grep -q installe │ │ │ │ +00143fc0: 643b 2074 6865 6e0a 0a23 2046 6972 7374 d; then..# First │ │ │ │ 00143fd0: 2070 6572 666f 726d 2074 6865 2072 656d perform the rem │ │ │ │ 00143fe0: 6564 6961 7469 6f6e 206f 6620 7468 6520 ediation of the │ │ │ │ 00143ff0: 7379 7363 616c 6c20 7275 6c65 0a23 2052 syscall rule.# R │ │ │ │ 00144000: 6574 7269 6576 6520 6861 7264 7761 7265 etrieve hardware │ │ │ │ 00144010: 2061 7263 6869 7465 6374 7572 6520 6f66 architecture of │ │ │ │ 00144020: 2074 6865 2075 6e64 6572 6c79 696e 6720 the underlying │ │ │ │ 00144030: 7379 7374 656d 0a5b 2022 2428 6765 7463 system.[ "$(getc │ │ │ │ @@ -84720,23 +84720,23 @@ │ │ │ │ 0014aef0: 7265 7175 6972 6564 0a20 202d 2072 6573 required. - res │ │ │ │ 0014af00: 7472 6963 745f 7374 7261 7465 6779 0a0a trict_strategy.. │ │ │ │ 0014af10: 2d20 6e61 6d65 3a20 5365 7420 6172 6368 - name: Set arch │ │ │ │ 0014af20: 6974 6563 7475 7265 2066 6f72 2061 7564 itecture for aud │ │ │ │ 0014af30: 6974 2072 656e 616d 6561 7420 7461 736b it renameat task │ │ │ │ 0014af40: 730a 2020 7365 745f 6661 6374 3a0a 2020 s. set_fact:. │ │ │ │ 0014af50: 2020 6175 6469 745f 6172 6368 3a20 6236 audit_arch: b6 │ │ │ │ -0014af60: 340a 2020 7768 656e 3a0a 2020 2d20 2722 4. when:. - '" │ │ │ │ -0014af70: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -0014af80: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -0014af90: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -0014afa0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -0014afb0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -0014afc0: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -0014afd0: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -0014afe0: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +0014af60: 340a 2020 7768 656e 3a0a 2020 2d20 616e 4. when:. - an │ │ │ │ +0014af70: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +0014af80: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +0014af90: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +0014afa0: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +0014afb0: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +0014afc0: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +0014afd0: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +0014afe0: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ 0014aff0: 2061 6e73 6962 6c65 5f61 7263 6869 7465 ansible_archite │ │ │ │ 0014b000: 6374 7572 6520 3d3d 2022 6161 7263 6836 cture == "aarch6 │ │ │ │ 0014b010: 3422 206f 7220 616e 7369 626c 655f 6172 4" or ansible_ar │ │ │ │ 0014b020: 6368 6974 6563 7475 7265 203d 3d20 2270 chitecture == "p │ │ │ │ 0014b030: 7063 3634 2220 6f72 2061 6e73 6962 6c65 pc64" or ansible │ │ │ │ 0014b040: 5f61 7263 6869 7465 6374 7572 650a 2020 _architecture. │ │ │ │ 0014b050: 2020 3d3d 2022 7070 6336 346c 6522 206f == "ppc64le" o │ │ │ │ @@ -85047,23 +85047,23 @@ │ │ │ │ 0014c360: 7365 7420 2d46 206b 6579 3d64 656c 6574 set -F key=delet │ │ │ │ 0014c370: 650a 2020 2020 2020 6372 6561 7465 3a20 e. create: │ │ │ │ 0014c380: 7472 7565 0a20 2020 2020 206d 6f64 653a true. mode: │ │ │ │ 0014c390: 206f 2d72 7778 0a20 2020 2020 2073 7461 o-rwx. sta │ │ │ │ 0014c3a0: 7465 3a20 7072 6573 656e 740a 2020 2020 te: present. │ │ │ │ 0014c3b0: 7768 656e 3a20 7379 7363 616c 6c73 5f66 when: syscalls_f │ │ │ │ 0014c3c0: 6f75 6e64 207c 206c 656e 6774 6820 3d3d ound | length == │ │ │ │ -0014c3d0: 2030 0a20 2077 6865 6e3a 0a20 202d 2027 0. when:. - ' │ │ │ │ -0014c3e0: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -0014c3f0: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -0014c400: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -0014c410: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -0014c420: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -0014c430: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -0014c440: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -0014c450: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +0014c3d0: 2030 0a20 2077 6865 6e3a 0a20 202d 2061 0. when:. - a │ │ │ │ +0014c3e0: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +0014c3f0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +0014c400: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +0014c410: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +0014c420: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +0014c430: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +0014c440: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +0014c450: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 0014c460: 7461 6773 3a0a 2020 2d20 4449 5341 2d53 tags:. - DISA-S │ │ │ │ 0014c470: 5449 472d 5542 5455 2d32 302d 3031 3032 TIG-UBTU-20-0102 │ │ │ │ 0014c480: 3730 0a20 202d 204e 4953 542d 3830 302d 70. - NIST-800- │ │ │ │ 0014c490: 3137 312d 332e 312e 370a 2020 2d20 4e49 171-3.1.7. - NI │ │ │ │ 0014c4a0: 5354 2d38 3030 2d35 332d 4155 2d31 3228 ST-800-53-AU-12( │ │ │ │ 0014c4b0: 6329 0a20 202d 204e 4953 542d 3830 302d c). - NIST-800- │ │ │ │ 0014c4c0: 3533 2d41 552d 3228 6429 0a20 202d 204e 53-AU-2(d). - N │ │ │ │ @@ -85363,23 +85363,23 @@ │ │ │ │ 0014d720: 6579 3d64 656c 6574 650a 2020 2020 2020 ey=delete. │ │ │ │ 0014d730: 6372 6561 7465 3a20 7472 7565 0a20 2020 create: true. │ │ │ │ 0014d740: 2020 206d 6f64 653a 206f 2d72 7778 0a20 mode: o-rwx. │ │ │ │ 0014d750: 2020 2020 2073 7461 7465 3a20 7072 6573 state: pres │ │ │ │ 0014d760: 656e 740a 2020 2020 7768 656e 3a20 7379 ent. when: sy │ │ │ │ 0014d770: 7363 616c 6c73 5f66 6f75 6e64 207c 206c scalls_found | l │ │ │ │ 0014d780: 656e 6774 6820 3d3d 2030 0a20 2077 6865 ength == 0. whe │ │ │ │ -0014d790: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -0014d7a0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -0014d7b0: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -0014d7c0: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -0014d7d0: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -0014d7e0: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -0014d7f0: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -0014d800: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -0014d810: 6e65 7222 5d0a 2020 2d20 6175 6469 745f ner"]. - audit_ │ │ │ │ +0014d790: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +0014d7a0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +0014d7b0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +0014d7c0: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +0014d7d0: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +0014d7e0: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +0014d7f0: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +0014d800: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +0014d810: 6167 6573 270a 2020 2d20 6175 6469 745f ages'. - audit_ │ │ │ │ 0014d820: 6172 6368 203d 3d20 2262 3634 220a 2020 arch == "b64". │ │ │ │ 0014d830: 7461 6773 3a0a 2020 2d20 4449 5341 2d53 tags:. - DISA-S │ │ │ │ 0014d840: 5449 472d 5542 5455 2d32 302d 3031 3032 TIG-UBTU-20-0102 │ │ │ │ 0014d850: 3730 0a20 202d 204e 4953 542d 3830 302d 70. - NIST-800- │ │ │ │ 0014d860: 3137 312d 332e 312e 370a 2020 2d20 4e49 171-3.1.7. - NI │ │ │ │ 0014d870: 5354 2d38 3030 2d35 332d 4155 2d31 3228 ST-800-53-AU-12( │ │ │ │ 0014d880: 6329 0a20 202d 204e 4953 542d 3830 302d c). - NIST-800- │ │ │ │ @@ -85412,26 +85412,26 @@ │ │ │ │ 0014da30: 6272 3e3c 6469 7620 636c 6173 733d 2270 br>
# Remediation i │ │ │ │ 0014da80: 7320 6170 706c 6963 6162 6c65 206f 6e6c s applicable onl │ │ │ │ 0014da90: 7920 696e 2063 6572 7461 696e 2070 6c61 y in certain pla │ │ │ │ -0014daa0: 7466 6f72 6d73 0a69 6620 6470 6b67 2d71 tforms.if dpkg-q │ │ │ │ -0014dab0: 7565 7279 202d 2d73 686f 7720 2d2d 7368 uery --show --sh │ │ │ │ -0014dac0: 6f77 666f 726d 6174 3d27 247b 6462 3a53 owformat='${db:S │ │ │ │ -0014dad0: 7461 7475 732d 5374 6174 7573 7d5c 6e27 tatus-Status}\n' │ │ │ │ -0014dae0: 2027 6175 6469 7464 2720 3226 6774 3b2f 'auditd' 2>/ │ │ │ │ -0014daf0: 6465 762f 6e75 6c6c 207c 2067 7265 7020 dev/null | grep │ │ │ │ -0014db00: 2d71 2069 6e73 7461 6c6c 6564 2026 616d -q installed &am │ │ │ │ -0014db10: 703b 2661 6d70 3b20 5b20 2120 2d66 202f p;& [ ! -f / │ │ │ │ -0014db20: 2e64 6f63 6b65 7265 6e76 205d 2026 616d .dockerenv ] &am │ │ │ │ -0014db30: 703b 2661 6d70 3b20 5b20 2120 2d66 202f p;& [ ! -f / │ │ │ │ -0014db40: 7275 6e2f 2e63 6f6e 7461 696e 6572 656e run/.containeren │ │ │ │ -0014db50: 7620 5d3b 2074 6865 6e0a 0a23 2046 6972 v ]; then..# Fir │ │ │ │ +0014daa0: 7466 6f72 6d73 0a69 6620 5b20 2120 2d66 tforms.if [ ! -f │ │ │ │ +0014dab0: 202f 2e64 6f63 6b65 7265 6e76 205d 2026 /.dockerenv ] & │ │ │ │ +0014dac0: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ +0014dad0: 202f 7275 6e2f 2e63 6f6e 7461 696e 6572 /run/.container │ │ │ │ +0014dae0: 656e 7620 5d20 2661 6d70 3b26 616d 703b env ] && │ │ │ │ +0014daf0: 2064 706b 672d 7175 6572 7920 2d2d 7368 dpkg-query --sh │ │ │ │ +0014db00: 6f77 202d 2d73 686f 7766 6f72 6d61 743d ow --showformat= │ │ │ │ +0014db10: 2724 7b64 623a 5374 6174 7573 2d53 7461 '${db:Status-Sta │ │ │ │ +0014db20: 7475 737d 5c6e 2720 2761 7564 6974 6427 tus}\n' 'auditd' │ │ │ │ +0014db30: 2032 2667 743b 2f64 6576 2f6e 756c 6c20 2>/dev/null │ │ │ │ +0014db40: 7c20 6772 6570 202d 7120 696e 7374 616c | grep -q instal │ │ │ │ +0014db50: 6c65 643b 2074 6865 6e0a 0a23 2046 6972 led; then..# Fir │ │ │ │ 0014db60: 7374 2070 6572 666f 726d 2074 6865 2072 st perform the r │ │ │ │ 0014db70: 656d 6564 6961 7469 6f6e 206f 6620 7468 emediation of th │ │ │ │ 0014db80: 6520 7379 7363 616c 6c20 7275 6c65 0a23 e syscall rule.# │ │ │ │ 0014db90: 2052 6574 7269 6576 6520 6861 7264 7761 Retrieve hardwa │ │ │ │ 0014dba0: 7265 2061 7263 6869 7465 6374 7572 6520 re architecture │ │ │ │ 0014dbb0: 6f66 2074 6865 2075 6e64 6572 6c79 696e of the underlyin │ │ │ │ 0014dbc0: 6720 7379 7374 656d 0a5b 2022 2428 6765 g system.[ "$(ge │ │ │ │ @@ -87208,23 +87208,23 @@ │ │ │ │ 00154a70: 745f 7265 7175 6972 6564 0a20 202d 2072 t_required. - r │ │ │ │ 00154a80: 6573 7472 6963 745f 7374 7261 7465 6779 estrict_strategy │ │ │ │ 00154a90: 0a0a 2d20 6e61 6d65 3a20 5365 7420 6172 ..- name: Set ar │ │ │ │ 00154aa0: 6368 6974 6563 7475 7265 2066 6f72 2061 chitecture for a │ │ │ │ 00154ab0: 7564 6974 2075 6e6c 696e 6b20 7461 736b udit unlink task │ │ │ │ 00154ac0: 730a 2020 7365 745f 6661 6374 3a0a 2020 s. set_fact:. │ │ │ │ 00154ad0: 2020 6175 6469 745f 6172 6368 3a20 6236 audit_arch: b6 │ │ │ │ -00154ae0: 340a 2020 7768 656e 3a0a 2020 2d20 2722 4. when:. - '" │ │ │ │ -00154af0: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -00154b00: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -00154b10: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -00154b20: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -00154b30: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -00154b40: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -00154b50: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -00154b60: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +00154ae0: 340a 2020 7768 656e 3a0a 2020 2d20 616e 4. when:. - an │ │ │ │ +00154af0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +00154b00: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +00154b10: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +00154b20: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +00154b30: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +00154b40: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +00154b50: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +00154b60: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ 00154b70: 2061 6e73 6962 6c65 5f61 7263 6869 7465 ansible_archite │ │ │ │ 00154b80: 6374 7572 6520 3d3d 2022 6161 7263 6836 cture == "aarch6 │ │ │ │ 00154b90: 3422 206f 7220 616e 7369 626c 655f 6172 4" or ansible_ar │ │ │ │ 00154ba0: 6368 6974 6563 7475 7265 203d 3d20 2270 chitecture == "p │ │ │ │ 00154bb0: 7063 3634 2220 6f72 2061 6e73 6962 6c65 pc64" or ansible │ │ │ │ 00154bc0: 5f61 7263 6869 7465 6374 7572 650a 2020 _architecture. │ │ │ │ 00154bd0: 2020 3d3d 2022 7070 6336 346c 6522 206f == "ppc64le" o │ │ │ │ @@ -87535,23 +87535,23 @@ │ │ │ │ 00155ee0: 656c 6574 650a 2020 2020 2020 6372 6561 elete. crea │ │ │ │ 00155ef0: 7465 3a20 7472 7565 0a20 2020 2020 206d te: true. m │ │ │ │ 00155f00: 6f64 653a 206f 2d72 7778 0a20 2020 2020 ode: o-rwx. │ │ │ │ 00155f10: 2073 7461 7465 3a20 7072 6573 656e 740a state: present. │ │ │ │ 00155f20: 2020 2020 7768 656e 3a20 7379 7363 616c when: syscal │ │ │ │ 00155f30: 6c73 5f66 6f75 6e64 207c 206c 656e 6774 ls_found | lengt │ │ │ │ 00155f40: 6820 3d3d 2030 0a20 2077 6865 6e3a 0a20 h == 0. when:. │ │ │ │ -00155f50: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ -00155f60: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ -00155f70: 636b 6167 6573 270a 2020 2d20 616e 7369 ckages'. - ansi │ │ │ │ -00155f80: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ -00155f90: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ -00155fa0: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ -00155fb0: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ -00155fc0: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ -00155fd0: 5d0a 2020 7461 6773 3a0a 2020 2d20 4449 ]. tags:. - DI │ │ │ │ +00155f50: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ +00155f60: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ +00155f70: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ +00155f80: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ +00155f90: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ +00155fa0: 7461 696e 6572 225d 0a20 202d 2027 2261 tainer"]. - '"a │ │ │ │ +00155fb0: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ +00155fc0: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ +00155fd0: 270a 2020 7461 6773 3a0a 2020 2d20 4449 '. tags:. - DI │ │ │ │ 00155fe0: 5341 2d53 5449 472d 5542 5455 2d32 302d SA-STIG-UBTU-20- │ │ │ │ 00155ff0: 3031 3032 3637 0a20 202d 204e 4953 542d 010267. - NIST- │ │ │ │ 00156000: 3830 302d 3137 312d 332e 312e 370a 2020 800-171-3.1.7. │ │ │ │ 00156010: 2d20 4e49 5354 2d38 3030 2d35 332d 4155 - NIST-800-53-AU │ │ │ │ 00156020: 2d31 3228 6329 0a20 202d 204e 4953 542d -12(c). - NIST- │ │ │ │ 00156030: 3830 302d 3533 2d41 552d 3228 6429 0a20 800-53-AU-2(d). │ │ │ │ 00156040: 202d 204e 4953 542d 3830 302d 3533 2d43 - NIST-800-53-C │ │ │ │ @@ -87849,23 +87849,23 @@ │ │ │ │ 00157280: 7365 7420 2d46 206b 6579 3d64 656c 6574 set -F key=delet │ │ │ │ 00157290: 650a 2020 2020 2020 6372 6561 7465 3a20 e. create: │ │ │ │ 001572a0: 7472 7565 0a20 2020 2020 206d 6f64 653a true. mode: │ │ │ │ 001572b0: 206f 2d72 7778 0a20 2020 2020 2073 7461 o-rwx. sta │ │ │ │ 001572c0: 7465 3a20 7072 6573 656e 740a 2020 2020 te: present. │ │ │ │ 001572d0: 7768 656e 3a20 7379 7363 616c 6c73 5f66 when: syscalls_f │ │ │ │ 001572e0: 6f75 6e64 207c 206c 656e 6774 6820 3d3d ound | length == │ │ │ │ -001572f0: 2030 0a20 2077 6865 6e3a 0a20 202d 2027 0. when:. - ' │ │ │ │ -00157300: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -00157310: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -00157320: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -00157330: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -00157340: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -00157350: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -00157360: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -00157370: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +001572f0: 2030 0a20 2077 6865 6e3a 0a20 202d 2061 0. when:. - a │ │ │ │ +00157300: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +00157310: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +00157320: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +00157330: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +00157340: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +00157350: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +00157360: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +00157370: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 00157380: 2d20 6175 6469 745f 6172 6368 203d 3d20 - audit_arch == │ │ │ │ 00157390: 2262 3634 220a 2020 7461 6773 3a0a 2020 "b64". tags:. │ │ │ │ 001573a0: 2d20 4449 5341 2d53 5449 472d 5542 5455 - DISA-STIG-UBTU │ │ │ │ 001573b0: 2d32 302d 3031 3032 3637 0a20 202d 204e -20-010267. - N │ │ │ │ 001573c0: 4953 542d 3830 302d 3137 312d 332e 312e IST-800-171-3.1. │ │ │ │ 001573d0: 370a 2020 2d20 4e49 5354 2d38 3030 2d35 7. - NIST-800-5 │ │ │ │ 001573e0: 332d 4155 2d31 3228 6329 0a20 202d 204e 3-AU-12(c). - N │ │ │ │ @@ -87899,25 +87899,25 @@ │ │ │ │ 001575a0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61 ass="panel-colla │ │ │ │ 001575b0: 7073 6520 636f 6c6c 6170 7365 2220 6964 pse collapse" id │ │ │ │ 001575c0: 3d22 6964 6d31 3534 3839 223e 3c70 7265 ="idm15489">
# Remedia │ │ │ │ 001575e0: 7469 6f6e 2069 7320 6170 706c 6963 6162 tion is applicab │ │ │ │ 001575f0: 6c65 206f 6e6c 7920 696e 2063 6572 7461 le only in certa │ │ │ │ 00157600: 696e 2070 6c61 7466 6f72 6d73 0a69 6620 in platforms.if │ │ │ │ -00157610: 6470 6b67 2d71 7565 7279 202d 2d73 686f dpkg-query --sho │ │ │ │ -00157620: 7720 2d2d 7368 6f77 666f 726d 6174 3d27 w --showformat=' │ │ │ │ -00157630: 247b 6462 3a53 7461 7475 732d 5374 6174 ${db:Status-Stat │ │ │ │ -00157640: 7573 7d5c 6e27 2027 6175 6469 7464 2720 us}\n' 'auditd' │ │ │ │ -00157650: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c 2>/dev/null | │ │ │ │ -00157660: 2067 7265 7020 2d71 2069 6e73 7461 6c6c grep -q install │ │ │ │ -00157670: 6564 2026 616d 703b 2661 6d70 3b20 5b20 ed && [ │ │ │ │ -00157680: 2120 2d66 202f 2e64 6f63 6b65 7265 6e76 ! -f /.dockerenv │ │ │ │ -00157690: 205d 2026 616d 703b 2661 6d70 3b20 5b20 ] && [ │ │ │ │ -001576a0: 2120 2d66 202f 7275 6e2f 2e63 6f6e 7461 ! -f /run/.conta │ │ │ │ -001576b0: 696e 6572 656e 7620 5d3b 2074 6865 6e0a inerenv ]; then. │ │ │ │ +00157610: 5b20 2120 2d66 202f 2e64 6f63 6b65 7265 [ ! -f /.dockere │ │ │ │ +00157620: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ +00157630: 5b20 2120 2d66 202f 7275 6e2f 2e63 6f6e [ ! -f /run/.con │ │ │ │ +00157640: 7461 696e 6572 656e 7620 5d20 2661 6d70 tainerenv ] & │ │ │ │ +00157650: 3b26 616d 703b 2064 706b 672d 7175 6572 ;& dpkg-quer │ │ │ │ +00157660: 7920 2d2d 7368 6f77 202d 2d73 686f 7766 y --show --showf │ │ │ │ +00157670: 6f72 6d61 743d 2724 7b64 623a 5374 6174 ormat='${db:Stat │ │ │ │ +00157680: 7573 2d53 7461 7475 737d 5c6e 2720 2761 us-Status}\n' 'a │ │ │ │ +00157690: 7564 6974 6427 2032 2667 743b 2f64 6576 uditd' 2>/dev │ │ │ │ +001576a0: 2f6e 756c 6c20 7c20 6772 6570 202d 7120 /null | grep -q │ │ │ │ +001576b0: 696e 7374 616c 6c65 643b 2074 6865 6e0a installed; then. │ │ │ │ 001576c0: 0a23 2046 6972 7374 2070 6572 666f 726d .# First perform │ │ │ │ 001576d0: 2074 6865 2072 656d 6564 6961 7469 6f6e the remediation │ │ │ │ 001576e0: 206f 6620 7468 6520 7379 7363 616c 6c20 of the syscall │ │ │ │ 001576f0: 7275 6c65 0a23 2052 6574 7269 6576 6520 rule.# Retrieve │ │ │ │ 00157700: 6861 7264 7761 7265 2061 7263 6869 7465 hardware archite │ │ │ │ 00157710: 6374 7572 6520 6f66 2074 6865 2075 6e64 cture of the und │ │ │ │ 00157720: 6572 6c79 696e 6720 7379 7374 656d 0a5b erlying system.[ │ │ │ │ @@ -89696,23 +89696,23 @@ │ │ │ │ 0015e5f0: 0a20 202d 2072 6573 7472 6963 745f 7374 . - restrict_st │ │ │ │ 0015e600: 7261 7465 6779 0a0a 2d20 6e61 6d65 3a20 rategy..- name: │ │ │ │ 0015e610: 5365 7420 6172 6368 6974 6563 7475 7265 Set architecture │ │ │ │ 0015e620: 2066 6f72 2061 7564 6974 2075 6e6c 696e for audit unlin │ │ │ │ 0015e630: 6b61 7420 7461 736b 730a 2020 7365 745f kat tasks. set_ │ │ │ │ 0015e640: 6661 6374 3a0a 2020 2020 6175 6469 745f fact:. audit_ │ │ │ │ 0015e650: 6172 6368 3a20 6236 340a 2020 7768 656e arch: b64. when │ │ │ │ -0015e660: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -0015e670: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -0015e680: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -0015e690: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -0015e6a0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -0015e6b0: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -0015e6c0: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -0015e6d0: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -0015e6e0: 6572 225d 0a20 202d 2061 6e73 6962 6c65 er"]. - ansible │ │ │ │ +0015e660: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +0015e670: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +0015e680: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +0015e690: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +0015e6a0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +0015e6b0: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +0015e6c0: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +0015e6d0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +0015e6e0: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ 0015e6f0: 5f61 7263 6869 7465 6374 7572 6520 3d3d _architecture == │ │ │ │ 0015e700: 2022 6161 7263 6836 3422 206f 7220 616e "aarch64" or an │ │ │ │ 0015e710: 7369 626c 655f 6172 6368 6974 6563 7475 sible_architectu │ │ │ │ 0015e720: 7265 203d 3d20 2270 7063 3634 2220 6f72 re == "ppc64" or │ │ │ │ 0015e730: 2061 6e73 6962 6c65 5f61 7263 6869 7465 ansible_archite │ │ │ │ 0015e740: 6374 7572 650a 2020 2020 3d3d 2022 7070 cture. == "pp │ │ │ │ 0015e750: 6336 346c 6522 206f 7220 616e 7369 626c c64le" or ansibl │ │ │ │ @@ -90023,23 +90023,23 @@ │ │ │ │ 0015fa60: 6579 3d64 656c 6574 650a 2020 2020 2020 ey=delete. │ │ │ │ 0015fa70: 6372 6561 7465 3a20 7472 7565 0a20 2020 create: true. │ │ │ │ 0015fa80: 2020 206d 6f64 653a 206f 2d72 7778 0a20 mode: o-rwx. │ │ │ │ 0015fa90: 2020 2020 2073 7461 7465 3a20 7072 6573 state: pres │ │ │ │ 0015faa0: 656e 740a 2020 2020 7768 656e 3a20 7379 ent. when: sy │ │ │ │ 0015fab0: 7363 616c 6c73 5f66 6f75 6e64 207c 206c scalls_found | l │ │ │ │ 0015fac0: 656e 6774 6820 3d3d 2030 0a20 2077 6865 ength == 0. whe │ │ │ │ -0015fad0: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -0015fae0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -0015faf0: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -0015fb00: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -0015fb10: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -0015fb20: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -0015fb30: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -0015fb40: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -0015fb50: 6e65 7222 5d0a 2020 7461 6773 3a0a 2020 ner"]. tags:. │ │ │ │ +0015fad0: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +0015fae0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +0015faf0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +0015fb00: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +0015fb10: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +0015fb20: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +0015fb30: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +0015fb40: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +0015fb50: 6167 6573 270a 2020 7461 6773 3a0a 2020 ages'. tags:. │ │ │ │ 0015fb60: 2d20 4449 5341 2d53 5449 472d 5542 5455 - DISA-STIG-UBTU │ │ │ │ 0015fb70: 2d32 302d 3031 3032 3638 0a20 202d 204e -20-010268. - N │ │ │ │ 0015fb80: 4953 542d 3830 302d 3137 312d 332e 312e IST-800-171-3.1. │ │ │ │ 0015fb90: 370a 2020 2d20 4e49 5354 2d38 3030 2d35 7. - NIST-800-5 │ │ │ │ 0015fba0: 332d 4155 2d31 3228 6329 0a20 202d 204e 3-AU-12(c). - N │ │ │ │ 0015fbb0: 4953 542d 3830 302d 3533 2d41 552d 3228 IST-800-53-AU-2( │ │ │ │ 0015fbc0: 6429 0a20 202d 204e 4953 542d 3830 302d d). - NIST-800- │ │ │ │ @@ -90338,23 +90338,23 @@ │ │ │ │ 00160e10: 7365 7420 2d46 206b 6579 3d64 656c 6574 set -F key=delet │ │ │ │ 00160e20: 650a 2020 2020 2020 6372 6561 7465 3a20 e. create: │ │ │ │ 00160e30: 7472 7565 0a20 2020 2020 206d 6f64 653a true. mode: │ │ │ │ 00160e40: 206f 2d72 7778 0a20 2020 2020 2073 7461 o-rwx. sta │ │ │ │ 00160e50: 7465 3a20 7072 6573 656e 740a 2020 2020 te: present. │ │ │ │ 00160e60: 7768 656e 3a20 7379 7363 616c 6c73 5f66 when: syscalls_f │ │ │ │ 00160e70: 6f75 6e64 207c 206c 656e 6774 6820 3d3d ound | length == │ │ │ │ -00160e80: 2030 0a20 2077 6865 6e3a 0a20 202d 2027 0. when:. - ' │ │ │ │ -00160e90: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -00160ea0: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -00160eb0: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -00160ec0: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -00160ed0: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -00160ee0: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -00160ef0: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -00160f00: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +00160e80: 2030 0a20 2077 6865 6e3a 0a20 202d 2061 0. when:. - a │ │ │ │ +00160e90: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +00160ea0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +00160eb0: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +00160ec0: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +00160ed0: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +00160ee0: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +00160ef0: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +00160f00: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 00160f10: 2d20 6175 6469 745f 6172 6368 203d 3d20 - audit_arch == │ │ │ │ 00160f20: 2262 3634 220a 2020 7461 6773 3a0a 2020 "b64". tags:. │ │ │ │ 00160f30: 2d20 4449 5341 2d53 5449 472d 5542 5455 - DISA-STIG-UBTU │ │ │ │ 00160f40: 2d32 302d 3031 3032 3638 0a20 202d 204e -20-010268. - N │ │ │ │ 00160f50: 4953 542d 3830 302d 3137 312d 332e 312e IST-800-171-3.1. │ │ │ │ 00160f60: 370a 2020 2d20 4e49 5354 2d38 3030 2d35 7. - NIST-800-5 │ │ │ │ 00160f70: 332d 4155 2d31 3228 6329 0a20 202d 204e 3-AU-12(c). - N │ │ │ │ @@ -90388,25 +90388,25 @@ │ │ │ │ 00161130: 636c 6173 733d 2270 616e 656c 2d63 6f6c class="panel-col │ │ │ │ 00161140: 6c61 7073 6520 636f 6c6c 6170 7365 2220 lapse collapse" │ │ │ │ 00161150: 6964 3d22 6964 6d31 3536 3438 223e 3c70 id="idm15648">
# Remed │ │ │ │ 00161170: 6961 7469 6f6e 2069 7320 6170 706c 6963 iation is applic │ │ │ │ 00161180: 6162 6c65 206f 6e6c 7920 696e 2063 6572 able only in cer │ │ │ │ 00161190: 7461 696e 2070 6c61 7466 6f72 6d73 0a69 tain platforms.i │ │ │ │ -001611a0: 6620 6470 6b67 2d71 7565 7279 202d 2d73 f dpkg-query --s │ │ │ │ -001611b0: 686f 7720 2d2d 7368 6f77 666f 726d 6174 how --showformat │ │ │ │ -001611c0: 3d27 247b 6462 3a53 7461 7475 732d 5374 ='${db:Status-St │ │ │ │ -001611d0: 6174 7573 7d5c 6e27 2027 6175 6469 7464 atus}\n' 'auditd │ │ │ │ -001611e0: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c ' 2>/dev/null │ │ │ │ -001611f0: 207c 2067 7265 7020 2d71 2069 6e73 7461 | grep -q insta │ │ │ │ -00161200: 6c6c 6564 2026 616d 703b 2661 6d70 3b20 lled && │ │ │ │ -00161210: 5b20 2120 2d66 202f 2e64 6f63 6b65 7265 [ ! -f /.dockere │ │ │ │ -00161220: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ -00161230: 5b20 2120 2d66 202f 7275 6e2f 2e63 6f6e [ ! -f /run/.con │ │ │ │ -00161240: 7461 696e 6572 656e 7620 5d3b 2074 6865 tainerenv ]; the │ │ │ │ +001611a0: 6620 5b20 2120 2d66 202f 2e64 6f63 6b65 f [ ! -f /.docke │ │ │ │ +001611b0: 7265 6e76 205d 2026 616d 703b 2661 6d70 renv ] && │ │ │ │ +001611c0: 3b20 5b20 2120 2d66 202f 7275 6e2f 2e63 ; [ ! -f /run/.c │ │ │ │ +001611d0: 6f6e 7461 696e 6572 656e 7620 5d20 2661 ontainerenv ] &a │ │ │ │ +001611e0: 6d70 3b26 616d 703b 2064 706b 672d 7175 mp;& dpkg-qu │ │ │ │ +001611f0: 6572 7920 2d2d 7368 6f77 202d 2d73 686f ery --show --sho │ │ │ │ +00161200: 7766 6f72 6d61 743d 2724 7b64 623a 5374 wformat='${db:St │ │ │ │ +00161210: 6174 7573 2d53 7461 7475 737d 5c6e 2720 atus-Status}\n' │ │ │ │ +00161220: 2761 7564 6974 6427 2032 2667 743b 2f64 'auditd' 2>/d │ │ │ │ +00161230: 6576 2f6e 756c 6c20 7c20 6772 6570 202d ev/null | grep - │ │ │ │ +00161240: 7120 696e 7374 616c 6c65 643b 2074 6865 q installed; the │ │ │ │ 00161250: 6e0a 0a23 2046 6972 7374 2070 6572 666f n..# First perfo │ │ │ │ 00161260: 726d 2074 6865 2072 656d 6564 6961 7469 rm the remediati │ │ │ │ 00161270: 6f6e 206f 6620 7468 6520 7379 7363 616c on of the syscal │ │ │ │ 00161280: 6c20 7275 6c65 0a23 2052 6574 7269 6576 l rule.# Retriev │ │ │ │ 00161290: 6520 6861 7264 7761 7265 2061 7263 6869 e hardware archi │ │ │ │ 001612a0: 7465 6374 7572 6520 6f66 2074 6865 2075 tecture of the u │ │ │ │ 001612b0: 6e64 6572 6c79 696e 6720 7379 7374 656d nderlying system │ │ │ │ @@ -92359,22 +92359,22 @@ │ │ │ │ 00168c60: 202d 2072 6573 7472 6963 745f 7374 7261 - restrict_stra │ │ │ │ 00168c70: 7465 6779 0a0a 2d20 6e61 6d65 3a20 5365 tegy..- name: Se │ │ │ │ 00168c80: 7420 6172 6368 6974 6563 7475 7265 2066 t architecture f │ │ │ │ 00168c90: 6f72 2061 7564 6974 2063 7265 6174 2074 or audit creat t │ │ │ │ 00168ca0: 6173 6b73 0a20 2073 6574 5f66 6163 743a asks. set_fact: │ │ │ │ 00168cb0: 0a20 2020 2061 7564 6974 5f61 7263 683a . audit_arch: │ │ │ │ 00168cc0: 2062 3634 0a20 2077 6865 6e3a 0a20 202d b64. when:. - │ │ │ │ -00168cd0: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ -00168ce0: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ -00168cf0: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl │ │ │ │ -00168d00: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ -00168d10: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ -00168d20: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ -00168d30: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ -00168d40: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +00168cd0: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ +00168ce0: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ +00168cf0: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ +00168d00: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ +00168d10: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ +00168d20: 696e 6572 225d 0a20 202d 2027 2261 7564 iner"]. - '"aud │ │ │ │ +00168d30: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ +00168d40: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ 00168d50: 2020 2d20 616e 7369 626c 655f 6172 6368 - ansible_arch │ │ │ │ 00168d60: 6974 6563 7475 7265 203d 3d20 2261 6172 itecture == "aar │ │ │ │ 00168d70: 6368 3634 2220 6f72 2061 6e73 6962 6c65 ch64" or ansible │ │ │ │ 00168d80: 5f61 7263 6869 7465 6374 7572 6520 3d3d _architecture == │ │ │ │ 00168d90: 2022 7070 6336 3422 206f 7220 616e 7369 "ppc64" or ansi │ │ │ │ 00168da0: 626c 655f 6172 6368 6974 6563 7475 7265 ble_architecture │ │ │ │ 00168db0: 0a20 2020 203d 3d20 2270 7063 3634 6c65 . == "ppc64le │ │ │ │ @@ -92696,23 +92696,23 @@ │ │ │ │ 0016a170: 4620 6b65 793d 6163 6365 7373 0a20 2020 F key=access. │ │ │ │ 0016a180: 2020 2063 7265 6174 653a 2074 7275 650a create: true. │ │ │ │ 0016a190: 2020 2020 2020 6d6f 6465 3a20 6f2d 7277 mode: o-rw │ │ │ │ 0016a1a0: 780a 2020 2020 2020 7374 6174 653a 2070 x. state: p │ │ │ │ 0016a1b0: 7265 7365 6e74 0a20 2020 2077 6865 6e3a resent. when: │ │ │ │ 0016a1c0: 2073 7973 6361 6c6c 735f 666f 756e 6420 syscalls_found │ │ │ │ 0016a1d0: 7c20 6c65 6e67 7468 203d 3d20 300a 2020 | length == 0. │ │ │ │ -0016a1e0: 7768 656e 3a0a 2020 2d20 2722 6175 6469 when:. - '"audi │ │ │ │ -0016a1f0: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ -0016a200: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ -0016a210: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ -0016a220: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ -0016a230: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ -0016a240: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ -0016a250: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ -0016a260: 7461 696e 6572 225d 0a20 2074 6167 733a tainer"]. tags: │ │ │ │ +0016a1e0: 7768 656e 3a0a 2020 2d20 616e 7369 626c when:. - ansibl │ │ │ │ +0016a1f0: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ +0016a200: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ +0016a210: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ +0016a220: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ +0016a230: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +0016a240: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ +0016a250: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ +0016a260: 6163 6b61 6765 7327 0a20 2074 6167 733a ackages'. tags: │ │ │ │ 0016a270: 0a20 202d 2044 4953 412d 5354 4947 2d55 . - DISA-STIG-U │ │ │ │ 0016a280: 4254 552d 3230 2d30 3130 3135 380a 2020 BTU-20-010158. │ │ │ │ 0016a290: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33 - NIST-800-171-3 │ │ │ │ 0016a2a0: 2e31 2e37 0a20 202d 204e 4953 542d 3830 .1.7. - NIST-80 │ │ │ │ 0016a2b0: 302d 3533 2d41 552d 3132 2863 290a 2020 0-53-AU-12(c). │ │ │ │ 0016a2c0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155 - NIST-800-53-AU │ │ │ │ 0016a2d0: 2d32 2864 290a 2020 2d20 4e49 5354 2d38 -2(d). - NIST-8 │ │ │ │ @@ -93022,23 +93022,23 @@ │ │ │ │ 0016b5d0: 4620 6b65 793d 6163 6365 7373 0a20 2020 F key=access. │ │ │ │ 0016b5e0: 2020 2063 7265 6174 653a 2074 7275 650a create: true. │ │ │ │ 0016b5f0: 2020 2020 2020 6d6f 6465 3a20 6f2d 7277 mode: o-rw │ │ │ │ 0016b600: 780a 2020 2020 2020 7374 6174 653a 2070 x. state: p │ │ │ │ 0016b610: 7265 7365 6e74 0a20 2020 2077 6865 6e3a resent. when: │ │ │ │ 0016b620: 2073 7973 6361 6c6c 735f 666f 756e 6420 syscalls_found │ │ │ │ 0016b630: 7c20 6c65 6e67 7468 203d 3d20 300a 2020 | length == 0. │ │ │ │ -0016b640: 7768 656e 3a0a 2020 2d20 2722 6175 6469 when:. - '"audi │ │ │ │ -0016b650: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ -0016b660: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ -0016b670: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ -0016b680: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ -0016b690: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ -0016b6a0: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ -0016b6b0: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ -0016b6c0: 7461 696e 6572 225d 0a20 202d 2061 7564 tainer"]. - aud │ │ │ │ +0016b640: 7768 656e 3a0a 2020 2d20 616e 7369 626c when:. - ansibl │ │ │ │ +0016b650: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ +0016b660: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ +0016b670: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ +0016b680: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ +0016b690: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +0016b6a0: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ +0016b6b0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ +0016b6c0: 6163 6b61 6765 7327 0a20 202d 2061 7564 ackages'. - aud │ │ │ │ 0016b6d0: 6974 5f61 7263 6820 3d3d 2022 6236 3422 it_arch == "b64" │ │ │ │ 0016b6e0: 0a20 2074 6167 733a 0a20 202d 2044 4953 . tags:. - DIS │ │ │ │ 0016b6f0: 412d 5354 4947 2d55 4254 552d 3230 2d30 A-STIG-UBTU-20-0 │ │ │ │ 0016b700: 3130 3135 380a 2020 2d20 4e49 5354 2d38 10158. - NIST-8 │ │ │ │ 0016b710: 3030 2d31 3731 2d33 2e31 2e37 0a20 202d 00-171-3.1.7. - │ │ │ │ 0016b720: 204e 4953 542d 3830 302d 3533 2d41 552d NIST-800-53-AU- │ │ │ │ 0016b730: 3132 2863 290a 2020 2d20 4e49 5354 2d38 12(c). - NIST-8 │ │ │ │ @@ -93349,23 +93349,23 @@ │ │ │ │ 0016ca40: 2d46 206b 6579 3d61 6363 6573 730a 2020 -F key=access. │ │ │ │ 0016ca50: 2020 2020 6372 6561 7465 3a20 7472 7565 create: true │ │ │ │ 0016ca60: 0a20 2020 2020 206d 6f64 653a 206f 2d72 . mode: o-r │ │ │ │ 0016ca70: 7778 0a20 2020 2020 2073 7461 7465 3a20 wx. state: │ │ │ │ 0016ca80: 7072 6573 656e 740a 2020 2020 7768 656e present. when │ │ │ │ 0016ca90: 3a20 7379 7363 616c 6c73 5f66 6f75 6e64 : syscalls_found │ │ │ │ 0016caa0: 207c 206c 656e 6774 6820 3d3d 2030 0a20 | length == 0. │ │ │ │ -0016cab0: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -0016cac0: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -0016cad0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -0016cae0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -0016caf0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -0016cb00: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -0016cb10: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -0016cb20: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -0016cb30: 6e74 6169 6e65 7222 5d0a 2020 7461 6773 ntainer"]. tags │ │ │ │ +0016cab0: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +0016cac0: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +0016cad0: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +0016cae0: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +0016caf0: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +0016cb00: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +0016cb10: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +0016cb20: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +0016cb30: 7061 636b 6167 6573 270a 2020 7461 6773 packages'. tags │ │ │ │ 0016cb40: 3a0a 2020 2d20 4449 5341 2d53 5449 472d :. - DISA-STIG- │ │ │ │ 0016cb50: 5542 5455 2d32 302d 3031 3031 3538 0a20 UBTU-20-010158. │ │ │ │ 0016cb60: 202d 204e 4953 542d 3830 302d 3137 312d - NIST-800-171- │ │ │ │ 0016cb70: 332e 312e 370a 2020 2d20 4e49 5354 2d38 3.1.7. - NIST-8 │ │ │ │ 0016cb80: 3030 2d35 332d 4155 2d31 3228 6329 0a20 00-53-AU-12(c). │ │ │ │ 0016cb90: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ 0016cba0: 552d 3228 6429 0a20 202d 204e 4953 542d U-2(d). - NIST- │ │ │ │ @@ -93675,23 +93675,23 @@ │ │ │ │ 0016dea0: 6163 6365 7373 0a20 2020 2020 2063 7265 access. cre │ │ │ │ 0016deb0: 6174 653a 2074 7275 650a 2020 2020 2020 ate: true. │ │ │ │ 0016dec0: 6d6f 6465 3a20 6f2d 7277 780a 2020 2020 mode: o-rwx. │ │ │ │ 0016ded0: 2020 7374 6174 653a 2070 7265 7365 6e74 state: present │ │ │ │ 0016dee0: 0a20 2020 2077 6865 6e3a 2073 7973 6361 . when: sysca │ │ │ │ 0016def0: 6c6c 735f 666f 756e 6420 7c20 6c65 6e67 lls_found | leng │ │ │ │ 0016df00: 7468 203d 3d20 300a 2020 7768 656e 3a0a th == 0. when:. │ │ │ │ -0016df10: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ -0016df20: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -0016df30: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ -0016df40: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ -0016df50: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ -0016df60: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ -0016df70: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ -0016df80: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ -0016df90: 225d 0a20 202d 2061 7564 6974 5f61 7263 "]. - audit_arc │ │ │ │ +0016df10: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ +0016df20: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ +0016df30: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ +0016df40: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ +0016df50: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ +0016df60: 6e74 6169 6e65 7222 5d0a 2020 2d20 2722 ntainer"]. - '" │ │ │ │ +0016df70: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ +0016df80: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ +0016df90: 7327 0a20 202d 2061 7564 6974 5f61 7263 s'. - audit_arc │ │ │ │ 0016dfa0: 6820 3d3d 2022 6236 3422 0a20 2074 6167 h == "b64". tag │ │ │ │ 0016dfb0: 733a 0a20 202d 2044 4953 412d 5354 4947 s:. - DISA-STIG │ │ │ │ 0016dfc0: 2d55 4254 552d 3230 2d30 3130 3135 380a -UBTU-20-010158. │ │ │ │ 0016dfd0: 2020 2d20 4e49 5354 2d38 3030 2d31 3731 - NIST-800-171 │ │ │ │ 0016dfe0: 2d33 2e31 2e37 0a20 202d 204e 4953 542d -3.1.7. - NIST- │ │ │ │ 0016dff0: 3830 302d 3533 2d41 552d 3132 2863 290a 800-53-AU-12(c). │ │ │ │ 0016e000: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ @@ -93726,25 +93726,25 @@ │ │ │ │ 0016e1d0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d iv class="panel- │ │ │ │ 0016e1e0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073 collapse collaps │ │ │ │ 0016e1f0: 6522 2069 643d 2269 646d 3135 3831 3022 e" id="idm15810" │ │ │ │ 0016e200: 3e3c 7072 653e 3c63 6f64 653e 2320 5265 >
# Re │ │ │ │ 0016e210: 6d65 6469 6174 696f 6e20 6973 2061 7070 mediation is app │ │ │ │ 0016e220: 6c69 6361 626c 6520 6f6e 6c79 2069 6e20 licable only in │ │ │ │ 0016e230: 6365 7274 6169 6e20 706c 6174 666f 726d certain platform │ │ │ │ -0016e240: 730a 6966 2064 706b 672d 7175 6572 7920 s.if dpkg-query │ │ │ │ -0016e250: 2d2d 7368 6f77 202d 2d73 686f 7766 6f72 --show --showfor │ │ │ │ -0016e260: 6d61 743d 2724 7b64 623a 5374 6174 7573 mat='${db:Status │ │ │ │ -0016e270: 2d53 7461 7475 737d 5c6e 2720 2761 7564 -Status}\n' 'aud │ │ │ │ -0016e280: 6974 6427 2032 2667 743b 2f64 6576 2f6e itd' 2>/dev/n │ │ │ │ -0016e290: 756c 6c20 7c20 6772 6570 202d 7120 696e ull | grep -q in │ │ │ │ -0016e2a0: 7374 616c 6c65 6420 2661 6d70 3b26 616d stalled &&am │ │ │ │ -0016e2b0: 703b 205b 2021 202d 6620 2f2e 646f 636b p; [ ! -f /.dock │ │ │ │ -0016e2c0: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ -0016e2d0: 703b 205b 2021 202d 6620 2f72 756e 2f2e p; [ ! -f /run/. │ │ │ │ -0016e2e0: 636f 6e74 6169 6e65 7265 6e76 205d 3b20 containerenv ]; │ │ │ │ +0016e240: 730a 6966 205b 2021 202d 6620 2f2e 646f s.if [ ! -f /.do │ │ │ │ +0016e250: 636b 6572 656e 7620 5d20 2661 6d70 3b26 ckerenv ] && │ │ │ │ +0016e260: 616d 703b 205b 2021 202d 6620 2f72 756e amp; [ ! -f /run │ │ │ │ +0016e270: 2f2e 636f 6e74 6169 6e65 7265 6e76 205d /.containerenv ] │ │ │ │ +0016e280: 2026 616d 703b 2661 6d70 3b20 6470 6b67 && dpkg │ │ │ │ +0016e290: 2d71 7565 7279 202d 2d73 686f 7720 2d2d -query --show -- │ │ │ │ +0016e2a0: 7368 6f77 666f 726d 6174 3d27 247b 6462 showformat='${db │ │ │ │ +0016e2b0: 3a53 7461 7475 732d 5374 6174 7573 7d5c :Status-Status}\ │ │ │ │ +0016e2c0: 6e27 2027 6175 6469 7464 2720 3226 6774 n' 'auditd' 2> │ │ │ │ +0016e2d0: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265 ;/dev/null | gre │ │ │ │ +0016e2e0: 7020 2d71 2069 6e73 7461 6c6c 6564 3b20 p -q installed; │ │ │ │ 0016e2f0: 7468 656e 0a0a 2320 4669 7273 7420 7065 then..# First pe │ │ │ │ 0016e300: 7266 6f72 6d20 7468 6520 7265 6d65 6469 rform the remedi │ │ │ │ 0016e310: 6174 696f 6e20 6f66 2074 6865 2073 7973 ation of the sys │ │ │ │ 0016e320: 6361 6c6c 2072 756c 650a 2320 5265 7472 call rule.# Retr │ │ │ │ 0016e330: 6965 7665 2068 6172 6477 6172 6520 6172 ieve hardware ar │ │ │ │ 0016e340: 6368 6974 6563 7475 7265 206f 6620 7468 chitecture of th │ │ │ │ 0016e350: 6520 756e 6465 726c 7969 6e67 2073 7973 e underlying sys │ │ │ │ @@ -96364,23 +96364,23 @@ │ │ │ │ 001786b0: 202d 2072 6573 7472 6963 745f 7374 7261 - restrict_stra │ │ │ │ 001786c0: 7465 6779 0a0a 2d20 6e61 6d65 3a20 5365 tegy..- name: Se │ │ │ │ 001786d0: 7420 6172 6368 6974 6563 7475 7265 2066 t architecture f │ │ │ │ 001786e0: 6f72 2061 7564 6974 2066 7472 756e 6361 or audit ftrunca │ │ │ │ 001786f0: 7465 2074 6173 6b73 0a20 2073 6574 5f66 te tasks. set_f │ │ │ │ 00178700: 6163 743a 0a20 2020 2061 7564 6974 5f61 act:. audit_a │ │ │ │ 00178710: 7263 683a 2062 3634 0a20 2077 6865 6e3a rch: b64. when: │ │ │ │ -00178720: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -00178730: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -00178740: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -00178750: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -00178760: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -00178770: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -00178780: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -00178790: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -001787a0: 7222 5d0a 2020 2d20 616e 7369 626c 655f r"]. - ansible_ │ │ │ │ +00178720: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +00178730: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +00178740: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +00178750: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +00178760: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +00178770: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +00178780: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +00178790: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +001787a0: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ 001787b0: 6172 6368 6974 6563 7475 7265 203d 3d20 architecture == │ │ │ │ 001787c0: 2261 6172 6368 3634 2220 6f72 2061 6e73 "aarch64" or ans │ │ │ │ 001787d0: 6962 6c65 5f61 7263 6869 7465 6374 7572 ible_architectur │ │ │ │ 001787e0: 6520 3d3d 2022 7070 6336 3422 206f 7220 e == "ppc64" or │ │ │ │ 001787f0: 616e 7369 626c 655f 6172 6368 6974 6563 ansible_architec │ │ │ │ 00178800: 7475 7265 0a20 2020 203d 3d20 2270 7063 ture. == "ppc │ │ │ │ 00178810: 3634 6c65 2220 6f72 2061 6e73 6962 6c65 64le" or ansible │ │ │ │ @@ -96703,23 +96703,23 @@ │ │ │ │ 00179be0: 793d 6163 6365 7373 0a20 2020 2020 2063 y=access. c │ │ │ │ 00179bf0: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 00179c00: 2020 6d6f 6465 3a20 6f2d 7277 780a 2020 mode: o-rwx. │ │ │ │ 00179c10: 2020 2020 7374 6174 653a 2070 7265 7365 state: prese │ │ │ │ 00179c20: 6e74 0a20 2020 2077 6865 6e3a 2073 7973 nt. when: sys │ │ │ │ 00179c30: 6361 6c6c 735f 666f 756e 6420 7c20 6c65 calls_found | le │ │ │ │ 00179c40: 6e67 7468 203d 3d20 300a 2020 7768 656e ngth == 0. when │ │ │ │ -00179c50: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -00179c60: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -00179c70: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -00179c80: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -00179c90: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -00179ca0: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -00179cb0: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -00179cc0: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -00179cd0: 6572 225d 0a20 2074 6167 733a 0a20 202d er"]. tags:. - │ │ │ │ +00179c50: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +00179c60: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +00179c70: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +00179c80: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +00179c90: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +00179ca0: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +00179cb0: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +00179cc0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +00179cd0: 6765 7327 0a20 2074 6167 733a 0a20 202d ges'. tags:. - │ │ │ │ 00179ce0: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 00179cf0: 3230 2d30 3130 3135 370a 2020 2d20 4e49 20-010157. - NI │ │ │ │ 00179d00: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 00179d10: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 00179d20: 2d41 552d 3132 2863 290a 2020 2d20 4e49 -AU-12(c). - NI │ │ │ │ 00179d30: 5354 2d38 3030 2d35 332d 4155 2d32 2864 ST-800-53-AU-2(d │ │ │ │ 00179d40: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ @@ -97030,23 +97030,23 @@ │ │ │ │ 0017b050: 6574 202d 4620 6b65 793d 6163 6365 7373 et -F key=access │ │ │ │ 0017b060: 0a20 2020 2020 2063 7265 6174 653a 2074 . create: t │ │ │ │ 0017b070: 7275 650a 2020 2020 2020 6d6f 6465 3a20 rue. mode: │ │ │ │ 0017b080: 6f2d 7277 780a 2020 2020 2020 7374 6174 o-rwx. stat │ │ │ │ 0017b090: 653a 2070 7265 7365 6e74 0a20 2020 2077 e: present. w │ │ │ │ 0017b0a0: 6865 6e3a 2073 7973 6361 6c6c 735f 666f hen: syscalls_fo │ │ │ │ 0017b0b0: 756e 6420 7c20 6c65 6e67 7468 203d 3d20 und | length == │ │ │ │ -0017b0c0: 300a 2020 7768 656e 3a0a 2020 2d20 2722 0. when:. - '" │ │ │ │ -0017b0d0: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -0017b0e0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -0017b0f0: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -0017b100: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -0017b110: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -0017b120: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -0017b130: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -0017b140: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +0017b0c0: 300a 2020 7768 656e 3a0a 2020 2d20 616e 0. when:. - an │ │ │ │ +0017b0d0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +0017b0e0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +0017b0f0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +0017b100: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +0017b110: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +0017b120: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +0017b130: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +0017b140: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ 0017b150: 2061 7564 6974 5f61 7263 6820 3d3d 2022 audit_arch == " │ │ │ │ 0017b160: 6236 3422 0a20 2074 6167 733a 0a20 202d b64". tags:. - │ │ │ │ 0017b170: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 0017b180: 3230 2d30 3130 3135 370a 2020 2d20 4e49 20-010157. - NI │ │ │ │ 0017b190: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 0017b1a0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 0017b1b0: 2d41 552d 3132 2863 290a 2020 2d20 4e49 -AU-12(c). - NI │ │ │ │ @@ -97359,23 +97359,23 @@ │ │ │ │ 0017c4e0: 6579 3d61 6363 6573 730a 2020 2020 2020 ey=access. │ │ │ │ 0017c4f0: 6372 6561 7465 3a20 7472 7565 0a20 2020 create: true. │ │ │ │ 0017c500: 2020 206d 6f64 653a 206f 2d72 7778 0a20 mode: o-rwx. │ │ │ │ 0017c510: 2020 2020 2073 7461 7465 3a20 7072 6573 state: pres │ │ │ │ 0017c520: 656e 740a 2020 2020 7768 656e 3a20 7379 ent. when: sy │ │ │ │ 0017c530: 7363 616c 6c73 5f66 6f75 6e64 207c 206c scalls_found | l │ │ │ │ 0017c540: 656e 6774 6820 3d3d 2030 0a20 2077 6865 ength == 0. whe │ │ │ │ -0017c550: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -0017c560: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -0017c570: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -0017c580: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -0017c590: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -0017c5a0: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -0017c5b0: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -0017c5c0: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -0017c5d0: 6e65 7222 5d0a 2020 7461 6773 3a0a 2020 ner"]. tags:. │ │ │ │ +0017c550: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +0017c560: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +0017c570: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +0017c580: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +0017c590: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +0017c5a0: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +0017c5b0: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +0017c5c0: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +0017c5d0: 6167 6573 270a 2020 7461 6773 3a0a 2020 ages'. tags:. │ │ │ │ 0017c5e0: 2d20 4449 5341 2d53 5449 472d 5542 5455 - DISA-STIG-UBTU │ │ │ │ 0017c5f0: 2d32 302d 3031 3031 3537 0a20 202d 204e -20-010157. - N │ │ │ │ 0017c600: 4953 542d 3830 302d 3137 312d 332e 312e IST-800-171-3.1. │ │ │ │ 0017c610: 370a 2020 2d20 4e49 5354 2d38 3030 2d35 7. - NIST-800-5 │ │ │ │ 0017c620: 332d 4155 2d31 3228 6329 0a20 202d 204e 3-AU-12(c). - N │ │ │ │ 0017c630: 4953 542d 3830 302d 3533 2d41 552d 3228 IST-800-53-AU-2( │ │ │ │ 0017c640: 6429 0a20 202d 204e 4953 542d 3830 302d d). - NIST-800- │ │ │ │ @@ -97686,23 +97686,23 @@ │ │ │ │ 0017d950: 6b65 793d 6163 6365 7373 0a20 2020 2020 key=access. │ │ │ │ 0017d960: 2063 7265 6174 653a 2074 7275 650a 2020 create: true. │ │ │ │ 0017d970: 2020 2020 6d6f 6465 3a20 6f2d 7277 780a mode: o-rwx. │ │ │ │ 0017d980: 2020 2020 2020 7374 6174 653a 2070 7265 state: pre │ │ │ │ 0017d990: 7365 6e74 0a20 2020 2077 6865 6e3a 2073 sent. when: s │ │ │ │ 0017d9a0: 7973 6361 6c6c 735f 666f 756e 6420 7c20 yscalls_found | │ │ │ │ 0017d9b0: 6c65 6e67 7468 203d 3d20 300a 2020 7768 length == 0. wh │ │ │ │ -0017d9c0: 656e 3a0a 2020 2d20 2722 6175 6469 7464 en:. - '"auditd │ │ │ │ -0017d9d0: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ -0017d9e0: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ -0017d9f0: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ -0017da00: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ -0017da10: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ -0017da20: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ -0017da30: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ -0017da40: 696e 6572 225d 0a20 202d 2061 7564 6974 iner"]. - audit │ │ │ │ +0017d9c0: 656e 3a0a 2020 2d20 616e 7369 626c 655f en:. - ansible_ │ │ │ │ +0017d9d0: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ +0017d9e0: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ +0017d9f0: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ +0017da00: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ +0017da10: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +0017da20: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ +0017da30: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ +0017da40: 6b61 6765 7327 0a20 202d 2061 7564 6974 kages'. - audit │ │ │ │ 0017da50: 5f61 7263 6820 3d3d 2022 6236 3422 0a20 _arch == "b64". │ │ │ │ 0017da60: 2074 6167 733a 0a20 202d 2044 4953 412d tags:. - DISA- │ │ │ │ 0017da70: 5354 4947 2d55 4254 552d 3230 2d30 3130 STIG-UBTU-20-010 │ │ │ │ 0017da80: 3135 370a 2020 2d20 4e49 5354 2d38 3030 157. - NIST-800 │ │ │ │ 0017da90: 2d31 3731 2d33 2e31 2e37 0a20 202d 204e -171-3.1.7. - N │ │ │ │ 0017daa0: 4953 542d 3830 302d 3533 2d41 552d 3132 IST-800-53-AU-12 │ │ │ │ 0017dab0: 2863 290a 2020 2d20 4e49 5354 2d38 3030 (c). - NIST-800 │ │ │ │ @@ -97737,26 +97737,26 @@ │ │ │ │ 0017dc80: 613e 3c62 723e 3c64 6976 2063 6c61 7373 a>
# Remediatio │ │ │ │ 0017dcd0: 6e20 6973 2061 7070 6c69 6361 626c 6520 n is applicable │ │ │ │ 0017dce0: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20 only in certain │ │ │ │ -0017dcf0: 706c 6174 666f 726d 730a 6966 2064 706b platforms.if dpk │ │ │ │ -0017dd00: 672d 7175 6572 7920 2d2d 7368 6f77 202d g-query --show - │ │ │ │ -0017dd10: 2d73 686f 7766 6f72 6d61 743d 2724 7b64 -showformat='${d │ │ │ │ -0017dd20: 623a 5374 6174 7573 2d53 7461 7475 737d b:Status-Status} │ │ │ │ -0017dd30: 5c6e 2720 2761 7564 6974 6427 2032 2667 \n' 'auditd' 2&g │ │ │ │ -0017dd40: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772 t;/dev/null | gr │ │ │ │ -0017dd50: 6570 202d 7120 696e 7374 616c 6c65 6420 ep -q installed │ │ │ │ -0017dd60: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ -0017dd70: 6620 2f2e 646f 636b 6572 656e 7620 5d20 f /.dockerenv ] │ │ │ │ -0017dd80: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ -0017dd90: 6620 2f72 756e 2f2e 636f 6e74 6169 6e65 f /run/.containe │ │ │ │ -0017dda0: 7265 6e76 205d 3b20 7468 656e 0a0a 2320 renv ]; then..# │ │ │ │ +0017dcf0: 706c 6174 666f 726d 730a 6966 205b 2021 platforms.if [ ! │ │ │ │ +0017dd00: 202d 6620 2f2e 646f 636b 6572 656e 7620 -f /.dockerenv │ │ │ │ +0017dd10: 5d20 2661 6d70 3b26 616d 703b 205b 2021 ] && [ ! │ │ │ │ +0017dd20: 202d 6620 2f72 756e 2f2e 636f 6e74 6169 -f /run/.contai │ │ │ │ +0017dd30: 6e65 7265 6e76 205d 2026 616d 703b 2661 nerenv ] &&a │ │ │ │ +0017dd40: 6d70 3b20 6470 6b67 2d71 7565 7279 202d mp; dpkg-query - │ │ │ │ +0017dd50: 2d73 686f 7720 2d2d 7368 6f77 666f 726d -show --showform │ │ │ │ +0017dd60: 6174 3d27 247b 6462 3a53 7461 7475 732d at='${db:Status- │ │ │ │ +0017dd70: 5374 6174 7573 7d5c 6e27 2027 6175 6469 Status}\n' 'audi │ │ │ │ +0017dd80: 7464 2720 3226 6774 3b2f 6465 762f 6e75 td' 2>/dev/nu │ │ │ │ +0017dd90: 6c6c 207c 2067 7265 7020 2d71 2069 6e73 ll | grep -q ins │ │ │ │ +0017dda0: 7461 6c6c 6564 3b20 7468 656e 0a0a 2320 talled; then..# │ │ │ │ 0017ddb0: 4669 7273 7420 7065 7266 6f72 6d20 7468 First perform th │ │ │ │ 0017ddc0: 6520 7265 6d65 6469 6174 696f 6e20 6f66 e remediation of │ │ │ │ 0017ddd0: 2074 6865 2073 7973 6361 6c6c 2072 756c the syscall rul │ │ │ │ 0017dde0: 650a 2320 5265 7472 6965 7665 2068 6172 e.# Retrieve har │ │ │ │ 0017ddf0: 6477 6172 6520 6172 6368 6974 6563 7475 dware architectu │ │ │ │ 0017de00: 7265 206f 6620 7468 6520 756e 6465 726c re of the underl │ │ │ │ 0017de10: 7969 6e67 2073 7973 7465 6d0a 5b20 2224 ying system.[ "$ │ │ │ │ @@ -100371,22 +100371,22 @@ │ │ │ │ 00188120: 2020 2d20 7265 7374 7269 6374 5f73 7472 - restrict_str │ │ │ │ 00188130: 6174 6567 790a 0a2d 206e 616d 653a 2053 ategy..- name: S │ │ │ │ 00188140: 6574 2061 7263 6869 7465 6374 7572 6520 et architecture │ │ │ │ 00188150: 666f 7220 6175 6469 7420 6f70 656e 2074 for audit open t │ │ │ │ 00188160: 6173 6b73 0a20 2073 6574 5f66 6163 743a asks. set_fact: │ │ │ │ 00188170: 0a20 2020 2061 7564 6974 5f61 7263 683a . audit_arch: │ │ │ │ 00188180: 2062 3634 0a20 2077 6865 6e3a 0a20 202d b64. when:. - │ │ │ │ -00188190: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ -001881a0: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ -001881b0: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl │ │ │ │ -001881c0: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ -001881d0: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ -001881e0: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ -001881f0: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ -00188200: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +00188190: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ +001881a0: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ +001881b0: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ +001881c0: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ +001881d0: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ +001881e0: 696e 6572 225d 0a20 202d 2027 2261 7564 iner"]. - '"aud │ │ │ │ +001881f0: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ +00188200: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ 00188210: 2020 2d20 616e 7369 626c 655f 6172 6368 - ansible_arch │ │ │ │ 00188220: 6974 6563 7475 7265 203d 3d20 2261 6172 itecture == "aar │ │ │ │ 00188230: 6368 3634 2220 6f72 2061 6e73 6962 6c65 ch64" or ansible │ │ │ │ 00188240: 5f61 7263 6869 7465 6374 7572 6520 3d3d _architecture == │ │ │ │ 00188250: 2022 7070 6336 3422 206f 7220 616e 7369 "ppc64" or ansi │ │ │ │ 00188260: 626c 655f 6172 6368 6974 6563 7475 7265 ble_architecture │ │ │ │ 00188270: 0a20 2020 203d 3d20 2270 7063 3634 6c65 . == "ppc64le │ │ │ │ @@ -100708,23 +100708,23 @@ │ │ │ │ 00189630: 6163 6365 7373 0a20 2020 2020 2063 7265 access. cre │ │ │ │ 00189640: 6174 653a 2074 7275 650a 2020 2020 2020 ate: true. │ │ │ │ 00189650: 6d6f 6465 3a20 6f2d 7277 780a 2020 2020 mode: o-rwx. │ │ │ │ 00189660: 2020 7374 6174 653a 2070 7265 7365 6e74 state: present │ │ │ │ 00189670: 0a20 2020 2077 6865 6e3a 2073 7973 6361 . when: sysca │ │ │ │ 00189680: 6c6c 735f 666f 756e 6420 7c20 6c65 6e67 lls_found | leng │ │ │ │ 00189690: 7468 203d 3d20 300a 2020 7768 656e 3a0a th == 0. when:. │ │ │ │ -001896a0: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ -001896b0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -001896c0: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ -001896d0: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ -001896e0: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ -001896f0: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ -00189700: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ -00189710: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ -00189720: 225d 0a20 2074 6167 733a 0a20 202d 2044 "]. tags:. - D │ │ │ │ +001896a0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ +001896b0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ +001896c0: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ +001896d0: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ +001896e0: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ +001896f0: 6e74 6169 6e65 7222 5d0a 2020 2d20 2722 ntainer"]. - '" │ │ │ │ +00189700: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ +00189710: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ +00189720: 7327 0a20 2074 6167 733a 0a20 202d 2044 s'. tags:. - D │ │ │ │ 00189730: 4953 412d 5354 4947 2d55 4254 552d 3230 ISA-STIG-UBTU-20 │ │ │ │ 00189740: 2d30 3130 3135 350a 2020 2d20 4e49 5354 -010155. - NIST │ │ │ │ 00189750: 2d38 3030 2d31 3731 2d33 2e31 2e37 0a20 -800-171-3.1.7. │ │ │ │ 00189760: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ 00189770: 552d 3132 2863 290a 2020 2d20 4e49 5354 U-12(c). - NIST │ │ │ │ 00189780: 2d38 3030 2d35 332d 4155 2d32 2864 290a -800-53-AU-2(d). │ │ │ │ 00189790: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ @@ -101033,23 +101033,23 @@ │ │ │ │ 0018aa80: 6574 202d 4620 6b65 793d 6163 6365 7373 et -F key=access │ │ │ │ 0018aa90: 0a20 2020 2020 2063 7265 6174 653a 2074 . create: t │ │ │ │ 0018aaa0: 7275 650a 2020 2020 2020 6d6f 6465 3a20 rue. mode: │ │ │ │ 0018aab0: 6f2d 7277 780a 2020 2020 2020 7374 6174 o-rwx. stat │ │ │ │ 0018aac0: 653a 2070 7265 7365 6e74 0a20 2020 2077 e: present. w │ │ │ │ 0018aad0: 6865 6e3a 2073 7973 6361 6c6c 735f 666f hen: syscalls_fo │ │ │ │ 0018aae0: 756e 6420 7c20 6c65 6e67 7468 203d 3d20 und | length == │ │ │ │ -0018aaf0: 300a 2020 7768 656e 3a0a 2020 2d20 2722 0. when:. - '" │ │ │ │ -0018ab00: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -0018ab10: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -0018ab20: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -0018ab30: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -0018ab40: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -0018ab50: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -0018ab60: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -0018ab70: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +0018aaf0: 300a 2020 7768 656e 3a0a 2020 2d20 616e 0. when:. - an │ │ │ │ +0018ab00: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +0018ab10: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +0018ab20: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +0018ab30: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +0018ab40: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +0018ab50: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +0018ab60: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +0018ab70: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ 0018ab80: 2061 7564 6974 5f61 7263 6820 3d3d 2022 audit_arch == " │ │ │ │ 0018ab90: 6236 3422 0a20 2074 6167 733a 0a20 202d b64". tags:. - │ │ │ │ 0018aba0: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 0018abb0: 3230 2d30 3130 3135 350a 2020 2d20 4e49 20-010155. - NI │ │ │ │ 0018abc0: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 0018abd0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 0018abe0: 2d41 552d 3132 2863 290a 2020 2d20 4e49 -AU-12(c). - NI │ │ │ │ @@ -101360,23 +101360,23 @@ │ │ │ │ 0018bef0: 206b 6579 3d61 6363 6573 730a 2020 2020 key=access. │ │ │ │ 0018bf00: 2020 6372 6561 7465 3a20 7472 7565 0a20 create: true. │ │ │ │ 0018bf10: 2020 2020 206d 6f64 653a 206f 2d72 7778 mode: o-rwx │ │ │ │ 0018bf20: 0a20 2020 2020 2073 7461 7465 3a20 7072 . state: pr │ │ │ │ 0018bf30: 6573 656e 740a 2020 2020 7768 656e 3a20 esent. when: │ │ │ │ 0018bf40: 7379 7363 616c 6c73 5f66 6f75 6e64 207c syscalls_found | │ │ │ │ 0018bf50: 206c 656e 6774 6820 3d3d 2030 0a20 2077 length == 0. w │ │ │ │ -0018bf60: 6865 6e3a 0a20 202d 2027 2261 7564 6974 hen:. - '"audit │ │ │ │ -0018bf70: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ -0018bf80: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ -0018bf90: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ -0018bfa0: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ -0018bfb0: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ -0018bfc0: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ -0018bfd0: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ -0018bfe0: 6169 6e65 7222 5d0a 2020 7461 6773 3a0a ainer"]. tags:. │ │ │ │ +0018bf60: 6865 6e3a 0a20 202d 2061 6e73 6962 6c65 hen:. - ansible │ │ │ │ +0018bf70: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ +0018bf80: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ +0018bf90: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ +0018bfa0: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ +0018bfb0: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +0018bfc0: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ +0018bfd0: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ +0018bfe0: 636b 6167 6573 270a 2020 7461 6773 3a0a ckages'. tags:. │ │ │ │ 0018bff0: 2020 2d20 4449 5341 2d53 5449 472d 5542 - DISA-STIG-UB │ │ │ │ 0018c000: 5455 2d32 302d 3031 3031 3535 0a20 202d TU-20-010155. - │ │ │ │ 0018c010: 204e 4953 542d 3830 302d 3137 312d 332e NIST-800-171-3. │ │ │ │ 0018c020: 312e 370a 2020 2d20 4e49 5354 2d38 3030 1.7. - NIST-800 │ │ │ │ 0018c030: 2d35 332d 4155 2d31 3228 6329 0a20 202d -53-AU-12(c). - │ │ │ │ 0018c040: 204e 4953 542d 3830 302d 3533 2d41 552d NIST-800-53-AU- │ │ │ │ 0018c050: 3228 6429 0a20 202d 204e 4953 542d 3830 2(d). - NIST-80 │ │ │ │ @@ -101685,23 +101685,23 @@ │ │ │ │ 0018d340: 202d 4620 6b65 793d 6163 6365 7373 0a20 -F key=access. │ │ │ │ 0018d350: 2020 2020 2063 7265 6174 653a 2074 7275 create: tru │ │ │ │ 0018d360: 650a 2020 2020 2020 6d6f 6465 3a20 6f2d e. mode: o- │ │ │ │ 0018d370: 7277 780a 2020 2020 2020 7374 6174 653a rwx. state: │ │ │ │ 0018d380: 2070 7265 7365 6e74 0a20 2020 2077 6865 present. whe │ │ │ │ 0018d390: 6e3a 2073 7973 6361 6c6c 735f 666f 756e n: syscalls_foun │ │ │ │ 0018d3a0: 6420 7c20 6c65 6e67 7468 203d 3d20 300a d | length == 0. │ │ │ │ -0018d3b0: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -0018d3c0: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -0018d3d0: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -0018d3e0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -0018d3f0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -0018d400: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -0018d410: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -0018d420: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -0018d430: 6f6e 7461 696e 6572 225d 0a20 202d 2061 ontainer"]. - a │ │ │ │ +0018d3b0: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +0018d3c0: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +0018d3d0: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +0018d3e0: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +0018d3f0: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +0018d400: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +0018d410: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +0018d420: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +0018d430: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ 0018d440: 7564 6974 5f61 7263 6820 3d3d 2022 6236 udit_arch == "b6 │ │ │ │ 0018d450: 3422 0a20 2074 6167 733a 0a20 202d 2044 4". tags:. - D │ │ │ │ 0018d460: 4953 412d 5354 4947 2d55 4254 552d 3230 ISA-STIG-UBTU-20 │ │ │ │ 0018d470: 2d30 3130 3135 350a 2020 2d20 4e49 5354 -010155. - NIST │ │ │ │ 0018d480: 2d38 3030 2d31 3731 2d33 2e31 2e37 0a20 -800-171-3.1.7. │ │ │ │ 0018d490: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ 0018d4a0: 552d 3132 2863 290a 2020 2d20 4e49 5354 U-12(c). - NIST │ │ │ │ @@ -101736,26 +101736,26 @@ │ │ │ │ 0018d670: 3e3c 6272 3e3c 6469 7620 636c 6173 733d > # Remediation │ │ │ │ 0018d6c0: 2069 7320 6170 706c 6963 6162 6c65 206f is applicable o │ │ │ │ 0018d6d0: 6e6c 7920 696e 2063 6572 7461 696e 2070 nly in certain p │ │ │ │ -0018d6e0: 6c61 7466 6f72 6d73 0a69 6620 6470 6b67 latforms.if dpkg │ │ │ │ -0018d6f0: 2d71 7565 7279 202d 2d73 686f 7720 2d2d -query --show -- │ │ │ │ -0018d700: 7368 6f77 666f 726d 6174 3d27 247b 6462 showformat='${db │ │ │ │ -0018d710: 3a53 7461 7475 732d 5374 6174 7573 7d5c :Status-Status}\ │ │ │ │ -0018d720: 6e27 2027 6175 6469 7464 2720 3226 6774 n' 'auditd' 2> │ │ │ │ -0018d730: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265 ;/dev/null | gre │ │ │ │ -0018d740: 7020 2d71 2069 6e73 7461 6c6c 6564 2026 p -q installed & │ │ │ │ -0018d750: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -0018d760: 202f 2e64 6f63 6b65 7265 6e76 205d 2026 /.dockerenv ] & │ │ │ │ -0018d770: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -0018d780: 202f 7275 6e2f 2e63 6f6e 7461 696e 6572 /run/.container │ │ │ │ -0018d790: 656e 7620 5d3b 2074 6865 6e0a 0a23 2046 env ]; then..# F │ │ │ │ +0018d6e0: 6c61 7466 6f72 6d73 0a69 6620 5b20 2120 latforms.if [ ! │ │ │ │ +0018d6f0: 2d66 202f 2e64 6f63 6b65 7265 6e76 205d -f /.dockerenv ] │ │ │ │ +0018d700: 2026 616d 703b 2661 6d70 3b20 5b20 2120 && [ ! │ │ │ │ +0018d710: 2d66 202f 7275 6e2f 2e63 6f6e 7461 696e -f /run/.contain │ │ │ │ +0018d720: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +0018d730: 703b 2064 706b 672d 7175 6572 7920 2d2d p; dpkg-query -- │ │ │ │ +0018d740: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ +0018d750: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ +0018d760: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ +0018d770: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ +0018d780: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ +0018d790: 616c 6c65 643b 2074 6865 6e0a 0a23 2046 alled; then..# F │ │ │ │ 0018d7a0: 6972 7374 2070 6572 666f 726d 2074 6865 irst perform the │ │ │ │ 0018d7b0: 2072 656d 6564 6961 7469 6f6e 206f 6620 remediation of │ │ │ │ 0018d7c0: 7468 6520 7379 7363 616c 6c20 7275 6c65 the syscall rule │ │ │ │ 0018d7d0: 0a23 2052 6574 7269 6576 6520 6861 7264 .# Retrieve hard │ │ │ │ 0018d7e0: 7761 7265 2061 7263 6869 7465 6374 7572 ware architectur │ │ │ │ 0018d7f0: 6520 6f66 2074 6865 2075 6e64 6572 6c79 e of the underly │ │ │ │ 0018d800: 696e 6720 7379 7374 656d 0a5b 2022 2428 ing system.[ "$( │ │ │ │ @@ -104371,23 +104371,23 @@ │ │ │ │ 00197b20: 6571 7569 7265 640a 2020 2d20 7265 7374 equired. - rest │ │ │ │ 00197b30: 7269 6374 5f73 7472 6174 6567 790a 0a2d rict_strategy..- │ │ │ │ 00197b40: 206e 616d 653a 2053 6574 2061 7263 6869 name: Set archi │ │ │ │ 00197b50: 7465 6374 7572 6520 666f 7220 6175 6469 tecture for audi │ │ │ │ 00197b60: 7420 6f70 656e 6174 2074 6173 6b73 0a20 t openat tasks. │ │ │ │ 00197b70: 2073 6574 5f66 6163 743a 0a20 2020 2061 set_fact:. a │ │ │ │ 00197b80: 7564 6974 5f61 7263 683a 2062 3634 0a20 udit_arch: b64. │ │ │ │ -00197b90: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -00197ba0: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -00197bb0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -00197bc0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -00197bd0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -00197be0: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -00197bf0: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -00197c00: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -00197c10: 6e74 6169 6e65 7222 5d0a 2020 2d20 616e ntainer"]. - an │ │ │ │ +00197b90: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +00197ba0: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +00197bb0: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +00197bc0: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +00197bd0: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +00197be0: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +00197bf0: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +00197c00: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +00197c10: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ 00197c20: 7369 626c 655f 6172 6368 6974 6563 7475 sible_architectu │ │ │ │ 00197c30: 7265 203d 3d20 2261 6172 6368 3634 2220 re == "aarch64" │ │ │ │ 00197c40: 6f72 2061 6e73 6962 6c65 5f61 7263 6869 or ansible_archi │ │ │ │ 00197c50: 7465 6374 7572 6520 3d3d 2022 7070 6336 tecture == "ppc6 │ │ │ │ 00197c60: 3422 206f 7220 616e 7369 626c 655f 6172 4" or ansible_ar │ │ │ │ 00197c70: 6368 6974 6563 7475 7265 0a20 2020 203d chitecture. = │ │ │ │ 00197c80: 3d20 2270 7063 3634 6c65 2220 6f72 2061 = "ppc64le" or a │ │ │ │ @@ -104709,23 +104709,23 @@ │ │ │ │ 00199040: 4620 6b65 793d 6163 6365 7373 0a20 2020 F key=access. │ │ │ │ 00199050: 2020 2063 7265 6174 653a 2074 7275 650a create: true. │ │ │ │ 00199060: 2020 2020 2020 6d6f 6465 3a20 6f2d 7277 mode: o-rw │ │ │ │ 00199070: 780a 2020 2020 2020 7374 6174 653a 2070 x. state: p │ │ │ │ 00199080: 7265 7365 6e74 0a20 2020 2077 6865 6e3a resent. when: │ │ │ │ 00199090: 2073 7973 6361 6c6c 735f 666f 756e 6420 syscalls_found │ │ │ │ 001990a0: 7c20 6c65 6e67 7468 203d 3d20 300a 2020 | length == 0. │ │ │ │ -001990b0: 7768 656e 3a0a 2020 2d20 2722 6175 6469 when:. - '"audi │ │ │ │ -001990c0: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ -001990d0: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ -001990e0: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ -001990f0: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ -00199100: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ -00199110: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ -00199120: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ -00199130: 7461 696e 6572 225d 0a20 2074 6167 733a tainer"]. tags: │ │ │ │ +001990b0: 7768 656e 3a0a 2020 2d20 616e 7369 626c when:. - ansibl │ │ │ │ +001990c0: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ +001990d0: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ +001990e0: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ +001990f0: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ +00199100: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +00199110: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ +00199120: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ +00199130: 6163 6b61 6765 7327 0a20 2074 6167 733a ackages'. tags: │ │ │ │ 00199140: 0a20 202d 2044 4953 412d 5354 4947 2d55 . - DISA-STIG-U │ │ │ │ 00199150: 4254 552d 3230 2d30 3130 3135 390a 2020 BTU-20-010159. │ │ │ │ 00199160: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33 - NIST-800-171-3 │ │ │ │ 00199170: 2e31 2e37 0a20 202d 204e 4953 542d 3830 .1.7. - NIST-80 │ │ │ │ 00199180: 302d 3533 2d41 552d 3132 2863 290a 2020 0-53-AU-12(c). │ │ │ │ 00199190: 2d20 4e49 5354 2d38 3030 2d35 332d 4155 - NIST-800-53-AU │ │ │ │ 001991a0: 2d32 2864 290a 2020 2d20 4e49 5354 2d38 -2(d). - NIST-8 │ │ │ │ @@ -105036,22 +105036,22 @@ │ │ │ │ 0019a4b0: 7373 0a20 2020 2020 2063 7265 6174 653a ss. create: │ │ │ │ 0019a4c0: 2074 7275 650a 2020 2020 2020 6d6f 6465 true. mode │ │ │ │ 0019a4d0: 3a20 6f2d 7277 780a 2020 2020 2020 7374 : o-rwx. st │ │ │ │ 0019a4e0: 6174 653a 2070 7265 7365 6e74 0a20 2020 ate: present. │ │ │ │ 0019a4f0: 2077 6865 6e3a 2073 7973 6361 6c6c 735f when: syscalls_ │ │ │ │ 0019a500: 666f 756e 6420 7c20 6c65 6e67 7468 203d found | length = │ │ │ │ 0019a510: 3d20 300a 2020 7768 656e 3a0a 2020 2d20 = 0. when:. - │ │ │ │ -0019a520: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ -0019a530: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ -0019a540: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ -0019a550: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ -0019a560: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ -0019a570: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ -0019a580: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ -0019a590: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +0019a520: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ +0019a530: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ +0019a540: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ +0019a550: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ +0019a560: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ +0019a570: 6e65 7222 5d0a 2020 2d20 2722 6175 6469 ner"]. - '"audi │ │ │ │ +0019a580: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ +0019a590: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ 0019a5a0: 202d 2061 7564 6974 5f61 7263 6820 3d3d - audit_arch == │ │ │ │ 0019a5b0: 2022 6236 3422 0a20 2074 6167 733a 0a20 "b64". tags:. │ │ │ │ 0019a5c0: 202d 2044 4953 412d 5354 4947 2d55 4254 - DISA-STIG-UBT │ │ │ │ 0019a5d0: 552d 3230 2d30 3130 3135 390a 2020 2d20 U-20-010159. - │ │ │ │ 0019a5e0: 4e49 5354 2d38 3030 2d31 3731 2d33 2e31 NIST-800-171-3.1 │ │ │ │ 0019a5f0: 2e37 0a20 202d 204e 4953 542d 3830 302d .7. - NIST-800- │ │ │ │ 0019a600: 3533 2d41 552d 3132 2863 290a 2020 2d20 53-AU-12(c). - │ │ │ │ @@ -105363,23 +105363,23 @@ │ │ │ │ 0019b920: 6579 3d61 6363 6573 730a 2020 2020 2020 ey=access. │ │ │ │ 0019b930: 6372 6561 7465 3a20 7472 7565 0a20 2020 create: true. │ │ │ │ 0019b940: 2020 206d 6f64 653a 206f 2d72 7778 0a20 mode: o-rwx. │ │ │ │ 0019b950: 2020 2020 2073 7461 7465 3a20 7072 6573 state: pres │ │ │ │ 0019b960: 656e 740a 2020 2020 7768 656e 3a20 7379 ent. when: sy │ │ │ │ 0019b970: 7363 616c 6c73 5f66 6f75 6e64 207c 206c scalls_found | l │ │ │ │ 0019b980: 656e 6774 6820 3d3d 2030 0a20 2077 6865 ength == 0. whe │ │ │ │ -0019b990: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -0019b9a0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -0019b9b0: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -0019b9c0: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -0019b9d0: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -0019b9e0: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -0019b9f0: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -0019ba00: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -0019ba10: 6e65 7222 5d0a 2020 7461 6773 3a0a 2020 ner"]. tags:. │ │ │ │ +0019b990: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +0019b9a0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +0019b9b0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +0019b9c0: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +0019b9d0: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +0019b9e0: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +0019b9f0: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +0019ba00: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +0019ba10: 6167 6573 270a 2020 7461 6773 3a0a 2020 ages'. tags:. │ │ │ │ 0019ba20: 2d20 4449 5341 2d53 5449 472d 5542 5455 - DISA-STIG-UBTU │ │ │ │ 0019ba30: 2d32 302d 3031 3031 3539 0a20 202d 204e -20-010159. - N │ │ │ │ 0019ba40: 4953 542d 3830 302d 3137 312d 332e 312e IST-800-171-3.1. │ │ │ │ 0019ba50: 370a 2020 2d20 4e49 5354 2d38 3030 2d35 7. - NIST-800-5 │ │ │ │ 0019ba60: 332d 4155 2d31 3228 6329 0a20 202d 204e 3-AU-12(c). - N │ │ │ │ 0019ba70: 4953 542d 3830 302d 3533 2d41 552d 3228 IST-800-53-AU-2( │ │ │ │ 0019ba80: 6429 0a20 202d 204e 4953 542d 3830 302d d). - NIST-800- │ │ │ │ @@ -105689,23 +105689,23 @@ │ │ │ │ 0019cd80: 793d 6163 6365 7373 0a20 2020 2020 2063 y=access. c │ │ │ │ 0019cd90: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 0019cda0: 2020 6d6f 6465 3a20 6f2d 7277 780a 2020 mode: o-rwx. │ │ │ │ 0019cdb0: 2020 2020 7374 6174 653a 2070 7265 7365 state: prese │ │ │ │ 0019cdc0: 6e74 0a20 2020 2077 6865 6e3a 2073 7973 nt. when: sys │ │ │ │ 0019cdd0: 6361 6c6c 735f 666f 756e 6420 7c20 6c65 calls_found | le │ │ │ │ 0019cde0: 6e67 7468 203d 3d20 300a 2020 7768 656e ngth == 0. when │ │ │ │ -0019cdf0: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -0019ce00: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -0019ce10: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -0019ce20: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -0019ce30: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -0019ce40: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -0019ce50: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -0019ce60: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -0019ce70: 6572 225d 0a20 202d 2061 7564 6974 5f61 er"]. - audit_a │ │ │ │ +0019cdf0: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +0019ce00: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +0019ce10: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +0019ce20: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +0019ce30: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +0019ce40: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +0019ce50: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +0019ce60: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +0019ce70: 6765 7327 0a20 202d 2061 7564 6974 5f61 ges'. - audit_a │ │ │ │ 0019ce80: 7263 6820 3d3d 2022 6236 3422 0a20 2074 rch == "b64". t │ │ │ │ 0019ce90: 6167 733a 0a20 202d 2044 4953 412d 5354 ags:. - DISA-ST │ │ │ │ 0019cea0: 4947 2d55 4254 552d 3230 2d30 3130 3135 IG-UBTU-20-01015 │ │ │ │ 0019ceb0: 390a 2020 2d20 4e49 5354 2d38 3030 2d31 9. - NIST-800-1 │ │ │ │ 0019cec0: 3731 2d33 2e31 2e37 0a20 202d 204e 4953 71-3.1.7. - NIS │ │ │ │ 0019ced0: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ 0019cee0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ @@ -105740,26 +105740,26 @@ │ │ │ │ 0019d0b0: 3e3c 6469 7620 636c 6173 733d 2270 616e > # │ │ │ │ 0019d0f0: 2052 656d 6564 6961 7469 6f6e 2069 7320 Remediation is │ │ │ │ 0019d100: 6170 706c 6963 6162 6c65 206f 6e6c 7920 applicable only │ │ │ │ 0019d110: 696e 2063 6572 7461 696e 2070 6c61 7466 in certain platf │ │ │ │ -0019d120: 6f72 6d73 0a69 6620 6470 6b67 2d71 7565 orms.if dpkg-que │ │ │ │ -0019d130: 7279 202d 2d73 686f 7720 2d2d 7368 6f77 ry --show --show │ │ │ │ -0019d140: 666f 726d 6174 3d27 247b 6462 3a53 7461 format='${db:Sta │ │ │ │ -0019d150: 7475 732d 5374 6174 7573 7d5c 6e27 2027 tus-Status}\n' ' │ │ │ │ -0019d160: 6175 6469 7464 2720 3226 6774 3b2f 6465 auditd' 2>/de │ │ │ │ -0019d170: 762f 6e75 6c6c 207c 2067 7265 7020 2d71 v/null | grep -q │ │ │ │ -0019d180: 2069 6e73 7461 6c6c 6564 2026 616d 703b installed & │ │ │ │ -0019d190: 2661 6d70 3b20 5b20 2120 2d66 202f 2e64 & [ ! -f /.d │ │ │ │ -0019d1a0: 6f63 6b65 7265 6e76 205d 2026 616d 703b ockerenv ] & │ │ │ │ -0019d1b0: 2661 6d70 3b20 5b20 2120 2d66 202f 7275 & [ ! -f /ru │ │ │ │ -0019d1c0: 6e2f 2e63 6f6e 7461 696e 6572 656e 7620 n/.containerenv │ │ │ │ -0019d1d0: 5d3b 2074 6865 6e0a 0a23 2046 6972 7374 ]; then..# First │ │ │ │ +0019d120: 6f72 6d73 0a69 6620 5b20 2120 2d66 202f orms.if [ ! -f / │ │ │ │ +0019d130: 2e64 6f63 6b65 7265 6e76 205d 2026 616d .dockerenv ] &am │ │ │ │ +0019d140: 703b 2661 6d70 3b20 5b20 2120 2d66 202f p;& [ ! -f / │ │ │ │ +0019d150: 7275 6e2f 2e63 6f6e 7461 696e 6572 656e run/.containeren │ │ │ │ +0019d160: 7620 5d20 2661 6d70 3b26 616d 703b 2064 v ] && d │ │ │ │ +0019d170: 706b 672d 7175 6572 7920 2d2d 7368 6f77 pkg-query --show │ │ │ │ +0019d180: 202d 2d73 686f 7766 6f72 6d61 743d 2724 --showformat='$ │ │ │ │ +0019d190: 7b64 623a 5374 6174 7573 2d53 7461 7475 {db:Status-Statu │ │ │ │ +0019d1a0: 737d 5c6e 2720 2761 7564 6974 6427 2032 s}\n' 'auditd' 2 │ │ │ │ +0019d1b0: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20 >/dev/null | │ │ │ │ +0019d1c0: 6772 6570 202d 7120 696e 7374 616c 6c65 grep -q installe │ │ │ │ +0019d1d0: 643b 2074 6865 6e0a 0a23 2046 6972 7374 d; then..# First │ │ │ │ 0019d1e0: 2070 6572 666f 726d 2074 6865 2072 656d perform the rem │ │ │ │ 0019d1f0: 6564 6961 7469 6f6e 206f 6620 7468 6520 ediation of the │ │ │ │ 0019d200: 7379 7363 616c 6c20 7275 6c65 0a23 2052 syscall rule.# R │ │ │ │ 0019d210: 6574 7269 6576 6520 6861 7264 7761 7265 etrieve hardware │ │ │ │ 0019d220: 2061 7263 6869 7465 6374 7572 6520 6f66 architecture of │ │ │ │ 0019d230: 2074 6865 2075 6e64 6572 6c79 696e 6720 the underlying │ │ │ │ 0019d240: 7379 7374 656d 0a5b 2022 2428 6765 7463 system.[ "$(getc │ │ │ │ @@ -108377,23 +108377,23 @@ │ │ │ │ 001a7580: 7265 640a 2020 2d20 7265 7374 7269 6374 red. - restrict │ │ │ │ 001a7590: 5f73 7472 6174 6567 790a 0a2d 206e 616d _strategy..- nam │ │ │ │ 001a75a0: 653a 2053 6574 2061 7263 6869 7465 6374 e: Set architect │ │ │ │ 001a75b0: 7572 6520 666f 7220 6175 6469 7420 7472 ure for audit tr │ │ │ │ 001a75c0: 756e 6361 7465 2074 6173 6b73 0a20 2073 uncate tasks. s │ │ │ │ 001a75d0: 6574 5f66 6163 743a 0a20 2020 2061 7564 et_fact:. aud │ │ │ │ 001a75e0: 6974 5f61 7263 683a 2062 3634 0a20 2077 it_arch: b64. w │ │ │ │ -001a75f0: 6865 6e3a 0a20 202d 2027 2261 7564 6974 hen:. - '"audit │ │ │ │ -001a7600: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ -001a7610: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ -001a7620: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ -001a7630: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ -001a7640: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ -001a7650: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ -001a7660: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ -001a7670: 6169 6e65 7222 5d0a 2020 2d20 616e 7369 ainer"]. - ansi │ │ │ │ +001a75f0: 6865 6e3a 0a20 202d 2061 6e73 6962 6c65 hen:. - ansible │ │ │ │ +001a7600: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ +001a7610: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ +001a7620: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ +001a7630: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ +001a7640: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +001a7650: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ +001a7660: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ +001a7670: 636b 6167 6573 270a 2020 2d20 616e 7369 ckages'. - ansi │ │ │ │ 001a7680: 626c 655f 6172 6368 6974 6563 7475 7265 ble_architecture │ │ │ │ 001a7690: 203d 3d20 2261 6172 6368 3634 2220 6f72 == "aarch64" or │ │ │ │ 001a76a0: 2061 6e73 6962 6c65 5f61 7263 6869 7465 ansible_archite │ │ │ │ 001a76b0: 6374 7572 6520 3d3d 2022 7070 6336 3422 cture == "ppc64" │ │ │ │ 001a76c0: 206f 7220 616e 7369 626c 655f 6172 6368 or ansible_arch │ │ │ │ 001a76d0: 6974 6563 7475 7265 0a20 2020 203d 3d20 itecture. == │ │ │ │ 001a76e0: 2270 7063 3634 6c65 2220 6f72 2061 6e73 "ppc64le" or ans │ │ │ │ @@ -108716,23 +108716,23 @@ │ │ │ │ 001a8ab0: 6163 6365 7373 0a20 2020 2020 2063 7265 access. cre │ │ │ │ 001a8ac0: 6174 653a 2074 7275 650a 2020 2020 2020 ate: true. │ │ │ │ 001a8ad0: 6d6f 6465 3a20 6f2d 7277 780a 2020 2020 mode: o-rwx. │ │ │ │ 001a8ae0: 2020 7374 6174 653a 2070 7265 7365 6e74 state: present │ │ │ │ 001a8af0: 0a20 2020 2077 6865 6e3a 2073 7973 6361 . when: sysca │ │ │ │ 001a8b00: 6c6c 735f 666f 756e 6420 7c20 6c65 6e67 lls_found | leng │ │ │ │ 001a8b10: 7468 203d 3d20 300a 2020 7768 656e 3a0a th == 0. when:. │ │ │ │ -001a8b20: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ -001a8b30: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -001a8b40: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ -001a8b50: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ -001a8b60: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ -001a8b70: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ -001a8b80: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ -001a8b90: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ -001a8ba0: 225d 0a20 2074 6167 733a 0a20 202d 2044 "]. tags:. - D │ │ │ │ +001a8b20: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ +001a8b30: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ +001a8b40: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ +001a8b50: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ +001a8b60: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ +001a8b70: 6e74 6169 6e65 7222 5d0a 2020 2d20 2722 ntainer"]. - '" │ │ │ │ +001a8b80: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ +001a8b90: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ +001a8ba0: 7327 0a20 2074 6167 733a 0a20 202d 2044 s'. tags:. - D │ │ │ │ 001a8bb0: 4953 412d 5354 4947 2d55 4254 552d 3230 ISA-STIG-UBTU-20 │ │ │ │ 001a8bc0: 2d30 3130 3135 360a 2020 2d20 4e49 5354 -010156. - NIST │ │ │ │ 001a8bd0: 2d38 3030 2d31 3731 2d33 2e31 2e37 0a20 -800-171-3.1.7. │ │ │ │ 001a8be0: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ 001a8bf0: 552d 3132 2863 290a 2020 2d20 4e49 5354 U-12(c). - NIST │ │ │ │ 001a8c00: 2d38 3030 2d35 332d 4155 2d32 2864 290a -800-53-AU-2(d). │ │ │ │ 001a8c10: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ @@ -109043,23 +109043,23 @@ │ │ │ │ 001a9f20: 793d 6163 6365 7373 0a20 2020 2020 2063 y=access. c │ │ │ │ 001a9f30: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 001a9f40: 2020 6d6f 6465 3a20 6f2d 7277 780a 2020 mode: o-rwx. │ │ │ │ 001a9f50: 2020 2020 7374 6174 653a 2070 7265 7365 state: prese │ │ │ │ 001a9f60: 6e74 0a20 2020 2077 6865 6e3a 2073 7973 nt. when: sys │ │ │ │ 001a9f70: 6361 6c6c 735f 666f 756e 6420 7c20 6c65 calls_found | le │ │ │ │ 001a9f80: 6e67 7468 203d 3d20 300a 2020 7768 656e ngth == 0. when │ │ │ │ -001a9f90: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -001a9fa0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -001a9fb0: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -001a9fc0: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -001a9fd0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -001a9fe0: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -001a9ff0: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -001aa000: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -001aa010: 6572 225d 0a20 202d 2061 7564 6974 5f61 er"]. - audit_a │ │ │ │ +001a9f90: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +001a9fa0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +001a9fb0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +001a9fc0: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +001a9fd0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +001a9fe0: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +001a9ff0: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +001aa000: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +001aa010: 6765 7327 0a20 202d 2061 7564 6974 5f61 ges'. - audit_a │ │ │ │ 001aa020: 7263 6820 3d3d 2022 6236 3422 0a20 2074 rch == "b64". t │ │ │ │ 001aa030: 6167 733a 0a20 202d 2044 4953 412d 5354 ags:. - DISA-ST │ │ │ │ 001aa040: 4947 2d55 4254 552d 3230 2d30 3130 3135 IG-UBTU-20-01015 │ │ │ │ 001aa050: 360a 2020 2d20 4e49 5354 2d38 3030 2d31 6. - NIST-800-1 │ │ │ │ 001aa060: 3731 2d33 2e31 2e37 0a20 202d 204e 4953 71-3.1.7. - NIS │ │ │ │ 001aa070: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ 001aa080: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ @@ -109371,23 +109371,23 @@ │ │ │ │ 001ab3a0: 206b 6579 3d61 6363 6573 730a 2020 2020 key=access. │ │ │ │ 001ab3b0: 2020 6372 6561 7465 3a20 7472 7565 0a20 create: true. │ │ │ │ 001ab3c0: 2020 2020 206d 6f64 653a 206f 2d72 7778 mode: o-rwx │ │ │ │ 001ab3d0: 0a20 2020 2020 2073 7461 7465 3a20 7072 . state: pr │ │ │ │ 001ab3e0: 6573 656e 740a 2020 2020 7768 656e 3a20 esent. when: │ │ │ │ 001ab3f0: 7379 7363 616c 6c73 5f66 6f75 6e64 207c syscalls_found | │ │ │ │ 001ab400: 206c 656e 6774 6820 3d3d 2030 0a20 2077 length == 0. w │ │ │ │ -001ab410: 6865 6e3a 0a20 202d 2027 2261 7564 6974 hen:. - '"audit │ │ │ │ -001ab420: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ -001ab430: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ -001ab440: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ -001ab450: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ -001ab460: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ -001ab470: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ -001ab480: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ -001ab490: 6169 6e65 7222 5d0a 2020 7461 6773 3a0a ainer"]. tags:. │ │ │ │ +001ab410: 6865 6e3a 0a20 202d 2061 6e73 6962 6c65 hen:. - ansible │ │ │ │ +001ab420: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ +001ab430: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ +001ab440: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ +001ab450: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ +001ab460: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +001ab470: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ +001ab480: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ +001ab490: 636b 6167 6573 270a 2020 7461 6773 3a0a ckages'. tags:. │ │ │ │ 001ab4a0: 2020 2d20 4449 5341 2d53 5449 472d 5542 - DISA-STIG-UB │ │ │ │ 001ab4b0: 5455 2d32 302d 3031 3031 3536 0a20 202d TU-20-010156. - │ │ │ │ 001ab4c0: 204e 4953 542d 3830 302d 3137 312d 332e NIST-800-171-3. │ │ │ │ 001ab4d0: 312e 370a 2020 2d20 4e49 5354 2d38 3030 1.7. - NIST-800 │ │ │ │ 001ab4e0: 2d35 332d 4155 2d31 3228 6329 0a20 202d -53-AU-12(c). - │ │ │ │ 001ab4f0: 204e 4953 542d 3830 302d 3533 2d41 552d NIST-800-53-AU- │ │ │ │ 001ab500: 3228 6429 0a20 202d 204e 4953 542d 3830 2(d). - NIST-80 │ │ │ │ @@ -109698,23 +109698,23 @@ │ │ │ │ 001ac810: 6163 6365 7373 0a20 2020 2020 2063 7265 access. cre │ │ │ │ 001ac820: 6174 653a 2074 7275 650a 2020 2020 2020 ate: true. │ │ │ │ 001ac830: 6d6f 6465 3a20 6f2d 7277 780a 2020 2020 mode: o-rwx. │ │ │ │ 001ac840: 2020 7374 6174 653a 2070 7265 7365 6e74 state: present │ │ │ │ 001ac850: 0a20 2020 2077 6865 6e3a 2073 7973 6361 . when: sysca │ │ │ │ 001ac860: 6c6c 735f 666f 756e 6420 7c20 6c65 6e67 lls_found | leng │ │ │ │ 001ac870: 7468 203d 3d20 300a 2020 7768 656e 3a0a th == 0. when:. │ │ │ │ -001ac880: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ -001ac890: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -001ac8a0: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ -001ac8b0: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ -001ac8c0: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ -001ac8d0: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ -001ac8e0: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ -001ac8f0: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ -001ac900: 225d 0a20 202d 2061 7564 6974 5f61 7263 "]. - audit_arc │ │ │ │ +001ac880: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ +001ac890: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ +001ac8a0: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ +001ac8b0: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ +001ac8c0: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ +001ac8d0: 6e74 6169 6e65 7222 5d0a 2020 2d20 2722 ntainer"]. - '" │ │ │ │ +001ac8e0: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ +001ac8f0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ +001ac900: 7327 0a20 202d 2061 7564 6974 5f61 7263 s'. - audit_arc │ │ │ │ 001ac910: 6820 3d3d 2022 6236 3422 0a20 2074 6167 h == "b64". tag │ │ │ │ 001ac920: 733a 0a20 202d 2044 4953 412d 5354 4947 s:. - DISA-STIG │ │ │ │ 001ac930: 2d55 4254 552d 3230 2d30 3130 3135 360a -UBTU-20-010156. │ │ │ │ 001ac940: 2020 2d20 4e49 5354 2d38 3030 2d31 3731 - NIST-800-171 │ │ │ │ 001ac950: 2d33 2e31 2e37 0a20 202d 204e 4953 542d -3.1.7. - NIST- │ │ │ │ 001ac960: 3830 302d 3533 2d41 552d 3132 2863 290a 800-53-AU-12(c). │ │ │ │ 001ac970: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ @@ -109749,26 +109749,26 @@ │ │ │ │ 001acb40: 3e3c 6469 7620 636c 6173 733d 2270 616e >
# │ │ │ │ 001acb80: 2052 656d 6564 6961 7469 6f6e 2069 7320 Remediation is │ │ │ │ 001acb90: 6170 706c 6963 6162 6c65 206f 6e6c 7920 applicable only │ │ │ │ 001acba0: 696e 2063 6572 7461 696e 2070 6c61 7466 in certain platf │ │ │ │ -001acbb0: 6f72 6d73 0a69 6620 6470 6b67 2d71 7565 orms.if dpkg-que │ │ │ │ -001acbc0: 7279 202d 2d73 686f 7720 2d2d 7368 6f77 ry --show --show │ │ │ │ -001acbd0: 666f 726d 6174 3d27 247b 6462 3a53 7461 format='${db:Sta │ │ │ │ -001acbe0: 7475 732d 5374 6174 7573 7d5c 6e27 2027 tus-Status}\n' ' │ │ │ │ -001acbf0: 6175 6469 7464 2720 3226 6774 3b2f 6465 auditd' 2>/de │ │ │ │ -001acc00: 762f 6e75 6c6c 207c 2067 7265 7020 2d71 v/null | grep -q │ │ │ │ -001acc10: 2069 6e73 7461 6c6c 6564 2026 616d 703b installed & │ │ │ │ -001acc20: 2661 6d70 3b20 5b20 2120 2d66 202f 2e64 & [ ! -f /.d │ │ │ │ -001acc30: 6f63 6b65 7265 6e76 205d 2026 616d 703b ockerenv ] & │ │ │ │ -001acc40: 2661 6d70 3b20 5b20 2120 2d66 202f 7275 & [ ! -f /ru │ │ │ │ -001acc50: 6e2f 2e63 6f6e 7461 696e 6572 656e 7620 n/.containerenv │ │ │ │ -001acc60: 5d3b 2074 6865 6e0a 0a23 2046 6972 7374 ]; then..# First │ │ │ │ +001acbb0: 6f72 6d73 0a69 6620 5b20 2120 2d66 202f orms.if [ ! -f / │ │ │ │ +001acbc0: 2e64 6f63 6b65 7265 6e76 205d 2026 616d .dockerenv ] &am │ │ │ │ +001acbd0: 703b 2661 6d70 3b20 5b20 2120 2d66 202f p;& [ ! -f / │ │ │ │ +001acbe0: 7275 6e2f 2e63 6f6e 7461 696e 6572 656e run/.containeren │ │ │ │ +001acbf0: 7620 5d20 2661 6d70 3b26 616d 703b 2064 v ] && d │ │ │ │ +001acc00: 706b 672d 7175 6572 7920 2d2d 7368 6f77 pkg-query --show │ │ │ │ +001acc10: 202d 2d73 686f 7766 6f72 6d61 743d 2724 --showformat='$ │ │ │ │ +001acc20: 7b64 623a 5374 6174 7573 2d53 7461 7475 {db:Status-Statu │ │ │ │ +001acc30: 737d 5c6e 2720 2761 7564 6974 6427 2032 s}\n' 'auditd' 2 │ │ │ │ +001acc40: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20 >/dev/null | │ │ │ │ +001acc50: 6772 6570 202d 7120 696e 7374 616c 6c65 grep -q installe │ │ │ │ +001acc60: 643b 2074 6865 6e0a 0a23 2046 6972 7374 d; then..# First │ │ │ │ 001acc70: 2070 6572 666f 726d 2074 6865 2072 656d perform the rem │ │ │ │ 001acc80: 6564 6961 7469 6f6e 206f 6620 7468 6520 ediation of the │ │ │ │ 001acc90: 7379 7363 616c 6c20 7275 6c65 0a23 2052 syscall rule.# R │ │ │ │ 001acca0: 6574 7269 6576 6520 6861 7264 7761 7265 etrieve hardware │ │ │ │ 001accb0: 2061 7263 6869 7465 6374 7572 6520 6f66 architecture of │ │ │ │ 001accc0: 2074 6865 2075 6e64 6572 6c79 696e 6720 the underlying │ │ │ │ 001accd0: 7379 7374 656d 0a5b 2022 2428 6765 7463 system.[ "$(getc │ │ │ │ @@ -112356,26 +112356,26 @@ │ │ │ │ 001b6e30: 613e 3c62 723e 3c64 6976 2063 6c61 7373 a>
# Remediatio │ │ │ │ 001b6e80: 6e20 6973 2061 7070 6c69 6361 626c 6520 n is applicable │ │ │ │ 001b6e90: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20 only in certain │ │ │ │ -001b6ea0: 706c 6174 666f 726d 730a 6966 2064 706b platforms.if dpk │ │ │ │ -001b6eb0: 672d 7175 6572 7920 2d2d 7368 6f77 202d g-query --show - │ │ │ │ -001b6ec0: 2d73 686f 7766 6f72 6d61 743d 2724 7b64 -showformat='${d │ │ │ │ -001b6ed0: 623a 5374 6174 7573 2d53 7461 7475 737d b:Status-Status} │ │ │ │ -001b6ee0: 5c6e 2720 2761 7564 6974 6427 2032 2667 \n' 'auditd' 2&g │ │ │ │ -001b6ef0: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772 t;/dev/null | gr │ │ │ │ -001b6f00: 6570 202d 7120 696e 7374 616c 6c65 6420 ep -q installed │ │ │ │ -001b6f10: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ -001b6f20: 6620 2f2e 646f 636b 6572 656e 7620 5d20 f /.dockerenv ] │ │ │ │ -001b6f30: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ -001b6f40: 6620 2f72 756e 2f2e 636f 6e74 6169 6e65 f /run/.containe │ │ │ │ -001b6f50: 7265 6e76 205d 3b20 7468 656e 0a0a 2320 renv ]; then..# │ │ │ │ +001b6ea0: 706c 6174 666f 726d 730a 6966 205b 2021 platforms.if [ ! │ │ │ │ +001b6eb0: 202d 6620 2f2e 646f 636b 6572 656e 7620 -f /.dockerenv │ │ │ │ +001b6ec0: 5d20 2661 6d70 3b26 616d 703b 205b 2021 ] && [ ! │ │ │ │ +001b6ed0: 202d 6620 2f72 756e 2f2e 636f 6e74 6169 -f /run/.contai │ │ │ │ +001b6ee0: 6e65 7265 6e76 205d 2026 616d 703b 2661 nerenv ] &&a │ │ │ │ +001b6ef0: 6d70 3b20 6470 6b67 2d71 7565 7279 202d mp; dpkg-query - │ │ │ │ +001b6f00: 2d73 686f 7720 2d2d 7368 6f77 666f 726d -show --showform │ │ │ │ +001b6f10: 6174 3d27 247b 6462 3a53 7461 7475 732d at='${db:Status- │ │ │ │ +001b6f20: 5374 6174 7573 7d5c 6e27 2027 6175 6469 Status}\n' 'audi │ │ │ │ +001b6f30: 7464 2720 3226 6774 3b2f 6465 762f 6e75 td' 2>/dev/nu │ │ │ │ +001b6f40: 6c6c 207c 2067 7265 7020 2d71 2069 6e73 ll | grep -q ins │ │ │ │ +001b6f50: 7461 6c6c 6564 3b20 7468 656e 0a0a 2320 talled; then..# │ │ │ │ 001b6f60: 4669 7273 7420 7065 7266 6f72 6d20 7468 First perform th │ │ │ │ 001b6f70: 6520 7265 6d65 6469 6174 696f 6e20 6f66 e remediation of │ │ │ │ 001b6f80: 2074 6865 2073 7973 6361 6c6c 2072 756c the syscall rul │ │ │ │ 001b6f90: 650a 2320 5265 7472 6965 7665 2068 6172 e.# Retrieve har │ │ │ │ 001b6fa0: 6477 6172 6520 6172 6368 6974 6563 7475 dware architectu │ │ │ │ 001b6fb0: 7265 206f 6620 7468 6520 756e 6465 726c re of the underl │ │ │ │ 001b6fc0: 7969 6e67 2073 7973 7465 6d0a 2320 4e6f ying system.# No │ │ │ │ @@ -114070,25 +114070,25 @@ │ │ │ │ 001bd950: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d iv class="panel- │ │ │ │ 001bd960: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073 collapse collaps │ │ │ │ 001bd970: 6522 2069 643d 2269 646d 3137 3035 3222 e" id="idm17052" │ │ │ │ 001bd980: 3e3c 7072 653e 3c63 6f64 653e 2320 5265 > # Re │ │ │ │ 001bd990: 6d65 6469 6174 696f 6e20 6973 2061 7070 mediation is app │ │ │ │ 001bd9a0: 6c69 6361 626c 6520 6f6e 6c79 2069 6e20 licable only in │ │ │ │ 001bd9b0: 6365 7274 6169 6e20 706c 6174 666f 726d certain platform │ │ │ │ -001bd9c0: 730a 6966 2064 706b 672d 7175 6572 7920 s.if dpkg-query │ │ │ │ -001bd9d0: 2d2d 7368 6f77 202d 2d73 686f 7766 6f72 --show --showfor │ │ │ │ -001bd9e0: 6d61 743d 2724 7b64 623a 5374 6174 7573 mat='${db:Status │ │ │ │ -001bd9f0: 2d53 7461 7475 737d 5c6e 2720 2761 7564 -Status}\n' 'aud │ │ │ │ -001bda00: 6974 6427 2032 2667 743b 2f64 6576 2f6e itd' 2>/dev/n │ │ │ │ -001bda10: 756c 6c20 7c20 6772 6570 202d 7120 696e ull | grep -q in │ │ │ │ -001bda20: 7374 616c 6c65 6420 2661 6d70 3b26 616d stalled &&am │ │ │ │ -001bda30: 703b 205b 2021 202d 6620 2f2e 646f 636b p; [ ! -f /.dock │ │ │ │ -001bda40: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ -001bda50: 703b 205b 2021 202d 6620 2f72 756e 2f2e p; [ ! -f /run/. │ │ │ │ -001bda60: 636f 6e74 6169 6e65 7265 6e76 205d 3b20 containerenv ]; │ │ │ │ +001bd9c0: 730a 6966 205b 2021 202d 6620 2f2e 646f s.if [ ! -f /.do │ │ │ │ +001bd9d0: 636b 6572 656e 7620 5d20 2661 6d70 3b26 ckerenv ] && │ │ │ │ +001bd9e0: 616d 703b 205b 2021 202d 6620 2f72 756e amp; [ ! -f /run │ │ │ │ +001bd9f0: 2f2e 636f 6e74 6169 6e65 7265 6e76 205d /.containerenv ] │ │ │ │ +001bda00: 2026 616d 703b 2661 6d70 3b20 6470 6b67 && dpkg │ │ │ │ +001bda10: 2d71 7565 7279 202d 2d73 686f 7720 2d2d -query --show -- │ │ │ │ +001bda20: 7368 6f77 666f 726d 6174 3d27 247b 6462 showformat='${db │ │ │ │ +001bda30: 3a53 7461 7475 732d 5374 6174 7573 7d5c :Status-Status}\ │ │ │ │ +001bda40: 6e27 2027 6175 6469 7464 2720 3226 6774 n' 'auditd' 2> │ │ │ │ +001bda50: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265 ;/dev/null | gre │ │ │ │ +001bda60: 7020 2d71 2069 6e73 7461 6c6c 6564 3b20 p -q installed; │ │ │ │ 001bda70: 7468 656e 0a0a 2320 4669 7273 7420 7065 then..# First pe │ │ │ │ 001bda80: 7266 6f72 6d20 7468 6520 7265 6d65 6469 rform the remedi │ │ │ │ 001bda90: 6174 696f 6e20 6f66 2074 6865 2073 7973 ation of the sys │ │ │ │ 001bdaa0: 6361 6c6c 2072 756c 650a 2320 5265 7472 call rule.# Retr │ │ │ │ 001bdab0: 6965 7665 2068 6172 6477 6172 6520 6172 ieve hardware ar │ │ │ │ 001bdac0: 6368 6974 6563 7475 7265 206f 6620 7468 chitecture of th │ │ │ │ 001bdad0: 6520 756e 6465 726c 7969 6e67 2073 7973 e underlying sys │ │ │ │ @@ -115293,23 +115293,23 @@ │ │ │ │ 001c25c0: 5c73 2a2d 775c 732b 2f76 6172 2f6c 6f67 \s*-w\s+/var/log │ │ │ │ 001c25d0: 2f66 6169 6c6c 6f67 5c73 2b2d 705c 732b /faillog\s+-p\s+ │ │ │ │ 001c25e0: 7761 285c 737c 2429 2b0a 2020 2020 7061 wa(\s|$)+. pa │ │ │ │ 001c25f0: 7474 6572 6e73 3a20 272a 2e72 756c 6573 tterns: '*.rules │ │ │ │ 001c2600: 270a 2020 7265 6769 7374 6572 3a20 6669 '. register: fi │ │ │ │ 001c2610: 6e64 5f65 7869 7374 696e 675f 7761 7463 nd_existing_watc │ │ │ │ 001c2620: 685f 7275 6c65 735f 640a 2020 7768 656e h_rules_d. when │ │ │ │ -001c2630: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -001c2640: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -001c2650: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -001c2660: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -001c2670: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -001c2680: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -001c2690: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -001c26a0: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -001c26b0: 6572 225d 0a20 2074 6167 733a 0a20 202d er"]. tags:. - │ │ │ │ +001c2630: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +001c2640: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +001c2650: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +001c2660: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +001c2670: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +001c2680: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +001c2690: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +001c26a0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +001c26b0: 6765 7327 0a20 2074 6167 733a 0a20 202d ges'. tags:. - │ │ │ │ 001c26c0: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 001c26d0: 3230 2d30 3130 3137 300a 2020 2d20 6175 20-010170. - au │ │ │ │ 001c26e0: 6469 745f 7275 6c65 735f 6c6f 6769 6e5f dit_rules_login_ │ │ │ │ 001c26f0: 6576 656e 7473 5f66 6169 6c6c 6f67 0a20 events_faillog. │ │ │ │ 001c2700: 202d 206c 6f77 5f63 6f6d 706c 6578 6974 - low_complexit │ │ │ │ 001c2710: 790a 2020 2d20 6c6f 775f 6469 7372 7570 y. - low_disrup │ │ │ │ 001c2720: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f tion. - medium_ │ │ │ │ @@ -115325,23 +115325,23 @@ │ │ │ │ 001c27c0: 733a 202f 6574 632f 6175 6469 742f 7275 s: /etc/audit/ru │ │ │ │ 001c27d0: 6c65 732e 640a 2020 2020 636f 6e74 6169 les.d. contai │ │ │ │ 001c27e0: 6e73 3a20 5e2e 2a28 3f3a 2d46 206b 6579 ns: ^.