Назад | Перейти на главную страницу

Убедитесь, что user_readenv выключен в модуле pam_env

Сначала я хотел сказать "спасибо!" за всю поддержку, которую я получил, прочитав статьи на этом сайте - главное преимущество для веб-разработчика, надевшего шляпу системного администратора ...

В настоящее время мы работаем над тем, чтобы наш веб-сервер стал совместимым с PCI, и мы постоянно работаем над TrustWave. CVE-2015-8325. Мы используем версию OpenSSH с обратным переносом.

CentOS release 6.8 (Final)
3.2.69-82.art.x86_64
openssh-5.3p1-118.1.el6_8.x86_64

И последнее, что они просят: «Нам требуется подтверждение, что user_readenv выключен в модуле pam_env в этой системе».

Я ищу способ подтвердить это из оболочки, но вычеркиваю - при поиске в Интернете похоже, что эта настройка отключена по умолчанию, но я не могу найти способ подтвердить это.

Если я бегу:

sshd -T

из оболочки его вывод содержит две следующие строки:

usepam no
uselogin no

Я пытаюсь определить, является ли это единственным методом, который я могу использовать, чтобы получить от них то, о чем они просят, или есть где-то файл конфигурации, в котором конкретно указано «user_readenv = 0» или что-то подобное.

Спасибо за ваше время и дайте мне знать, если вам понадобится дополнительная информация.

=== Обновление ===

Я предоставил TrustWave указанную выше информацию, и они одобрили спор. Мне все еще интересно, есть ли другой способ подтвердить, что user_readenv отключен для модуля pam_env, но если ничего не появится - я просто отмечу приведенное выше как ответ - Спасибо.

Если вы должны были использовать PAM и отправить следующее в Trustwave для оспаривания CVE-2015-8325:

sshd -T  
usepam yes  
uselogin no  

Затем Trustwave требует доказательства того, что PAM настроен так, чтобы не читать файлы .pam_environment в домашних каталогах пользователей:

grep READENV /etc/security/pam_env.conf  
READENV         DEFAULT=0  
USER_READENV    DEFAULT=0  

Добавьте эти строки, чтобы они приняли ваш спор.

Запуск sshd -T (расширенный тестовый режим) из терминала должен вывести многие из различных конфигураций, которые в настоящее время настроен SSH - в моем случае я смог найти «usepam no» и «uselogin no», которых оказалось достаточно для TrustWave принимает наш спор. Я не уверен, существует ли лучший метод, чтобы доказать это, однако, похоже, это решило мою проблему.