Como configurar arquivos de configuração pam.d no CentOS

1

Eu estou endurecendo um VM CentOS 6.7 para os padrões CIS.

link

O acima é o documento que estou usando para endurecer a imagem. Eu estou trabalhando em 6.3.2 e 6.3.3 na página 133-135.

A minha pergunta é: como gerencio os arquivos password-auth e system-auth para que eles estejam em conformidade com as especificações do CIS?

Até agora, li e implementei o seguinte:

Copiei os arquivos password-auth-ac e system-auth-ac e os nomeei -local. Eu criei links simbólicos entre os arquivos locais e seus correspondentes padrão.

Uma maneira que eu li para conseguir isso foi incluir apenas os requisitos adicionais nos arquivos -local e inserir instruções para incluir os arquivos -ac.

O problema que vejo com isso é o seguinte: O documento do CIS exige que o system-auth tenha o seguinte para pam_cracklib.so

password required pam_cracklib.so try_first_pass retry=3 minlen=14 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1

por padrão, o system-auth-ac gera o seguinte para o pam_cracklib.so

password requisite pam_cracklib.so try_first_pass retry=3 type=

então, se eu listar a primeira string no meu arquivo -local e, em seguida, tiver uma linha que diz:

password include system-auth-ac

os requisitos de senha corretos serão atendidos? O documento também menciona "Certifique-se de que eles apareçam depois de pam_env.so e antes de pam_deny.co:

Se eu usar includes e listar um requisito de senha, ele ficará logicamente entre eles?

Qualquer ideia sobre isso é apreciada,

    
por JaReg 30.10.2015 / 19:20

0 respostas

Tags