Updated defaults/main.yml

defaults/main.yml

@@ -5,9 +5,9 @@ inactivity_timeout_value: '900'
 var_screensaver_lock_delay: '5'
 var_sudo_timestamp_timeout: '0'
 var_authselect_profile: sssd
-login_banner_text: ^(You[\s\n]+are[\s\n]+accessing[\s\n]+a[\s\n]+U\.S\.[\s\n]+Government[\s\n]+\(USG\)[\s\n]+Information[\s\n]+System[\s\n]+\(IS\)[\s\n]+that[\s\n]+is[\s\n]+provided[\s\n]+for[\s\n]+USG\-authorized[\s\n]+use[\s\n]+only\.[\s\n]+By[\s\n]+using[\s\n]+this[\s\n]+IS[\s\n]+\(which[\s\n]+includes[\s\n]+any[\s\n]+device[\s\n]+attached[\s\n]+to[\s\n]+this[\s\n]+IS\)\,[\s\n]+you[\s\n]+consent[\s\n]+to[\s\n]+the[\s\n]+following[\s\n]+conditions\:(?:[\n]+|(?:\\n)+)\-The[\s\n]+USG[\s\n]+routinely[\s\n]+intercepts[\s\n]+and[\s\n]+monitors[\s\n]+communications[\s\n]+on[\s\n]+this[\s\n]+IS[\s\n]+for[\s\n]+purposes[\s\n]+including\,[\s\n]+but[\s\n]+not[\s\n]+limited[\s\n]+to\,[\s\n]+penetration[\s\n]+testing\,[\s\n]+COMSEC[\s\n]+monitoring\,[\s\n]+network[\s\n]+operations[\s\n]+and[\s\n]+defense\,[\s\n]+personnel[\s\n]+misconduct[\s\n]+\(PM\)\,[\s\n]+law[\s\n]+enforcement[\s\n]+\(LE\)\,[\s\n]+and[\s\n]+counterintelligence[\s\n]+\(CI\)[\s\n]+investigations\.(?:[\n]+|(?:\\n)+)\-At[\s\n]+any[\s\n]+time\,[\s\n]+the[\s\n]+USG[\s\n]+may[\s\n]+inspect[\s\n]+and[\s\n]+seize[\s\n]+data[\s\n]+stored[\s\n]+on[\s\n]+this[\s\n]+IS\.(?:[\n]+|(?:\\n)+)\-Communications[\s\n]+using\,[\s\n]+or[\s\n]+data[\s\n]+stored[\s\n]+on\,[\s\n]+this[\s\n]+IS[\s\n]+are[\s\n]+not[\s\n]+private\,[\s\n]+are[\s\n]+subject[\s\n]+to[\s\n]+routine[\s\n]+monitoring\,[\s\n]+interception\,[\s\n]+and[\s\n]+search\,[\s\n]+and[\s\n]+may[\s\n]+be[\s\n]+disclosed[\s\n]+or[\s\n]+used[\s\n]+for[\s\n]+any[\s\n]+USG\-authorized[\s\n]+purpose\.(?:[\n]+|(?:\\n)+)\-This[\s\n]+IS[\s\n]+includes[\s\n]+security[\s\n]+measures[\s\n]+\(e\.g\.\,[\s\n]+authentication[\s\n]+and[\s\n]+access[\s\n]+controls\)[\s\n]+to[\s\n]+protect[\s\n]+USG[\s\n]+interests\-\-not[\s\n]+for[\s\n]+your[\s\n]+personal[\s\n]+benefit[\s\n]+or[\s\n]+privacy\.(?:[\n]+|(?:\\n)+)\-Notwithstanding[\s\n]+the[\s\n]+above\,[\s\n]+using[\s\n]+this[\s\n]+IS[\s\n]+does[\s\n]+not[\s\n]+constitute[\s\n]+consent[\s\n]+to[\s\n]+PM\,[\s\n]+LE[\s\n]+or[\s\n]+CI[\s\n]+investigative[\s\n]+searching[\s\n]+or[\s\n]+monitoring[\s\n]+of[\s\n]+the[\s\n]+content[\s\n]+of[\s\n]+privileged[\s\n]+communications\,[\s\n]+or[\s\n]+work[\s\n]+product\,[\s\n]+related[\s\n]+to[\s\n]+personal[\s\n]+representation[\s\n]+or[\s\n]+services[\s\n]+by[\s\n]+attorneys\,[\s\n]+psychotherapists\,[\s\n]+or[\s\n]+clergy\,[\s\n]+and[\s\n]+their[\s\n]+assistants\.[\s\n]+Such[\s\n]+communications[\s\n]+and[\s\n]+work[\s\n]+product[\s\n]+are[\s\n]+private[\s\n]+and[\s\n]+confidential\.[\s\n]+See[\s\n]+User[\s\n]+Agreement[\s\n]+for[\s\n]+details\.|I've[\s\n]+read[\s\n]+\&[\s\n]+consent[\s\n]+to[\s\n]+terms[\s\n]+in[\s\n]+IS[\s\n]+user[\s\n]+agreem't\.)$
