An XCCDF Group - A logical subset of the XCCDF Benchmark
crond
$ sudo systemctl enable crond.service
/etc/cron.d
$ sudo chgrp root /etc/cron.d
/etc/cron.daily
$ sudo chgrp root /etc/cron.daily
/etc/cron.hourly
$ sudo chgrp root /etc/cron.hourly
/etc/cron.monthly
$ sudo chgrp root /etc/cron.monthly
/etc/cron.weekly
$ sudo chgrp root /etc/cron.weekly
/etc/crontab
$ sudo chgrp root /etc/crontab
$ sudo chown root /etc/cron.d
$ sudo chown root /etc/cron.daily
$ sudo chown root /etc/cron.hourly
$ sudo chown root /etc/cron.monthly
$ sudo chown root /etc/cron.weekly
$ sudo chown root /etc/crontab
$ sudo chmod 0700 /etc/cron.d
$ sudo chmod 0700 /etc/cron.daily
$ sudo chmod 0700 /etc/cron.hourly
$ sudo chmod 0700 /etc/cron.monthly
$ sudo chmod 0700 /etc/cron.weekly
$ sudo chmod 0600 /etc/crontab
/etc/cron.allow
/etc/at.allow
cron
/etc/cron.deny
/etc/at.deny
at
cron.allow
cron.deny
$ sudo rm /etc/cron.deny
at.deny
$ sudo rm /etc/at.deny
root
$ sudo chgrp root /etc/at.allow
$ sudo chgrp root /etc/cron.allow
$ sudo chown root /etc/at.allow
$ sudo chown root /etc/cron.allow
0640
$ sudo chmod 0640 /etc/at.allow
$ sudo chmod 0640 /etc/cron.allow
/etc/sysconfig
dhcpd
dhcp
$ sudo dnf remove dhcp
dnsmasq
$ sudo dnf remove dnsmasq
named
bind
$ sudo dnf remove bind
ftp
$ sudo dnf remove ftp
vsftpd
$ sudo dnf remove vsftpd
httpd
$ sudo dnf remove httpd
nginx
$ sudo dnf remove nginx
cyrus-imapd
$ sudo dnf remove cyrus-imapd
dovecot
$ sudo dnf remove dovecot
system-config-authentication
openldap-clients
$ sudo dnf remove openldap-clients
alternatives
/etc/postfix/main.cf
inet_interfaces
inet_interfaces =
rpcbind
$ sudo systemctl mask --now rpcbind.service
nfs
rpcsvcgssd
nfs-server
$ sudo systemctl mask --now nfs-server.service
ntpd
chronyd
ntp
chrony
Chronyd
Autokey
Chrony
/etc/chrony.conf
server <remote-server>
OPTIONS
/etc/sysconfig/chronyd
-u chrony
OPTIONS="-u chrony"
iptables
rsync
$ sudo dnf remove rsync
/etc/hosts.equiv
~/.rhosts
$ sudo rm /etc/hosts.equiv
$ rm ~/.rhosts
telnet-server
$ sudo dnf remove telnet-server
tftp-server
$ sudo dnf remove tftp-server
cups
$ sudo dnf remove cups
squid
$ sudo dnf remove squid
samba-client
samba
$ sudo dnf remove samba
net-snmp
$ sudo dnf remove net-snmp
snmpd
$ sudo systemctl mask --now snmpd.service
sshd
openssh-server
/etc/ssh/sshd_config
$ sudo chgrp root /etc/ssh/sshd_config
/etc/ssh/*_key
ssh_keys
/etc/ssh/*.pub
$ sudo chown root /etc/ssh/sshd_config
$ sudo chmod 0600 /etc/ssh/sshd_config
0600
$ sudo chmod 0644 /etc/ssh/*.pub
sshd_config(5)
ClientAliveCountMax
ClientAliveInterval
0
ClientAliveInterval * ClientAliveCountMax
.rhosts
HostbasedAuthentication
/etc/ssh/sshd_config.d/00-complianceascode-hardening.conf
HostbasedAuthentication no
PermitEmptyPasswords
PermitEmptyPasswords no
IgnoreRhosts
IgnoreRhosts yes
PermitRootLogin no
AllowTcpForwarding
AllowTcpForwarding no
X11Forwarding
X11Forwarding no
PermitUserEnvironment
PermitUserEnvironment no
UsePAM yes
Banner /etc/issue.net
LoginGraceTime
VERBOSE
LogLevel VERBOSE
MaxAuthTries
MaxSessions
MaxStartups
graphical.target
$ sudo dnf groupremove "X Window System"
$ sudo dnf remove xorg-x11-server-common