pam_faillock が有効になっているにもかかわらず、セキュリティースキャナーが検出結果を表示する
Issue
-
Nessus や OpenSCAP などのセキュリティースキャナーは、
pam_faillockを非準拠としてフラグ付けします。- V-244533
- V-244534
-
製品ドキュメント (4.1.2.アカウントのロック) に従って、
pam_faillockモジュールが/etc/pam.d/password-authおよびsystem-authの 2 行目と 4 行目に追加しています。1 auth required pam_env.so 2 auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 3 auth sufficient pam_unix.so nullok try_first_pass 4 auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600 5 auth requisite pam_succeed_if.so uid >= 1000 quiet_success 6 auth required pam_deny.so
Environment
- Red Hat Enterprise Linux 8
- Red Hat Enterprise Linux 9
- Pluggable Authentication Modules (PAM)
- faillock / pam_faillock
Subscriber exclusive content
A Red Hat subscription provides unlimited access to our knowledgebase, tools, and much more.