+login_banner_text: ^(You[\s\n]+are[\s\n]+accessing[\s\n]+a[\s\n]+U\.S\.[\s\n]+Government[\s\n]+\(USG\)[\s\n]+Information[\s\n]+System[\s\n]+\(IS\)[\s\n]+that[\s\n]+is[\s\n]+provided[\s\n]+for[\s\n]+USG\-authorized[\s\n]+use[\s\n]+only\.[\s\n]+By[\s\n]+using[\s\n]+this[\s\n]+IS[\s\n]+\(which[\s\n]+includes[\s\n]+any[\s\n]+device[\s\n]+attached[\s\n]+to[\s\n]+this[\s\n]+IS\),[\s\n]+you[\s\n]+consent[\s\n]+to[\s\n]+the[\s\n]+following[\s\n]+conditions\:(?:[\n]+|(?:\\n)+)\-The[\s\n]+USG[\s\n]+routinely[\s\n]+intercepts[\s\n]+and[\s\n]+monitors[\s\n]+communications[\s\n]+on[\s\n]+this[\s\n]+IS[\s\n]+for[\s\n]+purposes[\s\n]+including,[\s\n]+but[\s\n]+not[\s\n]+limited[\s\n]+to,[\s\n]+penetration[\s\n]+testing,[\s\n]+COMSEC[\s\n]+monitoring,[\s\n]+network[\s\n]+operations[\s\n]+and[\s\n]+defense,[\s\n]+personnel[\s\n]+misconduct[\s\n]+\(PM\),[\s\n]+law[\s\n]+enforcement[\s\n]+\(LE\),[\s\n]+and[\s\n]+counterintelligence[\s\n]+\(CI\)[\s\n]+investigations\.(?:[\n]+|(?:\\n)+)\-At[\s\n]+any[\s\n]+time,[\s\n]+the[\s\n]+USG[\s\n]+may[\s\n]+inspect[\s\n]+and[\s\n]+seize[\s\n]+data[\s\n]+stored[\s\n]+on[\s\n]+this[\s\n]+IS\.(?:[\n]+|(?:\\n)+)\-Communications[\s\n]+using,[\s\n]+or[\s\n]+data[\s\n]+stored[\s\n]+on,[\s\n]+this[\s\n]+IS[\s\n]+are[\s\n]+not[\s\n]+private,[\s\n]+are[\s\n]+subject[\s\n]+to[\s\n]+routine[\s\n]+monitoring,[\s\n]+interception,[\s\n]+and[\s\n]+search,[\s\n]+and[\s\n]+may[\s\n]+be[\s\n]+disclosed[\s\n]+or[\s\n]+used[\s\n]+for[\s\n]+any[\s\n]+USG\-authorized[\s\n]+purpose\.(?:[\n]+|(?:\\n)+)\-This[\s\n]+IS[\s\n]+includes[\s\n]+security[\s\n]+measures[\s\n]+\(e\.g\.,[\s\n]+authentication[\s\n]+and[\s\n]+access[\s\n]+controls\)[\s\n]+to[\s\n]+protect[\s\n]+USG[\s\n]+interests\-\-not[\s\n]+for[\s\n]+your[\s\n]+personal[\s\n]+benefit[\s\n]+or[\s\n]+privacy\.(?:[\n]+|(?:\\n)+)\-Notwithstanding[\s\n]+the[\s\n]+above,[\s\n]+using[\s\n]+this[\s\n]+IS[\s\n]+does[\s\n]+not[\s\n]+constitute[\s\n]+consent[\s\n]+to[\s\n]+PM,[\s\n]+LE[\s\n]+or[\s\n]+CI[\s\n]+investigative[\s\n]+searching[\s\n]+or[\s\n]+monitoring[\s\n]+of[\s\n]+the[\s\n]+content[\s\n]+of[\s\n]+privileged[\s\n]+communications,[\s\n]+or[\s\n]+work[\s\n]+product,[\s\n]+related[\s\n]+to[\s\n]+personal[\s\n]+representation[\s\n]+or[\s\n]+services[\s\n]+by[\s\n]+attorneys,[\s\n]+psychotherapists,[\s\n]+or[\s\n]+clergy,[\s\n]+and[\s\n]+their[\s\n]+assistants\.[\s\n]+Such[\s\n]+communications[\s\n]+and[\s\n]+work[\s\n]+product[\s\n]+are[\s\n]+private[\s\n]+and[\s\n]+confidential\.[\s\n]+See[\s\n]+User[\s\n]+Agreement[\s\n]+for[\s\n]+details\.|I've[\s\n]+read[\s\n]+\&[\s\n]+consent[\s\n]+to[\s\n]+terms[\s\n]+in[\s\n]+IS[\s\n]+user[\s\n]+agreem't\.)$
