Estou fortalecendo uma VM CentOS 6.7 para os padrões CIS.
https://benchmarks.cisecurity.org/tools2/linux/CIS_CentOS_Linux_6_Benchmark_v1.1.0.pdf
O documento acima é o documento que estou usando para fortalecer a imagem. Estou trabalhando em 6.3.2 e 6.3.3 nas páginas 133-135.
Minha pergunta é: como faço para gerenciar os arquivos de autenticação de senha e de autenticação do sistema para que eles cumpram as especificações do CIS?
Até agora eu li e implementei o seguinte:
Copiei os arquivos password-auth-ac e system-auth-ac e os nomeei -local. Recriei links simbólicos entre arquivos -local e suas contrapartes padrão.
Uma maneira que li para fazer isso foi incluir apenas os requisitos adicionais nos arquivos -local e inserir instruções para incluir os arquivos -ac.
O problema que vejo com isso é o seguinte: O documento CIS exige que o system-auth tenha o seguinte para pam_cracklib.so
password required pam_cracklib.so try_first_pass retry=3 minlen=14 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
por padrão, system-auth-ac gera com o seguinte para pam_cracklib.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
então, se eu listar a primeira string no meu arquivo -local e tiver uma linha que diz:
password include system-auth-ac
os requisitos de senha corretos serão atendidos? O documento também menciona "Garanta que eles apareçam depois de pam_env.so e antes de pam_deny.co:
Se eu usar inclui e listar um requisito de senha, ele ficará logicamente entre eles?
Qualquer visão sobre isso é apreciada,