Ich härte eine CentOS 6.7-VM nach CIS-Standards.
https://benchmarks.cisecurity.org/tools2/linux/CIS_CentOS_Linux_6_Benchmark_v1.1.0.pdf
Das obige Dokument verwende ich zum Härten des Images. Ich arbeite an 6.3.2 und 6.3.3 auf Seite 133-135.
Meine Frage lautet: Wie verwalte ich die Kennwortauthentifizierungs- und Systemauthentifizierungsdateien, damit sie den CIS-Spezifikationen entsprechen?
Bisher habe ich Folgendes gelesen und umgesetzt:
Ich habe die Dateien password-auth-ac und system-auth-ac kopiert und sie -local genannt. Ich habe symbolische Links zwischen -local-Dateien und ihren Standardgegenstücken neu erstellt.
Eine Möglichkeit, dies zu erreichen, besteht meines Wissens darin, nur die zusätzlichen Anforderungen in die -local-Dateien aufzunehmen und Anweisungen zum Einschließen der -ac-Dateien einzufügen.
Das Problem, das ich dabei sehe, ist folgendes: Das CIS-Dokument verlangt, dass die Systemauthentifizierung für pam_cracklib.so über Folgendes verfügt
password required pam_cracklib.so try_first_pass retry=3 minlen=14 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
standardmäßig generiert system-auth-ac Folgendes für pam_cracklib.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
Wenn ich also die erste Zeichenfolge in meiner -local-Datei aufliste, erscheint eine Zeile mit folgendem Inhalt:
password include system-auth-ac
werden die richtigen Passwortanforderungen erfüllt? Das Dokument erwähnt auch: „Stellen Sie sicher, dass sie nach pam_env.so und vor pam_deny.co erscheinen:
Wenn ich Includes verwende und eine Kennwortanforderung aufliste, fällt diese dann logisch dazwischen?
Für jede Einsicht in diesem Zusammenhang bin ich dankbar.