Estoy adaptando una máquina virtual CentOS 6.7 a los estándares CIS.
https://benchmarks.cisecurity.org/tools2/linux/CIS_CentOS_Linux_6_Benchmark_v1.1.0.pdf
El de arriba es el documento que estoy usando para endurecer la imagen. Estoy trabajando en 6.3.2 y 6.3.3 en las páginas 133-135.
Mi pregunta es la siguiente: ¿cómo administro los archivos de autenticación de contraseña y de autenticación del sistema para que cumplan con las especificaciones CIS?
Hasta ahora leí e implementé lo siguiente:
Copié los archivos contraseña-auth-ac y system-auth-ac y los llamé -local. Recreé enlaces simbólicos entre archivos locales y sus homólogos estándar.
Una forma que leí para lograr esto fue incluir solo los requisitos adicionales en los archivos -locales e insertar declaraciones para incluir los archivos -ac.
El problema que veo con esto es el siguiente: El documento CIS exige que system-auth tenga lo siguiente para pam_cracklib.so
password required pam_cracklib.so try_first_pass retry=3 minlen=14 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
De forma predeterminada, system-auth-ac genera lo siguiente para pam_cracklib.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
entonces, si enumero la primera cadena en mi archivo local y luego tengo una línea que dice:
password include system-auth-ac
¿Se cumplirán los requisitos de contraseña correctos? El documento también menciona "Asegúrese de que aparezcan después de pam_env.so y antes de pam_deny.co:
Si uso incluye y enumero un requisito de contraseña, ¿estará lógicamente entre esos?
Se agradece cualquier idea sobre esto,