~によるとこのSTIG、パスワード履歴が入力されましたが入力されて/etc/pam.d/system-auth
いません/etc/pam.d/password-auth
。以下のその他の方針ロックされたアカウント両方のファイルに適用されます。
パスワード履歴が両方に入力されないのはなぜですか?それともSTIGのタイプミスですか? (その瞬間を信じるのは難しいですが、そのようなことが起こりました。)
答え1
password-auth
ファイルはsystem-auth
プロセスやサービスによって直接使用されません。代わりに、このディレクティブを使用して別のPAM設定ファイルにドラッグしますinclude
。基本的なインストールでは、パスワードの記録に本当に興味を持っている唯一のものはpasswd
コマンドです。独自のPAMモジュールがあり、次のもののみをインポートしますsystem-auth
。
[root@rhel7 ~]# grep include /etc/pam.d/passwd
auth include system-auth
account include system-auth
sshd
プルインなどのサービスのため、両方のアカウントにアカウントロックを設定することをお勧めしますpassword-auth
。今見ているRHEL 7システムでは、主にPAMファイルにインポートされたものは、ユーザーが直接対話するもの(ログイン、パスワードの変更など)system-auth
に使用され、次のデーモンを実行してインポートされます。そして。su
sudo
password-auth
sshd
crond
必要に応じて、pam_unix.so
一貫性のためにパスワード履歴設定をに追加できます。password-auth
害はありませんが、役に立つことはありません。