Ensure the Default C Shell Umask is Set Correctly

An XCCDF Rule

Description

To ensure the default umask for users of the C shell is set properly, add or correct the umask setting in /etc/csh.cshrc to read as follows:

umask

Rationale

The umask value influences the permissions assigned to files when they are created. A misconfigured umask value could result in files with excessive permissions that can be read or written to by unauthorized users.

ID: xccdf_org.ssgproject.content_rule_accounts_umask_etc_csh_cshrc
Severity: Medium
References: 18

APO13.01 BAI03.01 BAI03.02 BAI03.03

CCI-000366

4.3.4.3.3

A.14.1.1 A.14.2.1 A.14.2.5 A.6.1.5

CIP-003-8 R5.1.1 CIP-003-8 R5.3 CIP-004-6 R2.3 CIP-007-3 R2.1 CIP-007-3 R2.2 CIP-007-3 R2.3 CIP-007-3 R5.1 CIP-007-3 R5.1.1 CIP-007-3 R5.1.2

AC-6(1) CM-6(a)

PR.IP-2

SRG-OS-000480-GPOS-00227 SRG-OS-000480-GPOS-00228

CCE-84261-7
Updated: about 1 year ago

apiVersion: machineconfiguration.openshift.io/v1
kind: MachineConfig
spec:
  config:
    ignition:
      version: 3.1.0    storage:
      files:
      - contents:
          source: data:,%23%20/etc/cshrc%0A%23%0A%23%20csh%20configuration%20for%20all%20shell%20invocations.%0A%0A%23%20By%20default%2C%20we%20want%20this%20to%20get%20set.%0A%23%20Even%20for%20non-interactive%2C%20non-login%20shells.%0A%23%20Current%20threshold%20for%20system%20reserved%20uid/gids%20is%20200%0A%23%20You%20could%20check%20uidgid%20reservation%20validity%20in%0A%23%20/usr/share/doc/setup-%2A/uidgid%20file%0Aif%20%28%24uid%20%3E%20199%20%26%26%20%22%60id%20-gn%60%22%20%3D%3D%20%22%60id%20-un%60%22%29%20then%0A%20%20%20%20umask%20027%0Aelse%0A%20%20%20%20umask%20027%0Aendif%0A%0Aif%20%28%24%3Fprompt%29%20then%0A%20%20if%20%28%24%3Ftcsh%29%20then%0A%20%20%20%20set%20promptchars%3D%27%24%23%27%0A%20%20%20%20set%20prompt%3D%27%5B%25n%40%25m%20%25c%5D%25%23%20%27%0A%20%20%20%20%23%20make%20completion%20work%20better%20by%20default%0A%20%20%20%20set%20autolist%0A%20%20else%0A%20%20%20%20set%20prompt%3D%5C%5B%24user%40%60hostname%20-s%60%5C%5D%5C%24%5C%20%0A%20%20endif%0Aendif%0A%0Aif%20%28%20%24%3Ftcsh%20%29%20then%0A%09bindkey%20%22%5E%5B%5B3~%22%20delete-char%0Aendif%0A%0Abindkey%20%22%5ER%22%20i-search-back%0Aset%20echo_style%20%3D%20both%0Aset%20histdup%20%3D%20erase%0Aset%20savehist%20%3D%20%281024%20merge%29%0A%0Aif%20%28%24%3Fprompt%29%20then%0A%20%20if%20%28%24%3FTERM%29%20then%0A%20%20%20%20switch%28%24TERM%29%0A%20%20%20%20%20%20case%20xterm%2A%3A%0A%20%20%20%20%20%20%20%20if%20%28%24%3Ftcsh%29%20then%0A%09%20%20set%20prompt%3D%27%25%7B%5C033%5D0%3B%25n%40%25m%3A%25c%5C007%25%7D%5B%25n%40%25m%20%25c%5D%25%23%20%27%0A%20%20%20%20%20%20%20%20endif%0A%20%20%20%20%20%20%20%20breaksw%0A%20%20%20%20%20%20case%20screen%3A%0A%20%20%20%20%20%20%20%20if%20%28%24%3Ftcsh%29%20then%0A%20%20%20%20%20%20%20%20%20%20set%20prompt%3D%27%25%7B%5C033k%25n%40%25m%3A%25c%5C033%5C%5C%25%7D%5B%25n%40%25m%20%25c%5D%25%23%20%27%0A%20%20%20%20%20%20%20%20endif%0A%20%20%20%20%20%20%20%20breaksw%0A%20%20%20%20%20%20default%3A%0A%20%20%20%20%20%20%20%20breaksw%0A%20%20%20%20endsw%0A%20%20endif%0Aendif%0A%0Asetenv%20MAIL%20%22/var/spool/mail/%24USER%22%0A%0A%23%20Check%20if%20we%20aren%27t%20a%20loginshell%20and%20do%20stuff%20if%20we%20aren%27t%0Aif%20%28%21%20%24%3Floginsh%29%20then%0A%20%20%20%20if%20%28%20-d%20/etc/profile.d%20%29%20then%0A%20%20%20%20%20%20%20%20set%20nonomatch%0A%20%20%20%20%20%20%20%20foreach%20i%20%28%20/etc/profile.d/%2A.csh%20%29%0A%20%20%20%20%20%20%20%20%20%20%20%20if%20%28%20-r%20%22%24i%22%20%29%20then%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20if%20%28%24%3Fprompt%29%20then%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20source%20%22%24i%22%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20else%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20source%20%22%24i%22%20%3E%26/dev/null%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20endif%0A%20%20%20%20%20%20%20%20%20%20%20%20endif%0A%20%20%20%20%20%20%20%20end%0A%20%20%20%20%20%20%20%20unset%20i%20nonomatch%0A%20%20%20%20endif%0Aendif%0A%0A%0A
        mode: 0644
        path: /etc/csh.cshrc
        overwrite: true

Ensure the Default C Shell Umask is Set Correctly

Description

Rationale

Remediation - script:ignition