CoreOS

Question

を強化するためにどのように私たちのセキュリティの専門家の一つは、以下のようなツールによって報告されたVAの問題のいくつか（このスクリプトは、最初のLinux OSで使用するように設計されることに注意してください）

をCoreOS上の脆弱性検出スクリプトを実行し、いくつかの提言を発見しました。 /etc/login.defsで

1. PASS_MAX_DAYSが60
2. フィールドの/ etcの5に設定する必要があります/影は、/ etc /ログイン90

CoreOSは私が編集することはできませんでなければなりません.defsをrootユーザーとして追加します。このファイルは、コアユーザーおよびルートユーザーに対して読み取り専用です。私は、CoreOSがsshキーベースのログインを使用するので、これが無駄であることを知っています。しかし、私はいくつかのシステムファイルを処理して、より多くの問題を解決する必要があるので、このファイルを編集する他の方法があるかどうかを知りたいと思います。

このファイルを変更するには、cloud-initツールを使用する必要がありますか？ CoreOSを強化するための他の方法がありますか？

Answer 1

https://groups.google.com/forum/#!topic/coreos-user/87fluJrTuJE：

の/ etc内のファイルのこれらのタイプは、実際には/ usr内のファイルを指すシンボリックリンクです。これにより、CoreOSは自動更新を介してCoreOSを更新することができますが、シンボリックリンクを解除してカスタマイズされたファイルをその場所に貼り付けることもできます。

$ ls -la /etc/ | grep login 
lrwxrwxrwx. 1 root root   32 Nov 8 19:00 login.access -> ../usr/share/shadow/login.access 
lrwxrwxrwx. 1 root root   30 Nov 1 06:14 login.defs -> ../usr/share/shadow/login.defs 

明らかに、あなたが何をしているのか分かっている場合にのみ、これらを編集してください。自動化が必要な場合は、このcloud-config/ignitionを実行できるはずです。

これらの推奨事項の両方は、ログインパスワードと関係があります。パスワードはまったく使用しないことをお勧めします。ほとんどすべてのCoreOS Linuxセットアップでは、代わりにsshキーを使用します。