 var_password_pam_remember: '5'
-var_password_pam_remember_control_flag: requisite
+var_password_pam_remember_control_flag: requisite,required
 var_accounts_passwords_pam_faillock_deny: '3'
 var_accounts_passwords_pam_faillock_dir: /var/log/faillock
 var_accounts_passwords_pam_faillock_fail_interval: '900'
@@ -27,6 +27,7 @@ var_password_hashing_algorithm: SHA512
 var_account_disable_post_pw_expiration: '35'
 var_accounts_maximum_age_login_defs: '60'
 var_accounts_minimum_age_login_defs: '1'
+var_password_pam_unix_rounds: '5000'
 var_accounts_fail_delay: '4'
 var_accounts_max_concurrent_login_sessions: '10'
 var_accounts_tmout: '600'
@@ -51,12 +52,10 @@ sysctl_net_ipv6_conf_default_accept_source_route_value: '0'
 sysctl_net_ipv4_conf_all_accept_redirects_value: '0'
 sysctl_net_ipv4_conf_all_accept_source_route_value: '0'
 sysctl_net_ipv4_conf_all_rp_filter_value: '1'
-sysctl_net_ipv4_conf_all_secure_redirects_value: '0'
 sysctl_net_ipv4_conf_default_accept_redirects_value: '0'
 sysctl_net_ipv4_conf_default_accept_source_route_value: '0'
 sysctl_net_ipv4_conf_default_rp_filter_value: '1'
 sysctl_net_ipv4_icmp_echo_ignore_broadcasts_value: '1'
-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_value: '1'
 sysctl_net_ipv4_tcp_invalid_ratelimit_value: '500'
 sysctl_net_ipv4_tcp_syncookies_value: '1'
 var_removable_partition: /dev/cdrom
@@ -76,6 +75,7 @@ var_rekey_limit_size: 1G
 var_rekey_limit_time: 1h
 var_sssd_certificate_verification_digest_function: sha512
 account_disable_post_pw_expiration: true
+account_passwords_pam_faillock_audit: true
 accounts_logon_fail_delay: true
 accounts_max_concurrent_login_sessions: true
 accounts_maximum_age_login_defs: true
@@ -96,6 +96,8 @@ accounts_password_pam_pwquality_password_auth: true
 accounts_password_pam_pwquality_system_auth: true
 accounts_password_pam_retry: true
 accounts_password_pam_ucredit: true
+accounts_password_pam_unix_rounds_password_auth: true
+accounts_password_pam_unix_rounds_system_auth: true
 accounts_password_set_max_life_existing: true
 accounts_passwords_pam_faillock_audit: true
 accounts_passwords_pam_faillock_deny: true
@@ -135,7 +137,6 @@ audit_rules_dac_modification_umount: true
 audit_rules_dac_modification_umount2: true
 audit_rules_execution_chacl: true
 audit_rules_execution_chcon: true
-audit_rules_execution_restorecon: true
 audit_rules_execution_semanage: true
 audit_rules_execution_setfacl: true
