UtahJarhead Asked: 2018-12-15 14:07:28 +0800 CST2018-12-15 14:07:28 +0800 CST 2018-12-15 14:07:28 +0800 CST 密码历史限制写入 system-auth(-ac),而不是 password-auth(-ac)。为什么,当所有其他政策都写入两者时? 772 根据这个 STIG,密码历史被输入/etc/pam.d/system-auth,但不是/etc/pam.d/password-auth。其他策略(例如,帐户锁定)适用于这两个文件。 为什么两者都没有输入密码历史记录,或者这只是 STIG 中的拼写错误?(很难相信那一秒,但它确实发生了。) linux security 1 个回答 Voted Best Answer James Sneeringer 2018-12-15T14:32:04+08:002018-12-15T14:32:04+08:00 和文件不被任何进程或服务直接使用password-auth。system-auth相反,它们使用该include指令被拉入其他 PAM 配置文件。在默认安装中,唯一真正关心密码历史记录的是passwd命令。它有自己的 PAM 模块,它只引入system-auth: [root@rhel7 ~]# grep include /etc/pam.d/passwd auth include system-auth account include system-auth 建议对两者都进行帐户锁定,因为诸如sshd拉入password-auth之类的服务。在我现在正在查看的 RHEL 7 系统上,system-auth主要被拉入 PAM 文件,用于用户将直接与之交互的内容(登录名、密码更改su等sudo),而password-auth通过运行诸如sshd和之类的守护进程拉入crond。 如果需要,您可以将密码历史设置添加到pam_unix.soinpassword-auth以保持一致性。它不会伤害任何东西,但它也不会做任何有用的事情。
和文件不被任何进程或服务直接使用
password-auth。system-auth相反,它们使用该include指令被拉入其他 PAM 配置文件。在默认安装中,唯一真正关心密码历史记录的是passwd命令。它有自己的 PAM 模块,它只引入system-auth:建议对两者都进行帐户锁定,因为诸如
sshd拉入password-auth之类的服务。在我现在正在查看的 RHEL 7 系统上,system-auth主要被拉入 PAM 文件,用于用户将直接与之交互的内容(登录名、密码更改su等sudo),而password-auth通过运行诸如sshd和之类的守护进程拉入crond。如果需要,您可以将密码历史设置添加到
pam_unix.soinpassword-auth以保持一致性。它不会伤害任何东西,但它也不会做任何有用的事情。