CIS標準に従ってCentOS 6.7 VMを強化しています。
https://benchmarks.cisecurity.org/tools2/linux/CIS_CentOS_Linux_6_Benchmark_v1.1.0.pdf
上記は画像を改善するために使用した文書です。私は133-135ページの6.3.2と6.3.3を扱っています。
私の質問は、CISに準拠するためにパスワード認証とシステム認証ファイルをどのように管理しますか?
これまで、私は以下を読んで実装しました。
パスワード-auth-acファイルとsystem-auth-acファイルをコピーし、名前を-localに指定しました。 -local ファイルと標準ファイルの間のシンボリックリンクを再作成しました。
これを達成するために私が読んだ1つの方法は、-localファイルに追加の要件を含め、-acファイルを含むステートメントを挿入することです。
私が見る問題は次のとおりです。 CIS ドキュメントでは、 pam_cracklib.so に以下を提供するために system-auth が必要です。
password required pam_cracklib.so try_first_pass retry=3 minlen=14 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
デフォルトでは、system-auth-ac は pam_cracklib.so に対して以下を生成します。
password requisite pam_cracklib.so try_first_pass retry=3 type=
したがって、-localファイルの最初の文字列をリストすると、次のような行があります。
password include system-auth-ac
正しいパスワード要件が満たされましたか?ドキュメントには、「pam_env.soの後とpam_deny.coの前に表示されることを確認してください。
インクルードとリストのパスワード要件を使用する場合、これらの要件の間に論理的に属していますか?
これに対する洞察を高く評価します。