Сначала я хотел сказать "спасибо!" за всю поддержку, которую я получил, прочитав статьи на этом сайте - главное преимущество для веб-разработчика, надевшего шляпу системного администратора ...
В настоящее время мы работаем над тем, чтобы наш веб-сервер стал совместимым с PCI, и мы постоянно работаем над TrustWave. CVE-2015-8325. Мы используем версию OpenSSH с обратным переносом.
CentOS release 6.8 (Final)
3.2.69-82.art.x86_64
openssh-5.3p1-118.1.el6_8.x86_64
И последнее, что они просят: «Нам требуется подтверждение, что user_readenv выключен в модуле pam_env в этой системе».
Я ищу способ подтвердить это из оболочки, но вычеркиваю - при поиске в Интернете похоже, что эта настройка отключена по умолчанию, но я не могу найти способ подтвердить это.
Если я бегу:
sshd -T
из оболочки его вывод содержит две следующие строки:
usepam no
uselogin no
Я пытаюсь определить, является ли это единственным методом, который я могу использовать, чтобы получить от них то, о чем они просят, или есть где-то файл конфигурации, в котором конкретно указано «user_readenv = 0» или что-то подобное.
Спасибо за ваше время и дайте мне знать, если вам понадобится дополнительная информация.
=== Обновление ===
Я предоставил TrustWave указанную выше информацию, и они одобрили спор. Мне все еще интересно, есть ли другой способ подтвердить, что user_readenv отключен для модуля pam_env, но если ничего не появится - я просто отмечу приведенное выше как ответ - Спасибо.
Если вы должны были использовать PAM и отправить следующее в Trustwave для оспаривания CVE-2015-8325:
sshd -T
usepam yes
uselogin no
Затем Trustwave требует доказательства того, что PAM настроен так, чтобы не читать файлы .pam_environment в домашних каталогах пользователей:
grep READENV /etc/security/pam_env.conf
READENV DEFAULT=0
USER_READENV DEFAULT=0
Добавьте эти строки, чтобы они приняли ваш спор.
Запуск sshd -T (расширенный тестовый режим) из терминала должен вывести многие из различных конфигураций, которые в настоящее время настроен SSH - в моем случае я смог найти «usepam no» и «uselogin no», которых оказалось достаточно для TrustWave принимает наш спор. Я не уверен, существует ли лучший метод, чтобы доказать это, однако, похоже, это решило мою проблему.