6.24. Shadow-4.8.1

Shadow pakken inneholder programmer for å håndtere passord på en sikker måte.

 

Omtrentlig byggetid: mindre enn 0.2 SBU

Nødvendig diskplass: 46 MB

6.24.1. Installasjon av Shadow

Hvis du vil håndheve bruken av sterke passord, kan du se http://www.linuxfromscratch.org/blfs/view/9.1/postlfs/cracklib.html for å installere CrackLib før du bygger Shadow. Legg deretter til --with-libcrack i konfigurasjonskommandoen nedenfor.

Deaktiver installasjonen av gruppeprogrammet og dets man sider, da Coreutils gir en bedre versjon. Hindre også installasjon av manuelle sider som allerede var installert i kapittel 6.8, “Man-sider-5.05”:

sed -i 's/groups$(EXEEXT) //' src/Makefile.in
find man -name Makefile.in -exec sed -i 's/groups\.1 / /' {} \;
find man -name Makefile.in -exec sed -i 's/getspnam\.3 / /' {} \;
find man -name Makefile.in -exec sed -i 's/passwd\.5 / /' {} \;

I stedet for å bruke standard kryptometode, bruk den sikrere SHA-512 metoden for passordskryptering, som også tillater passord som er lengre enn 8 tegn. Det er også nødvendig å endre den foreldede /var/spool/mail for brukerpostkasser som Shadow bruker som standard til /var/mail som brukes for øyeblikket:

sed -i -e 's@#ENCRYPT_METHOD DES@ENCRYPT_METHOD SHA512@' \
          -e 's@/var/spool/mail@/var/mail@' etc/login.defs

Hvis du valgte å bygge Shadow med Cracklib-støtte, kjører du følgende:

sed -i 's@DICTPATH.*@DICTPATH\t/lib/cracklib/pw_dict@' etc/login.defs

Gjør en mindre endring for å gjøre det første gruppenummeret generert av useradd til 1000:

sed -i 's/1000/999/' etc/useradd

Forbered Shadow for kompilering:

./configure --sysconfdir=/etc --with-group-name-max-length=32

Betydningen av konfigurasjonsalternativet:

--with-group-name-max-length=32
   Det maksimale brukernavnet er 32 tegn. Dette gjør det maksimale gruppenavnet til det samme.

Kompilere pakken:

make

Denne pakken kommer ikke med en testsuite.

Installer pakken:

make install

6.24.2. Konfigurere Shadow

Denne pakken inneholder verktøy for å legge til, endre og slette brukere og grupper; angi og endre passordene deres; og utføre andre administrative oppgaver. For en fullstendig forklaring av hva passordskygging betyr, se doc/HOWTO filen i det utpakkete kildetreet. Hvis du bruker Shadow støtte, må du huske at programmer som må bekrefte passord (skjermadministratorer, FTP-programmer, pop3-demoner, etc.) må være shadow kompatible. Det vil si at de må kunne jobbe med shadowed passord.

Kjør følgende kommando for å aktivere shadowed passord:

pwconv

For å aktivere shadowed gruppepassord, kjør:

grpconv

Shadows standardkonfigurasjon for useradd verktøyet har noen få advarsler som trenger litt forklaring. Først er standardhandlingen for useradd verktøyet å opprette brukeren og en gruppe med samme navn som brukeren. Som standard begynner brukerID nummeret (UID) og gruppeID nummeret (GID) med 1000. Dette betyr at hvis du ikke sender parametere til useradd, vil hver bruker være medlem av en unik gruppe på systemet. Hvis denne oppførselen er uønsket, må du overføre parameteren -g til useradd. Standardparametrene er lagret i filen /etc/default/useradd. Det kan hende du må endre to parametere i denne filen for å tilpasse til dine spesifikke behov.

/etc/default/useradd Parameter Forklaringer

GROUP=1000
   Denne parameteren setter begynnelsen på gruppenumre som er brukt i /etc/group filen. Du kan endre den til alt du ønsker. Merk at brukeren aldri vil bruke en UID eller GID på nytt. Hvis nummeret identifisert i denne parameteren brukes, vil det bruke neste tilgjengelige nummer etter dette. Merk også at hvis du ikke har en gruppe 1000 på systemet første gang du bruker useradd uten parameteren -g, vil du få en melding vist på terminalen som sier: useradd: unknown GID 1000. Du kan se bort fra dette melding og gruppe nummer 1000 vil bli brukt.

