CentOS 6.7 VM を CIS 標準に合わせて強化しています。
https://benchmarks.cisecurity.org/tools2/linux/CIS_CentOS_Linux_6_Benchmark_v1.1.0.pdf
上記は、イメージを強化するために使用しているドキュメントです。私は 133 ~ 135 ページの 6.3.2 と 6.3.3 に取り組んでいます。
私の質問は、CIS 仕様に準拠するように password-auth ファイルと system-auth ファイルをどのように管理すればよいかということです。
これまでに、次の内容を読んで実装しました。
password-auth-ac ファイルと system-auth-ac ファイルをコピーし、-local という名前を付けました。-local ファイルと標準のファイル間のシンボリックリンクを再作成しました。
これを実現するための 1 つの方法は、-local ファイルに追加の要件のみを含め、-ac ファイルを含めるステートメントを挿入するというものでした。
これに関して私が問題視しているのは、CIS ドキュメントでは、system-auth に pam_cracklib.so に対して次のものが必要であるとしている点です。
password required pam_cracklib.so try_first_pass retry=3 minlen=14 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
デフォルトでは、system-auth-acはpam_cracklib.soに対して以下を生成します。
password requisite pam_cracklib.so try_first_pass retry=3 type=
したがって、-local ファイルの最初の文字列をリストし、次のような行を追加します。
password include system-auth-ac
正しいパスワード要件は満たされるでしょうか? ドキュメントには、「pam_env.so の後、pam_deny.co の前に表示されることを確認してください」とも記載されています。
include を使用してパスワード要件をリストすると、論理的にはそれらの間に入りますか?
これに関するご意見をいただければ幸いです。