我正在根据 CIS 标准强化 CentOS 6.7 VM。
https://benchmarks.cisecurity.org/tools2/linux/CIS_CentOS_Linux_6_Benchmark_v1.1.0.pdf
上面是我用来强化图像的文档。我正在研究第 133-135 页的 6.3.2 和 6.3.3。
我的问题是,如何管理密码验证和系统验证文件,以便它们符合 CIS 规范?
到目前为止,我阅读并实施了以下内容:
我复制了password-auth-ac和system-auth-ac文件并将它们命名为-local。我在 -local 文件与其标准对应文件之间重新创建了符号链接。
我读到的实现此目的的一种方法是仅在 -local 文件中包含附加要求,并插入语句以包含 -ac 文件。
我看到的问题是这样的: CIS 文档要求 system-auth 为 pam_cracklib.so 提供以下内容
password required pam_cracklib.so try_first_pass retry=3 minlen=14 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
默认情况下,system-auth-ac 会为 pam_cracklib.so 生成以下内容
password requisite pam_cracklib.so try_first_pass retry=3 type=
因此,如果我列出 -local 文件中的第一个字符串,然后有一行内容如下:
password include system-auth-ac
能否满足正确的密码要求?该文档还提到“确保它们出现在 pam_env.so 之后和 pam_deny.co 之前:
如果我使用包含并列出密码要求,它在逻辑上是否会落在这些要求之间?
任何对此的见解表示赞赏,