CIS 표준에 따라 CentOS 6.7 VM을 강화하고 있습니다.
https://benchmarks.cisecurity.org/tools2/linux/CIS_CentOS_Linux_6_Benchmark_v1.1.0.pdf
위는 이미지를 향상시키는 데 사용한 문서입니다. 나는 133-135페이지의 6.3.2와 6.3.3을 작업하고 있습니다.
제 질문은 CIS를 준수하도록 비밀번호 인증 및 시스템 인증 파일을 어떻게 관리합니까?입니다.
지금까지 나는 다음을 읽고 구현했습니다.
비밀번호-auth-ac 및 system-auth-ac 파일을 복사하고 이름을 -local로 지정했습니다. -local 파일과 표준 파일 사이의 심볼릭 링크를 다시 만들었습니다.
이를 달성하기 위해 제가 읽은 한 가지 방법은 -local 파일에 추가 요구 사항을 포함하고 -ac 파일을 포함하는 명령문을 삽입하는 것입니다.
내가 보는 문제는 다음과 같습니다. CIS 문서에서는 pam_cracklib.so에 대해 다음을 제공하기 위해 system-auth가 필요합니다.
password required pam_cracklib.so try_first_pass retry=3 minlen=14 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
기본적으로 system-auth-ac는 pam_cracklib.so에 대해 다음을 생성합니다.
password requisite pam_cracklib.so try_first_pass retry=3 type=
따라서 -local 파일의 첫 번째 문자열을 나열하면 다음과 같은 줄이 있습니다.
password include system-auth-ac
올바른 비밀번호 요구사항이 충족되었나요? 문서에는 "pam_env.so 뒤와 pam_deny.co 앞에 나타나는지 확인하십시오.
포함 및 목록 비밀번호 요구 사항을 사용하는 경우 논리적으로 이러한 요구 사항 사이에 속합니까?
이에 대한 통찰력을 높이 평가합니다.