*(?:-F key │ │ │ │ 001c27f0: 3d7c 2d6b 5c73 2b29 6c6f 6769 6e73 240a =|-k\s+)logins$. │ │ │ │ 001c2800: 2020 2020 7061 7474 6572 6e73 3a20 272a patterns: '* │ │ │ │ 001c2810: 2e72 756c 6573 270a 2020 7265 6769 7374 .rules'. regist │ │ │ │ 001c2820: 6572 3a20 6669 6e64 5f77 6174 6368 5f6b er: find_watch_k │ │ │ │ -001c2830: 6579 0a20 2077 6865 6e3a 0a20 202d 2027 ey. when:. - ' │ │ │ │ -001c2840: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -001c2850: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -001c2860: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -001c2870: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -001c2880: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -001c2890: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -001c28a0: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -001c28b0: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +001c2830: 6579 0a20 2077 6865 6e3a 0a20 202d 2061 ey. when:. - a │ │ │ │ +001c2840: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +001c2850: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +001c2860: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +001c2870: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +001c2880: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +001c2890: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +001c28a0: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +001c28b0: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 001c28c0: 2d20 6669 6e64 5f65 7869 7374 696e 675f - find_existing_ │ │ │ │ 001c28d0: 7761 7463 685f 7275 6c65 735f 642e 6d61 watch_rules_d.ma │ │ │ │ 001c28e0: 7463 6865 6420 6973 2064 6566 696e 6564 tched is defined │ │ │ │ 001c28f0: 2061 6e64 2066 696e 645f 6578 6973 7469 and find_existi │ │ │ │ 001c2900: 6e67 5f77 6174 6368 5f72 756c 6573 5f64 ng_watch_rules_d │ │ │ │ 001c2910: 2e6d 6174 6368 6564 0a20 2020 203d 3d20 .matched. == │ │ │ │ 001c2920: 300a 2020 7461 6773 3a0a 2020 2d20 4449 0. tags:. - DI │ │ │ │ @@ -115360,23 +115360,23 @@ │ │ │ │ 001c29f0: 6c6f 6769 6e73 2e72 756c 6573 2061 7320 logins.rules as │ │ │ │ 001c2a00: 7468 6520 7265 6369 7069 656e 7420 666f the recipient fo │ │ │ │ 001c2a10: 7220 7468 6520 7275 6c65 0a20 2073 6574 r the rule. set │ │ │ │ 001c2a20: 5f66 6163 743a 0a20 2020 2061 6c6c 5f66 _fact:. all_f │ │ │ │ 001c2a30: 696c 6573 3a0a 2020 2020 2d20 2f65 7463 iles:. - /etc │ │ │ │ 001c2a40: 2f61 7564 6974 2f72 756c 6573 2e64 2f6c /audit/rules.d/l │ │ │ │ 001c2a50: 6f67 696e 732e 7275 6c65 730a 2020 7768 ogins.rules. wh │ │ │ │ -001c2a60: 656e 3a0a 2020 2d20 2722 6175 6469 7464 en:. - '"auditd │ │ │ │ -001c2a70: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ -001c2a80: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ -001c2a90: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ -001c2aa0: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ -001c2ab0: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ -001c2ac0: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ -001c2ad0: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ -001c2ae0: 696e 6572 225d 0a20 202d 2066 696e 645f iner"]. - find_ │ │ │ │ +001c2a60: 656e 3a0a 2020 2d20 616e 7369 626c 655f en:. - ansible_ │ │ │ │ +001c2a70: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ +001c2a80: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ +001c2a90: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ +001c2aa0: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ +001c2ab0: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +001c2ac0: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ +001c2ad0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ +001c2ae0: 6b61 6765 7327 0a20 202d 2066 696e 645f kages'. - find_ │ │ │ │ 001c2af0: 7761 7463 685f 6b65 792e 6d61 7463 6865 watch_key.matche │ │ │ │ 001c2b00: 6420 6973 2064 6566 696e 6564 2061 6e64 d is defined and │ │ │ │ 001c2b10: 2066 696e 645f 7761 7463 685f 6b65 792e find_watch_key. │ │ │ │ 001c2b20: 6d61 7463 6865 6420 3d3d 2030 2061 6e64 matched == 0 and │ │ │ │ 001c2b30: 2066 696e 645f 6578 6973 7469 6e67 5f77 find_existing_w │ │ │ │ 001c2b40: 6174 6368 5f72 756c 6573 5f64 2e6d 6174 atch_rules_d.mat │ │ │ │ 001c2b50: 6368 6564 0a20 2020 2069 7320 6465 6669 ched. is defi │ │ │ │ @@ -115400,23 +115400,23 @@ │ │ │ │ 001c2c70: 6520 7275 6c65 0a20 2073 6574 5f66 6163 e rule. set_fac │ │ │ │ 001c2c80: 743a 0a20 2020 2061 6c6c 5f66 696c 6573 t:. all_files │ │ │ │ 001c2c90: 3a0a 2020 2020 2d20 277b 7b20 6669 6e64 :. - '{{ find │ │ │ │ 001c2ca0: 5f77 6174 6368 5f6b 6579 2e66 696c 6573 _watch_key.files │ │ │ │ 001c2cb0: 207c 206d 6170 2861 7474 7269 6275 7465 | map(attribute │ │ │ │ 001c2cc0: 3d27 2770 6174 6827 2729 207c 206c 6973 =''path'') | lis │ │ │ │ 001c2cd0: 7420 7c20 6669 7273 7420 7d7d 270a 2020 t | first }}'. │ │ │ │ -001c2ce0: 7768 656e 3a0a 2020 2d20 2722 6175 6469 when:. - '"audi │ │ │ │ -001c2cf0: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ -001c2d00: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ -001c2d10: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ -001c2d20: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ -001c2d30: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ -001c2d40: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ -001c2d50: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ -001c2d60: 7461 696e 6572 225d 0a20 202d 2066 696e tainer"]. - fin │ │ │ │ +001c2ce0: 7768 656e 3a0a 2020 2d20 616e 7369 626c when:. - ansibl │ │ │ │ +001c2cf0: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ +001c2d00: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ +001c2d10: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ +001c2d20: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ +001c2d30: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +001c2d40: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ +001c2d50: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ +001c2d60: 6163 6b61 6765 7327 0a20 202d 2066 696e ackages'. - fin │ │ │ │ 001c2d70: 645f 7761 7463 685f 6b65 792e 6d61 7463 d_watch_key.matc │ │ │ │ 001c2d80: 6865 6420 6973 2064 6566 696e 6564 2061 hed is defined a │ │ │ │ 001c2d90: 6e64 2066 696e 645f 7761 7463 685f 6b65 nd find_watch_ke │ │ │ │ 001c2da0: 792e 6d61 7463 6865 6420 2667 743b 2030 y.matched > 0 │ │ │ │ 001c2db0: 2061 6e64 2066 696e 645f 6578 6973 7469 and find_existi │ │ │ │ 001c2dc0: 6e67 5f77 6174 6368 5f72 756c 6573 5f64 ng_watch_rules_d │ │ │ │ 001c2dd0: 2e6d 6174 6368 6564 0a20 2020 2069 7320 .matched. is │ │ │ │ @@ -115443,22 +115443,22 @@ │ │ │ │ 001c2f20: 7b7b 2061 6c6c 5f66 696c 6573 5b30 5d20 {{ all_files[0] │ │ │ │ 001c2f30: 7d7d 270a 2020 2020 6c69 6e65 3a20 2d77 }}'. line: -w │ │ │ │ 001c2f40: 202f 7661 722f 6c6f 672f 6661 696c 6c6f /var/log/faillo │ │ │ │ 001c2f50: 6720 2d70 2077 6120 2d6b 206c 6f67 696e g -p wa -k login │ │ │ │ 001c2f60: 730a 2020 2020 6372 6561 7465 3a20 7472 s. create: tr │ │ │ │ 001c2f70: 7565 0a20 2020 206d 6f64 653a 2027 3036 ue. mode: '06 │ │ │ │ 001c2f80: 3430 270a 2020 7768 656e 3a0a 2020 2d20 40'. when:. - │ │ │ │ -001c2f90: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ -001c2fa0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ -001c2fb0: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ -001c2fc0: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ -001c2fd0: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ -001c2fe0: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ -001c2ff0: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ -001c3000: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +001c2f90: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ +001c2fa0: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ +001c2fb0: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ +001c2fc0: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ +001c2fd0: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ +001c2fe0: 6e65 7222 5d0a 2020 2d20 2722 6175 6469 ner"]. - '"audi │ │ │ │ +001c2ff0: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ +001c3000: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ 001c3010: 202d 2066 696e 645f 6578 6973 7469 6e67 - find_existing │ │ │ │ 001c3020: 5f77 6174 6368 5f72 756c 6573 5f64 2e6d _watch_rules_d.m │ │ │ │ 001c3030: 6174 6368 6564 2069 7320 6465 6669 6e65 atched is define │ │ │ │ 001c3040: 6420 616e 6420 6669 6e64 5f65 7869 7374 d and find_exist │ │ │ │ 001c3050: 696e 675f 7761 7463 685f 7275 6c65 735f ing_watch_rules_ │ │ │ │ 001c3060: 642e 6d61 7463 6865 640a 2020 2020 3d3d d.matched. == │ │ │ │ 001c3070: 2030 0a20 2074 6167 733a 0a20 202d 2044 0. tags:. - D │ │ │ │ @@ -115484,23 +115484,23 @@ │ │ │ │ 001c31b0: 732b 2f76 6172 2f6c 6f67 2f66 6169 6c6c s+/var/log/faill │ │ │ │ 001c31c0: 6f67 5c73 2b2d 705c 732b 7761 285c 737c og\s+-p\s+wa(\s| │ │ │ │ 001c31d0: 2429 2b0a 2020 2020 7061 7474 6572 6e73 $)+. patterns │ │ │ │ 001c31e0: 3a20 6175 6469 742e 7275 6c65 730a 2020 : audit.rules. │ │ │ │ 001c31f0: 7265 6769 7374 6572 3a20 6669 6e64 5f65 register: find_e │ │ │ │ 001c3200: 7869 7374 696e 675f 7761 7463 685f 6175 xisting_watch_au │ │ │ │ 001c3210: 6469 745f 7275 6c65 730a 2020 7768 656e dit_rules. when │ │ │ │ -001c3220: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -001c3230: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -001c3240: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -001c3250: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -001c3260: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -001c3270: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -001c3280: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -001c3290: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -001c32a0: 6572 225d 0a20 2074 6167 733a 0a20 202d er"]. tags:. - │ │ │ │ +001c3220: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +001c3230: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +001c3240: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +001c3250: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +001c3260: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +001c3270: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +001c3280: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +001c3290: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +001c32a0: 6765 7327 0a20 2074 6167 733a 0a20 202d ges'. tags:. - │ │ │ │ 001c32b0: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 001c32c0: 3230 2d30 3130 3137 300a 2020 2d20 6175 20-010170. - au │ │ │ │ 001c32d0: 6469 745f 7275 6c65 735f 6c6f 6769 6e5f dit_rules_login_ │ │ │ │ 001c32e0: 6576 656e 7473 5f66 6169 6c6c 6f67 0a20 events_faillog. │ │ │ │ 001c32f0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974 - low_complexit │ │ │ │ 001c3300: 790a 2020 2d20 6c6f 775f 6469 7372 7570 y. - low_disrup │ │ │ │ 001c3310: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f tion. - medium_ │ │ │ │ @@ -115517,23 +115517,23 @@ │ │ │ │ 001c33c0: 696c 6c6f 6720 2d70 2077 6120 2d6b 206c illog -p wa -k l │ │ │ │ 001c33d0: 6f67 696e 730a 2020 2020 7374 6174 653a ogins. state: │ │ │ │ 001c33e0: 2070 7265 7365 6e74 0a20 2020 2064 6573 present. des │ │ │ │ 001c33f0: 743a 202f 6574 632f 6175 6469 742f 6175 t: /etc/audit/au │ │ │ │ 001c3400: 6469 742e 7275 6c65 730a 2020 2020 6372 dit.rules. cr │ │ │ │ 001c3410: 6561 7465 3a20 7472 7565 0a20 2020 206d eate: true. m │ │ │ │ 001c3420: 6f64 653a 2027 3036 3430 270a 2020 7768 ode: '0640'. wh │ │ │ │ -001c3430: 656e 3a0a 2020 2d20 2722 6175 6469 7464 en:. - '"auditd │ │ │ │ -001c3440: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ -001c3450: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ -001c3460: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ -001c3470: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ -001c3480: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ -001c3490: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ -001c34a0: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ -001c34b0: 696e 6572 225d 0a20 202d 2066 696e 645f iner"]. - find_ │ │ │ │ +001c3430: 656e 3a0a 2020 2d20 616e 7369 626c 655f en:. - ansible_ │ │ │ │ +001c3440: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ +001c3450: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ +001c3460: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ +001c3470: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ +001c3480: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +001c3490: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ +001c34a0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ +001c34b0: 6b61 6765 7327 0a20 202d 2066 696e 645f kages'. - find_ │ │ │ │ 001c34c0: 6578 6973 7469 6e67 5f77 6174 6368 5f61 existing_watch_a │ │ │ │ 001c34d0: 7564 6974 5f72 756c 6573 2e6d 6174 6368 udit_rules.match │ │ │ │ 001c34e0: 6564 2069 7320 6465 6669 6e65 6420 616e ed is defined an │ │ │ │ 001c34f0: 6420 6669 6e64 5f65 7869 7374 696e 675f d find_existing_ │ │ │ │ 001c3500: 7761 7463 685f 6175 6469 745f 7275 6c65 watch_audit_rule │ │ │ │ 001c3510: 732e 6d61 7463 6865 640a 2020 2020 3d3d s.matched. == │ │ │ │ 001c3520: 2030 0a20 2074 6167 733a 0a20 202d 2044 0. tags:. - D │ │ │ │ @@ -115563,26 +115563,26 @@ │ │ │ │ 001c36a0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61
│ │ │ │ 001c36e0: 3c63 6f64 653e 2320 5265 6d65 6469 6174# Remediat │ │ │ │ 001c36f0: 696f 6e20 6973 2061 7070 6c69 6361 626c ion is applicabl │ │ │ │ 001c3700: 6520 6f6e 6c79 2069 6e20 6365 7274 6169 e only in certai │ │ │ │ -001c3710: 6e20 706c 6174 666f 726d 730a 6966 2064 n platforms.if d │ │ │ │ -001c3720: 706b 672d 7175 6572 7920 2d2d 7368 6f77 pkg-query --show │ │ │ │ -001c3730: 202d 2d73 686f 7766 6f72 6d61 743d 2724 --showformat='$ │ │ │ │ -001c3740: 7b64 623a 5374 6174 7573 2d53 7461 7475 {db:Status-Statu │ │ │ │ -001c3750: 737d 5c6e 2720 2761 7564 6974 6427 2032 s}\n' 'auditd' 2 │ │ │ │ -001c3760: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20 >/dev/null | │ │ │ │ -001c3770: 6772 6570 202d 7120 696e 7374 616c 6c65 grep -q installe │ │ │ │ -001c3780: 6420 2661 6d70 3b26 616d 703b 205b 2021 d && [ ! │ │ │ │ -001c3790: 202d 6620 2f2e 646f 636b 6572 656e 7620 -f /.dockerenv │ │ │ │ -001c37a0: 5d20 2661 6d70 3b26 616d 703b 205b 2021 ] && [ ! │ │ │ │ -001c37b0: 202d 6620 2f72 756e 2f2e 636f 6e74 6169 -f /run/.contai │ │ │ │ -001c37c0: 6e65 7265 6e76 205d 3b20 7468 656e 0a0a nerenv ]; then.. │ │ │ │ +001c3710: 6e20 706c 6174 666f 726d 730a 6966 205b n platforms.if [ │ │ │ │ +001c3720: 2021 202d 6620 2f2e 646f 636b 6572 656e ! -f /.dockeren │ │ │ │ +001c3730: 7620 5d20 2661 6d70 3b26 616d 703b 205b v ] && [ │ │ │ │ +001c3740: 2021 202d 6620 2f72 756e 2f2e 636f 6e74 ! -f /run/.cont │ │ │ │ +001c3750: 6169 6e65 7265 6e76 205d 2026 616d 703b ainerenv ] & │ │ │ │ +001c3760: 2661 6d70 3b20 6470 6b67 2d71 7565 7279 & dpkg-query │ │ │ │ +001c3770: 202d 2d73 686f 7720 2d2d 7368 6f77 666f --show --showfo │ │ │ │ +001c3780: 726d 6174 3d27 247b 6462 3a53 7461 7475 rmat='${db:Statu │ │ │ │ +001c3790: 732d 5374 6174 7573 7d5c 6e27 2027 6175 s-Status}\n' 'au │ │ │ │ +001c37a0: 6469 7464 2720 3226 6774 3b2f 6465 762f ditd' 2>/dev/ │ │ │ │ +001c37b0: 6e75 6c6c 207c 2067 7265 7020 2d71 2069 null | grep -q i │ │ │ │ +001c37c0: 6e73 7461 6c6c 6564 3b20 7468 656e 0a0a nstalled; then.. │ │ │ │ 001c37d0: 2320 5065 7266 6f72 6d20 7468 6520 7265 # Perform the re │ │ │ │ 001c37e0: 6d65 6469 6174 696f 6e20 666f 7220 626f mediation for bo │ │ │ │ 001c37f0: 7468 2070 6f73 7369 626c 6520 746f 6f6c th possible tool │ │ │ │ 001c3800: 733a 2027 6175 6469 7463 746c 2720 616e s: 'auditctl' an │ │ │ │ 001c3810: 6420 2761 7567 656e 7275 6c65 7327 0a0a d 'augenrules'.. │ │ │ │ 001c3820: 2320 4372 6561 7465 2061 206c 6973 7420 # Create a list │ │ │ │ 001c3830: 6f66 2061 7564 6974 202a 2e72 756c 6573 of audit *.rules │ │ │ │ @@ -116924,23 +116924,23 @@ │ │ │ │ 001c8bb0: 6169 6e73 3a20 5e5c 732a 2d77 5c73 2b2f ains: ^\s*-w\s+/ │ │ │ │ 001c8bc0: 7661 722f 6c6f 672f 6c61 7374 6c6f 675c var/log/lastlog\ │ │ │ │ 001c8bd0: 732b 2d70 5c73 2b77 6128 5c73 7c24 292b s+-p\s+wa(\s|$)+ │ │ │ │ 001c8be0: 0a20 2020 2070 6174 7465 726e 733a 2027 . patterns: ' │ │ │ │ 001c8bf0: 2a2e 7275 6c65 7327 0a20 2072 6567 6973 *.rules'. regis │ │ │ │ 001c8c00: 7465 723a 2066 696e 645f 6578 6973 7469 ter: find_existi │ │ │ │ 001c8c10: 6e67 5f77 6174 6368 5f72 756c 6573 5f64 ng_watch_rules_d │ │ │ │ -001c8c20: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -001c8c30: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -001c8c40: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -001c8c50: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -001c8c60: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -001c8c70: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -001c8c80: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -001c8c90: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -001c8ca0: 636f 6e74 6169 6e65 7222 5d0a 2020 7461 container"]. ta │ │ │ │ +001c8c20: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +001c8c30: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +001c8c40: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +001c8c50: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +001c8c60: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +001c8c70: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +001c8c80: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +001c8c90: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +001c8ca0: 732e 7061 636b 6167 6573 270a 2020 7461 s.packages'. ta │ │ │ │ 001c8cb0: 6773 3a0a 2020 2d20 4449 5341 2d53 5449 gs:. - DISA-STI │ │ │ │ 001c8cc0: 472d 5542 5455 2d32 302d 3031 3031 3731 G-UBTU-20-010171 │ │ │ │ 001c8cd0: 0a20 202d 204e 4953 542d 3830 302d 3137 . - NIST-800-17 │ │ │ │ 001c8ce0: 312d 332e 312e 370a 2020 2d20 4e49 5354 1-3.1.7. - NIST │ │ │ │ 001c8cf0: 2d38 3030 2d35 332d 4143 2d36 2839 290a -800-53-AC-6(9). │ │ │ │ 001c8d00: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ 001c8d10: 4155 2d31 3228 6329 0a20 202d 204e 4953 AU-12(c). - NIS │ │ │ │ @@ -116966,23 +116966,23 @@ │ │ │ │ 001c8e50: 6469 742f 7275 6c65 732e 640a 2020 2020 dit/rules.d. │ │ │ │ 001c8e60: 636f 6e74 6169 6e73 3a20 5e2e 2a28 3f3a contains: ^.*(?: │ │ │ │ 001c8e70: 2d46 206b 6579 3d7c 2d6b 5c73 2b29 6c6f -F key=|-k\s+)lo │ │ │ │ 001c8e80: 6769 6e73 240a 2020 2020 7061 7474 6572 gins$. patter │ │ │ │ 001c8e90: 6e73 3a20 272a 2e72 756c 6573 270a 2020 ns: '*.rules'. │ │ │ │ 001c8ea0: 7265 6769 7374 6572 3a20 6669 6e64 5f77 register: find_w │ │ │ │ 001c8eb0: 6174 6368 5f6b 6579 0a20 2077 6865 6e3a atch_key. when: │ │ │ │ -001c8ec0: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -001c8ed0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -001c8ee0: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -001c8ef0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -001c8f00: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -001c8f10: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -001c8f20: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -001c8f30: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -001c8f40: 7222 5d0a 2020 2d20 6669 6e64 5f65 7869 r"]. - find_exi │ │ │ │ +001c8ec0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +001c8ed0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +001c8ee0: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +001c8ef0: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +001c8f00: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +001c8f10: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +001c8f20: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +001c8f30: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +001c8f40: 6573 270a 2020 2d20 6669 6e64 5f65 7869 es'. - find_exi │ │ │ │ 001c8f50: 7374 696e 675f 7761 7463 685f 7275 6c65 sting_watch_rule │ │ │ │ 001c8f60: 735f 642e 6d61 7463 6865 6420 6973 2064 s_d.matched is d │ │ │ │ 001c8f70: 6566 696e 6564 2061 6e64 2066 696e 645f efined and find_ │ │ │ │ 001c8f80: 6578 6973 7469 6e67 5f77 6174 6368 5f72 existing_watch_r │ │ │ │ 001c8f90: 756c 6573 5f64 2e6d 6174 6368 6564 0a20 ules_d.matched. │ │ │ │ 001c8fa0: 2020 203d 3d20 300a 2020 7461 6773 3a0a == 0. tags:. │ │ │ │ 001c8fb0: 2020 2d20 4449 5341 2d53 5449 472d 5542 - DISA-STIG-UB │ │ │ │ @@ -117009,23 +117009,23 @@ │ │ │ │ 001c9100: 6573 2e64 2f6c 6f67 696e 732e 7275 6c65 es.d/logins.rule │ │ │ │ 001c9110: 7320 6173 2074 6865 2072 6563 6970 6965 s as the recipie │ │ │ │ 001c9120: 6e74 2066 6f72 2074 6865 2072 756c 650a nt for the rule. │ │ │ │ 001c9130: 2020 7365 745f 6661 6374 3a0a 2020 2020 set_fact:. │ │ │ │ 001c9140: 616c 6c5f 6669 6c65 733a 0a20 2020 202d all_files:. - │ │ │ │ 001c9150: 202f 6574 632f 6175 6469 742f 7275 6c65 /etc/audit/rule │ │ │ │ 001c9160: 732e 642f 6c6f 6769 6e73 2e72 756c 6573 s.d/logins.rules │ │ │ │ -001c9170: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -001c9180: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -001c9190: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -001c91a0: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -001c91b0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -001c91c0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -001c91d0: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -001c91e0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -001c91f0: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +001c9170: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +001c9180: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +001c9190: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +001c91a0: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +001c91b0: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +001c91c0: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +001c91d0: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +001c91e0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +001c91f0: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ 001c9200: 6669 6e64 5f77 6174 6368 5f6b 6579 2e6d find_watch_key.m │ │ │ │ 001c9210: 6174 6368 6564 2069 7320 6465 6669 6e65 atched is define │ │ │ │ 001c9220: 6420 616e 6420 6669 6e64 5f77 6174 6368 d and find_watch │ │ │ │ 001c9230: 5f6b 6579 2e6d 6174 6368 6564 203d 3d20 _key.matched == │ │ │ │ 001c9240: 3020 616e 6420 6669 6e64 5f65 7869 7374 0 and find_exist │ │ │ │ 001c9250: 696e 675f 7761 7463 685f 7275 6c65 735f ing_watch_rules_ │ │ │ │ 001c9260: 642e 6d61 7463 6865 640a 2020 2020 6973 d.matched. is │ │ │ │ @@ -117058,23 +117058,23 @@ │ │ │ │ 001c9410: 7220 7468 6520 7275 6c65 0a20 2073 6574 r the rule. set │ │ │ │ 001c9420: 5f66 6163 743a 0a20 2020 2061 6c6c 5f66 _fact:. all_f │ │ │ │ 001c9430: 696c 6573 3a0a 2020 2020 2d20 277b 7b20 iles:. - '{{ │ │ │ │ 001c9440: 6669 6e64 5f77 6174 6368 5f6b 6579 2e66 find_watch_key.f │ │ │ │ 001c9450: 696c 6573 207c 206d 6170 2861 7474 7269 iles | map(attri │ │ │ │ 001c9460: 6275 7465 3d27 2770 6174 6827 2729 207c bute=''path'') | │ │ │ │ 001c9470: 206c 6973 7420 7c20 6669 7273 7420 7d7d list | first }} │ │ │ │ -001c9480: 270a 2020 7768 656e 3a0a 2020 2d20 2722 '. when:. - '" │ │ │ │ -001c9490: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -001c94a0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -001c94b0: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -001c94c0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -001c94d0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -001c94e0: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -001c94f0: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -001c9500: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +001c9480: 270a 2020 7768 656e 3a0a 2020 2d20 616e '. when:. - an │ │ │ │ +001c9490: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +001c94a0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +001c94b0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +001c94c0: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +001c94d0: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +001c94e0: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +001c94f0: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +001c9500: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ 001c9510: 2066 696e 645f 7761 7463 685f 6b65 792e find_watch_key. │ │ │ │ 001c9520: 6d61 7463 6865 6420 6973 2064 6566 696e matched is defin │ │ │ │ 001c9530: 6564 2061 6e64 2066 696e 645f 7761 7463 ed and find_watc │ │ │ │ 001c9540: 685f 6b65 792e 6d61 7463 6865 6420 2667 h_key.matched &g │ │ │ │ 001c9550: 743b 2030 2061 6e64 2066 696e 645f 6578 t; 0 and find_ex │ │ │ │ 001c9560: 6973 7469 6e67 5f77 6174 6368 5f72 756c isting_watch_rul │ │ │ │ 001c9570: 6573 5f64 2e6d 6174 6368 6564 0a20 2020 es_d.matched. │ │ │ │ @@ -117110,23 +117110,23 @@ │ │ │ │ 001c9750: 3a20 277b 7b20 616c 6c5f 6669 6c65 735b : '{{ all_files[ │ │ │ │ 001c9760: 305d 207d 7d27 0a20 2020 206c 696e 653a 0] }}'. line: │ │ │ │ 001c9770: 202d 7720 2f76 6172 2f6c 6f67 2f6c 6173 -w /var/log/las │ │ │ │ 001c9780: 746c 6f67 202d 7020 7761 202d 6b20 6c6f tlog -p wa -k lo │ │ │ │ 001c9790: 6769 6e73 0a20 2020 2063 7265 6174 653a gins. create: │ │ │ │ 001c97a0: 2074 7275 650a 2020 2020 6d6f 6465 3a20 true. mode: │ │ │ │ 001c97b0: 2730 3634 3027 0a20 2077 6865 6e3a 0a20 '0640'. when:. │ │ │ │ -001c97c0: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ -001c97d0: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ -001c97e0: 636b 6167 6573 270a 2020 2d20 616e 7369 ckages'. - ansi │ │ │ │ -001c97f0: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ -001c9800: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ -001c9810: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ -001c9820: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ -001c9830: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ -001c9840: 5d0a 2020 2d20 6669 6e64 5f65 7869 7374 ]. - find_exist │ │ │ │ +001c97c0: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ +001c97d0: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ +001c97e0: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ +001c97f0: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ +001c9800: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ +001c9810: 7461 696e 6572 225d 0a20 202d 2027 2261 tainer"]. - '"a │ │ │ │ +001c9820: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ +001c9830: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ +001c9840: 270a 2020 2d20 6669 6e64 5f65 7869 7374 '. - find_exist │ │ │ │ 001c9850: 696e 675f 7761 7463 685f 7275 6c65 735f ing_watch_rules_ │ │ │ │ 001c9860: 642e 6d61 7463 6865 6420 6973 2064 6566 d.matched is def │ │ │ │ 001c9870: 696e 6564 2061 6e64 2066 696e 645f 6578 ined and find_ex │ │ │ │ 001c9880: 6973 7469 6e67 5f77 6174 6368 5f72 756c isting_watch_rul │ │ │ │ 001c9890: 6573 5f64 2e6d 6174 6368 6564 0a20 2020 es_d.matched. │ │ │ │ 001c98a0: 203d 3d20 300a 2020 7461 6773 3a0a 2020 == 0. tags:. │ │ │ │ 001c98b0: 2d20 4449 5341 2d53 5449 472d 5542 5455 - DISA-STIG-UBTU │ │ │ │ @@ -117160,23 +117160,23 @@ │ │ │ │ 001c9a70: 775c 732b 2f76 6172 2f6c 6f67 2f6c 6173 w\s+/var/log/las │ │ │ │ 001c9a80: 746c 6f67 5c73 2b2d 705c 732b 7761 285c tlog\s+-p\s+wa(\ │ │ │ │ 001c9a90: 737c 2429 2b0a 2020 2020 7061 7474 6572 s|$)+. patter │ │ │ │ 001c9aa0: 6e73 3a20 6175 6469 742e 7275 6c65 730a ns: audit.rules. │ │ │ │ 001c9ab0: 2020 7265 6769 7374 6572 3a20 6669 6e64 register: find │ │ │ │ 001c9ac0: 5f65 7869 7374 696e 675f 7761 7463 685f _existing_watch_ │ │ │ │ 001c9ad0: 6175 6469 745f 7275 6c65 730a 2020 7768 audit_rules. wh │ │ │ │ -001c9ae0: 656e 3a0a 2020 2d20 2722 6175 6469 7464 en:. - '"auditd │ │ │ │ -001c9af0: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ -001c9b00: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ -001c9b10: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ -001c9b20: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ -001c9b30: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ -001c9b40: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ -001c9b50: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ -001c9b60: 696e 6572 225d 0a20 2074 6167 733a 0a20 iner"]. tags:. │ │ │ │ +001c9ae0: 656e 3a0a 2020 2d20 616e 7369 626c 655f en:. - ansible_ │ │ │ │ +001c9af0: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ +001c9b00: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ +001c9b10: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ +001c9b20: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ +001c9b30: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +001c9b40: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ +001c9b50: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ +001c9b60: 6b61 6765 7327 0a20 2074 6167 733a 0a20 kages'. tags:. │ │ │ │ 001c9b70: 202d 2044 4953 412d 5354 4947 2d55 4254 - DISA-STIG-UBT │ │ │ │ 001c9b80: 552d 3230 2d30 3130 3137 310a 2020 2d20 U-20-010171. - │ │ │ │ 001c9b90: 4e49 5354 2d38 3030 2d31 3731 2d33 2e31 NIST-800-171-3.1 │ │ │ │ 001c9ba0: 2e37 0a20 202d 204e 4953 542d 3830 302d .7. - NIST-800- │ │ │ │ 001c9bb0: 3533 2d41 432d 3628 3929 0a20 202d 204e 53-AC-6(9). - N │ │ │ │ 001c9bc0: 4953 542d 3830 302d 3533 2d41 552d 3132 IST-800-53-AU-12 │ │ │ │ 001c9bd0: 2863 290a 2020 2d20 4e49 5354 2d38 3030 (c). - NIST-800 │ │ │ │ @@ -117202,23 +117202,23 @@ │ │ │ │ 001c9d10: 6173 746c 6f67 202d 7020 7761 202d 6b20 astlog -p wa -k │ │ │ │ 001c9d20: 6c6f 6769 6e73 0a20 2020 2073 7461 7465 logins. state │ │ │ │ 001c9d30: 3a20 7072 6573 656e 740a 2020 2020 6465 : present. de │ │ │ │ 001c9d40: 7374 3a20 2f65 7463 2f61 7564 6974 2f61 st: /etc/audit/a │ │ │ │ 001c9d50: 7564 6974 2e72 756c 6573 0a20 2020 2063 udit.rules. c │ │ │ │ 001c9d60: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 001c9d70: 6d6f 6465 3a20 2730 3634 3027 0a20 2077 mode: '0640'. w │ │ │ │ -001c9d80: 6865 6e3a 0a20 202d 2027 2261 7564 6974 hen:. - '"audit │ │ │ │ -001c9d90: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ -001c9da0: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ -001c9db0: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ -001c9dc0: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ -001c9dd0: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ -001c9de0: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ -001c9df0: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ -001c9e00: 6169 6e65 7222 5d0a 2020 2d20 6669 6e64 ainer"]. - find │ │ │ │ +001c9d80: 6865 6e3a 0a20 202d 2061 6e73 6962 6c65 hen:. - ansible │ │ │ │ +001c9d90: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ +001c9da0: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ +001c9db0: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ +001c9dc0: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ +001c9dd0: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +001c9de0: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ +001c9df0: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ +001c9e00: 636b 6167 6573 270a 2020 2d20 6669 6e64 ckages'. - find │ │ │ │ 001c9e10: 5f65 7869 7374 696e 675f 7761 7463 685f _existing_watch_ │ │ │ │ 001c9e20: 6175 6469 745f 7275 6c65 732e 6d61 7463 audit_rules.matc │ │ │ │ 001c9e30: 6865 6420 6973 2064 6566 696e 6564 2061 hed is defined a │ │ │ │ 001c9e40: 6e64 2066 696e 645f 6578 6973 7469 6e67 nd find_existing │ │ │ │ 001c9e50: 5f77 6174 6368 5f61 7564 6974 5f72 756c _watch_audit_rul │ │ │ │ 001c9e60: 6573 2e6d 6174 6368 6564 0a20 2020 203d es.matched. = │ │ │ │ 001c9e70: 3d20 300a 2020 7461 6773 3a0a 2020 2d20 = 0. tags:. - │ │ │ │ @@ -117257,26 +117257,26 @@ │ │ │ │ 001ca080: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61
│ │ │ │ 001ca0c0: 3c63 6f64 653e 2320 5265 6d65 6469 6174# Remediat │ │ │ │ 001ca0d0: 696f 6e20 6973 2061 7070 6c69 6361 626c ion is applicabl │ │ │ │ 001ca0e0: 6520 6f6e 6c79 2069 6e20 6365 7274 6169 e only in certai │ │ │ │ -001ca0f0: 6e20 706c 6174 666f 726d 730a 6966 2064 n platforms.if d │ │ │ │ -001ca100: 706b 672d 7175 6572 7920 2d2d 7368 6f77 pkg-query --show │ │ │ │ -001ca110: 202d 2d73 686f 7766 6f72 6d61 743d 2724 --showformat='$ │ │ │ │ -001ca120: 7b64 623a 5374 6174 7573 2d53 7461 7475 {db:Status-Statu │ │ │ │ -001ca130: 737d 5c6e 2720 2761 7564 6974 6427 2032 s}\n' 'auditd' 2 │ │ │ │ -001ca140: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20 >/dev/null | │ │ │ │ -001ca150: 6772 6570 202d 7120 696e 7374 616c 6c65 grep -q installe │ │ │ │ -001ca160: 6420 2661 6d70 3b26 616d 703b 205b 2021 d && [ ! │ │ │ │ -001ca170: 202d 6620 2f2e 646f 636b 6572 656e 7620 -f /.dockerenv │ │ │ │ -001ca180: 5d20 2661 6d70 3b26 616d 703b 205b 2021 ] && [ ! │ │ │ │ -001ca190: 202d 6620 2f72 756e 2f2e 636f 6e74 6169 -f /run/.contai │ │ │ │ -001ca1a0: 6e65 7265 6e76 205d 3b20 7468 656e 0a0a nerenv ]; then.. │ │ │ │ +001ca0f0: 6e20 706c 6174 666f 726d 730a 6966 205b n platforms.if [ │ │ │ │ +001ca100: 2021 202d 6620 2f2e 646f 636b 6572 656e ! -f /.dockeren │ │ │ │ +001ca110: 7620 5d20 2661 6d70 3b26 616d 703b 205b v ] && [ │ │ │ │ +001ca120: 2021 202d 6620 2f72 756e 2f2e 636f 6e74 ! -f /run/.cont │ │ │ │ +001ca130: 6169 6e65 7265 6e76 205d 2026 616d 703b ainerenv ] & │ │ │ │ +001ca140: 2661 6d70 3b20 6470 6b67 2d71 7565 7279 & dpkg-query │ │ │ │ +001ca150: 202d 2d73 686f 7720 2d2d 7368 6f77 666f --show --showfo │ │ │ │ +001ca160: 726d 6174 3d27 247b 6462 3a53 7461 7475 rmat='${db:Statu │ │ │ │ +001ca170: 732d 5374 6174 7573 7d5c 6e27 2027 6175 s-Status}\n' 'au │ │ │ │ +001ca180: 6469 7464 2720 3226 6774 3b2f 6465 762f ditd' 2>/dev/ │ │ │ │ +001ca190: 6e75 6c6c 207c 2067 7265 7020 2d71 2069 null | grep -q i │ │ │ │ +001ca1a0: 6e73 7461 6c6c 6564 3b20 7468 656e 0a0a nstalled; then.. │ │ │ │ 001ca1b0: 2320 5065 7266 6f72 6d20 7468 6520 7265 # Perform the re │ │ │ │ 001ca1c0: 6d65 6469 6174 696f 6e20 666f 7220 626f mediation for bo │ │ │ │ 001ca1d0: 7468 2070 6f73 7369 626c 6520 746f 6f6c th possible tool │ │ │ │ 001ca1e0: 733a 2027 6175 6469 7463 746c 2720 616e s: 'auditctl' an │ │ │ │ 001ca1f0: 6420 2761 7567 656e 7275 6c65 7327 0a0a d 'augenrules'.. │ │ │ │ 001ca200: 2320 4372 6561 7465 2061 206c 6973 7420 # Create a list │ │ │ │ 001ca210: 6f66 2061 7564 6974 202a 2e72 756c 6573 of audit *.rules │ │ │ │ @@ -118565,22 +118565,22 @@ │ │ │ │ 001cf240: 732b 2f76 6172 2f6c 6f67 2f74 616c 6c79 s+/var/log/tally │ │ │ │ 001cf250: 6c6f 675c 732b 2d70 5c73 2b77 6128 5c73 log\s+-p\s+wa(\s │ │ │ │ 001cf260: 7c24 292b 0a20 2020 2070 6174 7465 726e |$)+. pattern │ │ │ │ 001cf270: 733a 2027 2a2e 7275 6c65 7327 0a20 2072 s: '*.rules'. r │ │ │ │ 001cf280: 6567 6973 7465 723a 2066 696e 645f 6578 egister: find_ex │ │ │ │ 001cf290: 6973 7469 6e67 5f77 6174 6368 5f72 756c isting_watch_rul │ │ │ │ 001cf2a0: 6573 5f64 0a20 2077 6865 6e3a 0a20 202d es_d. when:. - │ │ │ │ -001cf2b0: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ -001cf2c0: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ -001cf2d0: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl │ │ │ │ -001cf2e0: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ -001cf2f0: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ -001cf300: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ -001cf310: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ -001cf320: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +001cf2b0: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ +001cf2c0: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ +001cf2d0: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ +001cf2e0: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ +001cf2f0: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ +001cf300: 696e 6572 225d 0a20 202d 2027 2261 7564 iner"]. - '"aud │ │ │ │ +001cf310: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ +001cf320: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ 001cf330: 2020 7461 6773 3a0a 2020 2d20 4449 5341 tags:. - DISA │ │ │ │ 001cf340: 2d53 5449 472d 5542 5455 2d32 302d 3031 -STIG-UBTU-20-01 │ │ │ │ 001cf350: 3031 3639 0a20 202d 204e 4953 542d 3830 0169. - NIST-80 │ │ │ │ 001cf360: 302d 3137 312d 332e 312e 370a 2020 2d20 0-171-3.1.7. - │ │ │ │ 001cf370: 4e49 5354 2d38 3030 2d35 332d 4143 2d36 NIST-800-53-AC-6 │ │ │ │ 001cf380: 2839 290a 2020 2d20 4e49 5354 2d38 3030 (9). - NIST-800 │ │ │ │ 001cf390: 2d35 332d 4155 2d31 3228 6329 0a20 202d -53-AU-12(c). - │ │ │ │ @@ -118606,23 +118606,23 @@ │ │ │ │ 001cf4d0: 7463 2f61 7564 6974 2f72 756c 6573 2e64 tc/audit/rules.d │ │ │ │ 001cf4e0: 0a20 2020 2063 6f6e 7461 696e 733a 205e . contains: ^ │ │ │ │ 001cf4f0: 2e2a 283f 3a2d 4620 6b65 793d 7c2d 6b5c .*(?:-F key=|-k\ │ │ │ │ 001cf500: 732b 296c 6f67 696e 7324 0a20 2020 2070 s+)logins$. p │ │ │ │ 001cf510: 6174 7465 726e 733a 2027 2a2e 7275 6c65 atterns: '*.rule │ │ │ │ 001cf520: 7327 0a20 2072 6567 6973 7465 723a 2066 s'. register: f │ │ │ │ 001cf530: 696e 645f 7761 7463 685f 6b65 790a 2020 ind_watch_key. │ │ │ │ -001cf540: 7768 656e 3a0a 2020 2d20 2722 6175 6469 when:. - '"audi │ │ │ │ -001cf550: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ -001cf560: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ -001cf570: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ -001cf580: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ -001cf590: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ -001cf5a0: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ -001cf5b0: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ -001cf5c0: 7461 696e 6572 225d 0a20 202d 2066 696e tainer"]. - fin │ │ │ │ +001cf540: 7768 656e 3a0a 2020 2d20 616e 7369 626c when:. - ansibl │ │ │ │ +001cf550: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ +001cf560: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ +001cf570: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ +001cf580: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ +001cf590: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +001cf5a0: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ +001cf5b0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ +001cf5c0: 6163 6b61 6765 7327 0a20 202d 2066 696e ackages'. - fin │ │ │ │ 001cf5d0: 645f 6578 6973 7469 6e67 5f77 6174 6368 d_existing_watch │ │ │ │ 001cf5e0: 5f72 756c 6573 5f64 2e6d 6174 6368 6564 _rules_d.matched │ │ │ │ 001cf5f0: 2069 7320 6465 6669 6e65 6420 616e 6420 is defined and │ │ │ │ 001cf600: 6669 6e64 5f65 7869 7374 696e 675f 7761 find_existing_wa │ │ │ │ 001cf610: 7463 685f 7275 6c65 735f 642e 6d61 7463 tch_rules_d.matc │ │ │ │ 001cf620: 6865 640a 2020 2020 3d3d 2030 0a20 2074 hed. == 0. t │ │ │ │ 001cf630: 6167 733a 0a20 202d 2044 4953 412d 5354 ags:. - DISA-ST │ │ │ │ @@ -118650,23 +118650,23 @@ │ │ │ │ 001cf790: 732e 7275 6c65 7320 6173 2074 6865 2072 s.rules as the r │ │ │ │ 001cf7a0: 6563 6970 6965 6e74 2066 6f72 2074 6865 ecipient for the │ │ │ │ 001cf7b0: 2072 756c 650a 2020 7365 745f 6661 6374 rule. set_fact │ │ │ │ 001cf7c0: 3a0a 2020 2020 616c 6c5f 6669 6c65 733a :. all_files: │ │ │ │ 001cf7d0: 0a20 2020 202d 202f 6574 632f 6175 6469 . - /etc/audi │ │ │ │ 001cf7e0: 742f 7275 6c65 732e 642f 6c6f 6769 6e73 t/rules.d/logins │ │ │ │ 001cf7f0: 2e72 756c 6573 0a20 2077 6865 6e3a 0a20 .rules. when:. │ │ │ │ -001cf800: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ -001cf810: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ -001cf820: 636b 6167 6573 270a 2020 2d20 616e 7369 ckages'. - ansi │ │ │ │ -001cf830: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ -001cf840: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ -001cf850: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ -001cf860: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ -001cf870: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ -001cf880: 5d0a 2020 2d20 6669 6e64 5f77 6174 6368 ]. - find_watch │ │ │ │ +001cf800: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ +001cf810: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ +001cf820: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ +001cf830: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ +001cf840: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ +001cf850: 7461 696e 6572 225d 0a20 202d 2027 2261 tainer"]. - '"a │ │ │ │ +001cf860: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ +001cf870: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ +001cf880: 270a 2020 2d20 6669 6e64 5f77 6174 6368 '. - find_watch │ │ │ │ 001cf890: 5f6b 6579 2e6d 6174 6368 6564 2069 7320 _key.matched is │ │ │ │ 001cf8a0: 6465 6669 6e65 6420 616e 6420 6669 6e64 defined and find │ │ │ │ 001cf8b0: 5f77 6174 6368 5f6b 6579 2e6d 6174 6368 _watch_key.match │ │ │ │ 001cf8c0: 6564 203d 3d20 3020 616e 6420 6669 6e64 ed == 0 and find │ │ │ │ 001cf8d0: 5f65 7869 7374 696e 675f 7761 7463 685f _existing_watch_ │ │ │ │ 001cf8e0: 7275 6c65 735f 642e 6d61 7463 6865 640a rules_d.matched. │ │ │ │ 001cf8f0: 2020 2020 6973 2064 6566 696e 6564 2061 is defined a │ │ │ │ @@ -118699,23 +118699,23 @@ │ │ │ │ 001cfaa0: 650a 2020 7365 745f 6661 6374 3a0a 2020 e. set_fact:. │ │ │ │ 001cfab0: 2020 616c 6c5f 6669 6c65 733a 0a20 2020 all_files:. │ │ │ │ 001cfac0: 202d 2027 7b7b 2066 696e 645f 7761 7463 - '{{ find_watc │ │ │ │ 001cfad0: 685f 6b65 792e 6669 6c65 7320 7c20 6d61 h_key.files | ma │ │ │ │ 001cfae0: 7028 6174 7472 6962 7574 653d 2727 7061 p(attribute=''pa │ │ │ │ 001cfaf0: 7468 2727 2920 7c20 6c69 7374 207c 2066 th'') | list | f │ │ │ │ 001cfb00: 6972 7374 207d 7d27 0a20 2077 6865 6e3a irst }}'. when: │ │ │ │ -001cfb10: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -001cfb20: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -001cfb30: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -001cfb40: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -001cfb50: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -001cfb60: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -001cfb70: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -001cfb80: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -001cfb90: 7222 5d0a 2020 2d20 6669 6e64 5f77 6174 r"]. - find_wat │ │ │ │ +001cfb10: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +001cfb20: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +001cfb30: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +001cfb40: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +001cfb50: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +001cfb60: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +001cfb70: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +001cfb80: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +001cfb90: 6573 270a 2020 2d20 6669 6e64 5f77 6174 es'. - find_wat │ │ │ │ 001cfba0: 6368 5f6b 6579 2e6d 6174 6368 6564 2069 ch_key.matched i │ │ │ │ 001cfbb0: 7320 6465 6669 6e65 6420 616e 6420 6669 s defined and fi │ │ │ │ 001cfbc0: 6e64 5f77 6174 6368 5f6b 6579 2e6d 6174 nd_watch_key.mat │ │ │ │ 001cfbd0: 6368 6564 2026 6774 3b20 3020 616e 6420 ched > 0 and │ │ │ │ 001cfbe0: 6669 6e64 5f65 7869 7374 696e 675f 7761 find_existing_wa │ │ │ │ 001cfbf0: 7463 685f 7275 6c65 735f 642e 6d61 7463 tch_rules_d.matc │ │ │ │ 001cfc00: 6865 640a 2020 2020 6973 2064 6566 696e hed. is defin │ │ │ │ @@ -118750,23 +118750,23 @@ │ │ │ │ 001cfdd0: 0a20 2020 2070 6174 683a 2027 7b7b 2061 . path: '{{ a │ │ │ │ 001cfde0: 6c6c 5f66 696c 6573 5b30 5d20 7d7d 270a ll_files[0] }}'. │ │ │ │ 001cfdf0: 2020 2020 6c69 6e65 3a20 2d77 202f 7661 line: -w /va │ │ │ │ 001cfe00: 722f 6c6f 672f 7461 6c6c 796c 6f67 202d r/log/tallylog - │ │ │ │ 001cfe10: 7020 7761 202d 6b20 6c6f 6769 6e73 0a20 p wa -k logins. │ │ │ │ 001cfe20: 2020 2063 7265 6174 653a 2074 7275 650a create: true. │ │ │ │ 001cfe30: 2020 2020 6d6f 6465 3a20 2730 3634 3027 mode: '0640' │ │ │ │ -001cfe40: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -001cfe50: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -001cfe60: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -001cfe70: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -001cfe80: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -001cfe90: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -001cfea0: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -001cfeb0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -001cfec0: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +001cfe40: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +001cfe50: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +001cfe60: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +001cfe70: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +001cfe80: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +001cfe90: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +001cfea0: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +001cfeb0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +001cfec0: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ 001cfed0: 6669 6e64 5f65 7869 7374 696e 675f 7761 find_existing_wa │ │ │ │ 001cfee0: 7463 685f 7275 6c65 735f 642e 6d61 7463 tch_rules_d.matc │ │ │ │ 001cfef0: 6865 6420 6973 2064 6566 696e 6564 2061 hed is defined a │ │ │ │ 001cff00: 6e64 2066 696e 645f 6578 6973 7469 6e67 nd find_existing │ │ │ │ 001cff10: 5f77 6174 6368 5f72 756c 6573 5f64 2e6d _watch_rules_d.m │ │ │ │ 001cff20: 6174 6368 6564 0a20 2020 203d 3d20 300a atched. == 0. │ │ │ │ 001cff30: 2020 7461 6773 3a0a 2020 2d20 4449 5341 tags:. - DISA │ │ │ │ @@ -118801,23 +118801,23 @@ │ │ │ │ 001d0100: 2f76 6172 2f6c 6f67 2f74 616c 6c79 6c6f /var/log/tallylo │ │ │ │ 001d0110: 675c 732b 2d70 5c73 2b77 6128 5c73 7c24 g\s+-p\s+wa(\s|$ │ │ │ │ 001d0120: 292b 0a20 2020 2070 6174 7465 726e 733a )+. patterns: │ │ │ │ 001d0130: 2061 7564 6974 2e72 756c 6573 0a20 2072 audit.rules. r │ │ │ │ 001d0140: 6567 6973 7465 723a 2066 696e 645f 6578 egister: find_ex │ │ │ │ 001d0150: 6973 7469 6e67 5f77 6174 6368 5f61 7564 isting_watch_aud │ │ │ │ 001d0160: 6974 5f72 756c 6573 0a20 2077 6865 6e3a it_rules. when: │ │ │ │ -001d0170: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -001d0180: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -001d0190: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -001d01a0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -001d01b0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -001d01c0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -001d01d0: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -001d01e0: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -001d01f0: 7222 5d0a 2020 7461 6773 3a0a 2020 2d20 r"]. tags:. - │ │ │ │ +001d0170: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +001d0180: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +001d0190: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +001d01a0: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +001d01b0: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +001d01c0: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +001d01d0: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +001d01e0: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +001d01f0: 6573 270a 2020 7461 6773 3a0a 2020 2d20 es'. tags:. - │ │ │ │ 001d0200: 4449 5341 2d53 5449 472d 5542 5455 2d32 DISA-STIG-UBTU-2 │ │ │ │ 001d0210: 302d 3031 3031 3639 0a20 202d 204e 4953 0-010169. - NIS │ │ │ │ 001d0220: 542d 3830 302d 3137 312d 332e 312e 370a T-800-171-3.1.7. │ │ │ │ 001d0230: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ 001d0240: 4143 2d36 2839 290a 2020 2d20 4e49 5354 AC-6(9). - NIST │ │ │ │ 001d0250: 2d38 3030 2d35 332d 4155 2d31 3228 6329 -800-53-AU-12(c) │ │ │ │ 001d0260: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ @@ -118843,23 +118843,23 @@ │ │ │ │ 001d03a0: 6c6c 796c 6f67 202d 7020 7761 202d 6b20 llylog -p wa -k │ │ │ │ 001d03b0: 6c6f 6769 6e73 0a20 2020 2073 7461 7465 logins. state │ │ │ │ 001d03c0: 3a20 7072 6573 656e 740a 2020 2020 6465 : present. de │ │ │ │ 001d03d0: 7374 3a20 2f65 7463 2f61 7564 6974 2f61 st: /etc/audit/a │ │ │ │ 001d03e0: 7564 6974 2e72 756c 6573 0a20 2020 2063 udit.rules. c │ │ │ │ 001d03f0: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 001d0400: 6d6f 6465 3a20 2730 3634 3027 0a20 2077 mode: '0640'. w │ │ │ │ -001d0410: 6865 6e3a 0a20 202d 2027 2261 7564 6974 hen:. - '"audit │ │ │ │ -001d0420: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ -001d0430: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ -001d0440: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ -001d0450: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ -001d0460: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ -001d0470: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ -001d0480: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ -001d0490: 6169 6e65 7222 5d0a 2020 2d20 6669 6e64 ainer"]. - find │ │ │ │ +001d0410: 6865 6e3a 0a20 202d 2061 6e73 6962 6c65 hen:. - ansible │ │ │ │ +001d0420: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ +001d0430: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ +001d0440: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ +001d0450: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ +001d0460: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +001d0470: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ +001d0480: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ +001d0490: 636b 6167 6573 270a 2020 2d20 6669 6e64 ckages'. - find │ │ │ │ 001d04a0: 5f65 7869 7374 696e 675f 7761 7463 685f _existing_watch_ │ │ │ │ 001d04b0: 6175 6469 745f 7275 6c65 732e 6d61 7463 audit_rules.matc │ │ │ │ 001d04c0: 6865 6420 6973 2064 6566 696e 6564 2061 hed is defined a │ │ │ │ 001d04d0: 6e64 2066 696e 645f 6578 6973 7469 6e67 nd find_existing │ │ │ │ 001d04e0: 5f77 6174 6368 5f61 7564 6974 5f72 756c _watch_audit_rul │ │ │ │ 001d04f0: 6573 2e6d 6174 6368 6564 0a20 2020 203d es.matched. = │ │ │ │ 001d0500: 3d20 300a 2020 7461 6773 3a0a 2020 2d20 = 0. tags:. - │ │ │ │ @@ -118899,25 +118899,25 @@ │ │ │ │ 001d0720: 6173 733d 2270 616e 656c 2d63 6f6c 6c61 ass="panel-colla │ │ │ │ 001d0730: 7073 6520 636f 6c6c 6170 7365 2220 6964 pse collapse" id │ │ │ │ 001d0740: 3d22 6964 6d31 3733 3838 223e 3c70 7265 ="idm17388">
# Remedia │ │ │ │ 001d0760: 7469 6f6e 2069 7320 6170 706c 6963 6162 tion is applicab │ │ │ │ 001d0770: 6c65 206f 6e6c 7920 696e 2063 6572 7461 le only in certa │ │ │ │ 001d0780: 696e 2070 6c61 7466 6f72 6d73 0a69 6620 in platforms.if │ │ │ │ -001d0790: 6470 6b67 2d71 7565 7279 202d 2d73 686f dpkg-query --sho │ │ │ │ -001d07a0: 7720 2d2d 7368 6f77 666f 726d 6174 3d27 w --showformat=' │ │ │ │ -001d07b0: 247b 6462 3a53 7461 7475 732d 5374 6174 ${db:Status-Stat │ │ │ │ -001d07c0: 7573 7d5c 6e27 2027 6175 6469 7464 2720 us}\n' 'auditd' │ │ │ │ -001d07d0: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c 2>/dev/null | │ │ │ │ -001d07e0: 2067 7265 7020 2d71 2069 6e73 7461 6c6c grep -q install │ │ │ │ -001d07f0: 6564 2026 616d 703b 2661 6d70 3b20 5b20 ed && [ │ │ │ │ -001d0800: 2120 2d66 202f 2e64 6f63 6b65 7265 6e76 ! -f /.dockerenv │ │ │ │ -001d0810: 205d 2026 616d 703b 2661 6d70 3b20 5b20 ] && [ │ │ │ │ -001d0820: 2120 2d66 202f 7275 6e2f 2e63 6f6e 7461 ! -f /run/.conta │ │ │ │ -001d0830: 696e 6572 656e 7620 5d3b 2074 6865 6e0a inerenv ]; then. │ │ │ │ +001d0790: 5b20 2120 2d66 202f 2e64 6f63 6b65 7265 [ ! -f /.dockere │ │ │ │ +001d07a0: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ +001d07b0: 5b20 2120 2d66 202f 7275 6e2f 2e63 6f6e [ ! -f /run/.con │ │ │ │ +001d07c0: 7461 696e 6572 656e 7620 5d20 2661 6d70 tainerenv ] & │ │ │ │ +001d07d0: 3b26 616d 703b 2064 706b 672d 7175 6572 ;& dpkg-quer │ │ │ │ +001d07e0: 7920 2d2d 7368 6f77 202d 2d73 686f 7766 y --show --showf │ │ │ │ +001d07f0: 6f72 6d61 743d 2724 7b64 623a 5374 6174 ormat='${db:Stat │ │ │ │ +001d0800: 7573 2d53 7461 7475 737d 5c6e 2720 2761 us-Status}\n' 'a │ │ │ │ +001d0810: 7564 6974 6427 2032 2667 743b 2f64 6576 uditd' 2>/dev │ │ │ │ +001d0820: 2f6e 756c 6c20 7c20 6772 6570 202d 7120 /null | grep -q │ │ │ │ +001d0830: 696e 7374 616c 6c65 643b 2074 6865 6e0a installed; then. │ │ │ │ 001d0840: 0a23 2050 6572 666f 726d 2074 6865 2072 .# Perform the r │ │ │ │ 001d0850: 656d 6564 6961 7469 6f6e 2066 6f72 2062 emediation for b │ │ │ │ 001d0860: 6f74 6820 706f 7373 6962 6c65 2074 6f6f oth possible too │ │ │ │ 001d0870: 6c73 3a20 2761 7564 6974 6374 6c27 2061 ls: 'auditctl' a │ │ │ │ 001d0880: 6e64 2027 6175 6765 6e72 756c 6573 270a nd 'augenrules'. │ │ │ │ 001d0890: 0a23 2043 7265 6174 6520 6120 6c69 7374 .# Create a list │ │ │ │ 001d08a0: 206f 6620 6175 6469 7420 2a2e 7275 6c65 of audit *.rule │ │ │ │ @@ -119967,23 +119967,23 @@ │ │ │ │ 001d49e0: 793d 7072 6976 696c 6567 6564 0a20 2020 y=privileged. │ │ │ │ 001d49f0: 2020 2063 7265 6174 653a 2074 7275 650a create: true. │ │ │ │ 001d4a00: 2020 2020 2020 6d6f 6465 3a20 6f2d 7277 mode: o-rw │ │ │ │ 001d4a10: 780a 2020 2020 2020 7374 6174 653a 2070 x. state: p │ │ │ │ 001d4a20: 7265 7365 6e74 0a20 2020 2077 6865 6e3a resent. when: │ │ │ │ 001d4a30: 2073 7973 6361 6c6c 735f 666f 756e 6420 syscalls_found │ │ │ │ 001d4a40: 7c20 6c65 6e67 7468 203d 3d20 300a 2020 | length == 0. │ │ │ │ -001d4a50: 7768 656e 3a0a 2020 2d20 2722 6175 6469 when:. - '"audi │ │ │ │ -001d4a60: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ -001d4a70: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ -001d4a80: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ -001d4a90: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ -001d4aa0: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ -001d4ab0: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ -001d4ac0: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ -001d4ad0: 7461 696e 6572 225d 0a20 2074 6167 733a tainer"]. tags: │ │ │ │ +001d4a50: 7768 656e 3a0a 2020 2d20 616e 7369 626c when:. - ansibl │ │ │ │ +001d4a60: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ +001d4a70: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ +001d4a80: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ +001d4a90: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ +001d4aa0: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +001d4ab0: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ +001d4ac0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ +001d4ad0: 6163 6b61 6765 7327 0a20 2074 6167 733a ackages'. tags: │ │ │ │ 001d4ae0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 001d4af0: 2d41 432d 3628 3929 0a20 202d 204e 4953 -AC-6(9). - NIS │ │ │ │ 001d4b00: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ 001d4b10: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ 001d4b20: 332d 4155 2d32 2864 290a 2020 2d20 4e49 3-AU-2(d). - NI │ │ │ │ 001d4b30: 5354 2d38 3030 2d35 332d 434d 2d36 2861 ST-800-53-CM-6(a │ │ │ │ 001d4b40: 290a 2020 2d20 6175 6469 745f 7275 6c65 ). - audit_rule │ │ │ │ @@ -120011,26 +120011,26 @@ │ │ │ │ 001d4ca0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d >
# Remediation │ │ │ │ 001d4cf0: 2069 7320 6170 706c 6963 6162 6c65 206f is applicable o │ │ │ │ 001d4d00: 6e6c 7920 696e 2063 6572 7461 696e 2070 nly in certain p │ │ │ │ -001d4d10: 6c61 7466 6f72 6d73 0a69 6620 6470 6b67 latforms.if dpkg │ │ │ │ -001d4d20: 2d71 7565 7279 202d 2d73 686f 7720 2d2d -query --show -- │ │ │ │ -001d4d30: 7368 6f77 666f 726d 6174 3d27 247b 6462 showformat='${db │ │ │ │ -001d4d40: 3a53 7461 7475 732d 5374 6174 7573 7d5c :Status-Status}\ │ │ │ │ -001d4d50: 6e27 2027 6175 6469 7464 2720 3226 6774 n' 'auditd' 2> │ │ │ │ -001d4d60: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265 ;/dev/null | gre │ │ │ │ -001d4d70: 7020 2d71 2069 6e73 7461 6c6c 6564 2026 p -q installed & │ │ │ │ -001d4d80: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -001d4d90: 202f 2e64 6f63 6b65 7265 6e76 205d 2026 /.dockerenv ] & │ │ │ │ -001d4da0: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -001d4db0: 202f 7275 6e2f 2e63 6f6e 7461 696e 6572 /run/.container │ │ │ │ -001d4dc0: 656e 7620 5d3b 2074 6865 6e0a 0a41 4354 env ]; then..ACT │ │ │ │ +001d4d10: 6c61 7466 6f72 6d73 0a69 6620 5b20 2120 latforms.if [ ! │ │ │ │ +001d4d20: 2d66 202f 2e64 6f63 6b65 7265 6e76 205d -f /.dockerenv ] │ │ │ │ +001d4d30: 2026 616d 703b 2661 6d70 3b20 5b20 2120 && [ ! │ │ │ │ +001d4d40: 2d66 202f 7275 6e2f 2e63 6f6e 7461 696e -f /run/.contain │ │ │ │ +001d4d50: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +001d4d60: 703b 2064 706b 672d 7175 6572 7920 2d2d p; dpkg-query -- │ │ │ │ +001d4d70: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ +001d4d80: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ +001d4d90: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ +001d4da0: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ +001d4db0: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ +001d4dc0: 616c 6c65 643b 2074 6865 6e0a 0a41 4354 alled; then..ACT │ │ │ │ 001d4dd0: 494f 4e5f 4152 4348 5f46 494c 5445 5253 ION_ARCH_FILTERS │ │ │ │ 001d4de0: 3d22 2d61 2061 6c77 6179 732c 6578 6974 ="-a always,exit │ │ │ │ 001d4df0: 220a 4f54 4845 525f 4649 4c54 4552 533d ".OTHER_FILTERS= │ │ │ │ 001d4e00: 222d 4620 7061 7468 3d2f 7573 722f 6269 "-F path=/usr/bi │ │ │ │ 001d4e10: 6e2f 6174 202d 4620 7065 726d 3d78 220a n/at -F perm=x". │ │ │ │ 001d4e20: 4155 4944 5f46 494c 5445 5253 3d22 2d46 AUID_FILTERS="-F │ │ │ │ 001d4e30: 2061 7569 6426 6774 3b3d 3130 3030 202d auid>=1000 - │ │ │ │ @@ -121876,23 +121876,23 @@ │ │ │ │ 001dc130: 7669 6c65 6765 640a 2020 2020 2020 6372 vileged. cr │ │ │ │ 001dc140: 6561 7465 3a20 7472 7565 0a20 2020 2020 eate: true. │ │ │ │ 001dc150: 206d 6f64 653a 206f 2d72 7778 0a20 2020 mode: o-rwx. │ │ │ │ 001dc160: 2020 2073 7461 7465 3a20 7072 6573 656e state: presen │ │ │ │ 001dc170: 740a 2020 2020 7768 656e 3a20 7379 7363 t. when: sysc │ │ │ │ 001dc180: 616c 6c73 5f66 6f75 6e64 207c 206c 656e alls_found | len │ │ │ │ 001dc190: 6774 6820 3d3d 2030 0a20 2077 6865 6e3a gth == 0. when: │ │ │ │ -001dc1a0: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -001dc1b0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -001dc1c0: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -001dc1d0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -001dc1e0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -001dc1f0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -001dc200: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -001dc210: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -001dc220: 7222 5d0a 2020 7461 6773 3a0a 2020 2d20 r"]. tags:. - │ │ │ │ +001dc1a0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +001dc1b0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +001dc1c0: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +001dc1d0: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +001dc1e0: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +001dc1f0: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +001dc200: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +001dc210: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +001dc220: 6573 270a 2020 7461 6773 3a0a 2020 2d20 es'. tags:. - │ │ │ │ 001dc230: 4449 5341 2d53 5449 472d 5542 5455 2d32 DISA-STIG-UBTU-2 │ │ │ │ 001dc240: 302d 3031 3031 3735 0a20 202d 204e 4953 0-010175. - NIS │ │ │ │ 001dc250: 542d 3830 302d 3137 312d 332e 312e 370a T-800-171-3.1.7. │ │ │ │ 001dc260: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ 001dc270: 4143 2d32 2834 290a 2020 2d20 4e49 5354 AC-2(4). - NIST │ │ │ │ 001dc280: 2d38 3030 2d35 332d 4143 2d36 2839 290a -800-53-AC-6(9). │ │ │ │ 001dc290: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ @@ -121925,25 +121925,25 @@ │ │ │ │ 001dc440: 6469 7620 636c 6173 733d 2270 616e 656c div class="panel │ │ │ │ 001dc450: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170 -collapse collap │ │ │ │ 001dc460: 7365 2220 6964 3d22 6964 6d31 3738 3139 se" id="idm17819 │ │ │ │ 001dc470: 223e 3c70 7265 3e3c 636f 6465 3e23 2052 "> # R │ │ │ │ 001dc480: 656d 6564 6961 7469 6f6e 2069 7320 6170 emediation is ap │ │ │ │ 001dc490: 706c 6963 6162 6c65 206f 6e6c 7920 696e plicable only in │ │ │ │ 001dc4a0: 2063 6572 7461 696e 2070 6c61 7466 6f72 certain platfor │ │ │ │ -001dc4b0: 6d73 0a69 6620 6470 6b67 2d71 7565 7279 ms.if dpkg-query │ │ │ │ -001dc4c0: 202d 2d73 686f 7720 2d2d 7368 6f77 666f --show --showfo │ │ │ │ -001dc4d0: 726d 6174 3d27 247b 6462 3a53 7461 7475 rmat='${db:Statu │ │ │ │ -001dc4e0: 732d 5374 6174 7573 7d5c 6e27 2027 6175 s-Status}\n' 'au │ │ │ │ -001dc4f0: 6469 7464 2720 3226 6774 3b2f 6465 762f ditd' 2>/dev/ │ │ │ │ -001dc500: 6e75 6c6c 207c 2067 7265 7020 2d71 2069 null | grep -q i │ │ │ │ -001dc510: 6e73 7461 6c6c 6564 2026 616d 703b 2661 nstalled &&a │ │ │ │ -001dc520: 6d70 3b20 5b20 2120 2d66 202f 2e64 6f63 mp; [ ! -f /.doc │ │ │ │ -001dc530: 6b65 7265 6e76 205d 2026 616d 703b 2661 kerenv ] &&a │ │ │ │ -001dc540: 6d70 3b20 5b20 2120 2d66 202f 7275 6e2f mp; [ ! -f /run/ │ │ │ │ -001dc550: 2e63 6f6e 7461 696e 6572 656e 7620 5d3b .containerenv ]; │ │ │ │ +001dc4b0: 6d73 0a69 6620 5b20 2120 2d66 202f 2e64 ms.if [ ! -f /.d │ │ │ │ +001dc4c0: 6f63 6b65 7265 6e76 205d 2026 616d 703b ockerenv ] & │ │ │ │ +001dc4d0: 2661 6d70 3b20 5b20 2120 2d66 202f 7275 & [ ! -f /ru │ │ │ │ +001dc4e0: 6e2f 2e63 6f6e 7461 696e 6572 656e 7620 n/.containerenv │ │ │ │ +001dc4f0: 5d20 2661 6d70 3b26 616d 703b 2064 706b ] && dpk │ │ │ │ +001dc500: 672d 7175 6572 7920 2d2d 7368 6f77 202d g-query --show - │ │ │ │ +001dc510: 2d73 686f 7766 6f72 6d61 743d 2724 7b64 -showformat='${d │ │ │ │ +001dc520: 623a 5374 6174 7573 2d53 7461 7475 737d b:Status-Status} │ │ │ │ +001dc530: 5c6e 2720 2761 7564 6974 6427 2032 2667 \n' 'auditd' 2&g │ │ │ │ +001dc540: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772 t;/dev/null | gr │ │ │ │ +001dc550: 6570 202d 7120 696e 7374 616c 6c65 643b ep -q installed; │ │ │ │ 001dc560: 2074 6865 6e0a 0a41 4354 494f 4e5f 4152 then..ACTION_AR │ │ │ │ 001dc570: 4348 5f46 494c 5445 5253 3d22 2d61 2061 CH_FILTERS="-a a │ │ │ │ 001dc580: 6c77 6179 732c 6578 6974 220a 4f54 4845 lways,exit".OTHE │ │ │ │ 001dc590: 525f 4649 4c54 4552 533d 222d 4620 7061 R_FILTERS="-F pa │ │ │ │ 001dc5a0: 7468 3d2f 7573 722f 6269 6e2f 6368 6167 th=/usr/bin/chag │ │ │ │ 001dc5b0: 6520 2d46 2070 6572 6d3d 7822 0a41 5549 e -F perm=x".AUI │ │ │ │ 001dc5c0: 445f 4649 4c54 4552 533d 222d 4620 6175 D_FILTERS="-F au │ │ │ │ @@ -123306,23 +123306,23 @@ │ │ │ │ 001e1a90: 4620 6b65 793d 7072 6976 696c 6567 6564 F key=privileged │ │ │ │ 001e1aa0: 0a20 2020 2020 2063 7265 6174 653a 2074 . create: t │ │ │ │ 001e1ab0: 7275 650a 2020 2020 2020 6d6f 6465 3a20 rue. mode: │ │ │ │ 001e1ac0: 6f2d 7277 780a 2020 2020 2020 7374 6174 o-rwx. stat │ │ │ │ 001e1ad0: 653a 2070 7265 7365 6e74 0a20 2020 2077 e: present. w │ │ │ │ 001e1ae0: 6865 6e3a 2073 7973 6361 6c6c 735f 666f hen: syscalls_fo │ │ │ │ 001e1af0: 756e 6420 7c20 6c65 6e67 7468 203d 3d20 und | length == │ │ │ │ -001e1b00: 300a 2020 7768 656e 3a0a 2020 2d20 2722 0. when:. - '" │ │ │ │ -001e1b10: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -001e1b20: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -001e1b30: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -001e1b40: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -001e1b50: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -001e1b60: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -001e1b70: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -001e1b80: 2263 6f6e 7461 696e 6572 225d 0a20 2074 "container"]. t │ │ │ │ +001e1b00: 300a 2020 7768 656e 3a0a 2020 2d20 616e 0. when:. - an │ │ │ │ +001e1b10: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +001e1b20: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +001e1b30: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +001e1b40: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +001e1b50: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +001e1b60: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +001e1b70: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +001e1b80: 7473 2e70 6163 6b61 6765 7327 0a20 2074 ts.packages'. t │ │ │ │ 001e1b90: 6167 733a 0a20 202d 2044 4953 412d 5354 ags:. - DISA-ST │ │ │ │ 001e1ba0: 4947 2d55 4254 552d 3230 2d30 3130 3133 IG-UBTU-20-01013 │ │ │ │ 001e1bb0: 370a 2020 2d20 4e49 5354 2d38 3030 2d35 7. - NIST-800-5 │ │ │ │ 001e1bc0: 332d 4155 2d31 3228 6129 0a20 202d 204e 3-AU-12(a). - N │ │ │ │ 001e1bd0: 4953 542d 3830 302d 3533 2d41 552d 3132 IST-800-53-AU-12 │ │ │ │ 001e1be0: 2863 290a 2020 2d20 4e49 5354 2d38 3030 (c). - NIST-800 │ │ │ │ 001e1bf0: 2d35 332d 4155 2d33 0a20 202d 204e 4953 -53-AU-3. - NIS │ │ │ │ @@ -123353,25 +123353,25 @@ │ │ │ │ 001e1d80: 6173 733d 2270 616e 656c 2d63 6f6c 6c61 ass="panel-colla │ │ │ │ 001e1d90: 7073 6520 636f 6c6c 6170 7365 2220 6964 pse collapse" id │ │ │ │ 001e1da0: 3d22 6964 6d31 3738 3438 223e 3c70 7265 ="idm17848">
# Remedia │ │ │ │ 001e1dc0: 7469 6f6e 2069 7320 6170 706c 6963 6162 tion is applicab │ │ │ │ 001e1dd0: 6c65 206f 6e6c 7920 696e 2063 6572 7461 le only in certa │ │ │ │ 001e1de0: 696e 2070 6c61 7466 6f72 6d73 0a69 6620 in platforms.if │ │ │ │ -001e1df0: 6470 6b67 2d71 7565 7279 202d 2d73 686f dpkg-query --sho │ │ │ │ -001e1e00: 7720 2d2d 7368 6f77 666f 726d 6174 3d27 w --showformat=' │ │ │ │ -001e1e10: 247b 6462 3a53 7461 7475 732d 5374 6174 ${db:Status-Stat │ │ │ │ -001e1e20: 7573 7d5c 6e27 2027 6175 6469 7464 2720 us}\n' 'auditd' │ │ │ │ -001e1e30: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c 2>/dev/null | │ │ │ │ -001e1e40: 2067 7265 7020 2d71 2069 6e73 7461 6c6c grep -q install │ │ │ │ -001e1e50: 6564 2026 616d 703b 2661 6d70 3b20 5b20 ed && [ │ │ │ │ -001e1e60: 2120 2d66 202f 2e64 6f63 6b65 7265 6e76 ! -f /.dockerenv │ │ │ │ -001e1e70: 205d 2026 616d 703b 2661 6d70 3b20 5b20 ] && [ │ │ │ │ -001e1e80: 2120 2d66 202f 7275 6e2f 2e63 6f6e 7461 ! -f /run/.conta │ │ │ │ -001e1e90: 696e 6572 656e 7620 5d3b 2074 6865 6e0a inerenv ]; then. │ │ │ │ +001e1df0: 5b20 2120 2d66 202f 2e64 6f63 6b65 7265 [ ! -f /.dockere │ │ │ │ +001e1e00: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ +001e1e10: 5b20 2120 2d66 202f 7275 6e2f 2e63 6f6e [ ! -f /run/.con │ │ │ │ +001e1e20: 7461 696e 6572 656e 7620 5d20 2661 6d70 tainerenv ] & │ │ │ │ +001e1e30: 3b26 616d 703b 2064 706b 672d 7175 6572 ;& dpkg-quer │ │ │ │ +001e1e40: 7920 2d2d 7368 6f77 202d 2d73 686f 7766 y --show --showf │ │ │ │ +001e1e50: 6f72 6d61 743d 2724 7b64 623a 5374 6174 ormat='${db:Stat │ │ │ │ +001e1e60: 7573 2d53 7461 7475 737d 5c6e 2720 2761 us-Status}\n' 'a │ │ │ │ +001e1e70: 7564 6974 6427 2032 2667 743b 2f64 6576 uditd' 2>/dev │ │ │ │ +001e1e80: 2f6e 756c 6c20 7c20 6772 6570 202d 7120 /null | grep -q │ │ │ │ +001e1e90: 696e 7374 616c 6c65 643b 2074 6865 6e0a installed; then. │ │ │ │ 001e1ea0: 0a41 4354 494f 4e5f 4152 4348 5f46 494c .ACTION_ARCH_FIL │ │ │ │ 001e1eb0: 5445 5253 3d22 2d61 2061 6c77 6179 732c TERS="-a always, │ │ │ │ 001e1ec0: 6578 6974 220a 4f54 4845 525f 4649 4c54 exit".OTHER_FILT │ │ │ │ 001e1ed0: 4552 533d 222d 4620 7061 7468 3d2f 7573 ERS="-F path=/us │ │ │ │ 001e1ee0: 722f 6269 6e2f 6368 666e 202d 4620 7065 r/bin/chfn -F pe │ │ │ │ 001e1ef0: 726d 3d78 220a 4155 4944 5f46 494c 5445 rm=x".AUID_FILTE │ │ │ │ 001e1f00: 5253 3d22 2d46 2061 7569 6426 6774 3b3d RS="-F auid>= │ │ │ │ @@ -125208,22 +125208,22 @@ │ │ │ │ 001e9170: 6567 6564 0a20 2020 2020 2063 7265 6174 eged. creat │ │ │ │ 001e9180: 653a 2074 7275 650a 2020 2020 2020 6d6f e: true. mo │ │ │ │ 001e9190: 6465 3a20 6f2d 7277 780a 2020 2020 2020 de: o-rwx. │ │ │ │ 001e91a0: 7374 6174 653a 2070 7265 7365 6e74 0a20 state: present. │ │ │ │ 001e91b0: 2020 2077 6865 6e3a 2073 7973 6361 6c6c when: syscall │ │ │ │ 001e91c0: 735f 666f 756e 6420 7c20 6c65 6e67 7468 s_found | length │ │ │ │ 001e91d0: 203d 3d20 300a 2020 7768 656e 3a0a 2020 == 0. when:. │ │ │ │ -001e91e0: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ -001e91f0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ -001e9200: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ -001e9210: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ -001e9220: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ -001e9230: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ -001e9240: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ -001e9250: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +001e91e0: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ +001e91f0: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ +001e9200: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ +001e9210: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ +001e9220: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ +001e9230: 6169 6e65 7222 5d0a 2020 2d20 2722 6175 ainer"]. - '"au │ │ │ │ +001e9240: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ +001e9250: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ 001e9260: 0a20 2074 6167 733a 0a20 202d 2044 4953 . tags:. - DIS │ │ │ │ 001e9270: 412d 5354 4947 2d55 4254 552d 3230 2d30 A-STIG-UBTU-20-0 │ │ │ │ 001e9280: 3130 3136 330a 2020 2d20 4e49 5354 2d38 10163. - NIST-8 │ │ │ │ 001e9290: 3030 2d31 3731 2d33 2e31 2e37 0a20 202d 00-171-3.1.7. - │ │ │ │ 001e92a0: 204e 4953 542d 3830 302d 3533 2d41 432d NIST-800-53-AC- │ │ │ │ 001e92b0: 3228 3429 0a20 202d 204e 4953 542d 3830 2(4). - NIST-80 │ │ │ │ 001e92c0: 302d 3533 2d41 432d 3628 3929 0a20 202d 0-53-AC-6(9). - │ │ │ │ @@ -125257,25 +125257,25 @@ │ │ │ │ 001e9480: 636c 6173 733d 2270 616e 656c 2d63 6f6c class="panel-col │ │ │ │ 001e9490: 6c61 7073 6520 636f 6c6c 6170 7365 2220 lapse collapse" │ │ │ │ 001e94a0: 6964 3d22 6964 6d31 3739 3632 223e 3c70 id="idm17962">
# Remed │ │ │ │ 001e94c0: 6961 7469 6f6e 2069 7320 6170 706c 6963 iation is applic │ │ │ │ 001e94d0: 6162 6c65 206f 6e6c 7920 696e 2063 6572 able only in cer │ │ │ │ 001e94e0: 7461 696e 2070 6c61 7466 6f72 6d73 0a69 tain platforms.i │ │ │ │ -001e94f0: 6620 6470 6b67 2d71 7565 7279 202d 2d73 f dpkg-query --s │ │ │ │ -001e9500: 686f 7720 2d2d 7368 6f77 666f 726d 6174 how --showformat │ │ │ │ -001e9510: 3d27 247b 6462 3a53 7461 7475 732d 5374 ='${db:Status-St │ │ │ │ -001e9520: 6174 7573 7d5c 6e27 2027 6175 6469 7464 atus}\n' 'auditd │ │ │ │ -001e9530: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c ' 2>/dev/null │ │ │ │ -001e9540: 207c 2067 7265 7020 2d71 2069 6e73 7461 | grep -q insta │ │ │ │ -001e9550: 6c6c 6564 2026 616d 703b 2661 6d70 3b20 lled && │ │ │ │ -001e9560: 5b20 2120 2d66 202f 2e64 6f63 6b65 7265 [ ! -f /.dockere │ │ │ │ -001e9570: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ -001e9580: 5b20 2120 2d66 202f 7275 6e2f 2e63 6f6e [ ! -f /run/.con │ │ │ │ -001e9590: 7461 696e 6572 656e 7620 5d3b 2074 6865 tainerenv ]; the │ │ │ │ +001e94f0: 6620 5b20 2120 2d66 202f 2e64 6f63 6b65 f [ ! -f /.docke │ │ │ │ +001e9500: 7265 6e76 205d 2026 616d 703b 2661 6d70 renv ] && │ │ │ │ +001e9510: 3b20 5b20 2120 2d66 202f 7275 6e2f 2e63 ; [ ! -f /run/.c │ │ │ │ +001e9520: 6f6e 7461 696e 6572 656e 7620 5d20 2661 ontainerenv ] &a │ │ │ │ +001e9530: 6d70 3b26 616d 703b 2064 706b 672d 7175 mp;& dpkg-qu │ │ │ │ +001e9540: 6572 7920 2d2d 7368 6f77 202d 2d73 686f ery --show --sho │ │ │ │ +001e9550: 7766 6f72 6d61 743d 2724 7b64 623a 5374 wformat='${db:St │ │ │ │ +001e9560: 6174 7573 2d53 7461 7475 737d 5c6e 2720 atus-Status}\n' │ │ │ │ +001e9570: 2761 7564 6974 6427 2032 2667 743b 2f64 'auditd' 2>/d │ │ │ │ +001e9580: 6576 2f6e 756c 6c20 7c20 6772 6570 202d ev/null | grep - │ │ │ │ +001e9590: 7120 696e 7374 616c 6c65 643b 2074 6865 q installed; the │ │ │ │ 001e95a0: 6e0a 0a41 4354 494f 4e5f 4152 4348 5f46 n..ACTION_ARCH_F │ │ │ │ 001e95b0: 494c 5445 5253 3d22 2d61 2061 6c77 6179 ILTERS="-a alway │ │ │ │ 001e95c0: 732c 6578 6974 220a 4f54 4845 525f 4649 s,exit".OTHER_FI │ │ │ │ 001e95d0: 4c54 4552 533d 222d 4620 7061 7468 3d2f LTERS="-F path=/ │ │ │ │ 001e95e0: 7573 722f 6269 6e2f 6368 7368 202d 4620 usr/bin/chsh -F │ │ │ │ 001e95f0: 7065 726d 3d78 220a 4155 4944 5f46 494c perm=x".AUID_FIL │ │ │ │ 001e9600: 5445 5253 3d22 2d46 2061 7569 6426 6774 TERS="-F auid> │ │ │ │ @@ -127043,23 +127043,23 @@ │ │ │ │ 001f0420: 7072 6976 696c 6567 6564 0a20 2020 2020 privileged. │ │ │ │ 001f0430: 2063 7265 6174 653a 2074 7275 650a 2020 create: true. │ │ │ │ 001f0440: 2020 2020 6d6f 6465 3a20 6f2d 7277 780a mode: o-rwx. │ │ │ │ 001f0450: 2020 2020 2020 7374 6174 653a 2070 7265 state: pre │ │ │ │ 001f0460: 7365 6e74 0a20 2020 2077 6865 6e3a 2073 sent. when: s │ │ │ │ 001f0470: 7973 6361 6c6c 735f 666f 756e 6420 7c20 yscalls_found | │ │ │ │ 001f0480: 6c65 6e67 7468 203d 3d20 300a 2020 7768 length == 0. wh │ │ │ │ -001f0490: 656e 3a0a 2020 2d20 2722 6175 6469 7464 en:. - '"auditd │ │ │ │ -001f04a0: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ -001f04b0: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ -001f04c0: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ -001f04d0: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ -001f04e0: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ -001f04f0: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ -001f0500: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ -001f0510: 696e 6572 225d 0a20 2074 6167 733a 0a20 iner"]. tags:. │ │ │ │ +001f0490: 656e 3a0a 2020 2d20 616e 7369 626c 655f en:. - ansible_ │ │ │ │ +001f04a0: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ +001f04b0: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ +001f04c0: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ +001f04d0: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ +001f04e0: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +001f04f0: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ +001f0500: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ +001f0510: 6b61 6765 7327 0a20 2074 6167 733a 0a20 kages'. tags:. │ │ │ │ 001f0520: 202d 2044 4953 412d 5354 4947 2d55 4254 - DISA-STIG-UBT │ │ │ │ 001f0530: 552d 3230 2d30 3130 3137 370a 2020 2d20 U-20-010177. - │ │ │ │ 001f0540: 4e49 5354 2d38 3030 2d31 3731 2d33 2e31 NIST-800-171-3.1 │ │ │ │ 001f0550: 2e37 0a20 202d 204e 4953 542d 3830 302d .7. - NIST-800- │ │ │ │ 001f0560: 3533 2d41 432d 3628 3929 0a20 202d 204e 53-AC-6(9). - N │ │ │ │ 001f0570: 4953 542d 3830 302d 3533 2d41 552d 3132 IST-800-53-AU-12 │ │ │ │ 001f0580: 2863 290a 2020 2d20 4e49 5354 2d38 3030 (c). - NIST-800 │ │ │ │ @@ -127091,25 +127091,25 @@ │ │ │ │ 001f0720: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f class="panel-co │ │ │ │ 001f0730: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522 llapse collapse" │ │ │ │ 001f0740: 2069 643d 2269 646d 3138 3036 3722 3e3c id="idm18067">< │ │ │ │ 001f0750: 7072 653e 3c63 6f64 653e 2320 5265 6d65 pre>
# Reme │ │ │ │ 001f0760: 6469 6174 696f 6e20 6973 2061 7070 6c69 diation is appli │ │ │ │ 001f0770: 6361 626c 6520 6f6e 6c79 2069 6e20 6365 cable only in ce │ │ │ │ 001f0780: 7274 6169 6e20 706c 6174 666f 726d 730a rtain platforms. │ │ │ │ -001f0790: 6966 2064 706b 672d 7175 6572 7920 2d2d if dpkg-query -- │ │ │ │ -001f07a0: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ -001f07b0: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ -001f07c0: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ -001f07d0: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ -001f07e0: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ -001f07f0: 616c 6c65 6420 2661 6d70 3b26 616d 703b alled && │ │ │ │ -001f0800: 205b 2021 202d 6620 2f2e 646f 636b 6572 [ ! -f /.docker │ │ │ │ -001f0810: 656e 7620 5d20 2661 6d70 3b26 616d 703b env ] && │ │ │ │ -001f0820: 205b 2021 202d 6620 2f72 756e 2f2e 636f [ ! -f /run/.co │ │ │ │ -001f0830: 6e74 6169 6e65 7265 6e76 205d 3b20 7468 ntainerenv ]; th │ │ │ │ +001f0790: 6966 205b 2021 202d 6620 2f2e 646f 636b if [ ! -f /.dock │ │ │ │ +001f07a0: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +001f07b0: 703b 205b 2021 202d 6620 2f72 756e 2f2e p; [ ! -f /run/. │ │ │ │ +001f07c0: 636f 6e74 6169 6e65 7265 6e76 205d 2026 containerenv ] & │ │ │ │ +001f07d0: 616d 703b 2661 6d70 3b20 6470 6b67 2d71 amp;& dpkg-q │ │ │ │ +001f07e0: 7565 7279 202d 2d73 686f 7720 2d2d 7368 uery --show --sh │ │ │ │ +001f07f0: 6f77 666f 726d 6174 3d27 247b 6462 3a53 owformat='${db:S │ │ │ │ +001f0800: 7461 7475 732d 5374 6174 7573 7d5c 6e27 tatus-Status}\n' │ │ │ │ +001f0810: 2027 6175 6469 7464 2720 3226 6774 3b2f 'auditd' 2>/ │ │ │ │ +001f0820: 6465 762f 6e75 6c6c 207c 2067 7265 7020 dev/null | grep │ │ │ │ +001f0830: 2d71 2069 6e73 7461 6c6c 6564 3b20 7468 -q installed; th │ │ │ │ 001f0840: 656e 0a0a 4143 5449 4f4e 5f41 5243 485f en..ACTION_ARCH_ │ │ │ │ 001f0850: 4649 4c54 4552 533d 222d 6120 616c 7761 FILTERS="-a alwa │ │ │ │ 001f0860: 7973 2c65 7869 7422 0a4f 5448 4552 5f46 ys,exit".OTHER_F │ │ │ │ 001f0870: 494c 5445 5253 3d22 2d46 2070 6174 683d ILTERS="-F path= │ │ │ │ 001f0880: 2f75 7372 2f62 696e 2f63 726f 6e74 6162 /usr/bin/crontab │ │ │ │ 001f0890: 202d 4620 7065 726d 3d78 220a 4155 4944 -F perm=x".AUID │ │ │ │ 001f08a0: 5f46 494c 5445 5253 3d22 2d46 2061 7569 _FILTERS="-F aui │ │ │ │ @@ -128953,23 +128953,23 @@ │ │ │ │ 001f7b80: 2d46 206b 6579 3d70 7269 7669 6c65 6765 -F key=privilege │ │ │ │ 001f7b90: 640a 2020 2020 2020 6372 6561 7465 3a20 d. create: │ │ │ │ 001f7ba0: 7472 7565 0a20 2020 2020 206d 6f64 653a true. mode: │ │ │ │ 001f7bb0: 206f 2d72 7778 0a20 2020 2020 2073 7461 o-rwx. sta │ │ │ │ 001f7bc0: 7465 3a20 7072 6573 656e 740a 2020 2020 te: present. │ │ │ │ 001f7bd0: 7768 656e 3a20 7379 7363 616c 6c73 5f66 when: syscalls_f │ │ │ │ 001f7be0: 6f75 6e64 207c 206c 656e 6774 6820 3d3d ound | length == │ │ │ │ -001f7bf0: 2030 0a20 2077 6865 6e3a 0a20 202d 2027 0. when:. - ' │ │ │ │ -001f7c00: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -001f7c10: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -001f7c20: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -001f7c30: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -001f7c40: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -001f7c50: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -001f7c60: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -001f7c70: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +001f7bf0: 2030 0a20 2077 6865 6e3a 0a20 202d 2061 0. when:. - a │ │ │ │ +001f7c00: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +001f7c10: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +001f7c20: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +001f7c30: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +001f7c40: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +001f7c50: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +001f7c60: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +001f7c70: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 001f7c80: 7461 6773 3a0a 2020 2d20 4449 5341 2d53 tags:. - DISA-S │ │ │ │ 001f7c90: 5449 472d 5542 5455 2d32 302d 3031 3031 TIG-UBTU-20-0101 │ │ │ │ 001f7ca0: 3734 0a20 202d 204e 4953 542d 3830 302d 74. - NIST-800- │ │ │ │ 001f7cb0: 3137 312d 332e 312e 370a 2020 2d20 4e49 171-3.1.7. - NI │ │ │ │ 001f7cc0: 5354 2d38 3030 2d35 332d 4143 2d32 2834 ST-800-53-AC-2(4 │ │ │ │ 001f7cd0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ 001f7ce0: 332d 4143 2d36 2839 290a 2020 2d20 4e49 3-AC-6(9). - NI │ │ │ │ @@ -129003,25 +129003,25 @@ │ │ │ │ 001f7ea0: 636c 6173 733d 2270 616e 656c 2d63 6f6c class="panel-col │ │ │ │ 001f7eb0: 6c61 7073 6520 636f 6c6c 6170 7365 2220 lapse collapse" │ │ │ │ 001f7ec0: 6964 3d22 6964 6d31 3831 3934 223e 3c70 id="idm18194">
# Remed │ │ │ │ 001f7ee0: 6961 7469 6f6e 2069 7320 6170 706c 6963 iation is applic │ │ │ │ 001f7ef0: 6162 6c65 206f 6e6c 7920 696e 2063 6572 able only in cer │ │ │ │ 001f7f00: 7461 696e 2070 6c61 7466 6f72 6d73 0a69 tain platforms.i │ │ │ │ -001f7f10: 6620 6470 6b67 2d71 7565 7279 202d 2d73 f dpkg-query --s │ │ │ │ -001f7f20: 686f 7720 2d2d 7368 6f77 666f 726d 6174 how --showformat │ │ │ │ -001f7f30: 3d27 247b 6462 3a53 7461 7475 732d 5374 ='${db:Status-St │ │ │ │ -001f7f40: 6174 7573 7d5c 6e27 2027 6175 6469 7464 atus}\n' 'auditd │ │ │ │ -001f7f50: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c ' 2>/dev/null │ │ │ │ -001f7f60: 207c 2067 7265 7020 2d71 2069 6e73 7461 | grep -q insta │ │ │ │ -001f7f70: 6c6c 6564 2026 616d 703b 2661 6d70 3b20 lled && │ │ │ │ -001f7f80: 5b20 2120 2d66 202f 2e64 6f63 6b65 7265 [ ! -f /.dockere │ │ │ │ -001f7f90: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ -001f7fa0: 5b20 2120 2d66 202f 7275 6e2f 2e63 6f6e [ ! -f /run/.con │ │ │ │ -001f7fb0: 7461 696e 6572 656e 7620 5d3b 2074 6865 tainerenv ]; the │ │ │ │ +001f7f10: 6620 5b20 2120 2d66 202f 2e64 6f63 6b65 f [ ! -f /.docke │ │ │ │ +001f7f20: 7265 6e76 205d 2026 616d 703b 2661 6d70 renv ] && │ │ │ │ +001f7f30: 3b20 5b20 2120 2d66 202f 7275 6e2f 2e63 ; [ ! -f /run/.c │ │ │ │ +001f7f40: 6f6e 7461 696e 6572 656e 7620 5d20 2661 ontainerenv ] &a │ │ │ │ +001f7f50: 6d70 3b26 616d 703b 2064 706b 672d 7175 mp;& dpkg-qu │ │ │ │ +001f7f60: 6572 7920 2d2d 7368 6f77 202d 2d73 686f ery --show --sho │ │ │ │ +001f7f70: 7766 6f72 6d61 743d 2724 7b64 623a 5374 wformat='${db:St │ │ │ │ +001f7f80: 6174 7573 2d53 7461 7475 737d 5c6e 2720 atus-Status}\n' │ │ │ │ +001f7f90: 2761 7564 6974 6427 2032 2667 743b 2f64 'auditd' 2>/d │ │ │ │ +001f7fa0: 6576 2f6e 756c 6c20 7c20 6772 6570 202d ev/null | grep - │ │ │ │ +001f7fb0: 7120 696e 7374 616c 6c65 643b 2074 6865 q installed; the │ │ │ │ 001f7fc0: 6e0a 0a41 4354 494f 4e5f 4152 4348 5f46 n..ACTION_ARCH_F │ │ │ │ 001f7fd0: 494c 5445 5253 3d22 2d61 2061 6c77 6179 ILTERS="-a alway │ │ │ │ 001f7fe0: 732c 6578 6974 220a 4f54 4845 525f 4649 s,exit".OTHER_FI │ │ │ │ 001f7ff0: 4c54 4552 533d 222d 4620 7061 7468 3d2f LTERS="-F path=/ │ │ │ │ 001f8000: 7573 722f 6269 6e2f 6770 6173 7377 6420 usr/bin/gpasswd │ │ │ │ 001f8010: 2d46 2070 6572 6d3d 7822 0a41 5549 445f -F perm=x".AUID_ │ │ │ │ 001f8020: 4649 4c54 4552 533d 222d 4620 6175 6964 FILTERS="-F auid │ │ │ │ @@ -130418,25 +130418,25 @@ │ │ │ │ 001fd710: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f class="panel-co │ │ │ │ 001fd720: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522 llapse collapse" │ │ │ │ 001fd730: 2069 643d 2269 646d 3138 3330 3622 3e3c id="idm18306">< │ │ │ │ 001fd740: 7072 653e 3c63 6f64 653e 2320 5265 6d65 pre>
# Reme │ │ │ │ 001fd750: 6469 6174 696f 6e20 6973 2061 7070 6c69 diation is appli │ │ │ │ 001fd760: 6361 626c 6520 6f6e 6c79 2069 6e20 6365 cable only in ce │ │ │ │ 001fd770: 7274 6169 6e20 706c 6174 666f 726d 730a rtain platforms. │ │ │ │ -001fd780: 6966 2064 706b 672d 7175 6572 7920 2d2d if dpkg-query -- │ │ │ │ -001fd790: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ -001fd7a0: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ -001fd7b0: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ -001fd7c0: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ -001fd7d0: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ -001fd7e0: 616c 6c65 6420 2661 6d70 3b26 616d 703b alled && │ │ │ │ -001fd7f0: 205b 2021 202d 6620 2f2e 646f 636b 6572 [ ! -f /.docker │ │ │ │ -001fd800: 656e 7620 5d20 2661 6d70 3b26 616d 703b env ] && │ │ │ │ -001fd810: 205b 2021 202d 6620 2f72 756e 2f2e 636f [ ! -f /run/.co │ │ │ │ -001fd820: 6e74 6169 6e65 7265 6e76 205d 3b20 7468 ntainerenv ]; th │ │ │ │ +001fd780: 6966 205b 2021 202d 6620 2f2e 646f 636b if [ ! -f /.dock │ │ │ │ +001fd790: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +001fd7a0: 703b 205b 2021 202d 6620 2f72 756e 2f2e p; [ ! -f /run/. │ │ │ │ +001fd7b0: 636f 6e74 6169 6e65 7265 6e76 205d 2026 containerenv ] & │ │ │ │ +001fd7c0: 616d 703b 2661 6d70 3b20 6470 6b67 2d71 amp;& dpkg-q │ │ │ │ +001fd7d0: 7565 7279 202d 2d73 686f 7720 2d2d 7368 uery --show --sh │ │ │ │ +001fd7e0: 6f77 666f 726d 6174 3d27 247b 6462 3a53 owformat='${db:S │ │ │ │ +001fd7f0: 7461 7475 732d 5374 6174 7573 7d5c 6e27 tatus-Status}\n' │ │ │ │ +001fd800: 2027 6175 6469 7464 2720 3226 6774 3b2f 'auditd' 2>/ │ │ │ │ +001fd810: 6465 762f 6e75 6c6c 207c 2067 7265 7020 dev/null | grep │ │ │ │ +001fd820: 2d71 2069 6e73 7461 6c6c 6564 3b20 7468 -q installed; th │ │ │ │ 001fd830: 656e 0a0a 2320 5065 7266 6f72 6d20 7468 en..# Perform th │ │ │ │ 001fd840: 6520 7265 6d65 6469 6174 696f 6e20 666f e remediation fo │ │ │ │ 001fd850: 7220 626f 7468 2070 6f73 7369 626c 6520 r both possible │ │ │ │ 001fd860: 746f 6f6c 733a 2027 6175 6469 7463 746c tools: 'auditctl │ │ │ │ 001fd870: 2720 616e 6420 2761 7567 656e 7275 6c65 ' and 'augenrule │ │ │ │ 001fd880: 7327 0a23 2043 7265 6174 6520 6120 6c69 s'.# Create a li │ │ │ │ 001fd890: 7374 206f 6620 6175 6469 7420 2a2e 7275 st of audit *.ru │ │ │ │ @@ -131499,23 +131499,23 @@ │ │ │ │ 00201aa0: 2d46 206b 6579 3d70 7269 7669 6c65 6765 -F key=privilege │ │ │ │ 00201ab0: 640a 2020 2020 2020 6372 6561 7465 3a20 d. create: │ │ │ │ 00201ac0: 7472 7565 0a20 2020 2020 206d 6f64 653a true. mode: │ │ │ │ 00201ad0: 206f 2d72 7778 0a20 2020 2020 2073 7461 o-rwx. sta │ │ │ │ 00201ae0: 7465 3a20 7072 6573 656e 740a 2020 2020 te: present. │ │ │ │ 00201af0: 7768 656e 3a20 7379 7363 616c 6c73 5f66 when: syscalls_f │ │ │ │ 00201b00: 6f75 6e64 207c 206c 656e 6774 6820 3d3d ound | length == │ │ │ │ -00201b10: 2030 0a20 2077 6865 6e3a 0a20 202d 2027 0. when:. - ' │ │ │ │ -00201b20: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -00201b30: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -00201b40: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -00201b50: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -00201b60: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -00201b70: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -00201b80: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -00201b90: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +00201b10: 2030 0a20 2077 6865 6e3a 0a20 202d 2061 0. when:. - a │ │ │ │ +00201b20: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +00201b30: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +00201b40: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +00201b50: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +00201b60: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +00201b70: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +00201b80: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +00201b90: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 00201ba0: 7461 6773 3a0a 2020 2d20 4449 5341 2d53 tags:. - DISA-S │ │ │ │ 00201bb0: 5449 472d 5542 5455 2d32 302d 3031 3031 TIG-UBTU-20-0101 │ │ │ │ 00201bc0: 3338 0a20 202d 204e 4953 542d 3830 302d 38. - NIST-800- │ │ │ │ 00201bd0: 3533 2d41 432d 3628 3929 0a20 202d 204e 53-AC-6(9). - N │ │ │ │ 00201be0: 4953 542d 3830 302d 3533 2d41 552d 3132 IST-800-53-AU-12 │ │ │ │ 00201bf0: 2863 290a 2020 2d20 4e49 5354 2d38 3030 (c). - NIST-800 │ │ │ │ 00201c00: 2d35 332d 4155 2d32 2864 290a 2020 2d20 -53-AU-2(d). - │ │ │ │ @@ -131546,25 +131546,25 @@ │ │ │ │ 00201d90: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c lass="panel-coll │ │ │ │ 00201da0: 6170 7365 2063 6f6c 6c61 7073 6522 2069 apse collapse" i │ │ │ │ 00201db0: 643d 2269 646d 3138 3334 3622 3e3c 7072 d="idm18346">
# Remedi │ │ │ │ 00201dd0: 6174 696f 6e20 6973 2061 7070 6c69 6361 ation is applica │ │ │ │ 00201de0: 626c 6520 6f6e 6c79 2069 6e20 6365 7274 ble only in cert │ │ │ │ 00201df0: 6169 6e20 706c 6174 666f 726d 730a 6966 ain platforms.if │ │ │ │ -00201e00: 2064 706b 672d 7175 6572 7920 2d2d 7368 dpkg-query --sh │ │ │ │ -00201e10: 6f77 202d 2d73 686f 7766 6f72 6d61 743d ow --showformat= │ │ │ │ -00201e20: 2724 7b64 623a 5374 6174 7573 2d53 7461 '${db:Status-Sta │ │ │ │ -00201e30: 7475 737d 5c6e 2720 2761 7564 6974 6427 tus}\n' 'auditd' │ │ │ │ -00201e40: 2032 2667 743b 2f64 6576 2f6e 756c 6c20 2>/dev/null │ │ │ │ -00201e50: 7c20 6772 6570 202d 7120 696e 7374 616c | grep -q instal │ │ │ │ -00201e60: 6c65 6420 2661 6d70 3b26 616d 703b 205b led && [ │ │ │ │ -00201e70: 2021 202d 6620 2f2e 646f 636b 6572 656e ! -f /.dockeren │ │ │ │ -00201e80: 7620 5d20 2661 6d70 3b26 616d 703b 205b v ] && [ │ │ │ │ -00201e90: 2021 202d 6620 2f72 756e 2f2e 636f 6e74 ! -f /run/.cont │ │ │ │ -00201ea0: 6169 6e65 7265 6e76 205d 3b20 7468 656e ainerenv ]; then │ │ │ │ +00201e00: 205b 2021 202d 6620 2f2e 646f 636b 6572 [ ! -f /.docker │ │ │ │ +00201e10: 656e 7620 5d20 2661 6d70 3b26 616d 703b env ] && │ │ │ │ +00201e20: 205b 2021 202d 6620 2f72 756e 2f2e 636f [ ! -f /run/.co │ │ │ │ +00201e30: 6e74 6169 6e65 7265 6e76 205d 2026 616d ntainerenv ] &am │ │ │ │ +00201e40: 703b 2661 6d70 3b20 6470 6b67 2d71 7565 p;& dpkg-que │ │ │ │ +00201e50: 7279 202d 2d73 686f 7720 2d2d 7368 6f77 ry --show --show │ │ │ │ +00201e60: 666f 726d 6174 3d27 247b 6462 3a53 7461 format='${db:Sta │ │ │ │ +00201e70: 7475 732d 5374 6174 7573 7d5c 6e27 2027 tus-Status}\n' ' │ │ │ │ +00201e80: 6175 6469 7464 2720 3226 6774 3b2f 6465 auditd' 2>/de │ │ │ │ +00201e90: 762f 6e75 6c6c 207c 2067 7265 7020 2d71 v/null | grep -q │ │ │ │ +00201ea0: 2069 6e73 7461 6c6c 6564 3b20 7468 656e installed; then │ │ │ │ 00201eb0: 0a0a 4143 5449 4f4e 5f41 5243 485f 4649 ..ACTION_ARCH_FI │ │ │ │ 00201ec0: 4c54 4552 533d 222d 6120 616c 7761 7973 LTERS="-a always │ │ │ │ 00201ed0: 2c65 7869 7422 0a4f 5448 4552 5f46 494c ,exit".OTHER_FIL │ │ │ │ 00201ee0: 5445 5253 3d22 2d46 2070 6174 683d 2f75 TERS="-F path=/u │ │ │ │ 00201ef0: 7372 2f62 696e 2f6d 6f75 6e74 202d 4620 sr/bin/mount -F │ │ │ │ 00201f00: 7065 726d 3d78 220a 4155 4944 5f46 494c perm=x".AUID_FIL │ │ │ │ 00201f10: 5445 5253 3d22 2d46 2061 7569 6426 6774 TERS="-F auid> │ │ │ │ @@ -133008,23 +133008,23 @@ │ │ │ │ 002078f0: 7669 6c65 6765 640a 2020 2020 2020 6372 vileged. cr │ │ │ │ 00207900: 6561 7465 3a20 7472 7565 0a20 2020 2020 eate: true. │ │ │ │ 00207910: 206d 6f64 653a 206f 2d72 7778 0a20 2020 mode: o-rwx. │ │ │ │ 00207920: 2020 2073 7461 7465 3a20 7072 6573 656e state: presen │ │ │ │ 00207930: 740a 2020 2020 7768 656e 3a20 7379 7363 t. when: sysc │ │ │ │ 00207940: 616c 6c73 5f66 6f75 6e64 207c 206c 656e alls_found | len │ │ │ │ 00207950: 6774 6820 3d3d 2030 0a20 2077 6865 6e3a gth == 0. when: │ │ │ │ -00207960: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -00207970: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -00207980: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -00207990: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -002079a0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -002079b0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -002079c0: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -002079d0: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -002079e0: 7222 5d0a 2020 7461 6773 3a0a 2020 2d20 r"]. tags:. - │ │ │ │ +00207960: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +00207970: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +00207980: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +00207990: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +002079a0: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +002079b0: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +002079c0: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +002079d0: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +002079e0: 6573 270a 2020 7461 6773 3a0a 2020 2d20 es'. tags:. - │ │ │ │ 002079f0: 4e49 5354 2d38 3030 2d35 332d 4143 2d32 NIST-800-53-AC-2 │ │ │ │ 00207a00: 2834 290a 2020 2d20 4e49 5354 2d38 3030 (4). - NIST-800 │ │ │ │ 00207a10: 2d35 332d 4143 2d36 2839 290a 2020 2d20 -53-AC-6(9). - │ │ │ │ 00207a20: 4e49 5354 2d38 3030 2d35 332d 4155 2d31 NIST-800-53-AU-1 │ │ │ │ 00207a30: 3228 6329 0a20 202d 204e 4953 542d 3830 2(c). - NIST-80 │ │ │ │ 00207a40: 302d 3533 2d41 552d 3228 6429 0a20 202d 0-53-AU-2(d). - │ │ │ │ 00207a50: 204e 4953 542d 3830 302d 3533 2d43 4d2d NIST-800-53-CM- │ │ │ │ @@ -133054,25 +133054,25 @@ │ │ │ │ 00207bd0: 6469 7620 636c 6173 733d 2270 616e 656c div class="panel │ │ │ │ 00207be0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170 -collapse collap │ │ │ │ 00207bf0: 7365 2220 6964 3d22 6964 6d31 3833 3834 se" id="idm18384 │ │ │ │ 00207c00: 223e 3c70 7265 3e3c 636f 6465 3e23 2052 ">
# R │ │ │ │ 00207c10: 656d 6564 6961 7469 6f6e 2069 7320 6170 emediation is ap │ │ │ │ 00207c20: 706c 6963 6162 6c65 206f 6e6c 7920 696e plicable only in │ │ │ │ 00207c30: 2063 6572 7461 696e 2070 6c61 7466 6f72 certain platfor │ │ │ │ -00207c40: 6d73 0a69 6620 6470 6b67 2d71 7565 7279 ms.if dpkg-query │ │ │ │ -00207c50: 202d 2d73 686f 7720 2d2d 7368 6f77 666f --show --showfo │ │ │ │ -00207c60: 726d 6174 3d27 247b 6462 3a53 7461 7475 rmat='${db:Statu │ │ │ │ -00207c70: 732d 5374 6174 7573 7d5c 6e27 2027 6175 s-Status}\n' 'au │ │ │ │ -00207c80: 6469 7464 2720 3226 6774 3b2f 6465 762f ditd' 2>/dev/ │ │ │ │ -00207c90: 6e75 6c6c 207c 2067 7265 7020 2d71 2069 null | grep -q i │ │ │ │ -00207ca0: 6e73 7461 6c6c 6564 2026 616d 703b 2661 nstalled &&a │ │ │ │ -00207cb0: 6d70 3b20 5b20 2120 2d66 202f 2e64 6f63 mp; [ ! -f /.doc │ │ │ │ -00207cc0: 6b65 7265 6e76 205d 2026 616d 703b 2661 kerenv ] &&a │ │ │ │ -00207cd0: 6d70 3b20 5b20 2120 2d66 202f 7275 6e2f mp; [ ! -f /run/ │ │ │ │ -00207ce0: 2e63 6f6e 7461 696e 6572 656e 7620 5d3b .containerenv ]; │ │ │ │ +00207c40: 6d73 0a69 6620 5b20 2120 2d66 202f 2e64 ms.if [ ! -f /.d │ │ │ │ +00207c50: 6f63 6b65 7265 6e76 205d 2026 616d 703b ockerenv ] & │ │ │ │ +00207c60: 2661 6d70 3b20 5b20 2120 2d66 202f 7275 & [ ! -f /ru │ │ │ │ +00207c70: 6e2f 2e63 6f6e 7461 696e 6572 656e 7620 n/.containerenv │ │ │ │ +00207c80: 5d20 2661 6d70 3b26 616d 703b 2064 706b ] && dpk │ │ │ │ +00207c90: 672d 7175 6572 7920 2d2d 7368 6f77 202d g-query --show - │ │ │ │ +00207ca0: 2d73 686f 7766 6f72 6d61 743d 2724 7b64 -showformat='${d │ │ │ │ +00207cb0: 623a 5374 6174 7573 2d53 7461 7475 737d b:Status-Status} │ │ │ │ +00207cc0: 5c6e 2720 2761 7564 6974 6427 2032 2667 \n' 'auditd' 2&g │ │ │ │ +00207cd0: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772 t;/dev/null | gr │ │ │ │ +00207ce0: 6570 202d 7120 696e 7374 616c 6c65 643b ep -q installed; │ │ │ │ 00207cf0: 2074 6865 6e0a 0a41 4354 494f 4e5f 4152 then..ACTION_AR │ │ │ │ 00207d00: 4348 5f46 494c 5445 5253 3d22 2d61 2061 CH_FILTERS="-a a │ │ │ │ 00207d10: 6c77 6179 732c 6578 6974 220a 4f54 4845 lways,exit".OTHE │ │ │ │ 00207d20: 525f 4649 4c54 4552 533d 222d 4620 7061 R_FILTERS="-F pa │ │ │ │ 00207d30: 7468 3d2f 7573 722f 6269 6e2f 6e65 7767 th=/usr/bin/newg │ │ │ │ 00207d40: 6964 6d61 7020 2d46 2070 6572 6d3d 7822 idmap -F perm=x" │ │ │ │ 00207d50: 0a41 5549 445f 4649 4c54 4552 533d 222d .AUID_FILTERS="- │ │ │ │ @@ -134916,23 +134916,23 @@ │ │ │ │ 0020f030: 696c 6567 6564 0a20 2020 2020 2063 7265 ileged. cre │ │ │ │ 0020f040: 6174 653a 2074 7275 650a 2020 2020 2020 ate: true. │ │ │ │ 0020f050: 6d6f 6465 3a20 6f2d 7277 780a 2020 2020 mode: o-rwx. │ │ │ │ 0020f060: 2020 7374 6174 653a 2070 7265 7365 6e74 state: present │ │ │ │ 0020f070: 0a20 2020 2077 6865 6e3a 2073 7973 6361 . when: sysca │ │ │ │ 0020f080: 6c6c 735f 666f 756e 6420 7c20 6c65 6e67 lls_found | leng │ │ │ │ 0020f090: 7468 203d 3d20 300a 2020 7768 656e 3a0a th == 0. when:. │ │ │ │ -0020f0a0: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ -0020f0b0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -0020f0c0: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ -0020f0d0: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ -0020f0e0: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ -0020f0f0: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ -0020f100: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ -0020f110: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ -0020f120: 225d 0a20 2074 6167 733a 0a20 202d 2044 "]. tags:. - D │ │ │ │ +0020f0a0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ +0020f0b0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ +0020f0c0: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ +0020f0d0: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ +0020f0e0: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ +0020f0f0: 6e74 6169 6e65 7222 5d0a 2020 2d20 2722 ntainer"]. - '" │ │ │ │ +0020f100: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ +0020f110: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ +0020f120: 7327 0a20 2074 6167 733a 0a20 202d 2044 s'. tags:. - D │ │ │ │ 0020f130: 4953 412d 5354 4947 2d55 4254 552d 3230 ISA-STIG-UBTU-20 │ │ │ │ 0020f140: 2d30 3130 3136 340a 2020 2d20 4e49 5354 -010164. - NIST │ │ │ │ 0020f150: 2d38 3030 2d31 3731 2d33 2e31 2e37 0a20 -800-171-3.1.7. │ │ │ │ 0020f160: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ 0020f170: 432d 3228 3429 0a20 202d 204e 4953 542d C-2(4). - NIST- │ │ │ │ 0020f180: 3830 302d 3533 2d41 432d 3628 3929 0a20 800-53-AC-6(9). │ │ │ │ 0020f190: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ @@ -134965,25 +134965,25 @@ │ │ │ │ 0020f340: 6469 7620 636c 6173 733d 2270 616e 656c div class="panel │ │ │ │ 0020f350: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170 -collapse collap │ │ │ │ 0020f360: 7365 2220 6964 3d22 6964 6d31 3834 3939 se" id="idm18499 │ │ │ │ 0020f370: 223e 3c70 7265 3e3c 636f 6465 3e23 2052 ">
# R │ │ │ │ 0020f380: 656d 6564 6961 7469 6f6e 2069 7320 6170 emediation is ap │ │ │ │ 0020f390: 706c 6963 6162 6c65 206f 6e6c 7920 696e plicable only in │ │ │ │ 0020f3a0: 2063 6572 7461 696e 2070 6c61 7466 6f72 certain platfor │ │ │ │ -0020f3b0: 6d73 0a69 6620 6470 6b67 2d71 7565 7279 ms.if dpkg-query │ │ │ │ -0020f3c0: 202d 2d73 686f 7720 2d2d 7368 6f77 666f --show --showfo │ │ │ │ -0020f3d0: 726d 6174 3d27 247b 6462 3a53 7461 7475 rmat='${db:Statu │ │ │ │ -0020f3e0: 732d 5374 6174 7573 7d5c 6e27 2027 6175 s-Status}\n' 'au │ │ │ │ -0020f3f0: 6469 7464 2720 3226 6774 3b2f 6465 762f ditd' 2>/dev/ │ │ │ │ -0020f400: 6e75 6c6c 207c 2067 7265 7020 2d71 2069 null | grep -q i │ │ │ │ -0020f410: 6e73 7461 6c6c 6564 2026 616d 703b 2661 nstalled &&a │ │ │ │ -0020f420: 6d70 3b20 5b20 2120 2d66 202f 2e64 6f63 mp; [ ! -f /.doc │ │ │ │ -0020f430: 6b65 7265 6e76 205d 2026 616d 703b 2661 kerenv ] &&a │ │ │ │ -0020f440: 6d70 3b20 5b20 2120 2d66 202f 7275 6e2f mp; [ ! -f /run/ │ │ │ │ -0020f450: 2e63 6f6e 7461 696e 6572 656e 7620 5d3b .containerenv ]; │ │ │ │ +0020f3b0: 6d73 0a69 6620 5b20 2120 2d66 202f 2e64 ms.if [ ! -f /.d │ │ │ │ +0020f3c0: 6f63 6b65 7265 6e76 205d 2026 616d 703b ockerenv ] & │ │ │ │ +0020f3d0: 2661 6d70 3b20 5b20 2120 2d66 202f 7275 & [ ! -f /ru │ │ │ │ +0020f3e0: 6e2f 2e63 6f6e 7461 696e 6572 656e 7620 n/.containerenv │ │ │ │ +0020f3f0: 5d20 2661 6d70 3b26 616d 703b 2064 706b ] && dpk │ │ │ │ +0020f400: 672d 7175 6572 7920 2d2d 7368 6f77 202d g-query --show - │ │ │ │ +0020f410: 2d73 686f 7766 6f72 6d61 743d 2724 7b64 -showformat='${d │ │ │ │ +0020f420: 623a 5374 6174 7573 2d53 7461 7475 737d b:Status-Status} │ │ │ │ +0020f430: 5c6e 2720 2761 7564 6974 6427 2032 2667 \n' 'auditd' 2&g │ │ │ │ +0020f440: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772 t;/dev/null | gr │ │ │ │ +0020f450: 6570 202d 7120 696e 7374 616c 6c65 643b ep -q installed; │ │ │ │ 0020f460: 2074 6865 6e0a 0a41 4354 494f 4e5f 4152 then..ACTION_AR │ │ │ │ 0020f470: 4348 5f46 494c 5445 5253 3d22 2d61 2061 CH_FILTERS="-a a │ │ │ │ 0020f480: 6c77 6179 732c 6578 6974 220a 4f54 4845 lways,exit".OTHE │ │ │ │ 0020f490: 525f 4649 4c54 4552 533d 222d 4620 7061 R_FILTERS="-F pa │ │ │ │ 0020f4a0: 7468 3d2f 7573 722f 6269 6e2f 6e65 7767 th=/usr/bin/newg │ │ │ │ 0020f4b0: 7270 202d 4620 7065 726d 3d78 220a 4155 rp -F perm=x".AU │ │ │ │ 0020f4c0: 4944 5f46 494c 5445 5253 3d22 2d46 2061 ID_FILTERS="-F a │ │ │ │ @@ -136427,23 +136427,23 @@ │ │ │ │ 00214ea0: 6579 3d70 7269 7669 6c65 6765 640a 2020 ey=privileged. │ │ │ │ 00214eb0: 2020 2020 6372 6561 7465 3a20 7472 7565 create: true │ │ │ │ 00214ec0: 0a20 2020 2020 206d 6f64 653a 206f 2d72 . mode: o-r │ │ │ │ 00214ed0: 7778 0a20 2020 2020 2073 7461 7465 3a20 wx. state: │ │ │ │ 00214ee0: 7072 6573 656e 740a 2020 2020 7768 656e present. when │ │ │ │ 00214ef0: 3a20 7379 7363 616c 6c73 5f66 6f75 6e64 : syscalls_found │ │ │ │ 00214f00: 207c 206c 656e 6774 6820 3d3d 2030 0a20 | length == 0. │ │ │ │ -00214f10: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -00214f20: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -00214f30: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -00214f40: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -00214f50: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -00214f60: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -00214f70: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -00214f80: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -00214f90: 6e74 6169 6e65 7222 5d0a 2020 7461 6773 ntainer"]. tags │ │ │ │ +00214f10: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +00214f20: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +00214f30: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +00214f40: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +00214f50: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +00214f60: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +00214f70: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +00214f80: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +00214f90: 7061 636b 6167 6573 270a 2020 7461 6773 packages'. tags │ │ │ │ 00214fa0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35 :. - NIST-800-5 │ │ │ │ 00214fb0: 332d 4143 2d32 2834 290a 2020 2d20 4e49 3-AC-2(4). - NI │ │ │ │ 00214fc0: 5354 2d38 3030 2d35 332d 4143 2d36 2839 ST-800-53-AC-6(9 │ │ │ │ 00214fd0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ 00214fe0: 332d 4155 2d31 3228 6329 0a20 202d 204e 3-AU-12(c). - N │ │ │ │ 00214ff0: 4953 542d 3830 302d 3533 2d41 552d 3228 IST-800-53-AU-2( │ │ │ │ 00215000: 6429 0a20 202d 204e 4953 542d 3830 302d d). - NIST-800- │ │ │ │ @@ -136473,26 +136473,26 @@ │ │ │ │ 00215180: 3e3c 6272 3e3c 6469 7620 636c 6173 733d >
# Remediation │ │ │ │ 002151d0: 2069 7320 6170 706c 6963 6162 6c65 206f is applicable o │ │ │ │ 002151e0: 6e6c 7920 696e 2063 6572 7461 696e 2070 nly in certain p │ │ │ │ -002151f0: 6c61 7466 6f72 6d73 0a69 6620 6470 6b67 latforms.if dpkg │ │ │ │ -00215200: 2d71 7565 7279 202d 2d73 686f 7720 2d2d -query --show -- │ │ │ │ -00215210: 7368 6f77 666f 726d 6174 3d27 247b 6462 showformat='${db │ │ │ │ -00215220: 3a53 7461 7475 732d 5374 6174 7573 7d5c :Status-Status}\ │ │ │ │ -00215230: 6e27 2027 6175 6469 7464 2720 3226 6774 n' 'auditd' 2> │ │ │ │ -00215240: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265 ;/dev/null | gre │ │ │ │ -00215250: 7020 2d71 2069 6e73 7461 6c6c 6564 2026 p -q installed & │ │ │ │ -00215260: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -00215270: 202f 2e64 6f63 6b65 7265 6e76 205d 2026 /.dockerenv ] & │ │ │ │ -00215280: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -00215290: 202f 7275 6e2f 2e63 6f6e 7461 696e 6572 /run/.container │ │ │ │ -002152a0: 656e 7620 5d3b 2074 6865 6e0a 0a41 4354 env ]; then..ACT │ │ │ │ +002151f0: 6c61 7466 6f72 6d73 0a69 6620 5b20 2120 latforms.if [ ! │ │ │ │ +00215200: 2d66 202f 2e64 6f63 6b65 7265 6e76 205d -f /.dockerenv ] │ │ │ │ +00215210: 2026 616d 703b 2661 6d70 3b20 5b20 2120 && [ ! │ │ │ │ +00215220: 2d66 202f 7275 6e2f 2e63 6f6e 7461 696e -f /run/.contain │ │ │ │ +00215230: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +00215240: 703b 2064 706b 672d 7175 6572 7920 2d2d p; dpkg-query -- │ │ │ │ +00215250: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ +00215260: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ +00215270: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ +00215280: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ +00215290: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ +002152a0: 616c 6c65 643b 2074 6865 6e0a 0a41 4354 alled; then..ACT │ │ │ │ 002152b0: 494f 4e5f 4152 4348 5f46 494c 5445 5253 ION_ARCH_FILTERS │ │ │ │ 002152c0: 3d22 2d61 2061 6c77 6179 732c 6578 6974 ="-a always,exit │ │ │ │ 002152d0: 220a 4f54 4845 525f 4649 4c54 4552 533d ".OTHER_FILTERS= │ │ │ │ 002152e0: 222d 4620 7061 7468 3d2f 7573 722f 6269 "-F path=/usr/bi │ │ │ │ 002152f0: 6e2f 6e65 7775 6964 6d61 7020 2d46 2070 n/newuidmap -F p │ │ │ │ 00215300: 6572 6d3d 7822 0a41 5549 445f 4649 4c54 erm=x".AUID_FILT │ │ │ │ 00215310: 4552 533d 222d 4620 6175 6964 2667 743b ERS="-F auid> │ │ │ │ @@ -138252,23 +138252,23 @@ │ │ │ │ 0021c0b0: 6b65 793d 7072 6976 696c 6567 6564 0a20 key=privileged. │ │ │ │ 0021c0c0: 2020 2020 2063 7265 6174 653a 2074 7275 create: tru │ │ │ │ 0021c0d0: 650a 2020 2020 2020 6d6f 6465 3a20 6f2d e. mode: o- │ │ │ │ 0021c0e0: 7277 780a 2020 2020 2020 7374 6174 653a rwx. state: │ │ │ │ 0021c0f0: 2070 7265 7365 6e74 0a20 2020 2077 6865 present. whe │ │ │ │ 0021c100: 6e3a 2073 7973 6361 6c6c 735f 666f 756e n: syscalls_foun │ │ │ │ 0021c110: 6420 7c20 6c65 6e67 7468 203d 3d20 300a d | length == 0. │ │ │ │ -0021c120: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -0021c130: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -0021c140: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -0021c150: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -0021c160: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -0021c170: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -0021c180: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -0021c190: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -0021c1a0: 6f6e 7461 696e 6572 225d 0a20 2074 6167 ontainer"]. tag │ │ │ │ +0021c120: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +0021c130: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +0021c140: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +0021c150: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +0021c160: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +0021c170: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +0021c180: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +0021c190: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +0021c1a0: 2e70 6163 6b61 6765 7327 0a20 2074 6167 .packages'. tag │ │ │ │ 0021c1b0: 733a 0a20 202d 204e 4953 542d 3830 302d s:. - NIST-800- │ │ │ │ 0021c1c0: 3137 312d 332e 312e 370a 2020 2d20 4e49 171-3.1.7. - NI │ │ │ │ 0021c1d0: 5354 2d38 3030 2d35 332d 4143 2d36 2839 ST-800-53-AC-6(9 │ │ │ │ 0021c1e0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ 0021c1f0: 332d 4155 2d31 3228 6329 0a20 202d 204e 3-AU-12(c). - N │ │ │ │ 0021c200: 4953 542d 3830 302d 3533 2d41 552d 3228 IST-800-53-AU-2( │ │ │ │ 0021c210: 6429 0a20 202d 204e 4953 542d 3830 302d d). - NIST-800- │ │ │ │ @@ -138298,26 +138298,26 @@ │ │ │ │ 0021c390: 3c62 723e 3c64 6976 2063 6c61 7373 3d22 # Remediation │ │ │ │ 0021c3e0: 6973 2061 7070 6c69 6361 626c 6520 6f6e is applicable on │ │ │ │ 0021c3f0: 6c79 2069 6e20 6365 7274 6169 6e20 706c ly in certain pl │ │ │ │ -0021c400: 6174 666f 726d 730a 6966 2064 706b 672d atforms.if dpkg- │ │ │ │ -0021c410: 7175 6572 7920 2d2d 7368 6f77 202d 2d73 query --show --s │ │ │ │ -0021c420: 686f 7766 6f72 6d61 743d 2724 7b64 623a howformat='${db: │ │ │ │ -0021c430: 5374 6174 7573 2d53 7461 7475 737d 5c6e Status-Status}\n │ │ │ │ -0021c440: 2720 2761 7564 6974 6427 2032 2667 743b ' 'auditd' 2> │ │ │ │ -0021c450: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570 /dev/null | grep │ │ │ │ -0021c460: 202d 7120 696e 7374 616c 6c65 6420 2661 -q installed &a │ │ │ │ -0021c470: 6d70 3b26 616d 703b 205b 2021 202d 6620 mp;& [ ! -f │ │ │ │ -0021c480: 2f2e 646f 636b 6572 656e 7620 5d20 2661 /.dockerenv ] &a │ │ │ │ -0021c490: 6d70 3b26 616d 703b 205b 2021 202d 6620 mp;& [ ! -f │ │ │ │ -0021c4a0: 2f72 756e 2f2e 636f 6e74 6169 6e65 7265 /run/.containere │ │ │ │ -0021c4b0: 6e76 205d 3b20 7468 656e 0a0a 4143 5449 nv ]; then..ACTI │ │ │ │ +0021c400: 6174 666f 726d 730a 6966 205b 2021 202d atforms.if [ ! - │ │ │ │ +0021c410: 6620 2f2e 646f 636b 6572 656e 7620 5d20 f /.dockerenv ] │ │ │ │ +0021c420: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ +0021c430: 6620 2f72 756e 2f2e 636f 6e74 6169 6e65 f /run/.containe │ │ │ │ +0021c440: 7265 6e76 205d 2026 616d 703b 2661 6d70 renv ] && │ │ │ │ +0021c450: 3b20 6470 6b67 2d71 7565 7279 202d 2d73 ; dpkg-query --s │ │ │ │ +0021c460: 686f 7720 2d2d 7368 6f77 666f 726d 6174 how --showformat │ │ │ │ +0021c470: 3d27 247b 6462 3a53 7461 7475 732d 5374 ='${db:Status-St │ │ │ │ +0021c480: 6174 7573 7d5c 6e27 2027 6175 6469 7464 atus}\n' 'auditd │ │ │ │ +0021c490: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c ' 2>/dev/null │ │ │ │ +0021c4a0: 207c 2067 7265 7020 2d71 2069 6e73 7461 | grep -q insta │ │ │ │ +0021c4b0: 6c6c 6564 3b20 7468 656e 0a0a 4143 5449 lled; then..ACTI │ │ │ │ 0021c4c0: 4f4e 5f41 5243 485f 4649 4c54 4552 533d ON_ARCH_FILTERS= │ │ │ │ 0021c4d0: 222d 6120 616c 7761 7973 2c65 7869 7422 "-a always,exit" │ │ │ │ 0021c4e0: 0a4f 5448 4552 5f46 494c 5445 5253 3d22 .OTHER_FILTERS=" │ │ │ │ 0021c4f0: 2d46 2070 6174 683d 2f75 7372 2f73 6269 -F path=/usr/sbi │ │ │ │ 0021c500: 6e2f 706f 7374 6472 6f70 202d 4620 7065 n/postdrop -F pe │ │ │ │ 0021c510: 726d 3d78 220a 4155 4944 5f46 494c 5445 rm=x".AUID_FILTE │ │ │ │ 0021c520: 5253 3d22 2d46 2061 7569 6426 6774 3b3d RS="-F auid>= │ │ │ │ @@ -140078,23 +140078,23 @@ │ │ │ │ 002232d0: 6579 3d70 7269 7669 6c65 6765 640a 2020 ey=privileged. │ │ │ │ 002232e0: 2020 2020 6372 6561 7465 3a20 7472 7565 create: true │ │ │ │ 002232f0: 0a20 2020 2020 206d 6f64 653a 206f 2d72 . mode: o-r │ │ │ │ 00223300: 7778 0a20 2020 2020 2073 7461 7465 3a20 wx. state: │ │ │ │ 00223310: 7072 6573 656e 740a 2020 2020 7768 656e present. when │ │ │ │ 00223320: 3a20 7379 7363 616c 6c73 5f66 6f75 6e64 : syscalls_found │ │ │ │ 00223330: 207c 206c 656e 6774 6820 3d3d 2030 0a20 | length == 0. │ │ │ │ -00223340: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -00223350: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -00223360: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -00223370: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -00223380: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -00223390: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -002233a0: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -002233b0: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -002233c0: 6e74 6169 6e65 7222 5d0a 2020 7461 6773 ntainer"]. tags │ │ │ │ +00223340: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +00223350: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +00223360: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +00223370: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +00223380: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +00223390: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +002233a0: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +002233b0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +002233c0: 7061 636b 6167 6573 270a 2020 7461 6773 packages'. tags │ │ │ │ 002233d0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d31 :. - NIST-800-1 │ │ │ │ 002233e0: 3731 2d33 2e31 2e37 0a20 202d 204e 4953 71-3.1.7. - NIS │ │ │ │ 002233f0: 542d 3830 302d 3533 2d41 432d 3628 3929 T-800-53-AC-6(9) │ │ │ │ 00223400: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 00223410: 2d41 552d 3132 2863 290a 2020 2d20 4e49 -AU-12(c). - NI │ │ │ │ 00223420: 5354 2d38 3030 2d35 332d 4155 2d32 2864 ST-800-53-AU-2(d │ │ │ │ 00223430: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ @@ -140124,26 +140124,26 @@ │ │ │ │ 002235b0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22 # Remediation │ │ │ │ 00223600: 6973 2061 7070 6c69 6361 626c 6520 6f6e is applicable on │ │ │ │ 00223610: 6c79 2069 6e20 6365 7274 6169 6e20 706c ly in certain pl │ │ │ │ -00223620: 6174 666f 726d 730a 6966 2064 706b 672d atforms.if dpkg- │ │ │ │ -00223630: 7175 6572 7920 2d2d 7368 6f77 202d 2d73 query --show --s │ │ │ │ -00223640: 686f 7766 6f72 6d61 743d 2724 7b64 623a howformat='${db: │ │ │ │ -00223650: 5374 6174 7573 2d53 7461 7475 737d 5c6e Status-Status}\n │ │ │ │ -00223660: 2720 2761 7564 6974 6427 2032 2667 743b ' 'auditd' 2> │ │ │ │ -00223670: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570 /dev/null | grep │ │ │ │ -00223680: 202d 7120 696e 7374 616c 6c65 6420 2661 -q installed &a │ │ │ │ -00223690: 6d70 3b26 616d 703b 205b 2021 202d 6620 mp;& [ ! -f │ │ │ │ -002236a0: 2f2e 646f 636b 6572 656e 7620 5d20 2661 /.dockerenv ] &a │ │ │ │ -002236b0: 6d70 3b26 616d 703b 205b 2021 202d 6620 mp;& [ ! -f │ │ │ │ -002236c0: 2f72 756e 2f2e 636f 6e74 6169 6e65 7265 /run/.containere │ │ │ │ -002236d0: 6e76 205d 3b20 7468 656e 0a0a 4143 5449 nv ]; then..ACTI │ │ │ │ +00223620: 6174 666f 726d 730a 6966 205b 2021 202d atforms.if [ ! - │ │ │ │ +00223630: 6620 2f2e 646f 636b 6572 656e 7620 5d20 f /.dockerenv ] │ │ │ │ +00223640: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ +00223650: 6620 2f72 756e 2f2e 636f 6e74 6169 6e65 f /run/.containe │ │ │ │ +00223660: 7265 6e76 205d 2026 616d 703b 2661 6d70 renv ] && │ │ │ │ +00223670: 3b20 6470 6b67 2d71 7565 7279 202d 2d73 ; dpkg-query --s │ │ │ │ +00223680: 686f 7720 2d2d 7368 6f77 666f 726d 6174 how --showformat │ │ │ │ +00223690: 3d27 247b 6462 3a53 7461 7475 732d 5374 ='${db:Status-St │ │ │ │ +002236a0: 6174 7573 7d5c 6e27 2027 6175 6469 7464 atus}\n' 'auditd │ │ │ │ +002236b0: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c ' 2>/dev/null │ │ │ │ +002236c0: 207c 2067 7265 7020 2d71 2069 6e73 7461 | grep -q insta │ │ │ │ +002236d0: 6c6c 6564 3b20 7468 656e 0a0a 4143 5449 lled; then..ACTI │ │ │ │ 002236e0: 4f4e 5f41 5243 485f 4649 4c54 4552 533d ON_ARCH_FILTERS= │ │ │ │ 002236f0: 222d 6120 616c 7761 7973 2c65 7869 7422 "-a always,exit" │ │ │ │ 00223700: 0a4f 5448 4552 5f46 494c 5445 5253 3d22 .OTHER_FILTERS=" │ │ │ │ 00223710: 2d46 2070 6174 683d 2f75 7372 2f73 6269 -F path=/usr/sbi │ │ │ │ 00223720: 6e2f 706f 7374 7175 6575 6520 2d46 2070 n/postqueue -F p │ │ │ │ 00223730: 6572 6d3d 7822 0a41 5549 445f 4649 4c54 erm=x".AUID_FILT │ │ │ │ 00223740: 4552 533d 222d 4620 6175 6964 2667 743b ERS="-F auid> │ │ │ │ @@ -141766,23 +141766,23 @@ │ │ │ │ 00229c50: 6c65 6765 640a 2020 2020 2020 6372 6561 leged. crea │ │ │ │ 00229c60: 7465 3a20 7472 7565 0a20 2020 2020 206d te: true. m │ │ │ │ 00229c70: 6f64 653a 206f 2d72 7778 0a20 2020 2020 ode: o-rwx. │ │ │ │ 00229c80: 2073 7461 7465 3a20 7072 6573 656e 740a state: present. │ │ │ │ 00229c90: 2020 2020 7768 656e 3a20 7379 7363 616c when: syscal │ │ │ │ 00229ca0: 6c73 5f66 6f75 6e64 207c 206c 656e 6774 ls_found | lengt │ │ │ │ 00229cb0: 6820 3d3d 2030 0a20 2077 6865 6e3a 0a20 h == 0. when:. │ │ │ │ -00229cc0: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ -00229cd0: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ -00229ce0: 636b 6167 6573 270a 2020 2d20 616e 7369 ckages'. - ansi │ │ │ │ -00229cf0: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ -00229d00: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ -00229d10: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ -00229d20: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ -00229d30: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ -00229d40: 5d0a 2020 7461 6773 3a0a 2020 2d20 4449 ]. tags:. - DI │ │ │ │ +00229cc0: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ +00229cd0: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ +00229ce0: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ +00229cf0: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ +00229d00: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ +00229d10: 7461 696e 6572 225d 0a20 202d 2027 2261 tainer"]. - '"a │ │ │ │ +00229d20: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ +00229d30: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ +00229d40: 270a 2020 7461 6773 3a0a 2020 2d20 4449 '. tags:. - DI │ │ │ │ 00229d50: 5341 2d53 5449 472d 5542 5455 2d32 302d SA-STIG-UBTU-20- │ │ │ │ 00229d60: 3031 3031 3430 0a20 202d 2061 7564 6974 010140. - audit │ │ │ │ 00229d70: 5f72 756c 6573 5f70 7269 7669 6c65 6765 _rules_privilege │ │ │ │ 00229d80: 645f 636f 6d6d 616e 6473 5f73 7368 5f61 d_commands_ssh_a │ │ │ │ 00229d90: 6765 6e74 0a20 202d 206c 6f77 5f63 6f6d gent. - low_com │ │ │ │ 00229da0: 706c 6578 6974 790a 2020 2d20 6c6f 775f plexity. - low_ │ │ │ │ 00229db0: 6469 7372 7570 7469 6f6e 0a20 202d 206d disruption. - m │ │ │ │ @@ -141806,26 +141806,26 @@ │ │ │ │ 00229ed0: 3e3c 6469 7620 636c 6173 733d 2270 616e > # │ │ │ │ 00229f10: 2052 656d 6564 6961 7469 6f6e 2069 7320 Remediation is │ │ │ │ 00229f20: 6170 706c 6963 6162 6c65 206f 6e6c 7920 applicable only │ │ │ │ 00229f30: 696e 2063 6572 7461 696e 2070 6c61 7466 in certain platf │ │ │ │ -00229f40: 6f72 6d73 0a69 6620 6470 6b67 2d71 7565 orms.if dpkg-que │ │ │ │ -00229f50: 7279 202d 2d73 686f 7720 2d2d 7368 6f77 ry --show --show │ │ │ │ -00229f60: 666f 726d 6174 3d27 247b 6462 3a53 7461 format='${db:Sta │ │ │ │ -00229f70: 7475 732d 5374 6174 7573 7d5c 6e27 2027 tus-Status}\n' ' │ │ │ │ -00229f80: 6175 6469 7464 2720 3226 6774 3b2f 6465 auditd' 2>/de │ │ │ │ -00229f90: 762f 6e75 6c6c 207c 2067 7265 7020 2d71 v/null | grep -q │ │ │ │ -00229fa0: 2069 6e73 7461 6c6c 6564 2026 616d 703b installed & │ │ │ │ -00229fb0: 2661 6d70 3b20 5b20 2120 2d66 202f 2e64 & [ ! -f /.d │ │ │ │ -00229fc0: 6f63 6b65 7265 6e76 205d 2026 616d 703b ockerenv ] & │ │ │ │ -00229fd0: 2661 6d70 3b20 5b20 2120 2d66 202f 7275 & [ ! -f /ru │ │ │ │ -00229fe0: 6e2f 2e63 6f6e 7461 696e 6572 656e 7620 n/.containerenv │ │ │ │ -00229ff0: 5d3b 2074 6865 6e0a 0a41 4354 494f 4e5f ]; then..ACTION_ │ │ │ │ +00229f40: 6f72 6d73 0a69 6620 5b20 2120 2d66 202f orms.if [ ! -f / │ │ │ │ +00229f50: 2e64 6f63 6b65 7265 6e76 205d 2026 616d .dockerenv ] &am │ │ │ │ +00229f60: 703b 2661 6d70 3b20 5b20 2120 2d66 202f p;& [ ! -f / │ │ │ │ +00229f70: 7275 6e2f 2e63 6f6e 7461 696e 6572 656e run/.containeren │ │ │ │ +00229f80: 7620 5d20 2661 6d70 3b26 616d 703b 2064 v ] && d │ │ │ │ +00229f90: 706b 672d 7175 6572 7920 2d2d 7368 6f77 pkg-query --show │ │ │ │ +00229fa0: 202d 2d73 686f 7766 6f72 6d61 743d 2724 --showformat='$ │ │ │ │ +00229fb0: 7b64 623a 5374 6174 7573 2d53 7461 7475 {db:Status-Statu │ │ │ │ +00229fc0: 737d 5c6e 2720 2761 7564 6974 6427 2032 s}\n' 'auditd' 2 │ │ │ │ +00229fd0: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20 >/dev/null | │ │ │ │ +00229fe0: 6772 6570 202d 7120 696e 7374 616c 6c65 grep -q installe │ │ │ │ +00229ff0: 643b 2074 6865 6e0a 0a41 4354 494f 4e5f d; then..ACTION_ │ │ │ │ 0022a000: 4152 4348 5f46 494c 5445 5253 3d22 2d61 ARCH_FILTERS="-a │ │ │ │ 0022a010: 2061 6c77 6179 732c 6578 6974 220a 4f54 always,exit".OT │ │ │ │ 0022a020: 4845 525f 4649 4c54 4552 533d 222d 4620 HER_FILTERS="-F │ │ │ │ 0022a030: 7061 7468 3d2f 7573 722f 6269 6e2f 7373 path=/usr/bin/ss │ │ │ │ 0022a040: 682d 6167 656e 7420 2d46 2070 6572 6d3d h-agent -F perm= │ │ │ │ 0022a050: 7822 0a41 5549 445f 4649 4c54 4552 533d x".AUID_FILTERS= │ │ │ │ 0022a060: 222d 4620 6175 6964 2667 743b 3d31 3030 "-F auid>=100 │ │ │ │ @@ -143609,23 +143609,23 @@ │ │ │ │ 00230f80: 6976 696c 6567 6564 0a20 2020 2020 2063 ivileged. c │ │ │ │ 00230f90: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 00230fa0: 2020 6d6f 6465 3a20 6f2d 7277 780a 2020 mode: o-rwx. │ │ │ │ 00230fb0: 2020 2020 7374 6174 653a 2070 7265 7365 state: prese │ │ │ │ 00230fc0: 6e74 0a20 2020 2077 6865 6e3a 2073 7973 nt. when: sys │ │ │ │ 00230fd0: 6361 6c6c 735f 666f 756e 6420 7c20 6c65 calls_found | le │ │ │ │ 00230fe0: 6e67 7468 203d 3d20 300a 2020 7768 656e ngth == 0. when │ │ │ │ -00230ff0: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -00231000: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -00231010: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -00231020: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -00231030: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -00231040: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -00231050: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -00231060: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -00231070: 6572 225d 0a20 2074 6167 733a 0a20 202d er"]. tags:. - │ │ │ │ +00230ff0: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +00231000: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +00231010: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +00231020: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +00231030: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +00231040: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +00231050: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +00231060: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +00231070: 6765 7327 0a20 2074 6167 733a 0a20 202d ges'. tags:. - │ │ │ │ 00231080: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 00231090: 3230 2d30 3130 3134 310a 2020 2d20 4e49 20-010141. - NI │ │ │ │ 002310a0: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 002310b0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 002310c0: 2d41 432d 3628 3929 0a20 202d 204e 4953 -AC-6(9). - NIS │ │ │ │ 002310d0: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ 002310e0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ @@ -143657,25 +143657,25 @@ │ │ │ │ 00231280: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d iv class="panel- │ │ │ │ 00231290: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073 collapse collaps │ │ │ │ 002312a0: 6522 2069 643d 2269 646d 3139 3132 3822 e" id="idm19128" │ │ │ │ 002312b0: 3e3c 7072 653e 3c63 6f64 653e 2320 5265 >
# Re │ │ │ │ 002312c0: 6d65 6469 6174 696f 6e20 6973 2061 7070 mediation is app │ │ │ │ 002312d0: 6c69 6361 626c 6520 6f6e 6c79 2069 6e20 licable only in │ │ │ │ 002312e0: 6365 7274 6169 6e20 706c 6174 666f 726d certain platform │ │ │ │ -002312f0: 730a 6966 2064 706b 672d 7175 6572 7920 s.if dpkg-query │ │ │ │ -00231300: 2d2d 7368 6f77 202d 2d73 686f 7766 6f72 --show --showfor │ │ │ │ -00231310: 6d61 743d 2724 7b64 623a 5374 6174 7573 mat='${db:Status │ │ │ │ -00231320: 2d53 7461 7475 737d 5c6e 2720 2761 7564 -Status}\n' 'aud │ │ │ │ -00231330: 6974 6427 2032 2667 743b 2f64 6576 2f6e itd' 2>/dev/n │ │ │ │ -00231340: 756c 6c20 7c20 6772 6570 202d 7120 696e ull | grep -q in │ │ │ │ -00231350: 7374 616c 6c65 6420 2661 6d70 3b26 616d stalled &&am │ │ │ │ -00231360: 703b 205b 2021 202d 6620 2f2e 646f 636b p; [ ! -f /.dock │ │ │ │ -00231370: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ -00231380: 703b 205b 2021 202d 6620 2f72 756e 2f2e p; [ ! -f /run/. │ │ │ │ -00231390: 636f 6e74 6169 6e65 7265 6e76 205d 3b20 containerenv ]; │ │ │ │ +002312f0: 730a 6966 205b 2021 202d 6620 2f2e 646f s.if [ ! -f /.do │ │ │ │ +00231300: 636b 6572 656e 7620 5d20 2661 6d70 3b26 ckerenv ] && │ │ │ │ +00231310: 616d 703b 205b 2021 202d 6620 2f72 756e amp; [ ! -f /run │ │ │ │ +00231320: 2f2e 636f 6e74 6169 6e65 7265 6e76 205d /.containerenv ] │ │ │ │ +00231330: 2026 616d 703b 2661 6d70 3b20 6470 6b67 && dpkg │ │ │ │ +00231340: 2d71 7565 7279 202d 2d73 686f 7720 2d2d -query --show -- │ │ │ │ +00231350: 7368 6f77 666f 726d 6174 3d27 247b 6462 showformat='${db │ │ │ │ +00231360: 3a53 7461 7475 732d 5374 6174 7573 7d5c :Status-Status}\ │ │ │ │ +00231370: 6e27 2027 6175 6469 7464 2720 3226 6774 n' 'auditd' 2> │ │ │ │ +00231380: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265 ;/dev/null | gre │ │ │ │ +00231390: 7020 2d71 2069 6e73 7461 6c6c 6564 3b20 p -q installed; │ │ │ │ 002313a0: 7468 656e 0a0a 4143 5449 4f4e 5f41 5243 then..ACTION_ARC │ │ │ │ 002313b0: 485f 4649 4c54 4552 533d 222d 6120 616c H_FILTERS="-a al │ │ │ │ 002313c0: 7761 7973 2c65 7869 7422 0a4f 5448 4552 ways,exit".OTHER │ │ │ │ 002313d0: 5f46 494c 5445 5253 3d22 2d46 2070 6174 _FILTERS="-F pat │ │ │ │ 002313e0: 683d 2f75 7372 2f6c 6962 6578 6563 2f6f h=/usr/libexec/o │ │ │ │ 002313f0: 7065 6e73 7368 2f73 7368 2d6b 6579 7369 penssh/ssh-keysi │ │ │ │ 00231400: 676e 202d 4620 7065 726d 3d78 220a 4155 gn -F perm=x".AU │ │ │ │ @@ -145461,23 +145461,23 @@ │ │ │ │ 00238340: 6976 696c 6567 6564 0a20 2020 2020 2063 ivileged. c │ │ │ │ 00238350: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 00238360: 2020 6d6f 6465 3a20 6f2d 7277 780a 2020 mode: o-rwx. │ │ │ │ 00238370: 2020 2020 7374 6174 653a 2070 7265 7365 state: prese │ │ │ │ 00238380: 6e74 0a20 2020 2077 6865 6e3a 2073 7973 nt. when: sys │ │ │ │ 00238390: 6361 6c6c 735f 666f 756e 6420 7c20 6c65 calls_found | le │ │ │ │ 002383a0: 6e67 7468 203d 3d20 300a 2020 7768 656e ngth == 0. when │ │ │ │ -002383b0: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -002383c0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -002383d0: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -002383e0: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -002383f0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -00238400: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -00238410: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -00238420: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -00238430: 6572 225d 0a20 2074 6167 733a 0a20 202d er"]. tags:. - │ │ │ │ +002383b0: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +002383c0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +002383d0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +002383e0: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +002383f0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +00238400: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +00238410: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +00238420: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +00238430: 6765 7327 0a20 2074 6167 733a 0a20 202d ges'. tags:. - │ │ │ │ 00238440: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 00238450: 3230 2d30 3130 3133 360a 2020 2d20 4e49 20-010136. - NI │ │ │ │ 00238460: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 00238470: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 00238480: 2d41 432d 3628 3929 0a20 202d 204e 4953 -AC-6(9). - NIS │ │ │ │ 00238490: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ 002384a0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ @@ -145508,26 +145508,26 @@ │ │ │ │ 00238630: 3e3c 6272 3e3c 6469 7620 636c 6173 733d >
# Remediation │ │ │ │ 00238680: 2069 7320 6170 706c 6963 6162 6c65 206f is applicable o │ │ │ │ 00238690: 6e6c 7920 696e 2063 6572 7461 696e 2070 nly in certain p │ │ │ │ -002386a0: 6c61 7466 6f72 6d73 0a69 6620 6470 6b67 latforms.if dpkg │ │ │ │ -002386b0: 2d71 7565 7279 202d 2d73 686f 7720 2d2d -query --show -- │ │ │ │ -002386c0: 7368 6f77 666f 726d 6174 3d27 247b 6462 showformat='${db │ │ │ │ -002386d0: 3a53 7461 7475 732d 5374 6174 7573 7d5c :Status-Status}\ │ │ │ │ -002386e0: 6e27 2027 6175 6469 7464 2720 3226 6774 n' 'auditd' 2> │ │ │ │ -002386f0: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265 ;/dev/null | gre │ │ │ │ -00238700: 7020 2d71 2069 6e73 7461 6c6c 6564 2026 p -q installed & │ │ │ │ -00238710: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -00238720: 202f 2e64 6f63 6b65 7265 6e76 205d 2026 /.dockerenv ] & │ │ │ │ -00238730: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -00238740: 202f 7275 6e2f 2e63 6f6e 7461 696e 6572 /run/.container │ │ │ │ -00238750: 656e 7620 5d3b 2074 6865 6e0a 0a41 4354 env ]; then..ACT │ │ │ │ +002386a0: 6c61 7466 6f72 6d73 0a69 6620 5b20 2120 latforms.if [ ! │ │ │ │ +002386b0: 2d66 202f 2e64 6f63 6b65 7265 6e76 205d -f /.dockerenv ] │ │ │ │ +002386c0: 2026 616d 703b 2661 6d70 3b20 5b20 2120 && [ ! │ │ │ │ +002386d0: 2d66 202f 7275 6e2f 2e63 6f6e 7461 696e -f /run/.contain │ │ │ │ +002386e0: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +002386f0: 703b 2064 706b 672d 7175 6572 7920 2d2d p; dpkg-query -- │ │ │ │ +00238700: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ +00238710: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ +00238720: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ +00238730: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ +00238740: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ +00238750: 616c 6c65 643b 2074 6865 6e0a 0a41 4354 alled; then..ACT │ │ │ │ 00238760: 494f 4e5f 4152 4348 5f46 494c 5445 5253 ION_ARCH_FILTERS │ │ │ │ 00238770: 3d22 2d61 2061 6c77 6179 732c 6578 6974 ="-a always,exit │ │ │ │ 00238780: 220a 4f54 4845 525f 4649 4c54 4552 533d ".OTHER_FILTERS= │ │ │ │ 00238790: 222d 4620 7061 7468 3d2f 7573 722f 6269 "-F path=/usr/bi │ │ │ │ 002387a0: 6e2f 7375 202d 4620 7065 726d 3d78 220a n/su -F perm=x". │ │ │ │ 002387b0: 4155 4944 5f46 494c 5445 5253 3d22 2d46 AUID_FILTERS="-F │ │ │ │ 002387c0: 2061 7569 6426 6774 3b3d 3130 3030 202d auid>=1000 - │ │ │ │ @@ -147310,22 +147310,22 @@ │ │ │ │ 0023f6d0: 6765 640a 2020 2020 2020 6372 6561 7465 ged. create │ │ │ │ 0023f6e0: 3a20 7472 7565 0a20 2020 2020 206d 6f64 : true. mod │ │ │ │ 0023f6f0: 653a 206f 2d72 7778 0a20 2020 2020 2073 e: o-rwx. s │ │ │ │ 0023f700: 7461 7465 3a20 7072 6573 656e 740a 2020 tate: present. │ │ │ │ 0023f710: 2020 7768 656e 3a20 7379 7363 616c 6c73 when: syscalls │ │ │ │ 0023f720: 5f66 6f75 6e64 207c 206c 656e 6774 6820 _found | length │ │ │ │ 0023f730: 3d3d 2030 0a20 2077 6865 6e3a 0a20 202d == 0. when:. - │ │ │ │ -0023f740: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ -0023f750: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ -0023f760: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl │ │ │ │ -0023f770: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ -0023f780: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ -0023f790: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ -0023f7a0: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ -0023f7b0: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +0023f740: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ +0023f750: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ +0023f760: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ +0023f770: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ +0023f780: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ +0023f790: 696e 6572 225d 0a20 202d 2027 2261 7564 iner"]. - '"aud │ │ │ │ +0023f7a0: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ +0023f7b0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ 0023f7c0: 2020 7461 6773 3a0a 2020 2d20 4449 5341 tags:. - DISA │ │ │ │ 0023f7d0: 2d53 5449 472d 5542 5455 2d32 302d 3031 -STIG-UBTU-20-01 │ │ │ │ 0023f7e0: 3031 3631 0a20 202d 204e 4953 542d 3830 0161. - NIST-80 │ │ │ │ 0023f7f0: 302d 3137 312d 332e 312e 370a 2020 2d20 0-171-3.1.7. - │ │ │ │ 0023f800: 4e49 5354 2d38 3030 2d35 332d 4143 2d36 NIST-800-53-AC-6 │ │ │ │ 0023f810: 2839 290a 2020 2d20 4e49 5354 2d38 3030 (9). - NIST-800 │ │ │ │ 0023f820: 2d35 332d 4155 2d31 3228 6329 0a20 202d -53-AU-12(c). - │ │ │ │ @@ -147357,26 +147357,26 @@ │ │ │ │ 0023f9c0: 723e 3c64 6976 2063 6c61 7373 3d22 7061 r> │ │ │ │ 0023fa00: 2320 5265 6d65 6469 6174 696f 6e20 6973 # Remediation is │ │ │ │ 0023fa10: 2061 7070 6c69 6361 626c 6520 6f6e 6c79 applicable only │ │ │ │ 0023fa20: 2069 6e20 6365 7274 6169 6e20 706c 6174 in certain plat │ │ │ │ -0023fa30: 666f 726d 730a 6966 2064 706b 672d 7175 forms.if dpkg-qu │ │ │ │ -0023fa40: 6572 7920 2d2d 7368 6f77 202d 2d73 686f ery --show --sho │ │ │ │ -0023fa50: 7766 6f72 6d61 743d 2724 7b64 623a 5374 wformat='${db:St │ │ │ │ -0023fa60: 6174 7573 2d53 7461 7475 737d 5c6e 2720 atus-Status}\n' │ │ │ │ -0023fa70: 2761 7564 6974 6427 2032 2667 743b 2f64 'auditd' 2>/d │ │ │ │ -0023fa80: 6576 2f6e 756c 6c20 7c20 6772 6570 202d ev/null | grep - │ │ │ │ -0023fa90: 7120 696e 7374 616c 6c65 6420 2661 6d70 q installed & │ │ │ │ -0023faa0: 3b26 616d 703b 205b 2021 202d 6620 2f2e ;& [ ! -f /. │ │ │ │ -0023fab0: 646f 636b 6572 656e 7620 5d20 2661 6d70 dockerenv ] & │ │ │ │ -0023fac0: 3b26 616d 703b 205b 2021 202d 6620 2f72 ;& [ ! -f /r │ │ │ │ -0023fad0: 756e 2f2e 636f 6e74 6169 6e65 7265 6e76 un/.containerenv │ │ │ │ -0023fae0: 205d 3b20 7468 656e 0a0a 4143 5449 4f4e ]; then..ACTION │ │ │ │ +0023fa30: 666f 726d 730a 6966 205b 2021 202d 6620 forms.if [ ! -f │ │ │ │ +0023fa40: 2f2e 646f 636b 6572 656e 7620 5d20 2661 /.dockerenv ] &a │ │ │ │ +0023fa50: 6d70 3b26 616d 703b 205b 2021 202d 6620 mp;& [ ! -f │ │ │ │ +0023fa60: 2f72 756e 2f2e 636f 6e74 6169 6e65 7265 /run/.containere │ │ │ │ +0023fa70: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ +0023fa80: 6470 6b67 2d71 7565 7279 202d 2d73 686f dpkg-query --sho │ │ │ │ +0023fa90: 7720 2d2d 7368 6f77 666f 726d 6174 3d27 w --showformat=' │ │ │ │ +0023faa0: 247b 6462 3a53 7461 7475 732d 5374 6174 ${db:Status-Stat │ │ │ │ +0023fab0: 7573 7d5c 6e27 2027 6175 6469 7464 2720 us}\n' 'auditd' │ │ │ │ +0023fac0: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c 2>/dev/null | │ │ │ │ +0023fad0: 2067 7265 7020 2d71 2069 6e73 7461 6c6c grep -q install │ │ │ │ +0023fae0: 6564 3b20 7468 656e 0a0a 4143 5449 4f4e ed; then..ACTION │ │ │ │ 0023faf0: 5f41 5243 485f 4649 4c54 4552 533d 222d _ARCH_FILTERS="- │ │ │ │ 0023fb00: 6120 616c 7761 7973 2c65 7869 7422 0a4f a always,exit".O │ │ │ │ 0023fb10: 5448 4552 5f46 494c 5445 5253 3d22 2d46 THER_FILTERS="-F │ │ │ │ 0023fb20: 2070 6174 683d 2f75 7372 2f62 696e 2f73 path=/usr/bin/s │ │ │ │ 0023fb30: 7564 6f20 2d46 2070 6572 6d3d 7822 0a41 udo -F perm=x".A │ │ │ │ 0023fb40: 5549 445f 4649 4c54 4552 533d 222d 4620 UID_FILTERS="-F │ │ │ │ 0023fb50: 6175 6964 2667 743b 3d31 3030 3020 2d46 auid>=1000 -F │ │ │ │ @@ -149149,23 +149149,23 @@ │ │ │ │ 002469c0: 6976 696c 6567 6564 0a20 2020 2020 2063 ivileged. c │ │ │ │ 002469d0: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 002469e0: 2020 6d6f 6465 3a20 6f2d 7277 780a 2020 mode: o-rwx. │ │ │ │ 002469f0: 2020 2020 7374 6174 653a 2070 7265 7365 state: prese │ │ │ │ 00246a00: 6e74 0a20 2020 2077 6865 6e3a 2073 7973 nt. when: sys │ │ │ │ 00246a10: 6361 6c6c 735f 666f 756e 6420 7c20 6c65 calls_found | le │ │ │ │ 00246a20: 6e67 7468 203d 3d20 300a 2020 7768 656e ngth == 0. when │ │ │ │ -00246a30: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -00246a40: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -00246a50: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -00246a60: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -00246a70: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -00246a80: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -00246a90: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -00246aa0: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -00246ab0: 6572 225d 0a20 2074 6167 733a 0a20 202d er"]. tags:. - │ │ │ │ +00246a30: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +00246a40: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +00246a50: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +00246a60: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +00246a70: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +00246a80: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +00246a90: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +00246aa0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +00246ab0: 6765 7327 0a20 2074 6167 733a 0a20 202d ges'. tags:. - │ │ │ │ 00246ac0: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 00246ad0: 3230 2d30 3130 3136 320a 2020 2d20 4e49 20-010162. - NI │ │ │ │ 00246ae0: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 00246af0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 00246b00: 2d41 432d 3628 3929 0a20 202d 204e 4953 -AC-6(9). - NIS │ │ │ │ 00246b10: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ 00246b20: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ @@ -149197,25 +149197,25 @@ │ │ │ │ 00246cc0: 636c 6173 733d 2270 616e 656c 2d63 6f6c class="panel-col │ │ │ │ 00246cd0: 6c61 7073 6520 636f 6c6c 6170 7365 2220 lapse collapse" │ │ │ │ 00246ce0: 6964 3d22 6964 6d31 3934 3530 223e 3c70 id="idm19450">
# Remed │ │ │ │ 00246d00: 6961 7469 6f6e 2069 7320 6170 706c 6963 iation is applic │ │ │ │ 00246d10: 6162 6c65 206f 6e6c 7920 696e 2063 6572 able only in cer │ │ │ │ 00246d20: 7461 696e 2070 6c61 7466 6f72 6d73 0a69 tain platforms.i │ │ │ │ -00246d30: 6620 6470 6b67 2d71 7565 7279 202d 2d73 f dpkg-query --s │ │ │ │ -00246d40: 686f 7720 2d2d 7368 6f77 666f 726d 6174 how --showformat │ │ │ │ -00246d50: 3d27 247b 6462 3a53 7461 7475 732d 5374 ='${db:Status-St │ │ │ │ -00246d60: 6174 7573 7d5c 6e27 2027 6175 6469 7464 atus}\n' 'auditd │ │ │ │ -00246d70: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c ' 2>/dev/null │ │ │ │ -00246d80: 207c 2067 7265 7020 2d71 2069 6e73 7461 | grep -q insta │ │ │ │ -00246d90: 6c6c 6564 2026 616d 703b 2661 6d70 3b20 lled && │ │ │ │ -00246da0: 5b20 2120 2d66 202f 2e64 6f63 6b65 7265 [ ! -f /.dockere │ │ │ │ -00246db0: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ -00246dc0: 5b20 2120 2d66 202f 7275 6e2f 2e63 6f6e [ ! -f /run/.con │ │ │ │ -00246dd0: 7461 696e 6572 656e 7620 5d3b 2074 6865 tainerenv ]; the │ │ │ │ +00246d30: 6620 5b20 2120 2d66 202f 2e64 6f63 6b65 f [ ! -f /.docke │ │ │ │ +00246d40: 7265 6e76 205d 2026 616d 703b 2661 6d70 renv ] && │ │ │ │ +00246d50: 3b20 5b20 2120 2d66 202f 7275 6e2f 2e63 ; [ ! -f /run/.c │ │ │ │ +00246d60: 6f6e 7461 696e 6572 656e 7620 5d20 2661 ontainerenv ] &a │ │ │ │ +00246d70: 6d70 3b26 616d 703b 2064 706b 672d 7175 mp;& dpkg-qu │ │ │ │ +00246d80: 6572 7920 2d2d 7368 6f77 202d 2d73 686f ery --show --sho │ │ │ │ +00246d90: 7766 6f72 6d61 743d 2724 7b64 623a 5374 wformat='${db:St │ │ │ │ +00246da0: 6174 7573 2d53 7461 7475 737d 5c6e 2720 atus-Status}\n' │ │ │ │ +00246db0: 2761 7564 6974 6427 2032 2667 743b 2f64 'auditd' 2>/d │ │ │ │ +00246dc0: 6576 2f6e 756c 6c20 7c20 6772 6570 202d ev/null | grep - │ │ │ │ +00246dd0: 7120 696e 7374 616c 6c65 643b 2074 6865 q installed; the │ │ │ │ 00246de0: 6e0a 0a41 4354 494f 4e5f 4152 4348 5f46 n..ACTION_ARCH_F │ │ │ │ 00246df0: 494c 5445 5253 3d22 2d61 2061 6c77 6179 ILTERS="-a alway │ │ │ │ 00246e00: 732c 6578 6974 220a 4f54 4845 525f 4649 s,exit".OTHER_FI │ │ │ │ 00246e10: 4c54 4552 533d 222d 4620 7061 7468 3d2f LTERS="-F path=/ │ │ │ │ 00246e20: 7573 722f 6269 6e2f 7375 646f 6564 6974 usr/bin/sudoedit │ │ │ │ 00246e30: 202d 4620 7065 726d 3d78 220a 4155 4944 -F perm=x".AUID │ │ │ │ 00246e40: 5f46 494c 5445 5253 3d22 2d46 2061 7569 _FILTERS="-F aui │ │ │ │ @@ -150982,23 +150982,23 @@ │ │ │ │ 0024dc50: 6b65 793d 7072 6976 696c 6567 6564 0a20 key=privileged. │ │ │ │ 0024dc60: 2020 2020 2063 7265 6174 653a 2074 7275 create: tru │ │ │ │ 0024dc70: 650a 2020 2020 2020 6d6f 6465 3a20 6f2d e. mode: o- │ │ │ │ 0024dc80: 7277 780a 2020 2020 2020 7374 6174 653a rwx. state: │ │ │ │ 0024dc90: 2070 7265 7365 6e74 0a20 2020 2077 6865 present. whe │ │ │ │ 0024dca0: 6e3a 2073 7973 6361 6c6c 735f 666f 756e n: syscalls_foun │ │ │ │ 0024dcb0: 6420 7c20 6c65 6e67 7468 203d 3d20 300a d | length == 0. │ │ │ │ -0024dcc0: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -0024dcd0: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -0024dce0: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -0024dcf0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -0024dd00: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -0024dd10: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -0024dd20: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -0024dd30: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -0024dd40: 6f6e 7461 696e 6572 225d 0a20 2074 6167 ontainer"]. tag │ │ │ │ +0024dcc0: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +0024dcd0: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +0024dce0: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +0024dcf0: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +0024dd00: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +0024dd10: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +0024dd20: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +0024dd30: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +0024dd40: 2e70 6163 6b61 6765 7327 0a20 2074 6167 .packages'. tag │ │ │ │ 0024dd50: 733a 0a20 202d 2044 4953 412d 5354 4947 s:. - DISA-STIG │ │ │ │ 0024dd60: 2d55 4254 552d 3230 2d30 3130 3133 390a -UBTU-20-010139. │ │ │ │ 0024dd70: 2020 2d20 4e49 5354 2d38 3030 2d31 3731 - NIST-800-171 │ │ │ │ 0024dd80: 2d33 2e31 2e37 0a20 202d 204e 4953 542d -3.1.7. - NIST- │ │ │ │ 0024dd90: 3830 302d 3533 2d41 432d 3628 3929 0a20 800-53-AC-6(9). │ │ │ │ 0024dda0: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ 0024ddb0: 552d 3132 2863 290a 2020 2d20 4e49 5354 U-12(c). - NIST │ │ │ │ @@ -151030,25 +151030,25 @@ │ │ │ │ 0024df50: 6469 7620 636c 6173 733d 2270 616e 656c div class="panel │ │ │ │ 0024df60: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170 -collapse collap │ │ │ │ 0024df70: 7365 2220 6964 3d22 6964 6d31 3935 3535 se" id="idm19555 │ │ │ │ 0024df80: 223e 3c70 7265 3e3c 636f 6465 3e23 2052 ">
# R │ │ │ │ 0024df90: 656d 6564 6961 7469 6f6e 2069 7320 6170 emediation is ap │ │ │ │ 0024dfa0: 706c 6963 6162 6c65 206f 6e6c 7920 696e plicable only in │ │ │ │ 0024dfb0: 2063 6572 7461 696e 2070 6c61 7466 6f72 certain platfor │ │ │ │ -0024dfc0: 6d73 0a69 6620 6470 6b67 2d71 7565 7279 ms.if dpkg-query │ │ │ │ -0024dfd0: 202d 2d73 686f 7720 2d2d 7368 6f77 666f --show --showfo │ │ │ │ -0024dfe0: 726d 6174 3d27 247b 6462 3a53 7461 7475 rmat='${db:Statu │ │ │ │ -0024dff0: 732d 5374 6174 7573 7d5c 6e27 2027 6175 s-Status}\n' 'au │ │ │ │ -0024e000: 6469 7464 2720 3226 6774 3b2f 6465 762f ditd' 2>/dev/ │ │ │ │ -0024e010: 6e75 6c6c 207c 2067 7265 7020 2d71 2069 null | grep -q i │ │ │ │ -0024e020: 6e73 7461 6c6c 6564 2026 616d 703b 2661 nstalled &&a │ │ │ │ -0024e030: 6d70 3b20 5b20 2120 2d66 202f 2e64 6f63 mp; [ ! -f /.doc │ │ │ │ -0024e040: 6b65 7265 6e76 205d 2026 616d 703b 2661 kerenv ] &&a │ │ │ │ -0024e050: 6d70 3b20 5b20 2120 2d66 202f 7275 6e2f mp; [ ! -f /run/ │ │ │ │ -0024e060: 2e63 6f6e 7461 696e 6572 656e 7620 5d3b .containerenv ]; │ │ │ │ +0024dfc0: 6d73 0a69 6620 5b20 2120 2d66 202f 2e64 ms.if [ ! -f /.d │ │ │ │ +0024dfd0: 6f63 6b65 7265 6e76 205d 2026 616d 703b ockerenv ] & │ │ │ │ +0024dfe0: 2661 6d70 3b20 5b20 2120 2d66 202f 7275 & [ ! -f /ru │ │ │ │ +0024dff0: 6e2f 2e63 6f6e 7461 696e 6572 656e 7620 n/.containerenv │ │ │ │ +0024e000: 5d20 2661 6d70 3b26 616d 703b 2064 706b ] && dpk │ │ │ │ +0024e010: 672d 7175 6572 7920 2d2d 7368 6f77 202d g-query --show - │ │ │ │ +0024e020: 2d73 686f 7766 6f72 6d61 743d 2724 7b64 -showformat='${d │ │ │ │ +0024e030: 623a 5374 6174 7573 2d53 7461 7475 737d b:Status-Status} │ │ │ │ +0024e040: 5c6e 2720 2761 7564 6974 6427 2032 2667 \n' 'auditd' 2&g │ │ │ │ +0024e050: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772 t;/dev/null | gr │ │ │ │ +0024e060: 6570 202d 7120 696e 7374 616c 6c65 643b ep -q installed; │ │ │ │ 0024e070: 2074 6865 6e0a 0a41 4354 494f 4e5f 4152 then..ACTION_AR │ │ │ │ 0024e080: 4348 5f46 494c 5445 5253 3d22 2d61 2061 CH_FILTERS="-a a │ │ │ │ 0024e090: 6c77 6179 732c 6578 6974 220a 4f54 4845 lways,exit".OTHE │ │ │ │ 0024e0a0: 525f 4649 4c54 4552 533d 222d 4620 7061 R_FILTERS="-F pa │ │ │ │ 0024e0b0: 7468 3d2f 7573 722f 6269 6e2f 756d 6f75 th=/usr/bin/umou │ │ │ │ 0024e0c0: 6e74 202d 4620 7065 726d 3d78 220a 4155 nt -F perm=x".AU │ │ │ │ 0024e0d0: 4944 5f46 494c 5445 5253 3d22 2d46 2061 ID_FILTERS="-F a │ │ │ │ @@ -152942,23 +152942,23 @@ │ │ │ │ 002556d0: 6579 3d70 7269 7669 6c65 6765 640a 2020 ey=privileged. │ │ │ │ 002556e0: 2020 2020 6372 6561 7465 3a20 7472 7565 create: true │ │ │ │ 002556f0: 0a20 2020 2020 206d 6f64 653a 206f 2d72 . mode: o-r │ │ │ │ 00255700: 7778 0a20 2020 2020 2073 7461 7465 3a20 wx. state: │ │ │ │ 00255710: 7072 6573 656e 740a 2020 2020 7768 656e present. when │ │ │ │ 00255720: 3a20 7379 7363 616c 6c73 5f66 6f75 6e64 : syscalls_found │ │ │ │ 00255730: 207c 206c 656e 6774 6820 3d3d 2030 0a20 | length == 0. │ │ │ │ -00255740: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -00255750: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -00255760: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -00255770: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -00255780: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -00255790: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -002557a0: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -002557b0: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -002557c0: 6e74 6169 6e65 7222 5d0a 2020 7461 6773 ntainer"]. tags │ │ │ │ +00255740: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +00255750: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +00255760: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +00255770: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +00255780: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +00255790: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +002557a0: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +002557b0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +002557c0: 7061 636b 6167 6573 270a 2020 7461 6773 packages'. tags │ │ │ │ 002557d0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d31 :. - NIST-800-1 │ │ │ │ 002557e0: 3731 2d33 2e31 2e37 0a20 202d 204e 4953 71-3.1.7. - NIS │ │ │ │ 002557f0: 542d 3830 302d 3533 2d41 432d 3228 3429 T-800-53-AC-2(4) │ │ │ │ 00255800: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 00255810: 2d41 432d 3628 3929 0a20 202d 204e 4953 -AC-6(9). - NIS │ │ │ │ 00255820: 542d 3830 302d 3533 2d41 552d 3132 2861 T-800-53-AU-12(a │ │ │ │ 00255830: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ @@ -152999,26 +152999,26 @@ │ │ │ │ 00255a60: 613e 3c62 723e 3c64 6976 2063 6c61 7373 a>
# Remediatio │ │ │ │ 00255ab0: 6e20 6973 2061 7070 6c69 6361 626c 6520 n is applicable │ │ │ │ 00255ac0: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20 only in certain │ │ │ │ -00255ad0: 706c 6174 666f 726d 730a 6966 2064 706b platforms.if dpk │ │ │ │ -00255ae0: 672d 7175 6572 7920 2d2d 7368 6f77 202d g-query --show - │ │ │ │ -00255af0: 2d73 686f 7766 6f72 6d61 743d 2724 7b64 -showformat='${d │ │ │ │ -00255b00: 623a 5374 6174 7573 2d53 7461 7475 737d b:Status-Status} │ │ │ │ -00255b10: 5c6e 2720 2761 7564 6974 6427 2032 2667 \n' 'auditd' 2&g │ │ │ │ -00255b20: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772 t;/dev/null | gr │ │ │ │ -00255b30: 6570 202d 7120 696e 7374 616c 6c65 6420 ep -q installed │ │ │ │ -00255b40: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ -00255b50: 6620 2f2e 646f 636b 6572 656e 7620 5d20 f /.dockerenv ] │ │ │ │ -00255b60: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ -00255b70: 6620 2f72 756e 2f2e 636f 6e74 6169 6e65 f /run/.containe │ │ │ │ -00255b80: 7265 6e76 205d 3b20 7468 656e 0a0a 4143 renv ]; then..AC │ │ │ │ +00255ad0: 706c 6174 666f 726d 730a 6966 205b 2021 platforms.if [ ! │ │ │ │ +00255ae0: 202d 6620 2f2e 646f 636b 6572 656e 7620 -f /.dockerenv │ │ │ │ +00255af0: 5d20 2661 6d70 3b26 616d 703b 205b 2021 ] && [ ! │ │ │ │ +00255b00: 202d 6620 2f72 756e 2f2e 636f 6e74 6169 -f /run/.contai │ │ │ │ +00255b10: 6e65 7265 6e76 205d 2026 616d 703b 2661 nerenv ] &&a │ │ │ │ +00255b20: 6d70 3b20 6470 6b67 2d71 7565 7279 202d mp; dpkg-query - │ │ │ │ +00255b30: 2d73 686f 7720 2d2d 7368 6f77 666f 726d -show --showform │ │ │ │ +00255b40: 6174 3d27 247b 6462 3a53 7461 7475 732d at='${db:Status- │ │ │ │ +00255b50: 5374 6174 7573 7d5c 6e27 2027 6175 6469 Status}\n' 'audi │ │ │ │ +00255b60: 7464 2720 3226 6774 3b2f 6465 762f 6e75 td' 2>/dev/nu │ │ │ │ +00255b70: 6c6c 207c 2067 7265 7020 2d71 2069 6e73 ll | grep -q ins │ │ │ │ +00255b80: 7461 6c6c 6564 3b20 7468 656e 0a0a 4143 talled; then..AC │ │ │ │ 00255b90: 5449 4f4e 5f41 5243 485f 4649 4c54 4552 TION_ARCH_FILTER │ │ │ │ 00255ba0: 533d 222d 6120 616c 7761 7973 2c65 7869 S="-a always,exi │ │ │ │ 00255bb0: 7422 0a4f 5448 4552 5f46 494c 5445 5253 t".OTHER_FILTERS │ │ │ │ 00255bc0: 3d22 2d46 2070 6174 683d 2f75 7372 2f73 ="-F path=/usr/s │ │ │ │ 00255bd0: 6269 6e2f 756e 6978 5f63 686b 7077 6420 bin/unix_chkpwd │ │ │ │ 00255be0: 2d46 2070 6572 6d3d 7822 0a41 5549 445f -F perm=x".AUID_ │ │ │ │ 00255bf0: 4649 4c54 4552 533d 222d 4620 6175 6964 FILTERS="-F auid │ │ │ │ @@ -154734,23 +154734,23 @@ │ │ │ │ 0025c6d0: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465 no_reboot_neede │ │ │ │ 0025c6e0: 640a 2020 2d20 7265 7374 7269 6374 5f73 d. - restrict_s │ │ │ │ 0025c6f0: 7472 6174 6567 790a 0a2d 206e 616d 653a trategy..- name: │ │ │ │ 0025c700: 2053 6574 2061 7263 6869 7465 6374 7572 Set architectur │ │ │ │ 0025c710: 6520 666f 7220 6175 6469 7420 7461 736b e for audit task │ │ │ │ 0025c720: 730a 2020 7365 745f 6661 6374 3a0a 2020 s. set_fact:. │ │ │ │ 0025c730: 2020 6175 6469 745f 6172 6368 3a20 6236 audit_arch: b6 │ │ │ │ -0025c740: 340a 2020 7768 656e 3a0a 2020 2d20 2722 4. when:. - '" │ │ │ │ -0025c750: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -0025c760: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -0025c770: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -0025c780: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -0025c790: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -0025c7a0: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -0025c7b0: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -0025c7c0: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +0025c740: 340a 2020 7768 656e 3a0a 2020 2d20 616e 4. when:. - an │ │ │ │ +0025c750: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +0025c760: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +0025c770: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +0025c780: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +0025c790: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +0025c7a0: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +0025c7b0: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +0025c7c0: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ 0025c7d0: 2061 6e73 6962 6c65 5f61 7263 6869 7465 ansible_archite │ │ │ │ 0025c7e0: 6374 7572 6520 3d3d 2022 6161 7263 6836 cture == "aarch6 │ │ │ │ 0025c7f0: 3422 206f 7220 616e 7369 626c 655f 6172 4" or ansible_ar │ │ │ │ 0025c800: 6368 6974 6563 7475 7265 203d 3d20 2270 chitecture == "p │ │ │ │ 0025c810: 7063 3634 2220 6f72 2061 6e73 6962 6c65 pc64" or ansible │ │ │ │ 0025c820: 5f61 7263 6869 7465 6374 7572 650a 2020 _architecture. │ │ │ │ 0025c830: 2020 3d3d 2022 7070 6336 346c 6522 206f == "ppc64le" o │ │ │ │ @@ -155047,22 +155047,22 @@ │ │ │ │ 0025da60: 756c 6573 0a20 2020 2020 2063 7265 6174 ules. creat │ │ │ │ 0025da70: 653a 2074 7275 650a 2020 2020 2020 6d6f e: true. mo │ │ │ │ 0025da80: 6465 3a20 6f2d 7277 780a 2020 2020 2020 de: o-rwx. │ │ │ │ 0025da90: 7374 6174 653a 2070 7265 7365 6e74 0a20 state: present. │ │ │ │ 0025daa0: 2020 2077 6865 6e3a 2073 7973 6361 6c6c when: syscall │ │ │ │ 0025dab0: 735f 666f 756e 6420 7c20 6c65 6e67 7468 s_found | length │ │ │ │ 0025dac0: 203d 3d20 300a 2020 7768 656e 3a0a 2020 == 0. when:. │ │ │ │ -0025dad0: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ -0025dae0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ -0025daf0: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ -0025db00: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ -0025db10: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ -0025db20: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ -0025db30: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ -0025db40: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +0025dad0: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ +0025dae0: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ +0025daf0: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ +0025db00: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ +0025db10: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ +0025db20: 6169 6e65 7222 5d0a 2020 2d20 2722 6175 ainer"]. - '"au │ │ │ │ +0025db30: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ +0025db40: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ 0025db50: 0a20 2074 6167 733a 0a20 202d 2043 4a49 . tags:. - CJI │ │ │ │ 0025db60: 532d 352e 342e 312e 310a 2020 2d20 4e49 S-5.4.1.1. - NI │ │ │ │ 0025db70: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 0025db80: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 0025db90: 2d41 432d 3628 3929 0a20 202d 204e 4953 -AC-6(9). - NIS │ │ │ │ 0025dba0: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ 0025dbb0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ @@ -155346,23 +155346,23 @@ │ │ │ │ 0025ed10: 3d61 7564 6974 5f74 696d 655f 7275 6c65 =audit_time_rule │ │ │ │ 0025ed20: 730a 2020 2020 2020 6372 6561 7465 3a20 s. create: │ │ │ │ 0025ed30: 7472 7565 0a20 2020 2020 206d 6f64 653a true. mode: │ │ │ │ 0025ed40: 206f 2d72 7778 0a20 2020 2020 2073 7461 o-rwx. sta │ │ │ │ 0025ed50: 7465 3a20 7072 6573 656e 740a 2020 2020 te: present. │ │ │ │ 0025ed60: 7768 656e 3a20 7379 7363 616c 6c73 5f66 when: syscalls_f │ │ │ │ 0025ed70: 6f75 6e64 207c 206c 656e 6774 6820 3d3d ound | length == │ │ │ │ -0025ed80: 2030 0a20 2077 6865 6e3a 0a20 202d 2027 0. when:. - ' │ │ │ │ -0025ed90: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -0025eda0: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -0025edb0: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -0025edc0: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -0025edd0: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -0025ede0: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -0025edf0: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -0025ee00: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +0025ed80: 2030 0a20 2077 6865 6e3a 0a20 202d 2061 0. when:. - a │ │ │ │ +0025ed90: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +0025eda0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +0025edb0: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +0025edc0: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +0025edd0: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +0025ede0: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +0025edf0: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +0025ee00: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 0025ee10: 2d20 6175 6469 745f 6172 6368 203d 3d20 - audit_arch == │ │ │ │ 0025ee20: 2262 3634 220a 2020 7461 6773 3a0a 2020 "b64". tags:. │ │ │ │ 0025ee30: 2d20 434a 4953 2d35 2e34 2e31 2e31 0a20 - CJIS-5.4.1.1. │ │ │ │ 0025ee40: 202d 204e 4953 542d 3830 302d 3137 312d - NIST-800-171- │ │ │ │ 0025ee50: 332e 312e 370a 2020 2d20 4e49 5354 2d38 3.1.7. - NIST-8 │ │ │ │ 0025ee60: 3030 2d35 332d 4143 2d36 2839 290a 2020 00-53-AC-6(9). │ │ │ │ 0025ee70: 2d20 4e49 5354 2d38 3030 2d35 332d 4155 - NIST-800-53-AU │ │ │ │ @@ -156223,23 +156223,23 @@ │ │ │ │ 002623e0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564 - no_reboot_need │ │ │ │ 002623f0: 6564 0a20 202d 2072 6573 7472 6963 745f ed. - restrict_ │ │ │ │ 00262400: 7374 7261 7465 6779 0a0a 2d20 6e61 6d65 strategy..- name │ │ │ │ 00262410: 3a20 5365 7420 6172 6368 6974 6563 7475 : Set architectu │ │ │ │ 00262420: 7265 2066 6f72 2061 7564 6974 2074 6173 re for audit tas │ │ │ │ 00262430: 6b73 0a20 2073 6574 5f66 6163 743a 0a20 ks. set_fact:. │ │ │ │ 00262440: 2020 2061 7564 6974 5f61 7263 683a 2062 audit_arch: b │ │ │ │ -00262450: 3634 0a20 2077 6865 6e3a 0a20 202d 2027 64. when:. - ' │ │ │ │ -00262460: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -00262470: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -00262480: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -00262490: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -002624a0: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -002624b0: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -002624c0: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -002624d0: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +00262450: 3634 0a20 2077 6865 6e3a 0a20 202d 2061 64. when:. - a │ │ │ │ +00262460: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +00262470: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +00262480: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +00262490: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +002624a0: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +002624b0: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +002624c0: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +002624d0: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 002624e0: 2d20 616e 7369 626c 655f 6172 6368 6974 - ansible_archit │ │ │ │ 002624f0: 6563 7475 7265 203d 3d20 2261 6172 6368 ecture == "aarch │ │ │ │ 00262500: 3634 2220 6f72 2061 6e73 6962 6c65 5f61 64" or ansible_a │ │ │ │ 00262510: 7263 6869 7465 6374 7572 6520 3d3d 2022 rchitecture == " │ │ │ │ 00262520: 7070 6336 3422 206f 7220 616e 7369 626c ppc64" or ansibl │ │ │ │ 00262530: 655f 6172 6368 6974 6563 7475 7265 0a20 e_architecture. │ │ │ │ 00262540: 2020 203d 3d20 2270 7063 3634 6c65 2220 == "ppc64le" │ │ │ │ @@ -156535,23 +156535,23 @@ │ │ │ │ 00263760: 6d65 2d63 6861 6e67 650a 2020 2020 2020 me-change. │ │ │ │ 00263770: 6372 6561 7465 3a20 7472 7565 0a20 2020 create: true. │ │ │ │ 00263780: 2020 206d 6f64 653a 206f 2d72 7778 0a20 mode: o-rwx. │ │ │ │ 00263790: 2020 2020 2073 7461 7465 3a20 7072 6573 state: pres │ │ │ │ 002637a0: 656e 740a 2020 2020 7768 656e 3a20 7379 ent. when: sy │ │ │ │ 002637b0: 7363 616c 6c73 5f66 6f75 6e64 207c 206c scalls_found | l │ │ │ │ 002637c0: 656e 6774 6820 3d3d 2030 0a20 2077 6865 ength == 0. whe │ │ │ │ -002637d0: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -002637e0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -002637f0: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -00263800: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -00263810: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -00263820: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -00263830: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -00263840: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -00263850: 6e65 7222 5d0a 2020 7461 6773 3a0a 2020 ner"]. tags:. │ │ │ │ +002637d0: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +002637e0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +002637f0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +00263800: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +00263810: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +00263820: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +00263830: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +00263840: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +00263850: 6167 6573 270a 2020 7461 6773 3a0a 2020 ages'. tags:. │ │ │ │ 00263860: 2d20 434a 4953 2d35 2e34 2e31 2e31 0a20 - CJIS-5.4.1.1. │ │ │ │ 00263870: 202d 204e 4953 542d 3830 302d 3137 312d - NIST-800-171- │ │ │ │ 00263880: 332e 312e 370a 2020 2d20 4e49 5354 2d38 3.1.7. - NIST-8 │ │ │ │ 00263890: 3030 2d35 332d 4143 2d36 2839 290a 2020 00-53-AC-6(9). │ │ │ │ 002638a0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155 - NIST-800-53-AU │ │ │ │ 002638b0: 2d31 3228 6329 0a20 202d 204e 4953 542d -12(c). - NIST- │ │ │ │ 002638c0: 3830 302d 3533 2d41 552d 3228 6429 0a20 800-53-AU-2(d). │ │ │ │ @@ -156835,23 +156835,23 @@ │ │ │ │ 00264a20: 652d 6368 616e 6765 0a20 2020 2020 2063 e-change. c │ │ │ │ 00264a30: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 00264a40: 2020 6d6f 6465 3a20 6f2d 7277 780a 2020 mode: o-rwx. │ │ │ │ 00264a50: 2020 2020 7374 6174 653a 2070 7265 7365 state: prese │ │ │ │ 00264a60: 6e74 0a20 2020 2077 6865 6e3a 2073 7973 nt. when: sys │ │ │ │ 00264a70: 6361 6c6c 735f 666f 756e 6420 7c20 6c65 calls_found | le │ │ │ │ 00264a80: 6e67 7468 203d 3d20 300a 2020 7768 656e ngth == 0. when │ │ │ │ -00264a90: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -00264aa0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -00264ab0: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -00264ac0: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -00264ad0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -00264ae0: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -00264af0: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -00264b00: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -00264b10: 6572 225d 0a20 202d 2061 7564 6974 5f61 er"]. - audit_a │ │ │ │ +00264a90: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +00264aa0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +00264ab0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +00264ac0: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +00264ad0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +00264ae0: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +00264af0: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +00264b00: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +00264b10: 6765 7327 0a20 202d 2061 7564 6974 5f61 ges'. - audit_a │ │ │ │ 00264b20: 7263 6820 3d3d 2022 6236 3422 0a20 2074 rch == "b64". t │ │ │ │ 00264b30: 6167 733a 0a20 202d 2043 4a49 532d 352e ags:. - CJIS-5. │ │ │ │ 00264b40: 342e 312e 310a 2020 2d20 4e49 5354 2d38 4.1.1. - NIST-8 │ │ │ │ 00264b50: 3030 2d31 3731 2d33 2e31 2e37 0a20 202d 00-171-3.1.7. - │ │ │ │ 00264b60: 204e 4953 542d 3830 302d 3533 2d41 432d NIST-800-53-AC- │ │ │ │ 00264b70: 3628 3929 0a20 202d 204e 4953 542d 3830 6(9). - NIST-80 │ │ │ │ 00264b80: 302d 3533 2d41 552d 3132 2863 290a 2020 0-53-AU-12(c). │ │ │ │ @@ -157710,23 +157710,23 @@ │ │ │ │ 002680d0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a o_reboot_needed. │ │ │ │ 002680e0: 2020 2d20 7265 7374 7269 6374 5f73 7472 - restrict_str │ │ │ │ 002680f0: 6174 6567 790a 0a2d 206e 616d 653a 2053 ategy..- name: S │ │ │ │ 00268100: 6574 2061 7263 6869 7465 6374 7572 6520 et architecture │ │ │ │ 00268110: 666f 7220 6175 6469 7420 7461 736b 730a for audit tasks. │ │ │ │ 00268120: 2020 7365 745f 6661 6374 3a0a 2020 2020 set_fact:. │ │ │ │ 00268130: 6175 6469 745f 6172 6368 3a20 6236 340a audit_arch: b64. │ │ │ │ -00268140: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -00268150: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -00268160: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -00268170: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -00268180: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -00268190: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -002681a0: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -002681b0: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -002681c0: 6f6e 7461 696e 6572 225d 0a20 202d 2061 ontainer"]. - a │ │ │ │ +00268140: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +00268150: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +00268160: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +00268170: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +00268180: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +00268190: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +002681a0: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +002681b0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +002681c0: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ 002681d0: 6e73 6962 6c65 5f61 7263 6869 7465 6374 nsible_architect │ │ │ │ 002681e0: 7572 6520 3d3d 2022 6161 7263 6836 3422 ure == "aarch64" │ │ │ │ 002681f0: 206f 7220 616e 7369 626c 655f 6172 6368 or ansible_arch │ │ │ │ 00268200: 6974 6563 7475 7265 203d 3d20 2270 7063 itecture == "ppc │ │ │ │ 00268210: 3634 2220 6f72 2061 6e73 6962 6c65 5f61 64" or ansible_a │ │ │ │ 00268220: 7263 6869 7465 6374 7572 650a 2020 2020 rchitecture. │ │ │ │ 00268230: 3d3d 2022 7070 6336 346c 6522 206f 7220 == "ppc64le" or │ │ │ │ @@ -158024,23 +158024,23 @@ │ │ │ │ 00269470: 7469 6d65 5f72 756c 6573 0a20 2020 2020 time_rules. │ │ │ │ 00269480: 2063 7265 6174 653a 2074 7275 650a 2020 create: true. │ │ │ │ 00269490: 2020 2020 6d6f 6465 3a20 6f2d 7277 780a mode: o-rwx. │ │ │ │ 002694a0: 2020 2020 2020 7374 6174 653a 2070 7265 state: pre │ │ │ │ 002694b0: 7365 6e74 0a20 2020 2077 6865 6e3a 2073 sent. when: s │ │ │ │ 002694c0: 7973 6361 6c6c 735f 666f 756e 6420 7c20 yscalls_found | │ │ │ │ 002694d0: 6c65 6e67 7468 203d 3d20 300a 2020 7768 length == 0. wh │ │ │ │ -002694e0: 656e 3a0a 2020 2d20 2722 6175 6469 7464 en:. - '"auditd │ │ │ │ -002694f0: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ -00269500: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ -00269510: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ -00269520: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ -00269530: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ -00269540: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ -00269550: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ -00269560: 696e 6572 225d 0a20 2074 6167 733a 0a20 iner"]. tags:. │ │ │ │ +002694e0: 656e 3a0a 2020 2d20 616e 7369 626c 655f en:. - ansible_ │ │ │ │ +002694f0: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ +00269500: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ +00269510: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ +00269520: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ +00269530: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +00269540: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ +00269550: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ +00269560: 6b61 6765 7327 0a20 2074 6167 733a 0a20 kages'. tags:. │ │ │ │ 00269570: 202d 2043 4a49 532d 352e 342e 312e 310a - CJIS-5.4.1.1. │ │ │ │ 00269580: 2020 2d20 4e49 5354 2d38 3030 2d31 3731 - NIST-800-171 │ │ │ │ 00269590: 2d33 2e31 2e37 0a20 202d 204e 4953 542d -3.1.7. - NIST- │ │ │ │ 002695a0: 3830 302d 3533 2d41 432d 3628 3929 0a20 800-53-AC-6(9). │ │ │ │ 002695b0: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ 002695c0: 552d 3132 2863 290a 2020 2d20 4e49 5354 U-12(c). - NIST │ │ │ │ 002695d0: 2d38 3030 2d35 332d 4155 2d32 2864 290a -800-53-AU-2(d). │ │ │ │ @@ -158326,23 +158326,23 @@ │ │ │ │ 0026a750: 6974 5f74 696d 655f 7275 6c65 730a 2020 it_time_rules. │ │ │ │ 0026a760: 2020 2020 6372 6561 7465 3a20 7472 7565 create: true │ │ │ │ 0026a770: 0a20 2020 2020 206d 6f64 653a 206f 2d72 . mode: o-r │ │ │ │ 0026a780: 7778 0a20 2020 2020 2073 7461 7465 3a20 wx. state: │ │ │ │ 0026a790: 7072 6573 656e 740a 2020 2020 7768 656e present. when │ │ │ │ 0026a7a0: 3a20 7379 7363 616c 6c73 5f66 6f75 6e64 : syscalls_found │ │ │ │ 0026a7b0: 207c 206c 656e 6774 6820 3d3d 2030 0a20 | length == 0. │ │ │ │ -0026a7c0: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -0026a7d0: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -0026a7e0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -0026a7f0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -0026a800: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -0026a810: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -0026a820: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -0026a830: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -0026a840: 6e74 6169 6e65 7222 5d0a 2020 2d20 6175 ntainer"]. - au │ │ │ │ +0026a7c0: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +0026a7d0: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +0026a7e0: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +0026a7f0: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +0026a800: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +0026a810: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +0026a820: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +0026a830: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +0026a840: 7061 636b 6167 6573 270a 2020 2d20 6175 packages'. - au │ │ │ │ 0026a850: 6469 745f 6172 6368 203d 3d20 2262 3634 dit_arch == "b64 │ │ │ │ 0026a860: 220a 2020 7461 6773 3a0a 2020 2d20 434a ". tags:. - CJ │ │ │ │ 0026a870: 4953 2d35 2e34 2e31 2e31 0a20 202d 204e IS-5.4.1.1. - N │ │ │ │ 0026a880: 4953 542d 3830 302d 3137 312d 332e 312e IST-800-171-3.1. │ │ │ │ 0026a890: 370a 2020 2d20 4e49 5354 2d38 3030 2d35 7. - NIST-800-5 │ │ │ │ 0026a8a0: 332d 4143 2d36 2839 290a 2020 2d20 4e49 3-AC-6(9). - NI │ │ │ │ 0026a8b0: 5354 2d38 3030 2d35 332d 4155 2d31 3228 ST-800-53-AU-12( │ │ │ │ @@ -159491,23 +159491,23 @@ │ │ │ │ 0026f020: 7275 6c65 730a 2020 2020 2020 6372 6561 rules. crea │ │ │ │ 0026f030: 7465 3a20 7472 7565 0a20 2020 2020 206d te: true. m │ │ │ │ 0026f040: 6f64 653a 206f 2d72 7778 0a20 2020 2020 ode: o-rwx. │ │ │ │ 0026f050: 2073 7461 7465 3a20 7072 6573 656e 740a state: present. │ │ │ │ 0026f060: 2020 2020 7768 656e 3a20 7379 7363 616c when: syscal │ │ │ │ 0026f070: 6c73 5f66 6f75 6e64 207c 206c 656e 6774 ls_found | lengt │ │ │ │ 0026f080: 6820 3d3d 2030 0a20 2077 6865 6e3a 0a20 h == 0. when:. │ │ │ │ -0026f090: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ -0026f0a0: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ -0026f0b0: 636b 6167 6573 270a 2020 2d20 616e 7369 ckages'. - ansi │ │ │ │ -0026f0c0: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ -0026f0d0: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ -0026f0e0: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ -0026f0f0: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ -0026f100: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ -0026f110: 5d0a 2020 7461 6773 3a0a 2020 2d20 434a ]. tags:. - CJ │ │ │ │ +0026f090: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ +0026f0a0: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ +0026f0b0: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ +0026f0c0: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ +0026f0d0: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ +0026f0e0: 7461 696e 6572 225d 0a20 202d 2027 2261 tainer"]. - '"a │ │ │ │ +0026f0f0: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ +0026f100: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ +0026f110: 270a 2020 7461 6773 3a0a 2020 2d20 434a '. tags:. - CJ │ │ │ │ 0026f120: 4953 2d35 2e34 2e31 2e31 0a20 202d 204e IS-5.4.1.1. - N │ │ │ │ 0026f130: 4953 542d 3830 302d 3137 312d 332e 312e IST-800-171-3.1. │ │ │ │ 0026f140: 370a 2020 2d20 4e49 5354 2d38 3030 2d35 7. - NIST-800-5 │ │ │ │ 0026f150: 332d 4143 2d36 2839 290a 2020 2d20 4e49 3-AC-6(9). - NI │ │ │ │ 0026f160: 5354 2d38 3030 2d35 332d 4155 2d31 3228 ST-800-53-AU-12( │ │ │ │ 0026f170: 6329 0a20 202d 204e 4953 542d 3830 302d c). - NIST-800- │ │ │ │ 0026f180: 3533 2d41 552d 3228 6429 0a20 202d 204e 53-AU-2(d). - N │ │ │ │ @@ -160342,23 +160342,23 @@ │ │ │ │ 00272550: 636f 6e74 6169 6e73 3a20 5e5c 732a 2d77 contains: ^\s*-w │ │ │ │ 00272560: 5c73 2b2f 6574 632f 6c6f 6361 6c74 696d \s+/etc/localtim │ │ │ │ 00272570: 655c 732b 2d70 5c73 2b77 6128 5c73 7c24 e\s+-p\s+wa(\s|$ │ │ │ │ 00272580: 292b 0a20 2020 2070 6174 7465 726e 733a )+. patterns: │ │ │ │ 00272590: 2027 2a2e 7275 6c65 7327 0a20 2072 6567 '*.rules'. reg │ │ │ │ 002725a0: 6973 7465 723a 2066 696e 645f 6578 6973 ister: find_exis │ │ │ │ 002725b0: 7469 6e67 5f77 6174 6368 5f72 756c 6573 ting_watch_rules │ │ │ │ -002725c0: 5f64 0a20 2077 6865 6e3a 0a20 202d 2027 _d. when:. - ' │ │ │ │ -002725d0: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -002725e0: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -002725f0: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -00272600: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -00272610: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -00272620: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -00272630: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -00272640: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +002725c0: 5f64 0a20 2077 6865 6e3a 0a20 202d 2061 _d. when:. - a │ │ │ │ +002725d0: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +002725e0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +002725f0: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +00272600: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +00272610: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +00272620: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +00272630: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +00272640: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 00272650: 7461 6773 3a0a 2020 2d20 434a 4953 2d35 tags:. - CJIS-5 │ │ │ │ 00272660: 2e34 2e31 2e31 0a20 202d 204e 4953 542d .4.1.1. - NIST- │ │ │ │ 00272670: 3830 302d 3137 312d 332e 312e 370a 2020 800-171-3.1.7. │ │ │ │ 00272680: 2d20 4e49 5354 2d38 3030 2d35 332d 4143 - NIST-800-53-AC │ │ │ │ 00272690: 2d36 2839 290a 2020 2d20 4e49 5354 2d38 -6(9). - NIST-8 │ │ │ │ 002726a0: 3030 2d35 332d 4155 2d31 3228 6329 0a20 00-53-AU-12(c). │ │ │ │ 002726b0: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ @@ -160385,22 +160385,22 @@ │ │ │ │ 00272800: 2020 2063 6f6e 7461 696e 733a 205e 2e2a contains: ^.* │ │ │ │ 00272810: 283f 3a2d 4620 6b65 793d 7c2d 6b5c 732b (?:-F key=|-k\s+ │ │ │ │ 00272820: 2961 7564 6974 5f74 696d 655f 7275 6c65 )audit_time_rule │ │ │ │ 00272830: 7324 0a20 2020 2070 6174 7465 726e 733a s$. patterns: │ │ │ │ 00272840: 2027 2a2e 7275 6c65 7327 0a20 2072 6567 '*.rules'. reg │ │ │ │ 00272850: 6973 7465 723a 2066 696e 645f 7761 7463 ister: find_watc │ │ │ │ 00272860: 685f 6b65 790a 2020 7768 656e 3a0a 2020 h_key. when:. │ │ │ │ -00272870: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ -00272880: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ -00272890: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ -002728a0: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ -002728b0: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ -002728c0: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ -002728d0: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ -002728e0: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +00272870: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ +00272880: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ +00272890: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ +002728a0: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ +002728b0: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ +002728c0: 6169 6e65 7222 5d0a 2020 2d20 2722 6175 ainer"]. - '"au │ │ │ │ +002728d0: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ +002728e0: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ 002728f0: 0a20 202d 2066 696e 645f 6578 6973 7469 . - find_existi │ │ │ │ 00272900: 6e67 5f77 6174 6368 5f72 756c 6573 5f64 ng_watch_rules_d │ │ │ │ 00272910: 2e6d 6174 6368 6564 2069 7320 6465 6669 .matched is defi │ │ │ │ 00272920: 6e65 6420 616e 6420 6669 6e64 5f65 7869 ned and find_exi │ │ │ │ 00272930: 7374 696e 675f 7761 7463 685f 7275 6c65 sting_watch_rule │ │ │ │ 00272940: 735f 642e 6d61 7463 6865 640a 2020 2020 s_d.matched. │ │ │ │ 00272950: 3d3d 2030 0a20 2074 6167 733a 0a20 202d == 0. tags:. - │ │ │ │ @@ -160429,23 +160429,23 @@ │ │ │ │ 00272ac0: 6173 2074 6865 2072 6563 6970 6965 6e74 as the recipient │ │ │ │ 00272ad0: 2066 6f72 2074 6865 2072 756c 650a 2020 for the rule. │ │ │ │ 00272ae0: 7365 745f 6661 6374 3a0a 2020 2020 616c set_fact:. al │ │ │ │ 00272af0: 6c5f 6669 6c65 733a 0a20 2020 202d 202f l_files:. - / │ │ │ │ 00272b00: 6574 632f 6175 6469 742f 7275 6c65 732e etc/audit/rules. │ │ │ │ 00272b10: 642f 6175 6469 745f 7469 6d65 5f72 756c d/audit_time_rul │ │ │ │ 00272b20: 6573 2e72 756c 6573 0a20 2077 6865 6e3a es.rules. when: │ │ │ │ -00272b30: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -00272b40: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -00272b50: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -00272b60: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -00272b70: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -00272b80: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -00272b90: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -00272ba0: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -00272bb0: 7222 5d0a 2020 2d20 6669 6e64 5f77 6174 r"]. - find_wat │ │ │ │ +00272b30: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +00272b40: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +00272b50: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +00272b60: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +00272b70: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +00272b80: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +00272b90: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +00272ba0: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +00272bb0: 6573 270a 2020 2d20 6669 6e64 5f77 6174 es'. - find_wat │ │ │ │ 00272bc0: 6368 5f6b 6579 2e6d 6174 6368 6564 2069 ch_key.matched i │ │ │ │ 00272bd0: 7320 6465 6669 6e65 6420 616e 6420 6669 s defined and fi │ │ │ │ 00272be0: 6e64 5f77 6174 6368 5f6b 6579 2e6d 6174 nd_watch_key.mat │ │ │ │ 00272bf0: 6368 6564 203d 3d20 3020 616e 6420 6669 ched == 0 and fi │ │ │ │ 00272c00: 6e64 5f65 7869 7374 696e 675f 7761 7463 nd_existing_watc │ │ │ │ 00272c10: 685f 7275 6c65 735f 642e 6d61 7463 6865 h_rules_d.matche │ │ │ │ 00272c20: 640a 2020 2020 6973 2064 6566 696e 6564 d. is defined │ │ │ │ @@ -160477,23 +160477,23 @@ │ │ │ │ 00272dc0: 2074 6865 2072 756c 650a 2020 7365 745f the rule. set_ │ │ │ │ 00272dd0: 6661 6374 3a0a 2020 2020 616c 6c5f 6669 fact:. all_fi │ │ │ │ 00272de0: 6c65 733a 0a20 2020 202d 2027 7b7b 2066 les:. - '{{ f │ │ │ │ 00272df0: 696e 645f 7761 7463 685f 6b65 792e 6669 ind_watch_key.fi │ │ │ │ 00272e00: 6c65 7320 7c20 6d61 7028 6174 7472 6962 les | map(attrib │ │ │ │ 00272e10: 7574 653d 2727 7061 7468 2727 2920 7c20 ute=''path'') | │ │ │ │ 00272e20: 6c69 7374 207c 2066 6972 7374 207d 7d27 list | first }}' │ │ │ │ -00272e30: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -00272e40: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -00272e50: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -00272e60: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -00272e70: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -00272e80: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -00272e90: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -00272ea0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -00272eb0: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +00272e30: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +00272e40: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +00272e50: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +00272e60: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +00272e70: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +00272e80: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +00272e90: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +00272ea0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +00272eb0: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ 00272ec0: 6669 6e64 5f77 6174 6368 5f6b 6579 2e6d find_watch_key.m │ │ │ │ 00272ed0: 6174 6368 6564 2069 7320 6465 6669 6e65 atched is define │ │ │ │ 00272ee0: 6420 616e 6420 6669 6e64 5f77 6174 6368 d and find_watch │ │ │ │ 00272ef0: 5f6b 6579 2e6d 6174 6368 6564 2026 6774 _key.matched > │ │ │ │ 00272f00: 3b20 3020 616e 6420 6669 6e64 5f65 7869 ; 0 and find_exi │ │ │ │ 00272f10: 7374 696e 675f 7761 7463 685f 7275 6c65 sting_watch_rule │ │ │ │ 00272f20: 735f 642e 6d61 7463 6865 640a 2020 2020 s_d.matched. │ │ │ │ @@ -160528,23 +160528,23 @@ │ │ │ │ 002730f0: 7061 7468 3a20 277b 7b20 616c 6c5f 6669 path: '{{ all_fi │ │ │ │ 00273100: 6c65 735b 305d 207d 7d27 0a20 2020 206c les[0] }}'. l │ │ │ │ 00273110: 696e 653a 202d 7720 2f65 7463 2f6c 6f63 ine: -w /etc/loc │ │ │ │ 00273120: 616c 7469 6d65 202d 7020 7761 202d 6b20 altime -p wa -k │ │ │ │ 00273130: 6175 6469 745f 7469 6d65 5f72 756c 6573 audit_time_rules │ │ │ │ 00273140: 0a20 2020 2063 7265 6174 653a 2074 7275 . create: tru │ │ │ │ 00273150: 650a 2020 2020 6d6f 6465 3a20 2730 3634 e. mode: '064 │ │ │ │ -00273160: 3027 0a20 2077 6865 6e3a 0a20 202d 2027 0'. when:. - ' │ │ │ │ -00273170: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -00273180: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -00273190: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -002731a0: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -002731b0: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -002731c0: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -002731d0: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -002731e0: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +00273160: 3027 0a20 2077 6865 6e3a 0a20 202d 2061 0'. when:. - a │ │ │ │ +00273170: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +00273180: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +00273190: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +002731a0: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +002731b0: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +002731c0: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +002731d0: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +002731e0: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 002731f0: 2d20 6669 6e64 5f65 7869 7374 696e 675f - find_existing_ │ │ │ │ 00273200: 7761 7463 685f 7275 6c65 735f 642e 6d61 watch_rules_d.ma │ │ │ │ 00273210: 7463 6865 6420 6973 2064 6566 696e 6564 tched is defined │ │ │ │ 00273220: 2061 6e64 2066 696e 645f 6578 6973 7469 and find_existi │ │ │ │ 00273230: 6e67 5f77 6174 6368 5f72 756c 6573 5f64 ng_watch_rules_d │ │ │ │ 00273240: 2e6d 6174 6368 6564 0a20 2020 203d 3d20 .matched. == │ │ │ │ 00273250: 300a 2020 7461 6773 3a0a 2020 2d20 434a 0. tags:. - CJ │ │ │ │ @@ -160578,23 +160578,23 @@ │ │ │ │ 00273410: 2d77 5c73 2b2f 6574 632f 6c6f 6361 6c74 -w\s+/etc/localt │ │ │ │ 00273420: 696d 655c 732b 2d70 5c73 2b77 6128 5c73 ime\s+-p\s+wa(\s │ │ │ │ 00273430: 7c24 292b 0a20 2020 2070 6174 7465 726e |$)+. pattern │ │ │ │ 00273440: 733a 2061 7564 6974 2e72 756c 6573 0a20 s: audit.rules. │ │ │ │ 00273450: 2072 6567 6973 7465 723a 2066 696e 645f register: find_ │ │ │ │ 00273460: 6578 6973 7469 6e67 5f77 6174 6368 5f61 existing_watch_a │ │ │ │ 00273470: 7564 6974 5f72 756c 6573 0a20 2077 6865 udit_rules. whe │ │ │ │ -00273480: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -00273490: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -002734a0: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -002734b0: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -002734c0: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -002734d0: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -002734e0: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -002734f0: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -00273500: 6e65 7222 5d0a 2020 7461 6773 3a0a 2020 ner"]. tags:. │ │ │ │ +00273480: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +00273490: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +002734a0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +002734b0: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +002734c0: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +002734d0: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +002734e0: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +002734f0: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +00273500: 6167 6573 270a 2020 7461 6773 3a0a 2020 ages'. tags:. │ │ │ │ 00273510: 2d20 434a 4953 2d35 2e34 2e31 2e31 0a20 - CJIS-5.4.1.1. │ │ │ │ 00273520: 202d 204e 4953 542d 3830 302d 3137 312d - NIST-800-171- │ │ │ │ 00273530: 332e 312e 370a 2020 2d20 4e49 5354 2d38 3.1.7. - NIST-8 │ │ │ │ 00273540: 3030 2d35 332d 4143 2d36 2839 290a 2020 00-53-AC-6(9). │ │ │ │ 00273550: 2d20 4e49 5354 2d38 3030 2d35 332d 4155 - NIST-800-53-AU │ │ │ │ 00273560: 2d31 3228 6329 0a20 202d 204e 4953 542d -12(c). - NIST- │ │ │ │ 00273570: 3830 302d 3533 2d41 552d 3228 6429 0a20 800-53-AU-2(d). │ │ │ │ @@ -160620,23 +160620,23 @@ │ │ │ │ 002736b0: 6b20 6175 6469 745f 7469 6d65 5f72 756c k audit_time_rul │ │ │ │ 002736c0: 6573 0a20 2020 2073 7461 7465 3a20 7072 es. state: pr │ │ │ │ 002736d0: 6573 656e 740a 2020 2020 6465 7374 3a20 esent. dest: │ │ │ │ 002736e0: 2f65 7463 2f61 7564 6974 2f61 7564 6974 /etc/audit/audit │ │ │ │ 002736f0: 2e72 756c 6573 0a20 2020 2063 7265 6174 .rules. creat │ │ │ │ 00273700: 653a 2074 7275 650a 2020 2020 6d6f 6465 e: true. mode │ │ │ │ 00273710: 3a20 2730 3634 3027 0a20 2077 6865 6e3a : '0640'. when: │ │ │ │ -00273720: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -00273730: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -00273740: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -00273750: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -00273760: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -00273770: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -00273780: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -00273790: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -002737a0: 7222 5d0a 2020 2d20 6669 6e64 5f65 7869 r"]. - find_exi │ │ │ │ +00273720: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +00273730: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +00273740: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +00273750: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +00273760: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +00273770: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +00273780: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +00273790: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +002737a0: 6573 270a 2020 2d20 6669 6e64 5f65 7869 es'. - find_exi │ │ │ │ 002737b0: 7374 696e 675f 7761 7463 685f 6175 6469 sting_watch_audi │ │ │ │ 002737c0: 745f 7275 6c65 732e 6d61 7463 6865 6420 t_rules.matched │ │ │ │ 002737d0: 6973 2064 6566 696e 6564 2061 6e64 2066 is defined and f │ │ │ │ 002737e0: 696e 645f 6578 6973 7469 6e67 5f77 6174 ind_existing_wat │ │ │ │ 002737f0: 6368 5f61 7564 6974 5f72 756c 6573 2e6d ch_audit_rules.m │ │ │ │ 00273800: 6174 6368 6564 0a20 2020 203d 3d20 300a atched. == 0. │ │ │ │ 00273810: 2020 7461 6773 3a0a 2020 2d20 434a 4953 tags:. - CJIS │ │ │ │ @@ -161456,23 +161456,23 @@ │ │ │ │ 00276af0: 6420 7769 7468 202e 7275 6c65 7320 6578 d with .rules ex │ │ │ │ 00276b00: 7465 6e73 696f 6e0a 2020 6669 6e64 3a0a tension. find:. │ │ │ │ 00276b10: 2020 2020 7061 7468 733a 202f 6574 632f paths: /etc/ │ │ │ │ 00276b20: 6175 6469 742f 7275 6c65 732e 642f 0a20 audit/rules.d/. │ │ │ │ 00276b30: 2020 2070 6174 7465 726e 733a 2027 2a2e patterns: '*. │ │ │ │ 00276b40: 7275 6c65 7327 0a20 2072 6567 6973 7465 rules'. registe │ │ │ │ 00276b50: 723a 2066 696e 645f 7275 6c65 735f 640a r: find_rules_d. │ │ │ │ -00276b60: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -00276b70: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -00276b80: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -00276b90: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -00276ba0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -00276bb0: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -00276bc0: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -00276bd0: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -00276be0: 6f6e 7461 696e 6572 225d 0a20 2074 6167 ontainer"]. tag │ │ │ │ +00276b60: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +00276b70: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +00276b80: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +00276b90: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +00276ba0: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +00276bb0: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +00276bc0: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +00276bd0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +00276be0: 2e70 6163 6b61 6765 7327 0a20 2074 6167 .packages'. tag │ │ │ │ 00276bf0: 733a 0a20 202d 2043 4a49 532d 352e 342e s:. - CJIS-5.4. │ │ │ │ 00276c00: 312e 310a 2020 2d20 4e49 5354 2d38 3030 1.1. - NIST-800 │ │ │ │ 00276c10: 2d31 3731 2d33 2e33 2e31 0a20 202d 204e -171-3.3.1. - N │ │ │ │ 00276c20: 4953 542d 3830 302d 3137 312d 332e 342e IST-800-171-3.4. │ │ │ │ 00276c30: 330a 2020 2d20 4e49 5354 2d38 3030 2d35 3. - NIST-800-5 │ │ │ │ 00276c40: 332d 4143 2d36 2839 290a 2020 2d20 4e49 3-AC-6(9). - NI │ │ │ │ 00276c50: 5354 2d38 3030 2d35 332d 434d 2d36 2861 ST-800-53-CM-6(a │ │ │ │ @@ -161497,23 +161497,23 @@ │ │ │ │ 00276d80: 7365 6e74 0a20 206c 6f6f 703a 2027 7b7b sent. loop: '{{ │ │ │ │ 00276d90: 2066 696e 645f 7275 6c65 735f 642e 6669 find_rules_d.fi │ │ │ │ 00276da0: 6c65 7320 7c20 6d61 7028 6174 7472 6962 les | map(attrib │ │ │ │ 00276db0: 7574 653d 2727 7061 7468 2727 2920 7c20 ute=''path'') | │ │ │ │ 00276dc0: 6c69 7374 202b 205b 2727 2f65 7463 2f61 list + [''/etc/a │ │ │ │ 00276dd0: 7564 6974 2f61 7564 6974 2e72 756c 6573 udit/audit.rules │ │ │ │ 00276de0: 2727 5d0a 2020 2020 7d7d 270a 2020 7768 '']. }}'. wh │ │ │ │ -00276df0: 656e 3a0a 2020 2d20 2722 6175 6469 7464 en:. - '"auditd │ │ │ │ -00276e00: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ -00276e10: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ -00276e20: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ -00276e30: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ -00276e40: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ -00276e50: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ -00276e60: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ -00276e70: 696e 6572 225d 0a20 2074 6167 733a 0a20 iner"]. tags:. │ │ │ │ +00276df0: 656e 3a0a 2020 2d20 616e 7369 626c 655f en:. - ansible_ │ │ │ │ +00276e00: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ +00276e10: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ +00276e20: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ +00276e30: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ +00276e40: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +00276e50: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ +00276e60: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ +00276e70: 6b61 6765 7327 0a20 2074 6167 733a 0a20 kages'. tags:. │ │ │ │ 00276e80: 202d 2043 4a49 532d 352e 342e 312e 310a - CJIS-5.4.1.1. │ │ │ │ 00276e90: 2020 2d20 4e49 5354 2d38 3030 2d31 3731 - NIST-800-171 │ │ │ │ 00276ea0: 2d33 2e33 2e31 0a20 202d 204e 4953 542d -3.3.1. - NIST- │ │ │ │ 00276eb0: 3830 302d 3137 312d 332e 342e 330a 2020 800-171-3.4.3. │ │ │ │ 00276ec0: 2d20 4e49 5354 2d38 3030 2d35 332d 4143 - NIST-800-53-AC │ │ │ │ 00276ed0: 2d36 2839 290a 2020 2d20 4e49 5354 2d38 -6(9). - NIST-8 │ │ │ │ 00276ee0: 3030 2d35 332d 434d 2d36 2861 290a 2020 00-53-CM-6(a). │ │ │ │ @@ -161538,23 +161538,23 @@ │ │ │ │ 00277010: 7465 3a20 7472 7565 0a20 2020 206c 696e te: true. lin │ │ │ │ 00277020: 653a 202d 6520 320a 2020 2020 6d6f 6465 e: -e 2. mode │ │ │ │ 00277030: 3a20 6f2d 7277 780a 2020 6c6f 6f70 3a0a : o-rwx. loop:. │ │ │ │ 00277040: 2020 2d20 2f65 7463 2f61 7564 6974 2f61 - /etc/audit/a │ │ │ │ 00277050: 7564 6974 2e72 756c 6573 0a20 202d 202f udit.rules. - / │ │ │ │ 00277060: 6574 632f 6175 6469 742f 7275 6c65 732e etc/audit/rules. │ │ │ │ 00277070: 642f 696d 6d75 7461 626c 652e 7275 6c65 d/immutable.rule │ │ │ │ -00277080: 730a 2020 7768 656e 3a0a 2020 2d20 2722 s. when:. - '" │ │ │ │ -00277090: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -002770a0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -002770b0: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -002770c0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -002770d0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -002770e0: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -002770f0: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -00277100: 2263 6f6e 7461 696e 6572 225d 0a20 2074 "container"]. t │ │ │ │ +00277080: 730a 2020 7768 656e 3a0a 2020 2d20 616e s. when:. - an │ │ │ │ +00277090: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +002770a0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +002770b0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +002770c0: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +002770d0: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +002770e0: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +002770f0: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +00277100: 7473 2e70 6163 6b61 6765 7327 0a20 2074 ts.packages'. t │ │ │ │ 00277110: 6167 733a 0a20 202d 2043 4a49 532d 352e ags:. - CJIS-5. │ │ │ │ 00277120: 342e 312e 310a 2020 2d20 4e49 5354 2d38 4.1.1. - NIST-8 │ │ │ │ 00277130: 3030 2d31 3731 2d33 2e33 2e31 0a20 202d 00-171-3.3.1. - │ │ │ │ 00277140: 204e 4953 542d 3830 302d 3137 312d 332e NIST-800-171-3. │ │ │ │ 00277150: 342e 330a 2020 2d20 4e49 5354 2d38 3030 4.3. - NIST-800 │ │ │ │ 00277160: 2d35 332d 4143 2d36 2839 290a 2020 2d20 -53-AC-6(9). - │ │ │ │ 00277170: 4e49 5354 2d38 3030 2d35 332d 434d 2d36 NIST-800-53-CM-6 │ │ │ │ @@ -163435,25 +163435,25 @@ │ │ │ │ 0027e6a0: 6469 7620 636c 6173 733d 2270 616e 656c div class="panel │ │ │ │ 0027e6b0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170 -collapse collap │ │ │ │ 0027e6c0: 7365 2220 6964 3d22 6964 6d31 3033 3131 se" id="idm10311 │ │ │ │ 0027e6d0: 223e 3c70 7265 3e3c 636f 6465 3e23 2052 "> # R │ │ │ │ 0027e6e0: 656d 6564 6961 7469 6f6e 2069 7320 6170 emediation is ap │ │ │ │ 0027e6f0: 706c 6963 6162 6c65 206f 6e6c 7920 696e plicable only in │ │ │ │ 0027e700: 2063 6572 7461 696e 2070 6c61 7466 6f72 certain platfor │ │ │ │ -0027e710: 6d73 0a69 6620 6470 6b67 2d71 7565 7279 ms.if dpkg-query │ │ │ │ -0027e720: 202d 2d73 686f 7720 2d2d 7368 6f77 666f --show --showfo │ │ │ │ -0027e730: 726d 6174 3d27 247b 6462 3a53 7461 7475 rmat='${db:Statu │ │ │ │ -0027e740: 732d 5374 6174 7573 7d5c 6e27 2027 6175 s-Status}\n' 'au │ │ │ │ -0027e750: 6469 7464 2720 3226 6774 3b2f 6465 762f ditd' 2>/dev/ │ │ │ │ -0027e760: 6e75 6c6c 207c 2067 7265 7020 2d71 2069 null | grep -q i │ │ │ │ -0027e770: 6e73 7461 6c6c 6564 2026 616d 703b 2661 nstalled &&a │ │ │ │ -0027e780: 6d70 3b20 5b20 2120 2d66 202f 2e64 6f63 mp; [ ! -f /.doc │ │ │ │ -0027e790: 6b65 7265 6e76 205d 2026 616d 703b 2661 kerenv ] &&a │ │ │ │ -0027e7a0: 6d70 3b20 5b20 2120 2d66 202f 7275 6e2f mp; [ ! -f /run/ │ │ │ │ -0027e7b0: 2e63 6f6e 7461 696e 6572 656e 7620 5d3b .containerenv ]; │ │ │ │ +0027e710: 6d73 0a69 6620 5b20 2120 2d66 202f 2e64 ms.if [ ! -f /.d │ │ │ │ +0027e720: 6f63 6b65 7265 6e76 205d 2026 616d 703b ockerenv ] & │ │ │ │ +0027e730: 2661 6d70 3b20 5b20 2120 2d66 202f 7275 & [ ! -f /ru │ │ │ │ +0027e740: 6e2f 2e63 6f6e 7461 696e 6572 656e 7620 n/.containerenv │ │ │ │ +0027e750: 5d20 2661 6d70 3b26 616d 703b 2064 706b ] && dpk │ │ │ │ +0027e760: 672d 7175 6572 7920 2d2d 7368 6f77 202d g-query --show - │ │ │ │ +0027e770: 2d73 686f 7766 6f72 6d61 743d 2724 7b64 -showformat='${d │ │ │ │ +0027e780: 623a 5374 6174 7573 2d53 7461 7475 737d b:Status-Status} │ │ │ │ +0027e790: 5c6e 2720 2761 7564 6974 6427 2032 2667 \n' 'auditd' 2&g │ │ │ │ +0027e7a0: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772 t;/dev/null | gr │ │ │ │ +0027e7b0: 6570 202d 7120 696e 7374 616c 6c65 643b ep -q installed; │ │ │ │ 0027e7c0: 2074 6865 6e0a 0a23 2046 6972 7374 2070 then..# First p │ │ │ │ 0027e7d0: 6572 666f 726d 2074 6865 2072 656d 6564 erform the remed │ │ │ │ 0027e7e0: 6961 7469 6f6e 206f 6620 7468 6520 7379 iation of the sy │ │ │ │ 0027e7f0: 7363 616c 6c20 7275 6c65 0a23 2052 6574 scall rule.# Ret │ │ │ │ 0027e800: 7269 6576 6520 6861 7264 7761 7265 2061 rieve hardware a │ │ │ │ 0027e810: 7263 6869 7465 6374 7572 6520 6f66 2074 rchitecture of t │ │ │ │ 0027e820: 6865 2075 6e64 6572 6c79 696e 6720 7379 he underlying sy │ │ │ │ @@ -166245,22 +166245,22 @@ │ │ │ │ 00289640: 732a 2d77 5c73 2b2f 6574 632f 7375 646f s*-w\s+/etc/sudo │ │ │ │ 00289650: 6572 735c 732b 2d70 5c73 2b77 6128 5c73 ers\s+-p\s+wa(\s │ │ │ │ 00289660: 7c24 292b 0a20 2020 2070 6174 7465 726e |$)+. pattern │ │ │ │ 00289670: 733a 2027 2a2e 7275 6c65 7327 0a20 2072 s: '*.rules'. r │ │ │ │ 00289680: 6567 6973 7465 723a 2066 696e 645f 6578 egister: find_ex │ │ │ │ 00289690: 6973 7469 6e67 5f77 6174 6368 5f72 756c isting_watch_rul │ │ │ │ 002896a0: 6573 5f64 0a20 2077 6865 6e3a 0a20 202d es_d. when:. - │ │ │ │ -002896b0: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ -002896c0: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ -002896d0: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl │ │ │ │ -002896e0: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ -002896f0: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ -00289700: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ -00289710: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ -00289720: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +002896b0: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ +002896c0: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ +002896d0: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ +002896e0: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ +002896f0: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ +00289700: 696e 6572 225d 0a20 202d 2027 2261 7564 iner"]. - '"aud │ │ │ │ +00289710: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ +00289720: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ 00289730: 2020 7461 6773 3a0a 2020 2d20 434a 4953 tags:. - CJIS │ │ │ │ 00289740: 2d35 2e34 2e31 2e31 0a20 202d 204e 4953 -5.4.1.1. - NIS │ │ │ │ 00289750: 542d 3830 302d 3137 312d 332e 312e 370a T-800-171-3.1.7. │ │ │ │ 00289760: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ 00289770: 4143 2d32 2837 2928 6229 0a20 202d 204e AC-2(7)(b). - N │ │ │ │ 00289780: 4953 542d 3830 302d 3533 2d41 432d 3628 IST-800-53-AC-6( │ │ │ │ 00289790: 3929 0a20 202d 204e 4953 542d 3830 302d 9). - NIST-800- │ │ │ │ @@ -166289,22 +166289,22 @@ │ │ │ │ 00289900: 6c65 732e 640a 2020 2020 636f 6e74 6169 les.d. contai │ │ │ │ 00289910: 6e73 3a20 5e2e 2a28 3f3a 2d46 206b 6579 ns: ^.*(?:-F key │ │ │ │ 00289920: 3d7c 2d6b 5c73 2b29 6163 7469 6f6e 7324 =|-k\s+)actions$ │ │ │ │ 00289930: 0a20 2020 2070 6174 7465 726e 733a 2027 . patterns: ' │ │ │ │ 00289940: 2a2e 7275 6c65 7327 0a20 2072 6567 6973 *.rules'. regis │ │ │ │ 00289950: 7465 723a 2066 696e 645f 7761 7463 685f ter: find_watch_ │ │ │ │ 00289960: 6b65 790a 2020 7768 656e 3a0a 2020 2d20 key. when:. - │ │ │ │ -00289970: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ -00289980: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ -00289990: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ -002899a0: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ -002899b0: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ -002899c0: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ -002899d0: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ -002899e0: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +00289970: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ +00289980: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ +00289990: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ +002899a0: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ +002899b0: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ +002899c0: 6e65 7222 5d0a 2020 2d20 2722 6175 6469 ner"]. - '"audi │ │ │ │ +002899d0: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ +002899e0: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ 002899f0: 202d 2066 696e 645f 6578 6973 7469 6e67 - find_existing │ │ │ │ 00289a00: 5f77 6174 6368 5f72 756c 6573 5f64 2e6d _watch_rules_d.m │ │ │ │ 00289a10: 6174 6368 6564 2069 7320 6465 6669 6e65 atched is define │ │ │ │ 00289a20: 6420 616e 6420 6669 6e64 5f65 7869 7374 d and find_exist │ │ │ │ 00289a30: 696e 675f 7761 7463 685f 7275 6c65 735f ing_watch_rules_ │ │ │ │ 00289a40: 642e 6d61 7463 6865 640a 2020 2020 3d3d d.matched. == │ │ │ │ 00289a50: 2030 0a20 2074 6167 733a 0a20 202d 2043 0. tags:. - C │ │ │ │ @@ -166334,23 +166334,23 @@ │ │ │ │ 00289bd0: 6573 2e64 2f61 6374 696f 6e73 2e72 756c es.d/actions.rul │ │ │ │ 00289be0: 6573 2061 7320 7468 6520 7265 6369 7069 es as the recipi │ │ │ │ 00289bf0: 656e 7420 666f 7220 7468 6520 7275 6c65 ent for the rule │ │ │ │ 00289c00: 0a20 2073 6574 5f66 6163 743a 0a20 2020 . set_fact:. │ │ │ │ 00289c10: 2061 6c6c 5f66 696c 6573 3a0a 2020 2020 all_files:. │ │ │ │ 00289c20: 2d20 2f65 7463 2f61 7564 6974 2f72 756c - /etc/audit/rul │ │ │ │ 00289c30: 6573 2e64 2f61 6374 696f 6e73 2e72 756c es.d/actions.rul │ │ │ │ -00289c40: 6573 0a20 2077 6865 6e3a 0a20 202d 2027 es. when:. - ' │ │ │ │ -00289c50: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -00289c60: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -00289c70: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -00289c80: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -00289c90: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -00289ca0: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -00289cb0: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -00289cc0: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +00289c40: 6573 0a20 2077 6865 6e3a 0a20 202d 2061 es. when:. - a │ │ │ │ +00289c50: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +00289c60: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +00289c70: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +00289c80: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +00289c90: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +00289ca0: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +00289cb0: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +00289cc0: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 00289cd0: 2d20 6669 6e64 5f77 6174 6368 5f6b 6579 - find_watch_key │ │ │ │ 00289ce0: 2e6d 6174 6368 6564 2069 7320 6465 6669 .matched is defi │ │ │ │ 00289cf0: 6e65 6420 616e 6420 6669 6e64 5f77 6174 ned and find_wat │ │ │ │ 00289d00: 6368 5f6b 6579 2e6d 6174 6368 6564 203d ch_key.matched = │ │ │ │ 00289d10: 3d20 3020 616e 6420 6669 6e64 5f65 7869 = 0 and find_exi │ │ │ │ 00289d20: 7374 696e 675f 7761 7463 685f 7275 6c65 sting_watch_rule │ │ │ │ 00289d30: 735f 642e 6d61 7463 6865 640a 2020 2020 s_d.matched. │ │ │ │ @@ -166386,23 +166386,23 @@ │ │ │ │ 00289f10: 650a 2020 7365 745f 6661 6374 3a0a 2020 e. set_fact:. │ │ │ │ 00289f20: 2020 616c 6c5f 6669 6c65 733a 0a20 2020 all_files:. │ │ │ │ 00289f30: 202d 2027 7b7b 2066 696e 645f 7761 7463 - '{{ find_watc │ │ │ │ 00289f40: 685f 6b65 792e 6669 6c65 7320 7c20 6d61 h_key.files | ma │ │ │ │ 00289f50: 7028 6174 7472 6962 7574 653d 2727 7061 p(attribute=''pa │ │ │ │ 00289f60: 7468 2727 2920 7c20 6c69 7374 207c 2066 th'') | list | f │ │ │ │ 00289f70: 6972 7374 207d 7d27 0a20 2077 6865 6e3a irst }}'. when: │ │ │ │ -00289f80: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -00289f90: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -00289fa0: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -00289fb0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -00289fc0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -00289fd0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -00289fe0: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -00289ff0: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -0028a000: 7222 5d0a 2020 2d20 6669 6e64 5f77 6174 r"]. - find_wat │ │ │ │ +00289f80: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +00289f90: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +00289fa0: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +00289fb0: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +00289fc0: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +00289fd0: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +00289fe0: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +00289ff0: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +0028a000: 6573 270a 2020 2d20 6669 6e64 5f77 6174 es'. - find_wat │ │ │ │ 0028a010: 6368 5f6b 6579 2e6d 6174 6368 6564 2069 ch_key.matched i │ │ │ │ 0028a020: 7320 6465 6669 6e65 6420 616e 6420 6669 s defined and fi │ │ │ │ 0028a030: 6e64 5f77 6174 6368 5f6b 6579 2e6d 6174 nd_watch_key.mat │ │ │ │ 0028a040: 6368 6564 2026 6774 3b20 3020 616e 6420 ched > 0 and │ │ │ │ 0028a050: 6669 6e64 5f65 7869 7374 696e 675f 7761 find_existing_wa │ │ │ │ 0028a060: 7463 685f 7275 6c65 735f 642e 6d61 7463 tch_rules_d.matc │ │ │ │ 0028a070: 6865 640a 2020 2020 6973 2064 6566 696e hed. is defin │ │ │ │ @@ -166439,23 +166439,23 @@ │ │ │ │ 0028a260: 2020 2020 7061 7468 3a20 277b 7b20 616c path: '{{ al │ │ │ │ 0028a270: 6c5f 6669 6c65 735b 305d 207d 7d27 0a20 l_files[0] }}'. │ │ │ │ 0028a280: 2020 206c 696e 653a 202d 7720 2f65 7463 line: -w /etc │ │ │ │ 0028a290: 2f73 7564 6f65 7273 202d 7020 7761 202d /sudoers -p wa - │ │ │ │ 0028a2a0: 6b20 6163 7469 6f6e 730a 2020 2020 6372 k actions. cr │ │ │ │ 0028a2b0: 6561 7465 3a20 7472 7565 0a20 2020 206d eate: true. m │ │ │ │ 0028a2c0: 6f64 653a 2027 3036 3430 270a 2020 7768 ode: '0640'. wh │ │ │ │ -0028a2d0: 656e 3a0a 2020 2d20 2722 6175 6469 7464 en:. - '"auditd │ │ │ │ -0028a2e0: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ -0028a2f0: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ -0028a300: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ -0028a310: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ -0028a320: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ -0028a330: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ -0028a340: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ -0028a350: 696e 6572 225d 0a20 202d 2066 696e 645f iner"]. - find_ │ │ │ │ +0028a2d0: 656e 3a0a 2020 2d20 616e 7369 626c 655f en:. - ansible_ │ │ │ │ +0028a2e0: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ +0028a2f0: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ +0028a300: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ +0028a310: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ +0028a320: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +0028a330: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ +0028a340: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ +0028a350: 6b61 6765 7327 0a20 202d 2066 696e 645f kages'. - find_ │ │ │ │ 0028a360: 6578 6973 7469 6e67 5f77 6174 6368 5f72 existing_watch_r │ │ │ │ 0028a370: 756c 6573 5f64 2e6d 6174 6368 6564 2069 ules_d.matched i │ │ │ │ 0028a380: 7320 6465 6669 6e65 6420 616e 6420 6669 s defined and fi │ │ │ │ 0028a390: 6e64 5f65 7869 7374 696e 675f 7761 7463 nd_existing_watc │ │ │ │ 0028a3a0: 685f 7275 6c65 735f 642e 6d61 7463 6865 h_rules_d.matche │ │ │ │ 0028a3b0: 640a 2020 2020 3d3d 2030 0a20 2074 6167 d. == 0. tag │ │ │ │ 0028a3c0: 733a 0a20 202d 2043 4a49 532d 352e 342e s:. - CJIS-5.4. │ │ │ │ @@ -166491,23 +166491,23 @@ │ │ │ │ 0028a5a0: 205e 5c73 2a2d 775c 732b 2f65 7463 2f73 ^\s*-w\s+/etc/s │ │ │ │ 0028a5b0: 7564 6f65 7273 5c73 2b2d 705c 732b 7761 udoers\s+-p\s+wa │ │ │ │ 0028a5c0: 285c 737c 2429 2b0a 2020 2020 7061 7474 (\s|$)+. patt │ │ │ │ 0028a5d0: 6572 6e73 3a20 6175 6469 742e 7275 6c65 erns: audit.rule │ │ │ │ 0028a5e0: 730a 2020 7265 6769 7374 6572 3a20 6669 s. register: fi │ │ │ │ 0028a5f0: 6e64 5f65 7869 7374 696e 675f 7761 7463 nd_existing_watc │ │ │ │ 0028a600: 685f 6175 6469 745f 7275 6c65 730a 2020 h_audit_rules. │ │ │ │ -0028a610: 7768 656e 3a0a 2020 2d20 2722 6175 6469 when:. - '"audi │ │ │ │ -0028a620: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ -0028a630: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ -0028a640: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ -0028a650: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ -0028a660: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ -0028a670: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ -0028a680: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ -0028a690: 7461 696e 6572 225d 0a20 2074 6167 733a tainer"]. tags: │ │ │ │ +0028a610: 7768 656e 3a0a 2020 2d20 616e 7369 626c when:. - ansibl │ │ │ │ +0028a620: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ +0028a630: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ +0028a640: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ +0028a650: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ +0028a660: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +0028a670: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ +0028a680: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ +0028a690: 6163 6b61 6765 7327 0a20 2074 6167 733a ackages'. tags: │ │ │ │ 0028a6a0: 0a20 202d 2043 4a49 532d 352e 342e 312e . - CJIS-5.4.1. │ │ │ │ 0028a6b0: 310a 2020 2d20 4e49 5354 2d38 3030 2d31 1. - NIST-800-1 │ │ │ │ 0028a6c0: 3731 2d33 2e31 2e37 0a20 202d 204e 4953 71-3.1.7. - NIS │ │ │ │ 0028a6d0: 542d 3830 302d 3533 2d41 432d 3228 3729 T-800-53-AC-2(7) │ │ │ │ 0028a6e0: 2862 290a 2020 2d20 4e49 5354 2d38 3030 (b). - NIST-800 │ │ │ │ 0028a6f0: 2d35 332d 4143 2d36 2839 290a 2020 2d20 -53-AC-6(9). - │ │ │ │ 0028a700: 4e49 5354 2d38 3030 2d35 332d 4155 2d31 NIST-800-53-AU-1 │ │ │ │ @@ -166535,23 +166535,23 @@ │ │ │ │ 0028a860: 646f 6572 7320 2d70 2077 6120 2d6b 2061 doers -p wa -k a │ │ │ │ 0028a870: 6374 696f 6e73 0a20 2020 2073 7461 7465 ctions. state │ │ │ │ 0028a880: 3a20 7072 6573 656e 740a 2020 2020 6465 : present. de │ │ │ │ 0028a890: 7374 3a20 2f65 7463 2f61 7564 6974 2f61 st: /etc/audit/a │ │ │ │ 0028a8a0: 7564 6974 2e72 756c 6573 0a20 2020 2063 udit.rules. c │ │ │ │ 0028a8b0: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 0028a8c0: 6d6f 6465 3a20 2730 3634 3027 0a20 2077 mode: '0640'. w │ │ │ │ -0028a8d0: 6865 6e3a 0a20 202d 2027 2261 7564 6974 hen:. - '"audit │ │ │ │ -0028a8e0: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ -0028a8f0: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ -0028a900: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ -0028a910: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ -0028a920: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ -0028a930: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ -0028a940: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ -0028a950: 6169 6e65 7222 5d0a 2020 2d20 6669 6e64 ainer"]. - find │ │ │ │ +0028a8d0: 6865 6e3a 0a20 202d 2061 6e73 6962 6c65 hen:. - ansible │ │ │ │ +0028a8e0: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ +0028a8f0: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ +0028a900: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ +0028a910: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ +0028a920: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +0028a930: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ +0028a940: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ +0028a950: 636b 6167 6573 270a 2020 2d20 6669 6e64 ckages'. - find │ │ │ │ 0028a960: 5f65 7869 7374 696e 675f 7761 7463 685f _existing_watch_ │ │ │ │ 0028a970: 6175 6469 745f 7275 6c65 732e 6d61 7463 audit_rules.matc │ │ │ │ 0028a980: 6865 6420 6973 2064 6566 696e 6564 2061 hed is defined a │ │ │ │ 0028a990: 6e64 2066 696e 645f 6578 6973 7469 6e67 nd find_existing │ │ │ │ 0028a9a0: 5f77 6174 6368 5f61 7564 6974 5f72 756c _watch_audit_rul │ │ │ │ 0028a9b0: 6573 2e6d 6174 6368 6564 0a20 2020 203d es.matched. = │ │ │ │ 0028a9c0: 3d20 300a 2020 7461 6773 3a0a 2020 2d20 = 0. tags:. - │ │ │ │ @@ -166588,23 +166588,23 @@ │ │ │ │ 0028abb0: 205e 5c73 2a2d 775c 732b 2f65 7463 2f73 ^\s*-w\s+/etc/s │ │ │ │ 0028abc0: 7564 6f65 7273 2e64 2f5c 732b 2d70 5c73 udoers.d/\s+-p\s │ │ │ │ 0028abd0: 2b77 6128 5c73 7c24 292b 0a20 2020 2070 +wa(\s|$)+. p │ │ │ │ 0028abe0: 6174 7465 726e 733a 2027 2a2e 7275 6c65 atterns: '*.rule │ │ │ │ 0028abf0: 7327 0a20 2072 6567 6973 7465 723a 2066 s'. register: f │ │ │ │ 0028ac00: 696e 645f 6578 6973 7469 6e67 5f77 6174 ind_existing_wat │ │ │ │ 0028ac10: 6368 5f72 756c 6573 5f64 0a20 2077 6865 ch_rules_d. whe │ │ │ │ -0028ac20: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -0028ac30: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -0028ac40: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -0028ac50: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -0028ac60: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -0028ac70: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -0028ac80: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -0028ac90: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -0028aca0: 6e65 7222 5d0a 2020 7461 6773 3a0a 2020 ner"]. tags:. │ │ │ │ +0028ac20: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +0028ac30: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +0028ac40: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +0028ac50: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +0028ac60: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +0028ac70: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +0028ac80: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +0028ac90: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +0028aca0: 6167 6573 270a 2020 7461 6773 3a0a 2020 ages'. tags:. │ │ │ │ 0028acb0: 2d20 434a 4953 2d35 2e34 2e31 2e31 0a20 - CJIS-5.4.1.1. │ │ │ │ 0028acc0: 202d 204e 4953 542d 3830 302d 3137 312d - NIST-800-171- │ │ │ │ 0028acd0: 332e 312e 370a 2020 2d20 4e49 5354 2d38 3.1.7. - NIST-8 │ │ │ │ 0028ace0: 3030 2d35 332d 4143 2d32 2837 2928 6229 00-53-AC-2(7)(b) │ │ │ │ 0028acf0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 0028ad00: 2d41 432d 3628 3929 0a20 202d 204e 4953 -AC-6(9). - NIS │ │ │ │ 0028ad10: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ @@ -166632,23 +166632,23 @@ │ │ │ │ 0028ae70: 6469 742f 7275 6c65 732e 640a 2020 2020 dit/rules.d. │ │ │ │ 0028ae80: 636f 6e74 6169 6e73 3a20 5e2e 2a28 3f3a contains: ^.*(?: │ │ │ │ 0028ae90: 2d46 206b 6579 3d7c 2d6b 5c73 2b29 6163 -F key=|-k\s+)ac │ │ │ │ 0028aea0: 7469 6f6e 7324 0a20 2020 2070 6174 7465 tions$. patte │ │ │ │ 0028aeb0: 726e 733a 2027 2a2e 7275 6c65 7327 0a20 rns: '*.rules'. │ │ │ │ 0028aec0: 2072 6567 6973 7465 723a 2066 696e 645f register: find_ │ │ │ │ 0028aed0: 7761 7463 685f 6b65 790a 2020 7768 656e watch_key. when │ │ │ │ -0028aee0: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -0028aef0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -0028af00: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -0028af10: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -0028af20: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -0028af30: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -0028af40: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -0028af50: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -0028af60: 6572 225d 0a20 202d 2066 696e 645f 6578 er"]. - find_ex │ │ │ │ +0028aee0: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +0028aef0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +0028af00: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +0028af10: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +0028af20: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +0028af30: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +0028af40: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +0028af50: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +0028af60: 6765 7327 0a20 202d 2066 696e 645f 6578 ges'. - find_ex │ │ │ │ 0028af70: 6973 7469 6e67 5f77 6174 6368 5f72 756c isting_watch_rul │ │ │ │ 0028af80: 6573 5f64 2e6d 6174 6368 6564 2069 7320 es_d.matched is │ │ │ │ 0028af90: 6465 6669 6e65 6420 616e 6420 6669 6e64 defined and find │ │ │ │ 0028afa0: 5f65 7869 7374 696e 675f 7761 7463 685f _existing_watch_ │ │ │ │ 0028afb0: 7275 6c65 735f 642e 6d61 7463 6865 640a rules_d.matched. │ │ │ │ 0028afc0: 2020 2020 3d3d 2030 0a20 2074 6167 733a == 0. tags: │ │ │ │ 0028afd0: 0a20 202d 2043 4a49 532d 352e 342e 312e . - CJIS-5.4.1. │ │ │ │ @@ -166678,23 +166678,23 @@ │ │ │ │ 0028b150: 6e73 2e72 756c 6573 2061 7320 7468 6520 ns.rules as the │ │ │ │ 0028b160: 7265 6369 7069 656e 7420 666f 7220 7468 recipient for th │ │ │ │ 0028b170: 6520 7275 6c65 0a20 2073 6574 5f66 6163 e rule. set_fac │ │ │ │ 0028b180: 743a 0a20 2020 2061 6c6c 5f66 696c 6573 t:. all_files │ │ │ │ 0028b190: 3a0a 2020 2020 2d20 2f65 7463 2f61 7564 :. - /etc/aud │ │ │ │ 0028b1a0: 6974 2f72 756c 6573 2e64 2f61 6374 696f it/rules.d/actio │ │ │ │ 0028b1b0: 6e73 2e72 756c 6573 0a20 2077 6865 6e3a ns.rules. when: │ │ │ │ -0028b1c0: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -0028b1d0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -0028b1e0: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -0028b1f0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -0028b200: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -0028b210: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -0028b220: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -0028b230: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -0028b240: 7222 5d0a 2020 2d20 6669 6e64 5f77 6174 r"]. - find_wat │ │ │ │ +0028b1c0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +0028b1d0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +0028b1e0: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +0028b1f0: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +0028b200: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +0028b210: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +0028b220: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +0028b230: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +0028b240: 6573 270a 2020 2d20 6669 6e64 5f77 6174 es'. - find_wat │ │ │ │ 0028b250: 6368 5f6b 6579 2e6d 6174 6368 6564 2069 ch_key.matched i │ │ │ │ 0028b260: 7320 6465 6669 6e65 6420 616e 6420 6669 s defined and fi │ │ │ │ 0028b270: 6e64 5f77 6174 6368 5f6b 6579 2e6d 6174 nd_watch_key.mat │ │ │ │ 0028b280: 6368 6564 203d 3d20 3020 616e 6420 6669 ched == 0 and fi │ │ │ │ 0028b290: 6e64 5f65 7869 7374 696e 675f 7761 7463 nd_existing_watc │ │ │ │ 0028b2a0: 685f 7275 6c65 735f 642e 6d61 7463 6865 h_rules_d.matche │ │ │ │ 0028b2b0: 640a 2020 2020 6973 2064 6566 696e 6564 d. is defined │ │ │ │ @@ -166729,23 +166729,23 @@ │ │ │ │ 0028b480: 6865 2072 756c 650a 2020 7365 745f 6661 he rule. set_fa │ │ │ │ 0028b490: 6374 3a0a 2020 2020 616c 6c5f 6669 6c65 ct:. all_file │ │ │ │ 0028b4a0: 733a 0a20 2020 202d 2027 7b7b 2066 696e s:. - '{{ fin │ │ │ │ 0028b4b0: 645f 7761 7463 685f 6b65 792e 6669 6c65 d_watch_key.file │ │ │ │ 0028b4c0: 7320 7c20 6d61 7028 6174 7472 6962 7574 s | map(attribut │ │ │ │ 0028b4d0: 653d 2727 7061 7468 2727 2920 7c20 6c69 e=''path'') | li │ │ │ │ 0028b4e0: 7374 207c 2066 6972 7374 207d 7d27 0a20 st | first }}'. │ │ │ │ -0028b4f0: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -0028b500: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -0028b510: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -0028b520: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -0028b530: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -0028b540: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -0028b550: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -0028b560: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -0028b570: 6e74 6169 6e65 7222 5d0a 2020 2d20 6669 ntainer"]. - fi │ │ │ │ +0028b4f0: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +0028b500: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +0028b510: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +0028b520: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +0028b530: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +0028b540: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +0028b550: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +0028b560: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +0028b570: 7061 636b 6167 6573 270a 2020 2d20 6669 packages'. - fi │ │ │ │ 0028b580: 6e64 5f77 6174 6368 5f6b 6579 2e6d 6174 nd_watch_key.mat │ │ │ │ 0028b590: 6368 6564 2069 7320 6465 6669 6e65 6420 ched is defined │ │ │ │ 0028b5a0: 616e 6420 6669 6e64 5f77 6174 6368 5f6b and find_watch_k │ │ │ │ 0028b5b0: 6579 2e6d 6174 6368 6564 2026 6774 3b20 ey.matched > │ │ │ │ 0028b5c0: 3020 616e 6420 6669 6e64 5f65 7869 7374 0 and find_exist │ │ │ │ 0028b5d0: 696e 675f 7761 7463 685f 7275 6c65 735f ing_watch_rules_ │ │ │ │ 0028b5e0: 642e 6d61 7463 6865 640a 2020 2020 6973 d.matched. is │ │ │ │ @@ -166783,23 +166783,23 @@ │ │ │ │ 0028b7e0: 683a 2027 7b7b 2061 6c6c 5f66 696c 6573 h: '{{ all_files │ │ │ │ 0028b7f0: 5b30 5d20 7d7d 270a 2020 2020 6c69 6e65 [0] }}'. line │ │ │ │ 0028b800: 3a20 2d77 202f 6574 632f 7375 646f 6572 : -w /etc/sudoer │ │ │ │ 0028b810: 732e 642f 202d 7020 7761 202d 6b20 6163 s.d/ -p wa -k ac │ │ │ │ 0028b820: 7469 6f6e 730a 2020 2020 6372 6561 7465 tions. create │ │ │ │ 0028b830: 3a20 7472 7565 0a20 2020 206d 6f64 653a : true. mode: │ │ │ │ 0028b840: 2027 3036 3430 270a 2020 7768 656e 3a0a '0640'. when:. │ │ │ │ -0028b850: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ -0028b860: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -0028b870: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ -0028b880: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ -0028b890: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ -0028b8a0: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ -0028b8b0: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ -0028b8c0: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ -0028b8d0: 225d 0a20 202d 2066 696e 645f 6578 6973 "]. - find_exis │ │ │ │ +0028b850: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ +0028b860: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ +0028b870: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ +0028b880: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ +0028b890: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ +0028b8a0: 6e74 6169 6e65 7222 5d0a 2020 2d20 2722 ntainer"]. - '" │ │ │ │ +0028b8b0: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ +0028b8c0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ +0028b8d0: 7327 0a20 202d 2066 696e 645f 6578 6973 s'. - find_exis │ │ │ │ 0028b8e0: 7469 6e67 5f77 6174 6368 5f72 756c 6573 ting_watch_rules │ │ │ │ 0028b8f0: 5f64 2e6d 6174 6368 6564 2069 7320 6465 _d.matched is de │ │ │ │ 0028b900: 6669 6e65 6420 616e 6420 6669 6e64 5f65 fined and find_e │ │ │ │ 0028b910: 7869 7374 696e 675f 7761 7463 685f 7275 xisting_watch_ru │ │ │ │ 0028b920: 6c65 735f 642e 6d61 7463 6865 640a 2020 les_d.matched. │ │ │ │ 0028b930: 2020 3d3d 2030 0a20 2074 6167 733a 0a20 == 0. tags:. │ │ │ │ 0028b940: 202d 2043 4a49 532d 352e 342e 312e 310a - CJIS-5.4.1.1. │ │ │ │ @@ -166835,23 +166835,23 @@ │ │ │ │ 0028bb20: 5e5c 732a 2d77 5c73 2b2f 6574 632f 7375 ^\s*-w\s+/etc/su │ │ │ │ 0028bb30: 646f 6572 732e 642f 5c73 2b2d 705c 732b doers.d/\s+-p\s+ │ │ │ │ 0028bb40: 7761 285c 737c 2429 2b0a 2020 2020 7061 wa(\s|$)+. pa │ │ │ │ 0028bb50: 7474 6572 6e73 3a20 6175 6469 742e 7275 tterns: audit.ru │ │ │ │ 0028bb60: 6c65 730a 2020 7265 6769 7374 6572 3a20 les. register: │ │ │ │ 0028bb70: 6669 6e64 5f65 7869 7374 696e 675f 7761 find_existing_wa │ │ │ │ 0028bb80: 7463 685f 6175 6469 745f 7275 6c65 730a tch_audit_rules. │ │ │ │ -0028bb90: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -0028bba0: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -0028bbb0: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -0028bbc0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -0028bbd0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -0028bbe0: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -0028bbf0: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -0028bc00: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -0028bc10: 6f6e 7461 696e 6572 225d 0a20 2074 6167 ontainer"]. tag │ │ │ │ +0028bb90: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +0028bba0: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +0028bbb0: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +0028bbc0: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +0028bbd0: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +0028bbe0: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +0028bbf0: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +0028bc00: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +0028bc10: 2e70 6163 6b61 6765 7327 0a20 2074 6167 .packages'. tag │ │ │ │ 0028bc20: 733a 0a20 202d 2043 4a49 532d 352e 342e s:. - CJIS-5.4. │ │ │ │ 0028bc30: 312e 310a 2020 2d20 4e49 5354 2d38 3030 1.1. - NIST-800 │ │ │ │ 0028bc40: 2d31 3731 2d33 2e31 2e37 0a20 202d 204e -171-3.1.7. - N │ │ │ │ 0028bc50: 4953 542d 3830 302d 3533 2d41 432d 3228 IST-800-53-AC-2( │ │ │ │ 0028bc60: 3729 2862 290a 2020 2d20 4e49 5354 2d38 7)(b). - NIST-8 │ │ │ │ 0028bc70: 3030 2d35 332d 4143 2d36 2839 290a 2020 00-53-AC-6(9). │ │ │ │ 0028bc80: 2d20 4e49 5354 2d38 3030 2d35 332d 4155 - NIST-800-53-AU │ │ │ │ @@ -166880,22 +166880,22 @@ │ │ │ │ 0028bdf0: 2077 6120 2d6b 2061 6374 696f 6e73 0a20 wa -k actions. │ │ │ │ 0028be00: 2020 2073 7461 7465 3a20 7072 6573 656e state: presen │ │ │ │ 0028be10: 740a 2020 2020 6465 7374 3a20 2f65 7463 t. dest: /etc │ │ │ │ 0028be20: 2f61 7564 6974 2f61 7564 6974 2e72 756c /audit/audit.rul │ │ │ │ 0028be30: 6573 0a20 2020 2063 7265 6174 653a 2074 es. create: t │ │ │ │ 0028be40: 7275 650a 2020 2020 6d6f 6465 3a20 2730 rue. mode: '0 │ │ │ │ 0028be50: 3634 3027 0a20 2077 6865 6e3a 0a20 202d 640'. when:. - │ │ │ │ -0028be60: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ -0028be70: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ -0028be80: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl │ │ │ │ -0028be90: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ -0028bea0: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ -0028beb0: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ -0028bec0: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ -0028bed0: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +0028be60: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ +0028be70: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ +0028be80: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ +0028be90: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ +0028bea0: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ +0028beb0: 696e 6572 225d 0a20 202d 2027 2261 7564 iner"]. - '"aud │ │ │ │ +0028bec0: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ +0028bed0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ 0028bee0: 2020 2d20 6669 6e64 5f65 7869 7374 696e - find_existin │ │ │ │ 0028bef0: 675f 7761 7463 685f 6175 6469 745f 7275 g_watch_audit_ru │ │ │ │ 0028bf00: 6c65 732e 6d61 7463 6865 6420 6973 2064 les.matched is d │ │ │ │ 0028bf10: 6566 696e 6564 2061 6e64 2066 696e 645f efined and find_ │ │ │ │ 0028bf20: 6578 6973 7469 6e67 5f77 6174 6368 5f61 existing_watch_a │ │ │ │ 0028bf30: 7564 6974 5f72 756c 6573 2e6d 6174 6368 udit_rules.match │ │ │ │ 0028bf40: 6564 0a20 2020 203d 3d20 300a 2020 7461 ed. == 0. ta │ │ │ │ @@ -168212,23 +168212,23 @@ │ │ │ │ 00291130: 2063 6f6e 7461 696e 733a 205e 5c73 2a2d contains: ^\s*- │ │ │ │ 00291140: 775c 732b 2f65 7463 2f67 726f 7570 5c73 w\s+/etc/group\s │ │ │ │ 00291150: 2b2d 705c 732b 7761 285c 737c 2429 2b0a +-p\s+wa(\s|$)+. │ │ │ │ 00291160: 2020 2020 7061 7474 6572 6e73 3a20 272a patterns: '* │ │ │ │ 00291170: 2e72 756c 6573 270a 2020 7265 6769 7374 .rules'. regist │ │ │ │ 00291180: 6572 3a20 6669 6e64 5f65 7869 7374 696e er: find_existin │ │ │ │ 00291190: 675f 7761 7463 685f 7275 6c65 735f 640a g_watch_rules_d. │ │ │ │ -002911a0: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -002911b0: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -002911c0: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -002911d0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -002911e0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -002911f0: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -00291200: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -00291210: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -00291220: 6f6e 7461 696e 6572 225d 0a20 2074 6167 ontainer"]. tag │ │ │ │ +002911a0: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +002911b0: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +002911c0: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +002911d0: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +002911e0: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +002911f0: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +00291200: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +00291210: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +00291220: 2e70 6163 6b61 6765 7327 0a20 2074 6167 .packages'. tag │ │ │ │ 00291230: 733a 0a20 202d 2043 4a49 532d 352e 342e s:. - CJIS-5.4. │ │ │ │ 00291240: 312e 310a 2020 2d20 4449 5341 2d53 5449 1.1. - DISA-STI │ │ │ │ 00291250: 472d 5542 5455 2d32 302d 3031 3031 3031 G-UBTU-20-010101 │ │ │ │ 00291260: 0a20 202d 204e 4953 542d 3830 302d 3137 . - NIST-800-17 │ │ │ │ 00291270: 312d 332e 312e 370a 2020 2d20 4e49 5354 1-3.1.7. - NIST │ │ │ │ 00291280: 2d38 3030 2d35 332d 4143 2d32 2834 290a -800-53-AC-2(4). │ │ │ │ 00291290: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ @@ -168260,23 +168260,23 @@ │ │ │ │ 00291430: 6169 6e73 3a20 5e2e 2a28 3f3a 2d46 206b ains: ^.