我首先想说“谢谢你!” 对于通过阅读本网站上的文章所获得的所有支持,这是Web开发人员戴上系统pipe理员帽子的主要好处…
目前,我们正在努力使我们的Web服务器PCI兼容,并且已经通过CVE-2015-8325与TrustWave进行了反复 。 我们使用一个后端的OpenSSH版本。
CentOS release 6.8 (Final) 3.2.69-82.art.x86_64 openssh-5.3p1-118.1.el6_8.x86_64 他们要求的最后一件事情是:“我们需要确认在这个系统上的pam_env模块中user_readenv是closures的。”
我正在寻找一种方法来确认这个从shell,但我罢工 – 在网上search看起来像设置是默认禁用,但我无法find一种方法来确认它。
如果我运行:
sshd -T
从shell中,其输出包含以下两行:
usepam no uselogin no
我试图确定这是否是唯一的技术,我可以用来让他们所要求的,或者是否有一个configuration文件的地方明确指出“user_readenv = 0”或类似的东西。
感谢您的时间,如果您需要更多信息,请告诉我们。
===更新===
我向TrustWave提供了上述信息,并且已经批准了这个争议。 我仍然有兴趣,如果有另一种方式来确认user_readenvclosurespam_env模块 – 但如果没有出现 – 我只是将上述标记为答案 – 谢谢。
如果您要使用PAM,请将以下内容提交给Trustwave以解决CVE-2015-8325 :
sshd -T usepam yes uselogin no
然后,Trustwave要求certificatePAM已configuration为不读取用户主目录中的.pam_environment文件:
grep READENV /etc/security/pam_env.conf READENV DEFAULT=0 USER_READENV DEFAULT=0
添加这些行让他们接受你的争议。
从terminal运行sshd -T(扩展testing模式)应输出许多不同的SSHconfigurationconfiguration – 在我的情况下,我能够find“usepam no”和“uselogin no”,这些信息足以说明TrustWave接受我们的争议。 我不确定是否有更好的方法来certificate这一点,但是,这看起来已经解决了我的问题。