 audit_rules_execution_setfiles: true
@@ -229,7 +230,6 @@ dconf_gnome_disable_ctrlaltdel_reboot: true
 dconf_gnome_disable_restart_shutdown: true
 dconf_gnome_disable_user_list: true
 dconf_gnome_lock_screen_on_smartcard_removal: true
-dconf_gnome_login_banner_text: true
 dconf_gnome_screensaver_idle_delay: true
 dconf_gnome_screensaver_lock_delay: true
 dconf_gnome_screensaver_lock_enabled: true
@@ -337,14 +337,14 @@ kernel_module_atm_disabled: true
 kernel_module_bluetooth_disabled: true
 kernel_module_can_disabled: true
 kernel_module_cramfs_disabled: true
+kernel_module_sctp_disabled: true
 kernel_module_tipc_disabled: true
 low_complexity: true
 low_disruption: true
 low_severity: true
 medium_complexity: true
 medium_disruption: true
 medium_severity: true
-mount_option_boot_efi_nosuid: true
 mount_option_boot_nodev: true
 mount_option_boot_nosuid: true
 mount_option_dev_shm_nodev: true
@@ -378,17 +378,18 @@ no_empty_passwords: true
 no_empty_passwords_etc_shadow: true
 no_reboot_needed: true
 package_aide_installed: true
+package_audispd_plugins_installed: true
 package_audit_installed: true
 package_chrony_installed: true
 package_crypto_policies_installed: true
 package_fapolicyd_installed: true
 package_firewalld_installed: true
-package_gdm_removed: true
 package_gnutls_utils_installed: true
 package_gssproxy_removed: true
 package_iprutils_removed: true
 package_libreswan_installed: true
 package_nfs_utils_removed: true
+package_nss_tools_installed: true
 package_opensc_installed: true
 package_openssh_clients_installed: true
 package_openssh_server_installed: true
@@ -475,7 +476,6 @@ sysctl_fs_protected_hardlinks: true
 sysctl_fs_protected_symlinks: true
 sysctl_kernel_core_pattern: true
 sysctl_kernel_dmesg_restrict: true
-sysctl_kernel_exec_shield: true
 sysctl_kernel_kexec_load_disabled: true
 sysctl_kernel_kptr_restrict: true
 sysctl_kernel_perf_event_paranoid: true
@@ -486,14 +486,12 @@ sysctl_net_core_bpf_jit_harden: true
 sysctl_net_ipv4_conf_all_accept_redirects: true
 sysctl_net_ipv4_conf_all_accept_source_route: true
 sysctl_net_ipv4_conf_all_rp_filter: true
-sysctl_net_ipv4_conf_all_secure_redirects: true
 sysctl_net_ipv4_conf_all_send_redirects: true
 sysctl_net_ipv4_conf_default_accept_redirects: true
 sysctl_net_ipv4_conf_default_accept_source_route: true
 sysctl_net_ipv4_conf_default_rp_filter: true
 sysctl_net_ipv4_conf_default_send_redirects: true
 sysctl_net_ipv4_icmp_echo_ignore_broadcasts: true
-sysctl_net_ipv4_icmp_ignore_bogus_error_responses: true
 sysctl_net_ipv4_ip_forward: true
 sysctl_net_ipv4_tcp_invalid_ratelimit: true
 sysctl_net_ipv4_tcp_syncookies: true