*(?:-F k │ │ │ │ 00291440: 6579 3d7c 2d6b 5c73 2b29 6175 6469 745f ey=|-k\s+)audit_ │ │ │ │ 00291450: 7275 6c65 735f 7573 6572 6772 6f75 705f rules_usergroup_ │ │ │ │ 00291460: 6d6f 6469 6669 6361 7469 6f6e 240a 2020 modification$. │ │ │ │ 00291470: 2020 7061 7474 6572 6e73 3a20 272a 2e72 patterns: '*.r │ │ │ │ 00291480: 756c 6573 270a 2020 7265 6769 7374 6572 ules'. register │ │ │ │ 00291490: 3a20 6669 6e64 5f77 6174 6368 5f6b 6579 : find_watch_key │ │ │ │ -002914a0: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -002914b0: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -002914c0: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -002914d0: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -002914e0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -002914f0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -00291500: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -00291510: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -00291520: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +002914a0: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +002914b0: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +002914c0: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +002914d0: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +002914e0: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +002914f0: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +00291500: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +00291510: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +00291520: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ 00291530: 6669 6e64 5f65 7869 7374 696e 675f 7761 find_existing_wa │ │ │ │ 00291540: 7463 685f 7275 6c65 735f 642e 6d61 7463 tch_rules_d.matc │ │ │ │ 00291550: 6865 6420 6973 2064 6566 696e 6564 2061 hed is defined a │ │ │ │ 00291560: 6e64 2066 696e 645f 6578 6973 7469 6e67 nd find_existing │ │ │ │ 00291570: 5f77 6174 6368 5f72 756c 6573 5f64 2e6d _watch_rules_d.m │ │ │ │ 00291580: 6174 6368 6564 0a20 2020 203d 3d20 300a atched. == 0. │ │ │ │ 00291590: 2020 7461 6773 3a0a 2020 2d20 434a 4953 tags:. - CJIS │ │ │ │ @@ -168311,22 +168311,22 @@ │ │ │ │ 00291760: 7468 6520 7275 6c65 0a20 2073 6574 5f66 the rule. set_f │ │ │ │ 00291770: 6163 743a 0a20 2020 2061 6c6c 5f66 696c act:. all_fil │ │ │ │ 00291780: 6573 3a0a 2020 2020 2d20 2f65 7463 2f61 es:. - /etc/a │ │ │ │ 00291790: 7564 6974 2f72 756c 6573 2e64 2f61 7564 udit/rules.d/aud │ │ │ │ 002917a0: 6974 5f72 756c 6573 5f75 7365 7267 726f it_rules_usergro │ │ │ │ 002917b0: 7570 5f6d 6f64 6966 6963 6174 696f 6e2e up_modification. │ │ │ │ 002917c0: 7275 6c65 730a 2020 7768 656e 3a0a 2020 rules. when:. │ │ │ │ -002917d0: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ -002917e0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ -002917f0: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ -00291800: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ -00291810: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ -00291820: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ -00291830: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ -00291840: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +002917d0: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ +002917e0: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ +002917f0: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ +00291800: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ +00291810: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ +00291820: 6169 6e65 7222 5d0a 2020 2d20 2722 6175 ainer"]. - '"au │ │ │ │ +00291830: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ +00291840: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ 00291850: 0a20 202d 2066 696e 645f 7761 7463 685f . - find_watch_ │ │ │ │ 00291860: 6b65 792e 6d61 7463 6865 6420 6973 2064 key.matched is d │ │ │ │ 00291870: 6566 696e 6564 2061 6e64 2066 696e 645f efined and find_ │ │ │ │ 00291880: 7761 7463 685f 6b65 792e 6d61 7463 6865 watch_key.matche │ │ │ │ 00291890: 6420 3d3d 2030 2061 6e64 2066 696e 645f d == 0 and find_ │ │ │ │ 002918a0: 6578 6973 7469 6e67 5f77 6174 6368 5f72 existing_watch_r │ │ │ │ 002918b0: 756c 6573 5f64 2e6d 6174 6368 6564 0a20 ules_d.matched. │ │ │ │ @@ -168363,23 +168363,23 @@ │ │ │ │ 00291aa0: 0a20 2073 6574 5f66 6163 743a 0a20 2020 . set_fact:. │ │ │ │ 00291ab0: 2061 6c6c 5f66 696c 6573 3a0a 2020 2020 all_files:. │ │ │ │ 00291ac0: 2d20 277b 7b20 6669 6e64 5f77 6174 6368 - '{{ find_watch │ │ │ │ 00291ad0: 5f6b 6579 2e66 696c 6573 207c 206d 6170 _key.files | map │ │ │ │ 00291ae0: 2861 7474 7269 6275 7465 3d27 2770 6174 (attribute=''pat │ │ │ │ 00291af0: 6827 2729 207c 206c 6973 7420 7c20 6669 h'') | list | fi │ │ │ │ 00291b00: 7273 7420 7d7d 270a 2020 7768 656e 3a0a rst }}'. when:. │ │ │ │ -00291b10: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ -00291b20: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -00291b30: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ -00291b40: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ -00291b50: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ -00291b60: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ -00291b70: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ -00291b80: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ -00291b90: 225d 0a20 202d 2066 696e 645f 7761 7463 "]. - find_watc │ │ │ │ +00291b10: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ +00291b20: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ +00291b30: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ +00291b40: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ +00291b50: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ +00291b60: 6e74 6169 6e65 7222 5d0a 2020 2d20 2722 ntainer"]. - '" │ │ │ │ +00291b70: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ +00291b80: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ +00291b90: 7327 0a20 202d 2066 696e 645f 7761 7463 s'. - find_watc │ │ │ │ 00291ba0: 685f 6b65 792e 6d61 7463 6865 6420 6973 h_key.matched is │ │ │ │ 00291bb0: 2064 6566 696e 6564 2061 6e64 2066 696e defined and fin │ │ │ │ 00291bc0: 645f 7761 7463 685f 6b65 792e 6d61 7463 d_watch_key.matc │ │ │ │ 00291bd0: 6865 6420 2667 743b 2030 2061 6e64 2066 hed > 0 and f │ │ │ │ 00291be0: 696e 645f 6578 6973 7469 6e67 5f77 6174 ind_existing_wat │ │ │ │ 00291bf0: 6368 5f72 756c 6573 5f64 2e6d 6174 6368 ch_rules_d.match │ │ │ │ 00291c00: 6564 0a20 2020 2069 7320 6465 6669 6e65 ed. is define │ │ │ │ @@ -168418,23 +168418,23 @@ │ │ │ │ 00291e10: 5b30 5d20 7d7d 270a 2020 2020 6c69 6e65 [0] }}'. line │ │ │ │ 00291e20: 3a20 2d77 202f 6574 632f 6772 6f75 7020 : -w /etc/group │ │ │ │ 00291e30: 2d70 2077 6120 2d6b 2061 7564 6974 5f72 -p wa -k audit_r │ │ │ │ 00291e40: 756c 6573 5f75 7365 7267 726f 7570 5f6d ules_usergroup_m │ │ │ │ 00291e50: 6f64 6966 6963 6174 696f 6e0a 2020 2020 odification. │ │ │ │ 00291e60: 6372 6561 7465 3a20 7472 7565 0a20 2020 create: true. │ │ │ │ 00291e70: 206d 6f64 653a 2027 3036 3430 270a 2020 mode: '0640'. │ │ │ │ -00291e80: 7768 656e 3a0a 2020 2d20 2722 6175 6469 when:. - '"audi │ │ │ │ -00291e90: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ -00291ea0: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ -00291eb0: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ -00291ec0: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ -00291ed0: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ -00291ee0: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ -00291ef0: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ -00291f00: 7461 696e 6572 225d 0a20 202d 2066 696e tainer"]. - fin │ │ │ │ +00291e80: 7768 656e 3a0a 2020 2d20 616e 7369 626c when:. - ansibl │ │ │ │ +00291e90: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ +00291ea0: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ +00291eb0: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ +00291ec0: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ +00291ed0: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +00291ee0: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ +00291ef0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ +00291f00: 6163 6b61 6765 7327 0a20 202d 2066 696e ackages'. - fin │ │ │ │ 00291f10: 645f 6578 6973 7469 6e67 5f77 6174 6368 d_existing_watch │ │ │ │ 00291f20: 5f72 756c 6573 5f64 2e6d 6174 6368 6564 _rules_d.matched │ │ │ │ 00291f30: 2069 7320 6465 6669 6e65 6420 616e 6420 is defined and │ │ │ │ 00291f40: 6669 6e64 5f65 7869 7374 696e 675f 7761 find_existing_wa │ │ │ │ 00291f50: 7463 685f 7275 6c65 735f 642e 6d61 7463 tch_rules_d.matc │ │ │ │ 00291f60: 6865 640a 2020 2020 3d3d 2030 0a20 2074 hed. == 0. t │ │ │ │ 00291f70: 6167 733a 0a20 202d 2043 4a49 532d 352e ags:. - CJIS-5. │ │ │ │ @@ -168471,23 +168471,23 @@ │ │ │ │ 00292160: 2a2d 775c 732b 2f65 7463 2f67 726f 7570 *-w\s+/etc/group │ │ │ │ 00292170: 5c73 2b2d 705c 732b 7761 285c 737c 2429 \s+-p\s+wa(\s|$) │ │ │ │ 00292180: 2b0a 2020 2020 7061 7474 6572 6e73 3a20 +. patterns: │ │ │ │ 00292190: 6175 6469 742e 7275 6c65 730a 2020 7265 audit.rules. re │ │ │ │ 002921a0: 6769 7374 6572 3a20 6669 6e64 5f65 7869 gister: find_exi │ │ │ │ 002921b0: 7374 696e 675f 7761 7463 685f 6175 6469 sting_watch_audi │ │ │ │ 002921c0: 745f 7275 6c65 730a 2020 7768 656e 3a0a t_rules. when:. │ │ │ │ -002921d0: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ -002921e0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -002921f0: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ -00292200: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ -00292210: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ -00292220: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ -00292230: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ -00292240: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ -00292250: 225d 0a20 2074 6167 733a 0a20 202d 2043 "]. tags:. - C │ │ │ │ +002921d0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ +002921e0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ +002921f0: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ +00292200: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ +00292210: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ +00292220: 6e74 6169 6e65 7222 5d0a 2020 2d20 2722 ntainer"]. - '" │ │ │ │ +00292230: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ +00292240: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ +00292250: 7327 0a20 2074 6167 733a 0a20 202d 2043 s'. tags:. - C │ │ │ │ 00292260: 4a49 532d 352e 342e 312e 310a 2020 2d20 JIS-5.4.1.1. - │ │ │ │ 00292270: 4449 5341 2d53 5449 472d 5542 5455 2d32 DISA-STIG-UBTU-2 │ │ │ │ 00292280: 302d 3031 3031 3031 0a20 202d 204e 4953 0-010101. - NIS │ │ │ │ 00292290: 542d 3830 302d 3137 312d 332e 312e 370a T-800-171-3.1.7. │ │ │ │ 002922a0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ 002922b0: 4143 2d32 2834 290a 2020 2d20 4e49 5354 AC-2(4). - NIST │ │ │ │ 002922c0: 2d38 3030 2d35 332d 4143 2d36 2839 290a -800-53-AC-6(9). │ │ │ │ @@ -168517,23 +168517,23 @@ │ │ │ │ 00292440: 7267 726f 7570 5f6d 6f64 6966 6963 6174 rgroup_modificat │ │ │ │ 00292450: 696f 6e0a 2020 2020 7374 6174 653a 2070 ion. state: p │ │ │ │ 00292460: 7265 7365 6e74 0a20 2020 2064 6573 743a resent. dest: │ │ │ │ 00292470: 202f 6574 632f 6175 6469 742f 6175 6469 /etc/audit/audi │ │ │ │ 00292480: 742e 7275 6c65 730a 2020 2020 6372 6561 t.rules. crea │ │ │ │ 00292490: 7465 3a20 7472 7565 0a20 2020 206d 6f64 te: true. mod │ │ │ │ 002924a0: 653a 2027 3036 3430 270a 2020 7768 656e e: '0640'. when │ │ │ │ -002924b0: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -002924c0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -002924d0: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -002924e0: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -002924f0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -00292500: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -00292510: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -00292520: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -00292530: 6572 225d 0a20 202d 2066 696e 645f 6578 er"]. - find_ex │ │ │ │ +002924b0: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +002924c0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +002924d0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +002924e0: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +002924f0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +00292500: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +00292510: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +00292520: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +00292530: 6765 7327 0a20 202d 2066 696e 645f 6578 ges'. - find_ex │ │ │ │ 00292540: 6973 7469 6e67 5f77 6174 6368 5f61 7564 isting_watch_aud │ │ │ │ 00292550: 6974 5f72 756c 6573 2e6d 6174 6368 6564 it_rules.matched │ │ │ │ 00292560: 2069 7320 6465 6669 6e65 6420 616e 6420 is defined and │ │ │ │ 00292570: 6669 6e64 5f65 7869 7374 696e 675f 7761 find_existing_wa │ │ │ │ 00292580: 7463 685f 6175 6469 745f 7275 6c65 732e tch_audit_rules. │ │ │ │ 00292590: 6d61 7463 6865 640a 2020 2020 3d3d 2030 matched. == 0 │ │ │ │ 002925a0: 0a20 2074 6167 733a 0a20 202d 2043 4a49 . tags:. - CJI │ │ │ │ @@ -168575,26 +168575,26 @@ │ │ │ │ 002927e0: 613e 3c62 723e 3c64 6976 2063 6c61 7373 a>
# Remediatio │ │ │ │ 00292830: 6e20 6973 2061 7070 6c69 6361 626c 6520 n is applicable │ │ │ │ 00292840: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20 only in certain │ │ │ │ -00292850: 706c 6174 666f 726d 730a 6966 2064 706b platforms.if dpk │ │ │ │ -00292860: 672d 7175 6572 7920 2d2d 7368 6f77 202d g-query --show - │ │ │ │ -00292870: 2d73 686f 7766 6f72 6d61 743d 2724 7b64 -showformat='${d │ │ │ │ -00292880: 623a 5374 6174 7573 2d53 7461 7475 737d b:Status-Status} │ │ │ │ -00292890: 5c6e 2720 2761 7564 6974 6427 2032 2667 \n' 'auditd' 2&g │ │ │ │ -002928a0: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772 t;/dev/null | gr │ │ │ │ -002928b0: 6570 202d 7120 696e 7374 616c 6c65 6420 ep -q installed │ │ │ │ -002928c0: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ -002928d0: 6620 2f2e 646f 636b 6572 656e 7620 5d20 f /.dockerenv ] │ │ │ │ -002928e0: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ -002928f0: 6620 2f72 756e 2f2e 636f 6e74 6169 6e65 f /run/.containe │ │ │ │ -00292900: 7265 6e76 205d 3b20 7468 656e 0a0a 2320 renv ]; then..# │ │ │ │ +00292850: 706c 6174 666f 726d 730a 6966 205b 2021 platforms.if [ ! │ │ │ │ +00292860: 202d 6620 2f2e 646f 636b 6572 656e 7620 -f /.dockerenv │ │ │ │ +00292870: 5d20 2661 6d70 3b26 616d 703b 205b 2021 ] && [ ! │ │ │ │ +00292880: 202d 6620 2f72 756e 2f2e 636f 6e74 6169 -f /run/.contai │ │ │ │ +00292890: 6e65 7265 6e76 205d 2026 616d 703b 2661 nerenv ] &&a │ │ │ │ +002928a0: 6d70 3b20 6470 6b67 2d71 7565 7279 202d mp; dpkg-query - │ │ │ │ +002928b0: 2d73 686f 7720 2d2d 7368 6f77 666f 726d -show --showform │ │ │ │ +002928c0: 6174 3d27 247b 6462 3a53 7461 7475 732d at='${db:Status- │ │ │ │ +002928d0: 5374 6174 7573 7d5c 6e27 2027 6175 6469 Status}\n' 'audi │ │ │ │ +002928e0: 7464 2720 3226 6774 3b2f 6465 762f 6e75 td' 2>/dev/nu │ │ │ │ +002928f0: 6c6c 207c 2067 7265 7020 2d71 2069 6e73 ll | grep -q ins │ │ │ │ +00292900: 7461 6c6c 6564 3b20 7468 656e 0a0a 2320 talled; then..# │ │ │ │ 00292910: 5065 7266 6f72 6d20 7468 6520 7265 6d65 Perform the reme │ │ │ │ 00292920: 6469 6174 696f 6e20 666f 7220 626f 7468 diation for both │ │ │ │ 00292930: 2070 6f73 7369 626c 6520 746f 6f6c 733a possible tools: │ │ │ │ 00292940: 2027 6175 6469 7463 746c 2720 616e 6420 'auditctl' and │ │ │ │ 00292950: 2761 7567 656e 7275 6c65 7327 0a0a 2320 'augenrules'..# │ │ │ │ 00292960: 4372 6561 7465 2061 206c 6973 7420 6f66 Create a list of │ │ │ │ 00292970: 2061 7564 6974 202a 2e72 756c 6573 2066 audit *.rules f │ │ │ │ @@ -170321,22 +170321,22 @@ │ │ │ │ 00299500: 2a2d 775c 732b 2f65 7463 2f67 7368 6164 *-w\s+/etc/gshad │ │ │ │ 00299510: 6f77 5c73 2b2d 705c 732b 7761 285c 737c ow\s+-p\s+wa(\s| │ │ │ │ 00299520: 2429 2b0a 2020 2020 7061 7474 6572 6e73 $)+. patterns │ │ │ │ 00299530: 3a20 272a 2e72 756c 6573 270a 2020 7265 : '*.rules'. re │ │ │ │ 00299540: 6769 7374 6572 3a20 6669 6e64 5f65 7869 gister: find_exi │ │ │ │ 00299550: 7374 696e 675f 7761 7463 685f 7275 6c65 sting_watch_rule │ │ │ │ 00299560: 735f 640a 2020 7768 656e 3a0a 2020 2d20 s_d. when:. - │ │ │ │ -00299570: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ -00299580: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ -00299590: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ -002995a0: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ -002995b0: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ -002995c0: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ -002995d0: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ -002995e0: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +00299570: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ +00299580: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ +00299590: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ +002995a0: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ +002995b0: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ +002995c0: 6e65 7222 5d0a 2020 2d20 2722 6175 6469 ner"]. - '"audi │ │ │ │ +002995d0: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ +002995e0: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ 002995f0: 2074 6167 733a 0a20 202d 2043 4a49 532d tags:. - CJIS- │ │ │ │ 00299600: 352e 342e 312e 310a 2020 2d20 4449 5341 5.4.1.1. - DISA │ │ │ │ 00299610: 2d53 5449 472d 5542 5455 2d32 302d 3031 -STIG-UBTU-20-01 │ │ │ │ 00299620: 3031 3033 0a20 202d 204e 4953 542d 3830 0103. - NIST-80 │ │ │ │ 00299630: 302d 3137 312d 332e 312e 370a 2020 2d20 0-171-3.1.7. - │ │ │ │ 00299640: 4e49 5354 2d38 3030 2d35 332d 4143 2d32 NIST-800-53-AC-2 │ │ │ │ 00299650: 2834 290a 2020 2d20 4e49 5354 2d38 3030 (4). - NIST-800 │ │ │ │ @@ -170369,23 +170369,23 @@ │ │ │ │ 00299800: 3f3a 2d46 206b 6579 3d7c 2d6b 5c73 2b29 ?:-F key=|-k\s+) │ │ │ │ 00299810: 6175 6469 745f 7275 6c65 735f 7573 6572 audit_rules_user │ │ │ │ 00299820: 6772 6f75 705f 6d6f 6469 6669 6361 7469 group_modificati │ │ │ │ 00299830: 6f6e 240a 2020 2020 7061 7474 6572 6e73 on$. patterns │ │ │ │ 00299840: 3a20 272a 2e72 756c 6573 270a 2020 7265 : '*.rules'. re │ │ │ │ 00299850: 6769 7374 6572 3a20 6669 6e64 5f77 6174 gister: find_wat │ │ │ │ 00299860: 6368 5f6b 6579 0a20 2077 6865 6e3a 0a20 ch_key. when:. │ │ │ │ -00299870: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ -00299880: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ -00299890: 636b 6167 6573 270a 2020 2d20 616e 7369 ckages'. - ansi │ │ │ │ -002998a0: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ -002998b0: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ -002998c0: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ -002998d0: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ -002998e0: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ -002998f0: 5d0a 2020 2d20 6669 6e64 5f65 7869 7374 ]. - find_exist │ │ │ │ +00299870: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ +00299880: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ +00299890: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ +002998a0: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ +002998b0: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ +002998c0: 7461 696e 6572 225d 0a20 202d 2027 2261 tainer"]. - '"a │ │ │ │ +002998d0: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ +002998e0: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ +002998f0: 270a 2020 2d20 6669 6e64 5f65 7869 7374 '. - find_exist │ │ │ │ 00299900: 696e 675f 7761 7463 685f 7275 6c65 735f ing_watch_rules_ │ │ │ │ 00299910: 642e 6d61 7463 6865 6420 6973 2064 6566 d.matched is def │ │ │ │ 00299920: 696e 6564 2061 6e64 2066 696e 645f 6578 ined and find_ex │ │ │ │ 00299930: 6973 7469 6e67 5f77 6174 6368 5f72 756c isting_watch_rul │ │ │ │ 00299940: 6573 5f64 2e6d 6174 6368 6564 0a20 2020 es_d.matched. │ │ │ │ 00299950: 203d 3d20 300a 2020 7461 6773 3a0a 2020 == 0. tags:. │ │ │ │ 00299960: 2d20 434a 4953 2d35 2e34 2e31 2e31 0a20 - CJIS-5.4.1.1. │ │ │ │ @@ -170419,23 +170419,23 @@ │ │ │ │ 00299b20: 2020 2020 666f 7220 7468 6520 7275 6c65 for the rule │ │ │ │ 00299b30: 0a20 2073 6574 5f66 6163 743a 0a20 2020 . set_fact:. │ │ │ │ 00299b40: 2061 6c6c 5f66 696c 6573 3a0a 2020 2020 all_files:. │ │ │ │ 00299b50: 2d20 2f65 7463 2f61 7564 6974 2f72 756c - /etc/audit/rul │ │ │ │ 00299b60: 6573 2e64 2f61 7564 6974 5f72 756c 6573 es.d/audit_rules │ │ │ │ 00299b70: 5f75 7365 7267 726f 7570 5f6d 6f64 6966 _usergroup_modif │ │ │ │ 00299b80: 6963 6174 696f 6e2e 7275 6c65 730a 2020 ication.rules. │ │ │ │ -00299b90: 7768 656e 3a0a 2020 2d20 2722 6175 6469 when:. - '"audi │ │ │ │ -00299ba0: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ -00299bb0: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ -00299bc0: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ -00299bd0: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ -00299be0: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ -00299bf0: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ -00299c00: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ -00299c10: 7461 696e 6572 225d 0a20 202d 2066 696e tainer"]. - fin │ │ │ │ +00299b90: 7768 656e 3a0a 2020 2d20 616e 7369 626c when:. - ansibl │ │ │ │ +00299ba0: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ +00299bb0: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ +00299bc0: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ +00299bd0: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ +00299be0: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +00299bf0: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ +00299c00: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ +00299c10: 6163 6b61 6765 7327 0a20 202d 2066 696e ackages'. - fin │ │ │ │ 00299c20: 645f 7761 7463 685f 6b65 792e 6d61 7463 d_watch_key.matc │ │ │ │ 00299c30: 6865 6420 6973 2064 6566 696e 6564 2061 hed is defined a │ │ │ │ 00299c40: 6e64 2066 696e 645f 7761 7463 685f 6b65 nd find_watch_ke │ │ │ │ 00299c50: 792e 6d61 7463 6865 6420 3d3d 2030 2061 y.matched == 0 a │ │ │ │ 00299c60: 6e64 2066 696e 645f 6578 6973 7469 6e67 nd find_existing │ │ │ │ 00299c70: 5f77 6174 6368 5f72 756c 6573 5f64 2e6d _watch_rules_d.m │ │ │ │ 00299c80: 6174 6368 6564 0a20 2020 2069 7320 6465 atched. is de │ │ │ │ @@ -170471,23 +170471,23 @@ │ │ │ │ 00299e60: 7220 7468 6520 7275 6c65 0a20 2073 6574 r the rule. set │ │ │ │ 00299e70: 5f66 6163 743a 0a20 2020 2061 6c6c 5f66 _fact:. all_f │ │ │ │ 00299e80: 696c 6573 3a0a 2020 2020 2d20 277b 7b20 iles:. - '{{ │ │ │ │ 00299e90: 6669 6e64 5f77 6174 6368 5f6b 6579 2e66 find_watch_key.f │ │ │ │ 00299ea0: 696c 6573 207c 206d 6170 2861 7474 7269 iles | map(attri │ │ │ │ 00299eb0: 6275 7465 3d27 2770 6174 6827 2729 207c bute=''path'') | │ │ │ │ 00299ec0: 206c 6973 7420 7c20 6669 7273 7420 7d7d list | first }} │ │ │ │ -00299ed0: 270a 2020 7768 656e 3a0a 2020 2d20 2722 '. when:. - '" │ │ │ │ -00299ee0: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -00299ef0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -00299f00: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -00299f10: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -00299f20: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -00299f30: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -00299f40: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -00299f50: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +00299ed0: 270a 2020 7768 656e 3a0a 2020 2d20 616e '. when:. - an │ │ │ │ +00299ee0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +00299ef0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +00299f00: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +00299f10: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +00299f20: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +00299f30: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +00299f40: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +00299f50: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ 00299f60: 2066 696e 645f 7761 7463 685f 6b65 792e find_watch_key. │ │ │ │ 00299f70: 6d61 7463 6865 6420 6973 2064 6566 696e matched is defin │ │ │ │ 00299f80: 6564 2061 6e64 2066 696e 645f 7761 7463 ed and find_watc │ │ │ │ 00299f90: 685f 6b65 792e 6d61 7463 6865 6420 2667 h_key.matched &g │ │ │ │ 00299fa0: 743b 2030 2061 6e64 2066 696e 645f 6578 t; 0 and find_ex │ │ │ │ 00299fb0: 6973 7469 6e67 5f77 6174 6368 5f72 756c isting_watch_rul │ │ │ │ 00299fc0: 6573 5f64 2e6d 6174 6368 6564 0a20 2020 es_d.matched. │ │ │ │ @@ -170527,23 +170527,23 @@ │ │ │ │ 0029a1e0: 5d20 7d7d 270a 2020 2020 6c69 6e65 3a20 ] }}'. line: │ │ │ │ 0029a1f0: 2d77 202f 6574 632f 6773 6861 646f 7720 -w /etc/gshadow │ │ │ │ 0029a200: 2d70 2077 6120 2d6b 2061 7564 6974 5f72 -p wa -k audit_r │ │ │ │ 0029a210: 756c 6573 5f75 7365 7267 726f 7570 5f6d ules_usergroup_m │ │ │ │ 0029a220: 6f64 6966 6963 6174 696f 6e0a 2020 2020 odification. │ │ │ │ 0029a230: 6372 6561 7465 3a20 7472 7565 0a20 2020 create: true. │ │ │ │ 0029a240: 206d 6f64 653a 2027 3036 3430 270a 2020 mode: '0640'. │ │ │ │ -0029a250: 7768 656e 3a0a 2020 2d20 2722 6175 6469 when:. - '"audi │ │ │ │ -0029a260: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ -0029a270: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ -0029a280: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ -0029a290: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ -0029a2a0: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ -0029a2b0: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ -0029a2c0: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ -0029a2d0: 7461 696e 6572 225d 0a20 202d 2066 696e tainer"]. - fin │ │ │ │ +0029a250: 7768 656e 3a0a 2020 2d20 616e 7369 626c when:. - ansibl │ │ │ │ +0029a260: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ +0029a270: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ +0029a280: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ +0029a290: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ +0029a2a0: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +0029a2b0: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ +0029a2c0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ +0029a2d0: 6163 6b61 6765 7327 0a20 202d 2066 696e ackages'. - fin │ │ │ │ 0029a2e0: 645f 6578 6973 7469 6e67 5f77 6174 6368 d_existing_watch │ │ │ │ 0029a2f0: 5f72 756c 6573 5f64 2e6d 6174 6368 6564 _rules_d.matched │ │ │ │ 0029a300: 2069 7320 6465 6669 6e65 6420 616e 6420 is defined and │ │ │ │ 0029a310: 6669 6e64 5f65 7869 7374 696e 675f 7761 find_existing_wa │ │ │ │ 0029a320: 7463 685f 7275 6c65 735f 642e 6d61 7463 tch_rules_d.matc │ │ │ │ 0029a330: 6865 640a 2020 2020 3d3d 2030 0a20 2074 hed. == 0. t │ │ │ │ 0029a340: 6167 733a 0a20 202d 2043 4a49 532d 352e ags:. - CJIS-5. │ │ │ │ @@ -170580,23 +170580,23 @@ │ │ │ │ 0029a530: 205e 5c73 2a2d 775c 732b 2f65 7463 2f67 ^\s*-w\s+/etc/g │ │ │ │ 0029a540: 7368 6164 6f77 5c73 2b2d 705c 732b 7761 shadow\s+-p\s+wa │ │ │ │ 0029a550: 285c 737c 2429 2b0a 2020 2020 7061 7474 (\s|$)+. patt │ │ │ │ 0029a560: 6572 6e73 3a20 6175 6469 742e 7275 6c65 erns: audit.rule │ │ │ │ 0029a570: 730a 2020 7265 6769 7374 6572 3a20 6669 s. register: fi │ │ │ │ 0029a580: 6e64 5f65 7869 7374 696e 675f 7761 7463 nd_existing_watc │ │ │ │ 0029a590: 685f 6175 6469 745f 7275 6c65 730a 2020 h_audit_rules. │ │ │ │ -0029a5a0: 7768 656e 3a0a 2020 2d20 2722 6175 6469 when:. - '"audi │ │ │ │ -0029a5b0: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ -0029a5c0: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ -0029a5d0: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ -0029a5e0: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ -0029a5f0: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ -0029a600: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ -0029a610: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ -0029a620: 7461 696e 6572 225d 0a20 2074 6167 733a tainer"]. tags: │ │ │ │ +0029a5a0: 7768 656e 3a0a 2020 2d20 616e 7369 626c when:. - ansibl │ │ │ │ +0029a5b0: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ +0029a5c0: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ +0029a5d0: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ +0029a5e0: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ +0029a5f0: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +0029a600: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ +0029a610: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ +0029a620: 6163 6b61 6765 7327 0a20 2074 6167 733a ackages'. tags: │ │ │ │ 0029a630: 0a20 202d 2043 4a49 532d 352e 342e 312e . - CJIS-5.4.1. │ │ │ │ 0029a640: 310a 2020 2d20 4449 5341 2d53 5449 472d 1. - DISA-STIG- │ │ │ │ 0029a650: 5542 5455 2d32 302d 3031 3031 3033 0a20 UBTU-20-010103. │ │ │ │ 0029a660: 202d 204e 4953 542d 3830 302d 3137 312d - NIST-800-171- │ │ │ │ 0029a670: 332e 312e 370a 2020 2d20 4e49 5354 2d38 3.1.7. - NIST-8 │ │ │ │ 0029a680: 3030 2d35 332d 4143 2d32 2834 290a 2020 00-53-AC-2(4). │ │ │ │ 0029a690: 2d20 4e49 5354 2d38 3030 2d35 332d 4143 - NIST-800-53-AC │ │ │ │ @@ -170627,22 +170627,22 @@ │ │ │ │ 0029a820: 7570 5f6d 6f64 6966 6963 6174 696f 6e0a up_modification. │ │ │ │ 0029a830: 2020 2020 7374 6174 653a 2070 7265 7365 state: prese │ │ │ │ 0029a840: 6e74 0a20 2020 2064 6573 743a 202f 6574 nt. dest: /et │ │ │ │ 0029a850: 632f 6175 6469 742f 6175 6469 742e 7275 c/audit/audit.ru │ │ │ │ 0029a860: 6c65 730a 2020 2020 6372 6561 7465 3a20 les. create: │ │ │ │ 0029a870: 7472 7565 0a20 2020 206d 6f64 653a 2027 true. mode: ' │ │ │ │ 0029a880: 3036 3430 270a 2020 7768 656e 3a0a 2020 0640'. when:. │ │ │ │ -0029a890: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ -0029a8a0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ -0029a8b0: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ -0029a8c0: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ -0029a8d0: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ -0029a8e0: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ -0029a8f0: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ -0029a900: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +0029a890: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ +0029a8a0: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ +0029a8b0: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ +0029a8c0: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ +0029a8d0: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ +0029a8e0: 6169 6e65 7222 5d0a 2020 2d20 2722 6175 ainer"]. - '"au │ │ │ │ +0029a8f0: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ +0029a900: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ 0029a910: 0a20 202d 2066 696e 645f 6578 6973 7469 . - find_existi │ │ │ │ 0029a920: 6e67 5f77 6174 6368 5f61 7564 6974 5f72 ng_watch_audit_r │ │ │ │ 0029a930: 756c 6573 2e6d 6174 6368 6564 2069 7320 ules.matched is │ │ │ │ 0029a940: 6465 6669 6e65 6420 616e 6420 6669 6e64 defined and find │ │ │ │ 0029a950: 5f65 7869 7374 696e 675f 7761 7463 685f _existing_watch_ │ │ │ │ 0029a960: 6175 6469 745f 7275 6c65 732e 6d61 7463 audit_rules.matc │ │ │ │ 0029a970: 6865 640a 2020 2020 3d3d 2030 0a20 2074 hed. == 0. t │ │ │ │ @@ -170685,26 +170685,26 @@ │ │ │ │ 0029abc0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22 # Remediation │ │ │ │ 0029ac10: 6973 2061 7070 6c69 6361 626c 6520 6f6e is applicable on │ │ │ │ 0029ac20: 6c79 2069 6e20 6365 7274 6169 6e20 706c ly in certain pl │ │ │ │ -0029ac30: 6174 666f 726d 730a 6966 2064 706b 672d atforms.if dpkg- │ │ │ │ -0029ac40: 7175 6572 7920 2d2d 7368 6f77 202d 2d73 query --show --s │ │ │ │ -0029ac50: 686f 7766 6f72 6d61 743d 2724 7b64 623a howformat='${db: │ │ │ │ -0029ac60: 5374 6174 7573 2d53 7461 7475 737d 5c6e Status-Status}\n │ │ │ │ -0029ac70: 2720 2761 7564 6974 6427 2032 2667 743b ' 'auditd' 2> │ │ │ │ -0029ac80: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570 /dev/null | grep │ │ │ │ -0029ac90: 202d 7120 696e 7374 616c 6c65 6420 2661 -q installed &a │ │ │ │ -0029aca0: 6d70 3b26 616d 703b 205b 2021 202d 6620 mp;& [ ! -f │ │ │ │ -0029acb0: 2f2e 646f 636b 6572 656e 7620 5d20 2661 /.dockerenv ] &a │ │ │ │ -0029acc0: 6d70 3b26 616d 703b 205b 2021 202d 6620 mp;& [ ! -f │ │ │ │ -0029acd0: 2f72 756e 2f2e 636f 6e74 6169 6e65 7265 /run/.containere │ │ │ │ -0029ace0: 6e76 205d 3b20 7468 656e 0a0a 2320 5065 nv ]; then..# Pe │ │ │ │ +0029ac30: 6174 666f 726d 730a 6966 205b 2021 202d atforms.if [ ! - │ │ │ │ +0029ac40: 6620 2f2e 646f 636b 6572 656e 7620 5d20 f /.dockerenv ] │ │ │ │ +0029ac50: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ +0029ac60: 6620 2f72 756e 2f2e 636f 6e74 6169 6e65 f /run/.containe │ │ │ │ +0029ac70: 7265 6e76 205d 2026 616d 703b 2661 6d70 renv ] && │ │ │ │ +0029ac80: 3b20 6470 6b67 2d71 7565 7279 202d 2d73 ; dpkg-query --s │ │ │ │ +0029ac90: 686f 7720 2d2d 7368 6f77 666f 726d 6174 how --showformat │ │ │ │ +0029aca0: 3d27 247b 6462 3a53 7461 7475 732d 5374 ='${db:Status-St │ │ │ │ +0029acb0: 6174 7573 7d5c 6e27 2027 6175 6469 7464 atus}\n' 'auditd │ │ │ │ +0029acc0: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c ' 2>/dev/null │ │ │ │ +0029acd0: 207c 2067 7265 7020 2d71 2069 6e73 7461 | grep -q insta │ │ │ │ +0029ace0: 6c6c 6564 3b20 7468 656e 0a0a 2320 5065 lled; then..# Pe │ │ │ │ 0029acf0: 7266 6f72 6d20 7468 6520 7265 6d65 6469 rform the remedi │ │ │ │ 0029ad00: 6174 696f 6e20 666f 7220 626f 7468 2070 ation for both p │ │ │ │ 0029ad10: 6f73 7369 626c 6520 746f 6f6c 733a 2027 ossible tools: ' │ │ │ │ 0029ad20: 6175 6469 7463 746c 2720 616e 6420 2761 auditctl' and 'a │ │ │ │ 0029ad30: 7567 656e 7275 6c65 7327 0a0a 2320 4372 ugenrules'..# Cr │ │ │ │ 0029ad40: 6561 7465 2061 206c 6973 7420 6f66 2061 eate a list of a │ │ │ │ 0029ad50: 7564 6974 202a 2e72 756c 6573 2066 696c udit *.rules fil │ │ │ │ @@ -172434,23 +172434,23 @@ │ │ │ │ 002a1910: 205e 5c73 2a2d 775c 732b 2f65 7463 2f73 ^\s*-w\s+/etc/s │ │ │ │ 002a1920: 6563 7572 6974 792f 6f70 6173 7377 645c ecurity/opasswd\ │ │ │ │ 002a1930: 732b 2d70 5c73 2b77 6128 5c73 7c24 292b s+-p\s+wa(\s|$)+ │ │ │ │ 002a1940: 0a20 2020 2070 6174 7465 726e 733a 2027 . patterns: ' │ │ │ │ 002a1950: 2a2e 7275 6c65 7327 0a20 2072 6567 6973 *.rules'. regis │ │ │ │ 002a1960: 7465 723a 2066 696e 645f 6578 6973 7469 ter: find_existi │ │ │ │ 002a1970: 6e67 5f77 6174 6368 5f72 756c 6573 5f64 ng_watch_rules_d │ │ │ │ -002a1980: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -002a1990: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -002a19a0: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -002a19b0: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -002a19c0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -002a19d0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -002a19e0: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -002a19f0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -002a1a00: 636f 6e74 6169 6e65 7222 5d0a 2020 7461 container"]. ta │ │ │ │ +002a1980: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +002a1990: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +002a19a0: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +002a19b0: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +002a19c0: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +002a19d0: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +002a19e0: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +002a19f0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +002a1a00: 732e 7061 636b 6167 6573 270a 2020 7461 s.packages'. ta │ │ │ │ 002a1a10: 6773 3a0a 2020 2d20 434a 4953 2d35 2e34 gs:. - CJIS-5.4 │ │ │ │ 002a1a20: 2e31 2e31 0a20 202d 2044 4953 412d 5354 .1.1. - DISA-ST │ │ │ │ 002a1a30: 4947 2d55 4254 552d 3230 2d30 3130 3130 IG-UBTU-20-01010 │ │ │ │ 002a1a40: 340a 2020 2d20 4e49 5354 2d38 3030 2d31 4. - NIST-800-1 │ │ │ │ 002a1a50: 3731 2d33 2e31 2e37 0a20 202d 204e 4953 71-3.1.7. - NIS │ │ │ │ 002a1a60: 542d 3830 302d 3533 2d41 432d 3228 3429 T-800-53-AC-2(4) │ │ │ │ 002a1a70: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ @@ -172483,22 +172483,22 @@ │ │ │ │ 002a1c20: 4620 6b65 793d 7c2d 6b5c 732b 2961 7564 F key=|-k\s+)aud │ │ │ │ 002a1c30: 6974 5f72 756c 6573 5f75 7365 7267 726f it_rules_usergro │ │ │ │ 002a1c40: 7570 5f6d 6f64 6966 6963 6174 696f 6e24 up_modification$ │ │ │ │ 002a1c50: 0a20 2020 2070 6174 7465 726e 733a 2027 . patterns: ' │ │ │ │ 002a1c60: 2a2e 7275 6c65 7327 0a20 2072 6567 6973 *.rules'. regis │ │ │ │ 002a1c70: 7465 723a 2066 696e 645f 7761 7463 685f ter: find_watch_ │ │ │ │ 002a1c80: 6b65 790a 2020 7768 656e 3a0a 2020 2d20 key. when:. - │ │ │ │ -002a1c90: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ -002a1ca0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ -002a1cb0: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ -002a1cc0: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ -002a1cd0: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ -002a1ce0: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ -002a1cf0: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ -002a1d00: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +002a1c90: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ +002a1ca0: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ +002a1cb0: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ +002a1cc0: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ +002a1cd0: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ +002a1ce0: 6e65 7222 5d0a 2020 2d20 2722 6175 6469 ner"]. - '"audi │ │ │ │ +002a1cf0: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ +002a1d00: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ 002a1d10: 202d 2066 696e 645f 6578 6973 7469 6e67 - find_existing │ │ │ │ 002a1d20: 5f77 6174 6368 5f72 756c 6573 5f64 2e6d _watch_rules_d.m │ │ │ │ 002a1d30: 6174 6368 6564 2069 7320 6465 6669 6e65 atched is define │ │ │ │ 002a1d40: 6420 616e 6420 6669 6e64 5f65 7869 7374 d and find_exist │ │ │ │ 002a1d50: 696e 675f 7761 7463 685f 7275 6c65 735f ing_watch_rules_ │ │ │ │ 002a1d60: 642e 6d61 7463 6865 640a 2020 2020 3d3d d.matched. == │ │ │ │ 002a1d70: 2030 0a20 2074 6167 733a 0a20 202d 2043 0. tags:. - C │ │ │ │ @@ -172533,23 +172533,23 @@ │ │ │ │ 002a1f40: 2066 6f72 2074 6865 2072 756c 650a 2020 for the rule. │ │ │ │ 002a1f50: 7365 745f 6661 6374 3a0a 2020 2020 616c set_fact:. al │ │ │ │ 002a1f60: 6c5f 6669 6c65 733a 0a20 2020 202d 202f l_files:. - / │ │ │ │ 002a1f70: 6574 632f 6175 6469 742f 7275 6c65 732e etc/audit/rules. │ │ │ │ 002a1f80: 642f 6175 6469 745f 7275 6c65 735f 7573 d/audit_rules_us │ │ │ │ 002a1f90: 6572 6772 6f75 705f 6d6f 6469 6669 6361 ergroup_modifica │ │ │ │ 002a1fa0: 7469 6f6e 2e72 756c 6573 0a20 2077 6865 tion.rules. whe │ │ │ │ -002a1fb0: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -002a1fc0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -002a1fd0: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -002a1fe0: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -002a1ff0: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -002a2000: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -002a2010: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -002a2020: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -002a2030: 6e65 7222 5d0a 2020 2d20 6669 6e64 5f77 ner"]. - find_w │ │ │ │ +002a1fb0: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +002a1fc0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +002a1fd0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +002a1fe0: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +002a1ff0: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +002a2000: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +002a2010: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +002a2020: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +002a2030: 6167 6573 270a 2020 2d20 6669 6e64 5f77 ages'. - find_w │ │ │ │ 002a2040: 6174 6368 5f6b 6579 2e6d 6174 6368 6564 atch_key.matched │ │ │ │ 002a2050: 2069 7320 6465 6669 6e65 6420 616e 6420 is defined and │ │ │ │ 002a2060: 6669 6e64 5f77 6174 6368 5f6b 6579 2e6d find_watch_key.m │ │ │ │ 002a2070: 6174 6368 6564 203d 3d20 3020 616e 6420 atched == 0 and │ │ │ │ 002a2080: 6669 6e64 5f65 7869 7374 696e 675f 7761 find_existing_wa │ │ │ │ 002a2090: 7463 685f 7275 6c65 735f 642e 6d61 7463 tch_rules_d.matc │ │ │ │ 002a20a0: 6865 640a 2020 2020 6973 2064 6566 696e hed. is defin │ │ │ │ @@ -172585,23 +172585,23 @@ │ │ │ │ 002a2280: 6865 2072 756c 650a 2020 7365 745f 6661 he rule. set_fa │ │ │ │ 002a2290: 6374 3a0a 2020 2020 616c 6c5f 6669 6c65 ct:. all_file │ │ │ │ 002a22a0: 733a 0a20 2020 202d 2027 7b7b 2066 696e s:. - '{{ fin │ │ │ │ 002a22b0: 645f 7761 7463 685f 6b65 792e 6669 6c65 d_watch_key.file │ │ │ │ 002a22c0: 7320 7c20 6d61 7028 6174 7472 6962 7574 s | map(attribut │ │ │ │ 002a22d0: 653d 2727 7061 7468 2727 2920 7c20 6c69 e=''path'') | li │ │ │ │ 002a22e0: 7374 207c 2066 6972 7374 207d 7d27 0a20 st | first }}'. │ │ │ │ -002a22f0: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -002a2300: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -002a2310: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -002a2320: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -002a2330: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -002a2340: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -002a2350: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -002a2360: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -002a2370: 6e74 6169 6e65 7222 5d0a 2020 2d20 6669 ntainer"]. - fi │ │ │ │ +002a22f0: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +002a2300: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +002a2310: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +002a2320: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +002a2330: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +002a2340: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +002a2350: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +002a2360: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +002a2370: 7061 636b 6167 6573 270a 2020 2d20 6669 packages'. - fi │ │ │ │ 002a2380: 6e64 5f77 6174 6368 5f6b 6579 2e6d 6174 nd_watch_key.mat │ │ │ │ 002a2390: 6368 6564 2069 7320 6465 6669 6e65 6420 ched is defined │ │ │ │ 002a23a0: 616e 6420 6669 6e64 5f77 6174 6368 5f6b and find_watch_k │ │ │ │ 002a23b0: 6579 2e6d 6174 6368 6564 2026 6774 3b20 ey.matched > │ │ │ │ 002a23c0: 3020 616e 6420 6669 6e64 5f65 7869 7374 0 and find_exist │ │ │ │ 002a23d0: 696e 675f 7761 7463 685f 7275 6c65 735f ing_watch_rules_ │ │ │ │ 002a23e0: 642e 6d61 7463 6865 640a 2020 2020 6973 d.matched. is │ │ │ │ @@ -172642,23 +172642,23 @@ │ │ │ │ 002a2610: 6c69 6e65 3a20 2d77 202f 6574 632f 7365 line: -w /etc/se │ │ │ │ 002a2620: 6375 7269 7479 2f6f 7061 7373 7764 202d curity/opasswd - │ │ │ │ 002a2630: 7020 7761 202d 6b20 6175 6469 745f 7275 p wa -k audit_ru │ │ │ │ 002a2640: 6c65 735f 7573 6572 6772 6f75 705f 6d6f les_usergroup_mo │ │ │ │ 002a2650: 6469 6669 6361 7469 6f6e 0a20 2020 2063 dification. c │ │ │ │ 002a2660: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 002a2670: 6d6f 6465 3a20 2730 3634 3027 0a20 2077 mode: '0640'. w │ │ │ │ -002a2680: 6865 6e3a 0a20 202d 2027 2261 7564 6974 hen:. - '"audit │ │ │ │ -002a2690: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ -002a26a0: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ -002a26b0: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ -002a26c0: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ -002a26d0: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ -002a26e0: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ -002a26f0: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ -002a2700: 6169 6e65 7222 5d0a 2020 2d20 6669 6e64 ainer"]. - find │ │ │ │ +002a2680: 6865 6e3a 0a20 202d 2061 6e73 6962 6c65 hen:. - ansible │ │ │ │ +002a2690: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ +002a26a0: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ +002a26b0: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ +002a26c0: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ +002a26d0: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +002a26e0: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ +002a26f0: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ +002a2700: 636b 6167 6573 270a 2020 2d20 6669 6e64 ckages'. - find │ │ │ │ 002a2710: 5f65 7869 7374 696e 675f 7761 7463 685f _existing_watch_ │ │ │ │ 002a2720: 7275 6c65 735f 642e 6d61 7463 6865 6420 rules_d.matched │ │ │ │ 002a2730: 6973 2064 6566 696e 6564 2061 6e64 2066 is defined and f │ │ │ │ 002a2740: 696e 645f 6578 6973 7469 6e67 5f77 6174 ind_existing_wat │ │ │ │ 002a2750: 6368 5f72 756c 6573 5f64 2e6d 6174 6368 ch_rules_d.match │ │ │ │ 002a2760: 6564 0a20 2020 203d 3d20 300a 2020 7461 ed. == 0. ta │ │ │ │ 002a2770: 6773 3a0a 2020 2d20 434a 4953 2d35 2e34 gs:. - CJIS-5.4 │ │ │ │ @@ -172696,23 +172696,23 @@ │ │ │ │ 002a2970: 732b 2f65 7463 2f73 6563 7572 6974 792f s+/etc/security/ │ │ │ │ 002a2980: 6f70 6173 7377 645c 732b 2d70 5c73 2b77 opasswd\s+-p\s+w │ │ │ │ 002a2990: 6128 5c73 7c24 292b 0a20 2020 2070 6174 a(\s|$)+. pat │ │ │ │ 002a29a0: 7465 726e 733a 2061 7564 6974 2e72 756c terns: audit.rul │ │ │ │ 002a29b0: 6573 0a20 2072 6567 6973 7465 723a 2066 es. register: f │ │ │ │ 002a29c0: 696e 645f 6578 6973 7469 6e67 5f77 6174 ind_existing_wat │ │ │ │ 002a29d0: 6368 5f61 7564 6974 5f72 756c 6573 0a20 ch_audit_rules. │ │ │ │ -002a29e0: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -002a29f0: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -002a2a00: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -002a2a10: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -002a2a20: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -002a2a30: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -002a2a40: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -002a2a50: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -002a2a60: 6e74 6169 6e65 7222 5d0a 2020 7461 6773 ntainer"]. tags │ │ │ │ +002a29e0: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +002a29f0: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +002a2a00: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +002a2a10: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +002a2a20: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +002a2a30: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +002a2a40: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +002a2a50: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +002a2a60: 7061 636b 6167 6573 270a 2020 7461 6773 packages'. tags │ │ │ │ 002a2a70: 3a0a 2020 2d20 434a 4953 2d35 2e34 2e31 :. - CJIS-5.4.1 │ │ │ │ 002a2a80: 2e31 0a20 202d 2044 4953 412d 5354 4947 .1. - DISA-STIG │ │ │ │ 002a2a90: 2d55 4254 552d 3230 2d30 3130 3130 340a -UBTU-20-010104. │ │ │ │ 002a2aa0: 2020 2d20 4e49 5354 2d38 3030 2d31 3731 - NIST-800-171 │ │ │ │ 002a2ab0: 2d33 2e31 2e37 0a20 202d 204e 4953 542d -3.1.7. - NIST- │ │ │ │ 002a2ac0: 3830 302d 3533 2d41 432d 3228 3429 0a20 800-53-AC-2(4). │ │ │ │ 002a2ad0: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ @@ -172744,23 +172744,23 @@ │ │ │ │ 002a2c70: 6772 6f75 705f 6d6f 6469 6669 6361 7469 group_modificati │ │ │ │ 002a2c80: 6f6e 0a20 2020 2073 7461 7465 3a20 7072 on. state: pr │ │ │ │ 002a2c90: 6573 656e 740a 2020 2020 6465 7374 3a20 esent. dest: │ │ │ │ 002a2ca0: 2f65 7463 2f61 7564 6974 2f61 7564 6974 /etc/audit/audit │ │ │ │ 002a2cb0: 2e72 756c 6573 0a20 2020 2063 7265 6174 .rules. creat │ │ │ │ 002a2cc0: 653a 2074 7275 650a 2020 2020 6d6f 6465 e: true. mode │ │ │ │ 002a2cd0: 3a20 2730 3634 3027 0a20 2077 6865 6e3a : '0640'. when: │ │ │ │ -002a2ce0: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -002a2cf0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -002a2d00: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -002a2d10: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -002a2d20: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -002a2d30: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -002a2d40: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -002a2d50: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -002a2d60: 7222 5d0a 2020 2d20 6669 6e64 5f65 7869 r"]. - find_exi │ │ │ │ +002a2ce0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +002a2cf0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +002a2d00: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +002a2d10: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +002a2d20: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +002a2d30: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +002a2d40: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +002a2d50: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +002a2d60: 6573 270a 2020 2d20 6669 6e64 5f65 7869 es'. - find_exi │ │ │ │ 002a2d70: 7374 696e 675f 7761 7463 685f 6175 6469 sting_watch_audi │ │ │ │ 002a2d80: 745f 7275 6c65 732e 6d61 7463 6865 6420 t_rules.matched │ │ │ │ 002a2d90: 6973 2064 6566 696e 6564 2061 6e64 2066 is defined and f │ │ │ │ 002a2da0: 696e 645f 6578 6973 7469 6e67 5f77 6174 ind_existing_wat │ │ │ │ 002a2db0: 6368 5f61 7564 6974 5f72 756c 6573 2e6d ch_audit_rules.m │ │ │ │ 002a2dc0: 6174 6368 6564 0a20 2020 203d 3d20 300a atched. == 0. │ │ │ │ 002a2dd0: 2020 7461 6773 3a0a 2020 2d20 434a 4953 tags:. - CJIS │ │ │ │ @@ -172802,26 +172802,26 @@ │ │ │ │ 002a3010: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173 /a> < │ │ │ │ 002a3050: 636f 6465 3e23 2052 656d 6564 6961 7469 code># Remediati │ │ │ │ 002a3060: 6f6e 2069 7320 6170 706c 6963 6162 6c65 on is applicable │ │ │ │ 002a3070: 206f 6e6c 7920 696e 2063 6572 7461 696e only in certain │ │ │ │ -002a3080: 2070 6c61 7466 6f72 6d73 0a69 6620 6470 platforms.if dp │ │ │ │ -002a3090: 6b67 2d71 7565 7279 202d 2d73 686f 7720 kg-query --show │ │ │ │ -002a30a0: 2d2d 7368 6f77 666f 726d 6174 3d27 247b --showformat='${ │ │ │ │ -002a30b0: 6462 3a53 7461 7475 732d 5374 6174 7573 db:Status-Status │ │ │ │ -002a30c0: 7d5c 6e27 2027 6175 6469 7464 2720 3226 }\n' 'auditd' 2& │ │ │ │ -002a30d0: 6774 3b2f 6465 762f 6e75 6c6c 207c 2067 gt;/dev/null | g │ │ │ │ -002a30e0: 7265 7020 2d71 2069 6e73 7461 6c6c 6564 rep -q installed │ │ │ │ -002a30f0: 2026 616d 703b 2661 6d70 3b20 5b20 2120 && [ ! │ │ │ │ -002a3100: 2d66 202f 2e64 6f63 6b65 7265 6e76 205d -f /.dockerenv ] │ │ │ │ -002a3110: 2026 616d 703b 2661 6d70 3b20 5b20 2120 && [ ! │ │ │ │ -002a3120: 2d66 202f 7275 6e2f 2e63 6f6e 7461 696e -f /run/.contain │ │ │ │ -002a3130: 6572 656e 7620 5d3b 2074 6865 6e0a 0a23 erenv ]; then..# │ │ │ │ +002a3080: 2070 6c61 7466 6f72 6d73 0a69 6620 5b20 platforms.if [ │ │ │ │ +002a3090: 2120 2d66 202f 2e64 6f63 6b65 7265 6e76 ! -f /.dockerenv │ │ │ │ +002a30a0: 205d 2026 616d 703b 2661 6d70 3b20 5b20 ] && [ │ │ │ │ +002a30b0: 2120 2d66 202f 7275 6e2f 2e63 6f6e 7461 ! -f /run/.conta │ │ │ │ +002a30c0: 696e 6572 656e 7620 5d20 2661 6d70 3b26 inerenv ] && │ │ │ │ +002a30d0: 616d 703b 2064 706b 672d 7175 6572 7920 amp; dpkg-query │ │ │ │ +002a30e0: 2d2d 7368 6f77 202d 2d73 686f 7766 6f72 --show --showfor │ │ │ │ +002a30f0: 6d61 743d 2724 7b64 623a 5374 6174 7573 mat='${db:Status │ │ │ │ +002a3100: 2d53 7461 7475 737d 5c6e 2720 2761 7564 -Status}\n' 'aud │ │ │ │ +002a3110: 6974 6427 2032 2667 743b 2f64 6576 2f6e itd' 2>/dev/n │ │ │ │ +002a3120: 756c 6c20 7c20 6772 6570 202d 7120 696e ull | grep -q in │ │ │ │ +002a3130: 7374 616c 6c65 643b 2074 6865 6e0a 0a23 stalled; then..# │ │ │ │ 002a3140: 2050 6572 666f 726d 2074 6865 2072 656d Perform the rem │ │ │ │ 002a3150: 6564 6961 7469 6f6e 2066 6f72 2062 6f74 ediation for bot │ │ │ │ 002a3160: 6820 706f 7373 6962 6c65 2074 6f6f 6c73 h possible tools │ │ │ │ 002a3170: 3a20 2761 7564 6974 6374 6c27 2061 6e64 : 'auditctl' and │ │ │ │ 002a3180: 2027 6175 6765 6e72 756c 6573 270a 0a23 'augenrules'..# │ │ │ │ 002a3190: 2043 7265 6174 6520 6120 6c69 7374 206f Create a list o │ │ │ │ 002a31a0: 6620 6175 6469 7420 2a2e 7275 6c65 7320 f audit *.rules │ │ │ │ @@ -174596,23 +174596,23 @@ │ │ │ │ 002aa030: 6e73 3a20 5e5c 732a 2d77 5c73 2b2f 6574 ns: ^\s*-w\s+/et │ │ │ │ 002aa040: 632f 7061 7373 7764 5c73 2b2d 705c 732b c/passwd\s+-p\s+ │ │ │ │ 002aa050: 7761 285c 737c 2429 2b0a 2020 2020 7061 wa(\s|$)+. pa │ │ │ │ 002aa060: 7474 6572 6e73 3a20 272a 2e72 756c 6573 tterns: '*.rules │ │ │ │ 002aa070: 270a 2020 7265 6769 7374 6572 3a20 6669 '. register: fi │ │ │ │ 002aa080: 6e64 5f65 7869 7374 696e 675f 7761 7463 nd_existing_watc │ │ │ │ 002aa090: 685f 7275 6c65 735f 640a 2020 7768 656e h_rules_d. when │ │ │ │ -002aa0a0: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -002aa0b0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -002aa0c0: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -002aa0d0: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -002aa0e0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -002aa0f0: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -002aa100: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -002aa110: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -002aa120: 6572 225d 0a20 2074 6167 733a 0a20 202d er"]. tags:. - │ │ │ │ +002aa0a0: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +002aa0b0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +002aa0c0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +002aa0d0: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +002aa0e0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +002aa0f0: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +002aa100: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +002aa110: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +002aa120: 6765 7327 0a20 2074 6167 733a 0a20 202d ges'. tags:. - │ │ │ │ 002aa130: 2043 4a49 532d 352e 342e 312e 310a 2020 CJIS-5.4.1.1. │ │ │ │ 002aa140: 2d20 4449 5341 2d53 5449 472d 5542 5455 - DISA-STIG-UBTU │ │ │ │ 002aa150: 2d32 302d 3031 3031 3030 0a20 202d 204e -20-010100. - N │ │ │ │ 002aa160: 4953 542d 3830 302d 3137 312d 332e 312e IST-800-171-3.1. │ │ │ │ 002aa170: 370a 2020 2d20 4e49 5354 2d38 3030 2d35 7. - NIST-800-5 │ │ │ │ 002aa180: 332d 4143 2d32 2834 290a 2020 2d20 4e49 3-AC-2(4). - NI │ │ │ │ 002aa190: 5354 2d38 3030 2d35 332d 4143 2d36 2839 ST-800-53-AC-6(9 │ │ │ │ @@ -174644,23 +174644,23 @@ │ │ │ │ 002aa330: 205e 2e2a 283f 3a2d 4620 6b65 793d 7c2d ^.*(?:-F key=|- │ │ │ │ 002aa340: 6b5c 732b 2961 7564 6974 5f72 756c 6573 k\s+)audit_rules │ │ │ │ 002aa350: 5f75 7365 7267 726f 7570 5f6d 6f64 6966 _usergroup_modif │ │ │ │ 002aa360: 6963 6174 696f 6e24 0a20 2020 2070 6174 ication$. pat │ │ │ │ 002aa370: 7465 726e 733a 2027 2a2e 7275 6c65 7327 terns: '*.rules' │ │ │ │ 002aa380: 0a20 2072 6567 6973 7465 723a 2066 696e . register: fin │ │ │ │ 002aa390: 645f 7761 7463 685f 6b65 790a 2020 7768 d_watch_key. wh │ │ │ │ -002aa3a0: 656e 3a0a 2020 2d20 2722 6175 6469 7464 en:. - '"auditd │ │ │ │ -002aa3b0: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ -002aa3c0: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ -002aa3d0: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ -002aa3e0: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ -002aa3f0: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ -002aa400: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ -002aa410: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ -002aa420: 696e 6572 225d 0a20 202d 2066 696e 645f iner"]. - find_ │ │ │ │ +002aa3a0: 656e 3a0a 2020 2d20 616e 7369 626c 655f en:. - ansible_ │ │ │ │ +002aa3b0: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ +002aa3c0: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ +002aa3d0: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ +002aa3e0: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ +002aa3f0: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +002aa400: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ +002aa410: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ +002aa420: 6b61 6765 7327 0a20 202d 2066 696e 645f kages'. - find_ │ │ │ │ 002aa430: 6578 6973 7469 6e67 5f77 6174 6368 5f72 existing_watch_r │ │ │ │ 002aa440: 756c 6573 5f64 2e6d 6174 6368 6564 2069 ules_d.matched i │ │ │ │ 002aa450: 7320 6465 6669 6e65 6420 616e 6420 6669 s defined and fi │ │ │ │ 002aa460: 6e64 5f65 7869 7374 696e 675f 7761 7463 nd_existing_watc │ │ │ │ 002aa470: 685f 7275 6c65 735f 642e 6d61 7463 6865 h_rules_d.matche │ │ │ │ 002aa480: 640a 2020 2020 3d3d 2030 0a20 2074 6167 d. == 0. tag │ │ │ │ 002aa490: 733a 0a20 202d 2043 4a49 532d 352e 342e s:. - CJIS-5.4. │ │ │ │ @@ -174694,23 +174694,23 @@ │ │ │ │ 002aa650: 656e 740a 2020 2020 666f 7220 7468 6520 ent. for the │ │ │ │ 002aa660: 7275 6c65 0a20 2073 6574 5f66 6163 743a rule. set_fact: │ │ │ │ 002aa670: 0a20 2020 2061 6c6c 5f66 696c 6573 3a0a . all_files:. │ │ │ │ 002aa680: 2020 2020 2d20 2f65 7463 2f61 7564 6974 - /etc/audit │ │ │ │ 002aa690: 2f72 756c 6573 2e64 2f61 7564 6974 5f72 /rules.d/audit_r │ │ │ │ 002aa6a0: 756c 6573 5f75 7365 7267 726f 7570 5f6d ules_usergroup_m │ │ │ │ 002aa6b0: 6f64 6966 6963 6174 696f 6e2e 7275 6c65 odification.rule │ │ │ │ -002aa6c0: 730a 2020 7768 656e 3a0a 2020 2d20 2722 s. when:. - '" │ │ │ │ -002aa6d0: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -002aa6e0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -002aa6f0: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -002aa700: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -002aa710: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -002aa720: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -002aa730: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -002aa740: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +002aa6c0: 730a 2020 7768 656e 3a0a 2020 2d20 616e s. when:. - an │ │ │ │ +002aa6d0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +002aa6e0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +002aa6f0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +002aa700: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +002aa710: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +002aa720: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +002aa730: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +002aa740: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ 002aa750: 2066 696e 645f 7761 7463 685f 6b65 792e find_watch_key. │ │ │ │ 002aa760: 6d61 7463 6865 6420 6973 2064 6566 696e matched is defin │ │ │ │ 002aa770: 6564 2061 6e64 2066 696e 645f 7761 7463 ed and find_watc │ │ │ │ 002aa780: 685f 6b65 792e 6d61 7463 6865 6420 3d3d h_key.matched == │ │ │ │ 002aa790: 2030 2061 6e64 2066 696e 645f 6578 6973 0 and find_exis │ │ │ │ 002aa7a0: 7469 6e67 5f77 6174 6368 5f72 756c 6573 ting_watch_rules │ │ │ │ 002aa7b0: 5f64 2e6d 6174 6368 6564 0a20 2020 2069 _d.matched. i │ │ │ │ @@ -174747,22 +174747,22 @@ │ │ │ │ 002aa9a0: 7365 745f 6661 6374 3a0a 2020 2020 616c set_fact:. al │ │ │ │ 002aa9b0: 6c5f 6669 6c65 733a 0a20 2020 202d 2027 l_files:. - ' │ │ │ │ 002aa9c0: 7b7b 2066 696e 645f 7761 7463 685f 6b65 {{ find_watch_ke │ │ │ │ 002aa9d0: 792e 6669 6c65 7320 7c20 6d61 7028 6174 y.files | map(at │ │ │ │ 002aa9e0: 7472 6962 7574 653d 2727 7061 7468 2727 tribute=''path'' │ │ │ │ 002aa9f0: 2920 7c20 6c69 7374 207c 2066 6972 7374 ) | list | first │ │ │ │ 002aaa00: 207d 7d27 0a20 2077 6865 6e3a 0a20 202d }}'. when:. - │ │ │ │ -002aaa10: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ -002aaa20: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ -002aaa30: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl │ │ │ │ -002aaa40: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ -002aaa50: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ -002aaa60: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ -002aaa70: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ -002aaa80: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +002aaa10: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ +002aaa20: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ +002aaa30: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ +002aaa40: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ +002aaa50: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ +002aaa60: 696e 6572 225d 0a20 202d 2027 2261 7564 iner"]. - '"aud │ │ │ │ +002aaa70: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ +002aaa80: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ 002aaa90: 2020 2d20 6669 6e64 5f77 6174 6368 5f6b - find_watch_k │ │ │ │ 002aaaa0: 6579 2e6d 6174 6368 6564 2069 7320 6465 ey.matched is de │ │ │ │ 002aaab0: 6669 6e65 6420 616e 6420 6669 6e64 5f77 fined and find_w │ │ │ │ 002aaac0: 6174 6368 5f6b 6579 2e6d 6174 6368 6564 atch_key.matched │ │ │ │ 002aaad0: 2026 6774 3b20 3020 616e 6420 6669 6e64 > 0 and find │ │ │ │ 002aaae0: 5f65 7869 7374 696e 675f 7761 7463 685f _existing_watch_ │ │ │ │ 002aaaf0: 7275 6c65 735f 642e 6d61 7463 6865 640a rules_d.matched. │ │ │ │ @@ -174802,23 +174802,23 @@ │ │ │ │ 002aad10: 305d 207d 7d27 0a20 2020 206c 696e 653a 0] }}'. line: │ │ │ │ 002aad20: 202d 7720 2f65 7463 2f70 6173 7377 6420 -w /etc/passwd │ │ │ │ 002aad30: 2d70 2077 6120 2d6b 2061 7564 6974 5f72 -p wa -k audit_r │ │ │ │ 002aad40: 756c 6573 5f75 7365 7267 726f 7570 5f6d ules_usergroup_m │ │ │ │ 002aad50: 6f64 6966 6963 6174 696f 6e0a 2020 2020 odification. │ │ │ │ 002aad60: 6372 6561 7465 3a20 7472 7565 0a20 2020 create: true. │ │ │ │ 002aad70: 206d 6f64 653a 2027 3036 3430 270a 2020 mode: '0640'. │ │ │ │ -002aad80: 7768 656e 3a0a 2020 2d20 2722 6175 6469 when:. - '"audi │ │ │ │ -002aad90: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ -002aada0: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ -002aadb0: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ -002aadc0: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ -002aadd0: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ -002aade0: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ -002aadf0: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ -002aae00: 7461 696e 6572 225d 0a20 202d 2066 696e tainer"]. - fin │ │ │ │ +002aad80: 7768 656e 3a0a 2020 2d20 616e 7369 626c when:. - ansibl │ │ │ │ +002aad90: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ +002aada0: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ +002aadb0: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ +002aadc0: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ +002aadd0: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +002aade0: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ +002aadf0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ +002aae00: 6163 6b61 6765 7327 0a20 202d 2066 696e ackages'. - fin │ │ │ │ 002aae10: 645f 6578 6973 7469 6e67 5f77 6174 6368 d_existing_watch │ │ │ │ 002aae20: 5f72 756c 6573 5f64 2e6d 6174 6368 6564 _rules_d.matched │ │ │ │ 002aae30: 2069 7320 6465 6669 6e65 6420 616e 6420 is defined and │ │ │ │ 002aae40: 6669 6e64 5f65 7869 7374 696e 675f 7761 find_existing_wa │ │ │ │ 002aae50: 7463 685f 7275 6c65 735f 642e 6d61 7463 tch_rules_d.matc │ │ │ │ 002aae60: 6865 640a 2020 2020 3d3d 2030 0a20 2074 hed. == 0. t │ │ │ │ 002aae70: 6167 733a 0a20 202d 2043 4a49 532d 352e ags:. - CJIS-5. │ │ │ │ @@ -174855,23 +174855,23 @@ │ │ │ │ 002ab060: 5c73 2a2d 775c 732b 2f65 7463 2f70 6173 \s*-w\s+/etc/pas │ │ │ │ 002ab070: 7377 645c 732b 2d70 5c73 2b77 6128 5c73 swd\s+-p\s+wa(\s │ │ │ │ 002ab080: 7c24 292b 0a20 2020 2070 6174 7465 726e |$)+. pattern │ │ │ │ 002ab090: 733a 2061 7564 6974 2e72 756c 6573 0a20 s: audit.rules. │ │ │ │ 002ab0a0: 2072 6567 6973 7465 723a 2066 696e 645f register: find_ │ │ │ │ 002ab0b0: 6578 6973 7469 6e67 5f77 6174 6368 5f61 existing_watch_a │ │ │ │ 002ab0c0: 7564 6974 5f72 756c 6573 0a20 2077 6865 udit_rules. whe │ │ │ │ -002ab0d0: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -002ab0e0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -002ab0f0: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -002ab100: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -002ab110: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -002ab120: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -002ab130: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -002ab140: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -002ab150: 6e65 7222 5d0a 2020 7461 6773 3a0a 2020 ner"]. tags:. │ │ │ │ +002ab0d0: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +002ab0e0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +002ab0f0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +002ab100: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +002ab110: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +002ab120: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +002ab130: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +002ab140: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +002ab150: 6167 6573 270a 2020 7461 6773 3a0a 2020 ages'. tags:. │ │ │ │ 002ab160: 2d20 434a 4953 2d35 2e34 2e31 2e31 0a20 - CJIS-5.4.1.1. │ │ │ │ 002ab170: 202d 2044 4953 412d 5354 4947 2d55 4254 - DISA-STIG-UBT │ │ │ │ 002ab180: 552d 3230 2d30 3130 3130 300a 2020 2d20 U-20-010100. - │ │ │ │ 002ab190: 4e49 5354 2d38 3030 2d31 3731 2d33 2e31 NIST-800-171-3.1 │ │ │ │ 002ab1a0: 2e37 0a20 202d 204e 4953 542d 3830 302d .7. - NIST-800- │ │ │ │ 002ab1b0: 3533 2d41 432d 3228 3429 0a20 202d 204e 53-AC-2(4). - N │ │ │ │ 002ab1c0: 4953 542d 3830 302d 3533 2d41 432d 3628 IST-800-53-AC-6( │ │ │ │ @@ -174901,23 +174901,23 @@ │ │ │ │ 002ab340: 6573 5f75 7365 7267 726f 7570 5f6d 6f64 es_usergroup_mod │ │ │ │ 002ab350: 6966 6963 6174 696f 6e0a 2020 2020 7374 ification. st │ │ │ │ 002ab360: 6174 653a 2070 7265 7365 6e74 0a20 2020 ate: present. │ │ │ │ 002ab370: 2064 6573 743a 202f 6574 632f 6175 6469 dest: /etc/audi │ │ │ │ 002ab380: 742f 6175 6469 742e 7275 6c65 730a 2020 t/audit.rules. │ │ │ │ 002ab390: 2020 6372 6561 7465 3a20 7472 7565 0a20 create: true. │ │ │ │ 002ab3a0: 2020 206d 6f64 653a 2027 3036 3430 270a mode: '0640'. │ │ │ │ -002ab3b0: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -002ab3c0: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -002ab3d0: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -002ab3e0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -002ab3f0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -002ab400: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -002ab410: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -002ab420: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -002ab430: 6f6e 7461 696e 6572 225d 0a20 202d 2066 ontainer"]. - f │ │ │ │ +002ab3b0: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +002ab3c0: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +002ab3d0: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +002ab3e0: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +002ab3f0: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +002ab400: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +002ab410: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +002ab420: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +002ab430: 2e70 6163 6b61 6765 7327 0a20 202d 2066 .packages'. - f │ │ │ │ 002ab440: 696e 645f 6578 6973 7469 6e67 5f77 6174 ind_existing_wat │ │ │ │ 002ab450: 6368 5f61 7564 6974 5f72 756c 6573 2e6d ch_audit_rules.m │ │ │ │ 002ab460: 6174 6368 6564 2069 7320 6465 6669 6e65 atched is define │ │ │ │ 002ab470: 6420 616e 6420 6669 6e64 5f65 7869 7374 d and find_exist │ │ │ │ 002ab480: 696e 675f 7761 7463 685f 6175 6469 745f ing_watch_audit_ │ │ │ │ 002ab490: 7275 6c65 732e 6d61 7463 6865 640a 2020 rules.matched. │ │ │ │ 002ab4a0: 2020 3d3d 2030 0a20 2074 6167 733a 0a20 == 0. tags:. │ │ │ │ @@ -174960,25 +174960,25 @@ │ │ │ │ 002ab6f0: 7620 636c 6173 733d 2270 616e 656c 2d63 v class="panel-c │ │ │ │ 002ab700: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365 ollapse collapse │ │ │ │ 002ab710: 2220 6964 3d22 6964 6d31 3136 3138 223e " id="idm11618"> │ │ │ │ 002ab720: 3c70 7265 3e3c 636f 6465 3e23 2052 656d# Rem │ │ │ │ 002ab730: 6564 6961 7469 6f6e 2069 7320 6170 706c ediation is appl │ │ │ │ 002ab740: 6963 6162 6c65 206f 6e6c 7920 696e 2063 icable only in c │ │ │ │ 002ab750: 6572 7461 696e 2070 6c61 7466 6f72 6d73 ertain platforms │ │ │ │ -002ab760: 0a69 6620 6470 6b67 2d71 7565 7279 202d .if dpkg-query - │ │ │ │ -002ab770: 2d73 686f 7720 2d2d 7368 6f77 666f 726d -show --showform │ │ │ │ -002ab780: 6174 3d27 247b 6462 3a53 7461 7475 732d at='${db:Status- │ │ │ │ -002ab790: 5374 6174 7573 7d5c 6e27 2027 6175 6469 Status}\n' 'audi │ │ │ │ -002ab7a0: 7464 2720 3226 6774 3b2f 6465 762f 6e75 td' 2>/dev/nu │ │ │ │ -002ab7b0: 6c6c 207c 2067 7265 7020 2d71 2069 6e73 ll | grep -q ins │ │ │ │ -002ab7c0: 7461 6c6c 6564 2026 616d 703b 2661 6d70 talled && │ │ │ │ -002ab7d0: 3b20 5b20 2120 2d66 202f 2e64 6f63 6b65 ; [ ! -f /.docke │ │ │ │ -002ab7e0: 7265 6e76 205d 2026 616d 703b 2661 6d70 renv ] && │ │ │ │ -002ab7f0: 3b20 5b20 2120 2d66 202f 7275 6e2f 2e63 ; [ ! -f /run/.c │ │ │ │ -002ab800: 6f6e 7461 696e 6572 656e 7620 5d3b 2074 ontainerenv ]; t │ │ │ │ +002ab760: 0a69 6620 5b20 2120 2d66 202f 2e64 6f63 .if [ ! -f /.doc │ │ │ │ +002ab770: 6b65 7265 6e76 205d 2026 616d 703b 2661 kerenv ] &&a │ │ │ │ +002ab780: 6d70 3b20 5b20 2120 2d66 202f 7275 6e2f mp; [ ! -f /run/ │ │ │ │ +002ab790: 2e63 6f6e 7461 696e 6572 656e 7620 5d20 .containerenv ] │ │ │ │ +002ab7a0: 2661 6d70 3b26 616d 703b 2064 706b 672d && dpkg- │ │ │ │ +002ab7b0: 7175 6572 7920 2d2d 7368 6f77 202d 2d73 query --show --s │ │ │ │ +002ab7c0: 686f 7766 6f72 6d61 743d 2724 7b64 623a howformat='${db: │ │ │ │ +002ab7d0: 5374 6174 7573 2d53 7461 7475 737d 5c6e Status-Status}\n │ │ │ │ +002ab7e0: 2720 2761 7564 6974 6427 2032 2667 743b ' 'auditd' 2> │ │ │ │ +002ab7f0: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570 /dev/null | grep │ │ │ │ +002ab800: 202d 7120 696e 7374 616c 6c65 643b 2074 -q installed; t │ │ │ │ 002ab810: 6865 6e0a 0a23 2050 6572 666f 726d 2074 hen..# Perform t │ │ │ │ 002ab820: 6865 2072 656d 6564 6961 7469 6f6e 2066 he remediation f │ │ │ │ 002ab830: 6f72 2062 6f74 6820 706f 7373 6962 6c65 or both possible │ │ │ │ 002ab840: 2074 6f6f 6c73 3a20 2761 7564 6974 6374 tools: 'auditct │ │ │ │ 002ab850: 6c27 2061 6e64 2027 6175 6765 6e72 756c l' and 'augenrul │ │ │ │ 002ab860: 6573 270a 0a23 2043 7265 6174 6520 6120 es'..# Create a │ │ │ │ 002ab870: 6c69 7374 206f 6620 6175 6469 7420 2a2e list of audit *. │ │ │ │ @@ -176705,23 +176705,23 @@ │ │ │ │ 002b2400: 733a 205e 5c73 2a2d 775c 732b 2f65 7463 s: ^\s*-w\s+/etc │ │ │ │ 002b2410: 2f73 6861 646f 775c 732b 2d70 5c73 2b77 /shadow\s+-p\s+w │ │ │ │ 002b2420: 6128 5c73 7c24 292b 0a20 2020 2070 6174 a(\s|$)+. pat │ │ │ │ 002b2430: 7465 726e 733a 2027 2a2e 7275 6c65 7327 terns: '*.rules' │ │ │ │ 002b2440: 0a20 2072 6567 6973 7465 723a 2066 696e . register: fin │ │ │ │ 002b2450: 645f 6578 6973 7469 6e67 5f77 6174 6368 d_existing_watch │ │ │ │ 002b2460: 5f72 756c 6573 5f64 0a20 2077 6865 6e3a _rules_d. when: │ │ │ │ -002b2470: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -002b2480: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -002b2490: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -002b24a0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -002b24b0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -002b24c0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -002b24d0: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -002b24e0: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -002b24f0: 7222 5d0a 2020 7461 6773 3a0a 2020 2d20 r"]. tags:. - │ │ │ │ +002b2470: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +002b2480: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +002b2490: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +002b24a0: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +002b24b0: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +002b24c0: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +002b24d0: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +002b24e0: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +002b24f0: 6573 270a 2020 7461 6773 3a0a 2020 2d20 es'. tags:. - │ │ │ │ 002b2500: 434a 4953 2d35 2e34 2e31 2e31 0a20 202d CJIS-5.4.1.1. - │ │ │ │ 002b2510: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 002b2520: 3230 2d30 3130 3130 320a 2020 2d20 4e49 20-010102. - NI │ │ │ │ 002b2530: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 002b2540: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 002b2550: 2d41 432d 3228 3429 0a20 202d 204e 4953 -AC-2(4). - NIS │ │ │ │ 002b2560: 542d 3830 302d 3533 2d41 432d 3628 3929 T-800-53-AC-6(9) │ │ │ │ @@ -176753,23 +176753,23 @@ │ │ │ │ 002b2700: 5e2e 2a28 3f3a 2d46 206b 6579 3d7c 2d6b ^.*(?:-F key=|-k │ │ │ │ 002b2710: 5c73 2b29 6175 6469 745f 7275 6c65 735f \s+)audit_rules_ │ │ │ │ 002b2720: 7573 6572 6772 6f75 705f 6d6f 6469 6669 usergroup_modifi │ │ │ │ 002b2730: 6361 7469 6f6e 240a 2020 2020 7061 7474 cation$. patt │ │ │ │ 002b2740: 6572 6e73 3a20 272a 2e72 756c 6573 270a erns: '*.rules'. │ │ │ │ 002b2750: 2020 7265 6769 7374 6572 3a20 6669 6e64 register: find │ │ │ │ 002b2760: 5f77 6174 6368 5f6b 6579 0a20 2077 6865 _watch_key. whe │ │ │ │ -002b2770: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -002b2780: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -002b2790: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -002b27a0: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -002b27b0: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -002b27c0: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -002b27d0: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -002b27e0: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -002b27f0: 6e65 7222 5d0a 2020 2d20 6669 6e64 5f65 ner"]. - find_e │ │ │ │ +002b2770: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +002b2780: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +002b2790: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +002b27a0: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +002b27b0: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +002b27c0: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +002b27d0: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +002b27e0: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +002b27f0: 6167 6573 270a 2020 2d20 6669 6e64 5f65 ages'. - find_e │ │ │ │ 002b2800: 7869 7374 696e 675f 7761 7463 685f 7275 xisting_watch_ru │ │ │ │ 002b2810: 6c65 735f 642e 6d61 7463 6865 6420 6973 les_d.matched is │ │ │ │ 002b2820: 2064 6566 696e 6564 2061 6e64 2066 696e defined and fin │ │ │ │ 002b2830: 645f 6578 6973 7469 6e67 5f77 6174 6368 d_existing_watch │ │ │ │ 002b2840: 5f72 756c 6573 5f64 2e6d 6174 6368 6564 _rules_d.matched │ │ │ │ 002b2850: 0a20 2020 203d 3d20 300a 2020 7461 6773 . == 0. tags │ │ │ │ 002b2860: 3a0a 2020 2d20 434a 4953 2d35 2e34 2e31 :. - CJIS-5.4.1 │ │ │ │ @@ -176803,23 +176803,23 @@ │ │ │ │ 002b2a20: 6e74 0a20 2020 2066 6f72 2074 6865 2072 nt. for the r │ │ │ │ 002b2a30: 756c 650a 2020 7365 745f 6661 6374 3a0a ule. set_fact:. │ │ │ │ 002b2a40: 2020 2020 616c 6c5f 6669 6c65 733a 0a20 all_files:. │ │ │ │ 002b2a50: 2020 202d 202f 6574 632f 6175 6469 742f - /etc/audit/ │ │ │ │ 002b2a60: 7275 6c65 732e 642f 6175 6469 745f 7275 rules.d/audit_ru │ │ │ │ 002b2a70: 6c65 735f 7573 6572 6772 6f75 705f 6d6f les_usergroup_mo │ │ │ │ 002b2a80: 6469 6669 6361 7469 6f6e 2e72 756c 6573 dification.rules │ │ │ │ -002b2a90: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -002b2aa0: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -002b2ab0: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -002b2ac0: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -002b2ad0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -002b2ae0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -002b2af0: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -002b2b00: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -002b2b10: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +002b2a90: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +002b2aa0: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +002b2ab0: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +002b2ac0: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +002b2ad0: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +002b2ae0: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +002b2af0: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +002b2b00: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +002b2b10: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ 002b2b20: 6669 6e64 5f77 6174 6368 5f6b 6579 2e6d find_watch_key.m │ │ │ │ 002b2b30: 6174 6368 6564 2069 7320 6465 6669 6e65 atched is define │ │ │ │ 002b2b40: 6420 616e 6420 6669 6e64 5f77 6174 6368 d and find_watch │ │ │ │ 002b2b50: 5f6b 6579 2e6d 6174 6368 6564 203d 3d20 _key.matched == │ │ │ │ 002b2b60: 3020 616e 6420 6669 6e64 5f65 7869 7374 0 and find_exist │ │ │ │ 002b2b70: 696e 675f 7761 7463 685f 7275 6c65 735f ing_watch_rules_ │ │ │ │ 002b2b80: 642e 6d61 7463 6865 640a 2020 2020 6973 d.matched. is │ │ │ │ @@ -176856,22 +176856,22 @@ │ │ │ │ 002b2d70: 6574 5f66 6163 743a 0a20 2020 2061 6c6c et_fact:. all │ │ │ │ 002b2d80: 5f66 696c 6573 3a0a 2020 2020 2d20 277b _files:. - '{ │ │ │ │ 002b2d90: 7b20 6669 6e64 5f77 6174 6368 5f6b 6579 { find_watch_key │ │ │ │ 002b2da0: 2e66 696c 6573 207c 206d 6170 2861 7474 .files | map(att │ │ │ │ 002b2db0: 7269 6275 7465 3d27 2770 6174 6827 2729 ribute=''path'') │ │ │ │ 002b2dc0: 207c 206c 6973 7420 7c20 6669 7273 7420 | list | first │ │ │ │ 002b2dd0: 7d7d 270a 2020 7768 656e 3a0a 2020 2d20 }}'. when:. - │ │ │ │ -002b2de0: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ -002b2df0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ -002b2e00: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ -002b2e10: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ -002b2e20: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ -002b2e30: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ -002b2e40: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ -002b2e50: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +002b2de0: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ +002b2df0: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ +002b2e00: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ +002b2e10: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ +002b2e20: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ +002b2e30: 6e65 7222 5d0a 2020 2d20 2722 6175 6469 ner"]. - '"audi │ │ │ │ +002b2e40: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ +002b2e50: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ 002b2e60: 202d 2066 696e 645f 7761 7463 685f 6b65 - find_watch_ke │ │ │ │ 002b2e70: 792e 6d61 7463 6865 6420 6973 2064 6566 y.matched is def │ │ │ │ 002b2e80: 696e 6564 2061 6e64 2066 696e 645f 7761 ined and find_wa │ │ │ │ 002b2e90: 7463 685f 6b65 792e 6d61 7463 6865 6420 tch_key.matched │ │ │ │ 002b2ea0: 2667 743b 2030 2061 6e64 2066 696e 645f > 0 and find_ │ │ │ │ 002b2eb0: 6578 6973 7469 6e67 5f77 6174 6368 5f72 existing_watch_r │ │ │ │ 002b2ec0: 756c 6573 5f64 2e6d 6174 6368 6564 0a20 ules_d.matched. │ │ │ │ @@ -176911,23 +176911,23 @@ │ │ │ │ 002b30e0: 5d20 7d7d 270a 2020 2020 6c69 6e65 3a20 ] }}'. line: │ │ │ │ 002b30f0: 2d77 202f 6574 632f 7368 6164 6f77 202d -w /etc/shadow - │ │ │ │ 002b3100: 7020 7761 202d 6b20 6175 6469 745f 7275 p wa -k audit_ru │ │ │ │ 002b3110: 6c65 735f 7573 6572 6772 6f75 705f 6d6f les_usergroup_mo │ │ │ │ 002b3120: 6469 6669 6361 7469 6f6e 0a20 2020 2063 dification. c │ │ │ │ 002b3130: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 002b3140: 6d6f 6465 3a20 2730 3634 3027 0a20 2077 mode: '0640'. w │ │ │ │ -002b3150: 6865 6e3a 0a20 202d 2027 2261 7564 6974 hen:. - '"audit │ │ │ │ -002b3160: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ -002b3170: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ -002b3180: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ -002b3190: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ -002b31a0: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ -002b31b0: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ -002b31c0: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ -002b31d0: 6169 6e65 7222 5d0a 2020 2d20 6669 6e64 ainer"]. - find │ │ │ │ +002b3150: 6865 6e3a 0a20 202d 2061 6e73 6962 6c65 hen:. - ansible │ │ │ │ +002b3160: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ +002b3170: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ +002b3180: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ +002b3190: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ +002b31a0: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +002b31b0: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ +002b31c0: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ +002b31d0: 636b 6167 6573 270a 2020 2d20 6669 6e64 ckages'. - find │ │ │ │ 002b31e0: 5f65 7869 7374 696e 675f 7761 7463 685f _existing_watch_ │ │ │ │ 002b31f0: 7275 6c65 735f 642e 6d61 7463 6865 6420 rules_d.matched │ │ │ │ 002b3200: 6973 2064 6566 696e 6564 2061 6e64 2066 is defined and f │ │ │ │ 002b3210: 696e 645f 6578 6973 7469 6e67 5f77 6174 ind_existing_wat │ │ │ │ 002b3220: 6368 5f72 756c 6573 5f64 2e6d 6174 6368 ch_rules_d.match │ │ │ │ 002b3230: 6564 0a20 2020 203d 3d20 300a 2020 7461 ed. == 0. ta │ │ │ │ 002b3240: 6773 3a0a 2020 2d20 434a 4953 2d35 2e34 gs:. - CJIS-5.4 │ │ │ │ @@ -176964,23 +176964,23 @@ │ │ │ │ 002b3430: 732a 2d77 5c73 2b2f 6574 632f 7368 6164 s*-w\s+/etc/shad │ │ │ │ 002b3440: 6f77 5c73 2b2d 705c 732b 7761 285c 737c ow\s+-p\s+wa(\s| │ │ │ │ 002b3450: 2429 2b0a 2020 2020 7061 7474 6572 6e73 $)+. patterns │ │ │ │ 002b3460: 3a20 6175 6469 742e 7275 6c65 730a 2020 : audit.rules. │ │ │ │ 002b3470: 7265 6769 7374 6572 3a20 6669 6e64 5f65 register: find_e │ │ │ │ 002b3480: 7869 7374 696e 675f 7761 7463 685f 6175 xisting_watch_au │ │ │ │ 002b3490: 6469 745f 7275 6c65 730a 2020 7768 656e dit_rules. when │ │ │ │ -002b34a0: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -002b34b0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -002b34c0: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -002b34d0: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -002b34e0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -002b34f0: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -002b3500: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -002b3510: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -002b3520: 6572 225d 0a20 2074 6167 733a 0a20 202d er"]. tags:. - │ │ │ │ +002b34a0: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +002b34b0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +002b34c0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +002b34d0: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +002b34e0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +002b34f0: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +002b3500: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +002b3510: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +002b3520: 6765 7327 0a20 2074 6167 733a 0a20 202d ges'. tags:. - │ │ │ │ 002b3530: 2043 4a49 532d 352e 342e 312e 310a 2020 CJIS-5.4.1.1. │ │ │ │ 002b3540: 2d20 4449 5341 2d53 5449 472d 5542 5455 - DISA-STIG-UBTU │ │ │ │ 002b3550: 2d32 302d 3031 3031 3032 0a20 202d 204e -20-010102. - N │ │ │ │ 002b3560: 4953 542d 3830 302d 3137 312d 332e 312e IST-800-171-3.1. │ │ │ │ 002b3570: 370a 2020 2d20 4e49 5354 2d38 3030 2d35 7. - NIST-800-5 │ │ │ │ 002b3580: 332d 4143 2d32 2834 290a 2020 2d20 4e49 3-AC-2(4). - NI │ │ │ │ 002b3590: 5354 2d38 3030 2d35 332d 4143 2d36 2839 ST-800-53-AC-6(9 │ │ │ │ @@ -177010,23 +177010,23 @@ │ │ │ │ 002b3710: 735f 7573 6572 6772 6f75 705f 6d6f 6469 s_usergroup_modi │ │ │ │ 002b3720: 6669 6361 7469 6f6e 0a20 2020 2073 7461 fication. sta │ │ │ │ 002b3730: 7465 3a20 7072 6573 656e 740a 2020 2020 te: present. │ │ │ │ 002b3740: 6465 7374 3a20 2f65 7463 2f61 7564 6974 dest: /etc/audit │ │ │ │ 002b3750: 2f61 7564 6974 2e72 756c 6573 0a20 2020 /audit.rules. │ │ │ │ 002b3760: 2063 7265 6174 653a 2074 7275 650a 2020 create: true. │ │ │ │ 002b3770: 2020 6d6f 6465 3a20 2730 3634 3027 0a20 mode: '0640'. │ │ │ │ -002b3780: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -002b3790: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -002b37a0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -002b37b0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -002b37c0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -002b37d0: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -002b37e0: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -002b37f0: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -002b3800: 6e74 6169 6e65 7222 5d0a 2020 2d20 6669 ntainer"]. - fi │ │ │ │ +002b3780: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +002b3790: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +002b37a0: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +002b37b0: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +002b37c0: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +002b37d0: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +002b37e0: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +002b37f0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +002b3800: 7061 636b 6167 6573 270a 2020 2d20 6669 packages'. - fi │ │ │ │ 002b3810: 6e64 5f65 7869 7374 696e 675f 7761 7463 nd_existing_watc │ │ │ │ 002b3820: 685f 6175 6469 745f 7275 6c65 732e 6d61 h_audit_rules.ma │ │ │ │ 002b3830: 7463 6865 6420 6973 2064 6566 696e 6564 tched is defined │ │ │ │ 002b3840: 2061 6e64 2066 696e 645f 6578 6973 7469 and find_existi │ │ │ │ 002b3850: 6e67 5f77 6174 6368 5f61 7564 6974 5f72 ng_watch_audit_r │ │ │ │ 002b3860: 756c 6573 2e6d 6174 6368 6564 0a20 2020 ules.matched. │ │ │ │ 002b3870: 203d 3d20 300a 2020 7461 6773 3a0a 2020 == 0. tags:. │ │ │ │ @@ -177069,25 +177069,25 @@ │ │ │ │ 002b3ac0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f class="panel-co │ │ │ │ 002b3ad0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522 llapse collapse" │ │ │ │ 002b3ae0: 2069 643d 2269 646d 3131 3834 3622 3e3c id="idm11846">< │ │ │ │ 002b3af0: 7072 653e 3c63 6f64 653e 2320 5265 6d65 pre>
# Reme │ │ │ │ 002b3b00: 6469 6174 696f 6e20 6973 2061 7070 6c69 diation is appli │ │ │ │ 002b3b10: 6361 626c 6520 6f6e 6c79 2069 6e20 6365 cable only in ce │ │ │ │ 002b3b20: 7274 6169 6e20 706c 6174 666f 726d 730a rtain platforms. │ │ │ │ -002b3b30: 6966 2064 706b 672d 7175 6572 7920 2d2d if dpkg-query -- │ │ │ │ -002b3b40: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ -002b3b50: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ -002b3b60: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ -002b3b70: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ -002b3b80: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ -002b3b90: 616c 6c65 6420 2661 6d70 3b26 616d 703b alled && │ │ │ │ -002b3ba0: 205b 2021 202d 6620 2f2e 646f 636b 6572 [ ! -f /.docker │ │ │ │ -002b3bb0: 656e 7620 5d20 2661 6d70 3b26 616d 703b env ] && │ │ │ │ -002b3bc0: 205b 2021 202d 6620 2f72 756e 2f2e 636f [ ! -f /run/.co │ │ │ │ -002b3bd0: 6e74 6169 6e65 7265 6e76 205d 3b20 7468 ntainerenv ]; th │ │ │ │ +002b3b30: 6966 205b 2021 202d 6620 2f2e 646f 636b if [ ! -f /.dock │ │ │ │ +002b3b40: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +002b3b50: 703b 205b 2021 202d 6620 2f72 756e 2f2e p; [ ! -f /run/. │ │ │ │ +002b3b60: 636f 6e74 6169 6e65 7265 6e76 205d 2026 containerenv ] & │ │ │ │ +002b3b70: 616d 703b 2661 6d70 3b20 6470 6b67 2d71 amp;& dpkg-q │ │ │ │ +002b3b80: 7565 7279 202d 2d73 686f 7720 2d2d 7368 uery --show --sh │ │ │ │ +002b3b90: 6f77 666f 726d 6174 3d27 247b 6462 3a53 owformat='${db:S │ │ │ │ +002b3ba0: 7461 7475 732d 5374 6174 7573 7d5c 6e27 tatus-Status}\n' │ │ │ │ +002b3bb0: 2027 6175 6469 7464 2720 3226 6774 3b2f 'auditd' 2>/ │ │ │ │ +002b3bc0: 6465 762f 6e75 6c6c 207c 2067 7265 7020 dev/null | grep │ │ │ │ +002b3bd0: 2d71 2069 6e73 7461 6c6c 6564 3b20 7468 -q installed; th │ │ │ │ 002b3be0: 656e 0a0a 2320 5065 7266 6f72 6d20 7468 en..# Perform th │ │ │ │ 002b3bf0: 6520 7265 6d65 6469 6174 696f 6e20 666f e remediation fo │ │ │ │ 002b3c00: 7220 626f 7468 2070 6f73 7369 626c 6520 r both possible │ │ │ │ 002b3c10: 746f 6f6c 733a 2027 6175 6469 7463 746c tools: 'auditctl │ │ │ │ 002b3c20: 2720 616e 6420 2761 7567 656e 7275 6c65 ' and 'augenrule │ │ │ │ 002b3c30: 7327 0a0a 2320 4372 6561 7465 2061 206c s'..# Create a l │ │ │ │ 002b3c40: 6973 7420 6f66 2061 7564 6974 202a 2e72 ist of audit *.r │ │ │ │ @@ -180421,25 +180421,25 @@ │ │ │ │ 002c0c40: 7620 636c 6173 733d 2270 616e 656c 2d63 v class="panel-c │ │ │ │ 002c0c50: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365 ollapse collapse │ │ │ │ 002c0c60: 2220 6964 3d22 6964 6d32 3138 3836 223e " id="idm21886"> │ │ │ │ 002c0c70: 3c70 7265 3e3c 636f 6465 3e23 2052 656d
# Rem │ │ │ │ 002c0c80: 6564 6961 7469 6f6e 2069 7320 6170 706c ediation is appl │ │ │ │ 002c0c90: 6963 6162 6c65 206f 6e6c 7920 696e 2063 icable only in c │ │ │ │ 002c0ca0: 6572 7461 696e 2070 6c61 7466 6f72 6d73 ertain platforms │ │ │ │ -002c0cb0: 0a69 6620 6470 6b67 2d71 7565 7279 202d .if dpkg-query - │ │ │ │ -002c0cc0: 2d73 686f 7720 2d2d 7368 6f77 666f 726d -show --showform │ │ │ │ -002c0cd0: 6174 3d27 247b 6462 3a53 7461 7475 732d at='${db:Status- │ │ │ │ -002c0ce0: 5374 6174 7573 7d5c 6e27 2027 6175 6469 Status}\n' 'audi │ │ │ │ -002c0cf0: 7464 2720 3226 6774 3b2f 6465 762f 6e75 td' 2>/dev/nu │ │ │ │ -002c0d00: 6c6c 207c 2067 7265 7020 2d71 2069 6e73 ll | grep -q ins │ │ │ │ -002c0d10: 7461 6c6c 6564 2026 616d 703b 2661 6d70 talled && │ │ │ │ -002c0d20: 3b20 5b20 2120 2d66 202f 2e64 6f63 6b65 ; [ ! -f /.docke │ │ │ │ -002c0d30: 7265 6e76 205d 2026 616d 703b 2661 6d70 renv ] && │ │ │ │ -002c0d40: 3b20 5b20 2120 2d66 202f 7275 6e2f 2e63 ; [ ! -f /run/.c │ │ │ │ -002c0d50: 6f6e 7461 696e 6572 656e 7620 5d3b 2074 ontainerenv ]; t │ │ │ │ +002c0cb0: 0a69 6620 5b20 2120 2d66 202f 2e64 6f63 .if [ ! -f /.doc │ │ │ │ +002c0cc0: 6b65 7265 6e76 205d 2026 616d 703b 2661 kerenv ] &&a │ │ │ │ +002c0cd0: 6d70 3b20 5b20 2120 2d66 202f 7275 6e2f mp; [ ! -f /run/ │ │ │ │ +002c0ce0: 2e63 6f6e 7461 696e 6572 656e 7620 5d20 .containerenv ] │ │ │ │ +002c0cf0: 2661 6d70 3b26 616d 703b 2064 706b 672d && dpkg- │ │ │ │ +002c0d00: 7175 6572 7920 2d2d 7368 6f77 202d 2d73 query --show --s │ │ │ │ +002c0d10: 686f 7766 6f72 6d61 743d 2724 7b64 623a howformat='${db: │ │ │ │ +002c0d20: 5374 6174 7573 2d53 7461 7475 737d 5c6e Status-Status}\n │ │ │ │ +002c0d30: 2720 2761 7564 6974 6427 2032 2667 743b ' 'auditd' 2> │ │ │ │ +002c0d40: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570 /dev/null | grep │ │ │ │ +002c0d50: 202d 7120 696e 7374 616c 6c65 643b 2074 -q installed; t │ │ │ │ 002c0d60: 6865 6e0a 0a76 6172 5f61 7564 6974 645f hen..var_auditd_ │ │ │ │ 002c0d70: 7370 6163 655f 6c65 6674 5f61 6374 696f space_left_actio │ │ │ │ 002c0d80: 6e3d 273c 6162 6272 2074 6974 6c65 3d22 n='
St │ │ │ │ 002d0970: 7261 7465 6779 3a3c 2f74 683e 3c74 643e rategy: │ │ │ │ 002d0980: 636f 6e66 6967 7572 653c 2f74 643e 3c2f configure │ │ │ │ 002d0990: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e tr>│ │ │ │ 002d09a0: 3c63 6f64 653e 2320 5265 6d65 6469 6174# Remediat │ │ │ │ 002d09b0: 696f 6e20 6973 2061 7070 6c69 6361 626c ion is applicabl │ │ │ │ 002d09c0: 6520 6f6e 6c79 2069 6e20 6365 7274 6169 e only in certai │ │ │ │ -002d09d0: 6e20 706c 6174 666f 726d 730a 6966 205b n platforms.if [ │ │ │ │ -002d09e0: 2021 202d 6620 2f73 7973 2f66 6972 6d77 ! -f /sys/firmw │ │ │ │ -002d09f0: 6172 652f 6566 6920 5d20 2661 6d70 3b26 are/efi ] && │ │ │ │ -002d0a00: 616d 703b 2064 706b 672d 7175 6572 7920 amp; dpkg-query │ │ │ │ -002d0a10: 2d2d 7368 6f77 202d 2d73 686f 7766 6f72 --show --showfor │ │ │ │ -002d0a20: 6d61 743d 2724 7b64 623a 5374 6174 7573 mat='${db:Status │ │ │ │ -002d0a30: 2d53 7461 7475 737d 5c6e 2720 2767 7275 -Status}\n' 'gru │ │ │ │ -002d0a40: 6232 2d63 6f6d 6d6f 6e27 2032 2667 743b b2-common' 2> │ │ │ │ -002d0a50: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570 /dev/null | grep │ │ │ │ -002d0a60: 202d 7120 696e 7374 616c 6c65 6420 2661 -q installed &a │ │ │ │ +002d09d0: 6e20 706c 6174 666f 726d 730a 6966 2064 n platforms.if d │ │ │ │ +002d09e0: 706b 672d 7175 6572 7920 2d2d 7368 6f77 pkg-query --show │ │ │ │ +002d09f0: 202d 2d73 686f 7766 6f72 6d61 743d 2724 --showformat='$ │ │ │ │ +002d0a00: 7b64 623a 5374 6174 7573 2d53 7461 7475 {db:Status-Statu │ │ │ │ +002d0a10: 737d 5c6e 2720 2767 7275 6232 2d63 6f6d s}\n' 'grub2-com │ │ │ │ +002d0a20: 6d6f 6e27 2032 2667 743b 2f64 6576 2f6e mon' 2>/dev/n │ │ │ │ +002d0a30: 756c 6c20 7c20 6772 6570 202d 7120 696e ull | grep -q in │ │ │ │ +002d0a40: 7374 616c 6c65 6420 2661 6d70 3b26 616d stalled &&am │ │ │ │ +002d0a50: 703b 205b 2021 202d 6620 2f73 7973 2f66 p; [ ! -f /sys/f │ │ │ │ +002d0a60: 6972 6d77 6172 652f 6566 6920 5d20 2661 irmware/efi ] &a │ │ │ │ 002d0a70: 6d70 3b26 616d 703b 207b 205b 2021 202d mp;& { [ ! - │ │ │ │ 002d0a80: 6620 2f2e 646f 636b 6572 656e 7620 5d20 f /.dockerenv ] │ │ │ │ 002d0a90: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ 002d0aa0: 6620 2f72 756e 2f2e 636f 6e74 6169 6e65 f /run/.containe │ │ │ │ 002d0ab0: 7265 6e76 205d 3b20 7d3b 2074 6865 6e0a renv ]; }; then. │ │ │ │ 002d0ac0: 0a63 686f 776e 2030 202f 626f 6f74 2f67 .chown 0 /boot/g │ │ │ │ 002d0ad0: 7275 622f 6772 7562 2e63 6667 0a0a 656c rub/grub.cfg..el │ │ │ │ @@ -184940,22 +184940,22 @@ │ │ │ │ 002d26b0: 6573 7420 666f 7220 6578 6973 7465 6e63 est for existenc │ │ │ │ 002d26c0: 6520 2f62 6f6f 742f 6772 7562 2f67 7275 e /boot/grub/gru │ │ │ │ 002d26d0: 622e 6366 670a 2020 7374 6174 3a0a 2020 b.cfg. stat:. │ │ │ │ 002d26e0: 2020 7061 7468 3a20 2f62 6f6f 742f 6772 path: /boot/gr │ │ │ │ 002d26f0: 7562 2f67 7275 622e 6366 670a 2020 7265 ub/grub.cfg. re │ │ │ │ 002d2700: 6769 7374 6572 3a20 6669 6c65 5f65 7869 gister: file_exi │ │ │ │ 002d2710: 7374 730a 2020 7768 656e 3a0a 2020 2d20 sts. when:. - │ │ │ │ -002d2720: 2722 2f62 6f6f 742f 6566 6922 206e 6f74 '"/boot/efi" not │ │ │ │ -002d2730: 2069 6e20 616e 7369 626c 655f 6d6f 756e in ansible_moun │ │ │ │ -002d2740: 7473 207c 206d 6170 2861 7474 7269 6275 ts | map(attribu │ │ │ │ -002d2750: 7465 3d22 6d6f 756e 7422 2920 7c20 6c69 te="mount") | li │ │ │ │ -002d2760: 7374 270a 2020 2d20 2722 6772 7562 322d st'. - '"grub2- │ │ │ │ -002d2770: 636f 6d6d 6f6e 2220 696e 2061 6e73 6962 common" in ansib │ │ │ │ -002d2780: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -002d2790: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ +002d2720: 2722 6772 7562 322d 636f 6d6d 6f6e 2220 '"grub2-common" │ │ │ │ +002d2730: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +002d2740: 2e70 6163 6b61 6765 7327 0a20 202d 2027 .packages'. - ' │ │ │ │ +002d2750: 222f 626f 6f74 2f65 6669 2220 6e6f 7420 "/boot/efi" not │ │ │ │ +002d2760: 696e 2061 6e73 6962 6c65 5f6d 6f75 6e74 in ansible_mount │ │ │ │ +002d2770: 7320 7c20 6d61 7028 6174 7472 6962 7574 s | map(attribut │ │ │ │ +002d2780: 653d 226d 6f75 6e74 2229 207c 206c 6973 e="mount") | lis │ │ │ │ +002d2790: 7427 0a20 202d 2061 6e73 6962 6c65 5f76 t'. - ansible_v │ │ │ │ 002d27a0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ 002d27b0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ 002d27c0: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ 002d27d0: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ 002d27e0: 2263 6f6e 7461 696e 6572 225d 0a20 2074 "container"]. t │ │ │ │ 002d27f0: 6167 733a 0a20 202d 204e 4953 542d 3830 ags:. - NIST-80 │ │ │ │ 002d2800: 302d 3137 312d 332e 342e 350a 2020 2d20 0-171-3.4.5. - │ │ │ │ @@ -184975,22 +184975,22 @@ │ │ │ │ 002d28e0: 2c67 2d78 7772 732c 6f2d 7877 7274 206f ,g-xwrs,o-xwrt o │ │ │ │ 002d28f0: 6e20 2f62 6f6f 742f 6772 7562 2f67 7275 n /boot/grub/gru │ │ │ │ 002d2900: 622e 6366 670a 2020 6669 6c65 3a0a 2020 b.cfg. file:. │ │ │ │ 002d2910: 2020 7061 7468 3a20 2f62 6f6f 742f 6772 path: /boot/gr │ │ │ │ 002d2920: 7562 2f67 7275 622e 6366 670a 2020 2020 ub/grub.cfg. │ │ │ │ 002d2930: 6d6f 6465 3a20 752d 7873 2c67 2d78 7772 mode: u-xs,g-xwr │ │ │ │ 002d2940: 732c 6f2d 7877 7274 0a20 2077 6865 6e3a s,o-xwrt. when: │ │ │ │ -002d2950: 0a20 202d 2027 222f 626f 6f74 2f65 6669 . - '"/boot/efi │ │ │ │ -002d2960: 2220 6e6f 7420 696e 2061 6e73 6962 6c65 " not in ansible │ │ │ │ -002d2970: 5f6d 6f75 6e74 7320 7c20 6d61 7028 6174 _mounts | map(at │ │ │ │ -002d2980: 7472 6962 7574 653d 226d 6f75 6e74 2229 tribute="mount") │ │ │ │ -002d2990: 207c 206c 6973 7427 0a20 202d 2027 2267 | list'. - '"g │ │ │ │ -002d29a0: 7275 6232 2d63 6f6d 6d6f 6e22 2069 6e20 rub2-common" in │ │ │ │ -002d29b0: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ -002d29c0: 636b 6167 6573 270a 2020 2d20 616e 7369 ckages'. - ansi │ │ │ │ +002d2950: 0a20 202d 2027 2267 7275 6232 2d63 6f6d . - '"grub2-com │ │ │ │ +002d2960: 6d6f 6e22 2069 6e20 616e 7369 626c 655f mon" in ansible_ │ │ │ │ +002d2970: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ +002d2980: 2020 2d20 2722 2f62 6f6f 742f 6566 6922 - '"/boot/efi" │ │ │ │ +002d2990: 206e 6f74 2069 6e20 616e 7369 626c 655f not in ansible_ │ │ │ │ +002d29a0: 6d6f 756e 7473 207c 206d 6170 2861 7474 mounts | map(att │ │ │ │ +002d29b0: 7269 6275 7465 3d22 6d6f 756e 7422 2920 ribute="mount") │ │ │ │ +002d29c0: 7c20 6c69 7374 270a 2020 2d20 616e 7369 | list'. - ansi │ │ │ │ 002d29d0: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ 002d29e0: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ 002d29f0: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ 002d2a00: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ 002d2a10: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ 002d2a20: 5d0a 2020 2d20 6669 6c65 5f65 7869 7374 ]. - file_exist │ │ │ │ 002d2a30: 732e 7374 6174 2069 7320 6465 6669 6e65 s.stat is define │ │ │ │ @@ -185038,24 +185038,24 @@ │ │ │ │ 002d2cd0: 3c74 723e 3c74 683e 5374 7261 7465 6779
