CentOS 6.7 VM을 CIS 표준으로 강화하고 있습니다.
https://benchmarks.cisecurity.org/tools2/linux/CIS_CentOS_Linux_6_Benchmark_v1.1.0.pdf
위는 이미지를 굳히기 위해 사용하고 있는 문서입니다. 나는 133-135페이지의 6.3.2와 6.3.3을 작업 중입니다.
내 질문은 CIS 사양을 준수하도록 비밀번호 인증 및 시스템 인증 파일을 어떻게 관리합니까?입니다.
지금까지 나는 다음을 읽고 구현했습니다.
비밀번호-auth-ac 및 system-auth-ac 파일을 복사하고 이름을 -local로 지정했습니다. -local 파일과 해당 표준 파일 간의 심볼릭 링크를 다시 만들었습니다.
이를 달성하기 위해 읽는 한 가지 방법은 -local 파일에 추가 요구 사항만 포함하고 -ac 파일을 포함하는 문을 삽입하는 것이었습니다.
내가 본 문제는 다음과 같습니다. CIS 문서는 pam_cracklib.so에 대해 다음을 갖도록 system-auth를 요구합니다.
password required pam_cracklib.so try_first_pass retry=3 minlen=14 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
기본적으로 system-auth-ac는 pam_cracklib.so에 대해 다음을 생성합니다.
password requisite pam_cracklib.so try_first_pass retry=3 type=
따라서 -local 파일의 첫 번째 문자열을 나열하고 다음과 같은 줄이 있으면:
password include system-auth-ac
올바른 비밀번호 요구 사항이 충족됩니까? 이 문서에는 "pam_env.so 뒤와 pam_deny.co 앞에 나타나는지 확인하십시오.
포함을 사용하고 비밀번호 요구 사항을 나열하면 논리적으로 그 사이에 속합니까?
이에 대한 통찰력을 높이 평가합니다.