如何在 CentOS 中配置 pam.d 配置文件

如何在 CentOS 中配置 pam.d 配置文件

我正在根据 CIS 标准强化 CentOS 6.7 VM。

https://benchmarks.cisecurity.org/tools2/linux/CIS_CentOS_Linux_6_Benchmark_v1.1.0.pdf

上面是我用来强化图像的文档。我正在研究第 133-135 页的 6.3.2 和 6.3.3。

我的问题是,如何管理密码验证和系统验证文件,以便它们符合 CIS 规范?

到目前为止,我阅读并实施了以下内容:

我复制了password-auth-ac和system-auth-ac文件并将它们命名为-local。我在 -local 文件与其标准对应文件之间重新创建了符号链接。

我读到的实现此目的的一种方法是仅在 -local 文件中包含附加要求,并插入语句以包含 -ac 文件。

我看到的问题是这样的: CIS 文档要求 system-auth 为 pam_cracklib.so 提供以下内容

password required pam_cracklib.so try_first_pass retry=3 minlen=14 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1

默认情况下,system-auth-ac 会为 pam_cracklib.so 生成以下内容

password requisite pam_cracklib.so try_first_pass retry=3 type=

因此,如果我列出 -local 文件中的第一个字符串,然后有一行内容如下:

password include system-auth-ac

能否满足正确的密码要求?该文档还提到“确保它们出现在 pam_env.so 之后和 pam_deny.co 之前:

如果我使用包含并列出密码要求,它在逻辑上是否会落在这些要求之间?

任何对此的见解表示赞赏,

相关内容