Strategy │ │ │ │ 002d2ce0: 3a3c 2f74 683e 3c74 643e 636f 6e66 6967 : config │ │ │ │ 002d2cf0: 7572 653c 2f74 643e 3c2f 7472 3e3c 2f74 ure │ │ │ │ 002d2d10: 2320 5265 6d65 6469 6174 696f 6e20 6973 # Remediation is │ │ │ │ 002d2d20: 2061 7070 6c69 6361 626c 6520 6f6e 6c79 applicable only │ │ │ │ 002d2d30: 2069 6e20 6365 7274 6169 6e20 706c 6174 in certain plat │ │ │ │ -002d2d40: 666f 726d 730a 6966 205b 2021 202d 6620 forms.if [ ! -f │ │ │ │ -002d2d50: 2f73 7973 2f66 6972 6d77 6172 652f 6566 /sys/firmware/ef │ │ │ │ -002d2d60: 6920 5d20 2661 6d70 3b26 616d 703b 2064 i ] && d │ │ │ │ -002d2d70: 706b 672d 7175 6572 7920 2d2d 7368 6f77 pkg-query --show │ │ │ │ -002d2d80: 202d 2d73 686f 7766 6f72 6d61 743d 2724 --showformat='$ │ │ │ │ -002d2d90: 7b64 623a 5374 6174 7573 2d53 7461 7475 {db:Status-Statu │ │ │ │ -002d2da0: 737d 5c6e 2720 2767 7275 6232 2d63 6f6d s}\n' 'grub2-com │ │ │ │ -002d2db0: 6d6f 6e27 2032 2667 743b 2f64 6576 2f6e mon' 2>/dev/n │ │ │ │ -002d2dc0: 756c 6c20 7c20 6772 6570 202d 7120 696e ull | grep -q in │ │ │ │ -002d2dd0: 7374 616c 6c65 6420 2661 6d70 3b26 616d stalled &&am │ │ │ │ +002d2d40: 666f 726d 730a 6966 2064 706b 672d 7175 forms.if dpkg-qu │ │ │ │ +002d2d50: 6572 7920 2d2d 7368 6f77 202d 2d73 686f ery --show --sho │ │ │ │ +002d2d60: 7766 6f72 6d61 743d 2724 7b64 623a 5374 wformat='${db:St │ │ │ │ +002d2d70: 6174 7573 2d53 7461 7475 737d 5c6e 2720 atus-Status}\n' │ │ │ │ +002d2d80: 2767 7275 6232 2d63 6f6d 6d6f 6e27 2032 'grub2-common' 2 │ │ │ │ +002d2d90: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20 >/dev/null | │ │ │ │ +002d2da0: 6772 6570 202d 7120 696e 7374 616c 6c65 grep -q installe │ │ │ │ +002d2db0: 6420 2661 6d70 3b26 616d 703b 205b 2021 d && [ ! │ │ │ │ +002d2dc0: 202d 6620 2f73 7973 2f66 6972 6d77 6172 -f /sys/firmwar │ │ │ │ +002d2dd0: 652f 6566 6920 5d20 2661 6d70 3b26 616d e/efi ] &&am │ │ │ │ 002d2de0: 703b 207b 205b 2021 202d 6620 2f2e 646f p; { [ ! -f /.do │ │ │ │ 002d2df0: 636b 6572 656e 7620 5d20 2661 6d70 3b26 ckerenv ] && │ │ │ │ 002d2e00: 616d 703b 205b 2021 202d 6620 2f72 756e amp; [ ! -f /run │ │ │ │ 002d2e10: 2f2e 636f 6e74 6169 6e65 7265 6e76 205d /.containerenv ] │ │ │ │ 002d2e20: 3b20 7d3b 2074 6865 6e0a 0a63 686d 6f64 ; }; then..chmod │ │ │ │ 002d2e30: 2075 2d78 732c 672d 7877 7273 2c6f 2d78 u-xs,g-xwrs,o-x │ │ │ │ 002d2e40: 7772 7420 2f62 6f6f 742f 6772 7562 2f67 wrt /boot/grub/g │ │ │ │ ├── html2text {} │ │ │ │ │ @@ -3414,16 +3414,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit chmod tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010152 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -3560,16 +3560,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010152 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -3704,16 +3704,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010152 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -3723,16 +3723,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ for ARCH in "${RULE_ARCHS[@]}" │ │ │ │ │ do │ │ │ │ │ @@ -4124,16 +4124,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit chown tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010148 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -4272,16 +4272,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010148 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -4418,16 +4418,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010148 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -4437,16 +4437,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ for ARCH in "${RULE_ARCHS[@]}" │ │ │ │ │ do │ │ │ │ │ @@ -4838,16 +4838,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit fchmod tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010153 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -4984,16 +4984,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010153 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -5128,16 +5128,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010153 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -5147,16 +5147,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ for ARCH in "${RULE_ARCHS[@]}" │ │ │ │ │ do │ │ │ │ │ @@ -5548,16 +5548,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit fchmodat tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010154 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -5694,16 +5694,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010154 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -5838,16 +5838,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010154 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -5857,16 +5857,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ for ARCH in "${RULE_ARCHS[@]}" │ │ │ │ │ do │ │ │ │ │ @@ -6258,16 +6258,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit fchown tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010149 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -6406,16 +6406,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010149 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -6552,16 +6552,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010149 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -6571,16 +6571,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ for ARCH in "${RULE_ARCHS[@]}" │ │ │ │ │ do │ │ │ │ │ @@ -6972,16 +6972,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit fchownat tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010150 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -7120,16 +7120,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010150 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -7266,16 +7266,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010150 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -7285,16 +7285,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ for ARCH in "${RULE_ARCHS[@]}" │ │ │ │ │ do │ │ │ │ │ @@ -7694,16 +7694,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit fremovexattr tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010147 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -7974,16 +7974,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F auid=0 -F │ │ │ │ │ key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010147 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -8252,16 +8252,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F auid=0 -F │ │ │ │ │ key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010147 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -8271,16 +8271,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ for ARCH in "${RULE_ARCHS[@]}" │ │ │ │ │ do │ │ │ │ │ @@ -9003,16 +9003,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit fsetxattr tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010144 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -9283,16 +9283,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F auid=0 -F │ │ │ │ │ key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010144 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -9561,16 +9561,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F auid=0 -F │ │ │ │ │ key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010144 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -9580,16 +9580,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ for ARCH in "${RULE_ARCHS[@]}" │ │ │ │ │ do │ │ │ │ │ @@ -10311,16 +10311,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit lchown tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010151 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -10459,16 +10459,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010151 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -10605,16 +10605,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010151 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -10624,16 +10624,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ for ARCH in "${RULE_ARCHS[@]}" │ │ │ │ │ do │ │ │ │ │ @@ -11033,16 +11033,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit lremovexattr tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010146 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -11313,16 +11313,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F auid=0 -F │ │ │ │ │ key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010146 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -11591,16 +11591,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F auid=0 -F │ │ │ │ │ key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010146 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -11610,16 +11610,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ for ARCH in "${RULE_ARCHS[@]}" │ │ │ │ │ do │ │ │ │ │ @@ -12342,16 +12342,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit lsetxattr tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010143 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -12622,16 +12622,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F auid=0 -F │ │ │ │ │ key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010143 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -12900,16 +12900,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F auid=0 -F │ │ │ │ │ key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010143 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -12919,16 +12919,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ for ARCH in "${RULE_ARCHS[@]}" │ │ │ │ │ do │ │ │ │ │ @@ -13658,16 +13658,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit removexattr tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010145 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -13938,16 +13938,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F auid=0 -F │ │ │ │ │ key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010145 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -14216,16 +14216,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F auid=0 -F │ │ │ │ │ key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010145 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -14235,16 +14235,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ for ARCH in "${RULE_ARCHS[@]}" │ │ │ │ │ do │ │ │ │ │ @@ -14966,16 +14966,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit setxattr tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010142 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -15246,16 +15246,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F auid=0 -F │ │ │ │ │ key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010142 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -15524,16 +15524,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F auid=0 -F │ │ │ │ │ key=perm_mod │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010142 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -15543,16 +15543,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ for ARCH in "${RULE_ARCHS[@]}" │ │ │ │ │ do │ │ │ │ │ @@ -16280,16 +16280,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit rename tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010269 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -16429,16 +16429,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=delete │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010269 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-10.2.7 │ │ │ │ │ @@ -16576,16 +16576,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=delete │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010269 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -16594,16 +16594,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ for ARCH in "${RULE_ARCHS[@]}" │ │ │ │ │ do │ │ │ │ │ @@ -16988,16 +16988,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit renameat tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010270 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -17137,16 +17137,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=delete │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010270 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-10.2.7 │ │ │ │ │ @@ -17284,16 +17284,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=delete │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010270 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -17302,16 +17302,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ for ARCH in "${RULE_ARCHS[@]}" │ │ │ │ │ do │ │ │ │ │ @@ -17696,16 +17696,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit unlink tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010267 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -17845,16 +17845,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=delete │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010267 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-10.2.7 │ │ │ │ │ @@ -17992,16 +17992,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=delete │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010267 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -18010,16 +18010,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ for ARCH in "${RULE_ARCHS[@]}" │ │ │ │ │ do │ │ │ │ │ @@ -18404,16 +18404,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit unlinkat tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010268 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -18553,16 +18553,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=delete │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010268 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-10.2.7 │ │ │ │ │ @@ -18700,16 +18700,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F auid>=1000 │ │ │ │ │ -F auid!=unset -F key=delete │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010268 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -18718,16 +18718,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ for ARCH in "${RULE_ARCHS[@]}" │ │ │ │ │ do │ │ │ │ │ @@ -19138,16 +19138,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit creat tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010158 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -19290,16 +19290,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F exit=-EACCES │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010158 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-10.2.1 │ │ │ │ │ @@ -19440,16 +19440,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F exit=-EACCES │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010158 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -19591,16 +19591,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F exit=-EPERM │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010158 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-10.2.1 │ │ │ │ │ @@ -19741,16 +19741,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F exit=-EPERM │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010158 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -19760,16 +19760,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="creat" │ │ │ │ │ @@ -20487,16 +20487,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit ftruncate tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010157 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -20639,16 +20639,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F exit=-EACCES │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010157 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-10.2.1 │ │ │ │ │ @@ -20789,16 +20789,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F exit=-EACCES │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010157 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -20940,16 +20940,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F exit=-EPERM │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010157 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-10.2.1 │ │ │ │ │ @@ -21090,16 +21090,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F exit=-EPERM │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010157 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -21109,16 +21109,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="ftruncate" │ │ │ │ │ @@ -21836,16 +21836,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit open tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010155 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -21988,16 +21988,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F exit=-EACCES │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010155 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-10.2.1 │ │ │ │ │ @@ -22138,16 +22138,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F exit=-EACCES │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010155 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -22289,16 +22289,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F exit=-EPERM │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010155 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-10.2.1 │ │ │ │ │ @@ -22439,16 +22439,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F exit=-EPERM │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010155 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -22458,16 +22458,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="open" │ │ │ │ │ @@ -23185,16 +23185,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit openat tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010159 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -23337,16 +23337,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F exit=-EACCES │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010159 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-10.2.1 │ │ │ │ │ @@ -23487,16 +23487,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F exit=-EACCES │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010159 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -23638,16 +23638,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F exit=-EPERM │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010159 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-10.2.1 │ │ │ │ │ @@ -23788,16 +23788,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F exit=-EPERM │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010159 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -23807,16 +23807,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="openat" │ │ │ │ │ @@ -24534,16 +24534,16 @@ │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit truncate tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010156 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -24686,16 +24686,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F exit=-EACCES │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010156 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-10.2.1 │ │ │ │ │ @@ -24836,16 +24836,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F exit=-EACCES │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010156 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -24987,16 +24987,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F exit=-EPERM │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010156 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-10.2.1 │ │ │ │ │ @@ -25137,16 +25137,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F exit=-EPERM │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=access │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010156 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -25156,16 +25156,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="truncate" │ │ │ │ │ @@ -25854,16 +25854,16 @@ │ │ │ │ │ A.16.1.7, A.6.2.1, A.6.2.2, AU-2(d), AU-12(c), AC-6(9), CM-6(a), DE.AE-3, DE.AE-5, DE.CM-1, DE.CM- │ │ │ │ │ 3, DE.CM-7, ID.SC-4, PR.AC-3, PR.PT-1, PR.PT-4, RS.AN-1, RS.AN-4, FAU_GEN.1.1.c, Req-10.2.7, SRG- │ │ │ │ │ OS-000037-GPOS-00015, SRG-OS-000042-GPOS-00020, SRG-OS-000062-GPOS-00031, SRG-OS-000392-GPOS- │ │ │ │ │ 00172, SRG-OS-000462-GPOS-00206, SRG-OS-000471-GPOS-00215, SRG-OS-000471-GPOS-00216, SRG-OS- │ │ │ │ │ 000477-GPOS-00222, SRG-OS-000477-VMM-001970, UBTU-20-010302, 4.1.16 │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ # Note: 32-bit and 64-bit kernel syscall numbers not always line up => │ │ │ │ │ # it's required on a 64-bit system to check also for the presence │ │ │ │ │ # of 32-bit's equivalent of the corresponding rule. │ │ │ │ │ # (See `man 7 audit.rules` for details ) │ │ │ │ │ @@ -26226,16 +26226,16 @@ │ │ │ │ │ A.16.1.7, A.6.2.1, A.6.2.2, AU-2(d), AU-12(c), AC-6(9), CM-6(a), DE.AE-3, DE.AE-5, DE.CM-1, DE.CM- │ │ │ │ │ 3, DE.CM-7, ID.SC-4, PR.AC-3, PR.PT-1, PR.PT-4, RS.AN-1, RS.AN-4, FAU_GEN.1.1.c, Req-10.2.7, SRG- │ │ │ │ │ OS-000037-GPOS-00015, SRG-OS-000042-GPOS-00020, SRG-OS-000062-GPOS-00031, SRG-OS-000392-GPOS- │ │ │ │ │ 00172, SRG-OS-000462-GPOS-00206, SRG-OS-000471-GPOS-00215, SRG-OS-000471-GPOS-00216, SRG-OS- │ │ │ │ │ 000477-GPOS-00222, SRG-OS-000477-VMM-001970, UBTU-20-010179, 4.1.16 │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ # Note: 32-bit and 64-bit kernel syscall numbers not always line up => │ │ │ │ │ # it's required on a 64-bit system to check also for the presence │ │ │ │ │ # of 32-bit's equivalent of the corresponding rule. │ │ │ │ │ # (See `man 7 audit.rules` for details ) │ │ │ │ │ @@ -26624,16 +26624,16 @@ │ │ │ │ │ - name: Check if watch rule for /var/log/faillog already exists in /etc/audit/rules.d/ │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^\s*-w\s+/var/log/faillog\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_existing_watch_rules_d │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010170 │ │ │ │ │ - audit_rules_login_events_faillog │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ @@ -26642,16 +26642,16 @@ │ │ │ │ │ - name: Search /etc/audit/rules.d for other rules with specified key logins │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^.*(?:-F key=|-k\s+)logins$ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_watch_key │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010170 │ │ │ │ │ - audit_rules_login_events_faillog │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ @@ -26660,16 +26660,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use /etc/audit/rules.d/logins.rules as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - /etc/audit/rules.d/logins.rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched == 0 and │ │ │ │ │ find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010170 │ │ │ │ │ - audit_rules_login_events_faillog │ │ │ │ │ - low_complexity │ │ │ │ │ @@ -26679,16 +26679,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use matched file as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - '{{ find_watch_key.files | map(attribute=''path'') | list | first }}' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched > 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010170 │ │ │ │ │ - audit_rules_login_events_faillog │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ @@ -26699,16 +26699,16 @@ │ │ │ │ │ - name: Add watch rule for /var/log/faillog in /etc/audit/rules.d/ │ │ │ │ │ lineinfile: │ │ │ │ │ path: '{{ all_files[0] }}' │ │ │ │ │ line: -w /var/log/faillog -p wa -k logins │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010170 │ │ │ │ │ - audit_rules_login_events_faillog │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ @@ -26719,16 +26719,16 @@ │ │ │ │ │ - name: Check if watch rule for /var/log/faillog already exists in /etc/audit/audit.rules │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/ │ │ │ │ │ contains: ^\s*-w\s+/var/log/faillog\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: audit.rules │ │ │ │ │ register: find_existing_watch_audit_rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010170 │ │ │ │ │ - audit_rules_login_events_faillog │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ @@ -26738,30 +26738,30 @@ │ │ │ │ │ lineinfile: │ │ │ │ │ line: -w /var/log/faillog -p wa -k logins │ │ │ │ │ state: present │ │ │ │ │ dest: /etc/audit/audit.rules │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_audit_rules.matched is defined and find_existing_watch_audit_rules.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010170 │ │ │ │ │ - audit_rules_login_events_faillog │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # Perform the remediation for both possible tools: 'auditctl' and 'augenrules' │ │ │ │ │ │ │ │ │ │ # Create a list of audit *.rules files that should be inspected for presence and correctness │ │ │ │ │ # of a particular audit rule. The scheme is as follows: │ │ │ │ │ # │ │ │ │ │ # ----------------------------------------------------------------------------------------- │ │ │ │ │ @@ -26957,16 +26957,16 @@ │ │ │ │ │ - name: Check if watch rule for /var/log/lastlog already exists in /etc/audit/rules.d/ │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^\s*-w\s+/var/log/lastlog\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_existing_watch_rules_d │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010171 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -26981,16 +26981,16 @@ │ │ │ │ │ - name: Search /etc/audit/rules.d for other rules with specified key logins │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^.*(?:-F key=|-k\s+)logins$ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_watch_key │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010171 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -27005,16 +27005,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use /etc/audit/rules.d/logins.rules as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - /etc/audit/rules.d/logins.rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched == 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010171 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -27029,16 +27029,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use matched file as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - '{{ find_watch_key.files | map(attribute=''path'') | list | first }}' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched > 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010171 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -27055,16 +27055,16 @@ │ │ │ │ │ - name: Add watch rule for /var/log/lastlog in /etc/audit/rules.d/ │ │ │ │ │ lineinfile: │ │ │ │ │ path: '{{ all_files[0] }}' │ │ │ │ │ line: -w /var/log/lastlog -p wa -k logins │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010171 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -27081,16 +27081,16 @@ │ │ │ │ │ - name: Check if watch rule for /var/log/lastlog already exists in /etc/audit/audit.rules │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/ │ │ │ │ │ contains: ^\s*-w\s+/var/log/lastlog\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: audit.rules │ │ │ │ │ register: find_existing_watch_audit_rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010171 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -27106,16 +27106,16 @@ │ │ │ │ │ lineinfile: │ │ │ │ │ line: -w /var/log/lastlog -p wa -k logins │ │ │ │ │ state: present │ │ │ │ │ dest: /etc/audit/audit.rules │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_audit_rules.matched is defined and find_existing_watch_audit_rules.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010171 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -27126,16 +27126,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # Perform the remediation for both possible tools: 'auditctl' and 'augenrules' │ │ │ │ │ │ │ │ │ │ # Create a list of audit *.rules files that should be inspected for presence and correctness │ │ │ │ │ # of a particular audit rule. The scheme is as follows: │ │ │ │ │ # │ │ │ │ │ # ----------------------------------------------------------------------------------------- │ │ │ │ │ @@ -27329,16 +27329,16 @@ │ │ │ │ │ - name: Check if watch rule for /var/log/tallylog already exists in /etc/audit/rules.d/ │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^\s*-w\s+/var/log/tallylog\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_existing_watch_rules_d │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010169 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -27353,16 +27353,16 @@ │ │ │ │ │ - name: Search /etc/audit/rules.d for other rules with specified key logins │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^.*(?:-F key=|-k\s+)logins$ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_watch_key │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010169 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -27377,16 +27377,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use /etc/audit/rules.d/logins.rules as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - /etc/audit/rules.d/logins.rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched == 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010169 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -27401,16 +27401,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use matched file as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - '{{ find_watch_key.files | map(attribute=''path'') | list | first }}' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched > 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010169 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -27427,16 +27427,16 @@ │ │ │ │ │ - name: Add watch rule for /var/log/tallylog in /etc/audit/rules.d/ │ │ │ │ │ lineinfile: │ │ │ │ │ path: '{{ all_files[0] }}' │ │ │ │ │ line: -w /var/log/tallylog -p wa -k logins │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010169 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -27453,16 +27453,16 @@ │ │ │ │ │ - name: Check if watch rule for /var/log/tallylog already exists in /etc/audit/audit.rules │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/ │ │ │ │ │ contains: ^\s*-w\s+/var/log/tallylog\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: audit.rules │ │ │ │ │ register: find_existing_watch_audit_rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010169 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -27478,16 +27478,16 @@ │ │ │ │ │ lineinfile: │ │ │ │ │ line: -w /var/log/tallylog -p wa -k logins │ │ │ │ │ state: present │ │ │ │ │ dest: /etc/audit/audit.rules │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_audit_rules.matched is defined and find_existing_watch_audit_rules.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010169 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -27498,16 +27498,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # Perform the remediation for both possible tools: 'auditctl' and 'augenrules' │ │ │ │ │ │ │ │ │ │ # Create a list of audit *.rules files that should be inspected for presence and correctness │ │ │ │ │ # of a particular audit rule. The scheme is as follows: │ │ │ │ │ # │ │ │ │ │ # ----------------------------------------------------------------------------------------- │ │ │ │ │ @@ -27807,31 +27807,31 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/bin/at -F perm=x │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - audit_rules_privileged_commands_at │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/bin/at -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -28324,16 +28324,16 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/bin/chage -F perm=x │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010175 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -28342,16 +28342,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/bin/chage -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -28828,32 +28828,32 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/bin/chfn -F perm=x │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010137 │ │ │ │ │ - NIST-800-53-AU-12(a) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-3 │ │ │ │ │ - NIST-800-53-MA-4(1)(a) │ │ │ │ │ - audit_rules_privileged_commands_chfn │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/bin/chfn -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -29344,16 +29344,16 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/bin/chsh -F perm=x │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010163 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -29362,16 +29362,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/bin/chsh -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -29861,16 +29861,16 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/bin/crontab -F perm=x │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010177 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -29878,16 +29878,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/bin/crontab -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -30380,16 +30380,16 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/bin/gpasswd -F perm=x │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010174 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -30398,16 +30398,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/bin/gpasswd -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -30771,16 +30771,16 @@ │ │ │ │ │ Severity: medium │ │ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_modprobe │ │ │ │ │ Identifiers References: CCI-000130, CCI-000169, CCI-000172, CCI-002884, AU-12(a), AU-12.1(ii), AU-3, AU-3.1, │ │ │ │ │ and AU-12(c), AU-12.1(iv), MA-4(1)(a), SRG-OS-000037-GPOS-00015, SRG-OS-000062-GPOS-00031, SRG-OS- │ │ │ │ │ References 000392-GPOS-00172, SRG-OS-000462-GPOS-00206, SRG-OS-000471-GPOS-00215, UBTU-20-010296, 4.1.16 │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # Perform the remediation for both possible tools: 'auditctl' and 'augenrules' │ │ │ │ │ # Create a list of audit *.rules files that should be inspected for presence and correctness │ │ │ │ │ # of a particular audit rule. The scheme is as follows: │ │ │ │ │ # │ │ │ │ │ # ----------------------------------------------------------------------------------------- │ │ │ │ │ # Tool used to load audit rules | Rule already defined | Audit rules file to inspect | │ │ │ │ │ @@ -31077,32 +31077,32 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/bin/mount -F perm=x │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010138 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - audit_rules_privileged_commands_mount │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status-Status}\n' │ │ │ │ │ +'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/bin/mount -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -31582,32 +31582,32 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/bin/newgidmap -F │ │ │ │ │ perm=x -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - audit_rules_privileged_commands_newgidmap │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status-Status}\n' │ │ │ │ │ +'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/bin/newgidmap -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -32098,16 +32098,16 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/bin/newgrp -F perm=x │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010164 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -32116,16 +32116,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/bin/newgrp -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -32607,32 +32607,32 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/bin/newuidmap -F │ │ │ │ │ perm=x -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - audit_rules_privileged_commands_newuidmap │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status-Status}\n' │ │ │ │ │ +'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/bin/newuidmap -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -33119,32 +33119,32 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/sbin/postdrop -F │ │ │ │ │ perm=x -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - audit_rules_privileged_commands_postdrop │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/sbin/postdrop -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -33633,32 +33633,32 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/sbin/postqueue -F │ │ │ │ │ perm=x -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - audit_rules_privileged_commands_postqueue │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/sbin/postqueue -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -34152,28 +34152,28 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/bin/ssh-agent -F │ │ │ │ │ perm=x -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010140 │ │ │ │ │ - audit_rules_privileged_commands_ssh_agent │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/bin/ssh-agent -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -34665,16 +34665,16 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/libexec/openssh/ssh-keysign │ │ │ │ │ -F perm=x -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010141 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -34682,16 +34682,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/libexec/openssh/ssh-keysign -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -35182,16 +35182,16 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/bin/su -F perm=x │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010136 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -35199,16 +35199,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/bin/su -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -35699,16 +35699,16 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/bin/sudo -F perm=x │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010161 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -35716,16 +35716,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/bin/sudo -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -36215,16 +36215,16 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/bin/sudoedit -F │ │ │ │ │ perm=x -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010162 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -36232,16 +36232,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/bin/sudoedit -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -36731,16 +36731,16 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/bin/umount -F perm=x │ │ │ │ │ -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - DISA-STIG-UBTU-20-010139 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -36748,16 +36748,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/bin/umount -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -37256,16 +37256,16 @@ │ │ │ │ │ line: -a always,exit{{ syscalls | join(',') }} -F path=/usr/sbin/unix_chkpwd │ │ │ │ │ -F perm=x -F auid>=1000 -F auid!=unset -F key=privileged │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(a) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-12.1(ii) │ │ │ │ │ @@ -37279,16 +37279,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ ACTION_ARCH_FILTERS="-a always,exit" │ │ │ │ │ OTHER_FILTERS="-F path=/usr/sbin/unix_chkpwd -F perm=x" │ │ │ │ │ AUID_FILTERS="-F auid>=1000 -F auid!=unset" │ │ │ │ │ SYSCALL="" │ │ │ │ │ KEY="privileged" │ │ │ │ │ SYSCALL_GROUPING="" │ │ │ │ │ @@ -37671,16 +37671,16 @@ │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -37813,16 +37813,16 @@ │ │ │ │ │ path: '{{ audit_file }}' │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F key=audit_time_rules │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -37952,16 +37952,16 @@ │ │ │ │ │ path: '{{ audit_file }}' │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F key=audit_time_rules │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -38027,16 +38027,16 @@ │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -38165,16 +38165,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F a0=0x0 -F │ │ │ │ │ key=time-change │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -38301,16 +38301,16 @@ │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F a0=0x0 -F │ │ │ │ │ key=time-change │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -38376,16 +38376,16 @@ │ │ │ │ │ - no_reboot_needed │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Set architecture for audit tasks │ │ │ │ │ set_fact: │ │ │ │ │ audit_arch: b64 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_architecture == "aarch64" or ansible_architecture == "ppc64" or ansible_architecture │ │ │ │ │ == "ppc64le" or ansible_architecture == "s390x" or ansible_architecture == "x86_64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -38518,16 +38518,16 @@ │ │ │ │ │ path: '{{ audit_file }}' │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F key=audit_time_rules │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -38658,16 +38658,16 @@ │ │ │ │ │ path: '{{ audit_file }}' │ │ │ │ │ line: -a always,exit -F arch=b64 -S {{ syscalls | join(',') }} -F key=audit_time_rules │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - audit_arch == "b64" │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -38855,16 +38855,16 @@ │ │ │ │ │ path: '{{ audit_file }}' │ │ │ │ │ line: -a always,exit -F arch=b32 -S {{ syscalls | join(',') }} -F key=audit_time_rules │ │ │ │ │ create: true │ │ │ │ │ mode: o-rwx │ │ │ │ │ state: present │ │ │ │ │ when: syscalls_found | length == 0 │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -38926,16 +38926,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/localtime already exists in /etc/audit/rules.d/ │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^\s*-w\s+/etc/localtime\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_existing_watch_rules_d │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -38950,16 +38950,16 @@ │ │ │ │ │ - name: Search /etc/audit/rules.d for other rules with specified key audit_time_rules │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^.*(?:-F key=|-k\s+)audit_time_rules$ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_watch_key │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -38974,16 +38974,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use /etc/audit/rules.d/audit_time_rules.rules as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - /etc/audit/rules.d/audit_time_rules.rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched == 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -38998,16 +38998,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use matched file as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - '{{ find_watch_key.files | map(attribute=''path'') | list | first }}' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched > 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -39024,16 +39024,16 @@ │ │ │ │ │ - name: Add watch rule for /etc/localtime in /etc/audit/rules.d/ │ │ │ │ │ lineinfile: │ │ │ │ │ path: '{{ all_files[0] }}' │ │ │ │ │ line: -w /etc/localtime -p wa -k audit_time_rules │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -39050,16 +39050,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/localtime already exists in /etc/audit/audit.rules │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/ │ │ │ │ │ contains: ^\s*-w\s+/etc/localtime\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: audit.rules │ │ │ │ │ register: find_existing_watch_audit_rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -39075,16 +39075,16 @@ │ │ │ │ │ lineinfile: │ │ │ │ │ line: -w /etc/localtime -p wa -k audit_time_rules │ │ │ │ │ state: present │ │ │ │ │ dest: /etc/audit/audit.rules │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_audit_rules.matched is defined and find_existing_watch_audit_rules.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -39149,16 +39149,16 @@ │ │ │ │ │ │ │ │ │ │ - name: Collect all files from /etc/audit/rules.d with .rules extension │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d/ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_rules_d │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.3.1 │ │ │ │ │ - NIST-800-171-3.4.3 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-10.5.2 │ │ │ │ │ @@ -39173,16 +39173,16 @@ │ │ │ │ │ lineinfile: │ │ │ │ │ path: '{{ item }}' │ │ │ │ │ regexp: ^\s*(?:-e)\s+.*$ │ │ │ │ │ state: absent │ │ │ │ │ loop: '{{ find_rules_d.files | map(attribute=''path'') | list + [''/etc/audit/audit.rules''] │ │ │ │ │ }}' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.3.1 │ │ │ │ │ - NIST-800-171-3.4.3 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-10.5.2 │ │ │ │ │ @@ -39199,16 +39199,16 @@ │ │ │ │ │ create: true │ │ │ │ │ line: -e 2 │ │ │ │ │ mode: o-rwx │ │ │ │ │ loop: │ │ │ │ │ - /etc/audit/audit.rules │ │ │ │ │ - /etc/audit/rules.d/immutable.rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.3.1 │ │ │ │ │ - NIST-800-171-3.4.3 │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-10.5.2 │ │ │ │ │ @@ -39304,16 +39304,16 @@ │ │ │ │ │ Severity: medium │ │ │ │ │ Rule ID: xccdf_org.ssgproject.content_rule_audit_rules_suid_privilege_function │ │ │ │ │ Identifiers References: CCI-001814, CCI-001882, CCI-001889, CCI-001880, CCI-001881, CCI-001878, CCI-001879, │ │ │ │ │ and CCI-001875, CCI-001877, CCI-001914, CCI-002233, CCI-002234, CM-5(1), AU-7(a), AU-7(b), AU-8(b), │ │ │ │ │ References AU-12(3), AC-6(9), SRG-OS-000326-GPOS-00126, SRG-OS-000327-GPOS-00127, UBTU-20-010211, 4.1.15 │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # First perform the remediation of the syscall rule │ │ │ │ │ # Retrieve hardware architecture of the underlying system │ │ │ │ │ [ "$(getconf LONG_BIT)" = "32" ] && RULE_ARCHS=("b32") || RULE_ARCHS=("b32" "b64") │ │ │ │ │ │ │ │ │ │ for ARCH in "${RULE_ARCHS[@]}" │ │ │ │ │ do │ │ │ │ │ @@ -40037,16 +40037,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/sudoers already exists in /etc/audit/rules.d/ │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^\s*-w\s+/etc/sudoers\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_existing_watch_rules_d │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -40063,16 +40063,16 @@ │ │ │ │ │ - name: Search /etc/audit/rules.d for other rules with specified key actions │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^.*(?:-F key=|-k\s+)actions$ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_watch_key │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ @@ -40089,16 +40089,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use /etc/audit/rules.d/actions.rules as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - /etc/audit/rules.d/actions.rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched == 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ @@ -40115,16 +40115,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use matched file as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - '{{ find_watch_key.files | map(attribute=''path'') | list | first }}' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched > 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ @@ -40143,16 +40143,16 @@ │ │ │ │ │ - name: Add watch rule for /etc/sudoers in /etc/audit/rules.d/ │ │ │ │ │ lineinfile: │ │ │ │ │ path: '{{ all_files[0] }}' │ │ │ │ │ line: -w /etc/sudoers -p wa -k actions │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ @@ -40171,16 +40171,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/sudoers already exists in /etc/audit/audit.rules │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/ │ │ │ │ │ contains: ^\s*-w\s+/etc/sudoers\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: audit.rules │ │ │ │ │ register: find_existing_watch_audit_rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -40198,16 +40198,16 @@ │ │ │ │ │ lineinfile: │ │ │ │ │ line: -w /etc/sudoers -p wa -k actions │ │ │ │ │ state: present │ │ │ │ │ dest: /etc/audit/audit.rules │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_audit_rules.matched is defined and find_existing_watch_audit_rules.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ @@ -40226,16 +40226,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/sudoers.d/ already exists in /etc/audit/rules.d/ │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^\s*-w\s+/etc/sudoers.d/\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_existing_watch_rules_d │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -40252,16 +40252,16 @@ │ │ │ │ │ - name: Search /etc/audit/rules.d for other rules with specified key actions │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^.*(?:-F key=|-k\s+)actions$ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_watch_key │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ @@ -40278,16 +40278,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use /etc/audit/rules.d/actions.rules as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - /etc/audit/rules.d/actions.rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched == 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ @@ -40304,16 +40304,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use matched file as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - '{{ find_watch_key.files | map(attribute=''path'') | list | first }}' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched > 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ @@ -40332,16 +40332,16 @@ │ │ │ │ │ - name: Add watch rule for /etc/sudoers.d/ in /etc/audit/rules.d/ │ │ │ │ │ lineinfile: │ │ │ │ │ path: '{{ all_files[0] }}' │ │ │ │ │ line: -w /etc/sudoers.d/ -p wa -k actions │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ @@ -40360,16 +40360,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/sudoers.d/ already exists in /etc/audit/audit.rules │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/ │ │ │ │ │ contains: ^\s*-w\s+/etc/sudoers.d/\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: audit.rules │ │ │ │ │ register: find_existing_watch_audit_rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ - NIST-800-53-AU-2(d) │ │ │ │ │ @@ -40387,16 +40387,16 @@ │ │ │ │ │ lineinfile: │ │ │ │ │ line: -w /etc/sudoers.d/ -p wa -k actions │ │ │ │ │ state: present │ │ │ │ │ dest: /etc/audit/audit.rules │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_audit_rules.matched is defined and find_existing_watch_audit_rules.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(7)(b) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ @@ -40481,16 +40481,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/group already exists in /etc/audit/rules.d/ │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^\s*-w\s+/etc/group\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_existing_watch_rules_d │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010101 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -40507,16 +40507,16 @@ │ │ │ │ │ - name: Search /etc/audit/rules.d for other rules with specified key audit_rules_usergroup_modification │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^.*(?:-F key=|-k\s+)audit_rules_usergroup_modification$ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_watch_key │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010101 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -40534,16 +40534,16 @@ │ │ │ │ │ │ │ │ │ │ - name: Use /etc/audit/rules.d/audit_rules_usergroup_modification.rules as the recipient │ │ │ │ │ for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - /etc/audit/rules.d/audit_rules_usergroup_modification.rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched == 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010101 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -40560,16 +40560,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use matched file as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - '{{ find_watch_key.files | map(attribute=''path'') | list | first }}' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched > 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010101 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -40588,16 +40588,16 @@ │ │ │ │ │ - name: Add watch rule for /etc/group in /etc/audit/rules.d/ │ │ │ │ │ lineinfile: │ │ │ │ │ path: '{{ all_files[0] }}' │ │ │ │ │ line: -w /etc/group -p wa -k audit_rules_usergroup_modification │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010101 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -40616,16 +40616,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/group already exists in /etc/audit/audit.rules │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/ │ │ │ │ │ contains: ^\s*-w\s+/etc/group\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: audit.rules │ │ │ │ │ register: find_existing_watch_audit_rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010101 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -40643,16 +40643,16 @@ │ │ │ │ │ lineinfile: │ │ │ │ │ line: -w /etc/group -p wa -k audit_rules_usergroup_modification │ │ │ │ │ state: present │ │ │ │ │ dest: /etc/audit/audit.rules │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_audit_rules.matched is defined and find_existing_watch_audit_rules.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010101 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -40665,16 +40665,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status-Status}\n' │ │ │ │ │ +'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # Perform the remediation for both possible tools: 'auditctl' and 'augenrules' │ │ │ │ │ │ │ │ │ │ # Create a list of audit *.rules files that should be inspected for presence and correctness │ │ │ │ │ # of a particular audit rule. The scheme is as follows: │ │ │ │ │ # │ │ │ │ │ # ----------------------------------------------------------------------------------------- │ │ │ │ │ @@ -40885,16 +40885,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/gshadow already exists in /etc/audit/rules.d/ │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^\s*-w\s+/etc/gshadow\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_existing_watch_rules_d │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010103 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -40911,16 +40911,16 @@ │ │ │ │ │ - name: Search /etc/audit/rules.d for other rules with specified key audit_rules_usergroup_modification │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^.*(?:-F key=|-k\s+)audit_rules_usergroup_modification$ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_watch_key │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010103 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -40938,16 +40938,16 @@ │ │ │ │ │ │ │ │ │ │ - name: Use /etc/audit/rules.d/audit_rules_usergroup_modification.rules as the recipient │ │ │ │ │ for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - /etc/audit/rules.d/audit_rules_usergroup_modification.rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched == 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010103 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -40964,16 +40964,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use matched file as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - '{{ find_watch_key.files | map(attribute=''path'') | list | first }}' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched > 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010103 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -40992,16 +40992,16 @@ │ │ │ │ │ - name: Add watch rule for /etc/gshadow in /etc/audit/rules.d/ │ │ │ │ │ lineinfile: │ │ │ │ │ path: '{{ all_files[0] }}' │ │ │ │ │ line: -w /etc/gshadow -p wa -k audit_rules_usergroup_modification │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010103 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -41020,16 +41020,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/gshadow already exists in /etc/audit/audit.rules │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/ │ │ │ │ │ contains: ^\s*-w\s+/etc/gshadow\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: audit.rules │ │ │ │ │ register: find_existing_watch_audit_rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010103 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -41047,16 +41047,16 @@ │ │ │ │ │ lineinfile: │ │ │ │ │ line: -w /etc/gshadow -p wa -k audit_rules_usergroup_modification │ │ │ │ │ state: present │ │ │ │ │ dest: /etc/audit/audit.rules │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_audit_rules.matched is defined and find_existing_watch_audit_rules.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010103 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -41069,16 +41069,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status-Status}\n' │ │ │ │ │ +'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # Perform the remediation for both possible tools: 'auditctl' and 'augenrules' │ │ │ │ │ │ │ │ │ │ # Create a list of audit *.rules files that should be inspected for presence and correctness │ │ │ │ │ # of a particular audit rule. The scheme is as follows: │ │ │ │ │ # │ │ │ │ │ # ----------------------------------------------------------------------------------------- │ │ │ │ │ @@ -41289,16 +41289,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/security/opasswd already exists in /etc/audit/rules.d/ │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^\s*-w\s+/etc/security/opasswd\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_existing_watch_rules_d │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010104 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -41315,16 +41315,16 @@ │ │ │ │ │ - name: Search /etc/audit/rules.d for other rules with specified key audit_rules_usergroup_modification │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^.*(?:-F key=|-k\s+)audit_rules_usergroup_modification$ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_watch_key │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010104 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -41342,16 +41342,16 @@ │ │ │ │ │ │ │ │ │ │ - name: Use /etc/audit/rules.d/audit_rules_usergroup_modification.rules as the recipient │ │ │ │ │ for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - /etc/audit/rules.d/audit_rules_usergroup_modification.rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched == 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010104 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -41368,16 +41368,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use matched file as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - '{{ find_watch_key.files | map(attribute=''path'') | list | first }}' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched > 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010104 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -41396,16 +41396,16 @@ │ │ │ │ │ - name: Add watch rule for /etc/security/opasswd in /etc/audit/rules.d/ │ │ │ │ │ lineinfile: │ │ │ │ │ path: '{{ all_files[0] }}' │ │ │ │ │ line: -w /etc/security/opasswd -p wa -k audit_rules_usergroup_modification │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010104 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -41424,16 +41424,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/security/opasswd already exists in /etc/audit/audit.rules │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/ │ │ │ │ │ contains: ^\s*-w\s+/etc/security/opasswd\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: audit.rules │ │ │ │ │ register: find_existing_watch_audit_rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010104 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -41451,16 +41451,16 @@ │ │ │ │ │ lineinfile: │ │ │ │ │ line: -w /etc/security/opasswd -p wa -k audit_rules_usergroup_modification │ │ │ │ │ state: present │ │ │ │ │ dest: /etc/audit/audit.rules │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_audit_rules.matched is defined and find_existing_watch_audit_rules.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010104 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -41473,16 +41473,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status-Status}\n' │ │ │ │ │ +'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # Perform the remediation for both possible tools: 'auditctl' and 'augenrules' │ │ │ │ │ │ │ │ │ │ # Create a list of audit *.rules files that should be inspected for presence and correctness │ │ │ │ │ # of a particular audit rule. The scheme is as follows: │ │ │ │ │ # │ │ │ │ │ # ----------------------------------------------------------------------------------------- │ │ │ │ │ @@ -41694,16 +41694,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/passwd already exists in /etc/audit/rules.d/ │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^\s*-w\s+/etc/passwd\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_existing_watch_rules_d │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010100 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -41720,16 +41720,16 @@ │ │ │ │ │ - name: Search /etc/audit/rules.d for other rules with specified key audit_rules_usergroup_modification │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^.*(?:-F key=|-k\s+)audit_rules_usergroup_modification$ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_watch_key │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010100 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -41747,16 +41747,16 @@ │ │ │ │ │ │ │ │ │ │ - name: Use /etc/audit/rules.d/audit_rules_usergroup_modification.rules as the recipient │ │ │ │ │ for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - /etc/audit/rules.d/audit_rules_usergroup_modification.rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched == 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010100 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -41773,16 +41773,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use matched file as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - '{{ find_watch_key.files | map(attribute=''path'') | list | first }}' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched > 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010100 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -41801,16 +41801,16 @@ │ │ │ │ │ - name: Add watch rule for /etc/passwd in /etc/audit/rules.d/ │ │ │ │ │ lineinfile: │ │ │ │ │ path: '{{ all_files[0] }}' │ │ │ │ │ line: -w /etc/passwd -p wa -k audit_rules_usergroup_modification │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010100 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -41829,16 +41829,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/passwd already exists in /etc/audit/audit.rules │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/ │ │ │ │ │ contains: ^\s*-w\s+/etc/passwd\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: audit.rules │ │ │ │ │ register: find_existing_watch_audit_rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010100 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -41856,16 +41856,16 @@ │ │ │ │ │ lineinfile: │ │ │ │ │ line: -w /etc/passwd -p wa -k audit_rules_usergroup_modification │ │ │ │ │ state: present │ │ │ │ │ dest: /etc/audit/audit.rules │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_audit_rules.matched is defined and find_existing_watch_audit_rules.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010100 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -41878,16 +41878,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status-Status}\n' │ │ │ │ │ +'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # Perform the remediation for both possible tools: 'auditctl' and 'augenrules' │ │ │ │ │ │ │ │ │ │ # Create a list of audit *.rules files that should be inspected for presence and correctness │ │ │ │ │ # of a particular audit rule. The scheme is as follows: │ │ │ │ │ # │ │ │ │ │ # ----------------------------------------------------------------------------------------- │ │ │ │ │ @@ -42098,16 +42098,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/shadow already exists in /etc/audit/rules.d/ │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^\s*-w\s+/etc/shadow\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_existing_watch_rules_d │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010102 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -42124,16 +42124,16 @@ │ │ │ │ │ - name: Search /etc/audit/rules.d for other rules with specified key audit_rules_usergroup_modification │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/rules.d │ │ │ │ │ contains: ^.*(?:-F key=|-k\s+)audit_rules_usergroup_modification$ │ │ │ │ │ patterns: '*.rules' │ │ │ │ │ register: find_watch_key │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010102 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -42151,16 +42151,16 @@ │ │ │ │ │ │ │ │ │ │ - name: Use /etc/audit/rules.d/audit_rules_usergroup_modification.rules as the recipient │ │ │ │ │ for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - /etc/audit/rules.d/audit_rules_usergroup_modification.rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched == 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010102 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -42177,16 +42177,16 @@ │ │ │ │ │ - restrict_strategy │ │ │ │ │ │ │ │ │ │ - name: Use matched file as the recipient for the rule │ │ │ │ │ set_fact: │ │ │ │ │ all_files: │ │ │ │ │ - '{{ find_watch_key.files | map(attribute=''path'') | list | first }}' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_watch_key.matched is defined and find_watch_key.matched > 0 and find_existing_watch_rules_d.matched │ │ │ │ │ is defined and find_existing_watch_rules_d.matched == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010102 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -42205,16 +42205,16 @@ │ │ │ │ │ - name: Add watch rule for /etc/shadow in /etc/audit/rules.d/ │ │ │ │ │ lineinfile: │ │ │ │ │ path: '{{ all_files[0] }}' │ │ │ │ │ line: -w /etc/shadow -p wa -k audit_rules_usergroup_modification │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_rules_d.matched is defined and find_existing_watch_rules_d.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010102 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -42233,16 +42233,16 @@ │ │ │ │ │ - name: Check if watch rule for /etc/shadow already exists in /etc/audit/audit.rules │ │ │ │ │ find: │ │ │ │ │ paths: /etc/audit/ │ │ │ │ │ contains: ^\s*-w\s+/etc/shadow\s+-p\s+wa(\s|$)+ │ │ │ │ │ patterns: audit.rules │ │ │ │ │ register: find_existing_watch_audit_rules │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010102 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ - NIST-800-53-AC-6(9) │ │ │ │ │ - NIST-800-53-AU-12(c) │ │ │ │ │ @@ -42260,16 +42260,16 @@ │ │ │ │ │ lineinfile: │ │ │ │ │ line: -w /etc/shadow -p wa -k audit_rules_usergroup_modification │ │ │ │ │ state: present │ │ │ │ │ dest: /etc/audit/audit.rules │ │ │ │ │ create: true │ │ │ │ │ mode: '0640' │ │ │ │ │ when: │ │ │ │ │ - - '"auditd" in ansible_facts.packages' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ + - '"auditd" in ansible_facts.packages' │ │ │ │ │ - find_existing_watch_audit_rules.matched is defined and find_existing_watch_audit_rules.matched │ │ │ │ │ == 0 │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.4.1.1 │ │ │ │ │ - DISA-STIG-UBTU-20-010102 │ │ │ │ │ - NIST-800-171-3.1.7 │ │ │ │ │ - NIST-800-53-AC-2(4) │ │ │ │ │ @@ -42282,16 +42282,16 @@ │ │ │ │ │ - low_complexity │ │ │ │ │ - low_disruption │ │ │ │ │ - medium_severity │ │ │ │ │ - reboot_required │ │ │ │ │ - restrict_strategy │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! - │ │ │ │ │ -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status-Status}\n' │ │ │ │ │ +'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ # Perform the remediation for both possible tools: 'auditctl' and 'augenrules' │ │ │ │ │ │ │ │ │ │ # Create a list of audit *.rules files that should be inspected for presence and correctness │ │ │ │ │ # of a particular audit rule. The scheme is as follows: │ │ │ │ │ # │ │ │ │ │ # ----------------------------------------------------------------------------------------- │ │ │ │ │ @@ -42561,16 +42561,16 @@ │ │ │ │ │ and 4.3.4.4.7, 4.3.4.5.6, 4.3.4.5.7, 4.3.4.5.8, 4.4.2.1, 4.4.2.2, 4.4.2.4, SR_2.10, SR_2.11, SR │ │ │ │ │ References 2.12, SR_2.8, SR_2.9, SR_6.1, SR_7.1, SR_7.2, A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, │ │ │ │ │ A.12.4.4, A.12.7.1, A.16.1.4, A.16.1.5, A.16.1.7, A.17.2.1, AU-5(b), AU-5(2), AU-5(1), AU-5 │ │ │ │ │ (4), CM-6(a), DE.AE-3, DE.AE-5, PR.DS-4, PR.PT-1, RS.AN-1, RS.AN-4, Req-10.7, SRG-OS-000343- │ │ │ │ │ GPOS-00134, SRG-OS-000343-VMM-001240, UBTU-20-010217, 4.1.2.3 │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if dpkg-query --show --showformat='${db:Status-Status}\n' 'auditd' 2>/dev/null | grep -q installed && [ ! │ │ │ │ │ --f /.dockerenv ] && [ ! -f /run/.containerenv ]; then │ │ │ │ │ +if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ] && dpkg-query --show --showformat='${db:Status- │ │ │ │ │ +Status}\n' 'auditd' 2>/dev/null | grep -q installed; then │ │ │ │ │ │ │ │ │ │ var_auditd_space_left_action='email' │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ # │ │ │ │ │ # If space_left_action present in /etc/audit/auditd.conf, change value │ │ │ │ │ # to var_auditd_space_left_action, else │ │ │ │ │ @@ -42948,16 +42948,16 @@ │ │ │ │ │ - no_reboot_needed │ │ │ │ │ │ │ │ │ │ - name: Test for existence /boot/grub/grub.cfg │ │ │ │ │ stat: │ │ │ │ │ path: /boot/grub/grub.cfg │ │ │ │ │ register: file_exists │ │ │ │ │ when: │ │ │ │ │ - - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - '"grub2-common" in ansible_facts.packages' │ │ │ │ │ + - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.5.2.2 │ │ │ │ │ - NIST-800-171-3.4.5 │ │ │ │ │ - NIST-800-53-AC-6(1) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - PCI-DSS-Req-7.1 │ │ │ │ │ @@ -42969,16 +42969,16 @@ │ │ │ │ │ - no_reboot_needed │ │ │ │ │ │ │ │ │ │ - name: Ensure owner 0 on /boot/grub/grub.cfg │ │ │ │ │ file: │ │ │ │ │ path: /boot/grub/grub.cfg │ │ │ │ │ owner: '0' │ │ │ │ │ when: │ │ │ │ │ - - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - '"grub2-common" in ansible_facts.packages' │ │ │ │ │ + - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ - file_exists.stat is defined and file_exists.stat.exists │ │ │ │ │ tags: │ │ │ │ │ - CJIS-5.5.2.2 │ │ │ │ │ - NIST-800-171-3.4.5 │ │ │ │ │ - NIST-800-53-AC-6(1) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ @@ -42990,16 +42990,16 @@ │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ Complexity: low │ │ │ │ │ Disruption: low │ │ │ │ │ Strategy: configure │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if [ ! -f /sys/firmware/efi ] && dpkg-query --show --showformat='${db:Status-Status}\n' 'grub2-common' 2>/dev/ │ │ │ │ │ -null | grep -q installed && { [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; }; then │ │ │ │ │ +if dpkg-query --show --showformat='${db:Status-Status}\n' 'grub2-common' 2>/dev/null | grep -q installed && [ ! │ │ │ │ │ +-f /sys/firmware/efi ] && { [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; }; then │ │ │ │ │ │ │ │ │ │ chown 0 /boot/grub/grub.cfg │ │ │ │ │ │ │ │ │ │ else │ │ │ │ │ >&2 echo 'Remediation is not applicable, nothing was done' │ │ │ │ │ fi │ │ │ │ │ *** Rule Verify /boot/grub/grub.cfg Permissions [ref] *** │ │ │ │ │ @@ -43035,16 +43035,16 @@ │ │ │ │ │ - no_reboot_needed │ │ │ │ │ │ │ │ │ │ - name: Test for existence /boot/grub/grub.cfg │ │ │ │ │ stat: │ │ │ │ │ path: /boot/grub/grub.cfg │ │ │ │ │ register: file_exists │ │ │ │ │ when: │ │ │ │ │ - - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - '"grub2-common" in ansible_facts.packages' │ │ │ │ │ + - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ tags: │ │ │ │ │ - NIST-800-171-3.4.5 │ │ │ │ │ - NIST-800-53-AC-6(1) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - configure_strategy │ │ │ │ │ - file_permissions_grub2_cfg │ │ │ │ │ @@ -43054,16 +43054,16 @@ │ │ │ │ │ - no_reboot_needed │ │ │ │ │ │ │ │ │ │ - name: Ensure permission u-xs,g-xwrs,o-xwrt on /boot/grub/grub.cfg │ │ │ │ │ file: │ │ │ │ │ path: /boot/grub/grub.cfg │ │ │ │ │ mode: u-xs,g-xwrs,o-xwrt │ │ │ │ │ when: │ │ │ │ │ - - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - '"grub2-common" in ansible_facts.packages' │ │ │ │ │ + - '"/boot/efi" not in ansible_mounts | map(attribute="mount") | list' │ │ │ │ │ - ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"] │ │ │ │ │ - file_exists.stat is defined and file_exists.stat.exists │ │ │ │ │ tags: │ │ │ │ │ - NIST-800-171-3.4.5 │ │ │ │ │ - NIST-800-53-AC-6(1) │ │ │ │ │ - NIST-800-53-CM-6(a) │ │ │ │ │ - configure_strategy │ │ │ │ │ @@ -43073,16 +43073,16 @@ │ │ │ │ │ - medium_severity │ │ │ │ │ - no_reboot_needed │ │ │ │ │ Remediation_Shell_script_⇲ │ │ │ │ │ Complexity: low │ │ │ │ │ Disruption: low │ │ │ │ │ Strategy: configure │ │ │ │ │ # Remediation is applicable only in certain platforms │ │ │ │ │ -if [ ! -f /sys/firmware/efi ] && dpkg-query --show --showformat='${db:Status-Status}\n' 'grub2-common' 2>/ │ │ │ │ │ -dev/null | grep -q installed && { [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; }; then │ │ │ │ │ +if dpkg-query --show --showformat='${db:Status-Status}\n' 'grub2-common' 2>/dev/null | grep -q installed && │ │ │ │ │ +[ ! -f /sys/firmware/efi ] && { [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; }; then │ │ │ │ │ │ │ │ │ │ chmod u-xs,g-xwrs,o-xwrt /boot/grub/grub.cfg │ │ │ │ │ │ │ │ │ │ else │ │ │ │ │ >&2 echo 'Remediation is not applicable, nothing was done' │ │ │ │ │ fi │ │ │ │ │ *** Rule Set Boot Loader Password in grub2 [ref] *** │ │ │ ├── ./usr/share/doc/ssg-debderived/ssg-ubuntu2004-guide-cis_level2_workstation.html │ │ │ │ @@ -42730,23 +42730,23 @@ │ │ │ │ 000a6e90: 7569 7265 640a 2020 2d20 7265 7374 7269 uired. - restri │ │ │ │ 000a6ea0: 6374 5f73 7472 6174 6567 790a 0a2d 206e ct_strategy..- n │ │ │ │ 000a6eb0: 616d 653a 2053 6574 2061 7263 6869 7465 ame: Set archite │ │ │ │ 000a6ec0: 6374 7572 6520 666f 7220 6175 6469 7420 cture for audit │ │ │ │ 000a6ed0: 6368 6d6f 6420 7461 736b 730a 2020 7365 chmod tasks. se │ │ │ │ 000a6ee0: 745f 6661 6374 3a0a 2020 2020 6175 6469 t_fact:. audi │ │ │ │ 000a6ef0: 745f 6172 6368 3a20 6236 340a 2020 7768 t_arch: b64. wh │ │ │ │ -000a6f00: 656e 3a0a 2020 2d20 2722 6175 6469 7464 en:. - '"auditd │ │ │ │ -000a6f10: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ -000a6f20: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ -000a6f30: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ -000a6f40: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ -000a6f50: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ -000a6f60: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ -000a6f70: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ -000a6f80: 696e 6572 225d 0a20 202d 2061 6e73 6962 iner"]. - ansib │ │ │ │ +000a6f00: 656e 3a0a 2020 2d20 616e 7369 626c 655f en:. - ansible_ │ │ │ │ +000a6f10: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ +000a6f20: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ +000a6f30: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ +000a6f40: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ +000a6f50: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +000a6f60: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ +000a6f70: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ +000a6f80: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ 000a6f90: 6c65 5f61 7263 6869 7465 6374 7572 6520 le_architecture │ │ │ │ 000a6fa0: 3d3d 2022 6161 7263 6836 3422 206f 7220 == "aarch64" or │ │ │ │ 000a6fb0: 616e 7369 626c 655f 6172 6368 6974 6563 ansible_architec │ │ │ │ 000a6fc0: 7475 7265 203d 3d20 2270 7063 3634 2220 ture == "ppc64" │ │ │ │ 000a6fd0: 6f72 2061 6e73 6962 6c65 5f61 7263 6869 or ansible_archi │ │ │ │ 000a6fe0: 7465 6374 7572 650a 2020 2020 3d3d 2022 tecture. == " │ │ │ │ 000a6ff0: 7070 6336 346c 6522 206f 7220 616e 7369 ppc64le" or ansi │ │ │ │ @@ -43053,23 +43053,23 @@ │ │ │ │ 000a82c0: 4620 6b65 793d 7065 726d 5f6d 6f64 0a20 F key=perm_mod. │ │ │ │ 000a82d0: 2020 2020 2063 7265 6174 653a 2074 7275 create: tru │ │ │ │ 000a82e0: 650a 2020 2020 2020 6d6f 6465 3a20 6f2d e. mode: o- │ │ │ │ 000a82f0: 7277 780a 2020 2020 2020 7374 6174 653a rwx. state: │ │ │ │ 000a8300: 2070 7265 7365 6e74 0a20 2020 2077 6865 present. whe │ │ │ │ 000a8310: 6e3a 2073 7973 6361 6c6c 735f 666f 756e n: syscalls_foun │ │ │ │ 000a8320: 6420 7c20 6c65 6e67 7468 203d 3d20 300a d | length == 0. │ │ │ │ -000a8330: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -000a8340: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -000a8350: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -000a8360: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -000a8370: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -000a8380: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -000a8390: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -000a83a0: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -000a83b0: 6f6e 7461 696e 6572 225d 0a20 2074 6167 ontainer"]. tag │ │ │ │ +000a8330: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +000a8340: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +000a8350: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +000a8360: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +000a8370: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +000a8380: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +000a8390: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +000a83a0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +000a83b0: 2e70 6163 6b61 6765 7327 0a20 2074 6167 .packages'. tag │ │ │ │ 000a83c0: 733a 0a20 202d 2043 4a49 532d 352e 342e s:. - CJIS-5.4. │ │ │ │ 000a83d0: 312e 310a 2020 2d20 4449 5341 2d53 5449 1.1. - DISA-STI │ │ │ │ 000a83e0: 472d 5542 5455 2d32 302d 3031 3031 3532 G-UBTU-20-010152 │ │ │ │ 000a83f0: 0a20 202d 204e 4953 542d 3830 302d 3137 . - NIST-800-17 │ │ │ │ 000a8400: 312d 332e 312e 370a 2020 2d20 4e49 5354 1-3.1.7. - NIST │ │ │ │ 000a8410: 2d38 3030 2d35 332d 4155 2d31 3228 6329 -800-53-AU-12(c) │ │ │ │ 000a8420: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ @@ -43365,23 +43365,23 @@ │ │ │ │ 000a9640: 3d70 6572 6d5f 6d6f 640a 2020 2020 2020 =perm_mod. │ │ │ │ 000a9650: 6372 6561 7465 3a20 7472 7565 0a20 2020 create: true. │ │ │ │ 000a9660: 2020 206d 6f64 653a 206f 2d72 7778 0a20 mode: o-rwx. │ │ │ │ 000a9670: 2020 2020 2073 7461 7465 3a20 7072 6573 state: pres │ │ │ │ 000a9680: 656e 740a 2020 2020 7768 656e 3a20 7379 ent. when: sy │ │ │ │ 000a9690: 7363 616c 6c73 5f66 6f75 6e64 207c 206c scalls_found | l │ │ │ │ 000a96a0: 656e 6774 6820 3d3d 2030 0a20 2077 6865 ength == 0. whe │ │ │ │ -000a96b0: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -000a96c0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -000a96d0: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -000a96e0: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -000a96f0: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -000a9700: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -000a9710: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -000a9720: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -000a9730: 6e65 7222 5d0a 2020 2d20 6175 6469 745f ner"]. - audit_ │ │ │ │ +000a96b0: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +000a96c0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +000a96d0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +000a96e0: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +000a96f0: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +000a9700: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +000a9710: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +000a9720: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +000a9730: 6167 6573 270a 2020 2d20 6175 6469 745f ages'. - audit_ │ │ │ │ 000a9740: 6172 6368 203d 3d20 2262 3634 220a 2020 arch == "b64". │ │ │ │ 000a9750: 7461 6773 3a0a 2020 2d20 434a 4953 2d35 tags:. - CJIS-5 │ │ │ │ 000a9760: 2e34 2e31 2e31 0a20 202d 2044 4953 412d .4.1.1. - DISA- │ │ │ │ 000a9770: 5354 4947 2d55 4254 552d 3230 2d30 3130 STIG-UBTU-20-010 │ │ │ │ 000a9780: 3135 320a 2020 2d20 4e49 5354 2d38 3030 152. - NIST-800 │ │ │ │ 000a9790: 2d31 3731 2d33 2e31 2e37 0a20 202d 204e -171-3.1.7. - N │ │ │ │ 000a97a0: 4953 542d 3830 302d 3533 2d41 552d 3132 IST-800-53-AU-12 │ │ │ │ @@ -43415,25 +43415,25 @@ │ │ │ │ 000a9960: 7620 636c 6173 733d 2270 616e 656c 2d63 v class="panel-c │ │ │ │ 000a9970: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365 ollapse collapse │ │ │ │ 000a9980: 2220 6964 3d22 6964 6d31 3236 3739 223e " id="idm12679"> │ │ │ │ 000a9990: 3c70 7265 3e3c 636f 6465 3e23 2052 656d
# Rem │ │ │ │ 000a99a0: 6564 6961 7469 6f6e 2069 7320 6170 706c ediation is appl │ │ │ │ 000a99b0: 6963 6162 6c65 206f 6e6c 7920 696e 2063 icable only in c │ │ │ │ 000a99c0: 6572 7461 696e 2070 6c61 7466 6f72 6d73 ertain platforms │ │ │ │ -000a99d0: 0a69 6620 6470 6b67 2d71 7565 7279 202d .if dpkg-query - │ │ │ │ -000a99e0: 2d73 686f 7720 2d2d 7368 6f77 666f 726d -show --showform │ │ │ │ -000a99f0: 6174 3d27 247b 6462 3a53 7461 7475 732d at='${db:Status- │ │ │ │ -000a9a00: 5374 6174 7573 7d5c 6e27 2027 6175 6469 Status}\n' 'audi │ │ │ │ -000a9a10: 7464 2720 3226 6774 3b2f 6465 762f 6e75 td' 2>/dev/nu │ │ │ │ -000a9a20: 6c6c 207c 2067 7265 7020 2d71 2069 6e73 ll | grep -q ins │ │ │ │ -000a9a30: 7461 6c6c 6564 2026 616d 703b 2661 6d70 talled && │ │ │ │ -000a9a40: 3b20 5b20 2120 2d66 202f 2e64 6f63 6b65 ; [ ! -f /.docke │ │ │ │ -000a9a50: 7265 6e76 205d 2026 616d 703b 2661 6d70 renv ] && │ │ │ │ -000a9a60: 3b20 5b20 2120 2d66 202f 7275 6e2f 2e63 ; [ ! -f /run/.c │ │ │ │ -000a9a70: 6f6e 7461 696e 6572 656e 7620 5d3b 2074 ontainerenv ]; t │ │ │ │ +000a99d0: 0a69 6620 5b20 2120 2d66 202f 2e64 6f63 .if [ ! -f /.doc │ │ │ │ +000a99e0: 6b65 7265 6e76 205d 2026 616d 703b 2661 kerenv ] &&a │ │ │ │ +000a99f0: 6d70 3b20 5b20 2120 2d66 202f 7275 6e2f mp; [ ! -f /run/ │ │ │ │ +000a9a00: 2e63 6f6e 7461 696e 6572 656e 7620 5d20 .containerenv ] │ │ │ │ +000a9a10: 2661 6d70 3b26 616d 703b 2064 706b 672d && dpkg- │ │ │ │ +000a9a20: 7175 6572 7920 2d2d 7368 6f77 202d 2d73 query --show --s │ │ │ │ +000a9a30: 686f 7766 6f72 6d61 743d 2724 7b64 623a howformat='${db: │ │ │ │ +000a9a40: 5374 6174 7573 2d53 7461 7475 737d 5c6e Status-Status}\n │ │ │ │ +000a9a50: 2720 2761 7564 6974 6427 2032 2667 743b ' 'auditd' 2> │ │ │ │ +000a9a60: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570 /dev/null | grep │ │ │ │ +000a9a70: 202d 7120 696e 7374 616c 6c65 643b 2074 -q installed; t │ │ │ │ 000a9a80: 6865 6e0a 0a23 2046 6972 7374 2070 6572 hen..# First per │ │ │ │ 000a9a90: 666f 726d 2074 6865 2072 656d 6564 6961 form the remedia │ │ │ │ 000a9aa0: 7469 6f6e 206f 6620 7468 6520 7379 7363 tion of the sysc │ │ │ │ 000a9ab0: 616c 6c20 7275 6c65 0a23 2052 6574 7269 all rule.# Retri │ │ │ │ 000a9ac0: 6576 6520 6861 7264 7761 7265 2061 7263 eve hardware arc │ │ │ │ 000a9ad0: 6869 7465 6374 7572 6520 6f66 2074 6865 hitecture of the │ │ │ │ 000a9ae0: 2075 6e64 6572 6c79 696e 6720 7379 7374 underlying syst │ │ │ │ @@ -45231,23 +45231,23 @@ │ │ │ │ 000b0ae0: 6972 6564 0a20 202d 2072 6573 7472 6963 ired. - restric │ │ │ │ 000b0af0: 745f 7374 7261 7465 6779 0a0a 2d20 6e61 t_strategy..- na │ │ │ │ 000b0b00: 6d65 3a20 5365 7420 6172 6368 6974 6563 me: Set architec │ │ │ │ 000b0b10: 7475 7265 2066 6f72 2061 7564 6974 2063 ture for audit c │ │ │ │ 000b0b20: 686f 776e 2074 6173 6b73 0a20 2073 6574 hown tasks. set │ │ │ │ 000b0b30: 5f66 6163 743a 0a20 2020 2061 7564 6974 _fact:. audit │ │ │ │ 000b0b40: 5f61 7263 683a 2062 3634 0a20 2077 6865 _arch: b64. whe │ │ │ │ -000b0b50: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -000b0b60: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -000b0b70: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -000b0b80: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -000b0b90: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -000b0ba0: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -000b0bb0: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -000b0bc0: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -000b0bd0: 6e65 7222 5d0a 2020 2d20 616e 7369 626c ner"]. - ansibl │ │ │ │ +000b0b50: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +000b0b60: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +000b0b70: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +000b0b80: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +000b0b90: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +000b0ba0: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +000b0bb0: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +000b0bc0: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +000b0bd0: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl │ │ │ │ 000b0be0: 655f 6172 6368 6974 6563 7475 7265 203d e_architecture = │ │ │ │ 000b0bf0: 3d20 2261 6172 6368 3634 2220 6f72 2061 = "aarch64" or a │ │ │ │ 000b0c00: 6e73 6962 6c65 5f61 7263 6869 7465 6374 nsible_architect │ │ │ │ 000b0c10: 7572 6520 3d3d 2022 7070 6336 3422 206f ure == "ppc64" o │ │ │ │ 000b0c20: 7220 616e 7369 626c 655f 6172 6368 6974 r ansible_archit │ │ │ │ 000b0c30: 6563 7475 7265 0a20 2020 203d 3d20 2270 ecture. == "p │ │ │ │ 000b0c40: 7063 3634 6c65 2220 6f72 2061 6e73 6962 pc64le" or ansib │ │ │ │ @@ -45556,23 +45556,23 @@ │ │ │ │ 000b1f30: 6579 3d70 6572 6d5f 6d6f 640a 2020 2020 ey=perm_mod. │ │ │ │ 000b1f40: 2020 6372 6561 7465 3a20 7472 7565 0a20 create: true. │ │ │ │ 000b1f50: 2020 2020 206d 6f64 653a 206f 2d72 7778 mode: o-rwx │ │ │ │ 000b1f60: 0a20 2020 2020 2073 7461 7465 3a20 7072 . state: pr │ │ │ │ 000b1f70: 6573 656e 740a 2020 2020 7768 656e 3a20 esent. when: │ │ │ │ 000b1f80: 7379 7363 616c 6c73 5f66 6f75 6e64 207c syscalls_found | │ │ │ │ 000b1f90: 206c 656e 6774 6820 3d3d 2030 0a20 2077 length == 0. w │ │ │ │ -000b1fa0: 6865 6e3a 0a20 202d 2027 2261 7564 6974 hen:. - '"audit │ │ │ │ -000b1fb0: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ -000b1fc0: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ -000b1fd0: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ -000b1fe0: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ -000b1ff0: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ -000b2000: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ -000b2010: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ -000b2020: 6169 6e65 7222 5d0a 2020 7461 6773 3a0a ainer"]. tags:. │ │ │ │ +000b1fa0: 6865 6e3a 0a20 202d 2061 6e73 6962 6c65 hen:. - ansible │ │ │ │ +000b1fb0: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ +000b1fc0: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ +000b1fd0: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ +000b1fe0: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ +000b1ff0: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +000b2000: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ +000b2010: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ +000b2020: 636b 6167 6573 270a 2020 7461 6773 3a0a ckages'. tags:. │ │ │ │ 000b2030: 2020 2d20 434a 4953 2d35 2e34 2e31 2e31 - CJIS-5.4.1.1 │ │ │ │ 000b2040: 0a20 202d 2044 4953 412d 5354 4947 2d55 . - DISA-STIG-U │ │ │ │ 000b2050: 4254 552d 3230 2d30 3130 3134 380a 2020 BTU-20-010148. │ │ │ │ 000b2060: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33 - NIST-800-171-3 │ │ │ │ 000b2070: 2e31 2e37 0a20 202d 204e 4953 542d 3830 .1.7. - NIST-80 │ │ │ │ 000b2080: 302d 3533 2d41 552d 3132 2863 290a 2020 0-53-AU-12(c). │ │ │ │ 000b2090: 2d20 4e49 5354 2d38 3030 2d35 332d 4155 - NIST-800-53-AU │ │ │ │ @@ -45870,22 +45870,22 @@ │ │ │ │ 000b32d0: 5f6d 6f64 0a20 2020 2020 2063 7265 6174 _mod. creat │ │ │ │ 000b32e0: 653a 2074 7275 650a 2020 2020 2020 6d6f e: true. mo │ │ │ │ 000b32f0: 6465 3a20 6f2d 7277 780a 2020 2020 2020 de: o-rwx. │ │ │ │ 000b3300: 7374 6174 653a 2070 7265 7365 6e74 0a20 state: present. │ │ │ │ 000b3310: 2020 2077 6865 6e3a 2073 7973 6361 6c6c when: syscall │ │ │ │ 000b3320: 735f 666f 756e 6420 7c20 6c65 6e67 7468 s_found | length │ │ │ │ 000b3330: 203d 3d20 300a 2020 7768 656e 3a0a 2020 == 0. when:. │ │ │ │ -000b3340: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ -000b3350: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ -000b3360: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ -000b3370: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ -000b3380: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ -000b3390: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ -000b33a0: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ -000b33b0: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +000b3340: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ +000b3350: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ +000b3360: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ +000b3370: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ +000b3380: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ +000b3390: 6169 6e65 7222 5d0a 2020 2d20 2722 6175 ainer"]. - '"au │ │ │ │ +000b33a0: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ +000b33b0: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ 000b33c0: 0a20 202d 2061 7564 6974 5f61 7263 6820 . - audit_arch │ │ │ │ 000b33d0: 3d3d 2022 6236 3422 0a20 2074 6167 733a == "b64". tags: │ │ │ │ 000b33e0: 0a20 202d 2043 4a49 532d 352e 342e 312e . - CJIS-5.4.1. │ │ │ │ 000b33f0: 310a 2020 2d20 4449 5341 2d53 5449 472d 1. - DISA-STIG- │ │ │ │ 000b3400: 5542 5455 2d32 302d 3031 3031 3438 0a20 UBTU-20-010148. │ │ │ │ 000b3410: 202d 204e 4953 542d 3830 302d 3137 312d - NIST-800-171- │ │ │ │ 000b3420: 332e 312e 370a 2020 2d20 4e49 5354 2d38 3.1.7. - NIST-8 │ │ │ │ @@ -45919,26 +45919,26 @@ │ │ │ │ 000b35e0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61
│ │ │ │ 000b3620: 3c63 6f64 653e 2320 5265 6d65 6469 6174# Remediat │ │ │ │ 000b3630: 696f 6e20 6973 2061 7070 6c69 6361 626c ion is applicabl │ │ │ │ 000b3640: 6520 6f6e 6c79 2069 6e20 6365 7274 6169 e only in certai │ │ │ │ -000b3650: 6e20 706c 6174 666f 726d 730a 6966 2064 n platforms.if d │ │ │ │ -000b3660: 706b 672d 7175 6572 7920 2d2d 7368 6f77 pkg-query --show │ │ │ │ -000b3670: 202d 2d73 686f 7766 6f72 6d61 743d 2724 --showformat='$ │ │ │ │ -000b3680: 7b64 623a 5374 6174 7573 2d53 7461 7475 {db:Status-Statu │ │ │ │ -000b3690: 737d 5c6e 2720 2761 7564 6974 6427 2032 s}\n' 'auditd' 2 │ │ │ │ -000b36a0: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20 >/dev/null | │ │ │ │ -000b36b0: 6772 6570 202d 7120 696e 7374 616c 6c65 grep -q installe │ │ │ │ -000b36c0: 6420 2661 6d70 3b26 616d 703b 205b 2021 d && [ ! │ │ │ │ -000b36d0: 202d 6620 2f2e 646f 636b 6572 656e 7620 -f /.dockerenv │ │ │ │ -000b36e0: 5d20 2661 6d70 3b26 616d 703b 205b 2021 ] && [ ! │ │ │ │ -000b36f0: 202d 6620 2f72 756e 2f2e 636f 6e74 6169 -f /run/.contai │ │ │ │ -000b3700: 6e65 7265 6e76 205d 3b20 7468 656e 0a0a nerenv ]; then.. │ │ │ │ +000b3650: 6e20 706c 6174 666f 726d 730a 6966 205b n platforms.if [ │ │ │ │ +000b3660: 2021 202d 6620 2f2e 646f 636b 6572 656e ! -f /.dockeren │ │ │ │ +000b3670: 7620 5d20 2661 6d70 3b26 616d 703b 205b v ] && [ │ │ │ │ +000b3680: 2021 202d 6620 2f72 756e 2f2e 636f 6e74 ! -f /run/.cont │ │ │ │ +000b3690: 6169 6e65 7265 6e76 205d 2026 616d 703b ainerenv ] & │ │ │ │ +000b36a0: 2661 6d70 3b20 6470 6b67 2d71 7565 7279 & dpkg-query │ │ │ │ +000b36b0: 202d 2d73 686f 7720 2d2d 7368 6f77 666f --show --showfo │ │ │ │ +000b36c0: 726d 6174 3d27 247b 6462 3a53 7461 7475 rmat='${db:Statu │ │ │ │ +000b36d0: 732d 5374 6174 7573 7d5c 6e27 2027 6175 s-Status}\n' 'au │ │ │ │ +000b36e0: 6469 7464 2720 3226 6774 3b2f 6465 762f ditd' 2>/dev/ │ │ │ │ +000b36f0: 6e75 6c6c 207c 2067 7265 7020 2d71 2069 null | grep -q i │ │ │ │ +000b3700: 6e73 7461 6c6c 6564 3b20 7468 656e 0a0a nstalled; then.. │ │ │ │ 000b3710: 2320 4669 7273 7420 7065 7266 6f72 6d20 # First perform │ │ │ │ 000b3720: 7468 6520 7265 6d65 6469 6174 696f 6e20 the remediation │ │ │ │ 000b3730: 6f66 2074 6865 2073 7973 6361 6c6c 2072 of the syscall r │ │ │ │ 000b3740: 756c 650a 2320 5265 7472 6965 7665 2068 ule.# Retrieve h │ │ │ │ 000b3750: 6172 6477 6172 6520 6172 6368 6974 6563 ardware architec │ │ │ │ 000b3760: 7475 7265 206f 6620 7468 6520 756e 6465 ture of the unde │ │ │ │ 000b3770: 726c 7969 6e67 2073 7973 7465 6d0a 5b20 rlying system.[ │ │ │ │ @@ -47728,23 +47728,23 @@ │ │ │ │ 000ba6f0: 7175 6972 6564 0a20 202d 2072 6573 7472 quired. - restr │ │ │ │ 000ba700: 6963 745f 7374 7261 7465 6779 0a0a 2d20 ict_strategy..- │ │ │ │ 000ba710: 6e61 6d65 3a20 5365 7420 6172 6368 6974 name: Set archit │ │ │ │ 000ba720: 6563 7475 7265 2066 6f72 2061 7564 6974 ecture for audit │ │ │ │ 000ba730: 2066 6368 6d6f 6420 7461 736b 730a 2020 fchmod tasks. │ │ │ │ 000ba740: 7365 745f 6661 6374 3a0a 2020 2020 6175 set_fact:. au │ │ │ │ 000ba750: 6469 745f 6172 6368 3a20 6236 340a 2020 dit_arch: b64. │ │ │ │ -000ba760: 7768 656e 3a0a 2020 2d20 2722 6175 6469 when:. - '"audi │ │ │ │ -000ba770: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ -000ba780: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ -000ba790: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ -000ba7a0: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ -000ba7b0: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ -000ba7c0: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ -000ba7d0: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ -000ba7e0: 7461 696e 6572 225d 0a20 202d 2061 6e73 tainer"]. - ans │ │ │ │ +000ba760: 7768 656e 3a0a 2020 2d20 616e 7369 626c when:. - ansibl │ │ │ │ +000ba770: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ +000ba780: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ +000ba790: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ +000ba7a0: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ +000ba7b0: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +000ba7c0: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ +000ba7d0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ +000ba7e0: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ 000ba7f0: 6962 6c65 5f61 7263 6869 7465 6374 7572 ible_architectur │ │ │ │ 000ba800: 6520 3d3d 2022 6161 7263 6836 3422 206f e == "aarch64" o │ │ │ │ 000ba810: 7220 616e 7369 626c 655f 6172 6368 6974 r ansible_archit │ │ │ │ 000ba820: 6563 7475 7265 203d 3d20 2270 7063 3634 ecture == "ppc64 │ │ │ │ 000ba830: 2220 6f72 2061 6e73 6962 6c65 5f61 7263 " or ansible_arc │ │ │ │ 000ba840: 6869 7465 6374 7572 650a 2020 2020 3d3d hitecture. == │ │ │ │ 000ba850: 2022 7070 6336 346c 6522 206f 7220 616e "ppc64le" or an │ │ │ │ @@ -48052,23 +48052,23 @@ │ │ │ │ 000bbb30: 726d 5f6d 6f64 0a20 2020 2020 2063 7265 rm_mod. cre │ │ │ │ 000bbb40: 6174 653a 2074 7275 650a 2020 2020 2020 ate: true. │ │ │ │ 000bbb50: 6d6f 6465 3a20 6f2d 7277 780a 2020 2020 mode: o-rwx. │ │ │ │ 000bbb60: 2020 7374 6174 653a 2070 7265 7365 6e74 state: present │ │ │ │ 000bbb70: 0a20 2020 2077 6865 6e3a 2073 7973 6361 . when: sysca │ │ │ │ 000bbb80: 6c6c 735f 666f 756e 6420 7c20 6c65 6e67 lls_found | leng │ │ │ │ 000bbb90: 7468 203d 3d20 300a 2020 7768 656e 3a0a th == 0. when:. │ │ │ │ -000bbba0: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ -000bbbb0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -000bbbc0: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ -000bbbd0: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ -000bbbe0: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ -000bbbf0: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ -000bbc00: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ -000bbc10: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ -000bbc20: 225d 0a20 2074 6167 733a 0a20 202d 2043 "]. tags:. - C │ │ │ │ +000bbba0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ +000bbbb0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ +000bbbc0: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ +000bbbd0: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ +000bbbe0: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ +000bbbf0: 6e74 6169 6e65 7222 5d0a 2020 2d20 2722 ntainer"]. - '" │ │ │ │ +000bbc00: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ +000bbc10: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ +000bbc20: 7327 0a20 2074 6167 733a 0a20 202d 2043 s'. tags:. - C │ │ │ │ 000bbc30: 4a49 532d 352e 342e 312e 310a 2020 2d20 JIS-5.4.1.1. - │ │ │ │ 000bbc40: 4449 5341 2d53 5449 472d 5542 5455 2d32 DISA-STIG-UBTU-2 │ │ │ │ 000bbc50: 302d 3031 3031 3533 0a20 202d 204e 4953 0-010153. - NIS │ │ │ │ 000bbc60: 542d 3830 302d 3137 312d 332e 312e 370a T-800-171-3.1.7. │ │ │ │ 000bbc70: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ 000bbc80: 4155 2d31 3228 6329 0a20 202d 204e 4953 AU-12(c). - NIS │ │ │ │ 000bbc90: 542d 3830 302d 3533 2d41 552d 3228 6429 T-800-53-AU-2(d) │ │ │ │ @@ -48364,23 +48364,23 @@ │ │ │ │ 000bceb0: 6572 6d5f 6d6f 640a 2020 2020 2020 6372 erm_mod. cr │ │ │ │ 000bcec0: 6561 7465 3a20 7472 7565 0a20 2020 2020 eate: true. │ │ │ │ 000bced0: 206d 6f64 653a 206f 2d72 7778 0a20 2020 mode: o-rwx. │ │ │ │ 000bcee0: 2020 2073 7461 7465 3a20 7072 6573 656e state: presen │ │ │ │ 000bcef0: 740a 2020 2020 7768 656e 3a20 7379 7363 t. when: sysc │ │ │ │ 000bcf00: 616c 6c73 5f66 6f75 6e64 207c 206c 656e alls_found | len │ │ │ │ 000bcf10: 6774 6820 3d3d 2030 0a20 2077 6865 6e3a gth == 0. when: │ │ │ │ -000bcf20: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -000bcf30: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -000bcf40: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -000bcf50: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -000bcf60: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -000bcf70: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -000bcf80: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -000bcf90: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -000bcfa0: 7222 5d0a 2020 2d20 6175 6469 745f 6172 r"]. - audit_ar │ │ │ │ +000bcf20: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +000bcf30: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +000bcf40: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +000bcf50: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +000bcf60: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +000bcf70: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +000bcf80: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +000bcf90: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +000bcfa0: 6573 270a 2020 2d20 6175 6469 745f 6172 es'. - audit_ar │ │ │ │ 000bcfb0: 6368 203d 3d20 2262 3634 220a 2020 7461 ch == "b64". ta │ │ │ │ 000bcfc0: 6773 3a0a 2020 2d20 434a 4953 2d35 2e34 gs:. - CJIS-5.4 │ │ │ │ 000bcfd0: 2e31 2e31 0a20 202d 2044 4953 412d 5354 .1.1. - DISA-ST │ │ │ │ 000bcfe0: 4947 2d55 4254 552d 3230 2d30 3130 3135 IG-UBTU-20-01015 │ │ │ │ 000bcff0: 330a 2020 2d20 4e49 5354 2d38 3030 2d31 3. - NIST-800-1 │ │ │ │ 000bd000: 3731 2d33 2e31 2e37 0a20 202d 204e 4953 71-3.1.7. - NIS │ │ │ │ 000bd010: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ @@ -48414,25 +48414,25 @@ │ │ │ │ 000bd1d0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f class="panel-co │ │ │ │ 000bd1e0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522 llapse collapse" │ │ │ │ 000bd1f0: 2069 643d 2269 646d 3132 3939 3422 3e3c id="idm12994">< │ │ │ │ 000bd200: 7072 653e 3c63 6f64 653e 2320 5265 6d65 pre>
