密码历史记录限制写入 system-auth(-ac),但不写入 password-auth(-ac)。当所有其他政策都写给两者时,为什么呢?

密码历史记录限制写入 system-auth(-ac),但不写入 password-auth(-ac)。当所有其他政策都写给两者时,为什么呢?

根据这个STIG,密码历史记录已输入/etc/pam.d/system-auth,但未输入/etc/pam.d/password-auth。其他政策,例如帐户锁定应用于两个文件。

为什么密码历史记录没有输入到两者中,或者这只是 STIG 中的拼写错误? (很难相信那一刻,但它确实发生了。)

答案1

password-auth和文件system-auth不被任何进程或服务直接使用。相反,它们被使用该指令拉入其他 PAM 配置文件中include。默认安装中唯一真正关心密码历史记录的是passwd命令。它有自己的 PAM 模块,并且只引入system-auth

[root@rhel7 ~]# grep include /etc/pam.d/passwd
auth       include      system-auth
account    include      system-auth

建议对两者进行帐户锁定,因为诸如sshd拉入之类的服务password-auth。在我现在正在查看的 RHEL 7 系统上,system-auth主要被拉入 PAM 文件中,用于用户直接交互的内容(登录、密码更改susudo),而通过运行和password-auth等守护进程来拉入。sshdcrond

如果需要,您可以将密码历史设置添加到pam_unix.soin以保持一致性。password-auth它不会造成任何伤害,但也不会做任何有用的事情。

相关内容