パスワード記録の制限はsystem-auth(-ac)には記録されますが、パスワード-auth(-ac)には記録されません。他のすべての方針が両方に記録されているのはなぜですか?

パスワード記録の制限はsystem-auth(-ac)には記録されますが、パスワード-auth(-ac)には記録されません。他のすべての方針が両方に記録されているのはなぜですか?

~によるとこのSTIG、パスワード履歴が入力されましたが入力されて/etc/pam.d/system-authいません/etc/pam.d/password-auth。以下のその他の方針ロックされたアカウント両方のファイルに適用されます。

パスワード履歴が両方に入力されないのはなぜですか?それともSTIGのタイプミスですか? (その瞬間を信じるのは難しいですが、そのようなことが起こりました。)

答え1

password-authファイルはsystem-authプロセスやサービスによって直接使用されません。代わりに、このディレクティブを使用して別のPAM設定ファイルにドラッグしますinclude。基本的なインストールでは、パスワードの記録に本当に興味を持っている唯一のものはpasswdコマンドです。独自のPAMモジュールがあり、次のもののみをインポートしますsystem-auth

[root@rhel7 ~]# grep include /etc/pam.d/passwd
auth       include      system-auth
account    include      system-auth

sshdプルインなどのサービスのため、両方のアカウントにアカウントロックを設定することをお勧めしますpassword-auth。今見ているRHEL 7システムでは、主にPAMファイルにインポートされたものは、ユーザーが直接対話するもの(ログイン、パスワードの変更など)system-authに使用され、次のデーモンを実行してインポートされます。そして。susudopassword-authsshdcrond

必要に応じて、pam_unix.so一貫性のためにパスワード履歴設定をに追加できます。password-auth害はありませんが、役に立つことはありません。

関連情報