# Reme │ │ │ │ 000bd210: 6469 6174 696f 6e20 6973 2061 7070 6c69 diation is appli │ │ │ │ 000bd220: 6361 626c 6520 6f6e 6c79 2069 6e20 6365 cable only in ce │ │ │ │ 000bd230: 7274 6169 6e20 706c 6174 666f 726d 730a rtain platforms. │ │ │ │ -000bd240: 6966 2064 706b 672d 7175 6572 7920 2d2d if dpkg-query -- │ │ │ │ -000bd250: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ -000bd260: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ -000bd270: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ -000bd280: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ -000bd290: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ -000bd2a0: 616c 6c65 6420 2661 6d70 3b26 616d 703b alled && │ │ │ │ -000bd2b0: 205b 2021 202d 6620 2f2e 646f 636b 6572 [ ! -f /.docker │ │ │ │ -000bd2c0: 656e 7620 5d20 2661 6d70 3b26 616d 703b env ] && │ │ │ │ -000bd2d0: 205b 2021 202d 6620 2f72 756e 2f2e 636f [ ! -f /run/.co │ │ │ │ -000bd2e0: 6e74 6169 6e65 7265 6e76 205d 3b20 7468 ntainerenv ]; th │ │ │ │ +000bd240: 6966 205b 2021 202d 6620 2f2e 646f 636b if [ ! -f /.dock │ │ │ │ +000bd250: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +000bd260: 703b 205b 2021 202d 6620 2f72 756e 2f2e p; [ ! -f /run/. │ │ │ │ +000bd270: 636f 6e74 6169 6e65 7265 6e76 205d 2026 containerenv ] & │ │ │ │ +000bd280: 616d 703b 2661 6d70 3b20 6470 6b67 2d71 amp;& dpkg-q │ │ │ │ +000bd290: 7565 7279 202d 2d73 686f 7720 2d2d 7368 uery --show --sh │ │ │ │ +000bd2a0: 6f77 666f 726d 6174 3d27 247b 6462 3a53 owformat='${db:S │ │ │ │ +000bd2b0: 7461 7475 732d 5374 6174 7573 7d5c 6e27 tatus-Status}\n' │ │ │ │ +000bd2c0: 2027 6175 6469 7464 2720 3226 6774 3b2f 'auditd' 2>/ │ │ │ │ +000bd2d0: 6465 762f 6e75 6c6c 207c 2067 7265 7020 dev/null | grep │ │ │ │ +000bd2e0: 2d71 2069 6e73 7461 6c6c 6564 3b20 7468 -q installed; th │ │ │ │ 000bd2f0: 656e 0a0a 2320 4669 7273 7420 7065 7266 en..# First perf │ │ │ │ 000bd300: 6f72 6d20 7468 6520 7265 6d65 6469 6174 orm the remediat │ │ │ │ 000bd310: 696f 6e20 6f66 2074 6865 2073 7973 6361 ion of the sysca │ │ │ │ 000bd320: 6c6c 2072 756c 650a 2320 5265 7472 6965 ll rule.# Retrie │ │ │ │ 000bd330: 7665 2068 6172 6477 6172 6520 6172 6368 ve hardware arch │ │ │ │ 000bd340: 6974 6563 7475 7265 206f 6620 7468 6520 itecture of the │ │ │ │ 000bd350: 756e 6465 726c 7969 6e67 2073 7973 7465 underlying syste │ │ │ │ @@ -50224,22 +50224,22 @@ │ │ │ │ 000c42f0: 6573 7472 6963 745f 7374 7261 7465 6779 estrict_strategy │ │ │ │ 000c4300: 0a0a 2d20 6e61 6d65 3a20 5365 7420 6172 ..- name: Set ar │ │ │ │ 000c4310: 6368 6974 6563 7475 7265 2066 6f72 2061 chitecture for a │ │ │ │ 000c4320: 7564 6974 2066 6368 6d6f 6461 7420 7461 udit fchmodat ta │ │ │ │ 000c4330: 736b 730a 2020 7365 745f 6661 6374 3a0a sks. set_fact:. │ │ │ │ 000c4340: 2020 2020 6175 6469 745f 6172 6368 3a20 audit_arch: │ │ │ │ 000c4350: 6236 340a 2020 7768 656e 3a0a 2020 2d20 b64. when:. - │ │ │ │ -000c4360: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ -000c4370: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ -000c4380: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ -000c4390: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ -000c43a0: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ -000c43b0: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ -000c43c0: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ -000c43d0: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +000c4360: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ +000c4370: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ +000c4380: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ +000c4390: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ +000c43a0: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ +000c43b0: 6e65 7222 5d0a 2020 2d20 2722 6175 6469 ner"]. - '"audi │ │ │ │ +000c43c0: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ +000c43d0: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ 000c43e0: 202d 2061 6e73 6962 6c65 5f61 7263 6869 - ansible_archi │ │ │ │ 000c43f0: 7465 6374 7572 6520 3d3d 2022 6161 7263 tecture == "aarc │ │ │ │ 000c4400: 6836 3422 206f 7220 616e 7369 626c 655f h64" or ansible_ │ │ │ │ 000c4410: 6172 6368 6974 6563 7475 7265 203d 3d20 architecture == │ │ │ │ 000c4420: 2270 7063 3634 2220 6f72 2061 6e73 6962 "ppc64" or ansib │ │ │ │ 000c4430: 6c65 5f61 7263 6869 7465 6374 7572 650a le_architecture. │ │ │ │ 000c4440: 2020 2020 3d3d 2022 7070 6336 346c 6522 == "ppc64le" │ │ │ │ @@ -50548,23 +50548,23 @@ │ │ │ │ 000c5730: 7065 726d 5f6d 6f64 0a20 2020 2020 2063 perm_mod. c │ │ │ │ 000c5740: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 000c5750: 2020 6d6f 6465 3a20 6f2d 7277 780a 2020 mode: o-rwx. │ │ │ │ 000c5760: 2020 2020 7374 6174 653a 2070 7265 7365 state: prese │ │ │ │ 000c5770: 6e74 0a20 2020 2077 6865 6e3a 2073 7973 nt. when: sys │ │ │ │ 000c5780: 6361 6c6c 735f 666f 756e 6420 7c20 6c65 calls_found | le │ │ │ │ 000c5790: 6e67 7468 203d 3d20 300a 2020 7768 656e ngth == 0. when │ │ │ │ -000c57a0: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -000c57b0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -000c57c0: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -000c57d0: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -000c57e0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -000c57f0: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -000c5800: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -000c5810: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -000c5820: 6572 225d 0a20 2074 6167 733a 0a20 202d er"]. tags:. - │ │ │ │ +000c57a0: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +000c57b0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +000c57c0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +000c57d0: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +000c57e0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +000c57f0: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +000c5800: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +000c5810: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +000c5820: 6765 7327 0a20 2074 6167 733a 0a20 202d ges'. tags:. - │ │ │ │ 000c5830: 2043 4a49 532d 352e 342e 312e 310a 2020 CJIS-5.4.1.1. │ │ │ │ 000c5840: 2d20 4449 5341 2d53 5449 472d 5542 5455 - DISA-STIG-UBTU │ │ │ │ 000c5850: 2d32 302d 3031 3031 3534 0a20 202d 204e -20-010154. - N │ │ │ │ 000c5860: 4953 542d 3830 302d 3137 312d 332e 312e IST-800-171-3.1. │ │ │ │ 000c5870: 370a 2020 2d20 4e49 5354 2d38 3030 2d35 7. - NIST-800-5 │ │ │ │ 000c5880: 332d 4155 2d31 3228 6329 0a20 202d 204e 3-AU-12(c). - N │ │ │ │ 000c5890: 4953 542d 3830 302d 3533 2d41 552d 3228 IST-800-53-AU-2( │ │ │ │ @@ -50861,23 +50861,23 @@ │ │ │ │ 000c6ac0: 6d5f 6d6f 640a 2020 2020 2020 6372 6561 m_mod. crea │ │ │ │ 000c6ad0: 7465 3a20 7472 7565 0a20 2020 2020 206d te: true. m │ │ │ │ 000c6ae0: 6f64 653a 206f 2d72 7778 0a20 2020 2020 ode: o-rwx. │ │ │ │ 000c6af0: 2073 7461 7465 3a20 7072 6573 656e 740a state: present. │ │ │ │ 000c6b00: 2020 2020 7768 656e 3a20 7379 7363 616c when: syscal │ │ │ │ 000c6b10: 6c73 5f66 6f75 6e64 207c 206c 656e 6774 ls_found | lengt │ │ │ │ 000c6b20: 6820 3d3d 2030 0a20 2077 6865 6e3a 0a20 h == 0. when:. │ │ │ │ -000c6b30: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ -000c6b40: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ -000c6b50: 636b 6167 6573 270a 2020 2d20 616e 7369 ckages'. - ansi │ │ │ │ -000c6b60: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ -000c6b70: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ -000c6b80: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ -000c6b90: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ -000c6ba0: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ -000c6bb0: 5d0a 2020 2d20 6175 6469 745f 6172 6368 ]. - audit_arch │ │ │ │ +000c6b30: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ +000c6b40: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ +000c6b50: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ +000c6b60: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ +000c6b70: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ +000c6b80: 7461 696e 6572 225d 0a20 202d 2027 2261 tainer"]. - '"a │ │ │ │ +000c6b90: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ +000c6ba0: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ +000c6bb0: 270a 2020 2d20 6175 6469 745f 6172 6368 '. - audit_arch │ │ │ │ 000c6bc0: 203d 3d20 2262 3634 220a 2020 7461 6773 == "b64". tags │ │ │ │ 000c6bd0: 3a0a 2020 2d20 434a 4953 2d35 2e34 2e31 :. - CJIS-5.4.1 │ │ │ │ 000c6be0: 2e31 0a20 202d 2044 4953 412d 5354 4947 .1. - DISA-STIG │ │ │ │ 000c6bf0: 2d55 4254 552d 3230 2d30 3130 3135 340a -UBTU-20-010154. │ │ │ │ 000c6c00: 2020 2d20 4e49 5354 2d38 3030 2d31 3731 - NIST-800-171 │ │ │ │ 000c6c10: 2d33 2e31 2e37 0a20 202d 204e 4953 542d -3.1.7. - NIST- │ │ │ │ 000c6c20: 3830 302d 3533 2d41 552d 3132 2863 290a 800-53-AU-12(c). │ │ │ │ @@ -50911,25 +50911,25 @@ │ │ │ │ 000c6de0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f class="panel-co │ │ │ │ 000c6df0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522 llapse collapse" │ │ │ │ 000c6e00: 2069 643d 2269 646d 3133 3135 3122 3e3c id="idm13151">< │ │ │ │ 000c6e10: 7072 653e 3c63 6f64 653e 2320 5265 6d65 pre>
# Reme │ │ │ │ 000c6e20: 6469 6174 696f 6e20 6973 2061 7070 6c69 diation is appli │ │ │ │ 000c6e30: 6361 626c 6520 6f6e 6c79 2069 6e20 6365 cable only in ce │ │ │ │ 000c6e40: 7274 6169 6e20 706c 6174 666f 726d 730a rtain platforms. │ │ │ │ -000c6e50: 6966 2064 706b 672d 7175 6572 7920 2d2d if dpkg-query -- │ │ │ │ -000c6e60: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ -000c6e70: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ -000c6e80: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ -000c6e90: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ -000c6ea0: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ -000c6eb0: 616c 6c65 6420 2661 6d70 3b26 616d 703b alled && │ │ │ │ -000c6ec0: 205b 2021 202d 6620 2f2e 646f 636b 6572 [ ! -f /.docker │ │ │ │ -000c6ed0: 656e 7620 5d20 2661 6d70 3b26 616d 703b env ] && │ │ │ │ -000c6ee0: 205b 2021 202d 6620 2f72 756e 2f2e 636f [ ! -f /run/.co │ │ │ │ -000c6ef0: 6e74 6169 6e65 7265 6e76 205d 3b20 7468 ntainerenv ]; th │ │ │ │ +000c6e50: 6966 205b 2021 202d 6620 2f2e 646f 636b if [ ! -f /.dock │ │ │ │ +000c6e60: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +000c6e70: 703b 205b 2021 202d 6620 2f72 756e 2f2e p; [ ! -f /run/. │ │ │ │ +000c6e80: 636f 6e74 6169 6e65 7265 6e76 205d 2026 containerenv ] & │ │ │ │ +000c6e90: 616d 703b 2661 6d70 3b20 6470 6b67 2d71 amp;& dpkg-q │ │ │ │ +000c6ea0: 7565 7279 202d 2d73 686f 7720 2d2d 7368 uery --show --sh │ │ │ │ +000c6eb0: 6f77 666f 726d 6174 3d27 247b 6462 3a53 owformat='${db:S │ │ │ │ +000c6ec0: 7461 7475 732d 5374 6174 7573 7d5c 6e27 tatus-Status}\n' │ │ │ │ +000c6ed0: 2027 6175 6469 7464 2720 3226 6774 3b2f 'auditd' 2>/ │ │ │ │ +000c6ee0: 6465 762f 6e75 6c6c 207c 2067 7265 7020 dev/null | grep │ │ │ │ +000c6ef0: 2d71 2069 6e73 7461 6c6c 6564 3b20 7468 -q installed; th │ │ │ │ 000c6f00: 656e 0a0a 2320 4669 7273 7420 7065 7266 en..# First perf │ │ │ │ 000c6f10: 6f72 6d20 7468 6520 7265 6d65 6469 6174 orm the remediat │ │ │ │ 000c6f20: 696f 6e20 6f66 2074 6865 2073 7973 6361 ion of the sysca │ │ │ │ 000c6f30: 6c6c 2072 756c 650a 2320 5265 7472 6965 ll rule.# Retrie │ │ │ │ 000c6f40: 7665 2068 6172 6477 6172 6520 6172 6368 ve hardware arch │ │ │ │ 000c6f50: 6974 6563 7475 7265 206f 6620 7468 6520 itecture of the │ │ │ │ 000c6f60: 756e 6465 726c 7969 6e67 2073 7973 7465 underlying syste │ │ │ │ @@ -52728,23 +52728,23 @@ │ │ │ │ 000cdf70: 6564 0a20 202d 2072 6573 7472 6963 745f ed. - restrict_ │ │ │ │ 000cdf80: 7374 7261 7465 6779 0a0a 2d20 6e61 6d65 strategy..- name │ │ │ │ 000cdf90: 3a20 5365 7420 6172 6368 6974 6563 7475 : Set architectu │ │ │ │ 000cdfa0: 7265 2066 6f72 2061 7564 6974 2066 6368 re for audit fch │ │ │ │ 000cdfb0: 6f77 6e20 7461 736b 730a 2020 7365 745f own tasks. set_ │ │ │ │ 000cdfc0: 6661 6374 3a0a 2020 2020 6175 6469 745f fact:. audit_ │ │ │ │ 000cdfd0: 6172 6368 3a20 6236 340a 2020 7768 656e arch: b64. when │ │ │ │ -000cdfe0: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -000cdff0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -000ce000: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -000ce010: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -000ce020: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -000ce030: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -000ce040: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -000ce050: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -000ce060: 6572 225d 0a20 202d 2061 6e73 6962 6c65 er"]. - ansible │ │ │ │ +000cdfe0: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +000cdff0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +000ce000: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +000ce010: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +000ce020: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +000ce030: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +000ce040: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +000ce050: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +000ce060: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ 000ce070: 5f61 7263 6869 7465 6374 7572 6520 3d3d _architecture == │ │ │ │ 000ce080: 2022 6161 7263 6836 3422 206f 7220 616e "aarch64" or an │ │ │ │ 000ce090: 7369 626c 655f 6172 6368 6974 6563 7475 sible_architectu │ │ │ │ 000ce0a0: 7265 203d 3d20 2270 7063 3634 2220 6f72 re == "ppc64" or │ │ │ │ 000ce0b0: 2061 6e73 6962 6c65 5f61 7263 6869 7465 ansible_archite │ │ │ │ 000ce0c0: 6374 7572 650a 2020 2020 3d3d 2022 7070 cture. == "pp │ │ │ │ 000ce0d0: 6336 346c 6522 206f 7220 616e 7369 626c c64le" or ansibl │ │ │ │ @@ -53053,23 +53053,23 @@ │ │ │ │ 000cf3c0: 202d 4620 6b65 793d 7065 726d 5f6d 6f64 -F key=perm_mod │ │ │ │ 000cf3d0: 0a20 2020 2020 2063 7265 6174 653a 2074 . create: t │ │ │ │ 000cf3e0: 7275 650a 2020 2020 2020 6d6f 6465 3a20 rue. mode: │ │ │ │ 000cf3f0: 6f2d 7277 780a 2020 2020 2020 7374 6174 o-rwx. stat │ │ │ │ 000cf400: 653a 2070 7265 7365 6e74 0a20 2020 2077 e: present. w │ │ │ │ 000cf410: 6865 6e3a 2073 7973 6361 6c6c 735f 666f hen: syscalls_fo │ │ │ │ 000cf420: 756e 6420 7c20 6c65 6e67 7468 203d 3d20 und | length == │ │ │ │ -000cf430: 300a 2020 7768 656e 3a0a 2020 2d20 2722 0. when:. - '" │ │ │ │ -000cf440: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -000cf450: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -000cf460: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -000cf470: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -000cf480: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -000cf490: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -000cf4a0: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -000cf4b0: 2263 6f6e 7461 696e 6572 225d 0a20 2074 "container"]. t │ │ │ │ +000cf430: 300a 2020 7768 656e 3a0a 2020 2d20 616e 0. when:. - an │ │ │ │ +000cf440: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +000cf450: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +000cf460: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +000cf470: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +000cf480: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +000cf490: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +000cf4a0: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +000cf4b0: 7473 2e70 6163 6b61 6765 7327 0a20 2074 ts.packages'. t │ │ │ │ 000cf4c0: 6167 733a 0a20 202d 2043 4a49 532d 352e ags:. - CJIS-5. │ │ │ │ 000cf4d0: 342e 312e 310a 2020 2d20 4449 5341 2d53 4.1.1. - DISA-S │ │ │ │ 000cf4e0: 5449 472d 5542 5455 2d32 302d 3031 3031 TIG-UBTU-20-0101 │ │ │ │ 000cf4f0: 3439 0a20 202d 204e 4953 542d 3830 302d 49. - NIST-800- │ │ │ │ 000cf500: 3137 312d 332e 312e 370a 2020 2d20 4e49 171-3.1.7. - NI │ │ │ │ 000cf510: 5354 2d38 3030 2d35 332d 4155 2d31 3228 ST-800-53-AU-12( │ │ │ │ 000cf520: 6329 0a20 202d 204e 4953 542d 3830 302d c). - NIST-800- │ │ │ │ @@ -53367,23 +53367,23 @@ │ │ │ │ 000d0760: 2d46 206b 6579 3d70 6572 6d5f 6d6f 640a -F key=perm_mod. │ │ │ │ 000d0770: 2020 2020 2020 6372 6561 7465 3a20 7472 create: tr │ │ │ │ 000d0780: 7565 0a20 2020 2020 206d 6f64 653a 206f ue. mode: o │ │ │ │ 000d0790: 2d72 7778 0a20 2020 2020 2073 7461 7465 -rwx. state │ │ │ │ 000d07a0: 3a20 7072 6573 656e 740a 2020 2020 7768 : present. wh │ │ │ │ 000d07b0: 656e 3a20 7379 7363 616c 6c73 5f66 6f75 en: syscalls_fou │ │ │ │ 000d07c0: 6e64 207c 206c 656e 6774 6820 3d3d 2030 nd | length == 0 │ │ │ │ -000d07d0: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -000d07e0: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -000d07f0: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -000d0800: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -000d0810: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -000d0820: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -000d0830: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -000d0840: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -000d0850: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +000d07d0: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +000d07e0: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +000d07f0: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +000d0800: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +000d0810: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +000d0820: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +000d0830: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +000d0840: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +000d0850: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ 000d0860: 6175 6469 745f 6172 6368 203d 3d20 2262 audit_arch == "b │ │ │ │ 000d0870: 3634 220a 2020 7461 6773 3a0a 2020 2d20 64". tags:. - │ │ │ │ 000d0880: 434a 4953 2d35 2e34 2e31 2e31 0a20 202d CJIS-5.4.1.1. - │ │ │ │ 000d0890: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 000d08a0: 3230 2d30 3130 3134 390a 2020 2d20 4e49 20-010149. - NI │ │ │ │ 000d08b0: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 000d08c0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ @@ -53417,26 +53417,26 @@ │ │ │ │ 000d0a80: 3c62 723e 3c64 6976 2063 6c61 7373 3d22
# Remediation │ │ │ │ 000d0ad0: 6973 2061 7070 6c69 6361 626c 6520 6f6e is applicable on │ │ │ │ 000d0ae0: 6c79 2069 6e20 6365 7274 6169 6e20 706c ly in certain pl │ │ │ │ -000d0af0: 6174 666f 726d 730a 6966 2064 706b 672d atforms.if dpkg- │ │ │ │ -000d0b00: 7175 6572 7920 2d2d 7368 6f77 202d 2d73 query --show --s │ │ │ │ -000d0b10: 686f 7766 6f72 6d61 743d 2724 7b64 623a howformat='${db: │ │ │ │ -000d0b20: 5374 6174 7573 2d53 7461 7475 737d 5c6e Status-Status}\n │ │ │ │ -000d0b30: 2720 2761 7564 6974 6427 2032 2667 743b ' 'auditd' 2> │ │ │ │ -000d0b40: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570 /dev/null | grep │ │ │ │ -000d0b50: 202d 7120 696e 7374 616c 6c65 6420 2661 -q installed &a │ │ │ │ -000d0b60: 6d70 3b26 616d 703b 205b 2021 202d 6620 mp;& [ ! -f │ │ │ │ -000d0b70: 2f2e 646f 636b 6572 656e 7620 5d20 2661 /.dockerenv ] &a │ │ │ │ -000d0b80: 6d70 3b26 616d 703b 205b 2021 202d 6620 mp;& [ ! -f │ │ │ │ -000d0b90: 2f72 756e 2f2e 636f 6e74 6169 6e65 7265 /run/.containere │ │ │ │ -000d0ba0: 6e76 205d 3b20 7468 656e 0a0a 2320 4669 nv ]; then..# Fi │ │ │ │ +000d0af0: 6174 666f 726d 730a 6966 205b 2021 202d atforms.if [ ! - │ │ │ │ +000d0b00: 6620 2f2e 646f 636b 6572 656e 7620 5d20 f /.dockerenv ] │ │ │ │ +000d0b10: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ +000d0b20: 6620 2f72 756e 2f2e 636f 6e74 6169 6e65 f /run/.containe │ │ │ │ +000d0b30: 7265 6e76 205d 2026 616d 703b 2661 6d70 renv ] && │ │ │ │ +000d0b40: 3b20 6470 6b67 2d71 7565 7279 202d 2d73 ; dpkg-query --s │ │ │ │ +000d0b50: 686f 7720 2d2d 7368 6f77 666f 726d 6174 how --showformat │ │ │ │ +000d0b60: 3d27 247b 6462 3a53 7461 7475 732d 5374 ='${db:Status-St │ │ │ │ +000d0b70: 6174 7573 7d5c 6e27 2027 6175 6469 7464 atus}\n' 'auditd │ │ │ │ +000d0b80: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c ' 2>/dev/null │ │ │ │ +000d0b90: 207c 2067 7265 7020 2d71 2069 6e73 7461 | grep -q insta │ │ │ │ +000d0ba0: 6c6c 6564 3b20 7468 656e 0a0a 2320 4669 lled; then..# Fi │ │ │ │ 000d0bb0: 7273 7420 7065 7266 6f72 6d20 7468 6520 rst perform the │ │ │ │ 000d0bc0: 7265 6d65 6469 6174 696f 6e20 6f66 2074 remediation of t │ │ │ │ 000d0bd0: 6865 2073 7973 6361 6c6c 2072 756c 650a he syscall rule. │ │ │ │ 000d0be0: 2320 5265 7472 6965 7665 2068 6172 6477 # Retrieve hardw │ │ │ │ 000d0bf0: 6172 6520 6172 6368 6974 6563 7475 7265 are architecture │ │ │ │ 000d0c00: 206f 6620 7468 6520 756e 6465 726c 7969 of the underlyi │ │ │ │ 000d0c10: 6e67 2073 7973 7465 6d0a 5b20 2224 2867 ng system.[ "$(g │ │ │ │ @@ -55236,23 +55236,23 @@ │ │ │ │ 000d7c30: 6564 0a20 202d 2072 6573 7472 6963 745f ed. - restrict_ │ │ │ │ 000d7c40: 7374 7261 7465 6779 0a0a 2d20 6e61 6d65 strategy..- name │ │ │ │ 000d7c50: 3a20 5365 7420 6172 6368 6974 6563 7475 : Set architectu │ │ │ │ 000d7c60: 7265 2066 6f72 2061 7564 6974 2066 6368 re for audit fch │ │ │ │ 000d7c70: 6f77 6e61 7420 7461 736b 730a 2020 7365 ownat tasks. se │ │ │ │ 000d7c80: 745f 6661 6374 3a0a 2020 2020 6175 6469 t_fact:. audi │ │ │ │ 000d7c90: 745f 6172 6368 3a20 6236 340a 2020 7768 t_arch: b64. wh │ │ │ │ -000d7ca0: 656e 3a0a 2020 2d20 2722 6175 6469 7464 en:. - '"auditd │ │ │ │ -000d7cb0: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ -000d7cc0: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ -000d7cd0: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ -000d7ce0: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ -000d7cf0: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ -000d7d00: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ -000d7d10: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ -000d7d20: 696e 6572 225d 0a20 202d 2061 6e73 6962 iner"]. - ansib │ │ │ │ +000d7ca0: 656e 3a0a 2020 2d20 616e 7369 626c 655f en:. - ansible_ │ │ │ │ +000d7cb0: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ +000d7cc0: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ +000d7cd0: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ +000d7ce0: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ +000d7cf0: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +000d7d00: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ +000d7d10: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ +000d7d20: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ 000d7d30: 6c65 5f61 7263 6869 7465 6374 7572 6520 le_architecture │ │ │ │ 000d7d40: 3d3d 2022 6161 7263 6836 3422 206f 7220 == "aarch64" or │ │ │ │ 000d7d50: 616e 7369 626c 655f 6172 6368 6974 6563 ansible_architec │ │ │ │ 000d7d60: 7475 7265 203d 3d20 2270 7063 3634 2220 ture == "ppc64" │ │ │ │ 000d7d70: 6f72 2061 6e73 6962 6c65 5f61 7263 6869 or ansible_archi │ │ │ │ 000d7d80: 7465 6374 7572 650a 2020 2020 3d3d 2022 tecture. == " │ │ │ │ 000d7d90: 7070 6336 346c 6522 206f 7220 616e 7369 ppc64le" or ansi │ │ │ │ @@ -55562,23 +55562,23 @@ │ │ │ │ 000d9090: 4620 6b65 793d 7065 726d 5f6d 6f64 0a20 F key=perm_mod. │ │ │ │ 000d90a0: 2020 2020 2063 7265 6174 653a 2074 7275 create: tru │ │ │ │ 000d90b0: 650a 2020 2020 2020 6d6f 6465 3a20 6f2d e. mode: o- │ │ │ │ 000d90c0: 7277 780a 2020 2020 2020 7374 6174 653a rwx. state: │ │ │ │ 000d90d0: 2070 7265 7365 6e74 0a20 2020 2077 6865 present. whe │ │ │ │ 000d90e0: 6e3a 2073 7973 6361 6c6c 735f 666f 756e n: syscalls_foun │ │ │ │ 000d90f0: 6420 7c20 6c65 6e67 7468 203d 3d20 300a d | length == 0. │ │ │ │ -000d9100: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -000d9110: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -000d9120: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -000d9130: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -000d9140: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -000d9150: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -000d9160: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -000d9170: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -000d9180: 6f6e 7461 696e 6572 225d 0a20 2074 6167 ontainer"]. tag │ │ │ │ +000d9100: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +000d9110: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +000d9120: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +000d9130: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +000d9140: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +000d9150: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +000d9160: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +000d9170: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +000d9180: 2e70 6163 6b61 6765 7327 0a20 2074 6167 .packages'. tag │ │ │ │ 000d9190: 733a 0a20 202d 2043 4a49 532d 352e 342e s:. - CJIS-5.4. │ │ │ │ 000d91a0: 312e 310a 2020 2d20 4449 5341 2d53 5449 1.1. - DISA-STI │ │ │ │ 000d91b0: 472d 5542 5455 2d32 302d 3031 3031 3530 G-UBTU-20-010150 │ │ │ │ 000d91c0: 0a20 202d 204e 4953 542d 3830 302d 3137 . - NIST-800-17 │ │ │ │ 000d91d0: 312d 332e 312e 370a 2020 2d20 4e49 5354 1-3.1.7. - NIST │ │ │ │ 000d91e0: 2d38 3030 2d35 332d 4155 2d31 3228 6329 -800-53-AU-12(c) │ │ │ │ 000d91f0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ @@ -55877,23 +55877,23 @@ │ │ │ │ 000da440: 3d70 6572 6d5f 6d6f 640a 2020 2020 2020 =perm_mod. │ │ │ │ 000da450: 6372 6561 7465 3a20 7472 7565 0a20 2020 create: true. │ │ │ │ 000da460: 2020 206d 6f64 653a 206f 2d72 7778 0a20 mode: o-rwx. │ │ │ │ 000da470: 2020 2020 2073 7461 7465 3a20 7072 6573 state: pres │ │ │ │ 000da480: 656e 740a 2020 2020 7768 656e 3a20 7379 ent. when: sy │ │ │ │ 000da490: 7363 616c 6c73 5f66 6f75 6e64 207c 206c scalls_found | l │ │ │ │ 000da4a0: 656e 6774 6820 3d3d 2030 0a20 2077 6865 ength == 0. whe │ │ │ │ -000da4b0: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -000da4c0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -000da4d0: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -000da4e0: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -000da4f0: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -000da500: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -000da510: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -000da520: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -000da530: 6e65 7222 5d0a 2020 2d20 6175 6469 745f ner"]. - audit_ │ │ │ │ +000da4b0: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +000da4c0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +000da4d0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +000da4e0: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +000da4f0: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +000da500: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +000da510: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +000da520: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +000da530: 6167 6573 270a 2020 2d20 6175 6469 745f ages'. - audit_ │ │ │ │ 000da540: 6172 6368 203d 3d20 2262 3634 220a 2020 arch == "b64". │ │ │ │ 000da550: 7461 6773 3a0a 2020 2d20 434a 4953 2d35 tags:. - CJIS-5 │ │ │ │ 000da560: 2e34 2e31 2e31 0a20 202d 2044 4953 412d .4.1.1. - DISA- │ │ │ │ 000da570: 5354 4947 2d55 4254 552d 3230 2d30 3130 STIG-UBTU-20-010 │ │ │ │ 000da580: 3135 300a 2020 2d20 4e49 5354 2d38 3030 150. - NIST-800 │ │ │ │ 000da590: 2d31 3731 2d33 2e31 2e37 0a20 202d 204e -171-3.1.7. - N │ │ │ │ 000da5a0: 4953 542d 3830 302d 3533 2d41 552d 3132 IST-800-53-AU-12 │ │ │ │ @@ -55927,25 +55927,25 @@ │ │ │ │ 000da760: 3c64 6976 2063 6c61 7373 3d22 7061 6e65 # │ │ │ │ 000da7a0: 5265 6d65 6469 6174 696f 6e20 6973 2061 Remediation is a │ │ │ │ 000da7b0: 7070 6c69 6361 626c 6520 6f6e 6c79 2069 pplicable only i │ │ │ │ 000da7c0: 6e20 6365 7274 6169 6e20 706c 6174 666f n certain platfo │ │ │ │ -000da7d0: 726d 730a 6966 2064 706b 672d 7175 6572 rms.if dpkg-quer │ │ │ │ -000da7e0: 7920 2d2d 7368 6f77 202d 2d73 686f 7766 y --show --showf │ │ │ │ -000da7f0: 6f72 6d61 743d 2724 7b64 623a 5374 6174 ormat='${db:Stat │ │ │ │ -000da800: 7573 2d53 7461 7475 737d 5c6e 2720 2761 us-Status}\n' 'a │ │ │ │ -000da810: 7564 6974 6427 2032 2667 743b 2f64 6576 uditd' 2>/dev │ │ │ │ -000da820: 2f6e 756c 6c20 7c20 6772 6570 202d 7120 /null | grep -q │ │ │ │ -000da830: 696e 7374 616c 6c65 6420 2661 6d70 3b26 installed && │ │ │ │ -000da840: 616d 703b 205b 2021 202d 6620 2f2e 646f amp; [ ! -f /.do │ │ │ │ -000da850: 636b 6572 656e 7620 5d20 2661 6d70 3b26 ckerenv ] && │ │ │ │ -000da860: 616d 703b 205b 2021 202d 6620 2f72 756e amp; [ ! -f /run │ │ │ │ -000da870: 2f2e 636f 6e74 6169 6e65 7265 6e76 205d /.containerenv ] │ │ │ │ +000da7d0: 726d 730a 6966 205b 2021 202d 6620 2f2e rms.if [ ! -f /. │ │ │ │ +000da7e0: 646f 636b 6572 656e 7620 5d20 2661 6d70 dockerenv ] & │ │ │ │ +000da7f0: 3b26 616d 703b 205b 2021 202d 6620 2f72 ;& [ ! -f /r │ │ │ │ +000da800: 756e 2f2e 636f 6e74 6169 6e65 7265 6e76 un/.containerenv │ │ │ │ +000da810: 205d 2026 616d 703b 2661 6d70 3b20 6470 ] && dp │ │ │ │ +000da820: 6b67 2d71 7565 7279 202d 2d73 686f 7720 kg-query --show │ │ │ │ +000da830: 2d2d 7368 6f77 666f 726d 6174 3d27 247b --showformat='${ │ │ │ │ +000da840: 6462 3a53 7461 7475 732d 5374 6174 7573 db:Status-Status │ │ │ │ +000da850: 7d5c 6e27 2027 6175 6469 7464 2720 3226 }\n' 'auditd' 2& │ │ │ │ +000da860: 6774 3b2f 6465 762f 6e75 6c6c 207c 2067 gt;/dev/null | g │ │ │ │ +000da870: 7265 7020 2d71 2069 6e73 7461 6c6c 6564 rep -q installed │ │ │ │ 000da880: 3b20 7468 656e 0a0a 2320 4669 7273 7420 ; then..# First │ │ │ │ 000da890: 7065 7266 6f72 6d20 7468 6520 7265 6d65 perform the reme │ │ │ │ 000da8a0: 6469 6174 696f 6e20 6f66 2074 6865 2073 diation of the s │ │ │ │ 000da8b0: 7973 6361 6c6c 2072 756c 650a 2320 5265 yscall rule.# Re │ │ │ │ 000da8c0: 7472 6965 7665 2068 6172 6477 6172 6520 trieve hardware │ │ │ │ 000da8d0: 6172 6368 6974 6563 7475 7265 206f 6620 architecture of │ │ │ │ 000da8e0: 7468 6520 756e 6465 726c 7969 6e67 2073 the underlying s │ │ │ │ @@ -57764,23 +57764,23 @@ │ │ │ │ 000e1a30: 6972 6564 0a20 202d 2072 6573 7472 6963 ired. - restric │ │ │ │ 000e1a40: 745f 7374 7261 7465 6779 0a0a 2d20 6e61 t_strategy..- na │ │ │ │ 000e1a50: 6d65 3a20 5365 7420 6172 6368 6974 6563 me: Set architec │ │ │ │ 000e1a60: 7475 7265 2066 6f72 2061 7564 6974 2066 ture for audit f │ │ │ │ 000e1a70: 7265 6d6f 7665 7861 7474 7220 7461 736b removexattr task │ │ │ │ 000e1a80: 730a 2020 7365 745f 6661 6374 3a0a 2020 s. set_fact:. │ │ │ │ 000e1a90: 2020 6175 6469 745f 6172 6368 3a20 6236 audit_arch: b6 │ │ │ │ -000e1aa0: 340a 2020 7768 656e 3a0a 2020 2d20 2722 4. when:. - '" │ │ │ │ -000e1ab0: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -000e1ac0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -000e1ad0: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -000e1ae0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -000e1af0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -000e1b00: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -000e1b10: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -000e1b20: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +000e1aa0: 340a 2020 7768 656e 3a0a 2020 2d20 616e 4. when:. - an │ │ │ │ +000e1ab0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +000e1ac0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +000e1ad0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +000e1ae0: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +000e1af0: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +000e1b00: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +000e1b10: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +000e1b20: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ 000e1b30: 2061 6e73 6962 6c65 5f61 7263 6869 7465 ansible_archite │ │ │ │ 000e1b40: 6374 7572 6520 3d3d 2022 6161 7263 6836 cture == "aarch6 │ │ │ │ 000e1b50: 3422 206f 7220 616e 7369 626c 655f 6172 4" or ansible_ar │ │ │ │ 000e1b60: 6368 6974 6563 7475 7265 203d 3d20 2270 chitecture == "p │ │ │ │ 000e1b70: 7063 3634 2220 6f72 2061 6e73 6962 6c65 pc64" or ansible │ │ │ │ 000e1b80: 5f61 7263 6869 7465 6374 7572 650a 2020 _architecture. │ │ │ │ 000e1b90: 2020 3d3d 2022 7070 6336 346c 6522 206f == "ppc64le" o │ │ │ │ @@ -58378,23 +58378,23 @@ │ │ │ │ 000e4090: 2020 2020 6b65 793d 7065 726d 5f6d 6f64 key=perm_mod │ │ │ │ 000e40a0: 0a20 2020 2020 2063 7265 6174 653a 2074 . create: t │ │ │ │ 000e40b0: 7275 650a 2020 2020 2020 6d6f 6465 3a20 rue. mode: │ │ │ │ 000e40c0: 6f2d 7277 780a 2020 2020 2020 7374 6174 o-rwx. stat │ │ │ │ 000e40d0: 653a 2070 7265 7365 6e74 0a20 2020 2077 e: present. w │ │ │ │ 000e40e0: 6865 6e3a 2073 7973 6361 6c6c 735f 666f hen: syscalls_fo │ │ │ │ 000e40f0: 756e 6420 7c20 6c65 6e67 7468 203d 3d20 und | length == │ │ │ │ -000e4100: 300a 2020 7768 656e 3a0a 2020 2d20 2722 0. when:. - '" │ │ │ │ -000e4110: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -000e4120: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -000e4130: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -000e4140: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -000e4150: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -000e4160: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -000e4170: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -000e4180: 2263 6f6e 7461 696e 6572 225d 0a20 2074 "container"]. t │ │ │ │ +000e4100: 300a 2020 7768 656e 3a0a 2020 2d20 616e 0. when:. - an │ │ │ │ +000e4110: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +000e4120: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +000e4130: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +000e4140: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +000e4150: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +000e4160: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +000e4170: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +000e4180: 7473 2e70 6163 6b61 6765 7327 0a20 2074 ts.packages'. t │ │ │ │ 000e4190: 6167 733a 0a20 202d 2043 4a49 532d 352e ags:. - CJIS-5. │ │ │ │ 000e41a0: 342e 312e 310a 2020 2d20 4449 5341 2d53 4.1.1. - DISA-S │ │ │ │ 000e41b0: 5449 472d 5542 5455 2d32 302d 3031 3031 TIG-UBTU-20-0101 │ │ │ │ 000e41c0: 3437 0a20 202d 204e 4953 542d 3830 302d 47. - NIST-800- │ │ │ │ 000e41d0: 3137 312d 332e 312e 370a 2020 2d20 4e49 171-3.1.7. - NI │ │ │ │ 000e41e0: 5354 2d38 3030 2d35 332d 4155 2d31 3228 ST-800-53-AU-12( │ │ │ │ 000e41f0: 6329 0a20 202d 204e 4953 542d 3830 302d c). - NIST-800- │ │ │ │ @@ -58981,23 +58981,23 @@ │ │ │ │ 000e6640: 6572 6d5f 6d6f 640a 2020 2020 2020 6372 erm_mod. cr │ │ │ │ 000e6650: 6561 7465 3a20 7472 7565 0a20 2020 2020 eate: true. │ │ │ │ 000e6660: 206d 6f64 653a 206f 2d72 7778 0a20 2020 mode: o-rwx. │ │ │ │ 000e6670: 2020 2073 7461 7465 3a20 7072 6573 656e state: presen │ │ │ │ 000e6680: 740a 2020 2020 7768 656e 3a20 7379 7363 t. when: sysc │ │ │ │ 000e6690: 616c 6c73 5f66 6f75 6e64 207c 206c 656e alls_found | len │ │ │ │ 000e66a0: 6774 6820 3d3d 2030 0a20 2077 6865 6e3a gth == 0. when: │ │ │ │ -000e66b0: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -000e66c0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -000e66d0: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -000e66e0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -000e66f0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -000e6700: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -000e6710: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -000e6720: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -000e6730: 7222 5d0a 2020 2d20 6175 6469 745f 6172 r"]. - audit_ar │ │ │ │ +000e66b0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +000e66c0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +000e66d0: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +000e66e0: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +000e66f0: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +000e6700: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +000e6710: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +000e6720: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +000e6730: 6573 270a 2020 2d20 6175 6469 745f 6172 es'. - audit_ar │ │ │ │ 000e6740: 6368 203d 3d20 2262 3634 220a 2020 7461 ch == "b64". ta │ │ │ │ 000e6750: 6773 3a0a 2020 2d20 434a 4953 2d35 2e34 gs:. - CJIS-5.4 │ │ │ │ 000e6760: 2e31 2e31 0a20 202d 2044 4953 412d 5354 .1.1. - DISA-ST │ │ │ │ 000e6770: 4947 2d55 4254 552d 3230 2d30 3130 3134 IG-UBTU-20-01014 │ │ │ │ 000e6780: 370a 2020 2d20 4e49 5354 2d38 3030 2d31 7. - NIST-800-1 │ │ │ │ 000e6790: 3731 2d33 2e31 2e37 0a20 202d 204e 4953 71-3.1.7. - NIS │ │ │ │ 000e67a0: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ @@ -59031,26 +59031,26 @@ │ │ │ │ 000e6960: 723e 3c64 6976 2063 6c61 7373 3d22 7061 r>
│ │ │ │ 000e69a0: 2320 5265 6d65 6469 6174 696f 6e20 6973 # Remediation is │ │ │ │ 000e69b0: 2061 7070 6c69 6361 626c 6520 6f6e 6c79 applicable only │ │ │ │ 000e69c0: 2069 6e20 6365 7274 6169 6e20 706c 6174 in certain plat │ │ │ │ -000e69d0: 666f 726d 730a 6966 2064 706b 672d 7175 forms.if dpkg-qu │ │ │ │ -000e69e0: 6572 7920 2d2d 7368 6f77 202d 2d73 686f ery --show --sho │ │ │ │ -000e69f0: 7766 6f72 6d61 743d 2724 7b64 623a 5374 wformat='${db:St │ │ │ │ -000e6a00: 6174 7573 2d53 7461 7475 737d 5c6e 2720 atus-Status}\n' │ │ │ │ -000e6a10: 2761 7564 6974 6427 2032 2667 743b 2f64 'auditd' 2>/d │ │ │ │ -000e6a20: 6576 2f6e 756c 6c20 7c20 6772 6570 202d ev/null | grep - │ │ │ │ -000e6a30: 7120 696e 7374 616c 6c65 6420 2661 6d70 q installed & │ │ │ │ -000e6a40: 3b26 616d 703b 205b 2021 202d 6620 2f2e ;& [ ! -f /. │ │ │ │ -000e6a50: 646f 636b 6572 656e 7620 5d20 2661 6d70 dockerenv ] & │ │ │ │ -000e6a60: 3b26 616d 703b 205b 2021 202d 6620 2f72 ;& [ ! -f /r │ │ │ │ -000e6a70: 756e 2f2e 636f 6e74 6169 6e65 7265 6e76 un/.containerenv │ │ │ │ -000e6a80: 205d 3b20 7468 656e 0a0a 2320 4669 7273 ]; then..# Firs │ │ │ │ +000e69d0: 666f 726d 730a 6966 205b 2021 202d 6620 forms.if [ ! -f │ │ │ │ +000e69e0: 2f2e 646f 636b 6572 656e 7620 5d20 2661 /.dockerenv ] &a │ │ │ │ +000e69f0: 6d70 3b26 616d 703b 205b 2021 202d 6620 mp;& [ ! -f │ │ │ │ +000e6a00: 2f72 756e 2f2e 636f 6e74 6169 6e65 7265 /run/.containere │ │ │ │ +000e6a10: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ +000e6a20: 6470 6b67 2d71 7565 7279 202d 2d73 686f dpkg-query --sho │ │ │ │ +000e6a30: 7720 2d2d 7368 6f77 666f 726d 6174 3d27 w --showformat=' │ │ │ │ +000e6a40: 247b 6462 3a53 7461 7475 732d 5374 6174 ${db:Status-Stat │ │ │ │ +000e6a50: 7573 7d5c 6e27 2027 6175 6469 7464 2720 us}\n' 'auditd' │ │ │ │ +000e6a60: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c 2>/dev/null | │ │ │ │ +000e6a70: 2067 7265 7020 2d71 2069 6e73 7461 6c6c grep -q install │ │ │ │ +000e6a80: 6564 3b20 7468 656e 0a0a 2320 4669 7273 ed; then..# Firs │ │ │ │ 000e6a90: 7420 7065 7266 6f72 6d20 7468 6520 7265 t perform the re │ │ │ │ 000e6aa0: 6d65 6469 6174 696f 6e20 6f66 2074 6865 mediation of the │ │ │ │ 000e6ab0: 2073 7973 6361 6c6c 2072 756c 650a 2320 syscall rule.# │ │ │ │ 000e6ac0: 5265 7472 6965 7665 2068 6172 6477 6172 Retrieve hardwar │ │ │ │ 000e6ad0: 6520 6172 6368 6974 6563 7475 7265 206f e architecture o │ │ │ │ 000e6ae0: 6620 7468 6520 756e 6465 726c 7969 6e67 f the underlying │ │ │ │ 000e6af0: 2073 7973 7465 6d0a 5b20 2224 2867 6574 system.[ "$(get │ │ │ │ @@ -61681,22 +61681,22 @@ │ │ │ │ 000f0f00: 7265 7374 7269 6374 5f73 7472 6174 6567 restrict_strateg │ │ │ │ 000f0f10: 790a 0a2d 206e 616d 653a 2053 6574 2061 y..- name: Set a │ │ │ │ 000f0f20: 7263 6869 7465 6374 7572 6520 666f 7220 rchitecture for │ │ │ │ 000f0f30: 6175 6469 7420 6673 6574 7861 7474 7220 audit fsetxattr │ │ │ │ 000f0f40: 7461 736b 730a 2020 7365 745f 6661 6374 tasks. set_fact │ │ │ │ 000f0f50: 3a0a 2020 2020 6175 6469 745f 6172 6368 :. audit_arch │ │ │ │ 000f0f60: 3a20 6236 340a 2020 7768 656e 3a0a 2020 : b64. when:. │ │ │ │ -000f0f70: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ -000f0f80: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ -000f0f90: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ -000f0fa0: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ -000f0fb0: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ -000f0fc0: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ -000f0fd0: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ -000f0fe0: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +000f0f70: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ +000f0f80: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ +000f0f90: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ +000f0fa0: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ +000f0fb0: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ +000f0fc0: 6169 6e65 7222 5d0a 2020 2d20 2722 6175 ainer"]. - '"au │ │ │ │ +000f0fd0: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ +000f0fe0: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ 000f0ff0: 0a20 202d 2061 6e73 6962 6c65 5f61 7263 . - ansible_arc │ │ │ │ 000f1000: 6869 7465 6374 7572 6520 3d3d 2022 6161 hitecture == "aa │ │ │ │ 000f1010: 7263 6836 3422 206f 7220 616e 7369 626c rch64" or ansibl │ │ │ │ 000f1020: 655f 6172 6368 6974 6563 7475 7265 203d e_architecture = │ │ │ │ 000f1030: 3d20 2270 7063 3634 2220 6f72 2061 6e73 = "ppc64" or ans │ │ │ │ 000f1040: 6962 6c65 5f61 7263 6869 7465 6374 7572 ible_architectur │ │ │ │ 000f1050: 650a 2020 2020 3d3d 2022 7070 6336 346c e. == "ppc64l │ │ │ │ @@ -62293,23 +62293,23 @@ │ │ │ │ 000f3540: 726d 5f6d 6f64 0a20 2020 2020 2063 7265 rm_mod. cre │ │ │ │ 000f3550: 6174 653a 2074 7275 650a 2020 2020 2020 ate: true. │ │ │ │ 000f3560: 6d6f 6465 3a20 6f2d 7277 780a 2020 2020 mode: o-rwx. │ │ │ │ 000f3570: 2020 7374 6174 653a 2070 7265 7365 6e74 state: present │ │ │ │ 000f3580: 0a20 2020 2077 6865 6e3a 2073 7973 6361 . when: sysca │ │ │ │ 000f3590: 6c6c 735f 666f 756e 6420 7c20 6c65 6e67 lls_found | leng │ │ │ │ 000f35a0: 7468 203d 3d20 300a 2020 7768 656e 3a0a th == 0. when:. │ │ │ │ -000f35b0: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ -000f35c0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -000f35d0: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ -000f35e0: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ -000f35f0: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ -000f3600: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ -000f3610: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ -000f3620: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ -000f3630: 225d 0a20 2074 6167 733a 0a20 202d 2043 "]. tags:. - C │ │ │ │ +000f35b0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ +000f35c0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ +000f35d0: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ +000f35e0: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ +000f35f0: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ +000f3600: 6e74 6169 6e65 7222 5d0a 2020 2d20 2722 ntainer"]. - '" │ │ │ │ +000f3610: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ +000f3620: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ +000f3630: 7327 0a20 2074 6167 733a 0a20 202d 2043 s'. tags:. - C │ │ │ │ 000f3640: 4a49 532d 352e 342e 312e 310a 2020 2d20 JIS-5.4.1.1. - │ │ │ │ 000f3650: 4449 5341 2d53 5449 472d 5542 5455 2d32 DISA-STIG-UBTU-2 │ │ │ │ 000f3660: 302d 3031 3031 3434 0a20 202d 204e 4953 0-010144. - NIS │ │ │ │ 000f3670: 542d 3830 302d 3137 312d 332e 312e 370a T-800-171-3.1.7. │ │ │ │ 000f3680: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ 000f3690: 4155 2d31 3228 6329 0a20 202d 204e 4953 AU-12(c). - NIS │ │ │ │ 000f36a0: 542d 3830 302d 3533 2d41 552d 3228 6429 T-800-53-AU-2(d) │ │ │ │ @@ -62893,23 +62893,23 @@ │ │ │ │ 000f5ac0: 2020 206b 6579 3d70 6572 6d5f 6d6f 640a key=perm_mod. │ │ │ │ 000f5ad0: 2020 2020 2020 6372 6561 7465 3a20 7472 create: tr │ │ │ │ 000f5ae0: 7565 0a20 2020 2020 206d 6f64 653a 206f ue. mode: o │ │ │ │ 000f5af0: 2d72 7778 0a20 2020 2020 2073 7461 7465 -rwx. state │ │ │ │ 000f5b00: 3a20 7072 6573 656e 740a 2020 2020 7768 : present. wh │ │ │ │ 000f5b10: 656e 3a20 7379 7363 616c 6c73 5f66 6f75 en: syscalls_fou │ │ │ │ 000f5b20: 6e64 207c 206c 656e 6774 6820 3d3d 2030 nd | length == 0 │ │ │ │ -000f5b30: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -000f5b40: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -000f5b50: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -000f5b60: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -000f5b70: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -000f5b80: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -000f5b90: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -000f5ba0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -000f5bb0: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +000f5b30: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +000f5b40: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +000f5b50: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +000f5b60: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +000f5b70: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +000f5b80: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +000f5b90: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +000f5ba0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +000f5bb0: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ 000f5bc0: 6175 6469 745f 6172 6368 203d 3d20 2262 audit_arch == "b │ │ │ │ 000f5bd0: 3634 220a 2020 7461 6773 3a0a 2020 2d20 64". tags:. - │ │ │ │ 000f5be0: 434a 4953 2d35 2e34 2e31 2e31 0a20 202d CJIS-5.4.1.1. - │ │ │ │ 000f5bf0: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 000f5c00: 3230 2d30 3130 3134 340a 2020 2d20 4e49 20-010144. - NI │ │ │ │ 000f5c10: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 000f5c20: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ @@ -62943,26 +62943,26 @@ │ │ │ │ 000f5de0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173 /a>
< │ │ │ │ 000f5e20: 636f 6465 3e23 2052 656d 6564 6961 7469 code># Remediati │ │ │ │ 000f5e30: 6f6e 2069 7320 6170 706c 6963 6162 6c65 on is applicable │ │ │ │ 000f5e40: 206f 6e6c 7920 696e 2063 6572 7461 696e only in certain │ │ │ │ -000f5e50: 2070 6c61 7466 6f72 6d73 0a69 6620 6470 platforms.if dp │ │ │ │ -000f5e60: 6b67 2d71 7565 7279 202d 2d73 686f 7720 kg-query --show │ │ │ │ -000f5e70: 2d2d 7368 6f77 666f 726d 6174 3d27 247b --showformat='${ │ │ │ │ -000f5e80: 6462 3a53 7461 7475 732d 5374 6174 7573 db:Status-Status │ │ │ │ -000f5e90: 7d5c 6e27 2027 6175 6469 7464 2720 3226 }\n' 'auditd' 2& │ │ │ │ -000f5ea0: 6774 3b2f 6465 762f 6e75 6c6c 207c 2067 gt;/dev/null | g │ │ │ │ -000f5eb0: 7265 7020 2d71 2069 6e73 7461 6c6c 6564 rep -q installed │ │ │ │ -000f5ec0: 2026 616d 703b 2661 6d70 3b20 5b20 2120 && [ ! │ │ │ │ -000f5ed0: 2d66 202f 2e64 6f63 6b65 7265 6e76 205d -f /.dockerenv ] │ │ │ │ -000f5ee0: 2026 616d 703b 2661 6d70 3b20 5b20 2120 && [ ! │ │ │ │ -000f5ef0: 2d66 202f 7275 6e2f 2e63 6f6e 7461 696e -f /run/.contain │ │ │ │ -000f5f00: 6572 656e 7620 5d3b 2074 6865 6e0a 0a23 erenv ]; then..# │ │ │ │ +000f5e50: 2070 6c61 7466 6f72 6d73 0a69 6620 5b20 platforms.if [ │ │ │ │ +000f5e60: 2120 2d66 202f 2e64 6f63 6b65 7265 6e76 ! -f /.dockerenv │ │ │ │ +000f5e70: 205d 2026 616d 703b 2661 6d70 3b20 5b20 ] && [ │ │ │ │ +000f5e80: 2120 2d66 202f 7275 6e2f 2e63 6f6e 7461 ! -f /run/.conta │ │ │ │ +000f5e90: 696e 6572 656e 7620 5d20 2661 6d70 3b26 inerenv ] && │ │ │ │ +000f5ea0: 616d 703b 2064 706b 672d 7175 6572 7920 amp; dpkg-query │ │ │ │ +000f5eb0: 2d2d 7368 6f77 202d 2d73 686f 7766 6f72 --show --showfor │ │ │ │ +000f5ec0: 6d61 743d 2724 7b64 623a 5374 6174 7573 mat='${db:Status │ │ │ │ +000f5ed0: 2d53 7461 7475 737d 5c6e 2720 2761 7564 -Status}\n' 'aud │ │ │ │ +000f5ee0: 6974 6427 2032 2667 743b 2f64 6576 2f6e itd' 2>/dev/n │ │ │ │ +000f5ef0: 756c 6c20 7c20 6772 6570 202d 7120 696e ull | grep -q in │ │ │ │ +000f5f00: 7374 616c 6c65 643b 2074 6865 6e0a 0a23 stalled; then..# │ │ │ │ 000f5f10: 2046 6972 7374 2070 6572 666f 726d 2074 First perform t │ │ │ │ 000f5f20: 6865 2072 656d 6564 6961 7469 6f6e 206f he remediation o │ │ │ │ 000f5f30: 6620 7468 6520 7379 7363 616c 6c20 7275 f the syscall ru │ │ │ │ 000f5f40: 6c65 0a23 2052 6574 7269 6576 6520 6861 le.# Retrieve ha │ │ │ │ 000f5f50: 7264 7761 7265 2061 7263 6869 7465 6374 rdware architect │ │ │ │ 000f5f60: 7572 6520 6f66 2074 6865 2075 6e64 6572 ure of the under │ │ │ │ 000f5f70: 6c79 696e 6720 7379 7374 656d 0a5b 2022 lying system.[ " │ │ │ │ @@ -65573,23 +65573,23 @@ │ │ │ │ 00100240: 6571 7569 7265 640a 2020 2d20 7265 7374 equired. - rest │ │ │ │ 00100250: 7269 6374 5f73 7472 6174 6567 790a 0a2d rict_strategy..- │ │ │ │ 00100260: 206e 616d 653a 2053 6574 2061 7263 6869 name: Set archi │ │ │ │ 00100270: 7465 6374 7572 6520 666f 7220 6175 6469 tecture for audi │ │ │ │ 00100280: 7420 6c63 686f 776e 2074 6173 6b73 0a20 t lchown tasks. │ │ │ │ 00100290: 2073 6574 5f66 6163 743a 0a20 2020 2061 set_fact:. a │ │ │ │ 001002a0: 7564 6974 5f61 7263 683a 2062 3634 0a20 udit_arch: b64. │ │ │ │ -001002b0: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -001002c0: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -001002d0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -001002e0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -001002f0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -00100300: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -00100310: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -00100320: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -00100330: 6e74 6169 6e65 7222 5d0a 2020 2d20 616e ntainer"]. - an │ │ │ │ +001002b0: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +001002c0: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +001002d0: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +001002e0: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +001002f0: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +00100300: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +00100310: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +00100320: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +00100330: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ 00100340: 7369 626c 655f 6172 6368 6974 6563 7475 sible_architectu │ │ │ │ 00100350: 7265 203d 3d20 2261 6172 6368 3634 2220 re == "aarch64" │ │ │ │ 00100360: 6f72 2061 6e73 6962 6c65 5f61 7263 6869 or ansible_archi │ │ │ │ 00100370: 7465 6374 7572 6520 3d3d 2022 7070 6336 tecture == "ppc6 │ │ │ │ 00100380: 3422 206f 7220 616e 7369 626c 655f 6172 4" or ansible_ar │ │ │ │ 00100390: 6368 6974 6563 7475 7265 0a20 2020 203d chitecture. = │ │ │ │ 001003a0: 3d20 2270 7063 3634 6c65 2220 6f72 2061 = "ppc64le" or a │ │ │ │ @@ -65899,23 +65899,23 @@ │ │ │ │ 001016a0: 6d5f 6d6f 640a 2020 2020 2020 6372 6561 m_mod. crea │ │ │ │ 001016b0: 7465 3a20 7472 7565 0a20 2020 2020 206d te: true. m │ │ │ │ 001016c0: 6f64 653a 206f 2d72 7778 0a20 2020 2020 ode: o-rwx. │ │ │ │ 001016d0: 2073 7461 7465 3a20 7072 6573 656e 740a state: present. │ │ │ │ 001016e0: 2020 2020 7768 656e 3a20 7379 7363 616c when: syscal │ │ │ │ 001016f0: 6c73 5f66 6f75 6e64 207c 206c 656e 6774 ls_found | lengt │ │ │ │ 00101700: 6820 3d3d 2030 0a20 2077 6865 6e3a 0a20 h == 0. when:. │ │ │ │ -00101710: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ -00101720: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ -00101730: 636b 6167 6573 270a 2020 2d20 616e 7369 ckages'. - ansi │ │ │ │ -00101740: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ -00101750: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ -00101760: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ -00101770: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ -00101780: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ -00101790: 5d0a 2020 7461 6773 3a0a 2020 2d20 434a ]. tags:. - CJ │ │ │ │ +00101710: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ +00101720: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ +00101730: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ +00101740: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ +00101750: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ +00101760: 7461 696e 6572 225d 0a20 202d 2027 2261 tainer"]. - '"a │ │ │ │ +00101770: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ +00101780: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ +00101790: 270a 2020 7461 6773 3a0a 2020 2d20 434a '. tags:. - CJ │ │ │ │ 001017a0: 4953 2d35 2e34 2e31 2e31 0a20 202d 2044 IS-5.4.1.1. - D │ │ │ │ 001017b0: 4953 412d 5354 4947 2d55 4254 552d 3230 ISA-STIG-UBTU-20 │ │ │ │ 001017c0: 2d30 3130 3135 310a 2020 2d20 4e49 5354 -010151. - NIST │ │ │ │ 001017d0: 2d38 3030 2d31 3731 2d33 2e31 2e37 0a20 -800-171-3.1.7. │ │ │ │ 001017e0: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ 001017f0: 552d 3132 2863 290a 2020 2d20 4e49 5354 U-12(c). - NIST │ │ │ │ 00101800: 2d38 3030 2d35 332d 4155 2d32 2864 290a -800-53-AU-2(d). │ │ │ │ @@ -66213,22 +66213,22 @@ │ │ │ │ 00102a40: 5f6d 6f64 0a20 2020 2020 2063 7265 6174 _mod. creat │ │ │ │ 00102a50: 653a 2074 7275 650a 2020 2020 2020 6d6f e: true. mo │ │ │ │ 00102a60: 6465 3a20 6f2d 7277 780a 2020 2020 2020 de: o-rwx. │ │ │ │ 00102a70: 7374 6174 653a 2070 7265 7365 6e74 0a20 state: present. │ │ │ │ 00102a80: 2020 2077 6865 6e3a 2073 7973 6361 6c6c when: syscall │ │ │ │ 00102a90: 735f 666f 756e 6420 7c20 6c65 6e67 7468 s_found | length │ │ │ │ 00102aa0: 203d 3d20 300a 2020 7768 656e 3a0a 2020 == 0. when:. │ │ │ │ -00102ab0: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ -00102ac0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ -00102ad0: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ -00102ae0: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ -00102af0: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ -00102b00: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ -00102b10: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ -00102b20: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +00102ab0: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ +00102ac0: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ +00102ad0: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ +00102ae0: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ +00102af0: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ +00102b00: 6169 6e65 7222 5d0a 2020 2d20 2722 6175 ainer"]. - '"au │ │ │ │ +00102b10: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ +00102b20: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ 00102b30: 0a20 202d 2061 7564 6974 5f61 7263 6820 . - audit_arch │ │ │ │ 00102b40: 3d3d 2022 6236 3422 0a20 2074 6167 733a == "b64". tags: │ │ │ │ 00102b50: 0a20 202d 2043 4a49 532d 352e 342e 312e . - CJIS-5.4.1. │ │ │ │ 00102b60: 310a 2020 2d20 4449 5341 2d53 5449 472d 1. - DISA-STIG- │ │ │ │ 00102b70: 5542 5455 2d32 302d 3031 3031 3531 0a20 UBTU-20-010151. │ │ │ │ 00102b80: 202d 204e 4953 542d 3830 302d 3137 312d - NIST-800-171- │ │ │ │ 00102b90: 332e 312e 370a 2020 2d20 4e49 5354 2d38 3.1.7. - NIST-8 │ │ │ │ @@ -66263,25 +66263,25 @@ │ │ │ │ 00102d60: 6173 733d 2270 616e 656c 2d63 6f6c 6c61 ass="panel-colla │ │ │ │ 00102d70: 7073 6520 636f 6c6c 6170 7365 2220 6964 pse collapse" id │ │ │ │ 00102d80: 3d22 6964 6d31 3339 3532 223e 3c70 7265 ="idm13952"># Remedia │ │ │ │ 00102da0: 7469 6f6e 2069 7320 6170 706c 6963 6162 tion is applicab │ │ │ │ 00102db0: 6c65 206f 6e6c 7920 696e 2063 6572 7461 le only in certa │ │ │ │ 00102dc0: 696e 2070 6c61 7466 6f72 6d73 0a69 6620 in platforms.if │ │ │ │ -00102dd0: 6470 6b67 2d71 7565 7279 202d 2d73 686f dpkg-query --sho │ │ │ │ -00102de0: 7720 2d2d 7368 6f77 666f 726d 6174 3d27 w --showformat=' │ │ │ │ -00102df0: 247b 6462 3a53 7461 7475 732d 5374 6174 ${db:Status-Stat │ │ │ │ -00102e00: 7573 7d5c 6e27 2027 6175 6469 7464 2720 us}\n' 'auditd' │ │ │ │ -00102e10: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c 2>/dev/null | │ │ │ │ -00102e20: 2067 7265 7020 2d71 2069 6e73 7461 6c6c grep -q install │ │ │ │ -00102e30: 6564 2026 616d 703b 2661 6d70 3b20 5b20 ed && [ │ │ │ │ -00102e40: 2120 2d66 202f 2e64 6f63 6b65 7265 6e76 ! -f /.dockerenv │ │ │ │ -00102e50: 205d 2026 616d 703b 2661 6d70 3b20 5b20 ] && [ │ │ │ │ -00102e60: 2120 2d66 202f 7275 6e2f 2e63 6f6e 7461 ! -f /run/.conta │ │ │ │ -00102e70: 696e 6572 656e 7620 5d3b 2074 6865 6e0a inerenv ]; then. │ │ │ │ +00102dd0: 5b20 2120 2d66 202f 2e64 6f63 6b65 7265 [ ! -f /.dockere │ │ │ │ +00102de0: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ +00102df0: 5b20 2120 2d66 202f 7275 6e2f 2e63 6f6e [ ! -f /run/.con │ │ │ │ +00102e00: 7461 696e 6572 656e 7620 5d20 2661 6d70 tainerenv ] & │ │ │ │ +00102e10: 3b26 616d 703b 2064 706b 672d 7175 6572 ;& dpkg-quer │ │ │ │ +00102e20: 7920 2d2d 7368 6f77 202d 2d73 686f 7766 y --show --showf │ │ │ │ +00102e30: 6f72 6d61 743d 2724 7b64 623a 5374 6174 ormat='${db:Stat │ │ │ │ +00102e40: 7573 2d53 7461 7475 737d 5c6e 2720 2761 us-Status}\n' 'a │ │ │ │ +00102e50: 7564 6974 6427 2032 2667 743b 2f64 6576 uditd' 2>/dev │ │ │ │ +00102e60: 2f6e 756c 6c20 7c20 6772 6570 202d 7120 /null | grep -q │ │ │ │ +00102e70: 696e 7374 616c 6c65 643b 2074 6865 6e0a installed; then. │ │ │ │ 00102e80: 0a23 2046 6972 7374 2070 6572 666f 726d .# First perform │ │ │ │ 00102e90: 2074 6865 2072 656d 6564 6961 7469 6f6e the remediation │ │ │ │ 00102ea0: 206f 6620 7468 6520 7379 7363 616c 6c20 of the syscall │ │ │ │ 00102eb0: 7275 6c65 0a23 2052 6574 7269 6576 6520 rule.# Retrieve │ │ │ │ 00102ec0: 6861 7264 7761 7265 2061 7263 6869 7465 hardware archite │ │ │ │ 00102ed0: 6374 7572 6520 6f66 2074 6865 2075 6e64 cture of the und │ │ │ │ 00102ee0: 6572 6c79 696e 6720 7379 7374 656d 0a5b erlying system.[ │ │ │ │ @@ -68100,23 +68100,23 @@ │ │ │ │ 0010a030: 7265 7374 7269 6374 5f73 7472 6174 6567 restrict_strateg │ │ │ │ 0010a040: 790a 0a2d 206e 616d 653a 2053 6574 2061 y..- name: Set a │ │ │ │ 0010a050: 7263 6869 7465 6374 7572 6520 666f 7220 rchitecture for │ │ │ │ 0010a060: 6175 6469 7420 6c72 656d 6f76 6578 6174 audit lremovexat │ │ │ │ 0010a070: 7472 2074 6173 6b73 0a20 2073 6574 5f66 tr tasks. set_f │ │ │ │ 0010a080: 6163 743a 0a20 2020 2061 7564 6974 5f61 act:. audit_a │ │ │ │ 0010a090: 7263 683a 2062 3634 0a20 2077 6865 6e3a rch: b64. when: │ │ │ │ -0010a0a0: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -0010a0b0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -0010a0c0: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -0010a0d0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -0010a0e0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -0010a0f0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -0010a100: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -0010a110: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -0010a120: 7222 5d0a 2020 2d20 616e 7369 626c 655f r"]. - ansible_ │ │ │ │ +0010a0a0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +0010a0b0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +0010a0c0: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +0010a0d0: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +0010a0e0: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +0010a0f0: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +0010a100: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +0010a110: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +0010a120: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ 0010a130: 6172 6368 6974 6563 7475 7265 203d 3d20 architecture == │ │ │ │ 0010a140: 2261 6172 6368 3634 2220 6f72 2061 6e73 "aarch64" or ans │ │ │ │ 0010a150: 6962 6c65 5f61 7263 6869 7465 6374 7572 ible_architectur │ │ │ │ 0010a160: 6520 3d3d 2022 7070 6336 3422 206f 7220 e == "ppc64" or │ │ │ │ 0010a170: 616e 7369 626c 655f 6172 6368 6974 6563 ansible_architec │ │ │ │ 0010a180: 7475 7265 0a20 2020 203d 3d20 2270 7063 ture. == "ppc │ │ │ │ 0010a190: 3634 6c65 2220 6f72 2061 6e73 6962 6c65 64le" or ansible │ │ │ │ @@ -68714,23 +68714,23 @@ │ │ │ │ 0010c690: 6572 6d5f 6d6f 640a 2020 2020 2020 6372 erm_mod. cr │ │ │ │ 0010c6a0: 6561 7465 3a20 7472 7565 0a20 2020 2020 eate: true. │ │ │ │ 0010c6b0: 206d 6f64 653a 206f 2d72 7778 0a20 2020 mode: o-rwx. │ │ │ │ 0010c6c0: 2020 2073 7461 7465 3a20 7072 6573 656e state: presen │ │ │ │ 0010c6d0: 740a 2020 2020 7768 656e 3a20 7379 7363 t. when: sysc │ │ │ │ 0010c6e0: 616c 6c73 5f66 6f75 6e64 207c 206c 656e alls_found | len │ │ │ │ 0010c6f0: 6774 6820 3d3d 2030 0a20 2077 6865 6e3a gth == 0. when: │ │ │ │ -0010c700: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -0010c710: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -0010c720: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -0010c730: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -0010c740: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -0010c750: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -0010c760: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -0010c770: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -0010c780: 7222 5d0a 2020 7461 6773 3a0a 2020 2d20 r"]. tags:. - │ │ │ │ +0010c700: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +0010c710: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +0010c720: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +0010c730: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +0010c740: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +0010c750: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +0010c760: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +0010c770: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +0010c780: 6573 270a 2020 7461 6773 3a0a 2020 2d20 es'. tags:. - │ │ │ │ 0010c790: 434a 4953 2d35 2e34 2e31 2e31 0a20 202d CJIS-5.4.1.1. - │ │ │ │ 0010c7a0: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 0010c7b0: 3230 2d30 3130 3134 360a 2020 2d20 4e49 20-010146. - NI │ │ │ │ 0010c7c0: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 0010c7d0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 0010c7e0: 2d41 552d 3132 2863 290a 2020 2d20 4e49 -AU-12(c). - NI │ │ │ │ 0010c7f0: 5354 2d38 3030 2d35 332d 4155 2d32 2864 ST-800-53-AU-2(d │ │ │ │ @@ -69316,23 +69316,23 @@ │ │ │ │ 0010ec30: 2020 6b65 793d 7065 726d 5f6d 6f64 0a20 key=perm_mod. │ │ │ │ 0010ec40: 2020 2020 2063 7265 6174 653a 2074 7275 create: tru │ │ │ │ 0010ec50: 650a 2020 2020 2020 6d6f 6465 3a20 6f2d e. mode: o- │ │ │ │ 0010ec60: 7277 780a 2020 2020 2020 7374 6174 653a rwx. state: │ │ │ │ 0010ec70: 2070 7265 7365 6e74 0a20 2020 2077 6865 present. whe │ │ │ │ 0010ec80: 6e3a 2073 7973 6361 6c6c 735f 666f 756e n: syscalls_foun │ │ │ │ 0010ec90: 6420 7c20 6c65 6e67 7468 203d 3d20 300a d | length == 0. │ │ │ │ -0010eca0: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -0010ecb0: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -0010ecc0: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -0010ecd0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -0010ece0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -0010ecf0: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -0010ed00: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -0010ed10: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -0010ed20: 6f6e 7461 696e 6572 225d 0a20 202d 2061 ontainer"]. - a │ │ │ │ +0010eca0: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +0010ecb0: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +0010ecc0: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +0010ecd0: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +0010ece0: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +0010ecf0: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +0010ed00: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +0010ed10: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +0010ed20: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ 0010ed30: 7564 6974 5f61 7263 6820 3d3d 2022 6236 udit_arch == "b6 │ │ │ │ 0010ed40: 3422 0a20 2074 6167 733a 0a20 202d 2043 4". tags:. - C │ │ │ │ 0010ed50: 4a49 532d 352e 342e 312e 310a 2020 2d20 JIS-5.4.1.1. - │ │ │ │ 0010ed60: 4449 5341 2d53 5449 472d 5542 5455 2d32 DISA-STIG-UBTU-2 │ │ │ │ 0010ed70: 302d 3031 3031 3436 0a20 202d 204e 4953 0-010146. - NIS │ │ │ │ 0010ed80: 542d 3830 302d 3137 312d 332e 312e 370a T-800-171-3.1.7. │ │ │ │ 0010ed90: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ @@ -69367,25 +69367,25 @@ │ │ │ │ 0010ef60: 6173 733d 2270 616e 656c 2d63 6f6c 6c61 ass="panel-colla │ │ │ │ 0010ef70: 7073 6520 636f 6c6c 6170 7365 2220 6964 pse collapse" id │ │ │ │ 0010ef80: 3d22 6964 6d31 3431 3139 223e 3c70 7265 ="idm14119">
# Remedia │ │ │ │ 0010efa0: 7469 6f6e 2069 7320 6170 706c 6963 6162 tion is applicab │ │ │ │ 0010efb0: 6c65 206f 6e6c 7920 696e 2063 6572 7461 le only in certa │ │ │ │ 0010efc0: 696e 2070 6c61 7466 6f72 6d73 0a69 6620 in platforms.if │ │ │ │ -0010efd0: 6470 6b67 2d71 7565 7279 202d 2d73 686f dpkg-query --sho │ │ │ │ -0010efe0: 7720 2d2d 7368 6f77 666f 726d 6174 3d27 w --showformat=' │ │ │ │ -0010eff0: 247b 6462 3a53 7461 7475 732d 5374 6174 ${db:Status-Stat │ │ │ │ -0010f000: 7573 7d5c 6e27 2027 6175 6469 7464 2720 us}\n' 'auditd' │ │ │ │ -0010f010: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c 2>/dev/null | │ │ │ │ -0010f020: 2067 7265 7020 2d71 2069 6e73 7461 6c6c grep -q install │ │ │ │ -0010f030: 6564 2026 616d 703b 2661 6d70 3b20 5b20 ed && [ │ │ │ │ -0010f040: 2120 2d66 202f 2e64 6f63 6b65 7265 6e76 ! -f /.dockerenv │ │ │ │ -0010f050: 205d 2026 616d 703b 2661 6d70 3b20 5b20 ] && [ │ │ │ │ -0010f060: 2120 2d66 202f 7275 6e2f 2e63 6f6e 7461 ! -f /run/.conta │ │ │ │ -0010f070: 696e 6572 656e 7620 5d3b 2074 6865 6e0a inerenv ]; then. │ │ │ │ +0010efd0: 5b20 2120 2d66 202f 2e64 6f63 6b65 7265 [ ! -f /.dockere │ │ │ │ +0010efe0: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ +0010eff0: 5b20 2120 2d66 202f 7275 6e2f 2e63 6f6e [ ! -f /run/.con │ │ │ │ +0010f000: 7461 696e 6572 656e 7620 5d20 2661 6d70 tainerenv ] & │ │ │ │ +0010f010: 3b26 616d 703b 2064 706b 672d 7175 6572 ;& dpkg-quer │ │ │ │ +0010f020: 7920 2d2d 7368 6f77 202d 2d73 686f 7766 y --show --showf │ │ │ │ +0010f030: 6f72 6d61 743d 2724 7b64 623a 5374 6174 ormat='${db:Stat │ │ │ │ +0010f040: 7573 2d53 7461 7475 737d 5c6e 2720 2761 us-Status}\n' 'a │ │ │ │ +0010f050: 7564 6974 6427 2032 2667 743b 2f64 6576 uditd' 2>/dev │ │ │ │ +0010f060: 2f6e 756c 6c20 7c20 6772 6570 202d 7120 /null | grep -q │ │ │ │ +0010f070: 696e 7374 616c 6c65 643b 2074 6865 6e0a installed; then. │ │ │ │ 0010f080: 0a23 2046 6972 7374 2070 6572 666f 726d .# First perform │ │ │ │ 0010f090: 2074 6865 2072 656d 6564 6961 7469 6f6e the remediation │ │ │ │ 0010f0a0: 206f 6620 7468 6520 7379 7363 616c 6c20 of the syscall │ │ │ │ 0010f0b0: 7275 6c65 0a23 2052 6574 7269 6576 6520 rule.# Retrieve │ │ │ │ 0010f0c0: 6861 7264 7761 7265 2061 7263 6869 7465 hardware archite │ │ │ │ 0010f0d0: 6374 7572 6520 6f66 2074 6865 2075 6e64 cture of the und │ │ │ │ 0010f0e0: 6572 6c79 696e 6720 7379 7374 656d 0a5b erlying system.[ │ │ │ │ @@ -72016,23 +72016,23 @@ │ │ │ │ 001194f0: 6564 0a20 202d 2072 6573 7472 6963 745f ed. - restrict_ │ │ │ │ 00119500: 7374 7261 7465 6779 0a0a 2d20 6e61 6d65 strategy..- name │ │ │ │ 00119510: 3a20 5365 7420 6172 6368 6974 6563 7475 : Set architectu │ │ │ │ 00119520: 7265 2066 6f72 2061 7564 6974 206c 7365 re for audit lse │ │ │ │ 00119530: 7478 6174 7472 2074 6173 6b73 0a20 2073 txattr tasks. s │ │ │ │ 00119540: 6574 5f66 6163 743a 0a20 2020 2061 7564 et_fact:. aud │ │ │ │ 00119550: 6974 5f61 7263 683a 2062 3634 0a20 2077 it_arch: b64. w │ │ │ │ -00119560: 6865 6e3a 0a20 202d 2027 2261 7564 6974 hen:. - '"audit │ │ │ │ -00119570: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ -00119580: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ -00119590: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ -001195a0: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ -001195b0: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ -001195c0: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ -001195d0: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ -001195e0: 6169 6e65 7222 5d0a 2020 2d20 616e 7369 ainer"]. - ansi │ │ │ │ +00119560: 6865 6e3a 0a20 202d 2061 6e73 6962 6c65 hen:. - ansible │ │ │ │ +00119570: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ +00119580: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ +00119590: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ +001195a0: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ +001195b0: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +001195c0: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ +001195d0: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ +001195e0: 636b 6167 6573 270a 2020 2d20 616e 7369 ckages'. - ansi │ │ │ │ 001195f0: 626c 655f 6172 6368 6974 6563 7475 7265 ble_architecture │ │ │ │ 00119600: 203d 3d20 2261 6172 6368 3634 2220 6f72 == "aarch64" or │ │ │ │ 00119610: 2061 6e73 6962 6c65 5f61 7263 6869 7465 ansible_archite │ │ │ │ 00119620: 6374 7572 6520 3d3d 2022 7070 6336 3422 cture == "ppc64" │ │ │ │ 00119630: 206f 7220 616e 7369 626c 655f 6172 6368 or ansible_arch │ │ │ │ 00119640: 6974 6563 7475 7265 0a20 2020 203d 3d20 itecture. == │ │ │ │ 00119650: 2270 7063 3634 6c65 2220 6f72 2061 6e73 "ppc64le" or ans │ │ │ │ @@ -72628,23 +72628,23 @@ │ │ │ │ 0011bb30: 206b 6579 3d70 6572 6d5f 6d6f 640a 2020 key=perm_mod. │ │ │ │ 0011bb40: 2020 2020 6372 6561 7465 3a20 7472 7565 create: true │ │ │ │ 0011bb50: 0a20 2020 2020 206d 6f64 653a 206f 2d72 . mode: o-r │ │ │ │ 0011bb60: 7778 0a20 2020 2020 2073 7461 7465 3a20 wx. state: │ │ │ │ 0011bb70: 7072 6573 656e 740a 2020 2020 7768 656e present. when │ │ │ │ 0011bb80: 3a20 7379 7363 616c 6c73 5f66 6f75 6e64 : syscalls_found │ │ │ │ 0011bb90: 207c 206c 656e 6774 6820 3d3d 2030 0a20 | length == 0. │ │ │ │ -0011bba0: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -0011bbb0: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -0011bbc0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -0011bbd0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -0011bbe0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -0011bbf0: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -0011bc00: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -0011bc10: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -0011bc20: 6e74 6169 6e65 7222 5d0a 2020 7461 6773 ntainer"]. tags │ │ │ │ +0011bba0: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +0011bbb0: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +0011bbc0: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +0011bbd0: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +0011bbe0: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +0011bbf0: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +0011bc00: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +0011bc10: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +0011bc20: 7061 636b 6167 6573 270a 2020 7461 6773 packages'. tags │ │ │ │ 0011bc30: 3a0a 2020 2d20 434a 4953 2d35 2e34 2e31 :. - CJIS-5.4.1 │ │ │ │ 0011bc40: 2e31 0a20 202d 2044 4953 412d 5354 4947 .1. - DISA-STIG │ │ │ │ 0011bc50: 2d55 4254 552d 3230 2d30 3130 3134 330a -UBTU-20-010143. │ │ │ │ 0011bc60: 2020 2d20 4e49 5354 2d38 3030 2d31 3731 - NIST-800-171 │ │ │ │ 0011bc70: 2d33 2e31 2e37 0a20 202d 204e 4953 542d -3.1.7. - NIST- │ │ │ │ 0011bc80: 3830 302d 3533 2d41 552d 3132 2863 290a 800-53-AU-12(c). │ │ │ │ 0011bc90: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ @@ -73229,23 +73229,23 @@ │ │ │ │ 0011e0c0: 726d 5f6d 6f64 0a20 2020 2020 2063 7265 rm_mod. cre │ │ │ │ 0011e0d0: 6174 653a 2074 7275 650a 2020 2020 2020 ate: true. │ │ │ │ 0011e0e0: 6d6f 6465 3a20 6f2d 7277 780a 2020 2020 mode: o-rwx. │ │ │ │ 0011e0f0: 2020 7374 6174 653a 2070 7265 7365 6e74 state: present │ │ │ │ 0011e100: 0a20 2020 2077 6865 6e3a 2073 7973 6361 . when: sysca │ │ │ │ 0011e110: 6c6c 735f 666f 756e 6420 7c20 6c65 6e67 lls_found | leng │ │ │ │ 0011e120: 7468 203d 3d20 300a 2020 7768 656e 3a0a th == 0. when:. │ │ │ │ -0011e130: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ -0011e140: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -0011e150: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ -0011e160: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ -0011e170: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ -0011e180: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ -0011e190: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ -0011e1a0: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ -0011e1b0: 225d 0a20 202d 2061 7564 6974 5f61 7263 "]. - audit_arc │ │ │ │ +0011e130: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ +0011e140: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ +0011e150: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ +0011e160: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ +0011e170: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ +0011e180: 6e74 6169 6e65 7222 5d0a 2020 2d20 2722 ntainer"]. - '" │ │ │ │ +0011e190: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ +0011e1a0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ +0011e1b0: 7327 0a20 202d 2061 7564 6974 5f61 7263 s'. - audit_arc │ │ │ │ 0011e1c0: 6820 3d3d 2022 6236 3422 0a20 2074 6167 h == "b64". tag │ │ │ │ 0011e1d0: 733a 0a20 202d 2043 4a49 532d 352e 342e s:. - CJIS-5.4. │ │ │ │ 0011e1e0: 312e 310a 2020 2d20 4449 5341 2d53 5449 1.1. - DISA-STI │ │ │ │ 0011e1f0: 472d 5542 5455 2d32 302d 3031 3031 3433 G-UBTU-20-010143 │ │ │ │ 0011e200: 0a20 202d 204e 4953 542d 3830 302d 3137 . - NIST-800-17 │ │ │ │ 0011e210: 312d 332e 312e 370a 2020 2d20 4e49 5354 1-3.1.7. - NIST │ │ │ │ 0011e220: 2d38 3030 2d35 332d 4155 2d31 3228 6329 -800-53-AU-12(c) │ │ │ │ @@ -73279,25 +73279,25 @@ │ │ │ │ 0011e3e0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d iv class="panel- │ │ │ │ 0011e3f0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073 collapse collaps │ │ │ │ 0011e400: 6522 2069 643d 2269 646d 3134 3237 3922 e" id="idm14279" │ │ │ │ 0011e410: 3e3c 7072 653e 3c63 6f64 653e 2320 5265 >
# Re │ │ │ │ 0011e420: 6d65 6469 6174 696f 6e20 6973 2061 7070 mediation is app │ │ │ │ 0011e430: 6c69 6361 626c 6520 6f6e 6c79 2069 6e20 licable only in │ │ │ │ 0011e440: 6365 7274 6169 6e20 706c 6174 666f 726d certain platform │ │ │ │ -0011e450: 730a 6966 2064 706b 672d 7175 6572 7920 s.if dpkg-query │ │ │ │ -0011e460: 2d2d 7368 6f77 202d 2d73 686f 7766 6f72 --show --showfor │ │ │ │ -0011e470: 6d61 743d 2724 7b64 623a 5374 6174 7573 mat='${db:Status │ │ │ │ -0011e480: 2d53 7461 7475 737d 5c6e 2720 2761 7564 -Status}\n' 'aud │ │ │ │ -0011e490: 6974 6427 2032 2667 743b 2f64 6576 2f6e itd' 2>/dev/n │ │ │ │ -0011e4a0: 756c 6c20 7c20 6772 6570 202d 7120 696e ull | grep -q in │ │ │ │ -0011e4b0: 7374 616c 6c65 6420 2661 6d70 3b26 616d stalled &&am │ │ │ │ -0011e4c0: 703b 205b 2021 202d 6620 2f2e 646f 636b p; [ ! -f /.dock │ │ │ │ -0011e4d0: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ -0011e4e0: 703b 205b 2021 202d 6620 2f72 756e 2f2e p; [ ! -f /run/. │ │ │ │ -0011e4f0: 636f 6e74 6169 6e65 7265 6e76 205d 3b20 containerenv ]; │ │ │ │ +0011e450: 730a 6966 205b 2021 202d 6620 2f2e 646f s.if [ ! -f /.do │ │ │ │ +0011e460: 636b 6572 656e 7620 5d20 2661 6d70 3b26 ckerenv ] && │ │ │ │ +0011e470: 616d 703b 205b 2021 202d 6620 2f72 756e amp; [ ! -f /run │ │ │ │ +0011e480: 2f2e 636f 6e74 6169 6e65 7265 6e76 205d /.containerenv ] │ │ │ │ +0011e490: 2026 616d 703b 2661 6d70 3b20 6470 6b67 && dpkg │ │ │ │ +0011e4a0: 2d71 7565 7279 202d 2d73 686f 7720 2d2d -query --show -- │ │ │ │ +0011e4b0: 7368 6f77 666f 726d 6174 3d27 247b 6462 showformat='${db │ │ │ │ +0011e4c0: 3a53 7461 7475 732d 5374 6174 7573 7d5c :Status-Status}\ │ │ │ │ +0011e4d0: 6e27 2027 6175 6469 7464 2720 3226 6774 n' 'auditd' 2> │ │ │ │ +0011e4e0: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265 ;/dev/null | gre │ │ │ │ +0011e4f0: 7020 2d71 2069 6e73 7461 6c6c 6564 3b20 p -q installed; │ │ │ │ 0011e500: 7468 656e 0a0a 2320 4669 7273 7420 7065 then..# First pe │ │ │ │ 0011e510: 7266 6f72 6d20 7468 6520 7265 6d65 6469 rform the remedi │ │ │ │ 0011e520: 6174 696f 6e20 6f66 2074 6865 2073 7973 ation of the sys │ │ │ │ 0011e530: 6361 6c6c 2072 756c 650a 2320 5265 7472 call rule.# Retr │ │ │ │ 0011e540: 6965 7665 2068 6172 6477 6172 6520 6172 ieve hardware ar │ │ │ │ 0011e550: 6368 6974 6563 7475 7265 206f 6620 7468 chitecture of th │ │ │ │ 0011e560: 6520 756e 6465 726c 7969 6e67 2073 7973 e underlying sys │ │ │ │ @@ -75928,23 +75928,23 @@ │ │ │ │ 00128970: 2d20 7265 7374 7269 6374 5f73 7472 6174 - restrict_strat │ │ │ │ 00128980: 6567 790a 0a2d 206e 616d 653a 2053 6574 egy..- name: Set │ │ │ │ 00128990: 2061 7263 6869 7465 6374 7572 6520 666f architecture fo │ │ │ │ 001289a0: 7220 6175 6469 7420 7265 6d6f 7665 7861 r audit removexa │ │ │ │ 001289b0: 7474 7220 7461 736b 730a 2020 7365 745f ttr tasks. set_ │ │ │ │ 001289c0: 6661 6374 3a0a 2020 2020 6175 6469 745f fact:. audit_ │ │ │ │ 001289d0: 6172 6368 3a20 6236 340a 2020 7768 656e arch: b64. when │ │ │ │ -001289e0: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -001289f0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -00128a00: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -00128a10: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -00128a20: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -00128a30: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -00128a40: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -00128a50: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -00128a60: 6572 225d 0a20 202d 2061 6e73 6962 6c65 er"]. - ansible │ │ │ │ +001289e0: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +001289f0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +00128a00: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +00128a10: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +00128a20: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +00128a30: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +00128a40: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +00128a50: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +00128a60: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ 00128a70: 5f61 7263 6869 7465 6374 7572 6520 3d3d _architecture == │ │ │ │ 00128a80: 2022 6161 7263 6836 3422 206f 7220 616e "aarch64" or an │ │ │ │ 00128a90: 7369 626c 655f 6172 6368 6974 6563 7475 sible_architectu │ │ │ │ 00128aa0: 7265 203d 3d20 2270 7063 3634 2220 6f72 re == "ppc64" or │ │ │ │ 00128ab0: 2061 6e73 6962 6c65 5f61 7263 6869 7465 ansible_archite │ │ │ │ 00128ac0: 6374 7572 650a 2020 2020 3d3d 2022 7070 cture. == "pp │ │ │ │ 00128ad0: 6336 346c 6522 206f 7220 616e 7369 626c c64le" or ansibl │ │ │ │ @@ -76541,23 +76541,23 @@ │ │ │ │ 0012afc0: 2020 6b65 793d 7065 726d 5f6d 6f64 0a20 key=perm_mod. │ │ │ │ 0012afd0: 2020 2020 2063 7265 6174 653a 2074 7275 create: tru │ │ │ │ 0012afe0: 650a 2020 2020 2020 6d6f 6465 3a20 6f2d e. mode: o- │ │ │ │ 0012aff0: 7277 780a 2020 2020 2020 7374 6174 653a rwx. state: │ │ │ │ 0012b000: 2070 7265 7365 6e74 0a20 2020 2077 6865 present. whe │ │ │ │ 0012b010: 6e3a 2073 7973 6361 6c6c 735f 666f 756e n: syscalls_foun │ │ │ │ 0012b020: 6420 7c20 6c65 6e67 7468 203d 3d20 300a d | length == 0. │ │ │ │ -0012b030: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -0012b040: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -0012b050: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -0012b060: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -0012b070: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -0012b080: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -0012b090: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -0012b0a0: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -0012b0b0: 6f6e 7461 696e 6572 225d 0a20 2074 6167 ontainer"]. tag │ │ │ │ +0012b030: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +0012b040: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +0012b050: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +0012b060: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +0012b070: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +0012b080: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +0012b090: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +0012b0a0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +0012b0b0: 2e70 6163 6b61 6765 7327 0a20 2074 6167 .packages'. tag │ │ │ │ 0012b0c0: 733a 0a20 202d 2043 4a49 532d 352e 342e s:. - CJIS-5.4. │ │ │ │ 0012b0d0: 312e 310a 2020 2d20 4449 5341 2d53 5449 1.1. - DISA-STI │ │ │ │ 0012b0e0: 472d 5542 5455 2d32 302d 3031 3031 3435 G-UBTU-20-010145 │ │ │ │ 0012b0f0: 0a20 202d 204e 4953 542d 3830 302d 3137 . - NIST-800-17 │ │ │ │ 0012b100: 312d 332e 312e 370a 2020 2d20 4e49 5354 1-3.1.7. - NIST │ │ │ │ 0012b110: 2d38 3030 2d35 332d 4155 2d31 3228 6329 -800-53-AU-12(c) │ │ │ │ 0012b120: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ @@ -77143,23 +77143,23 @@ │ │ │ │ 0012d560: 6579 3d70 6572 6d5f 6d6f 640a 2020 2020 ey=perm_mod. │ │ │ │ 0012d570: 2020 6372 6561 7465 3a20 7472 7565 0a20 create: true. │ │ │ │ 0012d580: 2020 2020 206d 6f64 653a 206f 2d72 7778 mode: o-rwx │ │ │ │ 0012d590: 0a20 2020 2020 2073 7461 7465 3a20 7072 . state: pr │ │ │ │ 0012d5a0: 6573 656e 740a 2020 2020 7768 656e 3a20 esent. when: │ │ │ │ 0012d5b0: 7379 7363 616c 6c73 5f66 6f75 6e64 207c syscalls_found | │ │ │ │ 0012d5c0: 206c 656e 6774 6820 3d3d 2030 0a20 2077 length == 0. w │ │ │ │ -0012d5d0: 6865 6e3a 0a20 202d 2027 2261 7564 6974 hen:. - '"audit │ │ │ │ -0012d5e0: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ -0012d5f0: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ -0012d600: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ -0012d610: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ -0012d620: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ -0012d630: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ -0012d640: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ -0012d650: 6169 6e65 7222 5d0a 2020 2d20 6175 6469 ainer"]. - audi │ │ │ │ +0012d5d0: 6865 6e3a 0a20 202d 2061 6e73 6962 6c65 hen:. - ansible │ │ │ │ +0012d5e0: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ +0012d5f0: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ +0012d600: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ +0012d610: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ +0012d620: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +0012d630: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ +0012d640: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ +0012d650: 636b 6167 6573 270a 2020 2d20 6175 6469 ckages'. - audi │ │ │ │ 0012d660: 745f 6172 6368 203d 3d20 2262 3634 220a t_arch == "b64". │ │ │ │ 0012d670: 2020 7461 6773 3a0a 2020 2d20 434a 4953 tags:. - CJIS │ │ │ │ 0012d680: 2d35 2e34 2e31 2e31 0a20 202d 2044 4953 -5.4.1.1. - DIS │ │ │ │ 0012d690: 412d 5354 4947 2d55 4254 552d 3230 2d30 A-STIG-UBTU-20-0 │ │ │ │ 0012d6a0: 3130 3134 350a 2020 2d20 4e49 5354 2d38 10145. - NIST-8 │ │ │ │ 0012d6b0: 3030 2d31 3731 2d33 2e31 2e37 0a20 202d 00-171-3.1.7. - │ │ │ │ 0012d6c0: 204e 4953 542d 3830 302d 3533 2d41 552d NIST-800-53-AU- │ │ │ │ @@ -77193,26 +77193,26 @@ │ │ │ │ 0012d880: 3e3c 6272 3e3c 6469 7620 636c 6173 733d >
# Remediation │ │ │ │ 0012d8d0: 2069 7320 6170 706c 6963 6162 6c65 206f is applicable o │ │ │ │ 0012d8e0: 6e6c 7920 696e 2063 6572 7461 696e 2070 nly in certain p │ │ │ │ -0012d8f0: 6c61 7466 6f72 6d73 0a69 6620 6470 6b67 latforms.if dpkg │ │ │ │ -0012d900: 2d71 7565 7279 202d 2d73 686f 7720 2d2d -query --show -- │ │ │ │ -0012d910: 7368 6f77 666f 726d 6174 3d27 247b 6462 showformat='${db │ │ │ │ -0012d920: 3a53 7461 7475 732d 5374 6174 7573 7d5c :Status-Status}\ │ │ │ │ -0012d930: 6e27 2027 6175 6469 7464 2720 3226 6774 n' 'auditd' 2> │ │ │ │ -0012d940: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265 ;/dev/null | gre │ │ │ │ -0012d950: 7020 2d71 2069 6e73 7461 6c6c 6564 2026 p -q installed & │ │ │ │ -0012d960: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -0012d970: 202f 2e64 6f63 6b65 7265 6e76 205d 2026 /.dockerenv ] & │ │ │ │ -0012d980: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -0012d990: 202f 7275 6e2f 2e63 6f6e 7461 696e 6572 /run/.container │ │ │ │ -0012d9a0: 656e 7620 5d3b 2074 6865 6e0a 0a23 2046 env ]; then..# F │ │ │ │ +0012d8f0: 6c61 7466 6f72 6d73 0a69 6620 5b20 2120 latforms.if [ ! │ │ │ │ +0012d900: 2d66 202f 2e64 6f63 6b65 7265 6e76 205d -f /.dockerenv ] │ │ │ │ +0012d910: 2026 616d 703b 2661 6d70 3b20 5b20 2120 && [ ! │ │ │ │ +0012d920: 2d66 202f 7275 6e2f 2e63 6f6e 7461 696e -f /run/.contain │ │ │ │ +0012d930: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +0012d940: 703b 2064 706b 672d 7175 6572 7920 2d2d p; dpkg-query -- │ │ │ │ +0012d950: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ +0012d960: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ +0012d970: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ +0012d980: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ +0012d990: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ +0012d9a0: 616c 6c65 643b 2074 6865 6e0a 0a23 2046 alled; then..# F │ │ │ │ 0012d9b0: 6972 7374 2070 6572 666f 726d 2074 6865 irst perform the │ │ │ │ 0012d9c0: 2072 656d 6564 6961 7469 6f6e 206f 6620 remediation of │ │ │ │ 0012d9d0: 7468 6520 7379 7363 616c 6c20 7275 6c65 the syscall rule │ │ │ │ 0012d9e0: 0a23 2052 6574 7269 6576 6520 6861 7264 .# Retrieve hard │ │ │ │ 0012d9f0: 7761 7265 2061 7263 6869 7465 6374 7572 ware architectur │ │ │ │ 0012da00: 6520 6f66 2074 6865 2075 6e64 6572 6c79 e of the underly │ │ │ │ 0012da10: 696e 6720 7379 7374 656d 0a5b 2022 2428 ing system.[ "$( │ │ │ │ @@ -79816,23 +79816,23 @@ │ │ │ │ 00137c70: 7175 6972 6564 0a20 202d 2072 6573 7472 quired. - restr │ │ │ │ 00137c80: 6963 745f 7374 7261 7465 6779 0a0a 2d20 ict_strategy..- │ │ │ │ 00137c90: 6e61 6d65 3a20 5365 7420 6172 6368 6974 name: Set archit │ │ │ │ 00137ca0: 6563 7475 7265 2066 6f72 2061 7564 6974 ecture for audit │ │ │ │ 00137cb0: 2073 6574 7861 7474 7220 7461 736b 730a setxattr tasks. │ │ │ │ 00137cc0: 2020 7365 745f 6661 6374 3a0a 2020 2020 set_fact:. │ │ │ │ 00137cd0: 6175 6469 745f 6172 6368 3a20 6236 340a audit_arch: b64. │ │ │ │ -00137ce0: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -00137cf0: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -00137d00: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -00137d10: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -00137d20: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -00137d30: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -00137d40: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -00137d50: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -00137d60: 6f6e 7461 696e 6572 225d 0a20 202d 2061 ontainer"]. - a │ │ │ │ +00137ce0: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +00137cf0: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +00137d00: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +00137d10: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +00137d20: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +00137d30: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +00137d40: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +00137d50: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +00137d60: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ 00137d70: 6e73 6962 6c65 5f61 7263 6869 7465 6374 nsible_architect │ │ │ │ 00137d80: 7572 6520 3d3d 2022 6161 7263 6836 3422 ure == "aarch64" │ │ │ │ 00137d90: 206f 7220 616e 7369 626c 655f 6172 6368 or ansible_arch │ │ │ │ 00137da0: 6974 6563 7475 7265 203d 3d20 2270 7063 itecture == "ppc │ │ │ │ 00137db0: 3634 2220 6f72 2061 6e73 6962 6c65 5f61 64" or ansible_a │ │ │ │ 00137dc0: 7263 6869 7465 6374 7572 650a 2020 2020 rchitecture. │ │ │ │ 00137dd0: 3d3d 2022 7070 6336 346c 6522 206f 7220 == "ppc64le" or │ │ │ │ @@ -80428,23 +80428,23 @@ │ │ │ │ 0013a2b0: 726d 5f6d 6f64 0a20 2020 2020 2063 7265 rm_mod. cre │ │ │ │ 0013a2c0: 6174 653a 2074 7275 650a 2020 2020 2020 ate: true. │ │ │ │ 0013a2d0: 6d6f 6465 3a20 6f2d 7277 780a 2020 2020 mode: o-rwx. │ │ │ │ 0013a2e0: 2020 7374 6174 653a 2070 7265 7365 6e74 state: present │ │ │ │ 0013a2f0: 0a20 2020 2077 6865 6e3a 2073 7973 6361 . when: sysca │ │ │ │ 0013a300: 6c6c 735f 666f 756e 6420 7c20 6c65 6e67 lls_found | leng │ │ │ │ 0013a310: 7468 203d 3d20 300a 2020 7768 656e 3a0a th == 0. when:. │ │ │ │ -0013a320: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ -0013a330: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -0013a340: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ -0013a350: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ -0013a360: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ -0013a370: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ -0013a380: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ -0013a390: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ -0013a3a0: 225d 0a20 2074 6167 733a 0a20 202d 2043 "]. tags:. - C │ │ │ │ +0013a320: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ +0013a330: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ +0013a340: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ +0013a350: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ +0013a360: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ +0013a370: 6e74 6169 6e65 7222 5d0a 2020 2d20 2722 ntainer"]. - '" │ │ │ │ +0013a380: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ +0013a390: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ +0013a3a0: 7327 0a20 2074 6167 733a 0a20 202d 2043 s'. tags:. - C │ │ │ │ 0013a3b0: 4a49 532d 352e 342e 312e 310a 2020 2d20 JIS-5.4.1.1. - │ │ │ │ 0013a3c0: 4449 5341 2d53 5449 472d 5542 5455 2d32 DISA-STIG-UBTU-2 │ │ │ │ 0013a3d0: 302d 3031 3031 3432 0a20 202d 204e 4953 0-010142. - NIS │ │ │ │ 0013a3e0: 542d 3830 302d 3137 312d 332e 312e 370a T-800-171-3.1.7. │ │ │ │ 0013a3f0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ 0013a400: 4155 2d31 3228 6329 0a20 202d 204e 4953 AU-12(c). - NIS │ │ │ │ 0013a410: 542d 3830 302d 3533 2d41 552d 3228 6429 T-800-53-AU-2(d) │ │ │ │ @@ -81028,23 +81028,23 @@ │ │ │ │ 0013c830: 6d5f 6d6f 640a 2020 2020 2020 6372 6561 m_mod. crea │ │ │ │ 0013c840: 7465 3a20 7472 7565 0a20 2020 2020 206d te: true. m │ │ │ │ 0013c850: 6f64 653a 206f 2d72 7778 0a20 2020 2020 ode: o-rwx. │ │ │ │ 0013c860: 2073 7461 7465 3a20 7072 6573 656e 740a state: present. │ │ │ │ 0013c870: 2020 2020 7768 656e 3a20 7379 7363 616c when: syscal │ │ │ │ 0013c880: 6c73 5f66 6f75 6e64 207c 206c 656e 6774 ls_found | lengt │ │ │ │ 0013c890: 6820 3d3d 2030 0a20 2077 6865 6e3a 0a20 h == 0. when:. │ │ │ │ -0013c8a0: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ -0013c8b0: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ -0013c8c0: 636b 6167 6573 270a 2020 2d20 616e 7369 ckages'. - ansi │ │ │ │ -0013c8d0: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ -0013c8e0: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ -0013c8f0: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ -0013c900: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ -0013c910: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ -0013c920: 5d0a 2020 2d20 6175 6469 745f 6172 6368 ]. - audit_arch │ │ │ │ +0013c8a0: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ +0013c8b0: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ +0013c8c0: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ +0013c8d0: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ +0013c8e0: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ +0013c8f0: 7461 696e 6572 225d 0a20 202d 2027 2261 tainer"]. - '"a │ │ │ │ +0013c900: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ +0013c910: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ +0013c920: 270a 2020 2d20 6175 6469 745f 6172 6368 '. - audit_arch │ │ │ │ 0013c930: 203d 3d20 2262 3634 220a 2020 7461 6773 == "b64". tags │ │ │ │ 0013c940: 3a0a 2020 2d20 434a 4953 2d35 2e34 2e31 :. - CJIS-5.4.1 │ │ │ │ 0013c950: 2e31 0a20 202d 2044 4953 412d 5354 4947 .1. - DISA-STIG │ │ │ │ 0013c960: 2d55 4254 552d 3230 2d30 3130 3134 320a -UBTU-20-010142. │ │ │ │ 0013c970: 2020 2d20 4e49 5354 2d38 3030 2d31 3731 - NIST-800-171 │ │ │ │ 0013c980: 2d33 2e31 2e37 0a20 202d 204e 4953 542d -3.1.7. - NIST- │ │ │ │ 0013c990: 3830 302d 3533 2d41 552d 3132 2863 290a 800-53-AU-12(c). │ │ │ │ @@ -81078,25 +81078,25 @@ │ │ │ │ 0013cb50: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f class="panel-co │ │ │ │ 0013cb60: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522 llapse collapse" │ │ │ │ 0013cb70: 2069 643d 2269 646d 3134 3630 3322 3e3c id="idm14603">< │ │ │ │ 0013cb80: 7072 653e 3c63 6f64 653e 2320 5265 6d65 pre> # Reme │ │ │ │ 0013cb90: 6469 6174 696f 6e20 6973 2061 7070 6c69 diation is appli │ │ │ │ 0013cba0: 6361 626c 6520 6f6e 6c79 2069 6e20 6365 cable only in ce │ │ │ │ 0013cbb0: 7274 6169 6e20 706c 6174 666f 726d 730a rtain platforms. │ │ │ │ -0013cbc0: 6966 2064 706b 672d 7175 6572 7920 2d2d if dpkg-query -- │ │ │ │ -0013cbd0: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ -0013cbe0: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ -0013cbf0: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ -0013cc00: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ -0013cc10: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ -0013cc20: 616c 6c65 6420 2661 6d70 3b26 616d 703b alled && │ │ │ │ -0013cc30: 205b 2021 202d 6620 2f2e 646f 636b 6572 [ ! -f /.docker │ │ │ │ -0013cc40: 656e 7620 5d20 2661 6d70 3b26 616d 703b env ] && │ │ │ │ -0013cc50: 205b 2021 202d 6620 2f72 756e 2f2e 636f [ ! -f /run/.co │ │ │ │ -0013cc60: 6e74 6169 6e65 7265 6e76 205d 3b20 7468 ntainerenv ]; th │ │ │ │ +0013cbc0: 6966 205b 2021 202d 6620 2f2e 646f 636b if [ ! -f /.dock │ │ │ │ +0013cbd0: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +0013cbe0: 703b 205b 2021 202d 6620 2f72 756e 2f2e p; [ ! -f /run/. │ │ │ │ +0013cbf0: 636f 6e74 6169 6e65 7265 6e76 205d 2026 containerenv ] & │ │ │ │ +0013cc00: 616d 703b 2661 6d70 3b20 6470 6b67 2d71 amp;& dpkg-q │ │ │ │ +0013cc10: 7565 7279 202d 2d73 686f 7720 2d2d 7368 uery --show --sh │ │ │ │ +0013cc20: 6f77 666f 726d 6174 3d27 247b 6462 3a53 owformat='${db:S │ │ │ │ +0013cc30: 7461 7475 732d 5374 6174 7573 7d5c 6e27 tatus-Status}\n' │ │ │ │ +0013cc40: 2027 6175 6469 7464 2720 3226 6774 3b2f 'auditd' 2>/ │ │ │ │ +0013cc50: 6465 762f 6e75 6c6c 207c 2067 7265 7020 dev/null | grep │ │ │ │ +0013cc60: 2d71 2069 6e73 7461 6c6c 6564 3b20 7468 -q installed; th │ │ │ │ 0013cc70: 656e 0a0a 2320 4669 7273 7420 7065 7266 en..# First perf │ │ │ │ 0013cc80: 6f72 6d20 7468 6520 7265 6d65 6469 6174 orm the remediat │ │ │ │ 0013cc90: 696f 6e20 6f66 2074 6865 2073 7973 6361 ion of the sysca │ │ │ │ 0013cca0: 6c6c 2072 756c 650a 2320 5265 7472 6965 ll rule.# Retrie │ │ │ │ 0013ccb0: 7665 2068 6172 6477 6172 6520 6172 6368 ve hardware arch │ │ │ │ 0013ccc0: 6974 6563 7475 7265 206f 6620 7468 6520 itecture of the │ │ │ │ 0013ccd0: 756e 6465 726c 7969 6e67 2073 7973 7465 underlying syste │ │ │ │ @@ -83801,23 +83801,23 @@ │ │ │ │ 00147580: 5f72 6571 7569 7265 640a 2020 2d20 7265 _required. - re │ │ │ │ 00147590: 7374 7269 6374 5f73 7472 6174 6567 790a strict_strategy. │ │ │ │ 001475a0: 0a2d 206e 616d 653a 2053 6574 2061 7263 .- name: Set arc │ │ │ │ 001475b0: 6869 7465 6374 7572 6520 666f 7220 6175 hitecture for au │ │ │ │ 001475c0: 6469 7420 7265 6e61 6d65 2074 6173 6b73 dit rename tasks │ │ │ │ 001475d0: 0a20 2073 6574 5f66 6163 743a 0a20 2020 . set_fact:. │ │ │ │ 001475e0: 2061 7564 6974 5f61 7263 683a 2062 3634 audit_arch: b64 │ │ │ │ -001475f0: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -00147600: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -00147610: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -00147620: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -00147630: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -00147640: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -00147650: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -00147660: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -00147670: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +001475f0: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +00147600: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +00147610: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +00147620: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +00147630: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +00147640: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +00147650: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +00147660: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +00147670: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ 00147680: 616e 7369 626c 655f 6172 6368 6974 6563 ansible_architec │ │ │ │ 00147690: 7475 7265 203d 3d20 2261 6172 6368 3634 ture == "aarch64 │ │ │ │ 001476a0: 2220 6f72 2061 6e73 6962 6c65 5f61 7263 " or ansible_arc │ │ │ │ 001476b0: 6869 7465 6374 7572 6520 3d3d 2022 7070 hitecture == "pp │ │ │ │ 001476c0: 6336 3422 206f 7220 616e 7369 626c 655f c64" or ansible_ │ │ │ │ 001476d0: 6172 6368 6974 6563 7475 7265 0a20 2020 architecture. │ │ │ │ 001476e0: 203d 3d20 2270 7063 3634 6c65 2220 6f72 == "ppc64le" or │ │ │ │ @@ -84128,22 +84128,22 @@ │ │ │ │ 001489f0: 6c65 7465 0a20 2020 2020 2063 7265 6174 lete. creat │ │ │ │ 00148a00: 653a 2074 7275 650a 2020 2020 2020 6d6f e: true. mo │ │ │ │ 00148a10: 6465 3a20 6f2d 7277 780a 2020 2020 2020 de: o-rwx. │ │ │ │ 00148a20: 7374 6174 653a 2070 7265 7365 6e74 0a20 state: present. │ │ │ │ 00148a30: 2020 2077 6865 6e3a 2073 7973 6361 6c6c when: syscall │ │ │ │ 00148a40: 735f 666f 756e 6420 7c20 6c65 6e67 7468 s_found | length │ │ │ │ 00148a50: 203d 3d20 300a 2020 7768 656e 3a0a 2020 == 0. when:. │ │ │ │ -00148a60: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ -00148a70: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ -00148a80: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ -00148a90: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ -00148aa0: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ -00148ab0: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ -00148ac0: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ -00148ad0: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +00148a60: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ +00148a70: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ +00148a80: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ +00148a90: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ +00148aa0: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ +00148ab0: 6169 6e65 7222 5d0a 2020 2d20 2722 6175 ainer"]. - '"au │ │ │ │ +00148ac0: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ +00148ad0: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ 00148ae0: 0a20 2074 6167 733a 0a20 202d 2044 4953 . tags:. - DIS │ │ │ │ 00148af0: 412d 5354 4947 2d55 4254 552d 3230 2d30 A-STIG-UBTU-20-0 │ │ │ │ 00148b00: 3130 3236 390a 2020 2d20 4e49 5354 2d38 10269. - NIST-8 │ │ │ │ 00148b10: 3030 2d31 3731 2d33 2e31 2e37 0a20 202d 00-171-3.1.7. - │ │ │ │ 00148b20: 204e 4953 542d 3830 302d 3533 2d41 552d NIST-800-53-AU- │ │ │ │ 00148b30: 3132 2863 290a 2020 2d20 4e49 5354 2d38 12(c). - NIST-8 │ │ │ │ 00148b40: 3030 2d35 332d 4155 2d32 2864 290a 2020 00-53-AU-2(d). │ │ │ │ @@ -84442,23 +84442,23 @@ │ │ │ │ 00149d90: 6574 202d 4620 6b65 793d 6465 6c65 7465 et -F key=delete │ │ │ │ 00149da0: 0a20 2020 2020 2063 7265 6174 653a 2074 . create: t │ │ │ │ 00149db0: 7275 650a 2020 2020 2020 6d6f 6465 3a20 rue. mode: │ │ │ │ 00149dc0: 6f2d 7277 780a 2020 2020 2020 7374 6174 o-rwx. stat │ │ │ │ 00149dd0: 653a 2070 7265 7365 6e74 0a20 2020 2077 e: present. w │ │ │ │ 00149de0: 6865 6e3a 2073 7973 6361 6c6c 735f 666f hen: syscalls_fo │ │ │ │ 00149df0: 756e 6420 7c20 6c65 6e67 7468 203d 3d20 und | length == │ │ │ │ -00149e00: 300a 2020 7768 656e 3a0a 2020 2d20 2722 0. when:. - '" │ │ │ │ -00149e10: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -00149e20: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -00149e30: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -00149e40: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -00149e50: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -00149e60: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -00149e70: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -00149e80: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +00149e00: 300a 2020 7768 656e 3a0a 2020 2d20 616e 0. when:. - an │ │ │ │ +00149e10: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +00149e20: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +00149e30: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +00149e40: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +00149e50: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +00149e60: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +00149e70: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +00149e80: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ 00149e90: 2061 7564 6974 5f61 7263 6820 3d3d 2022 audit_arch == " │ │ │ │ 00149ea0: 6236 3422 0a20 2074 6167 733a 0a20 202d b64". tags:. - │ │ │ │ 00149eb0: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 00149ec0: 3230 2d30 3130 3236 390a 2020 2d20 4e49 20-010269. - NI │ │ │ │ 00149ed0: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 00149ee0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 00149ef0: 2d41 552d 3132 2863 290a 2020 2d20 4e49 -AU-12(c). - NI │ │ │ │ @@ -84491,26 +84491,26 @@ │ │ │ │ 0014a0a0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61
│ │ │ │ 0014a0e0: 3c63 6f64 653e 2320 5265 6d65 6469 6174# Remediat │ │ │ │ 0014a0f0: 696f 6e20 6973 2061 7070 6c69 6361 626c ion is applicabl │ │ │ │ 0014a100: 6520 6f6e 6c79 2069 6e20 6365 7274 6169 e only in certai │ │ │ │ -0014a110: 6e20 706c 6174 666f 726d 730a 6966 2064 n platforms.if d │ │ │ │ -0014a120: 706b 672d 7175 6572 7920 2d2d 7368 6f77 pkg-query --show │ │ │ │ -0014a130: 202d 2d73 686f 7766 6f72 6d61 743d 2724 --showformat='$ │ │ │ │ -0014a140: 7b64 623a 5374 6174 7573 2d53 7461 7475 {db:Status-Statu │ │ │ │ -0014a150: 737d 5c6e 2720 2761 7564 6974 6427 2032 s}\n' 'auditd' 2 │ │ │ │ -0014a160: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20 >/dev/null | │ │ │ │ -0014a170: 6772 6570 202d 7120 696e 7374 616c 6c65 grep -q installe │ │ │ │ -0014a180: 6420 2661 6d70 3b26 616d 703b 205b 2021 d && [ ! │ │ │ │ -0014a190: 202d 6620 2f2e 646f 636b 6572 656e 7620 -f /.dockerenv │ │ │ │ -0014a1a0: 5d20 2661 6d70 3b26 616d 703b 205b 2021 ] && [ ! │ │ │ │ -0014a1b0: 202d 6620 2f72 756e 2f2e 636f 6e74 6169 -f /run/.contai │ │ │ │ -0014a1c0: 6e65 7265 6e76 205d 3b20 7468 656e 0a0a nerenv ]; then.. │ │ │ │ +0014a110: 6e20 706c 6174 666f 726d 730a 6966 205b n platforms.if [ │ │ │ │ +0014a120: 2021 202d 6620 2f2e 646f 636b 6572 656e ! -f /.dockeren │ │ │ │ +0014a130: 7620 5d20 2661 6d70 3b26 616d 703b 205b v ] && [ │ │ │ │ +0014a140: 2021 202d 6620 2f72 756e 2f2e 636f 6e74 ! -f /run/.cont │ │ │ │ +0014a150: 6169 6e65 7265 6e76 205d 2026 616d 703b ainerenv ] & │ │ │ │ +0014a160: 2661 6d70 3b20 6470 6b67 2d71 7565 7279 & dpkg-query │ │ │ │ +0014a170: 202d 2d73 686f 7720 2d2d 7368 6f77 666f --show --showfo │ │ │ │ +0014a180: 726d 6174 3d27 247b 6462 3a53 7461 7475 rmat='${db:Statu │ │ │ │ +0014a190: 732d 5374 6174 7573 7d5c 6e27 2027 6175 s-Status}\n' 'au │ │ │ │ +0014a1a0: 6469 7464 2720 3226 6774 3b2f 6465 762f ditd' 2>/dev/ │ │ │ │ +0014a1b0: 6e75 6c6c 207c 2067 7265 7020 2d71 2069 null | grep -q i │ │ │ │ +0014a1c0: 6e73 7461 6c6c 6564 3b20 7468 656e 0a0a nstalled; then.. │ │ │ │ 0014a1d0: 2320 4669 7273 7420 7065 7266 6f72 6d20 # First perform │ │ │ │ 0014a1e0: 7468 6520 7265 6d65 6469 6174 696f 6e20 the remediation │ │ │ │ 0014a1f0: 6f66 2074 6865 2073 7973 6361 6c6c 2072 of the syscall r │ │ │ │ 0014a200: 756c 650a 2320 5265 7472 6965 7665 2068 ule.# Retrieve h │ │ │ │ 0014a210: 6172 6477 6172 6520 6172 6368 6974 6563 ardware architec │ │ │ │ 0014a220: 7475 7265 206f 6620 7468 6520 756e 6465 ture of the unde │ │ │ │ 0014a230: 726c 7969 6e67 2073 7973 7465 6d0a 5b20 rlying system.[ │ │ │ │ @@ -86289,23 +86289,23 @@ │ │ │ │ 00151100: 2020 2d20 7265 7374 7269 6374 5f73 7472 - restrict_str │ │ │ │ 00151110: 6174 6567 790a 0a2d 206e 616d 653a 2053 ategy..- name: S │ │ │ │ 00151120: 6574 2061 7263 6869 7465 6374 7572 6520 et architecture │ │ │ │ 00151130: 666f 7220 6175 6469 7420 7265 6e61 6d65 for audit rename │ │ │ │ 00151140: 6174 2074 6173 6b73 0a20 2073 6574 5f66 at tasks. set_f │ │ │ │ 00151150: 6163 743a 0a20 2020 2061 7564 6974 5f61 act:. audit_a │ │ │ │ 00151160: 7263 683a 2062 3634 0a20 2077 6865 6e3a rch: b64. when: │ │ │ │ -00151170: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -00151180: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -00151190: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -001511a0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -001511b0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -001511c0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -001511d0: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -001511e0: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -001511f0: 7222 5d0a 2020 2d20 616e 7369 626c 655f r"]. - ansible_ │ │ │ │ +00151170: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +00151180: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +00151190: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +001511a0: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +001511b0: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +001511c0: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +001511d0: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +001511e0: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +001511f0: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ 00151200: 6172 6368 6974 6563 7475 7265 203d 3d20 architecture == │ │ │ │ 00151210: 2261 6172 6368 3634 2220 6f72 2061 6e73 "aarch64" or ans │ │ │ │ 00151220: 6962 6c65 5f61 7263 6869 7465 6374 7572 ible_architectur │ │ │ │ 00151230: 6520 3d3d 2022 7070 6336 3422 206f 7220 e == "ppc64" or │ │ │ │ 00151240: 616e 7369 626c 655f 6172 6368 6974 6563 ansible_architec │ │ │ │ 00151250: 7475 7265 0a20 2020 203d 3d20 2270 7063 ture. == "ppc │ │ │ │ 00151260: 3634 6c65 2220 6f72 2061 6e73 6962 6c65 64le" or ansible │ │ │ │ @@ -86616,23 +86616,23 @@ │ │ │ │ 00152570: 793d 6465 6c65 7465 0a20 2020 2020 2063 y=delete. c │ │ │ │ 00152580: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 00152590: 2020 6d6f 6465 3a20 6f2d 7277 780a 2020 mode: o-rwx. │ │ │ │ 001525a0: 2020 2020 7374 6174 653a 2070 7265 7365 state: prese │ │ │ │ 001525b0: 6e74 0a20 2020 2077 6865 6e3a 2073 7973 nt. when: sys │ │ │ │ 001525c0: 6361 6c6c 735f 666f 756e 6420 7c20 6c65 calls_found | le │ │ │ │ 001525d0: 6e67 7468 203d 3d20 300a 2020 7768 656e ngth == 0. when │ │ │ │ -001525e0: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -001525f0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -00152600: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -00152610: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -00152620: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -00152630: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -00152640: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -00152650: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -00152660: 6572 225d 0a20 2074 6167 733a 0a20 202d er"]. tags:. - │ │ │ │ +001525e0: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +001525f0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +00152600: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +00152610: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +00152620: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +00152630: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +00152640: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +00152650: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +00152660: 6765 7327 0a20 2074 6167 733a 0a20 202d ges'. tags:. - │ │ │ │ 00152670: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 00152680: 3230 2d30 3130 3237 300a 2020 2d20 4e49 20-010270. - NI │ │ │ │ 00152690: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 001526a0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 001526b0: 2d41 552d 3132 2863 290a 2020 2d20 4e49 -AU-12(c). - NI │ │ │ │ 001526c0: 5354 2d38 3030 2d35 332d 4155 2d32 2864 ST-800-53-AU-2(d │ │ │ │ 001526d0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ @@ -86931,23 +86931,23 @@ │ │ │ │ 00153920: 6574 202d 4620 6b65 793d 6465 6c65 7465 et -F key=delete │ │ │ │ 00153930: 0a20 2020 2020 2063 7265 6174 653a 2074 . create: t │ │ │ │ 00153940: 7275 650a 2020 2020 2020 6d6f 6465 3a20 rue. mode: │ │ │ │ 00153950: 6f2d 7277 780a 2020 2020 2020 7374 6174 o-rwx. stat │ │ │ │ 00153960: 653a 2070 7265 7365 6e74 0a20 2020 2077 e: present. w │ │ │ │ 00153970: 6865 6e3a 2073 7973 6361 6c6c 735f 666f hen: syscalls_fo │ │ │ │ 00153980: 756e 6420 7c20 6c65 6e67 7468 203d 3d20 und | length == │ │ │ │ -00153990: 300a 2020 7768 656e 3a0a 2020 2d20 2722 0. when:. - '" │ │ │ │ -001539a0: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -001539b0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -001539c0: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -001539d0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -001539e0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -001539f0: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -00153a00: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -00153a10: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +00153990: 300a 2020 7768 656e 3a0a 2020 2d20 616e 0. when:. - an │ │ │ │ +001539a0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +001539b0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +001539c0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +001539d0: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +001539e0: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +001539f0: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +00153a00: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +00153a10: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ 00153a20: 2061 7564 6974 5f61 7263 6820 3d3d 2022 audit_arch == " │ │ │ │ 00153a30: 6236 3422 0a20 2074 6167 733a 0a20 202d b64". tags:. - │ │ │ │ 00153a40: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 00153a50: 3230 2d30 3130 3237 300a 2020 2d20 4e49 20-010270. - NI │ │ │ │ 00153a60: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 00153a70: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 00153a80: 2d41 552d 3132 2863 290a 2020 2d20 4e49 -AU-12(c). - NI │ │ │ │ @@ -86981,25 +86981,25 @@ │ │ │ │ 00153c40: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c lass="panel-coll │ │ │ │ 00153c50: 6170 7365 2063 6f6c 6c61 7073 6522 2069 apse collapse" i │ │ │ │ 00153c60: 643d 2269 646d 3135 3137 3322 3e3c 7072 d="idm15173">
