Как затвердеть CoreOS

Question

Один из нашего эксперта по вопросам безопасности побежал сценарий обнаружения уязвимостей на CoreOS и нашел несколько рекомендаций (Обратите внимание, этот сценарий изначально проектируются используется с ОС Linux)

Некоторые из вопросов VA сообщенных инструментов, как показано ниже.

1. PASS_MAX_DAYS в /etc/login.defs должен быть установлен на 60
2. поле 5 из/и т.д./тень должна быть 90

CoreOS не позволяет мне редактировать/и т.д./Логин .defs как пользователь root. Файл доступен только для чтения для основных и корневых пользователей. Я знаю, что это нецелесообразно, поскольку CoreOS использует входной ключ ssh на основе ключа. Однако я хотел бы знать, есть ли другой способ редактировать эти файлы, поскольку мне нужно иметь дело с несколькими системными файлами, чтобы исправить больше проблем.

Нужно ли использовать инструмент cloud-init для редактирования этого файла? или есть ли другая альтернатива упрочнению CoreOS?

Answer 1

https://groups.google.com/forum/#!topic/coreos-user/87fluJrTuJE:

Эти типы файлов в/и т.д., на самом деле символические ссылки, указывающие на файлы в/USR. Это позволяет CoreOS обновлять их с помощью автоматических обновлений, но также дает вам возможность разорвать символические ссылки и привязать к ним настроенный файл. Вы можете увидеть это, указав в каталоге:

$ ls -la /etc/ | grep login 
lrwxrwxrwx. 1 root root   32 Nov 8 19:00 login.access -> ../usr/share/shadow/login.access 
lrwxrwxrwx. 1 root root   30 Nov 1 06:14 login.defs -> ../usr/share/shadow/login.defs 

Очевидно, отредактируйте их, только если вы знаете, что делаете. Вы должны иметь возможность сделать это облако-config/ignition, если вам нужно его автоматизировать.

Обе эти рекомендации связаны с паролями входа. Мы не рекомендуем использовать пароли вообще, и почти все настройки CoreOS Linux используют вместо них ключи ssh.