6.50. Shadow-4.0.15

Shadow 包含用于在安全方式下处理密码的程序。

预计编译时间: 0.3 SBU
所需磁盘空间: 18.6 MB

6.50.1. 安装 Shadow

[Note]

注意

如果你打算强制使用高强度密码,请参考 http://www.linuxfromscratch.org/blfs/view/svn/postlfs/cracklib.html 以获得如何在安装 Shadow 之前先安装 Cracklib 的指导。然后在下面的 configure 命令中加入 --with-libcrack 项。

为编译 Shadow 做准备:

./configure --libdir=/lib --enable-shared --without-selinux

配置选项的含义:

--without-selinux

selinux 的支持默认是打开的,但是 selinux 不包含在 LFS 基本系统中。如果这个选项不设置, configure 脚本会报错。

禁止安装 groups 程序和它的手册,Coreutils 软件包提供了一个更好的版本:

sed -i 's/groups$(EXEEXT) //' src/Makefile
find man -name Makefile -exec sed -i '/groups/d' {} \;

禁止安装中文和韩文的手册页,因为Man-DB不能很好的格式化它们:

sed -i -e 's/ ko//' -e 's/ zh_CN zh_TW//' man/Makefile

Shadow 支持在 UTF-8 编码环境下的其他编码的手册。Man-DB 可以通过我们安装的 convert-mans 脚本来转换并显示它们。

 for i in de es fi fr id it pt_BR; do
    convert-mans UTF-8 ISO-8859-1 man/${i}/*.?
done

for i in cs hu pl; do
    convert-mans UTF-8 ISO-8859-2 man/${i}/*.?
done

convert-mans UTF-8 EUC-JP man/ja/*.?
convert-mans UTF-8 KOI8-R man/ru/*.?
convert-mans UTF-8 ISO-8859-9 man/tr/*.?

编译软件包:

make

这个软件包没有附带测试程序。

安装软件包:

make install

Shadow 使用两个文件来设置系统的身份认证。下面安装这两个设置文件:

cp -v etc/{limits,login.access} /etc

不使用默认的 crypt 加密方法, 而使用更为安全的 MD5 对密码进行加密, 并且它同样允许密码长于 8 个字符。同时将用户邮箱位置从过时的 /var/spool/mail 修改到 /var/mail 是也有必要的(Shadow 普遍默认使用这个位置)。这两件事都可以通过在将相应的配置文件复制至目标位置之前,对其进行更改来达到:

sed -e'[email protected]#[email protected]_CRYPT_ENAB [email protected]' \
    -e '[email protected]/var/spool/[email protected]/var/[email protected]' \
    etc/login.defs > /etc/login.defs
[Note]

注意

如果你在编译 Shadow 时启用了 Cracklib 支持,请在下面的 sed 命令中插入:

sed -i '[email protected]*@DICTPATH\t/lib/cracklib/[email protected]' \
    /etc/login.defs

移动一些放错位置的符号连结或程序到正确位置:

mv -v /usr/bin/passwd /bin

移动 Shadow 的动态库到一个更为合适的地方:

mv -v /lib/libshadow.*a /usr/lib
rm -v /lib/libshadow.so
ln -sfv ../../lib/libshadow.so.0 /usr/lib/libshadow.so

useradd 程序的 -D 选项要求存在 /etc/default 目录以便程序能够正常工作:

mkdir -v /etc/default

6.50.2. 配置 Shadow

这个软件包中含有用来增加、修改和删除用户或组、设置和更改他们的密码、和执行其他管理任务的工具。为了获得对 password shadowing (影子密码) 的完全解释,请参见 doc/HOWTO 文件,它在解包后的源码目录树中。假如要使用 Shadow 支持,请注意那些需要对密码进行校验的程序(如显示管理器、FTP 程序、pop3进程等)必须兼容 Shadow 。也就是说,他们需要能够与影子密码一起工作。

为了使用影子密码,运行以下指令:

pwconv

为使用组影子密码,运行:

grpconv

6.50.3. Setting the root password

通过运行以下命令来设置 root 用户的密码:

passwd root

6.50.4. Shadow 的内容

安装的程序: chage, chfn, chgpasswd, chpasswd, chsh, expiry, faillog, gpasswd, groupadd, groupdel, groupmod, grpck, grpconv, grpunconv, lastlog, login, logoutd, newgrp, newusers, nologin, passwd, pwck, pwconv, pwunconv, sg(→newgrp), su, useradd, userdel, usermod, vigr(→vipw), vipw
安装的库: libshadow.{a,so}

简要描述

chage

用于设置必须对密码进行更改的最大间隔天数

chfn

用于对用户的全名及其他信息进行修改

chgpasswd

用于对一整个系列的组账号密码进行更新

chpasswd

用于对一整个系列的用户账号密码进行更新

chsh

用于更改一个用户的默认的登录 shell

expiry

检查并加强当前的密码过期策略

faillog

用于检查记录登录失败的日志,或是设置账户在被锁定前最大的登录失败次数,亦可用于重置登录失败的次数。

gpasswd

用来增加和删除组中的成员和管理员

groupadd

用指定的名称建一个组

groupdel

删除指定名称的组

groupmod

用来修改所指定组的名称或 GID

grpck

校验组文件 /etc/group/etc/gshadow 的完整性

grpconv

从正常组文件中创建或更新一影子组文件

grpunconv

/etc/gshadow 更新 /etc/group 并将前者删除

lastlog

报告最近的所有用户的登录或是所指定用户的登录

login

被系统用来允许用户进行登录

logoutd

一个后台程序,用来加强对登录时间和端口进行限制

newgrp

用来在登录会话期间对当前的 GID 进行修改

newusers

用来对一整个系列的用户账户进行创建或更新

nologin

显示一个账户不可用的信息,被设计用来作为那些不准登录的账户的默认 shell。

passwd

用来对一个用户或组账户进行密码修改

pwck

校验密码文件 /etc/passwd/etc/shadow 的完整性

pwconv

从一个正常的密码文件中创建或更新一影子密码文件

pwunconv

/etc/shadow 更新 /etc/passwd 并删除前者

sg

当一个用户的 GID 被设置到所给的组时执行所指定的命令

su

用另一个用户和组ID来运行一个 shell

useradd

用所给名称建立一个新的用户或更新默认新用户的信息

userdel

删除所指定的用户账户

usermod

用来更改所给用户的登录名、用户标识(UID)、shell、最初组、主目录等

vigr

编辑 /etc/group/etc/gshadow 文件

vipw

编辑 /etc/passwd/etc/shadow 文件

libshadow

包含了本包中大部分程序所用到的函数