# Remedi │ │ │ │ 00153c80: 6174 696f 6e20 6973 2061 7070 6c69 6361 ation is applica │ │ │ │ 00153c90: 626c 6520 6f6e 6c79 2069 6e20 6365 7274 ble only in cert │ │ │ │ 00153ca0: 6169 6e20 706c 6174 666f 726d 730a 6966 ain platforms.if │ │ │ │ -00153cb0: 2064 706b 672d 7175 6572 7920 2d2d 7368 dpkg-query --sh │ │ │ │ -00153cc0: 6f77 202d 2d73 686f 7766 6f72 6d61 743d ow --showformat= │ │ │ │ -00153cd0: 2724 7b64 623a 5374 6174 7573 2d53 7461 '${db:Status-Sta │ │ │ │ -00153ce0: 7475 737d 5c6e 2720 2761 7564 6974 6427 tus}\n' 'auditd' │ │ │ │ -00153cf0: 2032 2667 743b 2f64 6576 2f6e 756c 6c20 2>/dev/null │ │ │ │ -00153d00: 7c20 6772 6570 202d 7120 696e 7374 616c | grep -q instal │ │ │ │ -00153d10: 6c65 6420 2661 6d70 3b26 616d 703b 205b led && [ │ │ │ │ -00153d20: 2021 202d 6620 2f2e 646f 636b 6572 656e ! -f /.dockeren │ │ │ │ -00153d30: 7620 5d20 2661 6d70 3b26 616d 703b 205b v ] && [ │ │ │ │ -00153d40: 2021 202d 6620 2f72 756e 2f2e 636f 6e74 ! -f /run/.cont │ │ │ │ -00153d50: 6169 6e65 7265 6e76 205d 3b20 7468 656e ainerenv ]; then │ │ │ │ +00153cb0: 205b 2021 202d 6620 2f2e 646f 636b 6572 [ ! -f /.docker │ │ │ │ +00153cc0: 656e 7620 5d20 2661 6d70 3b26 616d 703b env ] && │ │ │ │ +00153cd0: 205b 2021 202d 6620 2f72 756e 2f2e 636f [ ! -f /run/.co │ │ │ │ +00153ce0: 6e74 6169 6e65 7265 6e76 205d 2026 616d ntainerenv ] &am │ │ │ │ +00153cf0: 703b 2661 6d70 3b20 6470 6b67 2d71 7565 p;& dpkg-que │ │ │ │ +00153d00: 7279 202d 2d73 686f 7720 2d2d 7368 6f77 ry --show --show │ │ │ │ +00153d10: 666f 726d 6174 3d27 247b 6462 3a53 7461 format='${db:Sta │ │ │ │ +00153d20: 7475 732d 5374 6174 7573 7d5c 6e27 2027 tus-Status}\n' ' │ │ │ │ +00153d30: 6175 6469 7464 2720 3226 6774 3b2f 6465 auditd' 2>/de │ │ │ │ +00153d40: 762f 6e75 6c6c 207c 2067 7265 7020 2d71 v/null | grep -q │ │ │ │ +00153d50: 2069 6e73 7461 6c6c 6564 3b20 7468 656e installed; then │ │ │ │ 00153d60: 0a0a 2320 4669 7273 7420 7065 7266 6f72 ..# First perfor │ │ │ │ 00153d70: 6d20 7468 6520 7265 6d65 6469 6174 696f m the remediatio │ │ │ │ 00153d80: 6e20 6f66 2074 6865 2073 7973 6361 6c6c n of the syscall │ │ │ │ 00153d90: 2072 756c 650a 2320 5265 7472 6965 7665 rule.# Retrieve │ │ │ │ 00153da0: 2068 6172 6477 6172 6520 6172 6368 6974 hardware archit │ │ │ │ 00153db0: 6563 7475 7265 206f 6620 7468 6520 756e ecture of the un │ │ │ │ 00153dc0: 6465 726c 7969 6e67 2073 7973 7465 6d0a derlying system. │ │ │ │ @@ -88777,23 +88777,23 @@ │ │ │ │ 0015ac80: 640a 2020 2d20 7265 7374 7269 6374 5f73 d. - restrict_s │ │ │ │ 0015ac90: 7472 6174 6567 790a 0a2d 206e 616d 653a trategy..- name: │ │ │ │ 0015aca0: 2053 6574 2061 7263 6869 7465 6374 7572 Set architectur │ │ │ │ 0015acb0: 6520 666f 7220 6175 6469 7420 756e 6c69 e for audit unli │ │ │ │ 0015acc0: 6e6b 2074 6173 6b73 0a20 2073 6574 5f66 nk tasks. set_f │ │ │ │ 0015acd0: 6163 743a 0a20 2020 2061 7564 6974 5f61 act:. audit_a │ │ │ │ 0015ace0: 7263 683a 2062 3634 0a20 2077 6865 6e3a rch: b64. when: │ │ │ │ -0015acf0: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -0015ad00: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -0015ad10: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -0015ad20: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -0015ad30: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -0015ad40: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -0015ad50: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -0015ad60: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -0015ad70: 7222 5d0a 2020 2d20 616e 7369 626c 655f r"]. - ansible_ │ │ │ │ +0015acf0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +0015ad00: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +0015ad10: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +0015ad20: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +0015ad30: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +0015ad40: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +0015ad50: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +0015ad60: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +0015ad70: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ 0015ad80: 6172 6368 6974 6563 7475 7265 203d 3d20 architecture == │ │ │ │ 0015ad90: 2261 6172 6368 3634 2220 6f72 2061 6e73 "aarch64" or ans │ │ │ │ 0015ada0: 6962 6c65 5f61 7263 6869 7465 6374 7572 ible_architectur │ │ │ │ 0015adb0: 6520 3d3d 2022 7070 6336 3422 206f 7220 e == "ppc64" or │ │ │ │ 0015adc0: 616e 7369 626c 655f 6172 6368 6974 6563 ansible_architec │ │ │ │ 0015add0: 7475 7265 0a20 2020 203d 3d20 2270 7063 ture. == "ppc │ │ │ │ 0015ade0: 3634 6c65 2220 6f72 2061 6e73 6962 6c65 64le" or ansible │ │ │ │ @@ -89103,23 +89103,23 @@ │ │ │ │ 0015c0e0: 4620 6b65 793d 6465 6c65 7465 0a20 2020 F key=delete. │ │ │ │ 0015c0f0: 2020 2063 7265 6174 653a 2074 7275 650a create: true. │ │ │ │ 0015c100: 2020 2020 2020 6d6f 6465 3a20 6f2d 7277 mode: o-rw │ │ │ │ 0015c110: 780a 2020 2020 2020 7374 6174 653a 2070 x. state: p │ │ │ │ 0015c120: 7265 7365 6e74 0a20 2020 2077 6865 6e3a resent. when: │ │ │ │ 0015c130: 2073 7973 6361 6c6c 735f 666f 756e 6420 syscalls_found │ │ │ │ 0015c140: 7c20 6c65 6e67 7468 203d 3d20 300a 2020 | length == 0. │ │ │ │ -0015c150: 7768 656e 3a0a 2020 2d20 2722 6175 6469 when:. - '"audi │ │ │ │ -0015c160: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ -0015c170: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ -0015c180: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ -0015c190: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ -0015c1a0: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ -0015c1b0: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ -0015c1c0: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ -0015c1d0: 7461 696e 6572 225d 0a20 2074 6167 733a tainer"]. tags: │ │ │ │ +0015c150: 7768 656e 3a0a 2020 2d20 616e 7369 626c when:. - ansibl │ │ │ │ +0015c160: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ +0015c170: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ +0015c180: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ +0015c190: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ +0015c1a0: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +0015c1b0: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ +0015c1c0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ +0015c1d0: 6163 6b61 6765 7327 0a20 2074 6167 733a ackages'. tags: │ │ │ │ 0015c1e0: 0a20 202d 2044 4953 412d 5354 4947 2d55 . - DISA-STIG-U │ │ │ │ 0015c1f0: 4254 552d 3230 2d30 3130 3236 370a 2020 BTU-20-010267. │ │ │ │ 0015c200: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33 - NIST-800-171-3 │ │ │ │ 0015c210: 2e31 2e37 0a20 202d 204e 4953 542d 3830 .1.7. - NIST-80 │ │ │ │ 0015c220: 302d 3533 2d41 552d 3132 2863 290a 2020 0-53-AU-12(c). │ │ │ │ 0015c230: 2d20 4e49 5354 2d38 3030 2d35 332d 4155 - NIST-800-53-AU │ │ │ │ 0015c240: 2d32 2864 290a 2020 2d20 4e49 5354 2d38 -2(d). - NIST-8 │ │ │ │ @@ -89418,23 +89418,23 @@ │ │ │ │ 0015d490: 793d 6465 6c65 7465 0a20 2020 2020 2063 y=delete. c │ │ │ │ 0015d4a0: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 0015d4b0: 2020 6d6f 6465 3a20 6f2d 7277 780a 2020 mode: o-rwx. │ │ │ │ 0015d4c0: 2020 2020 7374 6174 653a 2070 7265 7365 state: prese │ │ │ │ 0015d4d0: 6e74 0a20 2020 2077 6865 6e3a 2073 7973 nt. when: sys │ │ │ │ 0015d4e0: 6361 6c6c 735f 666f 756e 6420 7c20 6c65 calls_found | le │ │ │ │ 0015d4f0: 6e67 7468 203d 3d20 300a 2020 7768 656e ngth == 0. when │ │ │ │ -0015d500: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -0015d510: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -0015d520: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -0015d530: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -0015d540: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -0015d550: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -0015d560: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -0015d570: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -0015d580: 6572 225d 0a20 202d 2061 7564 6974 5f61 er"]. - audit_a │ │ │ │ +0015d500: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +0015d510: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +0015d520: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +0015d530: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +0015d540: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +0015d550: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +0015d560: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +0015d570: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +0015d580: 6765 7327 0a20 202d 2061 7564 6974 5f61 ges'. - audit_a │ │ │ │ 0015d590: 7263 6820 3d3d 2022 6236 3422 0a20 2074 rch == "b64". t │ │ │ │ 0015d5a0: 6167 733a 0a20 202d 2044 4953 412d 5354 ags:. - DISA-ST │ │ │ │ 0015d5b0: 4947 2d55 4254 552d 3230 2d30 3130 3236 IG-UBTU-20-01026 │ │ │ │ 0015d5c0: 370a 2020 2d20 4e49 5354 2d38 3030 2d31 7. - NIST-800-1 │ │ │ │ 0015d5d0: 3731 2d33 2e31 2e37 0a20 202d 204e 4953 71-3.1.7. - NIS │ │ │ │ 0015d5e0: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ 0015d5f0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ @@ -89467,25 +89467,25 @@ │ │ │ │ 0015d7a0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65
# │ │ │ │ 0015d7e0: 5265 6d65 6469 6174 696f 6e20 6973 2061 Remediation is a │ │ │ │ 0015d7f0: 7070 6c69 6361 626c 6520 6f6e 6c79 2069 pplicable only i │ │ │ │ 0015d800: 6e20 6365 7274 6169 6e20 706c 6174 666f n certain platfo │ │ │ │ -0015d810: 726d 730a 6966 2064 706b 672d 7175 6572 rms.if dpkg-quer │ │ │ │ -0015d820: 7920 2d2d 7368 6f77 202d 2d73 686f 7766 y --show --showf │ │ │ │ -0015d830: 6f72 6d61 743d 2724 7b64 623a 5374 6174 ormat='${db:Stat │ │ │ │ -0015d840: 7573 2d53 7461 7475 737d 5c6e 2720 2761 us-Status}\n' 'a │ │ │ │ -0015d850: 7564 6974 6427 2032 2667 743b 2f64 6576 uditd' 2>/dev │ │ │ │ -0015d860: 2f6e 756c 6c20 7c20 6772 6570 202d 7120 /null | grep -q │ │ │ │ -0015d870: 696e 7374 616c 6c65 6420 2661 6d70 3b26 installed && │ │ │ │ -0015d880: 616d 703b 205b 2021 202d 6620 2f2e 646f amp; [ ! -f /.do │ │ │ │ -0015d890: 636b 6572 656e 7620 5d20 2661 6d70 3b26 ckerenv ] && │ │ │ │ -0015d8a0: 616d 703b 205b 2021 202d 6620 2f72 756e amp; [ ! -f /run │ │ │ │ -0015d8b0: 2f2e 636f 6e74 6169 6e65 7265 6e76 205d /.containerenv ] │ │ │ │ +0015d810: 726d 730a 6966 205b 2021 202d 6620 2f2e rms.if [ ! -f /. │ │ │ │ +0015d820: 646f 636b 6572 656e 7620 5d20 2661 6d70 dockerenv ] & │ │ │ │ +0015d830: 3b26 616d 703b 205b 2021 202d 6620 2f72 ;& [ ! -f /r │ │ │ │ +0015d840: 756e 2f2e 636f 6e74 6169 6e65 7265 6e76 un/.containerenv │ │ │ │ +0015d850: 205d 2026 616d 703b 2661 6d70 3b20 6470 ] && dp │ │ │ │ +0015d860: 6b67 2d71 7565 7279 202d 2d73 686f 7720 kg-query --show │ │ │ │ +0015d870: 2d2d 7368 6f77 666f 726d 6174 3d27 247b --showformat='${ │ │ │ │ +0015d880: 6462 3a53 7461 7475 732d 5374 6174 7573 db:Status-Status │ │ │ │ +0015d890: 7d5c 6e27 2027 6175 6469 7464 2720 3226 }\n' 'auditd' 2& │ │ │ │ +0015d8a0: 6774 3b2f 6465 762f 6e75 6c6c 207c 2067 gt;/dev/null | g │ │ │ │ +0015d8b0: 7265 7020 2d71 2069 6e73 7461 6c6c 6564 rep -q installed │ │ │ │ 0015d8c0: 3b20 7468 656e 0a0a 2320 4669 7273 7420 ; then..# First │ │ │ │ 0015d8d0: 7065 7266 6f72 6d20 7468 6520 7265 6d65 perform the reme │ │ │ │ 0015d8e0: 6469 6174 696f 6e20 6f66 2074 6865 2073 diation of the s │ │ │ │ 0015d8f0: 7973 6361 6c6c 2072 756c 650a 2320 5265 yscall rule.# Re │ │ │ │ 0015d900: 7472 6965 7665 2068 6172 6477 6172 6520 trieve hardware │ │ │ │ 0015d910: 6172 6368 6974 6563 7475 7265 206f 6620 architecture of │ │ │ │ 0015d920: 7468 6520 756e 6465 726c 7969 6e67 2073 the underlying s │ │ │ │ @@ -91264,23 +91264,23 @@ │ │ │ │ 001647f0: 6571 7569 7265 640a 2020 2d20 7265 7374 equired. - rest │ │ │ │ 00164800: 7269 6374 5f73 7472 6174 6567 790a 0a2d rict_strategy..- │ │ │ │ 00164810: 206e 616d 653a 2053 6574 2061 7263 6869 name: Set archi │ │ │ │ 00164820: 7465 6374 7572 6520 666f 7220 6175 6469 tecture for audi │ │ │ │ 00164830: 7420 756e 6c69 6e6b 6174 2074 6173 6b73 t unlinkat tasks │ │ │ │ 00164840: 0a20 2073 6574 5f66 6163 743a 0a20 2020 . set_fact:. │ │ │ │ 00164850: 2061 7564 6974 5f61 7263 683a 2062 3634 audit_arch: b64 │ │ │ │ -00164860: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -00164870: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -00164880: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -00164890: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -001648a0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -001648b0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -001648c0: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -001648d0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -001648e0: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +00164860: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +00164870: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +00164880: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +00164890: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +001648a0: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +001648b0: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +001648c0: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +001648d0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +001648e0: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ 001648f0: 616e 7369 626c 655f 6172 6368 6974 6563 ansible_architec │ │ │ │ 00164900: 7475 7265 203d 3d20 2261 6172 6368 3634 ture == "aarch64 │ │ │ │ 00164910: 2220 6f72 2061 6e73 6962 6c65 5f61 7263 " or ansible_arc │ │ │ │ 00164920: 6869 7465 6374 7572 6520 3d3d 2022 7070 hitecture == "pp │ │ │ │ 00164930: 6336 3422 206f 7220 616e 7369 626c 655f c64" or ansible_ │ │ │ │ 00164940: 6172 6368 6974 6563 7475 7265 0a20 2020 architecture. │ │ │ │ 00164950: 203d 3d20 2270 7063 3634 6c65 2220 6f72 == "ppc64le" or │ │ │ │ @@ -91591,23 +91591,23 @@ │ │ │ │ 00165c60: 6574 202d 4620 6b65 793d 6465 6c65 7465 et -F key=delete │ │ │ │ 00165c70: 0a20 2020 2020 2063 7265 6174 653a 2074 . create: t │ │ │ │ 00165c80: 7275 650a 2020 2020 2020 6d6f 6465 3a20 rue. mode: │ │ │ │ 00165c90: 6f2d 7277 780a 2020 2020 2020 7374 6174 o-rwx. stat │ │ │ │ 00165ca0: 653a 2070 7265 7365 6e74 0a20 2020 2077 e: present. w │ │ │ │ 00165cb0: 6865 6e3a 2073 7973 6361 6c6c 735f 666f hen: syscalls_fo │ │ │ │ 00165cc0: 756e 6420 7c20 6c65 6e67 7468 203d 3d20 und | length == │ │ │ │ -00165cd0: 300a 2020 7768 656e 3a0a 2020 2d20 2722 0. when:. - '" │ │ │ │ -00165ce0: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -00165cf0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -00165d00: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -00165d10: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -00165d20: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -00165d30: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -00165d40: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -00165d50: 2263 6f6e 7461 696e 6572 225d 0a20 2074 "container"]. t │ │ │ │ +00165cd0: 300a 2020 7768 656e 3a0a 2020 2d20 616e 0. when:. - an │ │ │ │ +00165ce0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +00165cf0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +00165d00: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +00165d10: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +00165d20: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +00165d30: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +00165d40: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +00165d50: 7473 2e70 6163 6b61 6765 7327 0a20 2074 ts.packages'. t │ │ │ │ 00165d60: 6167 733a 0a20 202d 2044 4953 412d 5354 ags:. - DISA-ST │ │ │ │ 00165d70: 4947 2d55 4254 552d 3230 2d30 3130 3236 IG-UBTU-20-01026 │ │ │ │ 00165d80: 380a 2020 2d20 4e49 5354 2d38 3030 2d31 8. - NIST-800-1 │ │ │ │ 00165d90: 3731 2d33 2e31 2e37 0a20 202d 204e 4953 71-3.1.7. - NIS │ │ │ │ 00165da0: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ 00165db0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ 00165dc0: 332d 4155 2d32 2864 290a 2020 2d20 4e49 3-AU-2(d). - NI │ │ │ │ @@ -91907,23 +91907,23 @@ │ │ │ │ 00167020: 793d 6465 6c65 7465 0a20 2020 2020 2063 y=delete. c │ │ │ │ 00167030: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 00167040: 2020 6d6f 6465 3a20 6f2d 7277 780a 2020 mode: o-rwx. │ │ │ │ 00167050: 2020 2020 7374 6174 653a 2070 7265 7365 state: prese │ │ │ │ 00167060: 6e74 0a20 2020 2077 6865 6e3a 2073 7973 nt. when: sys │ │ │ │ 00167070: 6361 6c6c 735f 666f 756e 6420 7c20 6c65 calls_found | le │ │ │ │ 00167080: 6e67 7468 203d 3d20 300a 2020 7768 656e ngth == 0. when │ │ │ │ -00167090: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -001670a0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -001670b0: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -001670c0: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -001670d0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -001670e0: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -001670f0: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -00167100: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -00167110: 6572 225d 0a20 202d 2061 7564 6974 5f61 er"]. - audit_a │ │ │ │ +00167090: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +001670a0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +001670b0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +001670c0: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +001670d0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +001670e0: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +001670f0: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +00167100: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +00167110: 6765 7327 0a20 202d 2061 7564 6974 5f61 ges'. - audit_a │ │ │ │ 00167120: 7263 6820 3d3d 2022 6236 3422 0a20 2074 rch == "b64". t │ │ │ │ 00167130: 6167 733a 0a20 202d 2044 4953 412d 5354 ags:. - DISA-ST │ │ │ │ 00167140: 4947 2d55 4254 552d 3230 2d30 3130 3236 IG-UBTU-20-01026 │ │ │ │ 00167150: 380a 2020 2d20 4e49 5354 2d38 3030 2d31 8. - NIST-800-1 │ │ │ │ 00167160: 3731 2d33 2e31 2e37 0a20 202d 204e 4953 71-3.1.7. - NIS │ │ │ │ 00167170: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ 00167180: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ @@ -91956,26 +91956,26 @@ │ │ │ │ 00167330: 723e 3c64 6976 2063 6c61 7373 3d22 7061 r>
│ │ │ │ 00167370: 2320 5265 6d65 6469 6174 696f 6e20 6973 # Remediation is │ │ │ │ 00167380: 2061 7070 6c69 6361 626c 6520 6f6e 6c79 applicable only │ │ │ │ 00167390: 2069 6e20 6365 7274 6169 6e20 706c 6174 in certain plat │ │ │ │ -001673a0: 666f 726d 730a 6966 2064 706b 672d 7175 forms.if dpkg-qu │ │ │ │ -001673b0: 6572 7920 2d2d 7368 6f77 202d 2d73 686f ery --show --sho │ │ │ │ -001673c0: 7766 6f72 6d61 743d 2724 7b64 623a 5374 wformat='${db:St │ │ │ │ -001673d0: 6174 7573 2d53 7461 7475 737d 5c6e 2720 atus-Status}\n' │ │ │ │ -001673e0: 2761 7564 6974 6427 2032 2667 743b 2f64 'auditd' 2>/d │ │ │ │ -001673f0: 6576 2f6e 756c 6c20 7c20 6772 6570 202d ev/null | grep - │ │ │ │ -00167400: 7120 696e 7374 616c 6c65 6420 2661 6d70 q installed & │ │ │ │ -00167410: 3b26 616d 703b 205b 2021 202d 6620 2f2e ;& [ ! -f /. │ │ │ │ -00167420: 646f 636b 6572 656e 7620 5d20 2661 6d70 dockerenv ] & │ │ │ │ -00167430: 3b26 616d 703b 205b 2021 202d 6620 2f72 ;& [ ! -f /r │ │ │ │ -00167440: 756e 2f2e 636f 6e74 6169 6e65 7265 6e76 un/.containerenv │ │ │ │ -00167450: 205d 3b20 7468 656e 0a0a 2320 4669 7273 ]; then..# Firs │ │ │ │ +001673a0: 666f 726d 730a 6966 205b 2021 202d 6620 forms.if [ ! -f │ │ │ │ +001673b0: 2f2e 646f 636b 6572 656e 7620 5d20 2661 /.dockerenv ] &a │ │ │ │ +001673c0: 6d70 3b26 616d 703b 205b 2021 202d 6620 mp;& [ ! -f │ │ │ │ +001673d0: 2f72 756e 2f2e 636f 6e74 6169 6e65 7265 /run/.containere │ │ │ │ +001673e0: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ +001673f0: 6470 6b67 2d71 7565 7279 202d 2d73 686f dpkg-query --sho │ │ │ │ +00167400: 7720 2d2d 7368 6f77 666f 726d 6174 3d27 w --showformat=' │ │ │ │ +00167410: 247b 6462 3a53 7461 7475 732d 5374 6174 ${db:Status-Stat │ │ │ │ +00167420: 7573 7d5c 6e27 2027 6175 6469 7464 2720 us}\n' 'auditd' │ │ │ │ +00167430: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c 2>/dev/null | │ │ │ │ +00167440: 2067 7265 7020 2d71 2069 6e73 7461 6c6c grep -q install │ │ │ │ +00167450: 6564 3b20 7468 656e 0a0a 2320 4669 7273 ed; then..# Firs │ │ │ │ 00167460: 7420 7065 7266 6f72 6d20 7468 6520 7265 t perform the re │ │ │ │ 00167470: 6d65 6469 6174 696f 6e20 6f66 2074 6865 mediation of the │ │ │ │ 00167480: 2073 7973 6361 6c6c 2072 756c 650a 2320 syscall rule.# │ │ │ │ 00167490: 5265 7472 6965 7665 2068 6172 6477 6172 Retrieve hardwar │ │ │ │ 001674a0: 6520 6172 6368 6974 6563 7475 7265 206f e architecture o │ │ │ │ 001674b0: 6620 7468 6520 756e 6465 726c 7969 6e67 f the underlying │ │ │ │ 001674c0: 2073 7973 7465 6d0a 5b20 2224 2867 6574 system.[ "$(get │ │ │ │ @@ -93927,23 +93927,23 @@ │ │ │ │ 0016ee60: 7569 7265 640a 2020 2d20 7265 7374 7269 uired. - restri │ │ │ │ 0016ee70: 6374 5f73 7472 6174 6567 790a 0a2d 206e ct_strategy..- n │ │ │ │ 0016ee80: 616d 653a 2053 6574 2061 7263 6869 7465 ame: Set archite │ │ │ │ 0016ee90: 6374 7572 6520 666f 7220 6175 6469 7420 cture for audit │ │ │ │ 0016eea0: 6372 6561 7420 7461 736b 730a 2020 7365 creat tasks. se │ │ │ │ 0016eeb0: 745f 6661 6374 3a0a 2020 2020 6175 6469 t_fact:. audi │ │ │ │ 0016eec0: 745f 6172 6368 3a20 6236 340a 2020 7768 t_arch: b64. wh │ │ │ │ -0016eed0: 656e 3a0a 2020 2d20 2722 6175 6469 7464 en:. - '"auditd │ │ │ │ -0016eee0: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ -0016eef0: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ -0016ef00: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ -0016ef10: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ -0016ef20: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ -0016ef30: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ -0016ef40: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ -0016ef50: 696e 6572 225d 0a20 202d 2061 6e73 6962 iner"]. - ansib │ │ │ │ +0016eed0: 656e 3a0a 2020 2d20 616e 7369 626c 655f en:. - ansible_ │ │ │ │ +0016eee0: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ +0016eef0: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ +0016ef00: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ +0016ef10: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ +0016ef20: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +0016ef30: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ +0016ef40: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ +0016ef50: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ 0016ef60: 6c65 5f61 7263 6869 7465 6374 7572 6520 le_architecture │ │ │ │ 0016ef70: 3d3d 2022 6161 7263 6836 3422 206f 7220 == "aarch64" or │ │ │ │ 0016ef80: 616e 7369 626c 655f 6172 6368 6974 6563 ansible_architec │ │ │ │ 0016ef90: 7475 7265 203d 3d20 2270 7063 3634 2220 ture == "ppc64" │ │ │ │ 0016efa0: 6f72 2061 6e73 6962 6c65 5f61 7263 6869 or ansible_archi │ │ │ │ 0016efb0: 7465 6374 7572 650a 2020 2020 3d3d 2022 tecture. == " │ │ │ │ 0016efc0: 7070 6336 346c 6522 206f 7220 616e 7369 ppc64le" or ansi │ │ │ │ @@ -94265,22 +94265,22 @@ │ │ │ │ 00170380: 6573 730a 2020 2020 2020 6372 6561 7465 ess. create │ │ │ │ 00170390: 3a20 7472 7565 0a20 2020 2020 206d 6f64 : true. mod │ │ │ │ 001703a0: 653a 206f 2d72 7778 0a20 2020 2020 2073 e: o-rwx. s │ │ │ │ 001703b0: 7461 7465 3a20 7072 6573 656e 740a 2020 tate: present. │ │ │ │ 001703c0: 2020 7768 656e 3a20 7379 7363 616c 6c73 when: syscalls │ │ │ │ 001703d0: 5f66 6f75 6e64 207c 206c 656e 6774 6820 _found | length │ │ │ │ 001703e0: 3d3d 2030 0a20 2077 6865 6e3a 0a20 202d == 0. when:. - │ │ │ │ -001703f0: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ -00170400: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ -00170410: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl │ │ │ │ -00170420: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ -00170430: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ -00170440: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ -00170450: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ -00170460: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +001703f0: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ +00170400: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ +00170410: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ +00170420: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ +00170430: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ +00170440: 696e 6572 225d 0a20 202d 2027 2261 7564 iner"]. - '"aud │ │ │ │ +00170450: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ +00170460: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ 00170470: 2020 7461 6773 3a0a 2020 2d20 4449 5341 tags:. - DISA │ │ │ │ 00170480: 2d53 5449 472d 5542 5455 2d32 302d 3031 -STIG-UBTU-20-01 │ │ │ │ 00170490: 3031 3538 0a20 202d 204e 4953 542d 3830 0158. - NIST-80 │ │ │ │ 001704a0: 302d 3137 312d 332e 312e 370a 2020 2d20 0-171-3.1.7. - │ │ │ │ 001704b0: 4e49 5354 2d38 3030 2d35 332d 4155 2d31 NIST-800-53-AU-1 │ │ │ │ 001704c0: 3228 6329 0a20 202d 204e 4953 542d 3830 2(c). - NIST-80 │ │ │ │ 001704d0: 302d 3533 2d41 552d 3228 6429 0a20 202d 0-53-AU-2(d). - │ │ │ │ @@ -94591,22 +94591,22 @@ │ │ │ │ 001717e0: 6573 730a 2020 2020 2020 6372 6561 7465 ess. create │ │ │ │ 001717f0: 3a20 7472 7565 0a20 2020 2020 206d 6f64 : true. mod │ │ │ │ 00171800: 653a 206f 2d72 7778 0a20 2020 2020 2073 e: o-rwx. s │ │ │ │ 00171810: 7461 7465 3a20 7072 6573 656e 740a 2020 tate: present. │ │ │ │ 00171820: 2020 7768 656e 3a20 7379 7363 616c 6c73 when: syscalls │ │ │ │ 00171830: 5f66 6f75 6e64 207c 206c 656e 6774 6820 _found | length │ │ │ │ 00171840: 3d3d 2030 0a20 2077 6865 6e3a 0a20 202d == 0. when:. - │ │ │ │ -00171850: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ -00171860: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ -00171870: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl │ │ │ │ -00171880: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ -00171890: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ -001718a0: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ -001718b0: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ -001718c0: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +00171850: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ +00171860: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ +00171870: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ +00171880: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ +00171890: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ +001718a0: 696e 6572 225d 0a20 202d 2027 2261 7564 iner"]. - '"aud │ │ │ │ +001718b0: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ +001718c0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ 001718d0: 2020 2d20 6175 6469 745f 6172 6368 203d - audit_arch = │ │ │ │ 001718e0: 3d20 2262 3634 220a 2020 7461 6773 3a0a = "b64". tags:. │ │ │ │ 001718f0: 2020 2d20 4449 5341 2d53 5449 472d 5542 - DISA-STIG-UB │ │ │ │ 00171900: 5455 2d32 302d 3031 3031 3538 0a20 202d TU-20-010158. - │ │ │ │ 00171910: 204e 4953 542d 3830 302d 3137 312d 332e NIST-800-171-3. │ │ │ │ 00171920: 312e 370a 2020 2d20 4e49 5354 2d38 3030 1.7. - NIST-800 │ │ │ │ 00171930: 2d35 332d 4155 2d31 3228 6329 0a20 202d -53-AU-12(c). - │ │ │ │ @@ -94918,22 +94918,22 @@ │ │ │ │ 00172c50: 6365 7373 0a20 2020 2020 2063 7265 6174 cess. creat │ │ │ │ 00172c60: 653a 2074 7275 650a 2020 2020 2020 6d6f e: true. mo │ │ │ │ 00172c70: 6465 3a20 6f2d 7277 780a 2020 2020 2020 de: o-rwx. │ │ │ │ 00172c80: 7374 6174 653a 2070 7265 7365 6e74 0a20 state: present. │ │ │ │ 00172c90: 2020 2077 6865 6e3a 2073 7973 6361 6c6c when: syscall │ │ │ │ 00172ca0: 735f 666f 756e 6420 7c20 6c65 6e67 7468 s_found | length │ │ │ │ 00172cb0: 203d 3d20 300a 2020 7768 656e 3a0a 2020 == 0. when:. │ │ │ │ -00172cc0: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ -00172cd0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ -00172ce0: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ -00172cf0: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ -00172d00: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ -00172d10: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ -00172d20: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ -00172d30: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +00172cc0: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ +00172cd0: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ +00172ce0: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ +00172cf0: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ +00172d00: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ +00172d10: 6169 6e65 7222 5d0a 2020 2d20 2722 6175 ainer"]. - '"au │ │ │ │ +00172d20: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ +00172d30: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ 00172d40: 0a20 2074 6167 733a 0a20 202d 2044 4953 . tags:. - DIS │ │ │ │ 00172d50: 412d 5354 4947 2d55 4254 552d 3230 2d30 A-STIG-UBTU-20-0 │ │ │ │ 00172d60: 3130 3135 380a 2020 2d20 4e49 5354 2d38 10158. - NIST-8 │ │ │ │ 00172d70: 3030 2d31 3731 2d33 2e31 2e37 0a20 202d 00-171-3.1.7. - │ │ │ │ 00172d80: 204e 4953 542d 3830 302d 3533 2d41 552d NIST-800-53-AU- │ │ │ │ 00172d90: 3132 2863 290a 2020 2d20 4e49 5354 2d38 12(c). - NIST-8 │ │ │ │ 00172da0: 3030 2d35 332d 4155 2d32 2864 290a 2020 00-53-AU-2(d). │ │ │ │ @@ -95243,23 +95243,23 @@ │ │ │ │ 001740a0: 2d46 206b 6579 3d61 6363 6573 730a 2020 -F key=access. │ │ │ │ 001740b0: 2020 2020 6372 6561 7465 3a20 7472 7565 create: true │ │ │ │ 001740c0: 0a20 2020 2020 206d 6f64 653a 206f 2d72 . mode: o-r │ │ │ │ 001740d0: 7778 0a20 2020 2020 2073 7461 7465 3a20 wx. state: │ │ │ │ 001740e0: 7072 6573 656e 740a 2020 2020 7768 656e present. when │ │ │ │ 001740f0: 3a20 7379 7363 616c 6c73 5f66 6f75 6e64 : syscalls_found │ │ │ │ 00174100: 207c 206c 656e 6774 6820 3d3d 2030 0a20 | length == 0. │ │ │ │ -00174110: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -00174120: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -00174130: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -00174140: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -00174150: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -00174160: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -00174170: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -00174180: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -00174190: 6e74 6169 6e65 7222 5d0a 2020 2d20 6175 ntainer"]. - au │ │ │ │ +00174110: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +00174120: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +00174130: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +00174140: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +00174150: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +00174160: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +00174170: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +00174180: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +00174190: 7061 636b 6167 6573 270a 2020 2d20 6175 packages'. - au │ │ │ │ 001741a0: 6469 745f 6172 6368 203d 3d20 2262 3634 dit_arch == "b64 │ │ │ │ 001741b0: 220a 2020 7461 6773 3a0a 2020 2d20 4449 ". tags:. - DI │ │ │ │ 001741c0: 5341 2d53 5449 472d 5542 5455 2d32 302d SA-STIG-UBTU-20- │ │ │ │ 001741d0: 3031 3031 3538 0a20 202d 204e 4953 542d 010158. - NIST- │ │ │ │ 001741e0: 3830 302d 3137 312d 332e 312e 370a 2020 800-171-3.1.7. │ │ │ │ 001741f0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155 - NIST-800-53-AU │ │ │ │ 00174200: 2d31 3228 6329 0a20 202d 204e 4953 542d -12(c). - NIST- │ │ │ │ @@ -95294,26 +95294,26 @@ │ │ │ │ 001743d0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d >
# Remediation │ │ │ │ 00174420: 2069 7320 6170 706c 6963 6162 6c65 206f is applicable o │ │ │ │ 00174430: 6e6c 7920 696e 2063 6572 7461 696e 2070 nly in certain p │ │ │ │ -00174440: 6c61 7466 6f72 6d73 0a69 6620 6470 6b67 latforms.if dpkg │ │ │ │ -00174450: 2d71 7565 7279 202d 2d73 686f 7720 2d2d -query --show -- │ │ │ │ -00174460: 7368 6f77 666f 726d 6174 3d27 247b 6462 showformat='${db │ │ │ │ -00174470: 3a53 7461 7475 732d 5374 6174 7573 7d5c :Status-Status}\ │ │ │ │ -00174480: 6e27 2027 6175 6469 7464 2720 3226 6774 n' 'auditd' 2> │ │ │ │ -00174490: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265 ;/dev/null | gre │ │ │ │ -001744a0: 7020 2d71 2069 6e73 7461 6c6c 6564 2026 p -q installed & │ │ │ │ -001744b0: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -001744c0: 202f 2e64 6f63 6b65 7265 6e76 205d 2026 /.dockerenv ] & │ │ │ │ -001744d0: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -001744e0: 202f 7275 6e2f 2e63 6f6e 7461 696e 6572 /run/.container │ │ │ │ -001744f0: 656e 7620 5d3b 2074 6865 6e0a 0a23 2046 env ]; then..# F │ │ │ │ +00174440: 6c61 7466 6f72 6d73 0a69 6620 5b20 2120 latforms.if [ ! │ │ │ │ +00174450: 2d66 202f 2e64 6f63 6b65 7265 6e76 205d -f /.dockerenv ] │ │ │ │ +00174460: 2026 616d 703b 2661 6d70 3b20 5b20 2120 && [ ! │ │ │ │ +00174470: 2d66 202f 7275 6e2f 2e63 6f6e 7461 696e -f /run/.contain │ │ │ │ +00174480: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +00174490: 703b 2064 706b 672d 7175 6572 7920 2d2d p; dpkg-query -- │ │ │ │ +001744a0: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ +001744b0: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ +001744c0: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ +001744d0: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ +001744e0: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ +001744f0: 616c 6c65 643b 2074 6865 6e0a 0a23 2046 alled; then..# F │ │ │ │ 00174500: 6972 7374 2070 6572 666f 726d 2074 6865 irst perform the │ │ │ │ 00174510: 2072 656d 6564 6961 7469 6f6e 206f 6620 remediation of │ │ │ │ 00174520: 7468 6520 7379 7363 616c 6c20 7275 6c65 the syscall rule │ │ │ │ 00174530: 0a23 2052 6574 7269 6576 6520 6861 7264 .# Retrieve hard │ │ │ │ 00174540: 7761 7265 2061 7263 6869 7465 6374 7572 ware architectur │ │ │ │ 00174550: 6520 6f66 2074 6865 2075 6e64 6572 6c79 e of the underly │ │ │ │ 00174560: 696e 6720 7379 7374 656d 0a5b 2022 2428 ing system.[ "$( │ │ │ │ @@ -97932,23 +97932,23 @@ │ │ │ │ 0017e8b0: 7569 7265 640a 2020 2d20 7265 7374 7269 uired. - restri │ │ │ │ 0017e8c0: 6374 5f73 7472 6174 6567 790a 0a2d 206e ct_strategy..- n │ │ │ │ 0017e8d0: 616d 653a 2053 6574 2061 7263 6869 7465 ame: Set archite │ │ │ │ 0017e8e0: 6374 7572 6520 666f 7220 6175 6469 7420 cture for audit │ │ │ │ 0017e8f0: 6674 7275 6e63 6174 6520 7461 736b 730a ftruncate tasks. │ │ │ │ 0017e900: 2020 7365 745f 6661 6374 3a0a 2020 2020 set_fact:. │ │ │ │ 0017e910: 6175 6469 745f 6172 6368 3a20 6236 340a audit_arch: b64. │ │ │ │ -0017e920: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -0017e930: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -0017e940: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -0017e950: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -0017e960: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -0017e970: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -0017e980: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -0017e990: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -0017e9a0: 6f6e 7461 696e 6572 225d 0a20 202d 2061 ontainer"]. - a │ │ │ │ +0017e920: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +0017e930: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +0017e940: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +0017e950: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +0017e960: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +0017e970: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +0017e980: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +0017e990: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +0017e9a0: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ 0017e9b0: 6e73 6962 6c65 5f61 7263 6869 7465 6374 nsible_architect │ │ │ │ 0017e9c0: 7572 6520 3d3d 2022 6161 7263 6836 3422 ure == "aarch64" │ │ │ │ 0017e9d0: 206f 7220 616e 7369 626c 655f 6172 6368 or ansible_arch │ │ │ │ 0017e9e0: 6974 6563 7475 7265 203d 3d20 2270 7063 itecture == "ppc │ │ │ │ 0017e9f0: 3634 2220 6f72 2061 6e73 6962 6c65 5f61 64" or ansible_a │ │ │ │ 0017ea00: 7263 6869 7465 6374 7572 650a 2020 2020 rchitecture. │ │ │ │ 0017ea10: 3d3d 2022 7070 6336 346c 6522 206f 7220 == "ppc64le" or │ │ │ │ @@ -98271,23 +98271,23 @@ │ │ │ │ 0017fde0: 7420 2d46 206b 6579 3d61 6363 6573 730a t -F key=access. │ │ │ │ 0017fdf0: 2020 2020 2020 6372 6561 7465 3a20 7472 create: tr │ │ │ │ 0017fe00: 7565 0a20 2020 2020 206d 6f64 653a 206f ue. mode: o │ │ │ │ 0017fe10: 2d72 7778 0a20 2020 2020 2073 7461 7465 -rwx. state │ │ │ │ 0017fe20: 3a20 7072 6573 656e 740a 2020 2020 7768 : present. wh │ │ │ │ 0017fe30: 656e 3a20 7379 7363 616c 6c73 5f66 6f75 en: syscalls_fou │ │ │ │ 0017fe40: 6e64 207c 206c 656e 6774 6820 3d3d 2030 nd | length == 0 │ │ │ │ -0017fe50: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -0017fe60: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -0017fe70: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -0017fe80: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -0017fe90: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -0017fea0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -0017feb0: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -0017fec0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -0017fed0: 636f 6e74 6169 6e65 7222 5d0a 2020 7461 container"]. ta │ │ │ │ +0017fe50: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +0017fe60: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +0017fe70: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +0017fe80: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +0017fe90: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +0017fea0: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +0017feb0: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +0017fec0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +0017fed0: 732e 7061 636b 6167 6573 270a 2020 7461 s.packages'. ta │ │ │ │ 0017fee0: 6773 3a0a 2020 2d20 4449 5341 2d53 5449 gs:. - DISA-STI │ │ │ │ 0017fef0: 472d 5542 5455 2d32 302d 3031 3031 3537 G-UBTU-20-010157 │ │ │ │ 0017ff00: 0a20 202d 204e 4953 542d 3830 302d 3137 . - NIST-800-17 │ │ │ │ 0017ff10: 312d 332e 312e 370a 2020 2d20 4e49 5354 1-3.1.7. - NIST │ │ │ │ 0017ff20: 2d38 3030 2d35 332d 4155 2d31 3228 6329 -800-53-AU-12(c) │ │ │ │ 0017ff30: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 0017ff40: 2d41 552d 3228 6429 0a20 202d 204e 4953 -AU-2(d). - NIS │ │ │ │ @@ -98599,23 +98599,23 @@ │ │ │ │ 00181260: 3d61 6363 6573 730a 2020 2020 2020 6372 =access. cr │ │ │ │ 00181270: 6561 7465 3a20 7472 7565 0a20 2020 2020 eate: true. │ │ │ │ 00181280: 206d 6f64 653a 206f 2d72 7778 0a20 2020 mode: o-rwx. │ │ │ │ 00181290: 2020 2073 7461 7465 3a20 7072 6573 656e state: presen │ │ │ │ 001812a0: 740a 2020 2020 7768 656e 3a20 7379 7363 t. when: sysc │ │ │ │ 001812b0: 616c 6c73 5f66 6f75 6e64 207c 206c 656e alls_found | len │ │ │ │ 001812c0: 6774 6820 3d3d 2030 0a20 2077 6865 6e3a gth == 0. when: │ │ │ │ -001812d0: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -001812e0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -001812f0: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -00181300: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -00181310: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -00181320: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -00181330: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -00181340: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -00181350: 7222 5d0a 2020 2d20 6175 6469 745f 6172 r"]. - audit_ar │ │ │ │ +001812d0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +001812e0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +001812f0: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +00181300: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +00181310: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +00181320: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +00181330: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +00181340: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +00181350: 6573 270a 2020 2d20 6175 6469 745f 6172 es'. - audit_ar │ │ │ │ 00181360: 6368 203d 3d20 2262 3634 220a 2020 7461 ch == "b64". ta │ │ │ │ 00181370: 6773 3a0a 2020 2d20 4449 5341 2d53 5449 gs:. - DISA-STI │ │ │ │ 00181380: 472d 5542 5455 2d32 302d 3031 3031 3537 G-UBTU-20-010157 │ │ │ │ 00181390: 0a20 202d 204e 4953 542d 3830 302d 3137 . - NIST-800-17 │ │ │ │ 001813a0: 312d 332e 312e 370a 2020 2d20 4e49 5354 1-3.1.7. - NIST │ │ │ │ 001813b0: 2d38 3030 2d35 332d 4155 2d31 3228 6329 -800-53-AU-12(c) │ │ │ │ 001813c0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ @@ -98927,23 +98927,23 @@ │ │ │ │ 001826e0: 6574 202d 4620 6b65 793d 6163 6365 7373 et -F key=access │ │ │ │ 001826f0: 0a20 2020 2020 2063 7265 6174 653a 2074 . create: t │ │ │ │ 00182700: 7275 650a 2020 2020 2020 6d6f 6465 3a20 rue. mode: │ │ │ │ 00182710: 6f2d 7277 780a 2020 2020 2020 7374 6174 o-rwx. stat │ │ │ │ 00182720: 653a 2070 7265 7365 6e74 0a20 2020 2077 e: present. w │ │ │ │ 00182730: 6865 6e3a 2073 7973 6361 6c6c 735f 666f hen: syscalls_fo │ │ │ │ 00182740: 756e 6420 7c20 6c65 6e67 7468 203d 3d20 und | length == │ │ │ │ -00182750: 300a 2020 7768 656e 3a0a 2020 2d20 2722 0. when:. - '" │ │ │ │ -00182760: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -00182770: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -00182780: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -00182790: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -001827a0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -001827b0: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -001827c0: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -001827d0: 2263 6f6e 7461 696e 6572 225d 0a20 2074 "container"]. t │ │ │ │ +00182750: 300a 2020 7768 656e 3a0a 2020 2d20 616e 0. when:. - an │ │ │ │ +00182760: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +00182770: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +00182780: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +00182790: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +001827a0: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +001827b0: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +001827c0: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +001827d0: 7473 2e70 6163 6b61 6765 7327 0a20 2074 ts.packages'. t │ │ │ │ 001827e0: 6167 733a 0a20 202d 2044 4953 412d 5354 ags:. - DISA-ST │ │ │ │ 001827f0: 4947 2d55 4254 552d 3230 2d30 3130 3135 IG-UBTU-20-01015 │ │ │ │ 00182800: 370a 2020 2d20 4e49 5354 2d38 3030 2d31 7. - NIST-800-1 │ │ │ │ 00182810: 3731 2d33 2e31 2e37 0a20 202d 204e 4953 71-3.1.7. - NIS │ │ │ │ 00182820: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ 00182830: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ 00182840: 332d 4155 2d32 2864 290a 2020 2d20 4e49 3-AU-2(d). - NI │ │ │ │ @@ -99254,23 +99254,23 @@ │ │ │ │ 00183b50: 7365 7420 2d46 206b 6579 3d61 6363 6573 set -F key=acces │ │ │ │ 00183b60: 730a 2020 2020 2020 6372 6561 7465 3a20 s. create: │ │ │ │ 00183b70: 7472 7565 0a20 2020 2020 206d 6f64 653a true. mode: │ │ │ │ 00183b80: 206f 2d72 7778 0a20 2020 2020 2073 7461 o-rwx. sta │ │ │ │ 00183b90: 7465 3a20 7072 6573 656e 740a 2020 2020 te: present. │ │ │ │ 00183ba0: 7768 656e 3a20 7379 7363 616c 6c73 5f66 when: syscalls_f │ │ │ │ 00183bb0: 6f75 6e64 207c 206c 656e 6774 6820 3d3d ound | length == │ │ │ │ -00183bc0: 2030 0a20 2077 6865 6e3a 0a20 202d 2027 0. when:. - ' │ │ │ │ -00183bd0: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -00183be0: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -00183bf0: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -00183c00: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -00183c10: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -00183c20: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -00183c30: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -00183c40: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +00183bc0: 2030 0a20 2077 6865 6e3a 0a20 202d 2061 0. when:. - a │ │ │ │ +00183bd0: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +00183be0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +00183bf0: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +00183c00: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +00183c10: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +00183c20: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +00183c30: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +00183c40: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 00183c50: 2d20 6175 6469 745f 6172 6368 203d 3d20 - audit_arch == │ │ │ │ 00183c60: 2262 3634 220a 2020 7461 6773 3a0a 2020 "b64". tags:. │ │ │ │ 00183c70: 2d20 4449 5341 2d53 5449 472d 5542 5455 - DISA-STIG-UBTU │ │ │ │ 00183c80: 2d32 302d 3031 3031 3537 0a20 202d 204e -20-010157. - N │ │ │ │ 00183c90: 4953 542d 3830 302d 3137 312d 332e 312e IST-800-171-3.1. │ │ │ │ 00183ca0: 370a 2020 2d20 4e49 5354 2d38 3030 2d35 7. - NIST-800-5 │ │ │ │ 00183cb0: 332d 4155 2d31 3228 6329 0a20 202d 204e 3-AU-12(c). - N │ │ │ │ @@ -99306,25 +99306,25 @@ │ │ │ │ 00183e90: 7620 636c 6173 733d 2270 616e 656c 2d63 v class="panel-c │ │ │ │ 00183ea0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365 ollapse collapse │ │ │ │ 00183eb0: 2220 6964 3d22 6964 6d31 3539 3636 223e " id="idm15966"> │ │ │ │ 00183ec0: 3c70 7265 3e3c 636f 6465 3e23 2052 656d # Rem │ │ │ │ 00183ed0: 6564 6961 7469 6f6e 2069 7320 6170 706c ediation is appl │ │ │ │ 00183ee0: 6963 6162 6c65 206f 6e6c 7920 696e 2063 icable only in c │ │ │ │ 00183ef0: 6572 7461 696e 2070 6c61 7466 6f72 6d73 ertain platforms │ │ │ │ -00183f00: 0a69 6620 6470 6b67 2d71 7565 7279 202d .if dpkg-query - │ │ │ │ -00183f10: 2d73 686f 7720 2d2d 7368 6f77 666f 726d -show --showform │ │ │ │ -00183f20: 6174 3d27 247b 6462 3a53 7461 7475 732d at='${db:Status- │ │ │ │ -00183f30: 5374 6174 7573 7d5c 6e27 2027 6175 6469 Status}\n' 'audi │ │ │ │ -00183f40: 7464 2720 3226 6774 3b2f 6465 762f 6e75 td' 2>/dev/nu │ │ │ │ -00183f50: 6c6c 207c 2067 7265 7020 2d71 2069 6e73 ll | grep -q ins │ │ │ │ -00183f60: 7461 6c6c 6564 2026 616d 703b 2661 6d70 talled && │ │ │ │ -00183f70: 3b20 5b20 2120 2d66 202f 2e64 6f63 6b65 ; [ ! -f /.docke │ │ │ │ -00183f80: 7265 6e76 205d 2026 616d 703b 2661 6d70 renv ] && │ │ │ │ -00183f90: 3b20 5b20 2120 2d66 202f 7275 6e2f 2e63 ; [ ! -f /run/.c │ │ │ │ -00183fa0: 6f6e 7461 696e 6572 656e 7620 5d3b 2074 ontainerenv ]; t │ │ │ │ +00183f00: 0a69 6620 5b20 2120 2d66 202f 2e64 6f63 .if [ ! -f /.doc │ │ │ │ +00183f10: 6b65 7265 6e76 205d 2026 616d 703b 2661 kerenv ] &&a │ │ │ │ +00183f20: 6d70 3b20 5b20 2120 2d66 202f 7275 6e2f mp; [ ! -f /run/ │ │ │ │ +00183f30: 2e63 6f6e 7461 696e 6572 656e 7620 5d20 .containerenv ] │ │ │ │ +00183f40: 2661 6d70 3b26 616d 703b 2064 706b 672d && dpkg- │ │ │ │ +00183f50: 7175 6572 7920 2d2d 7368 6f77 202d 2d73 query --show --s │ │ │ │ +00183f60: 686f 7766 6f72 6d61 743d 2724 7b64 623a howformat='${db: │ │ │ │ +00183f70: 5374 6174 7573 2d53 7461 7475 737d 5c6e Status-Status}\n │ │ │ │ +00183f80: 2720 2761 7564 6974 6427 2032 2667 743b ' 'auditd' 2> │ │ │ │ +00183f90: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570 /dev/null | grep │ │ │ │ +00183fa0: 202d 7120 696e 7374 616c 6c65 643b 2074 -q installed; t │ │ │ │ 00183fb0: 6865 6e0a 0a23 2046 6972 7374 2070 6572 hen..# First per │ │ │ │ 00183fc0: 666f 726d 2074 6865 2072 656d 6564 6961 form the remedia │ │ │ │ 00183fd0: 7469 6f6e 206f 6620 7468 6520 7379 7363 tion of the sysc │ │ │ │ 00183fe0: 616c 6c20 7275 6c65 0a23 2052 6574 7269 all rule.# Retri │ │ │ │ 00183ff0: 6576 6520 6861 7264 7761 7265 2061 7263 eve hardware arc │ │ │ │ 00184000: 6869 7465 6374 7572 6520 6f66 2074 6865 hitecture of the │ │ │ │ 00184010: 2075 6e64 6572 6c79 696e 6720 7379 7374 underlying syst │ │ │ │ @@ -101939,23 +101939,23 @@ │ │ │ │ 0018e320: 7175 6972 6564 0a20 202d 2072 6573 7472 quired. - restr │ │ │ │ 0018e330: 6963 745f 7374 7261 7465 6779 0a0a 2d20 ict_strategy..- │ │ │ │ 0018e340: 6e61 6d65 3a20 5365 7420 6172 6368 6974 name: Set archit │ │ │ │ 0018e350: 6563 7475 7265 2066 6f72 2061 7564 6974 ecture for audit │ │ │ │ 0018e360: 206f 7065 6e20 7461 736b 730a 2020 7365 open tasks. se │ │ │ │ 0018e370: 745f 6661 6374 3a0a 2020 2020 6175 6469 t_fact:. audi │ │ │ │ 0018e380: 745f 6172 6368 3a20 6236 340a 2020 7768 t_arch: b64. wh │ │ │ │ -0018e390: 656e 3a0a 2020 2d20 2722 6175 6469 7464 en:. - '"auditd │ │ │ │ -0018e3a0: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ -0018e3b0: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ -0018e3c0: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ -0018e3d0: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ -0018e3e0: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ -0018e3f0: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ -0018e400: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ -0018e410: 696e 6572 225d 0a20 202d 2061 6e73 6962 iner"]. - ansib │ │ │ │ +0018e390: 656e 3a0a 2020 2d20 616e 7369 626c 655f en:. - ansible_ │ │ │ │ +0018e3a0: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ +0018e3b0: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ +0018e3c0: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ +0018e3d0: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ +0018e3e0: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +0018e3f0: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ +0018e400: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ +0018e410: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ 0018e420: 6c65 5f61 7263 6869 7465 6374 7572 6520 le_architecture │ │ │ │ 0018e430: 3d3d 2022 6161 7263 6836 3422 206f 7220 == "aarch64" or │ │ │ │ 0018e440: 616e 7369 626c 655f 6172 6368 6974 6563 ansible_architec │ │ │ │ 0018e450: 7475 7265 203d 3d20 2270 7063 3634 2220 ture == "ppc64" │ │ │ │ 0018e460: 6f72 2061 6e73 6962 6c65 5f61 7263 6869 or ansible_archi │ │ │ │ 0018e470: 7465 6374 7572 650a 2020 2020 3d3d 2022 tecture. == " │ │ │ │ 0018e480: 7070 6336 346c 6522 206f 7220 616e 7369 ppc64le" or ansi │ │ │ │ @@ -102276,23 +102276,23 @@ │ │ │ │ 0018f830: 2d46 206b 6579 3d61 6363 6573 730a 2020 -F key=access. │ │ │ │ 0018f840: 2020 2020 6372 6561 7465 3a20 7472 7565 create: true │ │ │ │ 0018f850: 0a20 2020 2020 206d 6f64 653a 206f 2d72 . mode: o-r │ │ │ │ 0018f860: 7778 0a20 2020 2020 2073 7461 7465 3a20 wx. state: │ │ │ │ 0018f870: 7072 6573 656e 740a 2020 2020 7768 656e present. when │ │ │ │ 0018f880: 3a20 7379 7363 616c 6c73 5f66 6f75 6e64 : syscalls_found │ │ │ │ 0018f890: 207c 206c 656e 6774 6820 3d3d 2030 0a20 | length == 0. │ │ │ │ -0018f8a0: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -0018f8b0: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -0018f8c0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -0018f8d0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -0018f8e0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -0018f8f0: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -0018f900: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -0018f910: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -0018f920: 6e74 6169 6e65 7222 5d0a 2020 7461 6773 ntainer"]. tags │ │ │ │ +0018f8a0: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +0018f8b0: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +0018f8c0: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +0018f8d0: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +0018f8e0: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +0018f8f0: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +0018f900: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +0018f910: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +0018f920: 7061 636b 6167 6573 270a 2020 7461 6773 packages'. tags │ │ │ │ 0018f930: 3a0a 2020 2d20 4449 5341 2d53 5449 472d :. - DISA-STIG- │ │ │ │ 0018f940: 5542 5455 2d32 302d 3031 3031 3535 0a20 UBTU-20-010155. │ │ │ │ 0018f950: 202d 204e 4953 542d 3830 302d 3137 312d - NIST-800-171- │ │ │ │ 0018f960: 332e 312e 370a 2020 2d20 4e49 5354 2d38 3.1.7. - NIST-8 │ │ │ │ 0018f970: 3030 2d35 332d 4155 2d31 3228 6329 0a20 00-53-AU-12(c). │ │ │ │ 0018f980: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ 0018f990: 552d 3228 6429 0a20 202d 204e 4953 542d U-2(d). - NIST- │ │ │ │ @@ -102602,23 +102602,23 @@ │ │ │ │ 00190c90: 3d61 6363 6573 730a 2020 2020 2020 6372 =access. cr │ │ │ │ 00190ca0: 6561 7465 3a20 7472 7565 0a20 2020 2020 eate: true. │ │ │ │ 00190cb0: 206d 6f64 653a 206f 2d72 7778 0a20 2020 mode: o-rwx. │ │ │ │ 00190cc0: 2020 2073 7461 7465 3a20 7072 6573 656e state: presen │ │ │ │ 00190cd0: 740a 2020 2020 7768 656e 3a20 7379 7363 t. when: sysc │ │ │ │ 00190ce0: 616c 6c73 5f66 6f75 6e64 207c 206c 656e alls_found | len │ │ │ │ 00190cf0: 6774 6820 3d3d 2030 0a20 2077 6865 6e3a gth == 0. when: │ │ │ │ -00190d00: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -00190d10: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -00190d20: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -00190d30: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -00190d40: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -00190d50: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -00190d60: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -00190d70: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -00190d80: 7222 5d0a 2020 2d20 6175 6469 745f 6172 r"]. - audit_ar │ │ │ │ +00190d00: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +00190d10: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +00190d20: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +00190d30: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +00190d40: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +00190d50: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +00190d60: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +00190d70: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +00190d80: 6573 270a 2020 2d20 6175 6469 745f 6172 es'. - audit_ar │ │ │ │ 00190d90: 6368 203d 3d20 2262 3634 220a 2020 7461 ch == "b64". ta │ │ │ │ 00190da0: 6773 3a0a 2020 2d20 4449 5341 2d53 5449 gs:. - DISA-STI │ │ │ │ 00190db0: 472d 5542 5455 2d32 302d 3031 3031 3535 G-UBTU-20-010155 │ │ │ │ 00190dc0: 0a20 202d 204e 4953 542d 3830 302d 3137 . - NIST-800-17 │ │ │ │ 00190dd0: 312d 332e 312e 370a 2020 2d20 4e49 5354 1-3.1.7. - NIST │ │ │ │ 00190de0: 2d38 3030 2d35 332d 4155 2d31 3228 6329 -800-53-AU-12(c) │ │ │ │ 00190df0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ @@ -102929,22 +102929,22 @@ │ │ │ │ 00192100: 7373 0a20 2020 2020 2063 7265 6174 653a ss. create: │ │ │ │ 00192110: 2074 7275 650a 2020 2020 2020 6d6f 6465 true. mode │ │ │ │ 00192120: 3a20 6f2d 7277 780a 2020 2020 2020 7374 : o-rwx. st │ │ │ │ 00192130: 6174 653a 2070 7265 7365 6e74 0a20 2020 ate: present. │ │ │ │ 00192140: 2077 6865 6e3a 2073 7973 6361 6c6c 735f when: syscalls_ │ │ │ │ 00192150: 666f 756e 6420 7c20 6c65 6e67 7468 203d found | length = │ │ │ │ 00192160: 3d20 300a 2020 7768 656e 3a0a 2020 2d20 = 0. when:. - │ │ │ │ -00192170: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ -00192180: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ -00192190: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ -001921a0: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ -001921b0: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ -001921c0: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ -001921d0: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ -001921e0: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +00192170: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ +00192180: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ +00192190: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ +001921a0: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ +001921b0: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ +001921c0: 6e65 7222 5d0a 2020 2d20 2722 6175 6469 ner"]. - '"audi │ │ │ │ +001921d0: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ +001921e0: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ 001921f0: 2074 6167 733a 0a20 202d 2044 4953 412d tags:. - DISA- │ │ │ │ 00192200: 5354 4947 2d55 4254 552d 3230 2d30 3130 STIG-UBTU-20-010 │ │ │ │ 00192210: 3135 350a 2020 2d20 4e49 5354 2d38 3030 155. - NIST-800 │ │ │ │ 00192220: 2d31 3731 2d33 2e31 2e37 0a20 202d 204e -171-3.1.7. - N │ │ │ │ 00192230: 4953 542d 3830 302d 3533 2d41 552d 3132 IST-800-53-AU-12 │ │ │ │ 00192240: 2863 290a 2020 2d20 4e49 5354 2d38 3030 (c). - NIST-800 │ │ │ │ 00192250: 2d35 332d 4155 2d32 2864 290a 2020 2d20 -53-AU-2(d). - │ │ │ │ @@ -103254,23 +103254,23 @@ │ │ │ │ 00193550: 6363 6573 730a 2020 2020 2020 6372 6561 ccess. crea │ │ │ │ 00193560: 7465 3a20 7472 7565 0a20 2020 2020 206d te: true. m │ │ │ │ 00193570: 6f64 653a 206f 2d72 7778 0a20 2020 2020 ode: o-rwx. │ │ │ │ 00193580: 2073 7461 7465 3a20 7072 6573 656e 740a state: present. │ │ │ │ 00193590: 2020 2020 7768 656e 3a20 7379 7363 616c when: syscal │ │ │ │ 001935a0: 6c73 5f66 6f75 6e64 207c 206c 656e 6774 ls_found | lengt │ │ │ │ 001935b0: 6820 3d3d 2030 0a20 2077 6865 6e3a 0a20 h == 0. when:. │ │ │ │ -001935c0: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ -001935d0: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ -001935e0: 636b 6167 6573 270a 2020 2d20 616e 7369 ckages'. - ansi │ │ │ │ -001935f0: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ -00193600: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ -00193610: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ -00193620: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ -00193630: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ -00193640: 5d0a 2020 2d20 6175 6469 745f 6172 6368 ]. - audit_arch │ │ │ │ +001935c0: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ +001935d0: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ +001935e0: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ +001935f0: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ +00193600: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ +00193610: 7461 696e 6572 225d 0a20 202d 2027 2261 tainer"]. - '"a │ │ │ │ +00193620: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ +00193630: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ +00193640: 270a 2020 2d20 6175 6469 745f 6172 6368 '. - audit_arch │ │ │ │ 00193650: 203d 3d20 2262 3634 220a 2020 7461 6773 == "b64". tags │ │ │ │ 00193660: 3a0a 2020 2d20 4449 5341 2d53 5449 472d :. - DISA-STIG- │ │ │ │ 00193670: 5542 5455 2d32 302d 3031 3031 3535 0a20 UBTU-20-010155. │ │ │ │ 00193680: 202d 204e 4953 542d 3830 302d 3137 312d - NIST-800-171- │ │ │ │ 00193690: 332e 312e 370a 2020 2d20 4e49 5354 2d38 3.1.7. - NIST-8 │ │ │ │ 001936a0: 3030 2d35 332d 4155 2d31 3228 6329 0a20 00-53-AU-12(c). │ │ │ │ 001936b0: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ @@ -103305,25 +103305,25 @@ │ │ │ │ 00193880: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f class="panel-co │ │ │ │ 00193890: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522 llapse collapse" │ │ │ │ 001938a0: 2069 643d 2269 646d 3136 3132 3222 3e3c id="idm16122">< │ │ │ │ 001938b0: 7072 653e 3c63 6f64 653e 2320 5265 6d65 pre>
# Reme │ │ │ │ 001938c0: 6469 6174 696f 6e20 6973 2061 7070 6c69 diation is appli │ │ │ │ 001938d0: 6361 626c 6520 6f6e 6c79 2069 6e20 6365 cable only in ce │ │ │ │ 001938e0: 7274 6169 6e20 706c 6174 666f 726d 730a rtain platforms. │ │ │ │ -001938f0: 6966 2064 706b 672d 7175 6572 7920 2d2d if dpkg-query -- │ │ │ │ -00193900: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ -00193910: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ -00193920: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ -00193930: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ -00193940: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ -00193950: 616c 6c65 6420 2661 6d70 3b26 616d 703b alled && │ │ │ │ -00193960: 205b 2021 202d 6620 2f2e 646f 636b 6572 [ ! -f /.docker │ │ │ │ -00193970: 656e 7620 5d20 2661 6d70 3b26 616d 703b env ] && │ │ │ │ -00193980: 205b 2021 202d 6620 2f72 756e 2f2e 636f [ ! -f /run/.co │ │ │ │ -00193990: 6e74 6169 6e65 7265 6e76 205d 3b20 7468 ntainerenv ]; th │ │ │ │ +001938f0: 6966 205b 2021 202d 6620 2f2e 646f 636b if [ ! -f /.dock │ │ │ │ +00193900: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +00193910: 703b 205b 2021 202d 6620 2f72 756e 2f2e p; [ ! -f /run/. │ │ │ │ +00193920: 636f 6e74 6169 6e65 7265 6e76 205d 2026 containerenv ] & │ │ │ │ +00193930: 616d 703b 2661 6d70 3b20 6470 6b67 2d71 amp;& dpkg-q │ │ │ │ +00193940: 7565 7279 202d 2d73 686f 7720 2d2d 7368 uery --show --sh │ │ │ │ +00193950: 6f77 666f 726d 6174 3d27 247b 6462 3a53 owformat='${db:S │ │ │ │ +00193960: 7461 7475 732d 5374 6174 7573 7d5c 6e27 tatus-Status}\n' │ │ │ │ +00193970: 2027 6175 6469 7464 2720 3226 6774 3b2f 'auditd' 2>/ │ │ │ │ +00193980: 6465 762f 6e75 6c6c 207c 2067 7265 7020 dev/null | grep │ │ │ │ +00193990: 2d71 2069 6e73 7461 6c6c 6564 3b20 7468 -q installed; th │ │ │ │ 001939a0: 656e 0a0a 2320 4669 7273 7420 7065 7266 en..# First perf │ │ │ │ 001939b0: 6f72 6d20 7468 6520 7265 6d65 6469 6174 orm the remediat │ │ │ │ 001939c0: 696f 6e20 6f66 2074 6865 2073 7973 6361 ion of the sysca │ │ │ │ 001939d0: 6c6c 2072 756c 650a 2320 5265 7472 6965 ll rule.# Retrie │ │ │ │ 001939e0: 7665 2068 6172 6477 6172 6520 6172 6368 ve hardware arch │ │ │ │ 001939f0: 6974 6563 7475 7265 206f 6620 7468 6520 itecture of the │ │ │ │ 00193a00: 756e 6465 726c 7969 6e67 2073 7973 7465 underlying syste │ │ │ │ @@ -105940,22 +105940,22 @@ │ │ │ │ 0019dd30: 202d 2072 6573 7472 6963 745f 7374 7261 - restrict_stra │ │ │ │ 0019dd40: 7465 6779 0a0a 2d20 6e61 6d65 3a20 5365 tegy..- name: Se │ │ │ │ 0019dd50: 7420 6172 6368 6974 6563 7475 7265 2066 t architecture f │ │ │ │ 0019dd60: 6f72 2061 7564 6974 206f 7065 6e61 7420 or audit openat │ │ │ │ 0019dd70: 7461 736b 730a 2020 7365 745f 6661 6374 tasks. set_fact │ │ │ │ 0019dd80: 3a0a 2020 2020 6175 6469 745f 6172 6368 :. audit_arch │ │ │ │ 0019dd90: 3a20 6236 340a 2020 7768 656e 3a0a 2020 : b64. when:. │ │ │ │ -0019dda0: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ -0019ddb0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ -0019ddc0: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ -0019ddd0: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ -0019dde0: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ -0019ddf0: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ -0019de00: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ -0019de10: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +0019dda0: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ +0019ddb0: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ +0019ddc0: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ +0019ddd0: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ +0019dde0: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ +0019ddf0: 6169 6e65 7222 5d0a 2020 2d20 2722 6175 ainer"]. - '"au │ │ │ │ +0019de00: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ +0019de10: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ 0019de20: 0a20 202d 2061 6e73 6962 6c65 5f61 7263 . - ansible_arc │ │ │ │ 0019de30: 6869 7465 6374 7572 6520 3d3d 2022 6161 hitecture == "aa │ │ │ │ 0019de40: 7263 6836 3422 206f 7220 616e 7369 626c rch64" or ansibl │ │ │ │ 0019de50: 655f 6172 6368 6974 6563 7475 7265 203d e_architecture = │ │ │ │ 0019de60: 3d20 2270 7063 3634 2220 6f72 2061 6e73 = "ppc64" or ans │ │ │ │ 0019de70: 6962 6c65 5f61 7263 6869 7465 6374 7572 ible_architectur │ │ │ │ 0019de80: 650a 2020 2020 3d3d 2022 7070 6336 346c e. == "ppc64l │ │ │ │ @@ -106278,22 +106278,22 @@ │ │ │ │ 0019f250: 6573 730a 2020 2020 2020 6372 6561 7465 ess. create │ │ │ │ 0019f260: 3a20 7472 7565 0a20 2020 2020 206d 6f64 : true. mod │ │ │ │ 0019f270: 653a 206f 2d72 7778 0a20 2020 2020 2073 e: o-rwx. s │ │ │ │ 0019f280: 7461 7465 3a20 7072 6573 656e 740a 2020 tate: present. │ │ │ │ 0019f290: 2020 7768 656e 3a20 7379 7363 616c 6c73 when: syscalls │ │ │ │ 0019f2a0: 5f66 6f75 6e64 207c 206c 656e 6774 6820 _found | length │ │ │ │ 0019f2b0: 3d3d 2030 0a20 2077 6865 6e3a 0a20 202d == 0. when:. - │ │ │ │ -0019f2c0: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ -0019f2d0: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ -0019f2e0: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl │ │ │ │ -0019f2f0: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ -0019f300: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ -0019f310: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ -0019f320: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ -0019f330: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +0019f2c0: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ +0019f2d0: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ +0019f2e0: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ +0019f2f0: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ +0019f300: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ +0019f310: 696e 6572 225d 0a20 202d 2027 2261 7564 iner"]. - '"aud │ │ │ │ +0019f320: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ +0019f330: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ 0019f340: 2020 7461 6773 3a0a 2020 2d20 4449 5341 tags:. - DISA │ │ │ │ 0019f350: 2d53 5449 472d 5542 5455 2d32 302d 3031 -STIG-UBTU-20-01 │ │ │ │ 0019f360: 3031 3539 0a20 202d 204e 4953 542d 3830 0159. - NIST-80 │ │ │ │ 0019f370: 302d 3137 312d 332e 312e 370a 2020 2d20 0-171-3.1.7. - │ │ │ │ 0019f380: 4e49 5354 2d38 3030 2d35 332d 4155 2d31 NIST-800-53-AU-1 │ │ │ │ 0019f390: 3228 6329 0a20 202d 204e 4953 542d 3830 2(c). - NIST-80 │ │ │ │ 0019f3a0: 302d 3533 2d41 552d 3228 6429 0a20 202d 0-53-AU-2(d). - │ │ │ │ @@ -106604,23 +106604,23 @@ │ │ │ │ 001a06b0: 6579 3d61 6363 6573 730a 2020 2020 2020 ey=access. │ │ │ │ 001a06c0: 6372 6561 7465 3a20 7472 7565 0a20 2020 create: true. │ │ │ │ 001a06d0: 2020 206d 6f64 653a 206f 2d72 7778 0a20 mode: o-rwx. │ │ │ │ 001a06e0: 2020 2020 2073 7461 7465 3a20 7072 6573 state: pres │ │ │ │ 001a06f0: 656e 740a 2020 2020 7768 656e 3a20 7379 ent. when: sy │ │ │ │ 001a0700: 7363 616c 6c73 5f66 6f75 6e64 207c 206c scalls_found | l │ │ │ │ 001a0710: 656e 6774 6820 3d3d 2030 0a20 2077 6865 ength == 0. whe │ │ │ │ -001a0720: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -001a0730: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -001a0740: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -001a0750: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -001a0760: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -001a0770: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -001a0780: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -001a0790: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -001a07a0: 6e65 7222 5d0a 2020 2d20 6175 6469 745f ner"]. - audit_ │ │ │ │ +001a0720: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +001a0730: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +001a0740: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +001a0750: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +001a0760: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +001a0770: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +001a0780: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +001a0790: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +001a07a0: 6167 6573 270a 2020 2d20 6175 6469 745f ages'. - audit_ │ │ │ │ 001a07b0: 6172 6368 203d 3d20 2262 3634 220a 2020 arch == "b64". │ │ │ │ 001a07c0: 7461 6773 3a0a 2020 2d20 4449 5341 2d53 tags:. - DISA-S │ │ │ │ 001a07d0: 5449 472d 5542 5455 2d32 302d 3031 3031 TIG-UBTU-20-0101 │ │ │ │ 001a07e0: 3539 0a20 202d 204e 4953 542d 3830 302d 59. - NIST-800- │ │ │ │ 001a07f0: 3137 312d 332e 312e 370a 2020 2d20 4e49 171-3.1.7. - NI │ │ │ │ 001a0800: 5354 2d38 3030 2d35 332d 4155 2d31 3228 ST-800-53-AU-12( │ │ │ │ 001a0810: 6329 0a20 202d 204e 4953 542d 3830 302d c). - NIST-800- │ │ │ │ @@ -106931,23 +106931,23 @@ │ │ │ │ 001a1b20: 6574 202d 4620 6b65 793d 6163 6365 7373 et -F key=access │ │ │ │ 001a1b30: 0a20 2020 2020 2063 7265 6174 653a 2074 . create: t │ │ │ │ 001a1b40: 7275 650a 2020 2020 2020 6d6f 6465 3a20 rue. mode: │ │ │ │ 001a1b50: 6f2d 7277 780a 2020 2020 2020 7374 6174 o-rwx. stat │ │ │ │ 001a1b60: 653a 2070 7265 7365 6e74 0a20 2020 2077 e: present. w │ │ │ │ 001a1b70: 6865 6e3a 2073 7973 6361 6c6c 735f 666f hen: syscalls_fo │ │ │ │ 001a1b80: 756e 6420 7c20 6c65 6e67 7468 203d 3d20 und | length == │ │ │ │ -001a1b90: 300a 2020 7768 656e 3a0a 2020 2d20 2722 0. when:. - '" │ │ │ │ -001a1ba0: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ -001a1bb0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ -001a1bc0: 7327 0a20 202d 2061 6e73 6962 6c65 5f76 s'. - ansible_v │ │ │ │ -001a1bd0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ -001a1be0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ -001a1bf0: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ -001a1c00: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ -001a1c10: 2263 6f6e 7461 696e 6572 225d 0a20 2074 "container"]. t │ │ │ │ +001a1b90: 300a 2020 7768 656e 3a0a 2020 2d20 616e 0. when:. - an │ │ │ │ +001a1ba0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ +001a1bb0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ +001a1bc0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ +001a1bd0: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ +001a1be0: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ +001a1bf0: 7222 5d0a 2020 2d20 2722 6175 6469 7464 r"]. - '"auditd │ │ │ │ +001a1c00: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ +001a1c10: 7473 2e70 6163 6b61 6765 7327 0a20 2074 ts.packages'. t │ │ │ │ 001a1c20: 6167 733a 0a20 202d 2044 4953 412d 5354 ags:. - DISA-ST │ │ │ │ 001a1c30: 4947 2d55 4254 552d 3230 2d30 3130 3135 IG-UBTU-20-01015 │ │ │ │ 001a1c40: 390a 2020 2d20 4e49 5354 2d38 3030 2d31 9. - NIST-800-1 │ │ │ │ 001a1c50: 3731 2d33 2e31 2e37 0a20 202d 204e 4953 71-3.1.7. - NIS │ │ │ │ 001a1c60: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ 001a1c70: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ 001a1c80: 332d 4155 2d32 2864 290a 2020 2d20 4e49 3-AU-2(d). - NI │ │ │ │ @@ -107257,23 +107257,23 @@ │ │ │ │ 001a2f80: 7420 2d46 206b 6579 3d61 6363 6573 730a t -F key=access. │ │ │ │ 001a2f90: 2020 2020 2020 6372 6561 7465 3a20 7472 create: tr │ │ │ │ 001a2fa0: 7565 0a20 2020 2020 206d 6f64 653a 206f ue. mode: o │ │ │ │ 001a2fb0: 2d72 7778 0a20 2020 2020 2073 7461 7465 -rwx. state │ │ │ │ 001a2fc0: 3a20 7072 6573 656e 740a 2020 2020 7768 : present. wh │ │ │ │ 001a2fd0: 656e 3a20 7379 7363 616c 6c73 5f66 6f75 en: syscalls_fou │ │ │ │ 001a2fe0: 6e64 207c 206c 656e 6774 6820 3d3d 2030 nd | length == 0 │ │ │ │ -001a2ff0: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -001a3000: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -001a3010: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -001a3020: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -001a3030: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -001a3040: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -001a3050: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -001a3060: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -001a3070: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +001a2ff0: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +001a3000: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +001a3010: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +001a3020: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +001a3030: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +001a3040: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +001a3050: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +001a3060: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +001a3070: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ 001a3080: 6175 6469 745f 6172 6368 203d 3d20 2262 audit_arch == "b │ │ │ │ 001a3090: 3634 220a 2020 7461 6773 3a0a 2020 2d20 64". tags:. - │ │ │ │ 001a30a0: 4449 5341 2d53 5449 472d 5542 5455 2d32 DISA-STIG-UBTU-2 │ │ │ │ 001a30b0: 302d 3031 3031 3539 0a20 202d 204e 4953 0-010159. - NIS │ │ │ │ 001a30c0: 542d 3830 302d 3137 312d 332e 312e 370a T-800-171-3.1.7. │ │ │ │ 001a30d0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ 001a30e0: 4155 2d31 3228 6329 0a20 202d 204e 4953 AU-12(c). - NIS │ │ │ │ @@ -107308,26 +107308,26 @@ │ │ │ │ 001a32b0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61
│ │ │ │ 001a32f0: 3c63 6f64 653e 2320 5265 6d65 6469 6174# Remediat │ │ │ │ 001a3300: 696f 6e20 6973 2061 7070 6c69 6361 626c ion is applicabl │ │ │ │ 001a3310: 6520 6f6e 6c79 2069 6e20 6365 7274 6169 e only in certai │ │ │ │ -001a3320: 6e20 706c 6174 666f 726d 730a 6966 2064 n platforms.if d │ │ │ │ -001a3330: 706b 672d 7175 6572 7920 2d2d 7368 6f77 pkg-query --show │ │ │ │ -001a3340: 202d 2d73 686f 7766 6f72 6d61 743d 2724 --showformat='$ │ │ │ │ -001a3350: 7b64 623a 5374 6174 7573 2d53 7461 7475 {db:Status-Statu │ │ │ │ -001a3360: 737d 5c6e 2720 2761 7564 6974 6427 2032 s}\n' 'auditd' 2 │ │ │ │ -001a3370: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20 >/dev/null | │ │ │ │ -001a3380: 6772 6570 202d 7120 696e 7374 616c 6c65 grep -q installe │ │ │ │ -001a3390: 6420 2661 6d70 3b26 616d 703b 205b 2021 d && [ ! │ │ │ │ -001a33a0: 202d 6620 2f2e 646f 636b 6572 656e 7620 -f /.dockerenv │ │ │ │ -001a33b0: 5d20 2661 6d70 3b26 616d 703b 205b 2021 ] && [ ! │ │ │ │ -001a33c0: 202d 6620 2f72 756e 2f2e 636f 6e74 6169 -f /run/.contai │ │ │ │ -001a33d0: 6e65 7265 6e76 205d 3b20 7468 656e 0a0a nerenv ]; then.. │ │ │ │ +001a3320: 6e20 706c 6174 666f 726d 730a 6966 205b n platforms.if [ │ │ │ │ +001a3330: 2021 202d 6620 2f2e 646f 636b 6572 656e ! -f /.dockeren │ │ │ │ +001a3340: 7620 5d20 2661 6d70 3b26 616d 703b 205b v ] && [ │ │ │ │ +001a3350: 2021 202d 6620 2f72 756e 2f2e 636f 6e74 ! -f /run/.cont │ │ │ │ +001a3360: 6169 6e65 7265 6e76 205d 2026 616d 703b ainerenv ] & │ │ │ │ +001a3370: 2661 6d70 3b20 6470 6b67 2d71 7565 7279 & dpkg-query │ │ │ │ +001a3380: 202d 2d73 686f 7720 2d2d 7368 6f77 666f --show --showfo │ │ │ │ +001a3390: 726d 6174 3d27 247b 6462 3a53 7461 7475 rmat='${db:Statu │ │ │ │ +001a33a0: 732d 5374 6174 7573 7d5c 6e27 2027 6175 s-Status}\n' 'au │ │ │ │ +001a33b0: 6469 7464 2720 3226 6774 3b2f 6465 762f ditd' 2>/dev/ │ │ │ │ +001a33c0: 6e75 6c6c 207c 2067 7265 7020 2d71 2069 null | grep -q i │ │ │ │ +001a33d0: 6e73 7461 6c6c 6564 3b20 7468 656e 0a0a nstalled; then.. │ │ │ │ 001a33e0: 2320 4669 7273 7420 7065 7266 6f72 6d20 # First perform │ │ │ │ 001a33f0: 7468 6520 7265 6d65 6469 6174 696f 6e20 the remediation │ │ │ │ 001a3400: 6f66 2074 6865 2073 7973 6361 6c6c 2072 of the syscall r │ │ │ │ 001a3410: 756c 650a 2320 5265 7472 6965 7665 2068 ule.# Retrieve h │ │ │ │ 001a3420: 6172 6477 6172 6520 6172 6368 6974 6563 ardware architec │ │ │ │ 001a3430: 7475 7265 206f 6620 7468 6520 756e 6465 ture of the unde │ │ │ │ 001a3440: 726c 7969 6e67 2073 7973 7465 6d0a 5b20 rlying system.[ │ │ │ │ @@ -109946,22 +109946,22 @@ │ │ │ │ 001ad790: 6573 7472 6963 745f 7374 7261 7465 6779 estrict_strategy │ │ │ │ 001ad7a0: 0a0a 2d20 6e61 6d65 3a20 5365 7420 6172 ..- name: Set ar │ │ │ │ 001ad7b0: 6368 6974 6563 7475 7265 2066 6f72 2061 chitecture for a │ │ │ │ 001ad7c0: 7564 6974 2074 7275 6e63 6174 6520 7461 udit truncate ta │ │ │ │ 001ad7d0: 736b 730a 2020 7365 745f 6661 6374 3a0a sks. set_fact:. │ │ │ │ 001ad7e0: 2020 2020 6175 6469 745f 6172 6368 3a20 audit_arch: │ │ │ │ 001ad7f0: 6236 340a 2020 7768 656e 3a0a 2020 2d20 b64. when:. - │ │ │ │ -001ad800: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ -001ad810: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ -001ad820: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ -001ad830: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ -001ad840: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ -001ad850: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ -001ad860: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ -001ad870: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +001ad800: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ +001ad810: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ +001ad820: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ +001ad830: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ +001ad840: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ +001ad850: 6e65 7222 5d0a 2020 2d20 2722 6175 6469 ner"]. - '"audi │ │ │ │ +001ad860: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ +001ad870: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ 001ad880: 202d 2061 6e73 6962 6c65 5f61 7263 6869 - ansible_archi │ │ │ │ 001ad890: 7465 6374 7572 6520 3d3d 2022 6161 7263 tecture == "aarc │ │ │ │ 001ad8a0: 6836 3422 206f 7220 616e 7369 626c 655f h64" or ansible_ │ │ │ │ 001ad8b0: 6172 6368 6974 6563 7475 7265 203d 3d20 architecture == │ │ │ │ 001ad8c0: 2270 7063 3634 2220 6f72 2061 6e73 6962 "ppc64" or ansib │ │ │ │ 001ad8d0: 6c65 5f61 7263 6869 7465 6374 7572 650a le_architecture. │ │ │ │ 001ad8e0: 2020 2020 3d3d 2022 7070 6336 346c 6522 == "ppc64le" │ │ │ │ @@ -110284,23 +110284,23 @@ │ │ │ │ 001aecb0: 2d46 206b 6579 3d61 6363 6573 730a 2020 -F key=access. │ │ │ │ 001aecc0: 2020 2020 6372 6561 7465 3a20 7472 7565 create: true │ │ │ │ 001aecd0: 0a20 2020 2020 206d 6f64 653a 206f 2d72 . mode: o-r │ │ │ │ 001aece0: 7778 0a20 2020 2020 2073 7461 7465 3a20 wx. state: │ │ │ │ 001aecf0: 7072 6573 656e 740a 2020 2020 7768 656e present. when │ │ │ │ 001aed00: 3a20 7379 7363 616c 6c73 5f66 6f75 6e64 : syscalls_found │ │ │ │ 001aed10: 207c 206c 656e 6774 6820 3d3d 2030 0a20 | length == 0. │ │ │ │ -001aed20: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -001aed30: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -001aed40: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -001aed50: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -001aed60: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -001aed70: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -001aed80: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -001aed90: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -001aeda0: 6e74 6169 6e65 7222 5d0a 2020 7461 6773 ntainer"]. tags │ │ │ │ +001aed20: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +001aed30: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +001aed40: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +001aed50: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +001aed60: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +001aed70: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +001aed80: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +001aed90: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +001aeda0: 7061 636b 6167 6573 270a 2020 7461 6773 packages'. tags │ │ │ │ 001aedb0: 3a0a 2020 2d20 4449 5341 2d53 5449 472d :. - DISA-STIG- │ │ │ │ 001aedc0: 5542 5455 2d32 302d 3031 3031 3536 0a20 UBTU-20-010156. │ │ │ │ 001aedd0: 202d 204e 4953 542d 3830 302d 3137 312d - NIST-800-171- │ │ │ │ 001aede0: 332e 312e 370a 2020 2d20 4e49 5354 2d38 3.1.7. - NIST-8 │ │ │ │ 001aedf0: 3030 2d35 332d 4155 2d31 3228 6329 0a20 00-53-AU-12(c). │ │ │ │ 001aee00: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ 001aee10: 552d 3228 6429 0a20 202d 204e 4953 542d U-2(d). - NIST- │ │ │ │ @@ -110611,23 +110611,23 @@ │ │ │ │ 001b0120: 7420 2d46 206b 6579 3d61 6363 6573 730a t -F key=access. │ │ │ │ 001b0130: 2020 2020 2020 6372 6561 7465 3a20 7472 create: tr │ │ │ │ 001b0140: 7565 0a20 2020 2020 206d 6f64 653a 206f ue. mode: o │ │ │ │ 001b0150: 2d72 7778 0a20 2020 2020 2073 7461 7465 -rwx. state │ │ │ │ 001b0160: 3a20 7072 6573 656e 740a 2020 2020 7768 : present. wh │ │ │ │ 001b0170: 656e 3a20 7379 7363 616c 6c73 5f66 6f75 en: syscalls_fou │ │ │ │ 001b0180: 6e64 207c 206c 656e 6774 6820 3d3d 2030 nd | length == 0 │ │ │ │ -001b0190: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -001b01a0: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -001b01b0: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -001b01c0: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -001b01d0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -001b01e0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -001b01f0: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -001b0200: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -001b0210: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +001b0190: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +001b01a0: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +001b01b0: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +001b01c0: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +001b01d0: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +001b01e0: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +001b01f0: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +001b0200: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +001b0210: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ 001b0220: 6175 6469 745f 6172 6368 203d 3d20 2262 audit_arch == "b │ │ │ │ 001b0230: 3634 220a 2020 7461 6773 3a0a 2020 2d20 64". tags:. - │ │ │ │ 001b0240: 4449 5341 2d53 5449 472d 5542 5455 2d32 DISA-STIG-UBTU-2 │ │ │ │ 001b0250: 302d 3031 3031 3536 0a20 202d 204e 4953 0-010156. - NIS │ │ │ │ 001b0260: 542d 3830 302d 3137 312d 332e 312e 370a T-800-171-3.1.7. │ │ │ │ 001b0270: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ 001b0280: 4155 2d31 3228 6329 0a20 202d 204e 4953 AU-12(c). - NIS │ │ │ │ @@ -110940,22 +110940,22 @@ │ │ │ │ 001b15b0: 7373 0a20 2020 2020 2063 7265 6174 653a ss. create: │ │ │ │ 001b15c0: 2074 7275 650a 2020 2020 2020 6d6f 6465 true. mode │ │ │ │ 001b15d0: 3a20 6f2d 7277 780a 2020 2020 2020 7374 : o-rwx. st │ │ │ │ 001b15e0: 6174 653a 2070 7265 7365 6e74 0a20 2020 ate: present. │ │ │ │ 001b15f0: 2077 6865 6e3a 2073 7973 6361 6c6c 735f when: syscalls_ │ │ │ │ 001b1600: 666f 756e 6420 7c20 6c65 6e67 7468 203d found | length = │ │ │ │ 001b1610: 3d20 300a 2020 7768 656e 3a0a 2020 2d20 = 0. when:. - │ │ │ │ -001b1620: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ -001b1630: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ -001b1640: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ -001b1650: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ -001b1660: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ -001b1670: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ -001b1680: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ -001b1690: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +001b1620: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ +001b1630: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ +001b1640: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ +001b1650: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ +001b1660: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ +001b1670: 6e65 7222 5d0a 2020 2d20 2722 6175 6469 ner"]. - '"audi │ │ │ │ +001b1680: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ +001b1690: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ 001b16a0: 2074 6167 733a 0a20 202d 2044 4953 412d tags:. - DISA- │ │ │ │ 001b16b0: 5354 4947 2d55 4254 552d 3230 2d30 3130 STIG-UBTU-20-010 │ │ │ │ 001b16c0: 3135 360a 2020 2d20 4e49 5354 2d38 3030 156. - NIST-800 │ │ │ │ 001b16d0: 2d31 3731 2d33 2e31 2e37 0a20 202d 204e -171-3.1.7. - N │ │ │ │ 001b16e0: 4953 542d 3830 302d 3533 2d41 552d 3132 IST-800-53-AU-12 │ │ │ │ 001b16f0: 2863 290a 2020 2d20 4e49 5354 2d38 3030 (c). - NIST-800 │ │ │ │ 001b1700: 2d35 332d 4155 2d32 2864 290a 2020 2d20 -53-AU-2(d). - │ │ │ │ @@ -111266,23 +111266,23 @@ │ │ │ │ 001b2a10: 2d46 206b 6579 3d61 6363 6573 730a 2020 -F key=access. │ │ │ │ 001b2a20: 2020 2020 6372 6561 7465 3a20 7472 7565 create: true │ │ │ │ 001b2a30: 0a20 2020 2020 206d 6f64 653a 206f 2d72 . mode: o-r │ │ │ │ 001b2a40: 7778 0a20 2020 2020 2073 7461 7465 3a20 wx. state: │ │ │ │ 001b2a50: 7072 6573 656e 740a 2020 2020 7768 656e present. when │ │ │ │ 001b2a60: 3a20 7379 7363 616c 6c73 5f66 6f75 6e64 : syscalls_found │ │ │ │ 001b2a70: 207c 206c 656e 6774 6820 3d3d 2030 0a20 | length == 0. │ │ │ │ -001b2a80: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -001b2a90: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -001b2aa0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -001b2ab0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -001b2ac0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -001b2ad0: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -001b2ae0: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -001b2af0: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -001b2b00: 6e74 6169 6e65 7222 5d0a 2020 2d20 6175 ntainer"]. - au │ │ │ │ +001b2a80: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +001b2a90: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +001b2aa0: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +001b2ab0: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +001b2ac0: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +001b2ad0: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +001b2ae0: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +001b2af0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +001b2b00: 7061 636b 6167 6573 270a 2020 2d20 6175 packages'. - au │ │ │ │ 001b2b10: 6469 745f 6172 6368 203d 3d20 2262 3634 dit_arch == "b64 │ │ │ │ 001b2b20: 220a 2020 7461 6773 3a0a 2020 2d20 4449 ". tags:. - DI │ │ │ │ 001b2b30: 5341 2d53 5449 472d 5542 5455 2d32 302d SA-STIG-UBTU-20- │ │ │ │ 001b2b40: 3031 3031 3536 0a20 202d 204e 4953 542d 010156. - NIST- │ │ │ │ 001b2b50: 3830 302d 3137 312d 332e 312e 370a 2020 800-171-3.1.7. │ │ │ │ 001b2b60: 2d20 4e49 5354 2d38 3030 2d35 332d 4155 - NIST-800-53-AU │ │ │ │ 001b2b70: 2d31 3228 6329 0a20 202d 204e 4953 542d -12(c). - NIST- │ │ │ │ @@ -111317,26 +111317,26 @@ │ │ │ │ 001b2d40: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61
│ │ │ │ 001b2d80: 3c63 6f64 653e 2320 5265 6d65 6469 6174# Remediat │ │ │ │ 001b2d90: 696f 6e20 6973 2061 7070 6c69 6361 626c ion is applicabl │ │ │ │ 001b2da0: 6520 6f6e 6c79 2069 6e20 6365 7274 6169 e only in certai │ │ │ │ -001b2db0: 6e20 706c 6174 666f 726d 730a 6966 2064 n platforms.if d │ │ │ │ -001b2dc0: 706b 672d 7175 6572 7920 2d2d 7368 6f77 pkg-query --show │ │ │ │ -001b2dd0: 202d 2d73 686f 7766 6f72 6d61 743d 2724 --showformat='$ │ │ │ │ -001b2de0: 7b64 623a 5374 6174 7573 2d53 7461 7475 {db:Status-Statu │ │ │ │ -001b2df0: 737d 5c6e 2720 2761 7564 6974 6427 2032 s}\n' 'auditd' 2 │ │ │ │ -001b2e00: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20 >/dev/null | │ │ │ │ -001b2e10: 6772 6570 202d 7120 696e 7374 616c 6c65 grep -q installe │ │ │ │ -001b2e20: 6420 2661 6d70 3b26 616d 703b 205b 2021 d && [ ! │ │ │ │ -001b2e30: 202d 6620 2f2e 646f 636b 6572 656e 7620 -f /.dockerenv │ │ │ │ -001b2e40: 5d20 2661 6d70 3b26 616d 703b 205b 2021 ] && [ ! │ │ │ │ -001b2e50: 202d 6620 2f72 756e 2f2e 636f 6e74 6169 -f /run/.contai │ │ │ │ -001b2e60: 6e65 7265 6e76 205d 3b20 7468 656e 0a0a nerenv ]; then.. │ │ │ │ +001b2db0: 6e20 706c 6174 666f 726d 730a 6966 205b n platforms.if [ │ │ │ │ +001b2dc0: 2021 202d 6620 2f2e 646f 636b 6572 656e ! -f /.dockeren │ │ │ │ +001b2dd0: 7620 5d20 2661 6d70 3b26 616d 703b 205b v ] && [ │ │ │ │ +001b2de0: 2021 202d 6620 2f72 756e 2f2e 636f 6e74 ! -f /run/.cont │ │ │ │ +001b2df0: 6169 6e65 7265 6e76 205d 2026 616d 703b ainerenv ] & │ │ │ │ +001b2e00: 2661 6d70 3b20 6470 6b67 2d71 7565 7279 & dpkg-query │ │ │ │ +001b2e10: 202d 2d73 686f 7720 2d2d 7368 6f77 666f --show --showfo │ │ │ │ +001b2e20: 726d 6174 3d27 247b 6462 3a53 7461 7475 rmat='${db:Statu │ │ │ │ +001b2e30: 732d 5374 6174 7573 7d5c 6e27 2027 6175 s-Status}\n' 'au │ │ │ │ +001b2e40: 6469 7464 2720 3226 6774 3b2f 6465 762f ditd' 2>/dev/ │ │ │ │ +001b2e50: 6e75 6c6c 207c 2067 7265 7020 2d71 2069 null | grep -q i │ │ │ │ +001b2e60: 6e73 7461 6c6c 6564 3b20 7468 656e 0a0a nstalled; then.. │ │ │ │ 001b2e70: 2320 4669 7273 7420 7065 7266 6f72 6d20 # First perform │ │ │ │ 001b2e80: 7468 6520 7265 6d65 6469 6174 696f 6e20 the remediation │ │ │ │ 001b2e90: 6f66 2074 6865 2073 7973 6361 6c6c 2072 of the syscall r │ │ │ │ 001b2ea0: 756c 650a 2320 5265 7472 6965 7665 2068 ule.# Retrieve h │ │ │ │ 001b2eb0: 6172 6477 6172 6520 6172 6368 6974 6563 ardware architec │ │ │ │ 001b2ec0: 7475 7265 206f 6620 7468 6520 756e 6465 ture of the unde │ │ │ │ 001b2ed0: 726c 7969 6e67 2073 7973 7465 6d0a 5b20 rlying system.[ │ │ │ │ @@ -113925,25 +113925,25 @@ │ │ │ │ 001bd040: 7620 636c 6173 733d 2270 616e 656c 2d63 v class="panel-c │ │ │ │ 001bd050: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365 ollapse collapse │ │ │ │ 001bd060: 2220 6964 3d22 6964 6d31 3637 3531 223e " id="idm16751"> │ │ │ │ 001bd070: 3c70 7265 3e3c 636f 6465 3e23 2052 656d
# Rem │ │ │ │ 001bd080: 6564 6961 7469 6f6e 2069 7320 6170 706c ediation is appl │ │ │ │ 001bd090: 6963 6162 6c65 206f 6e6c 7920 696e 2063 icable only in c │ │ │ │ 001bd0a0: 6572 7461 696e 2070 6c61 7466 6f72 6d73 ertain platforms │ │ │ │ -001bd0b0: 0a69 6620 6470 6b67 2d71 7565 7279 202d .if dpkg-query - │ │ │ │ -001bd0c0: 2d73 686f 7720 2d2d 7368 6f77 666f 726d -show --showform │ │ │ │ -001bd0d0: 6174 3d27 247b 6462 3a53 7461 7475 732d at='${db:Status- │ │ │ │ -001bd0e0: 5374 6174 7573 7d5c 6e27 2027 6175 6469 Status}\n' 'audi │ │ │ │ -001bd0f0: 7464 2720 3226 6774 3b2f 6465 762f 6e75 td' 2>/dev/nu │ │ │ │ -001bd100: 6c6c 207c 2067 7265 7020 2d71 2069 6e73 ll | grep -q ins │ │ │ │ -001bd110: 7461 6c6c 6564 2026 616d 703b 2661 6d70 talled && │ │ │ │ -001bd120: 3b20 5b20 2120 2d66 202f 2e64 6f63 6b65 ; [ ! -f /.docke │ │ │ │ -001bd130: 7265 6e76 205d 2026 616d 703b 2661 6d70 renv ] && │ │ │ │ -001bd140: 3b20 5b20 2120 2d66 202f 7275 6e2f 2e63 ; [ ! -f /run/.c │ │ │ │ -001bd150: 6f6e 7461 696e 6572 656e 7620 5d3b 2074 ontainerenv ]; t │ │ │ │ +001bd0b0: 0a69 6620 5b20 2120 2d66 202f 2e64 6f63 .if [ ! -f /.doc │ │ │ │ +001bd0c0: 6b65 7265 6e76 205d 2026 616d 703b 2661 kerenv ] &&a │ │ │ │ +001bd0d0: 6d70 3b20 5b20 2120 2d66 202f 7275 6e2f mp; [ ! -f /run/ │ │ │ │ +001bd0e0: 2e63 6f6e 7461 696e 6572 656e 7620 5d20 .containerenv ] │ │ │ │ +001bd0f0: 2661 6d70 3b26 616d 703b 2064 706b 672d && dpkg- │ │ │ │ +001bd100: 7175 6572 7920 2d2d 7368 6f77 202d 2d73 query --show --s │ │ │ │ +001bd110: 686f 7766 6f72 6d61 743d 2724 7b64 623a howformat='${db: │ │ │ │ +001bd120: 5374 6174 7573 2d53 7461 7475 737d 5c6e Status-Status}\n │ │ │ │ +001bd130: 2720 2761 7564 6974 6427 2032 2667 743b ' 'auditd' 2> │ │ │ │ +001bd140: 2f64 6576 2f6e 756c 6c20 7c20 6772 6570 /dev/null | grep │ │ │ │ +001bd150: 202d 7120 696e 7374 616c 6c65 643b 2074 -q installed; t │ │ │ │ 001bd160: 6865 6e0a 0a23 2046 6972 7374 2070 6572 hen..# First per │ │ │ │ 001bd170: 666f 726d 2074 6865 2072 656d 6564 6961 form the remedia │ │ │ │ 001bd180: 7469 6f6e 206f 6620 7468 6520 7379 7363 tion of the sysc │ │ │ │ 001bd190: 616c 6c20 7275 6c65 0a23 2052 6574 7269 all rule.# Retri │ │ │ │ 001bd1a0: 6576 6520 6861 7264 7761 7265 2061 7263 eve hardware arc │ │ │ │ 001bd1b0: 6869 7465 6374 7572 6520 6f66 2074 6865 hitecture of the │ │ │ │ 001bd1c0: 2075 6e64 6572 6c79 696e 6720 7379 7374 underlying syst │ │ │ │ @@ -115638,26 +115638,26 @@ │ │ │ │ 001c3b50: 3e3c 6272 3e3c 6469 7620 636c 6173 733d >
# Remediation │ │ │ │ 001c3ba0: 2069 7320 6170 706c 6963 6162 6c65 206f is applicable o │ │ │ │ 001c3bb0: 6e6c 7920 696e 2063 6572 7461 696e 2070 nly in certain p │ │ │ │ -001c3bc0: 6c61 7466 6f72 6d73 0a69 6620 6470 6b67 latforms.if dpkg │ │ │ │ -001c3bd0: 2d71 7565 7279 202d 2d73 686f 7720 2d2d -query --show -- │ │ │ │ -001c3be0: 7368 6f77 666f 726d 6174 3d27 247b 6462 showformat='${db │ │ │ │ -001c3bf0: 3a53 7461 7475 732d 5374 6174 7573 7d5c :Status-Status}\ │ │ │ │ -001c3c00: 6e27 2027 6175 6469 7464 2720 3226 6774 n' 'auditd' 2> │ │ │ │ -001c3c10: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265 ;/dev/null | gre │ │ │ │ -001c3c20: 7020 2d71 2069 6e73 7461 6c6c 6564 2026 p -q installed & │ │ │ │ -001c3c30: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -001c3c40: 202f 2e64 6f63 6b65 7265 6e76 205d 2026 /.dockerenv ] & │ │ │ │ -001c3c50: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -001c3c60: 202f 7275 6e2f 2e63 6f6e 7461 696e 6572 /run/.container │ │ │ │ -001c3c70: 656e 7620 5d3b 2074 6865 6e0a 0a23 2046 env ]; then..# F │ │ │ │ +001c3bc0: 6c61 7466 6f72 6d73 0a69 6620 5b20 2120 latforms.if [ ! │ │ │ │ +001c3bd0: 2d66 202f 2e64 6f63 6b65 7265 6e76 205d -f /.dockerenv ] │ │ │ │ +001c3be0: 2026 616d 703b 2661 6d70 3b20 5b20 2120 && [ ! │ │ │ │ +001c3bf0: 2d66 202f 7275 6e2f 2e63 6f6e 7461 696e -f /run/.contain │ │ │ │ +001c3c00: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +001c3c10: 703b 2064 706b 672d 7175 6572 7920 2d2d p; dpkg-query -- │ │ │ │ +001c3c20: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ +001c3c30: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ +001c3c40: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ +001c3c50: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ +001c3c60: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ +001c3c70: 616c 6c65 643b 2074 6865 6e0a 0a23 2046 alled; then..# F │ │ │ │ 001c3c80: 6972 7374 2070 6572 666f 726d 2074 6865 irst perform the │ │ │ │ 001c3c90: 2072 656d 6564 6961 7469 6f6e 206f 6620 remediation of │ │ │ │ 001c3ca0: 7468 6520 7379 7363 616c 6c20 7275 6c65 the syscall rule │ │ │ │ 001c3cb0: 0a23 2052 6574 7269 6576 6520 6861 7264 .# Retrieve hard │ │ │ │ 001c3cc0: 7761 7265 2061 7263 6869 7465 6374 7572 ware architectur │ │ │ │ 001c3cd0: 6520 6f66 2074 6865 2075 6e64 6572 6c79 e of the underly │ │ │ │ 001c3ce0: 696e 6720 7379 7374 656d 0a23 204e 6f74 ing system.# Not │ │ │ │ @@ -116861,23 +116861,23 @@ │ │ │ │ 001c87c0: 6169 6e73 3a20 5e5c 732a 2d77 5c73 2b2f ains: ^\s*-w\s+/ │ │ │ │ 001c87d0: 7661 722f 6c6f 672f 6661 696c 6c6f 675c var/log/faillog\ │ │ │ │ 001c87e0: 732b 2d70 5c73 2b77 6128 5c73 7c24 292b s+-p\s+wa(\s|$)+ │ │ │ │ 001c87f0: 0a20 2020 2070 6174 7465 726e 733a 2027 . patterns: ' │ │ │ │ 001c8800: 2a2e 7275 6c65 7327 0a20 2072 6567 6973 *.rules'. regis │ │ │ │ 001c8810: 7465 723a 2066 696e 645f 6578 6973 7469 ter: find_existi │ │ │ │ 001c8820: 6e67 5f77 6174 6368 5f72 756c 6573 5f64 ng_watch_rules_d │ │ │ │ -001c8830: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -001c8840: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -001c8850: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -001c8860: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -001c8870: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -001c8880: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -001c8890: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -001c88a0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -001c88b0: 636f 6e74 6169 6e65 7222 5d0a 2020 7461 container"]. ta │ │ │ │ +001c8830: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +001c8840: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +001c8850: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +001c8860: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +001c8870: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +001c8880: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +001c8890: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +001c88a0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +001c88b0: 732e 7061 636b 6167 6573 270a 2020 7461 s.packages'. ta │ │ │ │ 001c88c0: 6773 3a0a 2020 2d20 4449 5341 2d53 5449 gs:. - DISA-STI │ │ │ │ 001c88d0: 472d 5542 5455 2d32 302d 3031 3031 3730 G-UBTU-20-010170 │ │ │ │ 001c88e0: 0a20 202d 2061 7564 6974 5f72 756c 6573 . - audit_rules │ │ │ │ 001c88f0: 5f6c 6f67 696e 5f65 7665 6e74 735f 6661 _login_events_fa │ │ │ │ 001c8900: 696c 6c6f 670a 2020 2d20 6c6f 775f 636f illog. - low_co │ │ │ │ 001c8910: 6d70 6c65 7869 7479 0a20 202d 206c 6f77 mplexity. - low │ │ │ │ 001c8920: 5f64 6973 7275 7074 696f 6e0a 2020 2d20 _disruption. - │ │ │ │ @@ -116894,23 +116894,23 @@ │ │ │ │ 001c89d0: 7564 6974 2f72 756c 6573 2e64 0a20 2020 udit/rules.d. │ │ │ │ 001c89e0: 2063 6f6e 7461 696e 733a 205e 2e2a 283f contains: ^.*(? │ │ │ │ 001c89f0: 3a2d 4620 6b65 793d 7c2d 6b5c 732b 296c :-F key=|-k\s+)l │ │ │ │ 001c8a00: 6f67 696e 7324 0a20 2020 2070 6174 7465 ogins$. patte │ │ │ │ 001c8a10: 726e 733a 2027 2a2e 7275 6c65 7327 0a20 rns: '*.rules'. │ │ │ │ 001c8a20: 2072 6567 6973 7465 723a 2066 696e 645f register: find_ │ │ │ │ 001c8a30: 7761 7463 685f 6b65 790a 2020 7768 656e watch_key. when │ │ │ │ -001c8a40: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -001c8a50: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -001c8a60: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -001c8a70: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -001c8a80: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -001c8a90: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -001c8aa0: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -001c8ab0: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -001c8ac0: 6572 225d 0a20 202d 2066 696e 645f 6578 er"]. - find_ex │ │ │ │ +001c8a40: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +001c8a50: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +001c8a60: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +001c8a70: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +001c8a80: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +001c8a90: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +001c8aa0: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +001c8ab0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +001c8ac0: 6765 7327 0a20 202d 2066 696e 645f 6578 ges'. - find_ex │ │ │ │ 001c8ad0: 6973 7469 6e67 5f77 6174 6368 5f72 756c isting_watch_rul │ │ │ │ 001c8ae0: 6573 5f64 2e6d 6174 6368 6564 2069 7320 es_d.matched is │ │ │ │ 001c8af0: 6465 6669 6e65 6420 616e 6420 6669 6e64 defined and find │ │ │ │ 001c8b00: 5f65 7869 7374 696e 675f 7761 7463 685f _existing_watch_ │ │ │ │ 001c8b10: 7275 6c65 735f 642e 6d61 7463 6865 640a rules_d.matched. │ │ │ │ 001c8b20: 2020 2020 3d3d 2030 0a20 2074 6167 733a == 0. tags: │ │ │ │ 001c8b30: 0a20 202d 2044 4953 412d 5354 4947 2d55 . - DISA-STIG-U │ │ │ │ @@ -116928,23 +116928,23 @@ │ │ │ │ 001c8bf0: 756c 6573 2e64 2f6c 6f67 696e 732e 7275 ules.d/logins.ru │ │ │ │ 001c8c00: 6c65 7320 6173 2074 6865 2072 6563 6970 les as the recip │ │ │ │ 001c8c10: 6965 6e74 2066 6f72 2074 6865 2072 756c ient for the rul │ │ │ │ 001c8c20: 650a 2020 7365 745f 6661 6374 3a0a 2020 e. set_fact:. │ │ │ │ 001c8c30: 2020 616c 6c5f 6669 6c65 733a 0a20 2020 all_files:. │ │ │ │ 001c8c40: 202d 202f 6574 632f 6175 6469 742f 7275 - /etc/audit/ru │ │ │ │ 001c8c50: 6c65 732e 642f 6c6f 6769 6e73 2e72 756c les.d/logins.rul │ │ │ │ -001c8c60: 6573 0a20 2077 6865 6e3a 0a20 202d 2027 es. when:. - ' │ │ │ │ -001c8c70: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -001c8c80: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -001c8c90: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -001c8ca0: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -001c8cb0: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -001c8cc0: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -001c8cd0: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -001c8ce0: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +001c8c60: 6573 0a20 2077 6865 6e3a 0a20 202d 2061 es. when:. - a │ │ │ │ +001c8c70: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +001c8c80: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +001c8c90: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +001c8ca0: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +001c8cb0: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +001c8cc0: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +001c8cd0: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +001c8ce0: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 001c8cf0: 2d20 6669 6e64 5f77 6174 6368 5f6b 6579 - find_watch_key │ │ │ │ 001c8d00: 2e6d 6174 6368 6564 2069 7320 6465 6669 .matched is defi │ │ │ │ 001c8d10: 6e65 6420 616e 6420 6669 6e64 5f77 6174 ned and find_wat │ │ │ │ 001c8d20: 6368 5f6b 6579 2e6d 6174 6368 6564 203d ch_key.matched = │ │ │ │ 001c8d30: 3d20 3020 616e 6420 6669 6e64 5f65 7869 = 0 and find_exi │ │ │ │ 001c8d40: 7374 696e 675f 7761 7463 685f 7275 6c65 sting_watch_rule │ │ │ │ 001c8d50: 735f 642e 6d61 7463 6865 640a 2020 2020 s_d.matched. │ │ │ │ @@ -116969,22 +116969,22 @@ │ │ │ │ 001c8e80: 7365 745f 6661 6374 3a0a 2020 2020 616c set_fact:. al │ │ │ │ 001c8e90: 6c5f 6669 6c65 733a 0a20 2020 202d 2027 l_files:. - ' │ │ │ │ 001c8ea0: 7b7b 2066 696e 645f 7761 7463 685f 6b65 {{ find_watch_ke │ │ │ │ 001c8eb0: 792e 6669 6c65 7320 7c20 6d61 7028 6174 y.files | map(at │ │ │ │ 001c8ec0: 7472 6962 7574 653d 2727 7061 7468 2727 tribute=''path'' │ │ │ │ 001c8ed0: 2920 7c20 6c69 7374 207c 2066 6972 7374 ) | list | first │ │ │ │ 001c8ee0: 207d 7d27 0a20 2077 6865 6e3a 0a20 202d }}'. when:. - │ │ │ │ -001c8ef0: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ -001c8f00: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ -001c8f10: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl │ │ │ │ -001c8f20: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ -001c8f30: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ -001c8f40: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ -001c8f50: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ -001c8f60: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +001c8ef0: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ +001c8f00: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ +001c8f10: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ +001c8f20: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ +001c8f30: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ +001c8f40: 696e 6572 225d 0a20 202d 2027 2261 7564 iner"]. - '"aud │ │ │ │ +001c8f50: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ +001c8f60: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ 001c8f70: 2020 2d20 6669 6e64 5f77 6174 6368 5f6b - find_watch_k │ │ │ │ 001c8f80: 6579 2e6d 6174 6368 6564 2069 7320 6465 ey.matched is de │ │ │ │ 001c8f90: 6669 6e65 6420 616e 6420 6669 6e64 5f77 fined and find_w │ │ │ │ 001c8fa0: 6174 6368 5f6b 6579 2e6d 6174 6368 6564 atch_key.matched │ │ │ │ 001c8fb0: 2026 6774 3b20 3020 616e 6420 6669 6e64 > 0 and find │ │ │ │ 001c8fc0: 5f65 7869 7374 696e 675f 7761 7463 685f _existing_watch_ │ │ │ │ 001c8fd0: 7275 6c65 735f 642e 6d61 7463 6865 640a rules_d.matched. │ │ │ │ @@ -117011,23 +117011,23 @@ │ │ │ │ 001c9120: 7061 7468 3a20 277b 7b20 616c 6c5f 6669 path: '{{ all_fi │ │ │ │ 001c9130: 6c65 735b 305d 207d 7d27 0a20 2020 206c les[0] }}'. l │ │ │ │ 001c9140: 696e 653a 202d 7720 2f76 6172 2f6c 6f67 ine: -w /var/log │ │ │ │ 001c9150: 2f66 6169 6c6c 6f67 202d 7020 7761 202d /faillog -p wa - │ │ │ │ 001c9160: 6b20 6c6f 6769 6e73 0a20 2020 2063 7265 k logins. cre │ │ │ │ 001c9170: 6174 653a 2074 7275 650a 2020 2020 6d6f ate: true. mo │ │ │ │ 001c9180: 6465 3a20 2730 3634 3027 0a20 2077 6865 de: '0640'. whe │ │ │ │ -001c9190: 6e3a 0a20 202d 2027 2261 7564 6974 6422 n:. - '"auditd" │ │ │ │ -001c91a0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ -001c91b0: 732e 7061 636b 6167 6573 270a 2020 2d20 s.packages'. - │ │ │ │ -001c91c0: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ -001c91d0: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ -001c91e0: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ -001c91f0: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ -001c9200: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ -001c9210: 6e65 7222 5d0a 2020 2d20 6669 6e64 5f65 ner"]. - find_e │ │ │ │ +001c9190: 6e3a 0a20 202d 2061 6e73 6962 6c65 5f76 n:. - ansible_v │ │ │ │ +001c91a0: 6972 7475 616c 697a 6174 696f 6e5f 7479 irtualization_ty │ │ │ │ +001c91b0: 7065 206e 6f74 2069 6e20 5b22 646f 636b pe not in ["dock │ │ │ │ +001c91c0: 6572 222c 2022 6c78 6322 2c20 226f 7065 er", "lxc", "ope │ │ │ │ +001c91d0: 6e76 7a22 2c20 2270 6f64 6d61 6e22 2c20 nvz", "podman", │ │ │ │ +001c91e0: 2263 6f6e 7461 696e 6572 225d 0a20 202d "container"]. - │ │ │ │ +001c91f0: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ +001c9200: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ +001c9210: 6167 6573 270a 2020 2d20 6669 6e64 5f65 ages'. - find_e │ │ │ │ 001c9220: 7869 7374 696e 675f 7761 7463 685f 7275 xisting_watch_ru │ │ │ │ 001c9230: 6c65 735f 642e 6d61 7463 6865 6420 6973 les_d.matched is │ │ │ │ 001c9240: 2064 6566 696e 6564 2061 6e64 2066 696e defined and fin │ │ │ │ 001c9250: 645f 6578 6973 7469 6e67 5f77 6174 6368 d_existing_watch │ │ │ │ 001c9260: 5f72 756c 6573 5f64 2e6d 6174 6368 6564 _rules_d.matched │ │ │ │ 001c9270: 0a20 2020 203d 3d20 300a 2020 7461 6773 . == 0. tags │ │ │ │ 001c9280: 3a0a 2020 2d20 4449 5341 2d53 5449 472d :. - DISA-STIG- │ │ │ │ @@ -117052,23 +117052,23 @@ │ │ │ │ 001c93b0: 5e5c 732a 2d77 5c73 2b2f 7661 722f 6c6f ^\s*-w\s+/var/lo │ │ │ │ 001c93c0: 672f 6661 696c 6c6f 675c 732b 2d70 5c73 g/faillog\s+-p\s │ │ │ │ 001c93d0: 2b77 6128 5c73 7c24 292b 0a20 2020 2070 +wa(\s|$)+. p │ │ │ │ 001c93e0: 6174 7465 726e 733a 2061 7564 6974 2e72 atterns: audit.r │ │ │ │ 001c93f0: 756c 6573 0a20 2072 6567 6973 7465 723a ules. register: │ │ │ │ 001c9400: 2066 696e 645f 6578 6973 7469 6e67 5f77 find_existing_w │ │ │ │ 001c9410: 6174 6368 5f61 7564 6974 5f72 756c 6573 atch_audit_rules │ │ │ │ -001c9420: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -001c9430: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -001c9440: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -001c9450: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -001c9460: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -001c9470: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -001c9480: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -001c9490: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -001c94a0: 636f 6e74 6169 6e65 7222 5d0a 2020 7461 container"]. ta │ │ │ │ +001c9420: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +001c9430: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +001c9440: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +001c9450: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +001c9460: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +001c9470: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +001c9480: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +001c9490: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +001c94a0: 732e 7061 636b 6167 6573 270a 2020 7461 s.packages'. ta │ │ │ │ 001c94b0: 6773 3a0a 2020 2d20 4449 5341 2d53 5449 gs:. - DISA-STI │ │ │ │ 001c94c0: 472d 5542 5455 2d32 302d 3031 3031 3730 G-UBTU-20-010170 │ │ │ │ 001c94d0: 0a20 202d 2061 7564 6974 5f72 756c 6573 . - audit_rules │ │ │ │ 001c94e0: 5f6c 6f67 696e 5f65 7665 6e74 735f 6661 _login_events_fa │ │ │ │ 001c94f0: 696c 6c6f 670a 2020 2d20 6c6f 775f 636f illog. - low_co │ │ │ │ 001c9500: 6d70 6c65 7869 7479 0a20 202d 206c 6f77 mplexity. - low │ │ │ │ 001c9510: 5f64 6973 7275 7074 696f 6e0a 2020 2d20 _disruption. - │ │ │ │ @@ -117085,23 +117085,23 @@ │ │ │ │ 001c95c0: 2f6c 6f67 2f66 6169 6c6c 6f67 202d 7020 /log/faillog -p │ │ │ │ 001c95d0: 7761 202d 6b20 6c6f 6769 6e73 0a20 2020 wa -k logins. │ │ │ │ 001c95e0: 2073 7461 7465 3a20 7072 6573 656e 740a state: present. │ │ │ │ 001c95f0: 2020 2020 6465 7374 3a20 2f65 7463 2f61 dest: /etc/a │ │ │ │ 001c9600: 7564 6974 2f61 7564 6974 2e72 756c 6573 udit/audit.rules │ │ │ │ 001c9610: 0a20 2020 2063 7265 6174 653a 2074 7275 . create: tru │ │ │ │ 001c9620: 650a 2020 2020 6d6f 6465 3a20 2730 3634 e. mode: '064 │ │ │ │ -001c9630: 3027 0a20 2077 6865 6e3a 0a20 202d 2027 0'. when:. - ' │ │ │ │ -001c9640: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -001c9650: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -001c9660: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -001c9670: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -001c9680: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -001c9690: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -001c96a0: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -001c96b0: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +001c9630: 3027 0a20 2077 6865 6e3a 0a20 202d 2061 0'. when:. - a │ │ │ │ +001c9640: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +001c9650: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +001c9660: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +001c9670: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +001c9680: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +001c9690: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +001c96a0: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +001c96b0: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 001c96c0: 2d20 6669 6e64 5f65 7869 7374 696e 675f - find_existing_ │ │ │ │ 001c96d0: 7761 7463 685f 6175 6469 745f 7275 6c65 watch_audit_rule │ │ │ │ 001c96e0: 732e 6d61 7463 6865 6420 6973 2064 6566 s.matched is def │ │ │ │ 001c96f0: 696e 6564 2061 6e64 2066 696e 645f 6578 ined and find_ex │ │ │ │ 001c9700: 6973 7469 6e67 5f77 6174 6368 5f61 7564 isting_watch_aud │ │ │ │ 001c9710: 6974 5f72 756c 6573 2e6d 6174 6368 6564 it_rules.matched │ │ │ │ 001c9720: 0a20 2020 203d 3d20 300a 2020 7461 6773 . == 0. tags │ │ │ │ @@ -117132,25 +117132,25 @@ │ │ │ │ 001c98b0: 6469 7620 636c 6173 733d 2270 616e 656c div class="panel │ │ │ │ 001c98c0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170 -collapse collap │ │ │ │ 001c98d0: 7365 2220 6964 3d22 6964 6d31 3730 3930 se" id="idm17090 │ │ │ │ 001c98e0: 223e 3c70 7265 3e3c 636f 6465 3e23 2052 "> # R │ │ │ │ 001c98f0: 656d 6564 6961 7469 6f6e 2069 7320 6170 emediation is ap │ │ │ │ 001c9900: 706c 6963 6162 6c65 206f 6e6c 7920 696e plicable only in │ │ │ │ 001c9910: 2063 6572 7461 696e 2070 6c61 7466 6f72 certain platfor │ │ │ │ -001c9920: 6d73 0a69 6620 6470 6b67 2d71 7565 7279 ms.if dpkg-query │ │ │ │ -001c9930: 202d 2d73 686f 7720 2d2d 7368 6f77 666f --show --showfo │ │ │ │ -001c9940: 726d 6174 3d27 247b 6462 3a53 7461 7475 rmat='${db:Statu │ │ │ │ -001c9950: 732d 5374 6174 7573 7d5c 6e27 2027 6175 s-Status}\n' 'au │ │ │ │ -001c9960: 6469 7464 2720 3226 6774 3b2f 6465 762f ditd' 2>/dev/ │ │ │ │ -001c9970: 6e75 6c6c 207c 2067 7265 7020 2d71 2069 null | grep -q i │ │ │ │ -001c9980: 6e73 7461 6c6c 6564 2026 616d 703b 2661 nstalled &&a │ │ │ │ -001c9990: 6d70 3b20 5b20 2120 2d66 202f 2e64 6f63 mp; [ ! -f /.doc │ │ │ │ -001c99a0: 6b65 7265 6e76 205d 2026 616d 703b 2661 kerenv ] &&a │ │ │ │ -001c99b0: 6d70 3b20 5b20 2120 2d66 202f 7275 6e2f mp; [ ! -f /run/ │ │ │ │ -001c99c0: 2e63 6f6e 7461 696e 6572 656e 7620 5d3b .containerenv ]; │ │ │ │ +001c9920: 6d73 0a69 6620 5b20 2120 2d66 202f 2e64 ms.if [ ! -f /.d │ │ │ │ +001c9930: 6f63 6b65 7265 6e76 205d 2026 616d 703b ockerenv ] & │ │ │ │ +001c9940: 2661 6d70 3b20 5b20 2120 2d66 202f 7275 & [ ! -f /ru │ │ │ │ +001c9950: 6e2f 2e63 6f6e 7461 696e 6572 656e 7620 n/.containerenv │ │ │ │ +001c9960: 5d20 2661 6d70 3b26 616d 703b 2064 706b ] && dpk │ │ │ │ +001c9970: 672d 7175 6572 7920 2d2d 7368 6f77 202d g-query --show - │ │ │ │ +001c9980: 2d73 686f 7766 6f72 6d61 743d 2724 7b64 -showformat='${d │ │ │ │ +001c9990: 623a 5374 6174 7573 2d53 7461 7475 737d b:Status-Status} │ │ │ │ +001c99a0: 5c6e 2720 2761 7564 6974 6427 2032 2667 \n' 'auditd' 2&g │ │ │ │ +001c99b0: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772 t;/dev/null | gr │ │ │ │ +001c99c0: 6570 202d 7120 696e 7374 616c 6c65 643b ep -q installed; │ │ │ │ 001c99d0: 2074 6865 6e0a 0a23 2050 6572 666f 726d then..# Perform │ │ │ │ 001c99e0: 2074 6865 2072 656d 6564 6961 7469 6f6e the remediation │ │ │ │ 001c99f0: 2066 6f72 2062 6f74 6820 706f 7373 6962 for both possib │ │ │ │ 001c9a00: 6c65 2074 6f6f 6c73 3a20 2761 7564 6974 le tools: 'audit │ │ │ │ 001c9a10: 6374 6c27 2061 6e64 2027 6175 6765 6e72 ctl' and 'augenr │ │ │ │ 001c9a20: 756c 6573 270a 0a23 2043 7265 6174 6520 ules'..# Create │ │ │ │ 001c9a30: 6120 6c69 7374 206f 6620 6175 6469 7420 a list of audit │ │ │ │ @@ -118493,23 +118493,23 @@ │ │ │ │ 001cedc0: 2a2d 775c 732b 2f76 6172 2f6c 6f67 2f6c *-w\s+/var/log/l │ │ │ │ 001cedd0: 6173 746c 6f67 5c73 2b2d 705c 732b 7761 astlog\s+-p\s+wa │ │ │ │ 001cede0: 285c 737c 2429 2b0a 2020 2020 7061 7474 (\s|$)+. patt │ │ │ │ 001cedf0: 6572 6e73 3a20 272a 2e72 756c 6573 270a erns: '*.rules'. │ │ │ │ 001cee00: 2020 7265 6769 7374 6572 3a20 6669 6e64 register: find │ │ │ │ 001cee10: 5f65 7869 7374 696e 675f 7761 7463 685f _existing_watch_ │ │ │ │ 001cee20: 7275 6c65 735f 640a 2020 7768 656e 3a0a rules_d. when:. │ │ │ │ -001cee30: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ -001cee40: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -001cee50: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ -001cee60: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ -001cee70: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ -001cee80: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ -001cee90: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ -001ceea0: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ -001ceeb0: 225d 0a20 2074 6167 733a 0a20 202d 2044 "]. tags:. - D │ │ │ │ +001cee30: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ +001cee40: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ +001cee50: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ +001cee60: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ +001cee70: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ +001cee80: 6e74 6169 6e65 7222 5d0a 2020 2d20 2722 ntainer"]. - '" │ │ │ │ +001cee90: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ +001ceea0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ +001ceeb0: 7327 0a20 2074 6167 733a 0a20 202d 2044 s'. tags:. - D │ │ │ │ 001ceec0: 4953 412d 5354 4947 2d55 4254 552d 3230 ISA-STIG-UBTU-20 │ │ │ │ 001ceed0: 2d30 3130 3137 310a 2020 2d20 4e49 5354 -010171. - NIST │ │ │ │ 001ceee0: 2d38 3030 2d31 3731 2d33 2e31 2e37 0a20 -800-171-3.1.7. │ │ │ │ 001ceef0: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ 001cef00: 432d 3628 3929 0a20 202d 204e 4953 542d C-6(9). - NIST- │ │ │ │ 001cef10: 3830 302d 3533 2d41 552d 3132 2863 290a 800-53-AU-12(c). │ │ │ │ 001cef20: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ @@ -118534,23 +118534,23 @@ │ │ │ │ 001cf050: 2f65 7463 2f61 7564 6974 2f72 756c 6573 /etc/audit/rules │ │ │ │ 001cf060: 2e64 0a20 2020 2063 6f6e 7461 696e 733a .d. contains: │ │ │ │ 001cf070: 205e 2e2a 283f 3a2d 4620 6b65 793d 7c2d ^.*(?:-F key=|- │ │ │ │ 001cf080: 6b5c 732b 296c 6f67 696e 7324 0a20 2020 k\s+)logins$. │ │ │ │ 001cf090: 2070 6174 7465 726e 733a 2027 2a2e 7275 patterns: '*.ru │ │ │ │ 001cf0a0: 6c65 7327 0a20 2072 6567 6973 7465 723a les'. register: │ │ │ │ 001cf0b0: 2066 696e 645f 7761 7463 685f 6b65 790a find_watch_key. │ │ │ │ -001cf0c0: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -001cf0d0: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -001cf0e0: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -001cf0f0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -001cf100: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -001cf110: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -001cf120: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -001cf130: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -001cf140: 6f6e 7461 696e 6572 225d 0a20 202d 2066 ontainer"]. - f │ │ │ │ +001cf0c0: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +001cf0d0: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +001cf0e0: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +001cf0f0: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +001cf100: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +001cf110: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +001cf120: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +001cf130: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +001cf140: 2e70 6163 6b61 6765 7327 0a20 202d 2066 .packages'. - f │ │ │ │ 001cf150: 696e 645f 6578 6973 7469 6e67 5f77 6174 ind_existing_wat │ │ │ │ 001cf160: 6368 5f72 756c 6573 5f64 2e6d 6174 6368 ch_rules_d.match │ │ │ │ 001cf170: 6564 2069 7320 6465 6669 6e65 6420 616e ed is defined an │ │ │ │ 001cf180: 6420 6669 6e64 5f65 7869 7374 696e 675f d find_existing_ │ │ │ │ 001cf190: 7761 7463 685f 7275 6c65 735f 642e 6d61 watch_rules_d.ma │ │ │ │ 001cf1a0: 7463 6865 640a 2020 2020 3d3d 2030 0a20 tched. == 0. │ │ │ │ 001cf1b0: 2074 6167 733a 0a20 202d 2044 4953 412d tags:. - DISA- │ │ │ │ @@ -118578,23 +118578,23 @@ │ │ │ │ 001cf310: 6e73 2e72 756c 6573 2061 7320 7468 6520 ns.rules as the │ │ │ │ 001cf320: 7265 6369 7069 656e 7420 666f 7220 7468 recipient for th │ │ │ │ 001cf330: 6520 7275 6c65 0a20 2073 6574 5f66 6163 e rule. set_fac │ │ │ │ 001cf340: 743a 0a20 2020 2061 6c6c 5f66 696c 6573 t:. all_files │ │ │ │ 001cf350: 3a0a 2020 2020 2d20 2f65 7463 2f61 7564 :. - /etc/aud │ │ │ │ 001cf360: 6974 2f72 756c 6573 2e64 2f6c 6f67 696e it/rules.d/login │ │ │ │ 001cf370: 732e 7275 6c65 730a 2020 7768 656e 3a0a s.rules. when:. │ │ │ │ -001cf380: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ -001cf390: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -001cf3a0: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ -001cf3b0: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ -001cf3c0: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ -001cf3d0: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ -001cf3e0: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ -001cf3f0: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ -001cf400: 225d 0a20 202d 2066 696e 645f 7761 7463 "]. - find_watc │ │ │ │ +001cf380: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ +001cf390: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ +001cf3a0: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ +001cf3b0: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ +001cf3c0: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ +001cf3d0: 6e74 6169 6e65 7222 5d0a 2020 2d20 2722 ntainer"]. - '" │ │ │ │ +001cf3e0: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ +001cf3f0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ +001cf400: 7327 0a20 202d 2066 696e 645f 7761 7463 s'. - find_watc │ │ │ │ 001cf410: 685f 6b65 792e 6d61 7463 6865 6420 6973 h_key.matched is │ │ │ │ 001cf420: 2064 6566 696e 6564 2061 6e64 2066 696e defined and fin │ │ │ │ 001cf430: 645f 7761 7463 685f 6b65 792e 6d61 7463 d_watch_key.matc │ │ │ │ 001cf440: 6865 6420 3d3d 2030 2061 6e64 2066 696e hed == 0 and fin │ │ │ │ 001cf450: 645f 6578 6973 7469 6e67 5f77 6174 6368 d_existing_watch │ │ │ │ 001cf460: 5f72 756c 6573 5f64 2e6d 6174 6368 6564 _rules_d.matched │ │ │ │ 001cf470: 0a20 2020 2069 7320 6465 6669 6e65 6420 . is defined │ │ │ │ @@ -118627,23 +118627,23 @@ │ │ │ │ 001cf620: 650a 2020 7365 745f 6661 6374 3a0a 2020 e. set_fact:. │ │ │ │ 001cf630: 2020 616c 6c5f 6669 6c65 733a 0a20 2020 all_files:. │ │ │ │ 001cf640: 202d 2027 7b7b 2066 696e 645f 7761 7463 - '{{ find_watc │ │ │ │ 001cf650: 685f 6b65 792e 6669 6c65 7320 7c20 6d61 h_key.files | ma │ │ │ │ 001cf660: 7028 6174 7472 6962 7574 653d 2727 7061 p(attribute=''pa │ │ │ │ 001cf670: 7468 2727 2920 7c20 6c69 7374 207c 2066 th'') | list | f │ │ │ │ 001cf680: 6972 7374 207d 7d27 0a20 2077 6865 6e3a irst }}'. when: │ │ │ │ -001cf690: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -001cf6a0: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -001cf6b0: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -001cf6c0: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -001cf6d0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -001cf6e0: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -001cf6f0: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -001cf700: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -001cf710: 7222 5d0a 2020 2d20 6669 6e64 5f77 6174 r"]. - find_wat │ │ │ │ +001cf690: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +001cf6a0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +001cf6b0: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +001cf6c0: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +001cf6d0: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +001cf6e0: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +001cf6f0: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +001cf700: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +001cf710: 6573 270a 2020 2d20 6669 6e64 5f77 6174 es'. - find_wat │ │ │ │ 001cf720: 6368 5f6b 6579 2e6d 6174 6368 6564 2069 ch_key.matched i │ │ │ │ 001cf730: 7320 6465 6669 6e65 6420 616e 6420 6669 s defined and fi │ │ │ │ 001cf740: 6e64 5f77 6174 6368 5f6b 6579 2e6d 6174 nd_watch_key.mat │ │ │ │ 001cf750: 6368 6564 2026 6774 3b20 3020 616e 6420 ched > 0 and │ │ │ │ 001cf760: 6669 6e64 5f65 7869 7374 696e 675f 7761 find_existing_wa │ │ │ │ 001cf770: 7463 685f 7275 6c65 735f 642e 6d61 7463 tch_rules_d.matc │ │ │ │ 001cf780: 6865 640a 2020 2020 6973 2064 6566 696e hed. is defin │ │ │ │ @@ -118678,23 +118678,23 @@ │ │ │ │ 001cf950: 2020 2070 6174 683a 2027 7b7b 2061 6c6c path: '{{ all │ │ │ │ 001cf960: 5f66 696c 6573 5b30 5d20 7d7d 270a 2020 _files[0] }}'. │ │ │ │ 001cf970: 2020 6c69 6e65 3a20 2d77 202f 7661 722f line: -w /var/ │ │ │ │ 001cf980: 6c6f 672f 6c61 7374 6c6f 6720 2d70 2077 log/lastlog -p w │ │ │ │ 001cf990: 6120 2d6b 206c 6f67 696e 730a 2020 2020 a -k logins. │ │ │ │ 001cf9a0: 6372 6561 7465 3a20 7472 7565 0a20 2020 create: true. │ │ │ │ 001cf9b0: 206d 6f64 653a 2027 3036 3430 270a 2020 mode: '0640'. │ │ │ │ -001cf9c0: 7768 656e 3a0a 2020 2d20 2722 6175 6469 when:. - '"audi │ │ │ │ -001cf9d0: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ -001cf9e0: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ -001cf9f0: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ -001cfa00: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ -001cfa10: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ -001cfa20: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ -001cfa30: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ -001cfa40: 7461 696e 6572 225d 0a20 202d 2066 696e tainer"]. - fin │ │ │ │ +001cf9c0: 7768 656e 3a0a 2020 2d20 616e 7369 626c when:. - ansibl │ │ │ │ +001cf9d0: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ +001cf9e0: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ +001cf9f0: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ +001cfa00: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ +001cfa10: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +001cfa20: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ +001cfa30: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ +001cfa40: 6163 6b61 6765 7327 0a20 202d 2066 696e ackages'. - fin │ │ │ │ 001cfa50: 645f 6578 6973 7469 6e67 5f77 6174 6368 d_existing_watch │ │ │ │ 001cfa60: 5f72 756c 6573 5f64 2e6d 6174 6368 6564 _rules_d.matched │ │ │ │ 001cfa70: 2069 7320 6465 6669 6e65 6420 616e 6420 is defined and │ │ │ │ 001cfa80: 6669 6e64 5f65 7869 7374 696e 675f 7761 find_existing_wa │ │ │ │ 001cfa90: 7463 685f 7275 6c65 735f 642e 6d61 7463 tch_rules_d.matc │ │ │ │ 001cfaa0: 6865 640a 2020 2020 3d3d 2030 0a20 2074 hed. == 0. t │ │ │ │ 001cfab0: 6167 733a 0a20 202d 2044 4953 412d 5354 ags:. - DISA-ST │ │ │ │ @@ -118728,23 +118728,23 @@ │ │ │ │ 001cfc70: 3a20 5e5c 732a 2d77 5c73 2b2f 7661 722f : ^\s*-w\s+/var/ │ │ │ │ 001cfc80: 6c6f 672f 6c61 7374 6c6f 675c 732b 2d70 log/lastlog\s+-p │ │ │ │ 001cfc90: 5c73 2b77 6128 5c73 7c24 292b 0a20 2020 \s+wa(\s|$)+. │ │ │ │ 001cfca0: 2070 6174 7465 726e 733a 2061 7564 6974 patterns: audit │ │ │ │ 001cfcb0: 2e72 756c 6573 0a20 2072 6567 6973 7465 .rules. registe │ │ │ │ 001cfcc0: 723a 2066 696e 645f 6578 6973 7469 6e67 r: find_existing │ │ │ │ 001cfcd0: 5f77 6174 6368 5f61 7564 6974 5f72 756c _watch_audit_rul │ │ │ │ -001cfce0: 6573 0a20 2077 6865 6e3a 0a20 202d 2027 es. when:. - ' │ │ │ │ -001cfcf0: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -001cfd00: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -001cfd10: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -001cfd20: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -001cfd30: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -001cfd40: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -001cfd50: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -001cfd60: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +001cfce0: 6573 0a20 2077 6865 6e3a 0a20 202d 2061 es. when:. - a │ │ │ │ +001cfcf0: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +001cfd00: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +001cfd10: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +001cfd20: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +001cfd30: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +001cfd40: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +001cfd50: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +001cfd60: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 001cfd70: 7461 6773 3a0a 2020 2d20 4449 5341 2d53 tags:. - DISA-S │ │ │ │ 001cfd80: 5449 472d 5542 5455 2d32 302d 3031 3031 TIG-UBTU-20-0101 │ │ │ │ 001cfd90: 3731 0a20 202d 204e 4953 542d 3830 302d 71. - NIST-800- │ │ │ │ 001cfda0: 3137 312d 332e 312e 370a 2020 2d20 4e49 171-3.1.7. - NI │ │ │ │ 001cfdb0: 5354 2d38 3030 2d35 332d 4143 2d36 2839 ST-800-53-AC-6(9 │ │ │ │ 001cfdc0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ 001cfdd0: 332d 4155 2d31 3228 6329 0a20 202d 204e 3-AU-12(c). - N │ │ │ │ @@ -118771,22 +118771,22 @@ │ │ │ │ 001cff20: 2077 6120 2d6b 206c 6f67 696e 730a 2020 wa -k logins. │ │ │ │ 001cff30: 2020 7374 6174 653a 2070 7265 7365 6e74 state: present │ │ │ │ 001cff40: 0a20 2020 2064 6573 743a 202f 6574 632f . dest: /etc/ │ │ │ │ 001cff50: 6175 6469 742f 6175 6469 742e 7275 6c65 audit/audit.rule │ │ │ │ 001cff60: 730a 2020 2020 6372 6561 7465 3a20 7472 s. create: tr │ │ │ │ 001cff70: 7565 0a20 2020 206d 6f64 653a 2027 3036 ue. mode: '06 │ │ │ │ 001cff80: 3430 270a 2020 7768 656e 3a0a 2020 2d20 40'. when:. - │ │ │ │ -001cff90: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ -001cffa0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ -001cffb0: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ -001cffc0: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ -001cffd0: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ -001cffe0: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ -001cfff0: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ -001d0000: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +001cff90: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ +001cffa0: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ +001cffb0: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ +001cffc0: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ +001cffd0: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ +001cffe0: 6e65 7222 5d0a 2020 2d20 2722 6175 6469 ner"]. - '"audi │ │ │ │ +001cfff0: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ +001d0000: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ 001d0010: 202d 2066 696e 645f 6578 6973 7469 6e67 - find_existing │ │ │ │ 001d0020: 5f77 6174 6368 5f61 7564 6974 5f72 756c _watch_audit_rul │ │ │ │ 001d0030: 6573 2e6d 6174 6368 6564 2069 7320 6465 es.matched is de │ │ │ │ 001d0040: 6669 6e65 6420 616e 6420 6669 6e64 5f65 fined and find_e │ │ │ │ 001d0050: 7869 7374 696e 675f 7761 7463 685f 6175 xisting_watch_au │ │ │ │ 001d0060: 6469 745f 7275 6c65 732e 6d61 7463 6865 dit_rules.matche │ │ │ │ 001d0070: 640a 2020 2020 3d3d 2030 0a20 2074 6167 d. == 0. tag │ │ │ │ @@ -118826,25 +118826,25 @@ │ │ │ │ 001d0290: 6469 7620 636c 6173 733d 2270 616e 656c div class="panel │ │ │ │ 001d02a0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170 -collapse collap │ │ │ │ 001d02b0: 7365 2220 6964 3d22 6964 6d31 3732 3433 se" id="idm17243 │ │ │ │ 001d02c0: 223e 3c70 7265 3e3c 636f 6465 3e23 2052 ">
# R │ │ │ │ 001d02d0: 656d 6564 6961 7469 6f6e 2069 7320 6170 emediation is ap │ │ │ │ 001d02e0: 706c 6963 6162 6c65 206f 6e6c 7920 696e plicable only in │ │ │ │ 001d02f0: 2063 6572 7461 696e 2070 6c61 7466 6f72 certain platfor │ │ │ │ -001d0300: 6d73 0a69 6620 6470 6b67 2d71 7565 7279 ms.if dpkg-query │ │ │ │ -001d0310: 202d 2d73 686f 7720 2d2d 7368 6f77 666f --show --showfo │ │ │ │ -001d0320: 726d 6174 3d27 247b 6462 3a53 7461 7475 rmat='${db:Statu │ │ │ │ -001d0330: 732d 5374 6174 7573 7d5c 6e27 2027 6175 s-Status}\n' 'au │ │ │ │ -001d0340: 6469 7464 2720 3226 6774 3b2f 6465 762f ditd' 2>/dev/ │ │ │ │ -001d0350: 6e75 6c6c 207c 2067 7265 7020 2d71 2069 null | grep -q i │ │ │ │ -001d0360: 6e73 7461 6c6c 6564 2026 616d 703b 2661 nstalled &&a │ │ │ │ -001d0370: 6d70 3b20 5b20 2120 2d66 202f 2e64 6f63 mp; [ ! -f /.doc │ │ │ │ -001d0380: 6b65 7265 6e76 205d 2026 616d 703b 2661 kerenv ] &&a │ │ │ │ -001d0390: 6d70 3b20 5b20 2120 2d66 202f 7275 6e2f mp; [ ! -f /run/ │ │ │ │ -001d03a0: 2e63 6f6e 7461 696e 6572 656e 7620 5d3b .containerenv ]; │ │ │ │ +001d0300: 6d73 0a69 6620 5b20 2120 2d66 202f 2e64 ms.if [ ! -f /.d │ │ │ │ +001d0310: 6f63 6b65 7265 6e76 205d 2026 616d 703b ockerenv ] & │ │ │ │ +001d0320: 2661 6d70 3b20 5b20 2120 2d66 202f 7275 & [ ! -f /ru │ │ │ │ +001d0330: 6e2f 2e63 6f6e 7461 696e 6572 656e 7620 n/.containerenv │ │ │ │ +001d0340: 5d20 2661 6d70 3b26 616d 703b 2064 706b ] && dpk │ │ │ │ +001d0350: 672d 7175 6572 7920 2d2d 7368 6f77 202d g-query --show - │ │ │ │ +001d0360: 2d73 686f 7766 6f72 6d61 743d 2724 7b64 -showformat='${d │ │ │ │ +001d0370: 623a 5374 6174 7573 2d53 7461 7475 737d b:Status-Status} │ │ │ │ +001d0380: 5c6e 2720 2761 7564 6974 6427 2032 2667 \n' 'auditd' 2&g │ │ │ │ +001d0390: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772 t;/dev/null | gr │ │ │ │ +001d03a0: 6570 202d 7120 696e 7374 616c 6c65 643b ep -q installed; │ │ │ │ 001d03b0: 2074 6865 6e0a 0a23 2050 6572 666f 726d then..