Shadow 包含用于在安全方式下处理密码的程序。
![[Note]](../images/note.png)
如果你打算强制使用高强度密码,请参考 http://www.linuxfromscratch.org/blfs/view/svn/postlfs/cracklib.html 以获得如何在安装 Shadow 之前先安装 Cracklib 的指导。然后在下面的 configure 命令中加入 --with-libcrack 项。
为编译 Shadow 做准备:
./configure --libdir=/lib --enable-shared --without-selinux
配置选项的含义:
selinux 的支持默认是打开的,但是 selinux 不包含在 LFS 基本系统中。如果这个选项不设置, configure 脚本会报错。
禁止安装 groups 程序和它的手册,Coreutils 软件包提供了一个更好的版本:
sed -i 's/groups$(EXEEXT) //' src/Makefile
find man -name Makefile -exec sed -i '/groups/d' {} \;
禁止安装中文和韩文的手册页,因为Man-DB不能很好的格式化它们:
sed -i -e 's/ ko//' -e 's/ zh_CN zh_TW//' man/Makefile
Shadow 支持在 UTF-8 编码环境下的其他编码的手册。Man-DB 可以通过我们安装的 convert-mans 脚本来转换并显示它们。
for i in de es fi fr id it pt_BR; do
convert-mans UTF-8 ISO-8859-1 man/${i}/*.?
done
for i in cs hu pl; do
convert-mans UTF-8 ISO-8859-2 man/${i}/*.?
done
convert-mans UTF-8 EUC-JP man/ja/*.?
convert-mans UTF-8 KOI8-R man/ru/*.?
convert-mans UTF-8 ISO-8859-9 man/tr/*.?
编译软件包:
make
这个软件包没有附带测试程序。
安装软件包:
make install
Shadow 使用两个文件来设置系统的身份认证。下面安装这两个设置文件:
cp -v etc/{limits,login.access} /etc
不使用默认的 crypt 加密方法, 而使用更为安全的 MD5 对密码进行加密, 并且它同样允许密码长于 8 个字符。同时将用户邮箱位置从过时的 /var/spool/mail 修改到 /var/mail 是也有必要的(Shadow 普遍默认使用这个位置)。这两件事都可以通过在将相应的配置文件复制至目标位置之前,对其进行更改来达到:
sed -e's@#MD5_CRYPT_ENAB.no@MD5_CRYPT_ENAB yes@' \
-e 's@/var/spool/mail@/var/mail@' \
etc/login.defs > /etc/login.defs
如果你在编译 Shadow 时启用了 Cracklib 支持,请在下面的 sed 命令中插入:
sed -i 's@DICTPATH.*@DICTPATH\t/lib/cracklib/pw_dict@' \
/etc/login.defs
移动一些放错位置的符号连结或程序到正确位置:
mv -v /usr/bin/passwd /bin
移动 Shadow 的动态库到一个更为合适的地方:
mv -v /lib/libshadow.*a /usr/lib rm -v /lib/libshadow.so ln -sfv ../../lib/libshadow.so.0 /usr/lib/libshadow.so
useradd 程序的 -D 选项要求存在 /etc/default 目录以便程序能够正常工作:
mkdir -v /etc/default
这个软件包中含有用来增加、修改和删除用户或组、设置和更改他们的密码、和执行其他管理任务的工具。为了获得对 password shadowing (影子密码) 的完全解释,请参见 doc/HOWTO 文件,它在解包后的源码目录树中。假如要使用 Shadow 支持,请注意那些需要对密码进行校验的程序(如显示管理器、FTP 程序、pop3进程等)必须兼容 Shadow 。也就是说,他们需要能够与影子密码一起工作。
为了使用影子密码,运行以下指令:
pwconv
为使用组影子密码,运行:
grpconv
通过运行以下命令来设置 root 用户的密码:
passwd root