Какова правильная логика modprobe.d?

У меня две разные системы: rhel7 и rhel9. Я с любопытством изучал тесты стран СНГ для обоих из них. Однако, когда дело доходит до отключения модулей ядра, я запутываюсь.

Когда я смотрю CIS для rhle7, они советуют поставитьmodprobe.d/<MODULE>файл.

Для RHEL9 вроде бы такinstall <MODULE> /bin/false. Однако, если я посмотрюansible-lockdownна Github для вдохновения они используют следующий вариант для Rhel9:install <MODULE> /bin/true(Ansible-блокировка)

Пожалуйста, помогите мне понять разницу и правильное использование.