# Perform │ │ │ │ 001d03c0: 2074 6865 2072 656d 6564 6961 7469 6f6e the remediation │ │ │ │ 001d03d0: 2066 6f72 2062 6f74 6820 706f 7373 6962 for both possib │ │ │ │ 001d03e0: 6c65 2074 6f6f 6c73 3a20 2761 7564 6974 le tools: 'audit │ │ │ │ 001d03f0: 6374 6c27 2061 6e64 2027 6175 6765 6e72 ctl' and 'augenr │ │ │ │ 001d0400: 756c 6573 270a 0a23 2043 7265 6174 6520 ules'..# Create │ │ │ │ 001d0410: 6120 6c69 7374 206f 6620 6175 6469 7420 a list of audit │ │ │ │ @@ -120133,23 +120133,23 @@ │ │ │ │ 001d5440: 5e5c 732a 2d77 5c73 2b2f 7661 722f 6c6f ^\s*-w\s+/var/lo │ │ │ │ 001d5450: 672f 7461 6c6c 796c 6f67 5c73 2b2d 705c g/tallylog\s+-p\ │ │ │ │ 001d5460: 732b 7761 285c 737c 2429 2b0a 2020 2020 s+wa(\s|$)+. │ │ │ │ 001d5470: 7061 7474 6572 6e73 3a20 272a 2e72 756c patterns: '*.rul │ │ │ │ 001d5480: 6573 270a 2020 7265 6769 7374 6572 3a20 es'. register: │ │ │ │ 001d5490: 6669 6e64 5f65 7869 7374 696e 675f 7761 find_existing_wa │ │ │ │ 001d54a0: 7463 685f 7275 6c65 735f 640a 2020 7768 tch_rules_d. wh │ │ │ │ -001d54b0: 656e 3a0a 2020 2d20 2722 6175 6469 7464 en:. - '"auditd │ │ │ │ -001d54c0: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ -001d54d0: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ -001d54e0: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ -001d54f0: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ -001d5500: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ -001d5510: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ -001d5520: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ -001d5530: 696e 6572 225d 0a20 2074 6167 733a 0a20 iner"]. tags:. │ │ │ │ +001d54b0: 656e 3a0a 2020 2d20 616e 7369 626c 655f en:. - ansible_ │ │ │ │ +001d54c0: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ +001d54d0: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ +001d54e0: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ +001d54f0: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ +001d5500: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +001d5510: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ +001d5520: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ +001d5530: 6b61 6765 7327 0a20 2074 6167 733a 0a20 kages'. tags:. │ │ │ │ 001d5540: 202d 2044 4953 412d 5354 4947 2d55 4254 - DISA-STIG-UBT │ │ │ │ 001d5550: 552d 3230 2d30 3130 3136 390a 2020 2d20 U-20-010169. - │ │ │ │ 001d5560: 4e49 5354 2d38 3030 2d31 3731 2d33 2e31 NIST-800-171-3.1 │ │ │ │ 001d5570: 2e37 0a20 202d 204e 4953 542d 3830 302d .7. - NIST-800- │ │ │ │ 001d5580: 3533 2d41 432d 3628 3929 0a20 202d 204e 53-AC-6(9). - N │ │ │ │ 001d5590: 4953 542d 3830 302d 3533 2d41 552d 3132 IST-800-53-AU-12 │ │ │ │ 001d55a0: 2863 290a 2020 2d20 4e49 5354 2d38 3030 (c). - NIST-800 │ │ │ │ @@ -120175,22 +120175,22 @@ │ │ │ │ 001d56e0: 7275 6c65 732e 640a 2020 2020 636f 6e74 rules.d. cont │ │ │ │ 001d56f0: 6169 6e73 3a20 5e2e 2a28 3f3a 2d46 206b ains: ^.*(?:-F k │ │ │ │ 001d5700: 6579 3d7c 2d6b 5c73 2b29 6c6f 6769 6e73 ey=|-k\s+)logins │ │ │ │ 001d5710: 240a 2020 2020 7061 7474 6572 6e73 3a20 $. patterns: │ │ │ │ 001d5720: 272a 2e72 756c 6573 270a 2020 7265 6769 '*.rules'. regi │ │ │ │ 001d5730: 7374 6572 3a20 6669 6e64 5f77 6174 6368 ster: find_watch │ │ │ │ 001d5740: 5f6b 6579 0a20 2077 6865 6e3a 0a20 202d _key. when:. - │ │ │ │ -001d5750: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ -001d5760: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ -001d5770: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl │ │ │ │ -001d5780: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ -001d5790: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ -001d57a0: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ -001d57b0: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ -001d57c0: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +001d5750: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ +001d5760: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ +001d5770: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ +001d5780: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ +001d5790: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ +001d57a0: 696e 6572 225d 0a20 202d 2027 2261 7564 iner"]. - '"aud │ │ │ │ +001d57b0: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ +001d57c0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ 001d57d0: 2020 2d20 6669 6e64 5f65 7869 7374 696e - find_existin │ │ │ │ 001d57e0: 675f 7761 7463 685f 7275 6c65 735f 642e g_watch_rules_d. │ │ │ │ 001d57f0: 6d61 7463 6865 6420 6973 2064 6566 696e matched is defin │ │ │ │ 001d5800: 6564 2061 6e64 2066 696e 645f 6578 6973 ed and find_exis │ │ │ │ 001d5810: 7469 6e67 5f77 6174 6368 5f72 756c 6573 ting_watch_rules │ │ │ │ 001d5820: 5f64 2e6d 6174 6368 6564 0a20 2020 203d _d.matched. = │ │ │ │ 001d5830: 3d20 300a 2020 7461 6773 3a0a 2020 2d20 = 0. tags:. - │ │ │ │ @@ -120218,23 +120218,23 @@ │ │ │ │ 001d5990: 642f 6c6f 6769 6e73 2e72 756c 6573 2061 d/logins.rules a │ │ │ │ 001d59a0: 7320 7468 6520 7265 6369 7069 656e 7420 s the recipient │ │ │ │ 001d59b0: 666f 7220 7468 6520 7275 6c65 0a20 2073 for the rule. s │ │ │ │ 001d59c0: 6574 5f66 6163 743a 0a20 2020 2061 6c6c et_fact:. all │ │ │ │ 001d59d0: 5f66 696c 6573 3a0a 2020 2020 2d20 2f65 _files:. - /e │ │ │ │ 001d59e0: 7463 2f61 7564 6974 2f72 756c 6573 2e64 tc/audit/rules.d │ │ │ │ 001d59f0: 2f6c 6f67 696e 732e 7275 6c65 730a 2020 /logins.rules. │ │ │ │ -001d5a00: 7768 656e 3a0a 2020 2d20 2722 6175 6469 when:. - '"audi │ │ │ │ -001d5a10: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ -001d5a20: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ -001d5a30: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ -001d5a40: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ -001d5a50: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ -001d5a60: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ -001d5a70: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ -001d5a80: 7461 696e 6572 225d 0a20 202d 2066 696e tainer"]. - fin │ │ │ │ +001d5a00: 7768 656e 3a0a 2020 2d20 616e 7369 626c when:. - ansibl │ │ │ │ +001d5a10: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ +001d5a20: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ +001d5a30: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ +001d5a40: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ +001d5a50: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +001d5a60: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ +001d5a70: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ +001d5a80: 6163 6b61 6765 7327 0a20 202d 2066 696e ackages'. - fin │ │ │ │ 001d5a90: 645f 7761 7463 685f 6b65 792e 6d61 7463 d_watch_key.matc │ │ │ │ 001d5aa0: 6865 6420 6973 2064 6566 696e 6564 2061 hed is defined a │ │ │ │ 001d5ab0: 6e64 2066 696e 645f 7761 7463 685f 6b65 nd find_watch_ke │ │ │ │ 001d5ac0: 792e 6d61 7463 6865 6420 3d3d 2030 2061 y.matched == 0 a │ │ │ │ 001d5ad0: 6e64 2066 696e 645f 6578 6973 7469 6e67 nd find_existing │ │ │ │ 001d5ae0: 5f77 6174 6368 5f72 756c 6573 5f64 2e6d _watch_rules_d.m │ │ │ │ 001d5af0: 6174 6368 6564 0a20 2020 2069 7320 6465 atched. is de │ │ │ │ @@ -120267,23 +120267,23 @@ │ │ │ │ 001d5ca0: 7468 6520 7275 6c65 0a20 2073 6574 5f66 the rule. set_f │ │ │ │ 001d5cb0: 6163 743a 0a20 2020 2061 6c6c 5f66 696c act:. all_fil │ │ │ │ 001d5cc0: 6573 3a0a 2020 2020 2d20 277b 7b20 6669 es:. - '{{ fi │ │ │ │ 001d5cd0: 6e64 5f77 6174 6368 5f6b 6579 2e66 696c nd_watch_key.fil │ │ │ │ 001d5ce0: 6573 207c 206d 6170 2861 7474 7269 6275 es | map(attribu │ │ │ │ 001d5cf0: 7465 3d27 2770 6174 6827 2729 207c 206c te=''path'') | l │ │ │ │ 001d5d00: 6973 7420 7c20 6669 7273 7420 7d7d 270a ist | first }}'. │ │ │ │ -001d5d10: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -001d5d20: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -001d5d30: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -001d5d40: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -001d5d50: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -001d5d60: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -001d5d70: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -001d5d80: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -001d5d90: 6f6e 7461 696e 6572 225d 0a20 202d 2066 ontainer"]. - f │ │ │ │ +001d5d10: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +001d5d20: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +001d5d30: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +001d5d40: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +001d5d50: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +001d5d60: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +001d5d70: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +001d5d80: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +001d5d90: 2e70 6163 6b61 6765 7327 0a20 202d 2066 .packages'. - f │ │ │ │ 001d5da0: 696e 645f 7761 7463 685f 6b65 792e 6d61 ind_watch_key.ma │ │ │ │ 001d5db0: 7463 6865 6420 6973 2064 6566 696e 6564 tched is defined │ │ │ │ 001d5dc0: 2061 6e64 2066 696e 645f 7761 7463 685f and find_watch_ │ │ │ │ 001d5dd0: 6b65 792e 6d61 7463 6865 6420 2667 743b key.matched > │ │ │ │ 001d5de0: 2030 2061 6e64 2066 696e 645f 6578 6973 0 and find_exis │ │ │ │ 001d5df0: 7469 6e67 5f77 6174 6368 5f72 756c 6573 ting_watch_rules │ │ │ │ 001d5e00: 5f64 2e6d 6174 6368 6564 0a20 2020 2069 _d.matched. i │ │ │ │ @@ -120319,23 +120319,23 @@ │ │ │ │ 001d5fe0: 3a20 277b 7b20 616c 6c5f 6669 6c65 735b : '{{ all_files[ │ │ │ │ 001d5ff0: 305d 207d 7d27 0a20 2020 206c 696e 653a 0] }}'. line: │ │ │ │ 001d6000: 202d 7720 2f76 6172 2f6c 6f67 2f74 616c -w /var/log/tal │ │ │ │ 001d6010: 6c79 6c6f 6720 2d70 2077 6120 2d6b 206c lylog -p wa -k l │ │ │ │ 001d6020: 6f67 696e 730a 2020 2020 6372 6561 7465 ogins. create │ │ │ │ 001d6030: 3a20 7472 7565 0a20 2020 206d 6f64 653a : true. mode: │ │ │ │ 001d6040: 2027 3036 3430 270a 2020 7768 656e 3a0a '0640'. when:. │ │ │ │ -001d6050: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ -001d6060: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ -001d6070: 6163 6b61 6765 7327 0a20 202d 2061 6e73 ackages'. - ans │ │ │ │ -001d6080: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ -001d6090: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ -001d60a0: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ -001d60b0: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ -001d60c0: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ -001d60d0: 225d 0a20 202d 2066 696e 645f 6578 6973 "]. - find_exis │ │ │ │ +001d6050: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ +001d6060: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ +001d6070: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ +001d6080: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ +001d6090: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ +001d60a0: 6e74 6169 6e65 7222 5d0a 2020 2d20 2722 ntainer"]. - '" │ │ │ │ +001d60b0: 6175 6469 7464 2220 696e 2061 6e73 6962 auditd" in ansib │ │ │ │ +001d60c0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765 le_facts.package │ │ │ │ +001d60d0: 7327 0a20 202d 2066 696e 645f 6578 6973 s'. - find_exis │ │ │ │ 001d60e0: 7469 6e67 5f77 6174 6368 5f72 756c 6573 ting_watch_rules │ │ │ │ 001d60f0: 5f64 2e6d 6174 6368 6564 2069 7320 6465 _d.matched is de │ │ │ │ 001d6100: 6669 6e65 6420 616e 6420 6669 6e64 5f65 fined and find_e │ │ │ │ 001d6110: 7869 7374 696e 675f 7761 7463 685f 7275 xisting_watch_ru │ │ │ │ 001d6120: 6c65 735f 642e 6d61 7463 6865 640a 2020 les_d.matched. │ │ │ │ 001d6130: 2020 3d3d 2030 0a20 2074 6167 733a 0a20 == 0. tags:. │ │ │ │ 001d6140: 202d 2044 4953 412d 5354 4947 2d55 4254 - DISA-STIG-UBT │ │ │ │ @@ -120369,23 +120369,23 @@ │ │ │ │ 001d6300: 732a 2d77 5c73 2b2f 7661 722f 6c6f 672f s*-w\s+/var/log/ │ │ │ │ 001d6310: 7461 6c6c 796c 6f67 5c73 2b2d 705c 732b tallylog\s+-p\s+ │ │ │ │ 001d6320: 7761 285c 737c 2429 2b0a 2020 2020 7061 wa(\s|$)+. pa │ │ │ │ 001d6330: 7474 6572 6e73 3a20 6175 6469 742e 7275 tterns: audit.ru │ │ │ │ 001d6340: 6c65 730a 2020 7265 6769 7374 6572 3a20 les. register: │ │ │ │ 001d6350: 6669 6e64 5f65 7869 7374 696e 675f 7761 find_existing_wa │ │ │ │ 001d6360: 7463 685f 6175 6469 745f 7275 6c65 730a tch_audit_rules. │ │ │ │ -001d6370: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -001d6380: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -001d6390: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -001d63a0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -001d63b0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -001d63c0: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -001d63d0: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -001d63e0: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -001d63f0: 6f6e 7461 696e 6572 225d 0a20 2074 6167 ontainer"]. tag │ │ │ │ +001d6370: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +001d6380: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +001d6390: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +001d63a0: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +001d63b0: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +001d63c0: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +001d63d0: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +001d63e0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +001d63f0: 2e70 6163 6b61 6765 7327 0a20 2074 6167 .packages'. tag │ │ │ │ 001d6400: 733a 0a20 202d 2044 4953 412d 5354 4947 s:. - DISA-STIG │ │ │ │ 001d6410: 2d55 4254 552d 3230 2d30 3130 3136 390a -UBTU-20-010169. │ │ │ │ 001d6420: 2020 2d20 4e49 5354 2d38 3030 2d31 3731 - NIST-800-171 │ │ │ │ 001d6430: 2d33 2e31 2e37 0a20 202d 204e 4953 542d -3.1.7. - NIST- │ │ │ │ 001d6440: 3830 302d 3533 2d41 432d 3628 3929 0a20 800-53-AC-6(9). │ │ │ │ 001d6450: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ 001d6460: 552d 3132 2863 290a 2020 2d20 4e49 5354 U-12(c). - NIST │ │ │ │ @@ -120412,22 +120412,22 @@ │ │ │ │ 001d65b0: 2077 6120 2d6b 206c 6f67 696e 730a 2020 wa -k logins. │ │ │ │ 001d65c0: 2020 7374 6174 653a 2070 7265 7365 6e74 state: present │ │ │ │ 001d65d0: 0a20 2020 2064 6573 743a 202f 6574 632f . dest: /etc/ │ │ │ │ 001d65e0: 6175 6469 742f 6175 6469 742e 7275 6c65 audit/audit.rule │ │ │ │ 001d65f0: 730a 2020 2020 6372 6561 7465 3a20 7472 s. create: tr │ │ │ │ 001d6600: 7565 0a20 2020 206d 6f64 653a 2027 3036 ue. mode: '06 │ │ │ │ 001d6610: 3430 270a 2020 7768 656e 3a0a 2020 2d20 40'. when:. - │ │ │ │ -001d6620: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ -001d6630: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ -001d6640: 6765 7327 0a20 202d 2061 6e73 6962 6c65 ges'. - ansible │ │ │ │ -001d6650: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ -001d6660: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ -001d6670: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ -001d6680: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ -001d6690: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +001d6620: 616e 7369 626c 655f 7669 7274 7561 6c69 ansible_virtuali │ │ │ │ +001d6630: 7a61 7469 6f6e 5f74 7970 6520 6e6f 7420 zation_type not │ │ │ │ +001d6640: 696e 205b 2264 6f63 6b65 7222 2c20 226c in ["docker", "l │ │ │ │ +001d6650: 7863 222c 2022 6f70 656e 767a 222c 2022 xc", "openvz", " │ │ │ │ +001d6660: 706f 646d 616e 222c 2022 636f 6e74 6169 podman", "contai │ │ │ │ +001d6670: 6e65 7222 5d0a 2020 2d20 2722 6175 6469 ner"]. - '"audi │ │ │ │ +001d6680: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ +001d6690: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ 001d66a0: 202d 2066 696e 645f 6578 6973 7469 6e67 - find_existing │ │ │ │ 001d66b0: 5f77 6174 6368 5f61 7564 6974 5f72 756c _watch_audit_rul │ │ │ │ 001d66c0: 6573 2e6d 6174 6368 6564 2069 7320 6465 es.matched is de │ │ │ │ 001d66d0: 6669 6e65 6420 616e 6420 6669 6e64 5f65 fined and find_e │ │ │ │ 001d66e0: 7869 7374 696e 675f 7761 7463 685f 6175 xisting_watch_au │ │ │ │ 001d66f0: 6469 745f 7275 6c65 732e 6d61 7463 6865 dit_rules.matche │ │ │ │ 001d6700: 640a 2020 2020 3d3d 2030 0a20 2074 6167 d. == 0. tag │ │ │ │ @@ -120467,25 +120467,25 @@ │ │ │ │ 001d6920: 3c64 6976 2063 6c61 7373 3d22 7061 6e65
# │ │ │ │ 001d6960: 5265 6d65 6469 6174 696f 6e20 6973 2061 Remediation is a │ │ │ │ 001d6970: 7070 6c69 6361 626c 6520 6f6e 6c79 2069 pplicable only i │ │ │ │ 001d6980: 6e20 6365 7274 6169 6e20 706c 6174 666f n certain platfo │ │ │ │ -001d6990: 726d 730a 6966 2064 706b 672d 7175 6572 rms.if dpkg-quer │ │ │ │ -001d69a0: 7920 2d2d 7368 6f77 202d 2d73 686f 7766 y --show --showf │ │ │ │ -001d69b0: 6f72 6d61 743d 2724 7b64 623a 5374 6174 ormat='${db:Stat │ │ │ │ -001d69c0: 7573 2d53 7461 7475 737d 5c6e 2720 2761 us-Status}\n' 'a │ │ │ │ -001d69d0: 7564 6974 6427 2032 2667 743b 2f64 6576 uditd' 2>/dev │ │ │ │ -001d69e0: 2f6e 756c 6c20 7c20 6772 6570 202d 7120 /null | grep -q │ │ │ │ -001d69f0: 696e 7374 616c 6c65 6420 2661 6d70 3b26 installed && │ │ │ │ -001d6a00: 616d 703b 205b 2021 202d 6620 2f2e 646f amp; [ ! -f /.do │ │ │ │ -001d6a10: 636b 6572 656e 7620 5d20 2661 6d70 3b26 ckerenv ] && │ │ │ │ -001d6a20: 616d 703b 205b 2021 202d 6620 2f72 756e amp; [ ! -f /run │ │ │ │ -001d6a30: 2f2e 636f 6e74 6169 6e65 7265 6e76 205d /.containerenv ] │ │ │ │ +001d6990: 726d 730a 6966 205b 2021 202d 6620 2f2e rms.if [ ! -f /. │ │ │ │ +001d69a0: 646f 636b 6572 656e 7620 5d20 2661 6d70 dockerenv ] & │ │ │ │ +001d69b0: 3b26 616d 703b 205b 2021 202d 6620 2f72 ;& [ ! -f /r │ │ │ │ +001d69c0: 756e 2f2e 636f 6e74 6169 6e65 7265 6e76 un/.containerenv │ │ │ │ +001d69d0: 205d 2026 616d 703b 2661 6d70 3b20 6470 ] && dp │ │ │ │ +001d69e0: 6b67 2d71 7565 7279 202d 2d73 686f 7720 kg-query --show │ │ │ │ +001d69f0: 2d2d 7368 6f77 666f 726d 6174 3d27 247b --showformat='${ │ │ │ │ +001d6a00: 6462 3a53 7461 7475 732d 5374 6174 7573 db:Status-Status │ │ │ │ +001d6a10: 7d5c 6e27 2027 6175 6469 7464 2720 3226 }\n' 'auditd' 2& │ │ │ │ +001d6a20: 6774 3b2f 6465 762f 6e75 6c6c 207c 2067 gt;/dev/null | g │ │ │ │ +001d6a30: 7265 7020 2d71 2069 6e73 7461 6c6c 6564 rep -q installed │ │ │ │ 001d6a40: 3b20 7468 656e 0a0a 2320 5065 7266 6f72 ; then..# Perfor │ │ │ │ 001d6a50: 6d20 7468 6520 7265 6d65 6469 6174 696f m the remediatio │ │ │ │ 001d6a60: 6e20 666f 7220 626f 7468 2070 6f73 7369 n for both possi │ │ │ │ 001d6a70: 626c 6520 746f 6f6c 733a 2027 6175 6469 ble tools: 'audi │ │ │ │ 001d6a80: 7463 746c 2720 616e 6420 2761 7567 656e tctl' and 'augen │ │ │ │ 001d6a90: 7275 6c65 7327 0a0a 2320 4372 6561 7465 rules'..# Create │ │ │ │ 001d6aa0: 2061 206c 6973 7420 6f66 2061 7564 6974 a list of audit │ │ │ │ @@ -121536,22 +121536,22 @@ │ │ │ │ 001dabf0: 6765 640a 2020 2020 2020 6372 6561 7465 ged. create │ │ │ │ 001dac00: 3a20 7472 7565 0a20 2020 2020 206d 6f64 : true. mod │ │ │ │ 001dac10: 653a 206f 2d72 7778 0a20 2020 2020 2073 e: o-rwx. s │ │ │ │ 001dac20: 7461 7465 3a20 7072 6573 656e 740a 2020 tate: present. │ │ │ │ 001dac30: 2020 7768 656e 3a20 7379 7363 616c 6c73 when: syscalls │ │ │ │ 001dac40: 5f66 6f75 6e64 207c 206c 656e 6774 6820 _found | length │ │ │ │ 001dac50: 3d3d 2030 0a20 2077 6865 6e3a 0a20 202d == 0. when:. - │ │ │ │ -001dac60: 2027 2261 7564 6974 6422 2069 6e20 616e '"auditd" in an │ │ │ │ -001dac70: 7369 626c 655f 6661 6374 732e 7061 636b sible_facts.pack │ │ │ │ -001dac80: 6167 6573 270a 2020 2d20 616e 7369 626c ages'. - ansibl │ │ │ │ -001dac90: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ -001daca0: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ -001dacb0: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ -001dacc0: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ -001dacd0: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +001dac60: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ +001dac70: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ +001dac80: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ +001dac90: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ +001daca0: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ +001dacb0: 696e 6572 225d 0a20 202d 2027 2261 7564 iner"]. - '"aud │ │ │ │ +001dacc0: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ +001dacd0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ 001dace0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354 tags:. - NIST │ │ │ │ 001dacf0: 2d38 3030 2d35 332d 4143 2d36 2839 290a -800-53-AC-6(9). │ │ │ │ 001dad00: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ 001dad10: 4155 2d31 3228 6329 0a20 202d 204e 4953 AU-12(c). - NIS │ │ │ │ 001dad20: 542d 3830 302d 3533 2d41 552d 3228 6429 T-800-53-AU-2(d) │ │ │ │ 001dad30: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 001dad40: 2d43 4d2d 3628 6129 0a20 202d 2061 7564 -CM-6(a). - aud │ │ │ │ @@ -121580,25 +121580,25 @@ │ │ │ │ 001daeb0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f class="panel-co │ │ │ │ 001daec0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522 llapse collapse" │ │ │ │ 001daed0: 2069 643d 2269 646d 3137 3730 3422 3e3c id="idm17704">< │ │ │ │ 001daee0: 7072 653e 3c63 6f64 653e 2320 5265 6d65 pre>
# Reme │ │ │ │ 001daef0: 6469 6174 696f 6e20 6973 2061 7070 6c69 diation is appli │ │ │ │ 001daf00: 6361 626c 6520 6f6e 6c79 2069 6e20 6365 cable only in ce │ │ │ │ 001daf10: 7274 6169 6e20 706c 6174 666f 726d 730a rtain platforms. │ │ │ │ -001daf20: 6966 2064 706b 672d 7175 6572 7920 2d2d if dpkg-query -- │ │ │ │ -001daf30: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ -001daf40: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ -001daf50: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ -001daf60: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ -001daf70: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ -001daf80: 616c 6c65 6420 2661 6d70 3b26 616d 703b alled && │ │ │ │ -001daf90: 205b 2021 202d 6620 2f2e 646f 636b 6572 [ ! -f /.docker │ │ │ │ -001dafa0: 656e 7620 5d20 2661 6d70 3b26 616d 703b env ] && │ │ │ │ -001dafb0: 205b 2021 202d 6620 2f72 756e 2f2e 636f [ ! -f /run/.co │ │ │ │ -001dafc0: 6e74 6169 6e65 7265 6e76 205d 3b20 7468 ntainerenv ]; th │ │ │ │ +001daf20: 6966 205b 2021 202d 6620 2f2e 646f 636b if [ ! -f /.dock │ │ │ │ +001daf30: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +001daf40: 703b 205b 2021 202d 6620 2f72 756e 2f2e p; [ ! -f /run/. │ │ │ │ +001daf50: 636f 6e74 6169 6e65 7265 6e76 205d 2026 containerenv ] & │ │ │ │ +001daf60: 616d 703b 2661 6d70 3b20 6470 6b67 2d71 amp;& dpkg-q │ │ │ │ +001daf70: 7565 7279 202d 2d73 686f 7720 2d2d 7368 uery --show --sh │ │ │ │ +001daf80: 6f77 666f 726d 6174 3d27 247b 6462 3a53 owformat='${db:S │ │ │ │ +001daf90: 7461 7475 732d 5374 6174 7573 7d5c 6e27 tatus-Status}\n' │ │ │ │ +001dafa0: 2027 6175 6469 7464 2720 3226 6774 3b2f 'auditd' 2>/ │ │ │ │ +001dafb0: 6465 762f 6e75 6c6c 207c 2067 7265 7020 dev/null | grep │ │ │ │ +001dafc0: 2d71 2069 6e73 7461 6c6c 6564 3b20 7468 -q installed; th │ │ │ │ 001dafd0: 656e 0a0a 4143 5449 4f4e 5f41 5243 485f en..ACTION_ARCH_ │ │ │ │ 001dafe0: 4649 4c54 4552 533d 222d 6120 616c 7761 FILTERS="-a alwa │ │ │ │ 001daff0: 7973 2c65 7869 7422 0a4f 5448 4552 5f46 ys,exit".OTHER_F │ │ │ │ 001db000: 494c 5445 5253 3d22 2d46 2070 6174 683d ILTERS="-F path= │ │ │ │ 001db010: 2f75 7372 2f62 696e 2f61 7420 2d46 2070 /usr/bin/at -F p │ │ │ │ 001db020: 6572 6d3d 7822 0a41 5549 445f 4649 4c54 erm=x".AUID_FILT │ │ │ │ 001db030: 4552 533d 222d 4620 6175 6964 2667 743b ERS="-F auid> │ │ │ │ @@ -123444,23 +123444,23 @@ │ │ │ │ 001e2330: 6b65 793d 7072 6976 696c 6567 6564 0a20 key=privileged. │ │ │ │ 001e2340: 2020 2020 2063 7265 6174 653a 2074 7275 create: tru │ │ │ │ 001e2350: 650a 2020 2020 2020 6d6f 6465 3a20 6f2d e. mode: o- │ │ │ │ 001e2360: 7277 780a 2020 2020 2020 7374 6174 653a rwx. state: │ │ │ │ 001e2370: 2070 7265 7365 6e74 0a20 2020 2077 6865 present. whe │ │ │ │ 001e2380: 6e3a 2073 7973 6361 6c6c 735f 666f 756e n: syscalls_foun │ │ │ │ 001e2390: 6420 7c20 6c65 6e67 7468 203d 3d20 300a d | length == 0. │ │ │ │ -001e23a0: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -001e23b0: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -001e23c0: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -001e23d0: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -001e23e0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -001e23f0: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -001e2400: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -001e2410: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -001e2420: 6f6e 7461 696e 6572 225d 0a20 2074 6167 ontainer"]. tag │ │ │ │ +001e23a0: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +001e23b0: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +001e23c0: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +001e23d0: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +001e23e0: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +001e23f0: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +001e2400: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +001e2410: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +001e2420: 2e70 6163 6b61 6765 7327 0a20 2074 6167 .packages'. tag │ │ │ │ 001e2430: 733a 0a20 202d 2044 4953 412d 5354 4947 s:. - DISA-STIG │ │ │ │ 001e2440: 2d55 4254 552d 3230 2d30 3130 3137 350a -UBTU-20-010175. │ │ │ │ 001e2450: 2020 2d20 4e49 5354 2d38 3030 2d31 3731 - NIST-800-171 │ │ │ │ 001e2460: 2d33 2e31 2e37 0a20 202d 204e 4953 542d -3.1.7. - NIST- │ │ │ │ 001e2470: 3830 302d 3533 2d41 432d 3228 3429 0a20 800-53-AC-2(4). │ │ │ │ 001e2480: 202d 204e 4953 542d 3830 302d 3533 2d41 - NIST-800-53-A │ │ │ │ 001e2490: 432d 3628 3929 0a20 202d 204e 4953 542d C-6(9). - NIST- │ │ │ │ @@ -123493,26 +123493,26 @@ │ │ │ │ 001e2640: 613e 3c62 723e 3c64 6976 2063 6c61 7373 a>
# Remediatio │ │ │ │ 001e2690: 6e20 6973 2061 7070 6c69 6361 626c 6520 n is applicable │ │ │ │ 001e26a0: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20 only in certain │ │ │ │ -001e26b0: 706c 6174 666f 726d 730a 6966 2064 706b platforms.if dpk │ │ │ │ -001e26c0: 672d 7175 6572 7920 2d2d 7368 6f77 202d g-query --show - │ │ │ │ -001e26d0: 2d73 686f 7766 6f72 6d61 743d 2724 7b64 -showformat='${d │ │ │ │ -001e26e0: 623a 5374 6174 7573 2d53 7461 7475 737d b:Status-Status} │ │ │ │ -001e26f0: 5c6e 2720 2761 7564 6974 6427 2032 2667 \n' 'auditd' 2&g │ │ │ │ -001e2700: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772 t;/dev/null | gr │ │ │ │ -001e2710: 6570 202d 7120 696e 7374 616c 6c65 6420 ep -q installed │ │ │ │ -001e2720: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ -001e2730: 6620 2f2e 646f 636b 6572 656e 7620 5d20 f /.dockerenv ] │ │ │ │ -001e2740: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ -001e2750: 6620 2f72 756e 2f2e 636f 6e74 6169 6e65 f /run/.containe │ │ │ │ -001e2760: 7265 6e76 205d 3b20 7468 656e 0a0a 4143 renv ]; then..AC │ │ │ │ +001e26b0: 706c 6174 666f 726d 730a 6966 205b 2021 platforms.if [ ! │ │ │ │ +001e26c0: 202d 6620 2f2e 646f 636b 6572 656e 7620 -f /.dockerenv │ │ │ │ +001e26d0: 5d20 2661 6d70 3b26 616d 703b 205b 2021 ] && [ ! │ │ │ │ +001e26e0: 202d 6620 2f72 756e 2f2e 636f 6e74 6169 -f /run/.contai │ │ │ │ +001e26f0: 6e65 7265 6e76 205d 2026 616d 703b 2661 nerenv ] &&a │ │ │ │ +001e2700: 6d70 3b20 6470 6b67 2d71 7565 7279 202d mp; dpkg-query - │ │ │ │ +001e2710: 2d73 686f 7720 2d2d 7368 6f77 666f 726d -show --showform │ │ │ │ +001e2720: 6174 3d27 247b 6462 3a53 7461 7475 732d at='${db:Status- │ │ │ │ +001e2730: 5374 6174 7573 7d5c 6e27 2027 6175 6469 Status}\n' 'audi │ │ │ │ +001e2740: 7464 2720 3226 6774 3b2f 6465 762f 6e75 td' 2>/dev/nu │ │ │ │ +001e2750: 6c6c 207c 2067 7265 7020 2d71 2069 6e73 ll | grep -q ins │ │ │ │ +001e2760: 7461 6c6c 6564 3b20 7468 656e 0a0a 4143 talled; then..AC │ │ │ │ 001e2770: 5449 4f4e 5f41 5243 485f 4649 4c54 4552 TION_ARCH_FILTER │ │ │ │ 001e2780: 533d 222d 6120 616c 7761 7973 2c65 7869 S="-a always,exi │ │ │ │ 001e2790: 7422 0a4f 5448 4552 5f46 494c 5445 5253 t".OTHER_FILTERS │ │ │ │ 001e27a0: 3d22 2d46 2070 6174 683d 2f75 7372 2f62 ="-F path=/usr/b │ │ │ │ 001e27b0: 696e 2f63 6861 6765 202d 4620 7065 726d in/chage -F perm │ │ │ │ 001e27c0: 3d78 220a 4155 4944 5f46 494c 5445 5253 =x".AUID_FILTERS │ │ │ │ 001e27d0: 3d22 2d46 2061 7569 6426 6774 3b3d 3130 ="-F auid>=10 │ │ │ │ @@ -124875,23 +124875,23 @@ │ │ │ │ 001e7ca0: 7669 6c65 6765 640a 2020 2020 2020 6372 vileged. cr │ │ │ │ 001e7cb0: 6561 7465 3a20 7472 7565 0a20 2020 2020 eate: true. │ │ │ │ 001e7cc0: 206d 6f64 653a 206f 2d72 7778 0a20 2020 mode: o-rwx. │ │ │ │ 001e7cd0: 2020 2073 7461 7465 3a20 7072 6573 656e state: presen │ │ │ │ 001e7ce0: 740a 2020 2020 7768 656e 3a20 7379 7363 t. when: sysc │ │ │ │ 001e7cf0: 616c 6c73 5f66 6f75 6e64 207c 206c 656e alls_found | len │ │ │ │ 001e7d00: 6774 6820 3d3d 2030 0a20 2077 6865 6e3a gth == 0. when: │ │ │ │ -001e7d10: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ -001e7d20: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ -001e7d30: 7061 636b 6167 6573 270a 2020 2d20 616e packages'. - an │ │ │ │ -001e7d40: 7369 626c 655f 7669 7274 7561 6c69 7a61 sible_virtualiza │ │ │ │ -001e7d50: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e tion_type not in │ │ │ │ -001e7d60: 205b 2264 6f63 6b65 7222 2c20 226c 7863 ["docker", "lxc │ │ │ │ -001e7d70: 222c 2022 6f70 656e 767a 222c 2022 706f ", "openvz", "po │ │ │ │ -001e7d80: 646d 616e 222c 2022 636f 6e74 6169 6e65 dman", "containe │ │ │ │ -001e7d90: 7222 5d0a 2020 7461 6773 3a0a 2020 2d20 r"]. tags:. - │ │ │ │ +001e7d10: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ +001e7d20: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ +001e7d30: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ +001e7d40: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ +001e7d50: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ +001e7d60: 6f6e 7461 696e 6572 225d 0a20 202d 2027 ontainer"]. - ' │ │ │ │ +001e7d70: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ +001e7d80: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ +001e7d90: 6573 270a 2020 7461 6773 3a0a 2020 2d20 es'. tags:. - │ │ │ │ 001e7da0: 4449 5341 2d53 5449 472d 5542 5455 2d32 DISA-STIG-UBTU-2 │ │ │ │ 001e7db0: 302d 3031 3031 3337 0a20 202d 204e 4953 0-010137. - NIS │ │ │ │ 001e7dc0: 542d 3830 302d 3533 2d41 552d 3132 2861 T-800-53-AU-12(a │ │ │ │ 001e7dd0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ 001e7de0: 332d 4155 2d31 3228 6329 0a20 202d 204e 3-AU-12(c). - N │ │ │ │ 001e7df0: 4953 542d 3830 302d 3533 2d41 552d 330a IST-800-53-AU-3. │ │ │ │ 001e7e00: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ @@ -124921,25 +124921,25 @@ │ │ │ │ 001e7f80: 3c64 6976 2063 6c61 7373 3d22 7061 6e65 # │ │ │ │ 001e7fc0: 5265 6d65 6469 6174 696f 6e20 6973 2061 Remediation is a │ │ │ │ 001e7fd0: 7070 6c69 6361 626c 6520 6f6e 6c79 2069 pplicable only i │ │ │ │ 001e7fe0: 6e20 6365 7274 6169 6e20 706c 6174 666f n certain platfo │ │ │ │ -001e7ff0: 726d 730a 6966 2064 706b 672d 7175 6572 rms.if dpkg-quer │ │ │ │ -001e8000: 7920 2d2d 7368 6f77 202d 2d73 686f 7766 y --show --showf │ │ │ │ -001e8010: 6f72 6d61 743d 2724 7b64 623a 5374 6174 ormat='${db:Stat │ │ │ │ -001e8020: 7573 2d53 7461 7475 737d 5c6e 2720 2761 us-Status}\n' 'a │ │ │ │ -001e8030: 7564 6974 6427 2032 2667 743b 2f64 6576 uditd' 2>/dev │ │ │ │ -001e8040: 2f6e 756c 6c20 7c20 6772 6570 202d 7120 /null | grep -q │ │ │ │ -001e8050: 696e 7374 616c 6c65 6420 2661 6d70 3b26 installed && │ │ │ │ -001e8060: 616d 703b 205b 2021 202d 6620 2f2e 646f amp; [ ! -f /.do │ │ │ │ -001e8070: 636b 6572 656e 7620 5d20 2661 6d70 3b26 ckerenv ] && │ │ │ │ -001e8080: 616d 703b 205b 2021 202d 6620 2f72 756e amp; [ ! -f /run │ │ │ │ -001e8090: 2f2e 636f 6e74 6169 6e65 7265 6e76 205d /.containerenv ] │ │ │ │ +001e7ff0: 726d 730a 6966 205b 2021 202d 6620 2f2e rms.if [ ! -f /. │ │ │ │ +001e8000: 646f 636b 6572 656e 7620 5d20 2661 6d70 dockerenv ] & │ │ │ │ +001e8010: 3b26 616d 703b 205b 2021 202d 6620 2f72 ;& [ ! -f /r │ │ │ │ +001e8020: 756e 2f2e 636f 6e74 6169 6e65 7265 6e76 un/.containerenv │ │ │ │ +001e8030: 205d 2026 616d 703b 2661 6d70 3b20 6470 ] && dp │ │ │ │ +001e8040: 6b67 2d71 7565 7279 202d 2d73 686f 7720 kg-query --show │ │ │ │ +001e8050: 2d2d 7368 6f77 666f 726d 6174 3d27 247b --showformat='${ │ │ │ │ +001e8060: 6462 3a53 7461 7475 732d 5374 6174 7573 db:Status-Status │ │ │ │ +001e8070: 7d5c 6e27 2027 6175 6469 7464 2720 3226 }\n' 'auditd' 2& │ │ │ │ +001e8080: 6774 3b2f 6465 762f 6e75 6c6c 207c 2067 gt;/dev/null | g │ │ │ │ +001e8090: 7265 7020 2d71 2069 6e73 7461 6c6c 6564 rep -q installed │ │ │ │ 001e80a0: 3b20 7468 656e 0a0a 4143 5449 4f4e 5f41 ; then..ACTION_A │ │ │ │ 001e80b0: 5243 485f 4649 4c54 4552 533d 222d 6120 RCH_FILTERS="-a │ │ │ │ 001e80c0: 616c 7761 7973 2c65 7869 7422 0a4f 5448 always,exit".OTH │ │ │ │ 001e80d0: 4552 5f46 494c 5445 5253 3d22 2d46 2070 ER_FILTERS="-F p │ │ │ │ 001e80e0: 6174 683d 2f75 7372 2f62 696e 2f63 6866 ath=/usr/bin/chf │ │ │ │ 001e80f0: 6e20 2d46 2070 6572 6d3d 7822 0a41 5549 n -F perm=x".AUI │ │ │ │ 001e8100: 445f 4649 4c54 4552 533d 222d 4620 6175 D_FILTERS="-F au │ │ │ │ @@ -126776,23 +126776,23 @@ │ │ │ │ 001ef370: 3d70 7269 7669 6c65 6765 640a 2020 2020 =privileged. │ │ │ │ 001ef380: 2020 6372 6561 7465 3a20 7472 7565 0a20 create: true. │ │ │ │ 001ef390: 2020 2020 206d 6f64 653a 206f 2d72 7778 mode: o-rwx │ │ │ │ 001ef3a0: 0a20 2020 2020 2073 7461 7465 3a20 7072 . state: pr │ │ │ │ 001ef3b0: 6573 656e 740a 2020 2020 7768 656e 3a20 esent. when: │ │ │ │ 001ef3c0: 7379 7363 616c 6c73 5f66 6f75 6e64 207c syscalls_found | │ │ │ │ 001ef3d0: 206c 656e 6774 6820 3d3d 2030 0a20 2077 length == 0. w │ │ │ │ -001ef3e0: 6865 6e3a 0a20 202d 2027 2261 7564 6974 hen:. - '"audit │ │ │ │ -001ef3f0: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ -001ef400: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ -001ef410: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ -001ef420: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ -001ef430: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ -001ef440: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ -001ef450: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ -001ef460: 6169 6e65 7222 5d0a 2020 7461 6773 3a0a ainer"]. tags:. │ │ │ │ +001ef3e0: 6865 6e3a 0a20 202d 2061 6e73 6962 6c65 hen:. - ansible │ │ │ │ +001ef3f0: 5f76 6972 7475 616c 697a 6174 696f 6e5f _virtualization_ │ │ │ │ +001ef400: 7479 7065 206e 6f74 2069 6e20 5b22 646f type not in ["do │ │ │ │ +001ef410: 636b 6572 222c 2022 6c78 6322 2c20 226f cker", "lxc", "o │ │ │ │ +001ef420: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22 penvz", "podman" │ │ │ │ +001ef430: 2c20 2263 6f6e 7461 696e 6572 225d 0a20 , "container"]. │ │ │ │ +001ef440: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ +001ef450: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ +001ef460: 636b 6167 6573 270a 2020 7461 6773 3a0a ckages'. tags:. │ │ │ │ 001ef470: 2020 2d20 4449 5341 2d53 5449 472d 5542 - DISA-STIG-UB │ │ │ │ 001ef480: 5455 2d32 302d 3031 3031 3633 0a20 202d TU-20-010163. - │ │ │ │ 001ef490: 204e 4953 542d 3830 302d 3137 312d 332e NIST-800-171-3. │ │ │ │ 001ef4a0: 312e 370a 2020 2d20 4e49 5354 2d38 3030 1.7. - NIST-800 │ │ │ │ 001ef4b0: 2d35 332d 4143 2d32 2834 290a 2020 2d20 -53-AC-2(4). - │ │ │ │ 001ef4c0: 4e49 5354 2d38 3030 2d35 332d 4143 2d36 NIST-800-53-AC-6 │ │ │ │ 001ef4d0: 2839 290a 2020 2d20 4e49 5354 2d38 3030 (9). - NIST-800 │ │ │ │ @@ -126825,26 +126825,26 @@ │ │ │ │ 001ef680: 723e 3c64 6976 2063 6c61 7373 3d22 7061 r>
│ │ │ │ 001ef6c0: 2320 5265 6d65 6469 6174 696f 6e20 6973 # Remediation is │ │ │ │ 001ef6d0: 2061 7070 6c69 6361 626c 6520 6f6e 6c79 applicable only │ │ │ │ 001ef6e0: 2069 6e20 6365 7274 6169 6e20 706c 6174 in certain plat │ │ │ │ -001ef6f0: 666f 726d 730a 6966 2064 706b 672d 7175 forms.if dpkg-qu │ │ │ │ -001ef700: 6572 7920 2d2d 7368 6f77 202d 2d73 686f ery --show --sho │ │ │ │ -001ef710: 7766 6f72 6d61 743d 2724 7b64 623a 5374 wformat='${db:St │ │ │ │ -001ef720: 6174 7573 2d53 7461 7475 737d 5c6e 2720 atus-Status}\n' │ │ │ │ -001ef730: 2761 7564 6974 6427 2032 2667 743b 2f64 'auditd' 2>/d │ │ │ │ -001ef740: 6576 2f6e 756c 6c20 7c20 6772 6570 202d ev/null | grep - │ │ │ │ -001ef750: 7120 696e 7374 616c 6c65 6420 2661 6d70 q installed & │ │ │ │ -001ef760: 3b26 616d 703b 205b 2021 202d 6620 2f2e ;& [ ! -f /. │ │ │ │ -001ef770: 646f 636b 6572 656e 7620 5d20 2661 6d70 dockerenv ] & │ │ │ │ -001ef780: 3b26 616d 703b 205b 2021 202d 6620 2f72 ;& [ ! -f /r │ │ │ │ -001ef790: 756e 2f2e 636f 6e74 6169 6e65 7265 6e76 un/.containerenv │ │ │ │ -001ef7a0: 205d 3b20 7468 656e 0a0a 4143 5449 4f4e ]; then..ACTION │ │ │ │ +001ef6f0: 666f 726d 730a 6966 205b 2021 202d 6620 forms.if [ ! -f │ │ │ │ +001ef700: 2f2e 646f 636b 6572 656e 7620 5d20 2661 /.dockerenv ] &a │ │ │ │ +001ef710: 6d70 3b26 616d 703b 205b 2021 202d 6620 mp;& [ ! -f │ │ │ │ +001ef720: 2f72 756e 2f2e 636f 6e74 6169 6e65 7265 /run/.containere │ │ │ │ +001ef730: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ +001ef740: 6470 6b67 2d71 7565 7279 202d 2d73 686f dpkg-query --sho │ │ │ │ +001ef750: 7720 2d2d 7368 6f77 666f 726d 6174 3d27 w --showformat=' │ │ │ │ +001ef760: 247b 6462 3a53 7461 7475 732d 5374 6174 ${db:Status-Stat │ │ │ │ +001ef770: 7573 7d5c 6e27 2027 6175 6469 7464 2720 us}\n' 'auditd' │ │ │ │ +001ef780: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c 2>/dev/null | │ │ │ │ +001ef790: 2067 7265 7020 2d71 2069 6e73 7461 6c6c grep -q install │ │ │ │ +001ef7a0: 6564 3b20 7468 656e 0a0a 4143 5449 4f4e ed; then..ACTION │ │ │ │ 001ef7b0: 5f41 5243 485f 4649 4c54 4552 533d 222d _ARCH_FILTERS="- │ │ │ │ 001ef7c0: 6120 616c 7761 7973 2c65 7869 7422 0a4f a always,exit".O │ │ │ │ 001ef7d0: 5448 4552 5f46 494c 5445 5253 3d22 2d46 THER_FILTERS="-F │ │ │ │ 001ef7e0: 2070 6174 683d 2f75 7372 2f62 696e 2f63 path=/usr/bin/c │ │ │ │ 001ef7f0: 6873 6820 2d46 2070 6572 6d3d 7822 0a41 hsh -F perm=x".A │ │ │ │ 001ef800: 5549 445f 4649 4c54 4552 533d 222d 4620 UID_FILTERS="-F │ │ │ │ 001ef810: 6175 6964 2667 743b 3d31 3030 3020 2d46 auid>=1000 -F │ │ │ │ @@ -128611,23 +128611,23 @@ │ │ │ │ 001f6620: 2d46 206b 6579 3d70 7269 7669 6c65 6765 -F key=privilege │ │ │ │ 001f6630: 640a 2020 2020 2020 6372 6561 7465 3a20 d. create: │ │ │ │ 001f6640: 7472 7565 0a20 2020 2020 206d 6f64 653a true. mode: │ │ │ │ 001f6650: 206f 2d72 7778 0a20 2020 2020 2073 7461 o-rwx. sta │ │ │ │ 001f6660: 7465 3a20 7072 6573 656e 740a 2020 2020 te: present. │ │ │ │ 001f6670: 7768 656e 3a20 7379 7363 616c 6c73 5f66 when: syscalls_f │ │ │ │ 001f6680: 6f75 6e64 207c 206c 656e 6774 6820 3d3d ound | length == │ │ │ │ -001f6690: 2030 0a20 2077 6865 6e3a 0a20 202d 2027 0. when:. - ' │ │ │ │ -001f66a0: 2261 7564 6974 6422 2069 6e20 616e 7369 "auditd" in ansi │ │ │ │ -001f66b0: 626c 655f 6661 6374 732e 7061 636b 6167 ble_facts.packag │ │ │ │ -001f66c0: 6573 270a 2020 2d20 616e 7369 626c 655f es'. - ansible_ │ │ │ │ -001f66d0: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ -001f66e0: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ -001f66f0: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ -001f6700: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ -001f6710: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +001f6690: 2030 0a20 2077 6865 6e3a 0a20 202d 2061 0. when:. - a │ │ │ │ +001f66a0: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ +001f66b0: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ +001f66c0: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ +001f66d0: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ +001f66e0: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ +001f66f0: 6572 225d 0a20 202d 2027 2261 7564 6974 er"]. - '"audit │ │ │ │ +001f6700: 6422 2069 6e20 616e 7369 626c 655f 6661 d" in ansible_fa │ │ │ │ +001f6710: 6374 732e 7061 636b 6167 6573 270a 2020 cts.packages'. │ │ │ │ 001f6720: 7461 6773 3a0a 2020 2d20 4449 5341 2d53 tags:. - DISA-S │ │ │ │ 001f6730: 5449 472d 5542 5455 2d32 302d 3031 3031 TIG-UBTU-20-0101 │ │ │ │ 001f6740: 3737 0a20 202d 204e 4953 542d 3830 302d 77. - NIST-800- │ │ │ │ 001f6750: 3137 312d 332e 312e 370a 2020 2d20 4e49 171-3.1.7. - NI │ │ │ │ 001f6760: 5354 2d38 3030 2d35 332d 4143 2d36 2839 ST-800-53-AC-6(9 │ │ │ │ 001f6770: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ 001f6780: 332d 4155 2d31 3228 6329 0a20 202d 204e 3-AU-12(c). - N │ │ │ │ @@ -128659,26 +128659,26 @@ │ │ │ │ 001f6920: 6272 3e3c 6469 7620 636c 6173 733d 2270 br>
# Remediation i │ │ │ │ 001f6970: 7320 6170 706c 6963 6162 6c65 206f 6e6c s applicable onl │ │ │ │ 001f6980: 7920 696e 2063 6572 7461 696e 2070 6c61 y in certain pla │ │ │ │ -001f6990: 7466 6f72 6d73 0a69 6620 6470 6b67 2d71 tforms.if dpkg-q │ │ │ │ -001f69a0: 7565 7279 202d 2d73 686f 7720 2d2d 7368 uery --show --sh │ │ │ │ -001f69b0: 6f77 666f 726d 6174 3d27 247b 6462 3a53 owformat='${db:S │ │ │ │ -001f69c0: 7461 7475 732d 5374 6174 7573 7d5c 6e27 tatus-Status}\n' │ │ │ │ -001f69d0: 2027 6175 6469 7464 2720 3226 6774 3b2f 'auditd' 2>/ │ │ │ │ -001f69e0: 6465 762f 6e75 6c6c 207c 2067 7265 7020 dev/null | grep │ │ │ │ -001f69f0: 2d71 2069 6e73 7461 6c6c 6564 2026 616d -q installed &am │ │ │ │ -001f6a00: 703b 2661 6d70 3b20 5b20 2120 2d66 202f p;& [ ! -f / │ │ │ │ -001f6a10: 2e64 6f63 6b65 7265 6e76 205d 2026 616d .dockerenv ] &am │ │ │ │ -001f6a20: 703b 2661 6d70 3b20 5b20 2120 2d66 202f p;& [ ! -f / │ │ │ │ -001f6a30: 7275 6e2f 2e63 6f6e 7461 696e 6572 656e run/.containeren │ │ │ │ -001f6a40: 7620 5d3b 2074 6865 6e0a 0a41 4354 494f v ]; then..ACTIO │ │ │ │ +001f6990: 7466 6f72 6d73 0a69 6620 5b20 2120 2d66 tforms.if [ ! -f │ │ │ │ +001f69a0: 202f 2e64 6f63 6b65 7265 6e76 205d 2026 /.dockerenv ] & │ │ │ │ +001f69b0: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ +001f69c0: 202f 7275 6e2f 2e63 6f6e 7461 696e 6572 /run/.container │ │ │ │ +001f69d0: 656e 7620 5d20 2661 6d70 3b26 616d 703b env ] && │ │ │ │ +001f69e0: 2064 706b 672d 7175 6572 7920 2d2d 7368 dpkg-query --sh │ │ │ │ +001f69f0: 6f77 202d 2d73 686f 7766 6f72 6d61 743d ow --showformat= │ │ │ │ +001f6a00: 2724 7b64 623a 5374 6174 7573 2d53 7461 '${db:Status-Sta │ │ │ │ +001f6a10: 7475 737d 5c6e 2720 2761 7564 6974 6427 tus}\n' 'auditd' │ │ │ │ +001f6a20: 2032 2667 743b 2f64 6576 2f6e 756c 6c20 2>/dev/null │ │ │ │ +001f6a30: 7c20 6772 6570 202d 7120 696e 7374 616c | grep -q instal │ │ │ │ +001f6a40: 6c65 643b 2074 6865 6e0a 0a41 4354 494f led; then..ACTIO │ │ │ │ 001f6a50: 4e5f 4152 4348 5f46 494c 5445 5253 3d22 N_ARCH_FILTERS=" │ │ │ │ 001f6a60: 2d61 2061 6c77 6179 732c 6578 6974 220a -a always,exit". │ │ │ │ 001f6a70: 4f54 4845 525f 4649 4c54 4552 533d 222d OTHER_FILTERS="- │ │ │ │ 001f6a80: 4620 7061 7468 3d2f 7573 722f 6269 6e2f F path=/usr/bin/ │ │ │ │ 001f6a90: 6372 6f6e 7461 6220 2d46 2070 6572 6d3d crontab -F perm= │ │ │ │ 001f6aa0: 7822 0a41 5549 445f 4649 4c54 4552 533d x".AUID_FILTERS= │ │ │ │ 001f6ab0: 222d 4620 6175 6964 2667 743b 3d31 3030 "-F auid>=100 │ │ │ │ @@ -130522,23 +130522,23 @@ │ │ │ │ 001fdd90: 6976 696c 6567 6564 0a20 2020 2020 2063 ivileged. c │ │ │ │ 001fdda0: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 001fddb0: 2020 6d6f 6465 3a20 6f2d 7277 780a 2020 mode: o-rwx. │ │ │ │ 001fddc0: 2020 2020 7374 6174 653a 2070 7265 7365 state: prese │ │ │ │ 001fddd0: 6e74 0a20 2020 2077 6865 6e3a 2073 7973 nt. when: sys │ │ │ │ 001fdde0: 6361 6c6c 735f 666f 756e 6420 7c20 6c65 calls_found | le │ │ │ │ 001fddf0: 6e67 7468 203d 3d20 300a 2020 7768 656e ngth == 0. when │ │ │ │ -001fde00: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -001fde10: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -001fde20: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -001fde30: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -001fde40: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -001fde50: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -001fde60: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -001fde70: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -001fde80: 6572 225d 0a20 2074 6167 733a 0a20 202d er"]. tags:. - │ │ │ │ +001fde00: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +001fde10: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +001fde20: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +001fde30: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +001fde40: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +001fde50: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +001fde60: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +001fde70: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +001fde80: 6765 7327 0a20 2074 6167 733a 0a20 202d ges'. tags:. - │ │ │ │ 001fde90: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 001fdea0: 3230 2d30 3130 3137 340a 2020 2d20 4e49 20-010174. - NI │ │ │ │ 001fdeb0: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 001fdec0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 001fded0: 2d41 432d 3228 3429 0a20 202d 204e 4953 -AC-2(4). - NIS │ │ │ │ 001fdee0: 542d 3830 302d 3533 2d41 432d 3628 3929 T-800-53-AC-6(9) │ │ │ │ 001fdef0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ @@ -130571,26 +130571,26 @@ │ │ │ │ 001fe0a0: 723e 3c64 6976 2063 6c61 7373 3d22 7061 r>
│ │ │ │ 001fe0e0: 2320 5265 6d65 6469 6174 696f 6e20 6973 # Remediation is │ │ │ │ 001fe0f0: 2061 7070 6c69 6361 626c 6520 6f6e 6c79 applicable only │ │ │ │ 001fe100: 2069 6e20 6365 7274 6169 6e20 706c 6174 in certain plat │ │ │ │ -001fe110: 666f 726d 730a 6966 2064 706b 672d 7175 forms.if dpkg-qu │ │ │ │ -001fe120: 6572 7920 2d2d 7368 6f77 202d 2d73 686f ery --show --sho │ │ │ │ -001fe130: 7766 6f72 6d61 743d 2724 7b64 623a 5374 wformat='${db:St │ │ │ │ -001fe140: 6174 7573 2d53 7461 7475 737d 5c6e 2720 atus-Status}\n' │ │ │ │ -001fe150: 2761 7564 6974 6427 2032 2667 743b 2f64 'auditd' 2>/d │ │ │ │ -001fe160: 6576 2f6e 756c 6c20 7c20 6772 6570 202d ev/null | grep - │ │ │ │ -001fe170: 7120 696e 7374 616c 6c65 6420 2661 6d70 q installed & │ │ │ │ -001fe180: 3b26 616d 703b 205b 2021 202d 6620 2f2e ;& [ ! -f /. │ │ │ │ -001fe190: 646f 636b 6572 656e 7620 5d20 2661 6d70 dockerenv ] & │ │ │ │ -001fe1a0: 3b26 616d 703b 205b 2021 202d 6620 2f72 ;& [ ! -f /r │ │ │ │ -001fe1b0: 756e 2f2e 636f 6e74 6169 6e65 7265 6e76 un/.containerenv │ │ │ │ -001fe1c0: 205d 3b20 7468 656e 0a0a 4143 5449 4f4e ]; then..ACTION │ │ │ │ +001fe110: 666f 726d 730a 6966 205b 2021 202d 6620 forms.if [ ! -f │ │ │ │ +001fe120: 2f2e 646f 636b 6572 656e 7620 5d20 2661 /.dockerenv ] &a │ │ │ │ +001fe130: 6d70 3b26 616d 703b 205b 2021 202d 6620 mp;& [ ! -f │ │ │ │ +001fe140: 2f72 756e 2f2e 636f 6e74 6169 6e65 7265 /run/.containere │ │ │ │ +001fe150: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ +001fe160: 6470 6b67 2d71 7565 7279 202d 2d73 686f dpkg-query --sho │ │ │ │ +001fe170: 7720 2d2d 7368 6f77 666f 726d 6174 3d27 w --showformat=' │ │ │ │ +001fe180: 247b 6462 3a53 7461 7475 732d 5374 6174 ${db:Status-Stat │ │ │ │ +001fe190: 7573 7d5c 6e27 2027 6175 6469 7464 2720 us}\n' 'auditd' │ │ │ │ +001fe1a0: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c 2>/dev/null | │ │ │ │ +001fe1b0: 2067 7265 7020 2d71 2069 6e73 7461 6c6c grep -q install │ │ │ │ +001fe1c0: 6564 3b20 7468 656e 0a0a 4143 5449 4f4e ed; then..ACTION │ │ │ │ 001fe1d0: 5f41 5243 485f 4649 4c54 4552 533d 222d _ARCH_FILTERS="- │ │ │ │ 001fe1e0: 6120 616c 7761 7973 2c65 7869 7422 0a4f a always,exit".O │ │ │ │ 001fe1f0: 5448 4552 5f46 494c 5445 5253 3d22 2d46 THER_FILTERS="-F │ │ │ │ 001fe200: 2070 6174 683d 2f75 7372 2f62 696e 2f67 path=/usr/bin/g │ │ │ │ 001fe210: 7061 7373 7764 202d 4620 7065 726d 3d78 passwd -F perm=x │ │ │ │ 001fe220: 220a 4155 4944 5f46 494c 5445 5253 3d22 ".AUID_FILTERS=" │ │ │ │ 001fe230: 2d46 2061 7569 6426 6774 3b3d 3130 3030 -F auid>=1000 │ │ │ │ @@ -131986,26 +131986,26 @@ │ │ │ │ 00203910: 6272 3e3c 6469 7620 636c 6173 733d 2270 br>
# Remediation i │ │ │ │ 00203960: 7320 6170 706c 6963 6162 6c65 206f 6e6c s applicable onl │ │ │ │ 00203970: 7920 696e 2063 6572 7461 696e 2070 6c61 y in certain pla │ │ │ │ -00203980: 7466 6f72 6d73 0a69 6620 6470 6b67 2d71 tforms.if dpkg-q │ │ │ │ -00203990: 7565 7279 202d 2d73 686f 7720 2d2d 7368 uery --show --sh │ │ │ │ -002039a0: 6f77 666f 726d 6174 3d27 247b 6462 3a53 owformat='${db:S │ │ │ │ -002039b0: 7461 7475 732d 5374 6174 7573 7d5c 6e27 tatus-Status}\n' │ │ │ │ -002039c0: 2027 6175 6469 7464 2720 3226 6774 3b2f 'auditd' 2>/ │ │ │ │ -002039d0: 6465 762f 6e75 6c6c 207c 2067 7265 7020 dev/null | grep │ │ │ │ -002039e0: 2d71 2069 6e73 7461 6c6c 6564 2026 616d -q installed &am │ │ │ │ -002039f0: 703b 2661 6d70 3b20 5b20 2120 2d66 202f p;& [ ! -f / │ │ │ │ -00203a00: 2e64 6f63 6b65 7265 6e76 205d 2026 616d .dockerenv ] &am │ │ │ │ -00203a10: 703b 2661 6d70 3b20 5b20 2120 2d66 202f p;& [ ! -f / │ │ │ │ -00203a20: 7275 6e2f 2e63 6f6e 7461 696e 6572 656e run/.containeren │ │ │ │ -00203a30: 7620 5d3b 2074 6865 6e0a 0a23 2050 6572 v ]; then..# Per │ │ │ │ +00203980: 7466 6f72 6d73 0a69 6620 5b20 2120 2d66 tforms.if [ ! -f │ │ │ │ +00203990: 202f 2e64 6f63 6b65 7265 6e76 205d 2026 /.dockerenv ] & │ │ │ │ +002039a0: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ +002039b0: 202f 7275 6e2f 2e63 6f6e 7461 696e 6572 /run/.container │ │ │ │ +002039c0: 656e 7620 5d20 2661 6d70 3b26 616d 703b env ] && │ │ │ │ +002039d0: 2064 706b 672d 7175 6572 7920 2d2d 7368 dpkg-query --sh │ │ │ │ +002039e0: 6f77 202d 2d73 686f 7766 6f72 6d61 743d ow --showformat= │ │ │ │ +002039f0: 2724 7b64 623a 5374 6174 7573 2d53 7461 '${db:Status-Sta │ │ │ │ +00203a00: 7475 737d 5c6e 2720 2761 7564 6974 6427 tus}\n' 'auditd' │ │ │ │ +00203a10: 2032 2667 743b 2f64 6576 2f6e 756c 6c20 2>/dev/null │ │ │ │ +00203a20: 7c20 6772 6570 202d 7120 696e 7374 616c | grep -q instal │ │ │ │ +00203a30: 6c65 643b 2074 6865 6e0a 0a23 2050 6572 led; then..# Per │ │ │ │ 00203a40: 666f 726d 2074 6865 2072 656d 6564 6961 form the remedia │ │ │ │ 00203a50: 7469 6f6e 2066 6f72 2062 6f74 6820 706f tion for both po │ │ │ │ 00203a60: 7373 6962 6c65 2074 6f6f 6c73 3a20 2761 ssible tools: 'a │ │ │ │ 00203a70: 7564 6974 6374 6c27 2061 6e64 2027 6175 uditctl' and 'au │ │ │ │ 00203a80: 6765 6e72 756c 6573 270a 2320 4372 6561 genrules'.# Crea │ │ │ │ 00203a90: 7465 2061 206c 6973 7420 6f66 2061 7564 te a list of aud │ │ │ │ 00203aa0: 6974 202a 2e72 756c 6573 2066 696c 6573 it *.rules files │ │ │ │ @@ -133068,23 +133068,23 @@ │ │ │ │ 00207cb0: 6976 696c 6567 6564 0a20 2020 2020 2063 ivileged. c │ │ │ │ 00207cc0: 7265 6174 653a 2074 7275 650a 2020 2020 reate: true. │ │ │ │ 00207cd0: 2020 6d6f 6465 3a20 6f2d 7277 780a 2020 mode: o-rwx. │ │ │ │ 00207ce0: 2020 2020 7374 6174 653a 2070 7265 7365 state: prese │ │ │ │ 00207cf0: 6e74 0a20 2020 2077 6865 6e3a 2073 7973 nt. when: sys │ │ │ │ 00207d00: 6361 6c6c 735f 666f 756e 6420 7c20 6c65 calls_found | le │ │ │ │ 00207d10: 6e67 7468 203d 3d20 300a 2020 7768 656e ngth == 0. when │ │ │ │ -00207d20: 3a0a 2020 2d20 2722 6175 6469 7464 2220 :. - '"auditd" │ │ │ │ -00207d30: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ -00207d40: 2e70 6163 6b61 6765 7327 0a20 202d 2061 .packages'. - a │ │ │ │ -00207d50: 6e73 6962 6c65 5f76 6972 7475 616c 697a nsible_virtualiz │ │ │ │ -00207d60: 6174 696f 6e5f 7479 7065 206e 6f74 2069 ation_type not i │ │ │ │ -00207d70: 6e20 5b22 646f 636b 6572 222c 2022 6c78 n ["docker", "lx │ │ │ │ -00207d80: 6322 2c20 226f 7065 6e76 7a22 2c20 2270 c", "openvz", "p │ │ │ │ -00207d90: 6f64 6d61 6e22 2c20 2263 6f6e 7461 696e odman", "contain │ │ │ │ -00207da0: 6572 225d 0a20 2074 6167 733a 0a20 202d er"]. tags:. - │ │ │ │ +00207d20: 3a0a 2020 2d20 616e 7369 626c 655f 7669 :. - ansible_vi │ │ │ │ +00207d30: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ +00207d40: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ +00207d50: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ +00207d60: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ +00207d70: 636f 6e74 6169 6e65 7222 5d0a 2020 2d20 container"]. - │ │ │ │ +00207d80: 2722 6175 6469 7464 2220 696e 2061 6e73 '"auditd" in ans │ │ │ │ +00207d90: 6962 6c65 5f66 6163 7473 2e70 6163 6b61 ible_facts.packa │ │ │ │ +00207da0: 6765 7327 0a20 2074 6167 733a 0a20 202d ges'. tags:. - │ │ │ │ 00207db0: 2044 4953 412d 5354 4947 2d55 4254 552d DISA-STIG-UBTU- │ │ │ │ 00207dc0: 3230 2d30 3130 3133 380a 2020 2d20 4e49 20-010138. - NI │ │ │ │ 00207dd0: 5354 2d38 3030 2d35 332d 4143 2d36 2839 ST-800-53-AC-6(9 │ │ │ │ 00207de0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ 00207df0: 332d 4155 2d31 3228 6329 0a20 202d 204e 3-AU-12(c). - N │ │ │ │ 00207e00: 4953 542d 3830 302d 3533 2d41 552d 3228 IST-800-53-AU-2( │ │ │ │ 00207e10: 6429 0a20 202d 204e 4953 542d 3830 302d d). - NIST-800- │ │ │ │ @@ -133114,26 +133114,26 @@ │ │ │ │ 00207f90: 3e3c 6469 7620 636c 6173 733d 2270 616e >
# │ │ │ │ 00207fd0: 2052 656d 6564 6961 7469 6f6e 2069 7320 Remediation is │ │ │ │ 00207fe0: 6170 706c 6963 6162 6c65 206f 6e6c 7920 applicable only │ │ │ │ 00207ff0: 696e 2063 6572 7461 696e 2070 6c61 7466 in certain platf │ │ │ │ -00208000: 6f72 6d73 0a69 6620 6470 6b67 2d71 7565 orms.if dpkg-que │ │ │ │ -00208010: 7279 202d 2d73 686f 7720 2d2d 7368 6f77 ry --show --show │ │ │ │ -00208020: 666f 726d 6174 3d27 247b 6462 3a53 7461 format='${db:Sta │ │ │ │ -00208030: 7475 732d 5374 6174 7573 7d5c 6e27 2027 tus-Status}\n' ' │ │ │ │ -00208040: 6175 6469 7464 2720 3226 6774 3b2f 6465 auditd' 2>/de │ │ │ │ -00208050: 762f 6e75 6c6c 207c 2067 7265 7020 2d71 v/null | grep -q │ │ │ │ -00208060: 2069 6e73 7461 6c6c 6564 2026 616d 703b installed & │ │ │ │ -00208070: 2661 6d70 3b20 5b20 2120 2d66 202f 2e64 & [ ! -f /.d │ │ │ │ -00208080: 6f63 6b65 7265 6e76 205d 2026 616d 703b ockerenv ] & │ │ │ │ -00208090: 2661 6d70 3b20 5b20 2120 2d66 202f 7275 & [ ! -f /ru │ │ │ │ -002080a0: 6e2f 2e63 6f6e 7461 696e 6572 656e 7620 n/.containerenv │ │ │ │ -002080b0: 5d3b 2074 6865 6e0a 0a41 4354 494f 4e5f ]; then..ACTION_ │ │ │ │ +00208000: 6f72 6d73 0a69 6620 5b20 2120 2d66 202f orms.if [ ! -f / │ │ │ │ +00208010: 2e64 6f63 6b65 7265 6e76 205d 2026 616d .dockerenv ] &am │ │ │ │ +00208020: 703b 2661 6d70 3b20 5b20 2120 2d66 202f p;& [ ! -f / │ │ │ │ +00208030: 7275 6e2f 2e63 6f6e 7461 696e 6572 656e run/.containeren │ │ │ │ +00208040: 7620 5d20 2661 6d70 3b26 616d 703b 2064 v ] && d │ │ │ │ +00208050: 706b 672d 7175 6572 7920 2d2d 7368 6f77 pkg-query --show │ │ │ │ +00208060: 202d 2d73 686f 7766 6f72 6d61 743d 2724 --showformat='$ │ │ │ │ +00208070: 7b64 623a 5374 6174 7573 2d53 7461 7475 {db:Status-Statu │ │ │ │ +00208080: 737d 5c6e 2720 2761 7564 6974 6427 2032 s}\n' 'auditd' 2 │ │ │ │ +00208090: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20 >/dev/null | │ │ │ │ +002080a0: 6772 6570 202d 7120 696e 7374 616c 6c65 grep -q installe │ │ │ │ +002080b0: 643b 2074 6865 6e0a 0a41 4354 494f 4e5f d; then..ACTION_ │ │ │ │ 002080c0: 4152 4348 5f46 494c 5445 5253 3d22 2d61 ARCH_FILTERS="-a │ │ │ │ 002080d0: 2061 6c77 6179 732c 6578 6974 220a 4f54 always,exit".OT │ │ │ │ 002080e0: 4845 525f 4649 4c54 4552 533d 222d 4620 HER_FILTERS="-F │ │ │ │ 002080f0: 7061 7468 3d2f 7573 722f 6269 6e2f 6d6f path=/usr/bin/mo │ │ │ │ 00208100: 756e 7420 2d46 2070 6572 6d3d 7822 0a41 unt -F perm=x".A │ │ │ │ 00208110: 5549 445f 4649 4c54 4552 533d 222d 4620 UID_FILTERS="-F │ │ │ │ 00208120: 6175 6964 2667 743b 3d31 3030 3020 2d46 auid>=1000 -F │ │ │ │ @@ -134576,23 +134576,23 @@ │ │ │ │ 0020daf0: 6b65 793d 7072 6976 696c 6567 6564 0a20 key=privileged. │ │ │ │ 0020db00: 2020 2020 2063 7265 6174 653a 2074 7275 create: tru │ │ │ │ 0020db10: 650a 2020 2020 2020 6d6f 6465 3a20 6f2d e. mode: o- │ │ │ │ 0020db20: 7277 780a 2020 2020 2020 7374 6174 653a rwx. state: │ │ │ │ 0020db30: 2070 7265 7365 6e74 0a20 2020 2077 6865 present. whe │ │ │ │ 0020db40: 6e3a 2073 7973 6361 6c6c 735f 666f 756e n: syscalls_foun │ │ │ │ 0020db50: 6420 7c20 6c65 6e67 7468 203d 3d20 300a d | length == 0. │ │ │ │ -0020db60: 2020 7768 656e 3a0a 2020 2d20 2722 6175 when:. - '"au │ │ │ │ -0020db70: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ -0020db80: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ -0020db90: 0a20 202d 2061 6e73 6962 6c65 5f76 6972 . - ansible_vir │ │ │ │ -0020dba0: 7475 616c 697a 6174 696f 6e5f 7479 7065 tualization_type │ │ │ │ -0020dbb0: 206e 6f74 2069 6e20 5b22 646f 636b 6572 not in ["docker │ │ │ │ -0020dbc0: 222c 2022 6c78 6322 2c20 226f 7065 6e76 ", "lxc", "openv │ │ │ │ -0020dbd0: 7a22 2c20 2270 6f64 6d61 6e22 2c20 2263 z", "podman", "c │ │ │ │ -0020dbe0: 6f6e 7461 696e 6572 225d 0a20 2074 6167 ontainer"]. tag │ │ │ │ +0020db60: 2020 7768 656e 3a0a 2020 2d20 616e 7369 when:. - ansi │ │ │ │ +0020db70: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ +0020db80: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ +0020db90: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ +0020dba0: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ +0020dbb0: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ +0020dbc0: 5d0a 2020 2d20 2722 6175 6469 7464 2220 ]. - '"auditd" │ │ │ │ +0020dbd0: 696e 2061 6e73 6962 6c65 5f66 6163 7473 in ansible_facts │ │ │ │ +0020dbe0: 2e70 6163 6b61 6765 7327 0a20 2074 6167 .packages'. tag │ │ │ │ 0020dbf0: 733a 0a20 202d 204e 4953 542d 3830 302d s:. - NIST-800- │ │ │ │ 0020dc00: 3533 2d41 432d 3228 3429 0a20 202d 204e 53-AC-2(4). - N │ │ │ │ 0020dc10: 4953 542d 3830 302d 3533 2d41 432d 3628 IST-800-53-AC-6( │ │ │ │ 0020dc20: 3929 0a20 202d 204e 4953 542d 3830 302d 9). - NIST-800- │ │ │ │ 0020dc30: 3533 2d41 552d 3132 2863 290a 2020 2d20 53-AU-12(c). - │ │ │ │ 0020dc40: 4e49 5354 2d38 3030 2d35 332d 4155 2d32 NIST-800-53-AU-2 │ │ │ │ 0020dc50: 2864 290a 2020 2d20 4e49 5354 2d38 3030 (d). - NIST-800 │ │ │ │ @@ -134622,26 +134622,26 @@ │ │ │ │ 0020ddd0: 613e 3c62 723e 3c64 6976 2063 6c61 7373 a>
# Remediatio │ │ │ │ 0020de20: 6e20 6973 2061 7070 6c69 6361 626c 6520 n is applicable │ │ │ │ 0020de30: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20 only in certain │ │ │ │ -0020de40: 706c 6174 666f 726d 730a 6966 2064 706b platforms.if dpk │ │ │ │ -0020de50: 672d 7175 6572 7920 2d2d 7368 6f77 202d g-query --show - │ │ │ │ -0020de60: 2d73 686f 7766 6f72 6d61 743d 2724 7b64 -showformat='${d │ │ │ │ -0020de70: 623a 5374 6174 7573 2d53 7461 7475 737d b:Status-Status} │ │ │ │ -0020de80: 5c6e 2720 2761 7564 6974 6427 2032 2667 \n' 'auditd' 2&g │ │ │ │ -0020de90: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772 t;/dev/null | gr │ │ │ │ -0020dea0: 6570 202d 7120 696e 7374 616c 6c65 6420 ep -q installed │ │ │ │ -0020deb0: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ -0020dec0: 6620 2f2e 646f 636b 6572 656e 7620 5d20 f /.dockerenv ] │ │ │ │ -0020ded0: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ -0020dee0: 6620 2f72 756e 2f2e 636f 6e74 6169 6e65 f /run/.containe │ │ │ │ -0020def0: 7265 6e76 205d 3b20 7468 656e 0a0a 4143 renv ]; then..AC │ │ │ │ +0020de40: 706c 6174 666f 726d 730a 6966 205b 2021 platforms.if [ ! │ │ │ │ +0020de50: 202d 6620 2f2e 646f 636b 6572 656e 7620 -f /.dockerenv │ │ │ │ +0020de60: 5d20 2661 6d70 3b26 616d 703b 205b 2021 ] && [ ! │ │ │ │ +0020de70: 202d 6620 2f72 756e 2f2e 636f 6e74 6169 -f /run/.contai │ │ │ │ +0020de80: 6e65 7265 6e76 205d 2026 616d 703b 2661 nerenv ] &&a │ │ │ │ +0020de90: 6d70 3b20 6470 6b67 2d71 7565 7279 202d mp; dpkg-query - │ │ │ │ +0020dea0: 2d73 686f 7720 2d2d 7368 6f77 666f 726d -show --showform │ │ │ │ +0020deb0: 6174 3d27 247b 6462 3a53 7461 7475 732d at='${db:Status- │ │ │ │ +0020dec0: 5374 6174 7573 7d5c 6e27 2027 6175 6469 Status}\n' 'audi │ │ │ │ +0020ded0: 7464 2720 3226 6774 3b2f 6465 762f 6e75 td' 2>/dev/nu │ │ │ │ +0020dee0: 6c6c 207c 2067 7265 7020 2d71 2069 6e73 ll | grep -q ins │ │ │ │ +0020def0: 7461 6c6c 6564 3b20 7468 656e 0a0a 4143 talled; then..AC │ │ │ │ 0020df00: 5449 4f4e 5f41 5243 485f 4649 4c54 4552 TION_ARCH_FILTER │ │ │ │ 0020df10: 533d 222d 6120 616c 7761 7973 2c65 7869 S="-a always,exi │ │ │ │ 0020df20: 7422 0a4f 5448 4552 5f46 494c 5445 5253 t".OTHER_FILTERS │ │ │ │ 0020df30: 3d22 2d46 2070 6174 683d 2f75 7372 2f62 ="-F path=/usr/b │ │ │ │ 0020df40: 696e 2f6e 6577 6769 646d 6170 202d 4620 in/newgidmap -F │ │ │ │ 0020df50: 7065 726d 3d78 220a 4155 4944 5f46 494c perm=x".AUID_FIL │ │ │ │ 0020df60: 5445 5253 3d22 2d46 2061 7569 6426 6774 TERS="-F auid> │ │ │ │ @@ -136484,23 +136484,23 @@ │ │ │ │ 00215230: 6579 3d70 7269 7669 6c65 6765 640a 2020 ey=privileged. │ │ │ │ 00215240: 2020 2020 6372 6561 7465 3a20 7472 7565 create: true │ │ │ │ 00215250: 0a20 2020 2020 206d 6f64 653a 206f 2d72 . mode: o-r │ │ │ │ 00215260: 7778 0a20 2020 2020 2073 7461 7465 3a20 wx. state: │ │ │ │ 00215270: 7072 6573 656e 740a 2020 2020 7768 656e present. when │ │ │ │ 00215280: 3a20 7379 7363 616c 6c73 5f66 6f75 6e64 : syscalls_found │ │ │ │ 00215290: 207c 206c 656e 6774 6820 3d3d 2030 0a20 | length == 0. │ │ │ │ -002152a0: 2077 6865 6e3a 0a20 202d 2027 2261 7564 when:. - '"aud │ │ │ │ -002152b0: 6974 6422 2069 6e20 616e 7369 626c 655f itd" in ansible_ │ │ │ │ -002152c0: 6661 6374 732e 7061 636b 6167 6573 270a facts.packages'. │ │ │ │ -002152d0: 2020 2d20 616e 7369 626c 655f 7669 7274 - ansible_virt │ │ │ │ -002152e0: 7561 6c69 7a61 7469 6f6e 5f74 7970 6520 ualization_type │ │ │ │ -002152f0: 6e6f 7420 696e 205b 2264 6f63 6b65 7222 not in ["docker" │ │ │ │ -00215300: 2c20 226c 7863 222c 2022 6f70 656e 767a , "lxc", "openvz │ │ │ │ -00215310: 222c 2022 706f 646d 616e 222c 2022 636f ", "podman", "co │ │ │ │ -00215320: 6e74 6169 6e65 7222 5d0a 2020 7461 6773 ntainer"]. tags │ │ │ │ +002152a0: 2077 6865 6e3a 0a20 202d 2061 6e73 6962 when:. - ansib │ │ │ │ +002152b0: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ +002152c0: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ +002152d0: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ +002152e0: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ +002152f0: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +00215300: 0a20 202d 2027 2261 7564 6974 6422 2069 . - '"auditd" i │ │ │ │ +00215310: 6e20 616e 7369 626c 655f 6661 6374 732e n ansible_facts. │ │ │ │ +00215320: 7061 636b 6167 6573 270a 2020 7461 6773 packages'. tags │ │ │ │ 00215330: 3a0a 2020 2d20 4449 5341 2d53 5449 472d :. - DISA-STIG- │ │ │ │ 00215340: 5542 5455 2d32 302d 3031 3031 3634 0a20 UBTU-20-010164. │ │ │ │ 00215350: 202d 204e 4953 542d 3830 302d 3137 312d - NIST-800-171- │ │ │ │ 00215360: 332e 312e 370a 2020 2d20 4e49 5354 2d38 3.1.7. - NIST-8 │ │ │ │ 00215370: 3030 2d35 332d 4143 2d32 2834 290a 2020 00-53-AC-2(4). │ │ │ │ 00215380: 2d20 4e49 5354 2d38 3030 2d35 332d 4143 - NIST-800-53-AC │ │ │ │ 00215390: 2d36 2839 290a 2020 2d20 4e49 5354 2d38 -6(9). - NIST-8 │ │ │ │ @@ -136533,26 +136533,26 @@ │ │ │ │ 00215540: 613e 3c62 723e 3c64 6976 2063 6c61 7373 a> # Remediatio │ │ │ │ 00215590: 6e20 6973 2061 7070 6c69 6361 626c 6520 n is applicable │ │ │ │ 002155a0: 6f6e 6c79 2069 6e20 6365 7274 6169 6e20 only in certain │ │ │ │ -002155b0: 706c 6174 666f 726d 730a 6966 2064 706b platforms.if dpk │ │ │ │ -002155c0: 672d 7175 6572 7920 2d2d 7368 6f77 202d g-query --show - │ │ │ │ -002155d0: 2d73 686f 7766 6f72 6d61 743d 2724 7b64 -showformat='${d │ │ │ │ -002155e0: 623a 5374 6174 7573 2d53 7461 7475 737d b:Status-Status} │ │ │ │ -002155f0: 5c6e 2720 2761 7564 6974 6427 2032 2667 \n' 'auditd' 2&g │ │ │ │ -00215600: 743b 2f64 6576 2f6e 756c 6c20 7c20 6772 t;/dev/null | gr │ │ │ │ -00215610: 6570 202d 7120 696e 7374 616c 6c65 6420 ep -q installed │ │ │ │ -00215620: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ -00215630: 6620 2f2e 646f 636b 6572 656e 7620 5d20 f /.dockerenv ] │ │ │ │ -00215640: 2661 6d70 3b26 616d 703b 205b 2021 202d && [ ! - │ │ │ │ -00215650: 6620 2f72 756e 2f2e 636f 6e74 6169 6e65 f /run/.containe │ │ │ │ -00215660: 7265 6e76 205d 3b20 7468 656e 0a0a 4143 renv ]; then..AC │ │ │ │ +002155b0: 706c 6174 666f 726d 730a 6966 205b 2021 platforms.if [ ! │ │ │ │ +002155c0: 202d 6620 2f2e 646f 636b 6572 656e 7620 -f /.dockerenv │ │ │ │ +002155d0: 5d20 2661 6d70 3b26 616d 703b 205b 2021 ] && [ ! │ │ │ │ +002155e0: 202d 6620 2f72 756e 2f2e 636f 6e74 6169 -f /run/.contai │ │ │ │ +002155f0: 6e65 7265 6e76 205d 2026 616d 703b 2661 nerenv ] &&a │ │ │ │ +00215600: 6d70 3b20 6470 6b67 2d71 7565 7279 202d mp; dpkg-query - │ │ │ │ +00215610: 2d73 686f 7720 2d2d 7368 6f77 666f 726d -show --showform │ │ │ │ +00215620: 6174 3d27 247b 6462 3a53 7461 7475 732d at='${db:Status- │ │ │ │ +00215630: 5374 6174 7573 7d5c 6e27 2027 6175 6469 Status}\n' 'audi │ │ │ │ +00215640: 7464 2720 3226 6774 3b2f 6465 762f 6e75 td' 2>/dev/nu │ │ │ │ +00215650: 6c6c 207c 2067 7265 7020 2d71 2069 6e73 ll | grep -q ins │ │ │ │ +00215660: 7461 6c6c 6564 3b20 7468 656e 0a0a 4143 talled; then..AC │ │ │ │ 00215670: 5449 4f4e 5f41 5243 485f 4649 4c54 4552 TION_ARCH_FILTER │ │ │ │ 00215680: 533d 222d 6120 616c 7761 7973 2c65 7869 S="-a always,exi │ │ │ │ 00215690: 7422 0a4f 5448 4552 5f46 494c 5445 5253 t".OTHER_FILTERS │ │ │ │ 002156a0: 3d22 2d46 2070 6174 683d 2f75 7372 2f62 ="-F path=/usr/b │ │ │ │ 002156b0: 696e 2f6e 6577 6772 7020 2d46 2070 6572 in/newgrp -F per │ │ │ │ 002156c0: 6d3d 7822 0a41 5549 445f 4649 4c54 4552 m=x".AUID_FILTER │ │ │ │ 002156d0: 533d 222d 4620 6175 6964 2667 743b 3d31 S="-F auid>=1 │ │ │ │ @@ -137996,22 +137996,22 @@ │ │ │ │ 0021b0b0: 6567 6564 0a20 2020 2020 2063 7265 6174 eged. creat │ │ │ │ 0021b0c0: 653a 2074 7275 650a 2020 2020 2020 6d6f e: true. mo │ │ │ │ 0021b0d0: 6465 3a20 6f2d 7277 780a 2020 2020 2020 de: o-rwx. │ │ │ │ 0021b0e0: 7374 6174 653a 2070 7265 7365 6e74 0a20 state: present. │ │ │ │ 0021b0f0: 2020 2077 6865 6e3a 2073 7973 6361 6c6c when: syscall │ │ │ │ 0021b100: 735f 666f 756e 6420 7c20 6c65 6e67 7468 s_found | length │ │ │ │ 0021b110: 203d 3d20 300a 2020 7768 656e 3a0a 2020 == 0. when:. │ │ │ │ -0021b120: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ -0021b130: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ -0021b140: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ -0021b150: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ -0021b160: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ -0021b170: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ -0021b180: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ -0021b190: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +0021b120: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ +0021b130: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ +0021b140: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ +0021b150: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ +0021b160: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ +0021b170: 6169 6e65 7222 5d0a 2020 2d20 2722 6175 ainer"]. - '"au │ │ │ │ +0021b180: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ +0021b190: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ 0021b1a0: 0a20 2074 6167 733a 0a20 202d 204e 4953 . tags:. - NIS │ │ │ │ 0021b1b0: 542d 3830 302d 3533 2d41 432d 3228 3429 T-800-53-AC-2(4) │ │ │ │ 0021b1c0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 0021b1d0: 2d41 432d 3628 3929 0a20 202d 204e 4953 -AC-6(9). - NIS │ │ │ │ 0021b1e0: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ 0021b1f0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ 0021b200: 332d 4155 2d32 2864 290a 2020 2d20 4e49 3-AU-2(d). - NI │ │ │ │ @@ -138042,25 +138042,25 @@ │ │ │ │ 0021b390: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f class="panel-co │ │ │ │ 0021b3a0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522 llapse collapse" │ │ │ │ 0021b3b0: 2069 643d 2269 646d 3138 3533 3722 3e3c id="idm18537">< │ │ │ │ 0021b3c0: 7072 653e 3c63 6f64 653e 2320 5265 6d65 pre> # Reme │ │ │ │ 0021b3d0: 6469 6174 696f 6e20 6973 2061 7070 6c69 diation is appli │ │ │ │ 0021b3e0: 6361 626c 6520 6f6e 6c79 2069 6e20 6365 cable only in ce │ │ │ │ 0021b3f0: 7274 6169 6e20 706c 6174 666f 726d 730a rtain platforms. │ │ │ │ -0021b400: 6966 2064 706b 672d 7175 6572 7920 2d2d if dpkg-query -- │ │ │ │ -0021b410: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ -0021b420: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ -0021b430: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ -0021b440: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ -0021b450: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ -0021b460: 616c 6c65 6420 2661 6d70 3b26 616d 703b alled && │ │ │ │ -0021b470: 205b 2021 202d 6620 2f2e 646f 636b 6572 [ ! -f /.docker │ │ │ │ -0021b480: 656e 7620 5d20 2661 6d70 3b26 616d 703b env ] && │ │ │ │ -0021b490: 205b 2021 202d 6620 2f72 756e 2f2e 636f [ ! -f /run/.co │ │ │ │ -0021b4a0: 6e74 6169 6e65 7265 6e76 205d 3b20 7468 ntainerenv ]; th │ │ │ │ +0021b400: 6966 205b 2021 202d 6620 2f2e 646f 636b if [ ! -f /.dock │ │ │ │ +0021b410: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +0021b420: 703b 205b 2021 202d 6620 2f72 756e 2f2e p; [ ! -f /run/. │ │ │ │ +0021b430: 636f 6e74 6169 6e65 7265 6e76 205d 2026 containerenv ] & │ │ │ │ +0021b440: 616d 703b 2661 6d70 3b20 6470 6b67 2d71 amp;& dpkg-q │ │ │ │ +0021b450: 7565 7279 202d 2d73 686f 7720 2d2d 7368 uery --show --sh │ │ │ │ +0021b460: 6f77 666f 726d 6174 3d27 247b 6462 3a53 owformat='${db:S │ │ │ │ +0021b470: 7461 7475 732d 5374 6174 7573 7d5c 6e27 tatus-Status}\n' │ │ │ │ +0021b480: 2027 6175 6469 7464 2720 3226 6774 3b2f 'auditd' 2>/ │ │ │ │ +0021b490: 6465 762f 6e75 6c6c 207c 2067 7265 7020 dev/null | grep │ │ │ │ +0021b4a0: 2d71 2069 6e73 7461 6c6c 6564 3b20 7468 -q installed; th │ │ │ │ 0021b4b0: 656e 0a0a 4143 5449 4f4e 5f41 5243 485f en..ACTION_ARCH_ │ │ │ │ 0021b4c0: 4649 4c54 4552 533d 222d 6120 616c 7761 FILTERS="-a alwa │ │ │ │ 0021b4d0: 7973 2c65 7869 7422 0a4f 5448 4552 5f46 ys,exit".OTHER_F │ │ │ │ 0021b4e0: 494c 5445 5253 3d22 2d46 2070 6174 683d ILTERS="-F path= │ │ │ │ 0021b4f0: 2f75 7372 2f62 696e 2f6e 6577 7569 646d /usr/bin/newuidm │ │ │ │ 0021b500: 6170 202d 4620 7065 726d 3d78 220a 4155 ap -F perm=x".AU │ │ │ │ 0021b510: 4944 5f46 494c 5445 5253 3d22 2d46 2061 ID_FILTERS="-F a │ │ │ │ @@ -139821,23 +139821,23 @@ │ │ │ │ 002222c0: 6c65 6765 640a 2020 2020 2020 6372 6561 leged. crea │ │ │ │ 002222d0: 7465 3a20 7472 7565 0a20 2020 2020 206d te: true. m │ │ │ │ 002222e0: 6f64 653a 206f 2d72 7778 0a20 2020 2020 ode: o-rwx. │ │ │ │ 002222f0: 2073 7461 7465 3a20 7072 6573 656e 740a state: present. │ │ │ │ 00222300: 2020 2020 7768 656e 3a20 7379 7363 616c when: syscal │ │ │ │ 00222310: 6c73 5f66 6f75 6e64 207c 206c 656e 6774 ls_found | lengt │ │ │ │ 00222320: 6820 3d3d 2030 0a20 2077 6865 6e3a 0a20 h == 0. when:. │ │ │ │ -00222330: 202d 2027 2261 7564 6974 6422 2069 6e20 - '"auditd" in │ │ │ │ -00222340: 616e 7369 626c 655f 6661 6374 732e 7061 ansible_facts.pa │ │ │ │ -00222350: 636b 6167 6573 270a 2020 2d20 616e 7369 ckages'. - ansi │ │ │ │ -00222360: 626c 655f 7669 7274 7561 6c69 7a61 7469 ble_virtualizati │ │ │ │ -00222370: 6f6e 5f74 7970 6520 6e6f 7420 696e 205b on_type not in [ │ │ │ │ -00222380: 2264 6f63 6b65 7222 2c20 226c 7863 222c "docker", "lxc", │ │ │ │ -00222390: 2022 6f70 656e 767a 222c 2022 706f 646d "openvz", "podm │ │ │ │ -002223a0: 616e 222c 2022 636f 6e74 6169 6e65 7222 an", "container" │ │ │ │ -002223b0: 5d0a 2020 7461 6773 3a0a 2020 2d20 4e49 ]. tags:. - NI │ │ │ │ +00222330: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ +00222340: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ +00222350: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ +00222360: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ +00222370: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ +00222380: 7461 696e 6572 225d 0a20 202d 2027 2261 tainer"]. - '"a │ │ │ │ +00222390: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ +002223a0: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ +002223b0: 270a 2020 7461 6773 3a0a 2020 2d20 4e49 '. tags:. - NI │ │ │ │ 002223c0: 5354 2d38 3030 2d31 3731 2d33 2e31 2e37 ST-800-171-3.1.7 │ │ │ │ 002223d0: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 002223e0: 2d41 432d 3628 3929 0a20 202d 204e 4953 -AC-6(9). - NIS │ │ │ │ 002223f0: 542d 3830 302d 3533 2d41 552d 3132 2863 T-800-53-AU-12(c │ │ │ │ 00222400: 290a 2020 2d20 4e49 5354 2d38 3030 2d35 ). - NIST-800-5 │ │ │ │ 00222410: 332d 4155 2d32 2864 290a 2020 2d20 4e49 3-AU-2(d). - NI │ │ │ │ 00222420: 5354 2d38 3030 2d35 332d 434d 2d36 2861 ST-800-53-CM-6(a │ │ │ │ @@ -139867,25 +139867,25 @@ │ │ │ │ 002225a0: 636c 6173 733d 2270 616e 656c 2d63 6f6c class="panel-col │ │ │ │ 002225b0: 6c61 7073 6520 636f 6c6c 6170 7365 2220 lapse collapse" │ │ │ │ 002225c0: 6964 3d22 6964 6d31 3838 3539 223e 3c70 id="idm18859">
# Remed │ │ │ │ 002225e0: 6961 7469 6f6e 2069 7320 6170 706c 6963 iation is applic │ │ │ │ 002225f0: 6162 6c65 206f 6e6c 7920 696e 2063 6572 able only in cer │ │ │ │ 00222600: 7461 696e 2070 6c61 7466 6f72 6d73 0a69 tain platforms.i │ │ │ │ -00222610: 6620 6470 6b67 2d71 7565 7279 202d 2d73 f dpkg-query --s │ │ │ │ -00222620: 686f 7720 2d2d 7368 6f77 666f 726d 6174 how --showformat │ │ │ │ -00222630: 3d27 247b 6462 3a53 7461 7475 732d 5374 ='${db:Status-St │ │ │ │ -00222640: 6174 7573 7d5c 6e27 2027 6175 6469 7464 atus}\n' 'auditd │ │ │ │ -00222650: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c ' 2>/dev/null │ │ │ │ -00222660: 207c 2067 7265 7020 2d71 2069 6e73 7461 | grep -q insta │ │ │ │ -00222670: 6c6c 6564 2026 616d 703b 2661 6d70 3b20 lled && │ │ │ │ -00222680: 5b20 2120 2d66 202f 2e64 6f63 6b65 7265 [ ! -f /.dockere │ │ │ │ -00222690: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ -002226a0: 5b20 2120 2d66 202f 7275 6e2f 2e63 6f6e [ ! -f /run/.con │ │ │ │ -002226b0: 7461 696e 6572 656e 7620 5d3b 2074 6865 tainerenv ]; the │ │ │ │ +00222610: 6620 5b20 2120 2d66 202f 2e64 6f63 6b65 f [ ! -f /.docke │ │ │ │ +00222620: 7265 6e76 205d 2026 616d 703b 2661 6d70 renv ] && │ │ │ │ +00222630: 3b20 5b20 2120 2d66 202f 7275 6e2f 2e63 ; [ ! -f /run/.c │ │ │ │ +00222640: 6f6e 7461 696e 6572 656e 7620 5d20 2661 ontainerenv ] &a │ │ │ │ +00222650: 6d70 3b26 616d 703b 2064 706b 672d 7175 mp;& dpkg-qu │ │ │ │ +00222660: 6572 7920 2d2d 7368 6f77 202d 2d73 686f ery --show --sho │ │ │ │ +00222670: 7766 6f72 6d61 743d 2724 7b64 623a 5374 wformat='${db:St │ │ │ │ +00222680: 6174 7573 2d53 7461 7475 737d 5c6e 2720 atus-Status}\n' │ │ │ │ +00222690: 2761 7564 6974 6427 2032 2667 743b 2f64 'auditd' 2>/d │ │ │ │ +002226a0: 6576 2f6e 756c 6c20 7c20 6772 6570 202d ev/null | grep - │ │ │ │ +002226b0: 7120 696e 7374 616c 6c65 643b 2074 6865 q installed; the │ │ │ │ 002226c0: 6e0a 0a41 4354 494f 4e5f 4152 4348 5f46 n..ACTION_ARCH_F │ │ │ │ 002226d0: 494c 5445 5253 3d22 2d61 2061 6c77 6179 ILTERS="-a alway │ │ │ │ 002226e0: 732c 6578 6974 220a 4f54 4845 525f 4649 s,exit".OTHER_FI │ │ │ │ 002226f0: 4c54 4552 533d 222d 4620 7061 7468 3d2f LTERS="-F path=/ │ │ │ │ 00222700: 7573 722f 7362 696e 2f70 6f73 7464 726f usr/sbin/postdro │ │ │ │ 00222710: 7020 2d46 2070 6572 6d3d 7822 0a41 5549 p -F perm=x".AUI │ │ │ │ 00222720: 445f 4649 4c54 4552 533d 222d 4620 6175 D_FILTERS="-F au │ │ │ │ @@ -141647,22 +141647,22 @@ │ │ │ │ 002294e0: 6567 6564 0a20 2020 2020 2063 7265 6174 eged. creat │ │ │ │ 002294f0: 653a 2074 7275 650a 2020 2020 2020 6d6f e: true. mo │ │ │ │ 00229500: 6465 3a20 6f2d 7277 780a 2020 2020 2020 de: o-rwx. │ │ │ │ 00229510: 7374 6174 653a 2070 7265 7365 6e74 0a20 state: present. │ │ │ │ 00229520: 2020 2077 6865 6e3a 2073 7973 6361 6c6c when: syscall │ │ │ │ 00229530: 735f 666f 756e 6420 7c20 6c65 6e67 7468 s_found | length │ │ │ │ 00229540: 203d 3d20 300a 2020 7768 656e 3a0a 2020 == 0. when:. │ │ │ │ -00229550: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ -00229560: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ -00229570: 6b61 6765 7327 0a20 202d 2061 6e73 6962 kages'. - ansib │ │ │ │ -00229580: 6c65 5f76 6972 7475 616c 697a 6174 696f le_virtualizatio │ │ │ │ -00229590: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22 n_type not in [" │ │ │ │ -002295a0: 646f 636b 6572 222c 2022 6c78 6322 2c20 docker", "lxc", │ │ │ │ -002295b0: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61 "openvz", "podma │ │ │ │ -002295c0: 6e22 2c20 2263 6f6e 7461 696e 6572 225d n", "container"] │ │ │ │ +00229550: 2d20 616e 7369 626c 655f 7669 7274 7561 - ansible_virtua │ │ │ │ +00229560: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f lization_type no │ │ │ │ +00229570: 7420 696e 205b 2264 6f63 6b65 7222 2c20 t in ["docker", │ │ │ │ +00229580: 226c 7863 222c 2022 6f70 656e 767a 222c "lxc", "openvz", │ │ │ │ +00229590: 2022 706f 646d 616e 222c 2022 636f 6e74 "podman", "cont │ │ │ │ +002295a0: 6169 6e65 7222 5d0a 2020 2d20 2722 6175 ainer"]. - '"au │ │ │ │ +002295b0: 6469 7464 2220 696e 2061 6e73 6962 6c65 ditd" in ansible │ │ │ │ +002295c0: 5f66 6163 7473 2e70 6163 6b61 6765 7327 _facts.packages' │ │ │ │ 002295d0: 0a20 2074 6167 733a 0a20 202d 204e 4953 . tags:. - NIS │ │ │ │ 002295e0: 542d 3830 302d 3137 312d 332e 312e 370a T-800-171-3.1.7. │ │ │ │ 002295f0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ 00229600: 4143 2d36 2839 290a 2020 2d20 4e49 5354 AC-6(9). - NIST │ │ │ │ 00229610: 2d38 3030 2d35 332d 4155 2d31 3228 6329 -800-53-AU-12(c) │ │ │ │ 00229620: 0a20 202d 204e 4953 542d 3830 302d 3533 . - NIST-800-53 │ │ │ │ 00229630: 2d41 552d 3228 6429 0a20 202d 204e 4953 -AU-2(d). - NIS │ │ │ │ @@ -141693,25 +141693,25 @@ │ │ │ │ 002297c0: 636c 6173 733d 2270 616e 656c 2d63 6f6c class="panel-col │ │ │ │ 002297d0: 6c61 7073 6520 636f 6c6c 6170 7365 2220 lapse collapse" │ │ │ │ 002297e0: 6964 3d22 6964 6d31 3839 3633 223e 3c70 id="idm18963">
# Remed │ │ │ │ 00229800: 6961 7469 6f6e 2069 7320 6170 706c 6963 iation is applic │ │ │ │ 00229810: 6162 6c65 206f 6e6c 7920 696e 2063 6572 able only in cer │ │ │ │ 00229820: 7461 696e 2070 6c61 7466 6f72 6d73 0a69 tain platforms.i │ │ │ │ -00229830: 6620 6470 6b67 2d71 7565 7279 202d 2d73 f dpkg-query --s │ │ │ │ -00229840: 686f 7720 2d2d 7368 6f77 666f 726d 6174 how --showformat │ │ │ │ -00229850: 3d27 247b 6462 3a53 7461 7475 732d 5374 ='${db:Status-St │ │ │ │ -00229860: 6174 7573 7d5c 6e27 2027 6175 6469 7464 atus}\n' 'auditd │ │ │ │ -00229870: 2720 3226 6774 3b2f 6465 762f 6e75 6c6c ' 2>/dev/null │ │ │ │ -00229880: 207c 2067 7265 7020 2d71 2069 6e73 7461 | grep -q insta │ │ │ │ -00229890: 6c6c 6564 2026 616d 703b 2661 6d70 3b20 lled && │ │ │ │ -002298a0: 5b20 2120 2d66 202f 2e64 6f63 6b65 7265 [ ! -f /.dockere │ │ │ │ -002298b0: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ -002298c0: 5b20 2120 2d66 202f 7275 6e2f 2e63 6f6e [ ! -f /run/.con │ │ │ │ -002298d0: 7461 696e 6572 656e 7620 5d3b 2074 6865 tainerenv ]; the │ │ │ │ +00229830: 6620 5b20 2120 2d66 202f 2e64 6f63 6b65 f [ ! -f /.docke │ │ │ │ +00229840: 7265 6e76 205d 2026 616d 703b 2661 6d70 renv ] && │ │ │ │ +00229850: 3b20 5b20 2120 2d66 202f 7275 6e2f 2e63 ; [ ! -f /run/.c │ │ │ │ +00229860: 6f6e 7461 696e 6572 656e 7620 5d20 2661 ontainerenv ] &a │ │ │ │ +00229870: 6d70 3b26 616d 703b 2064 706b 672d 7175 mp;& dpkg-qu │ │ │ │ +00229880: 6572 7920 2d2d 7368 6f77 202d 2d73 686f ery --show --sho │ │ │ │ +00229890: 7766 6f72 6d61 743d 2724 7b64 623a 5374 wformat='${db:St │ │ │ │ +002298a0: 6174 7573 2d53 7461 7475 737d 5c6e 2720 atus-Status}\n' │ │ │ │ +002298b0: 2761 7564 6974 6427 2032 2667 743b 2f64 'auditd' 2>/d │ │ │ │ +002298c0: 6576 2f6e 756c 6c20 7c20 6772 6570 202d ev/null | grep - │ │ │ │ +002298d0: 7120 696e 7374 616c 6c65 643b 2074 6865 q installed; the │ │ │ │ 002298e0: 6e0a 0a41 4354 494f 4e5f 4152 4348 5f46 n..ACTION_ARCH_F │ │ │ │ 002298f0: 494c 5445 5253 3d22 2d61 2061 6c77 6179 ILTERS="-a alway │ │ │ │ 00229900: 732c 6578 6974 220a 4f54 4845 525f 4649 s,exit".OTHER_FI │ │ │ │ 00229910: 4c54 4552 533d 222d 4620 7061 7468 3d2f LTERS="-F path=/ │ │ │ │ 00229920: 7573 722f 7362 696e 2f70 6f73 7471 7565 usr/sbin/postque │ │ │ │ 00229930: 7565 202d 4620 7065 726d 3d78 220a 4155 ue -F perm=x".AU │ │ │ │ 00229940: 4944 5f46 494c 5445 5253 3d22 2d46 2061 ID_FILTERS="-F a │ │ │ │ @@ -143334,23 +143334,23 @@ │ │ │ │ 0022fe50: 793d 7072 6976 696c 6567 6564 0a20 2020 y=privileged. │ │ │ │ 0022fe60: 2020 2063 7265 6174 653a 2074 7275 650a create: true. │ │ │ │ 0022fe70: 2020 2020 2020 6d6f 6465 3a20 6f2d 7277 mode: o-rw │ │ │ │ 0022fe80: 780a 2020 2020 2020 7374 6174 653a 2070 x. state: p │ │ │ │ 0022fe90: 7265 7365 6e74 0a20 2020 2077 6865 6e3a resent. when: │ │ │ │ 0022fea0: 2073 7973 6361 6c6c 735f 666f 756e 6420 syscalls_found │ │ │ │ 0022feb0: 7c20 6c65 6e67 7468 203d 3d20 300a 2020 | length == 0. │ │ │ │ -0022fec0: 7768 656e 3a0a 2020 2d20 2722 6175 6469 when:. - '"audi │ │ │ │ -0022fed0: 7464 2220 696e 2061 6e73 6962 6c65 5f66 td" in ansible_f │ │ │ │ -0022fee0: 6163 7473 2e70 6163 6b61 6765 7327 0a20 acts.packages'. │ │ │ │ -0022fef0: 202d 2061 6e73 6962 6c65 5f76 6972 7475 - ansible_virtu │ │ │ │ -0022ff00: 616c 697a 6174 696f 6e5f 7479 7065 206e alization_type n │ │ │ │ -0022ff10: 6f74 2069 6e20 5b22 646f 636b 6572 222c ot in ["docker", │ │ │ │ -0022ff20: 2022 6c78 6322 2c20 226f 7065 6e76 7a22 "lxc", "openvz" │ │ │ │ -0022ff30: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e , "podman", "con │ │ │ │ -0022ff40: 7461 696e 6572 225d 0a20 2074 6167 733a tainer"]. tags: │ │ │ │ +0022fec0: 7768 656e 3a0a 2020 2d20 616e 7369 626c when:. - ansibl │ │ │ │ +0022fed0: 655f 7669 7274 7561 6c69 7a61 7469 6f6e e_virtualization │ │ │ │ +0022fee0: 5f74 7970 6520 6e6f 7420 696e 205b 2264 _type not in ["d │ │ │ │ +0022fef0: 6f63 6b65 7222 2c20 226c 7863 222c 2022 ocker", "lxc", " │ │ │ │ +0022ff00: 6f70 656e 767a 222c 2022 706f 646d 616e openvz", "podman │ │ │ │ +0022ff10: 222c 2022 636f 6e74 6169 6e65 7222 5d0a ", "container"]. │ │ │ │ +0022ff20: 2020 2d20 2722 6175 6469 7464 2220 696e - '"auditd" in │ │ │ │ +0022ff30: 2061 6e73 6962 6c65 5f66 6163 7473 2e70 ansible_facts.p │ │ │ │ +0022ff40: 6163 6b61 6765 7327 0a20 2074 6167 733a ackages'. tags: │ │ │ │ 0022ff50: 0a20 202d 2044 4953 412d 5354 4947 2d55 . - DISA-STIG-U │ │ │ │ 0022ff60: 4254 552d 3230 2d30 3130 3134 300a 2020 BTU-20-010140. │ │ │ │ 0022ff70: 2d20 6175 6469 745f 7275 6c65 735f 7072 - audit_rules_pr │ │ │ │ 0022ff80: 6976 696c 6567 6564 5f63 6f6d 6d61 6e64 ivileged_command │ │ │ │ 0022ff90: 735f 7373 685f 6167 656e 740a 2020 2d20 s_ssh_agent. - │ │ │ │ 0022ffa0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20 low_complexity. │ │ │ │ 0022ffb0: 202d 206c 6f77 5f64 6973 7275 7074 696f - low_disruptio │ │ │ │ @@ -143374,26 +143374,26 @@ │ │ │ │ 002300d0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61
│ │ │ │ 00230110: 3c63 6f64 653e 2320 5265 6d65 6469 6174# Remediat │ │ │ │ 00230120: 696f 6e20 6973 2061 7070 6c69 6361 626c ion is applicabl │ │ │ │ 00230130: 6520 6f6e 6c79 2069 6e20 6365 7274 6169 e only in certai │ │ │ │ -00230140: 6e20 706c 6174 666f 726d 730a 6966 2064 n platforms.if d │ │ │ │ -00230150: 706b 672d 7175 6572 7920 2d2d 7368 6f77 pkg-query --show │ │ │ │ -00230160: 202d 2d73 686f 7766 6f72 6d61 743d 2724 --showformat='$ │ │ │ │ -00230170: 7b64 623a 5374 6174 7573 2d53 7461 7475 {db:Status-Statu │ │ │ │ -00230180: 737d 5c6e 2720 2761 7564 6974 6427 2032 s}\n' 'auditd' 2 │ │ │ │ -00230190: 2667 743b 2f64 6576 2f6e 756c 6c20 7c20 >/dev/null | │ │ │ │ -002301a0: 6772 6570 202d 7120 696e 7374 616c 6c65 grep -q installe │ │ │ │ -002301b0: 6420 2661 6d70 3b26 616d 703b 205b 2021 d && [ ! │ │ │ │ -002301c0: 202d 6620 2f2e 646f 636b 6572 656e 7620 -f /.dockerenv │ │ │ │ -002301d0: 5d20 2661 6d70 3b26 616d 703b 205b 2021 ] && [ ! │ │ │ │ -002301e0: 202d 6620 2f72 756e 2f2e 636f 6e74 6169 -f /run/.contai │ │ │ │ -002301f0: 6e65 7265 6e76 205d 3b20 7468 656e 0a0a nerenv ]; then.. │ │ │ │ +00230140: 6e20 706c 6174 666f 726d 730a 6966 205b n platforms.if [ │ │ │ │ +00230150: 2021 202d 6620 2f2e 646f 636b 6572 656e ! -f /.dockeren │ │ │ │ +00230160: 7620 5d20 2661 6d70 3b26 616d 703b 205b v ] && [ │ │ │ │ +00230170: 2021 202d 6620 2f72 756e 2f2e 636f 6e74 ! -f /run/.cont │ │ │ │ +00230180: 6169 6e65 7265 6e76 205d 2026 616d 703b ainerenv ] & │ │ │ │ +00230190: 2661 6d70 3b20 6470 6b67 2d71 7565 7279 & dpkg-query │ │ │ │ +002301a0: 202d 2d73 686f 7720 2d2d 7368 6f77 666f --show --showfo │ │ │ │ +002301b0: 726d 6174 3d27 247b 6462 3a53 7461 7475 rmat='${db:Statu │ │ │ │ +002301c0: 732d 5374 6174 7573 7d5c 6e27 2027 6175 s-Status}\n' 'au │ │ │ │ +002301d0: 6469 7464 2720 3226 6774 3b2f 6465 762f ditd' 2>/dev/ │ │ │ │ +002301e0: 6e75 6c6c 207c 2067 7265 7020 2d71 2069 null | grep -q i │ │ │ │ +002301f0: 6e73 7461 6c6c 6564 3b20 7468 656e 0a0a nstalled; then.. │ │ │ │ 00230200: 4143 5449 4f4e 5f41 5243 485f 4649 4c54 ACTION_ARCH_FILT │ │ │ │ 00230210: 4552 533d 222d 6120 616c 7761 7973 2c65 ERS="-a always,e │ │ │ │ 00230220: 7869 7422 0a4f 5448 4552 5f46 494c 5445 xit".OTHER_FILTE │ │ │ │ 00230230: 5253 3d22 2d46 2070 6174 683d 2f75 7372 RS="-F path=/usr │ │ │ │ 00230240: 2f62 696e 2f73 7368 2d61 6765 6e74 202d /bin/ssh-agent - │ │ │ │ 00230250: 4620 7065 726d 3d78 220a 4155 4944 5f46 F perm=x".AUID_F │ │ │ │ 00230260: 494c 5445 5253 3d22 2d46 2061 7569 6426 ILTERS="-F auid& │ │ │ │ @@ -145177,23 +145177,23 @@ │ │ │ │ 00237180: 206b 6579 3d70 7269 7669 6c65 6765 640a key=privileged. │ │ │ │ 00237190: 2020 2020 2020 6372 6561 7465 3a20 7472 create: tr │ │ │ │ 002371a0: 7565 0a20 2020 2020 206d 6f64 653a 206f ue. mode: o │ │ │ │ 002371b0: 2d72 7778 0a20 2020 2020 2073 7461 7465 -rwx. state │ │ │ │ 002371c0: 3a20 7072 6573 656e 740a 2020 2020 7768 : present. wh │ │ │ │ 002371d0: 656e 3a20 7379 7363 616c 6c73 5f66 6f75 en: syscalls_fou │ │ │ │ 002371e0: 6e64 207c 206c 656e 6774 6820 3d3d 2030 nd | length == 0 │ │ │ │ -002371f0: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -00237200: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -00237210: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -00237220: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -00237230: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -00237240: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -00237250: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -00237260: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -00237270: 636f 6e74 6169 6e65 7222 5d0a 2020 7461 container"]. ta │ │ │ │ +002371f0: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +00237200: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +00237210: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +00237220: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +00237230: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +00237240: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +00237250: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +00237260: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +00237270: 732e 7061 636b 6167 6573 270a 2020 7461 s.packages'. ta │ │ │ │ 00237280: 6773 3a0a 2020 2d20 4449 5341 2d53 5449 gs:. - DISA-STI │ │ │ │ 00237290: 472d 5542 5455 2d32 302d 3031 3031 3431 G-UBTU-20-010141 │ │ │ │ 002372a0: 0a20 202d 204e 4953 542d 3830 302d 3137 . - NIST-800-17 │ │ │ │ 002372b0: 312d 332e 312e 370a 2020 2d20 4e49 5354 1-3.1.7. - NIST │ │ │ │ 002372c0: 2d38 3030 2d35 332d 4143 2d36 2839 290a -800-53-AC-6(9). │ │ │ │ 002372d0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ 002372e0: 4155 2d31 3228 6329 0a20 202d 204e 4953 AU-12(c). - NIS │ │ │ │ @@ -145225,26 +145225,26 @@ │ │ │ │ 00237480: 3e3c 6272 3e3c 6469 7620 636c 6173 733d >
# Remediation │ │ │ │ 002374d0: 2069 7320 6170 706c 6963 6162 6c65 206f is applicable o │ │ │ │ 002374e0: 6e6c 7920 696e 2063 6572 7461 696e 2070 nly in certain p │ │ │ │ -002374f0: 6c61 7466 6f72 6d73 0a69 6620 6470 6b67 latforms.if dpkg │ │ │ │ -00237500: 2d71 7565 7279 202d 2d73 686f 7720 2d2d -query --show -- │ │ │ │ -00237510: 7368 6f77 666f 726d 6174 3d27 247b 6462 showformat='${db │ │ │ │ -00237520: 3a53 7461 7475 732d 5374 6174 7573 7d5c :Status-Status}\ │ │ │ │ -00237530: 6e27 2027 6175 6469 7464 2720 3226 6774 n' 'auditd' 2> │ │ │ │ -00237540: 3b2f 6465 762f 6e75 6c6c 207c 2067 7265 ;/dev/null | gre │ │ │ │ -00237550: 7020 2d71 2069 6e73 7461 6c6c 6564 2026 p -q installed & │ │ │ │ -00237560: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -00237570: 202f 2e64 6f63 6b65 7265 6e76 205d 2026 /.dockerenv ] & │ │ │ │ -00237580: 616d 703b 2661 6d70 3b20 5b20 2120 2d66 amp;& [ ! -f │ │ │ │ -00237590: 202f 7275 6e2f 2e63 6f6e 7461 696e 6572 /run/.container │ │ │ │ -002375a0: 656e 7620 5d3b 2074 6865 6e0a 0a41 4354 env ]; then..ACT │ │ │ │ +002374f0: 6c61 7466 6f72 6d73 0a69 6620 5b20 2120 latforms.if [ ! │ │ │ │ +00237500: 2d66 202f 2e64 6f63 6b65 7265 6e76 205d -f /.dockerenv ] │ │ │ │ +00237510: 2026 616d 703b 2661 6d70 3b20 5b20 2120 && [ ! │ │ │ │ +00237520: 2d66 202f 7275 6e2f 2e63 6f6e 7461 696e -f /run/.contain │ │ │ │ +00237530: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +00237540: 703b 2064 706b 672d 7175 6572 7920 2d2d p; dpkg-query -- │ │ │ │ +00237550: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ +00237560: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ +00237570: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ +00237580: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ +00237590: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ +002375a0: 616c 6c65 643b 2074 6865 6e0a 0a41 4354 alled; then..ACT │ │ │ │ 002375b0: 494f 4e5f 4152 4348 5f46 494c 5445 5253 ION_ARCH_FILTERS │ │ │ │ 002375c0: 3d22 2d61 2061 6c77 6179 732c 6578 6974 ="-a always,exit │ │ │ │ 002375d0: 220a 4f54 4845 525f 4649 4c54 4552 533d ".OTHER_FILTERS= │ │ │ │ 002375e0: 222d 4620 7061 7468 3d2f 7573 722f 6c69 "-F path=/usr/li │ │ │ │ 002375f0: 6265 7865 632f 6f70 656e 7373 682f 7373 bexec/openssh/ss │ │ │ │ 00237600: 682d 6b65 7973 6967 6e20 2d46 2070 6572 h-keysign -F per │ │ │ │ 00237610: 6d3d 7822 0a41 5549 445f 4649 4c54 4552 m=x".AUID_FILTER │ │ │ │ @@ -147029,23 +147029,23 @@ │ │ │ │ 0023e540: 206b 6579 3d70 7269 7669 6c65 6765 640a key=privileged. │ │ │ │ 0023e550: 2020 2020 2020 6372 6561 7465 3a20 7472 create: tr │ │ │ │ 0023e560: 7565 0a20 2020 2020 206d 6f64 653a 206f ue. mode: o │ │ │ │ 0023e570: 2d72 7778 0a20 2020 2020 2073 7461 7465 -rwx. state │ │ │ │ 0023e580: 3a20 7072 6573 656e 740a 2020 2020 7768 : present. wh │ │ │ │ 0023e590: 656e 3a20 7379 7363 616c 6c73 5f66 6f75 en: syscalls_fou │ │ │ │ 0023e5a0: 6e64 207c 206c 656e 6774 6820 3d3d 2030 nd | length == 0 │ │ │ │ -0023e5b0: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -0023e5c0: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -0023e5d0: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -0023e5e0: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -0023e5f0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -0023e600: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -0023e610: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -0023e620: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -0023e630: 636f 6e74 6169 6e65 7222 5d0a 2020 7461 container"]. ta │ │ │ │ +0023e5b0: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +0023e5c0: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +0023e5d0: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +0023e5e0: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +0023e5f0: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +0023e600: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +0023e610: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +0023e620: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +0023e630: 732e 7061 636b 6167 6573 270a 2020 7461 s.packages'. ta │ │ │ │ 0023e640: 6773 3a0a 2020 2d20 4449 5341 2d53 5449 gs:. - DISA-STI │ │ │ │ 0023e650: 472d 5542 5455 2d32 302d 3031 3031 3336 G-UBTU-20-010136 │ │ │ │ 0023e660: 0a20 202d 204e 4953 542d 3830 302d 3137 . - NIST-800-17 │ │ │ │ 0023e670: 312d 332e 312e 370a 2020 2d20 4e49 5354 1-3.1.7. - NIST │ │ │ │ 0023e680: 2d38 3030 2d35 332d 4143 2d36 2839 290a -800-53-AC-6(9). │ │ │ │ 0023e690: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ 0023e6a0: 4155 2d31 3228 6329 0a20 202d 204e 4953 AU-12(c). - NIS │ │ │ │ @@ -147077,25 +147077,25 @@ │ │ │ │ 0023e840: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f class="panel-co │ │ │ │ 0023e850: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522 llapse collapse" │ │ │ │ 0023e860: 2069 643d 2269 646d 3139 3233 3622 3e3c id="idm19236">< │ │ │ │ 0023e870: 7072 653e 3c63 6f64 653e 2320 5265 6d65 pre> # Reme │ │ │ │ 0023e880: 6469 6174 696f 6e20 6973 2061 7070 6c69 diation is appli │ │ │ │ 0023e890: 6361 626c 6520 6f6e 6c79 2069 6e20 6365 cable only in ce │ │ │ │ 0023e8a0: 7274 6169 6e20 706c 6174 666f 726d 730a rtain platforms. │ │ │ │ -0023e8b0: 6966 2064 706b 672d 7175 6572 7920 2d2d if dpkg-query -- │ │ │ │ -0023e8c0: 7368 6f77 202d 2d73 686f 7766 6f72 6d61 show --showforma │ │ │ │ -0023e8d0: 743d 2724 7b64 623a 5374 6174 7573 2d53 t='${db:Status-S │ │ │ │ -0023e8e0: 7461 7475 737d 5c6e 2720 2761 7564 6974 tatus}\n' 'audit │ │ │ │ -0023e8f0: 6427 2032 2667 743b 2f64 6576 2f6e 756c d' 2>/dev/nul │ │ │ │ -0023e900: 6c20 7c20 6772 6570 202d 7120 696e 7374 l | grep -q inst │ │ │ │ -0023e910: 616c 6c65 6420 2661 6d70 3b26 616d 703b alled && │ │ │ │ -0023e920: 205b 2021 202d 6620 2f2e 646f 636b 6572 [ ! -f /.docker │ │ │ │ -0023e930: 656e 7620 5d20 2661 6d70 3b26 616d 703b env ] && │ │ │ │ -0023e940: 205b 2021 202d 6620 2f72 756e 2f2e 636f [ ! -f /run/.co │ │ │ │ -0023e950: 6e74 6169 6e65 7265 6e76 205d 3b20 7468 ntainerenv ]; th │ │ │ │ +0023e8b0: 6966 205b 2021 202d 6620 2f2e 646f 636b if [ ! -f /.dock │ │ │ │ +0023e8c0: 6572 656e 7620 5d20 2661 6d70 3b26 616d erenv ] &&am │ │ │ │ +0023e8d0: 703b 205b 2021 202d 6620 2f72 756e 2f2e p; [ ! -f /run/. │ │ │ │ +0023e8e0: 636f 6e74 6169 6e65 7265 6e76 205d 2026 containerenv ] & │ │ │ │ +0023e8f0: 616d 703b 2661 6d70 3b20 6470 6b67 2d71 amp;& dpkg-q │ │ │ │ +0023e900: 7565 7279 202d 2d73 686f 7720 2d2d 7368 uery --show --sh │ │ │ │ +0023e910: 6f77 666f 726d 6174 3d27 247b 6462 3a53 owformat='${db:S │ │ │ │ +0023e920: 7461 7475 732d 5374 6174 7573 7d5c 6e27 tatus-Status}\n' │ │ │ │ +0023e930: 2027 6175 6469 7464 2720 3226 6774 3b2f 'auditd' 2>/ │ │ │ │ +0023e940: 6465 762f 6e75 6c6c 207c 2067 7265 7020 dev/null | grep │ │ │ │ +0023e950: 2d71 2069 6e73 7461 6c6c 6564 3b20 7468 -q installed; th │ │ │ │ 0023e960: 656e 0a0a 4143 5449 4f4e 5f41 5243 485f en..ACTION_ARCH_ │ │ │ │ 0023e970: 4649 4c54 4552 533d 222d 6120 616c 7761 FILTERS="-a alwa │ │ │ │ 0023e980: 7973 2c65 7869 7422 0a4f 5448 4552 5f46 ys,exit".OTHER_F │ │ │ │ 0023e990: 494c 5445 5253 3d22 2d46 2070 6174 683d ILTERS="-F path= │ │ │ │ 0023e9a0: 2f75 7372 2f62 696e 2f73 7520 2d46 2070 /usr/bin/su -F p │ │ │ │ 0023e9b0: 6572 6d3d 7822 0a41 5549 445f 4649 4c54 erm=x".AUID_FILT │ │ │ │ 0023e9c0: 4552 533d 222d 4620 6175 6964 2667 743b ERS="-F auid> │ │ │ │ @@ -148878,23 +148878,23 @@ │ │ │ │ 002458d0: 7072 6976 696c 6567 6564 0a20 2020 2020 privileged. │ │ │ │ 002458e0: 2063 7265 6174 653a 2074 7275 650a 2020 create: true. │ │ │ │ 002458f0: 2020 2020 6d6f 6465 3a20 6f2d 7277 780a mode: o-rwx. │ │ │ │ 00245900: 2020 2020 2020 7374 6174 653a 2070 7265 state: pre │ │ │ │ 00245910: 7365 6e74 0a20 2020 2077 6865 6e3a 2073 sent. when: s │ │ │ │ 00245920: 7973 6361 6c6c 735f 666f 756e 6420 7c20 yscalls_found | │ │ │ │ 00245930: 6c65 6e67 7468 203d 3d20 300a 2020 7768 length == 0. wh │ │ │ │ -00245940: 656e 3a0a 2020 2d20 2722 6175 6469 7464 en:. - '"auditd │ │ │ │ -00245950: 2220 696e 2061 6e73 6962 6c65 5f66 6163 " in ansible_fac │ │ │ │ -00245960: 7473 2e70 6163 6b61 6765 7327 0a20 202d ts.packages'. - │ │ │ │ -00245970: 2061 6e73 6962 6c65 5f76 6972 7475 616c ansible_virtual │ │ │ │ -00245980: 697a 6174 696f 6e5f 7479 7065 206e 6f74 ization_type not │ │ │ │ -00245990: 2069 6e20 5b22 646f 636b 6572 222c 2022 in ["docker", " │ │ │ │ -002459a0: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20 lxc", "openvz", │ │ │ │ -002459b0: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461 "podman", "conta │ │ │ │ -002459c0: 696e 6572 225d 0a20 2074 6167 733a 0a20 iner"]. tags:. │ │ │ │ +00245940: 656e 3a0a 2020 2d20 616e 7369 626c 655f en:. - ansible_ │ │ │ │ +00245950: 7669 7274 7561 6c69 7a61 7469 6f6e 5f74 virtualization_t │ │ │ │ +00245960: 7970 6520 6e6f 7420 696e 205b 2264 6f63 ype not in ["doc │ │ │ │ +00245970: 6b65 7222 2c20 226c 7863 222c 2022 6f70 ker", "lxc", "op │ │ │ │ +00245980: 656e 767a 222c 2022 706f 646d 616e 222c envz", "podman", │ │ │ │ +00245990: 2022 636f 6e74 6169 6e65 7222 5d0a 2020 "container"]. │ │ │ │ +002459a0: 2d20 2722 6175 6469 7464 2220 696e 2061 - '"auditd" in a │ │ │ │ +002459b0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163 nsible_facts.pac │ │ │ │ +002459c0: 6b61 6765 7327 0a20 2074 6167 733a 0a20 kages'. tags:. │ │ │ │ 002459d0: 202d 2044 4953 412d 5354 4947 2d55 4254 - DISA-STIG-UBT │ │ │ │ 002459e0: 552d 3230 2d30 3130 3136 310a 2020 2d20 U-20-010161. - │ │ │ │ 002459f0: 4e49 5354 2d38 3030 2d31 3731 2d33 2e31 NIST-800-171-3.1 │ │ │ │ 00245a00: 2e37 0a20 202d 204e 4953 542d 3830 302d .7. - NIST-800- │ │ │ │ 00245a10: 3533 2d41 432d 3628 3929 0a20 202d 204e 53-AC-6(9). - N │ │ │ │ 00245a20: 4953 542d 3830 302d 3533 2d41 552d 3132 IST-800-53-AU-12 │ │ │ │ 00245a30: 2863 290a 2020 2d20 4e49 5354 2d38 3030 (c). - NIST-800 │ │ │ │ @@ -148926,25 +148926,25 @@ │ │ │ │ 00245bd0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61 ass="panel-colla │ │ │ │ 00245be0: 7073 6520 636f 6c6c 6170 7365 2220 6964 pse collapse" id │ │ │ │ 00245bf0: 3d22 6964 6d31 3933 3434 223e 3c70 7265 ="idm19344">
# Remedia │ │ │ │ 00245c10: 7469 6f6e 2069 7320 6170 706c 6963 6162 tion is applicab │ │ │ │ 00245c20: 6c65 206f 6e6c 7920 696e 2063 6572 7461 le only in certa │ │ │ │ 00245c30: 696e 2070 6c61 7466 6f72 6d73 0a69 6620 in platforms.if │ │ │ │ -00245c40: 6470 6b67 2d71 7565 7279 202d 2d73 686f dpkg-query --sho │ │ │ │ -00245c50: 7720 2d2d 7368 6f77 666f 726d 6174 3d27 w --showformat=' │ │ │ │ -00245c60: 247b 6462 3a53 7461 7475 732d 5374 6174 ${db:Status-Stat │ │ │ │ -00245c70: 7573 7d5c 6e27 2027 6175 6469 7464 2720 us}\n' 'auditd' │ │ │ │ -00245c80: 3226 6774 3b2f 6465 762f 6e75 6c6c 207c 2>/dev/null | │ │ │ │ -00245c90: 2067 7265 7020 2d71 2069 6e73 7461 6c6c grep -q install │ │ │ │ -00245ca0: 6564 2026 616d 703b 2661 6d70 3b20 5b20 ed && [ │ │ │ │ -00245cb0: 2120 2d66 202f 2e64 6f63 6b65 7265 6e76 ! -f /.dockerenv │ │ │ │ -00245cc0: 205d 2026 616d 703b 2661 6d70 3b20 5b20 ] && [ │ │ │ │ -00245cd0: 2120 2d66 202f 7275 6e2f 2e63 6f6e 7461 ! -f /run/.conta │ │ │ │ -00245ce0: 696e 6572 656e 7620 5d3b 2074 6865 6e0a inerenv ]; then. │ │ │ │ +00245c40: 5b20 2120 2d66 202f 2e64 6f63 6b65 7265 [ ! -f /.dockere │ │ │ │ +00245c50: 6e76 205d 2026 616d 703b 2661 6d70 3b20 nv ] && │ │ │ │ +00245c60: 5b20 2120 2d66 202f 7275 6e2f 2e63 6f6e [ ! -f /run/.con │ │ │ │ +00245c70: 7461 696e 6572 656e 7620 5d20 2661 6d70 tainerenv ] & │ │ │ │ +00245c80: 3b26 616d 703b 2064 706b 672d 7175 6572 ;& dpkg-quer │ │ │ │ +00245c90: 7920 2d2d 7368 6f77 202d 2d73 686f 7766 y --show --showf │ │ │ │ +00245ca0: 6f72 6d61 743d 2724 7b64 623a 5374 6174 ormat='${db:Stat │ │ │ │ +00245cb0: 7573 2d53 7461 7475 737d 5c6e 2720 2761 us-Status}\n' 'a │ │ │ │ +00245cc0: 7564 6974 6427 2032 2667 743b 2f64 6576 uditd' 2>/dev │ │ │ │ +00245cd0: 2f6e 756c 6c20 7c20 6772 6570 202d 7120 /null | grep -q │ │ │ │ +00245ce0: 696e 7374 616c 6c65 643b 2074 6865 6e0a installed; then. │ │ │ │ 00245cf0: 0a41 4354 494f 4e5f 4152 4348 5f46 494c .ACTION_ARCH_FIL │ │ │ │ 00245d00: 5445 5253 3d22 2d61 2061 6c77 6179 732c TERS="-a always, │ │ │ │ 00245d10: 6578 6974 220a 4f54 4845 525f 4649 4c54 exit".OTHER_FILT │ │ │ │ 00245d20: 4552 533d 222d 4620 7061 7468 3d2f 7573 ERS="-F path=/us │ │ │ │ 00245d30: 722f 6269 6e2f 7375 646f 202d 4620 7065 r/bin/sudo -F pe │ │ │ │ 00245d40: 726d 3d78 220a 4155 4944 5f46 494c 5445 rm=x".AUID_FILTE │ │ │ │ 00245d50: 5253 3d22 2d46 2061 7569 6426 6774 3b3d RS="-F auid>= │ │ │ │ @@ -150717,23 +150717,23 @@ │ │ │ │ 0024cbc0: 206b 6579 3d70 7269 7669 6c65 6765 640a key=privileged. │ │ │ │ 0024cbd0: 2020 2020 2020 6372 6561 7465 3a20 7472 create: tr │ │ │ │ 0024cbe0: 7565 0a20 2020 2020 206d 6f64 653a 206f ue. mode: o │ │ │ │ 0024cbf0: 2d72 7778 0a20 2020 2020 2073 7461 7465 -rwx. state │ │ │ │ 0024cc00: 3a20 7072 6573 656e 740a 2020 2020 7768 : present. wh │ │ │ │ 0024cc10: 656e 3a20 7379 7363 616c 6c73 5f66 6f75 en: syscalls_fou │ │ │ │ 0024cc20: 6e64 207c 206c 656e 6774 6820 3d3d 2030 nd | length == 0 │ │ │ │ -0024cc30: 0a20 2077 6865 6e3a 0a20 202d 2027 2261 . when:. - '"a │ │ │ │ -0024cc40: 7564 6974 6422 2069 6e20 616e 7369 626c uditd" in ansibl │ │ │ │ -0024cc50: 655f 6661 6374 732e 7061 636b 6167 6573 e_facts.packages │ │ │ │ -0024cc60: 270a 2020 2d20 616e 7369 626c 655f 7669 '. - ansible_vi │ │ │ │ -0024cc70: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970 rtualization_typ │ │ │ │ -0024cc80: 6520 6e6f 7420 696e 205b 2264 6f63 6b65 e not in ["docke │ │ │ │ -0024cc90: 7222 2c20 226c 7863 222c 2022 6f70 656e r", "lxc", "open │ │ │ │ -0024cca0: 767a 222c 2022 706f 646d 616e 222c 2022 vz", "podman", " │ │ │ │ -0024ccb0: 636f 6e74 6169 6e65 7222 5d0a 2020 7461 container"]. ta │ │ │ │ +0024cc30: 0a20 2077 6865 6e3a 0a20 202d 2061 6e73 . when:. - ans │ │ │ │ +0024cc40: 6962 6c65 5f76 6972 7475 616c 697a 6174 ible_virtualizat │ │ │ │ +0024cc50: 696f 6e5f 7479 7065 206e 6f74 2069 6e20 ion_type not in │ │ │ │ +0024cc60: 5b22 646f 636b 6572 222c 2022 6c78 6322 ["docker", "lxc" │ │ │ │ +0024cc70: 2c20 226f 7065 6e76 7a22 2c20 2270 6f64 , "openvz", "pod │ │ │ │ +0024cc80: 6d61 6e22 2c20 2263 6f6e 7461 696e 6572 man", "container │ │ │ │ +0024cc90: 225d 0a20 202d 2027 2261 7564 6974 6422 "]. - '"auditd" │ │ │ │ +0024cca0: 2069 6e20 616e 7369 626c 655f 6661 6374 in ansible_fact │ │ │ │ +0024ccb0: 732e 7061 636b 6167 6573 270a 2020 7461 s.packages'. ta │ │ │ │ 0024ccc0: 6773 3a0a 2020 2d20 4449 5341 2d53 5449 gs:. - DISA-STI │ │ │ │ 0024ccd0: 472d 5542 5455 2d32 302d 3031 3031 3632 G-UBTU-20-010162 │ │ │ │ 0024cce0: 0a20 202d 204e 4953 542d 3830 302d 3137 . - NIST-800-17 │ │ │ │ 0024ccf0: 312d 332e 312e 370a 2020 2d20 4e49 5354 1-3.1.7. - NIST │ │ │ │ 0024cd00: 2d38 3030 2d35 332d 4143 2d36 2839 290a -800-53-AC-6(9). │ │ │ │ 0024cd10: 2020 2d20 4e49 5354 2d38 3030 2d35 332d - NIST-800-53- │ │ │ │ 0024cd20: 4155 2d31 3228 6329 0a20 202d 204e 4953 AU-12(c). - NIS │ │ │ │ @@ -150765,26 +150765,26 @@ │ │ │ │ 0024cec0: 723e 3c64 6976 2063 6c61 7373 3d22 7061 r>