Início / unix / Perguntas / 488069
Accepted
UtahJarhead
Asked: 2018-12-15 14:07:28 +0800 CST

As restrições do histórico de senhas são gravadas em system-auth(-ac), mas não em password-auth(-ac). Por que, quando todas as outras políticas são escritas para ambos?

  • 772

De acordo com este STIG , o histórico de senhas é inserido /etc/pam.d/system-auth, mas não /etc/pam.d/password-auth. Outras políticas, por exemplo, bloqueios de conta são aplicadas a ambos os arquivos.

Por que o histórico de senhas não é inserido em ambos ou é apenas um erro de digitação no STIG? (Difícil de acreditar nesse segundo, mas acontece.)

linux security

1 respostas

  1. Best Answer

    Os arquivos password-authe system-authnão são usados ​​diretamente por nenhum processo ou serviço. Em vez disso, eles são inseridos em outros arquivos de configuração do PAM usando a includediretiva. A única coisa que realmente se importa com o histórico de senhas em uma instalação padrão é o passwdcomando. Ele tem seu próprio módulo PAM e só puxa system-auth:

    [root@rhel7 ~]# grep include /etc/pam.d/passwd
auth       include      system-auth
account    include      system-auth

    Bloqueios de conta são recomendados para ambos porque serviços como sshdpull-in password-auth. No sistema RHEL 7 que estou vendo agora, system-authé principalmente puxado para arquivos PAM para coisas com as quais o usuário interagiria diretamente (login, alterações de senha sue sudoetc.), enquanto password-authé puxado pela execução de daemons como sshde crond.

    pam_unix.soVocê pode adicionar a configuração do histórico de senhas password-authpara consistência, se desejar. Não vai prejudicar nada, mas também não fará nada de útil.

    • 3

relate perguntas