我正在根據 CIS 標準強化 CentOS 6.7 VM。
https://benchmarks.cisecurity.org/tools2/linux/CIS_CentOS_Linux_6_Benchmark_v1.1.0.pdf
上面是我用來強化影像的文檔。我正在研究第 133-135 頁的 6.3.2 和 6.3.3。
我的問題是,如何管理密碼驗證和系統驗證文件,以便它們符合 CIS 規範?
到目前為止,我已經閱讀並實施了以下內容:
我複製了password-auth-ac和system-auth-ac檔案並將它們命名為-local。我在 -local 檔案與其標準對應檔案之間重新建立了符號連結。
我讀到的實現此目的的一種方法是僅在 -local 檔案中包含附加要求,並插入語句以包含 -ac 檔案。
我看到的問題是這樣的: CIS 文件要求 system-auth 為 pam_cracklib.so 提供以下內容
password required pam_cracklib.so try_first_pass retry=3 minlen=14 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
預設情況下,system-auth-ac 會為 pam_cracklib.so 產生以下內容
password requisite pam_cracklib.so try_first_pass retry=3 type=
因此,如果我列出 -local 檔案中的第一個字串,然後有一行內容如下:
password include system-auth-ac
能否滿足正確的密碼要求?該文件還提到「確保它們出現在 pam_env.so 之後和 pam_deny.co 之前:
如果我使用包含並列出密碼要求,它是否會在邏輯上落在這些要求之間?
任何對此的見解表示讚賞,