Я повышаю безопасность виртуальной машины CentOS 6.7 до стандартов CIS.
https://benchmarks.cisecurity.org/tools2/linux/CIS_CentOS_Linux_6_Benchmark_v1.1.0.pdf
Выше представлен документ, который я использую для усиления жесткости изображения. Я работаю над 6.3.2 и 6.3.3 на страницах 133-135.
Мой вопрос заключается в следующем: как мне управлять файлами password-auth и system-auth, чтобы они соответствовали спецификациям CIS?
На данный момент я прочитал и реализовал следующее:
Я скопировал файлы password-auth-ac и system-auth-ac и назвал их -local. Я воссоздал символические ссылки между файлами -local и их стандартными аналогами.
Я прочитал, что одним из способов достижения этой цели было включение только дополнительных требований в файлы -local и вставка операторов для включения файлов -ac.
Проблема, которую я вижу в этом, заключается в следующем: документ CIS требует, чтобы system-auth имел следующее для pam_cracklib.so
password required pam_cracklib.so try_first_pass retry=3 minlen=14 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
по умолчанию system-auth-ac генерирует следующее для pam_cracklib.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
Итак, если я перечислю первую строку в моем файле -local, а затем добавлю строку, которая гласит:
password include system-auth-ac
будут ли выполнены правильные требования к паролю? В документе также упоминается: «Убедитесь, что они появляются после pam_env.so и перед pam_deny.co:
Если я использую include и перечислю требования к паролю, будет ли оно логически попадать между ними?
Любая информация по этому вопросу приветствуется.