Shadow 包含用于在安全方式下处理密码的程序。
预计编译时间:0.3 SBU
所需磁盘空间:18.6 MB
6.50.1. 安装 Shadow
注意:如果你打算强制使用高强度密码,请参考 http://www.linuxfromscratch.org/blfs/view/svn/postlfs/cracklib.html 以获得如何在安装 Shadow 之前先安装 Cracklib 的指导。然后在下面的 configure 命令中加入 --with-libcrack 项。
- 为编译 Shadow 做准备:
./configure --libdir=/lib --enable-shared --without-selinux - 配置选项的含义:
--without-selinux:selinux 的支持默认是打开的,但是 selinux 不包含在 LFS 基本系统中。如果这个选项不设置, configure 脚本会报错。
- 禁止安装 groups 程序和它的手册,Coreutils 软件包提供了一个更好的版本:
sed -i 's/groups$(EXEEXT) //' src/Makefile find man -name Makefile -exec sed -i '/groups/d' {} \; - 禁止安装中文和韩文的手册页,因为Man-DB不能很好的格式化它们:
sed -i -e 's/ ko//' -e 's/ zh_CN zh_TW//' man/Makefile - Shadow 支持在 UTF-8 编码环境下的其他编码的手册。Man-DB 可以通过我们安装的 convert-mans 脚本来转换并显示它们。
for i in de es fi fr id it pt_BR; do convert-mans UTF-8 ISO-8859-1 man/${i}/*.? done for i in cs hu pl; do convert-mans UTF-8 ISO-8859-2 man/${i}/*.? done convert-mans UTF-8 EUC-JP man/ja/*.? convert-mans UTF-8 KOI8-R man/ru/*.? convert-mans UTF-8 ISO-8859-9 man/tr/*.? - 编译软件包:
make - 这个软件包没有附带测试程序。
- 安装软件包:
make install - Shadow 使用两个文件来设置系统的身份认证。下面安装这两个设置文件:
cp -v etc/{limits,login.access} /etc - 不使用默认的 crypt 加密方法, 而使用更为安全的 MD5 对密码进行加密, 并且它同样允许密码长于 8 个字符。同时将用户邮箱位置从过时的 /var/spool/mail 修改到 /var/mail 是也有必要的(Shadow 普遍默认使用这个位置)。这两件事都可以通过在将相应的配置文件复制至目标位置之前,对其进行更改来达到:
sed -e's@#MD5_CRYPT_ENAB.no@MD5_CRYPT_ENAB yes@' - e 's@/var/spool/mail@/var/mail@' etc/login.defs > /etc/login.defs注意:如果你在编译 Shadow 时启用了 Cracklib 支持,请在下面的 sed 命令中插入:
sed -i 's@DICTPATH.*@DICTPATH\t/lib/cracklib/pw_dict@' /etc/login.defs - 移动一些放错位置的符号连结或程序到正确位置:
mv -v /usr/bin/passwd /bin - 移动 Shadow 的动态库到一个更为合适的地方:
mv -v /lib/libshadow.*a /usr/lib rm -v /lib/libshadow.so ln -sfv ../../lib/libshadow.so.0 /usr/lib/libshadow.so - useradd 程序的 -D 选项要求存在 /etc/default 目录以便程序能够正常工作:
mkdir -v /etc/default
6.50.2. 配置 Shadow
这个软件包中含有用来增加、修改和删除用户或组、设置和更改他们的密码、和执行其他管理任务的工具。为了获得对 password shadowing (影子密码) 的完全解释,请参见 doc/HOWTO 文件,它在解包后的源码目录树中。假如要使用 Shadow 支持,请注意那些需要对密码进行校验的程序(如显示管理器、FTP 程序、pop3进程等)必须兼容 Shadow 。也就是说,他们需要能够与影子密码一起工作。
- 为了使用影子密码,运行以下指令:
pwconv - 为使用组影子密码,运行:
grpconv
6.50.3. Setting the root password
通过运行以下命令来设置 root 用户的密码:passwd root
6.50.4. Shadow 的内容
- 安装的程序:
- chage, chfn, chgpasswd, chpasswd, chsh, expiry, faillog, gpasswd, groupadd, groupdel, groupmod, grpck, grpconv, grpunconv, lastlog, login, logoutd, newgrp, newusers, nologin, passwd, pwck, pwconv, pwunconv, sg(→newgrp), su, useradd, userdel, usermod, vigr(→vipw), vipw
- 安装的库:
- libshadow.{a,so}
- 简要描述:
- chage:用于设置必须对密码进行更改的最大间隔天数
- chfn:用于对用户的全名及其他信息进行修改
- chgpasswd:用于对一整个系列的组账号密码进行更新
- chpasswd:用于对一整个系列的用户账号密码进行更新
- chsh:用于更改一个用户的默认的登录 shell
- expiry:检查并加强当前的密码过期策略
- faillog:用于检查记录登录失败的日志,或是设置账户在被锁定前最大的登录失败次数,亦可用于重置登录失败的次数。
- gpasswd:用来增加和删除组中的成员和管理员
- groupadd:用指定的名称建一个组
- groupdel:删除指定名称的组
- groupmod:用来修改所指定组的名称或 GID
- grpck:校验组文件 /etc/group 和 /etc/gshadow 的完整性
- grpconv:从正常组文件中创建或更新一影子组文件
- grpunconv:从 /etc/gshadow 更新 /etc/group 并将前者删除
- lastlog:报告最近的所有用户的登录或是所指定用户的登录
- login:被系统用来允许用户进行登录
- logoutd:一个后台程序,用来加强对登录时间和端口进行限制
- newgrp:用来在登录会话期间对当前的 GID 进行修改
- newusers:用来对一整个系列的用户账户进行创建或更新
- nologin:显示一个账户不可用的信息,被设计用来作为那些不准登录的账户的默认 shell。
- passwd:用来对一个用户或组账户进行密码修改
- pwck:校验密码文件 /etc/passwd 和 /etc/shadow 的完整性
- pwconv:从一个正常的密码文件中创建或更新一影子密码文件
- pwunconv:从 /etc/shadow 更新 /etc/passwd 并删除前者
- sg:当一个用户的 GID 被设置到所给的组时执行所指定的命令
- su:用另一个用户和组ID来运行一个 shell
- useradd:用所给名称建立一个新的用户或更新默认新用户的信息
- userdel:删除所指定的用户账户
- usermod:用来更改所给用户的登录名、用户标识(UID)、shell、最初组、主目录等
- vigr:编辑 /etc/group 或 /etc/gshadow 文件
- vipw:编辑 /etc/passwd 或 /etc/shadow 文件
- libshadow:包含了本包中大部分程序所用到的函数