如何使CoreOS变硬

Question

我们的一位安全专家已经在CoreOS上运行了漏洞检测脚本，并发现了一些建议(注意，这个脚本最初是与Linux一起设计的)

按工具报告的一些VA问题如下。

1. 必须将/etc/login.defs中的PASS_MAX_DAYS设置为60
2. /etc/阴影的字段5必须为90

CoreOS不允许我作为根用户编辑/etc/login.defs。该文件是只读的核心用户和根用户。我知道这是徒劳的，因为CoreOS使用基于ssh键的登录。然而，我想知道是否有任何其他方式来编辑这些文件，因为我需要处理几个系统文件来解决更多的问题。

我需要使用云init工具来修改这个文件吗？或者，除了硬化CoreOS，还有其他选择吗？

Answer 1

https://groups.google.com/forum/#!topic/coreos-user/87fluJrTuJE

/etc中的这些类型的文件实际上是指向/usr中文件的符号链接。这允许CoreOS通过自动更新更新它们，但也使您能够打破符号链接，并将一个定制的文件放在它的位置。您可以通过列出目录来看到这一点：

$ ls -la /etc/ | grep login
lrwxrwxrwx.  1 root root         32 Nov  8 19:00 login.access -> ../usr/share/shadow/login.access
lrwxrwxrwx.  1 root root         30 Nov  1 06:14 login.defs -> ../usr/share/shadow/login.defs

显然，只有当你知道你在做什么的时候，才能编辑这些。如果您需要将其自动化，那么您应该能够进行云配置/点火。

这两项建议都与登录密码有关。我们不建议您使用密码，几乎所有的CoreOS安装程序都使用ssh。