CREATE_MAIL_SPOOL=yes
   Denne parameteren får useradd til å opprette en postboksfil for den nyopprettede brukeren. useradd vil gjøre gruppeeierskap til denne filen til postgruppen med 0660 tillatelser. Hvis du foretrekker at disse postkassefilene ikke blir opprettet av useradd, kan du utgi følgende kommando:

sed -i 's/yes/no/' /etc/default/useradd

6.24.3. Angi root passordet

Velg et passord for brukeren root og sett det ved å kjøre:

passwd root

6.24.4. Innholdet i Shadow

Installerte programmer: chage, chfn, chgpasswd, chpasswd, chsh, expiry, faillog, gpasswd, groupadd, groupdel, groupmems, groupmod, grpck, grpconv, grpunconv, lastlog, login, logoutd, newgidmap, newgrp, newuidmap, newusers, nologin, passwd, pwck, pwconv, pwunconv, sg (lenke til newgrp), su, useradd, userdel, usermod, vigr (lenke til vipw), og vipw

Installert mappe: /etc/default

 

Kort beskrivelse

chage - Brukes til å endre maksimalt antall dager mellom obligatoriske passordendringer

chfn - Brukes til å endre brukerens fulle navn og annen informasjon

chgpasswd - Brukes til å oppdatere passord i batchmodus

chpasswd - Brukes til å oppdatere brukerpassord i batchmodus

chsh - Brukes til å endre en brukers standard påloggingsskall

expiry - Kontrollerer og håndhever gjeldende policy for utløp av passord

faillog - Brukes til å undersøke loggen over påloggingsfeil, til å angi et maksimalt antall feil før en konto blir sperret, eller for å tilbakestille antallet feil

gpasswd - Brukes til å legge til og slette medlemmer og administratorer i grupper

groupadd - Oppretter en gruppe med det gitte navnet

groupdel - Sletter gruppen med det gitte navnet

groupmems - Lar en bruker administrere sin egen gruppemedlemskapsliste uten krav om superbrukerrettigheter.

groupmod - Brukes til å endre den gitte gruppens navn eller GID

grpck - Bekrefter integriteten til gruppefilene /etc/group og /etc/gshadow

grpconv - Oppretter eller oppdaterer shadow gruppefilen fra den normale gruppefilen

grpunconv - Oppdateringer /etc/group fra /etc/gshadow og sletter deretter sistnevnte

lastlog - Rapporterer den nyeste påloggingen til alle brukere eller en gitt bruker

login - Brukes av systemet for å la brukere logge seg på

logoutd - Er en nisse som brukes til å håndheve begrensninger på påloggingstid og porter

newgidmap - Brukes til å angi gid kartlegging av et brukernavnsområde

newgrp - Brukes til å endre gjeldende GID under en påloggingsøkt

newuidmap - Brukes til å angi uid kartlegging av et brukernavnsområde

newusers - Brukes til å opprette eller oppdatere en hel serie med brukerkontoer

nologin - Viser en melding om at en konto ikke er tilgjengelig; den er designet for å brukes som standardskall for kontoer som er deaktivert

passwd - Brukes til å endre passord for en bruker- eller gruppekonto

pwck - Bekrefter integriteten til passordfilene /etc/passwd og /etc/shadow

pwconv - Oppretter eller oppdaterer shadow passordfilen fra den vanlige passordfilen

pwunconv - Oppdateringer /etc/passwd fra /etc/shadow og sletter deretter sistnevnte

sg - Utfører en gitt kommando mens brukerens GID er satt til den for den gitte gruppen

su - Kjører et skall med erstatningsbruker- og gruppe-IDer

useradd - Oppretter en ny bruker med det gitte navnet, eller oppdaterer standardinformasjonen for ny bruker

userdel - Sletter den gitte brukerkontoen

usermod - Brukes til å endre den gitte brukerens påloggingsnavn, brukeridentifikasjon (UID), skall, startgruppe, hjemmekatalog, etc.

vigr - Redigerer /etc/group eller /etc/gshadow filene

vipw - Redigerer /etc/passwd eller /etc/shadow filene

Forrige Hjem Neste

Revision #4
Created Sun, Aug 16, 2020 7:29 PM by Gusse500
Updated Mon, Sep 7, 2020 8:56 PM by Gusse500