我首先想说“谢谢!” 感谢我通过阅读本网站上的文章获得的所有支持——对于戴上系统管理员帽子的网络开发人员来说,这是一个主要的好处......
我们目前正在努力使我们的 Web 服务器符合 PCI 标准,并且一直在通过CVE-2015-8325 使用 TrustWave。我们使用 OpenSSH 的反向移植版本。
CentOS release 6.8 (Final)
3.2.69-82.art.x86_64
openssh-5.3p1-118.1.el6_8.x86_64
他们要求的最后一件事是:“我们需要确认 user_readenv 在此系统的 pam_env 模块中已关闭。”
我正在寻找一种从 shell 确认这一点的方法,但我正在删除 - 根据在线搜索,默认情况下该设置被禁用,但我找不到确认它的方法。
如果我运行:
sshd -T
从 shell 中,它的输出包含以下两行:
usepam no
uselogin no
我试图确定这是否是我可以用来让他们得到他们所要求的唯一技术,或者是否有一个配置文件专门说明“user_readenv = 0”或类似的东西。
感谢您抽出宝贵时间,如果您需要更多信息,请告诉我。
=== 更新 ===
我向 TrustWave 提供了上述信息,他们已批准该争议。如果有另一种方法可以确认 pam_env 模块的 user_readenv 已关闭,我仍然很感兴趣 - 但如果没有出现任何问题 - 我只会将上述内容标记为答案 - 谢谢。
如果您要使用 PAM,请将以下内容提交给 Trustwave 以对CVE-2015-8325 提出异议:
然后 Trustwave 需要证明 PAM 配置为不读取用户主目录中的 .pam_environment 文件:
添加这些行让他们接受您的争议。
从终端运行 sshd -T(扩展测试模式)应该会输出 SSH 当前已配置的许多不同配置 - 在我的情况下,我能够找到“usepam no”和“uselogin no”,结果证明这是足够的信息TrustWave 接受我们的争议。我不确定是否存在更好的方法来证明这一点,但是,这似乎解决了我的问题。