Eu estou endurecendo um VM CentOS 6.7 para os padrões CIS.
O acima é o documento que estou usando para endurecer a imagem. Eu estou trabalhando em 6.3.2 e 6.3.3 na página 133-135.
A minha pergunta é: como gerencio os arquivos password-auth e system-auth para que eles estejam em conformidade com as especificações do CIS?
Até agora, li e implementei o seguinte:
Copiei os arquivos password-auth-ac e system-auth-ac e os nomeei -local. Eu criei links simbólicos entre os arquivos locais e seus correspondentes padrão.
Uma maneira que eu li para conseguir isso foi incluir apenas os requisitos adicionais nos arquivos -local e inserir instruções para incluir os arquivos -ac.
O problema que vejo com isso é o seguinte: O documento do CIS exige que o system-auth tenha o seguinte para pam_cracklib.so
password required pam_cracklib.so try_first_pass retry=3 minlen=14 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
por padrão, o system-auth-ac gera o seguinte para o pam_cracklib.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
então, se eu listar a primeira string no meu arquivo -local e, em seguida, tiver uma linha que diz:
password include system-auth-ac
os requisitos de senha corretos serão atendidos? O documento também menciona "Certifique-se de que eles apareçam depois de pam_env.so e antes de pam_deny.co:
Se eu usar includes e listar um requisito de senha, ele ficará logicamente entre eles?
Qualquer ideia sobre isso é apreciada,