6.50. Shadow-4.0.15
Shadow 包含用于在安全方式下处理密码的程序。
预计编译时间: 0.3 SBU所需磁盘空间: 18.6 MB
6.50.1. 安装 Shadow
注意
如果你打算强制使用高强度密码,请参考 http://www.linuxfromscratch.org/blfs/view/svn/postlfs/cracklib.html 以获得如何在安装 Shadow 之前先安装 Cracklib 的指导。然后在下面的 configure 命令中加入 --with-libcrack 项。
为编译 Shadow 做准备:
./configure --libdir=/lib --enable-shared --without-selinux
配置选项的含义:
--without-selinux
selinux 的支持默认是打开的,但是 selinux 不包含在 LFS 基本系统中。如果这个选项不设置, configure 脚本会报错。
禁止安装 groups 程序和它的手册,Coreutils 软件包提供了一个更好的版本:
sed -i "s/groups$(EXEEXT) //" src/Makefile
find man -name Makefile -exec sed -i "/groups/d" {} ;
禁止安装中文和韩文的手册页,因为Man-DB不能很好的格式化它们:
sed -i -e "s/ ko//" -e "s/ zh_CN zh_TW//" man/Makefile
Shadow 支持在 UTF-8 编码环境下的其他编码的手册。Man-DB 可以通过我们安装的 convert-mans 脚本来转换并显示它们。
for i in de es fi fr id it pt_BR; do
convert-mans UTF-8 ISO-8859-1 man/${i}/*.?
done
for i in cs hu pl; do
convert-mans UTF-8 ISO-8859-2 man/${i}/*.?
done
convert-mans UTF-8 EUC-JP man/ja/*.?
convert-mans UTF-8 KOI8-R man/ru/*.?
convert-mans UTF-8 ISO-8859-9 man/tr/*.?
编译软件包:
make
这个软件包没有附带测试程序。
安装软件包:
make install
Shadow 使用两个文件来设置系统的身份认证。下面安装这两个设置文件:
cp -v etc/{limits,login.access} /etc
不使用默认的 crypt 加密方法, 而使用更为安全的 MD5 对密码进行加密, 并且它同样允许密码长于 8 个字符。同时将用户邮箱位置从过时的 /var/spool/mail 修改到 /var/mail 是也有必要的(Shadow 普遍默认使用这个位置)。这两件事都可以通过在将相应的配置文件复制至目标位置之前,对其进行更改来达到:
sed -e"s@#MD5_CRYPT_ENAB.no@MD5_CRYPT_ENAB yes@"
-e "s@/var/spool/mail@/var/mail@"
etc/login.defs > /etc/login.defs
注意
如果你在编译 Shadow 时启用了 Cracklib 支持,请在下面的 sed 命令中插入:
sed -i "s@DICTPATH.*@DICTPATH /lib/cracklib/pw_dict@"
/etc/login.defs
移动一些放错位置的符号连结或程序到正确位置:
mv -v /usr/bin/passwd /bin
移动 Shadow 的动态库到一个更为合适的地方:
mv -v /lib/libshadow.*a /usr/lib
rm -v /lib/libshadow.so
ln -sfv ../../lib/libshadow.so.0 /usr/lib/libshadow.so
useradd 程序的 -D 选项要求存在 /etc/default 目录以便程序能够正常工作:
mkdir -v /etc/default
6.50.2. 配置 Shadow
这个软件包中含有用来增加、修改和删除用户或组、设置和更改他们的密码、和执行其他管理任务的工具。为了获得对 password shadowing (影子密码) 的完全解释,请参见 doc/HOWTO 文件,它在解包后的源码目录树中。假如要使用 Shadow 支持,请注意那些需要对密码进行校验的程序(如显示管理器、FTP 程序、pop3进程等)必须兼容 Shadow 。也就是说,他们需要能够与影子密码一起工作。
为了使用影子密码,运行以下指令:
pwconv
为使用组影子密码,运行:
grpconv
6.50.3. Setting the root password
通过运行以下命令来设置 root 用户的密码:
passwd root
6.50.4. Shadow 的内容
安装的程序: chage, chfn, chgpasswd, chpasswd, chsh, expiry, faillog, gpasswd, groupadd, groupdel, groupmod, grpck, grpconv, grpunconv, lastlog, login, logoutd, newgrp, newusers, nologin, passwd, pwck, pwconv, pwunconv, sg(→newgrp), su, useradd, userdel, usermod, vigr(→vipw), vipw安装的库: libshadow.{a,so}
简要描述
chage | 用于设置必须对密码进行更改的最大间隔天数 |
chfn | 用于对用户的全名及其他信息进行修改 |
chgpasswd | 用于对一整个系列的组账号密码进行更新 |
chpasswd | 用于对一整个系列的用户账号密码进行更新 |
chsh | 用于更改一个用户的默认的登录 shell |
expiry | 检查并加强当前的密码过期策略 |
faillog | 用于检查记录登录失败的日志,或是设置账户在被锁定前最大的登录失败次数,亦可用于重置登录失败的次数。 |
gpasswd | 用来增加和删除组中的成员和管理员 |
groupadd | 用指定的名称建一个组 |
groupdel | 删除指定名称的组 |
groupmod | 用来修改所指定组的名称或 GID |
grpck | 校验组文件 /etc/group 和 /etc/gshadow 的完整性 |
grpconv | 从正常组文件中创建或更新一影子组文件 |
grpunconv | 从 /etc/gshadow 更新 /etc/group 并将前者删除 |
lastlog | 报告最近的所有用户的登录或是所指定用户的登录 |
login | 被系统用来允许用户进行登录 |
logoutd | 一个后台程序,用来加强对登录时间和端口进行限制 |
newgrp | 用来在登录会话期间对当前的 GID 进行修改 |
newusers | 用来对一整个系列的用户账户进行创建或更新 |
nologin | 显示一个账户不可用的信息,被设计用来作为那些不准登录的账户的默认 shell。 |
passwd | 用来对一个用户或组账户进行密码修改 |
pwck | 校验密码文件 /etc/passwd 和 /etc/shadow 的完整性 |
pwconv | 从一个正常的密码文件中创建或更新一影子密码文件 |
pwunconv | 从 /etc/shadow 更新 /etc/passwd 并删除前者 |
sg | 当一个用户的 GID 被设置到所给的组时执行所指定的命令 |
su | 用另一个用户和组ID来运行一个 shell |
useradd | 用所给名称建立一个新的用户或更新默认新用户的信息 |
userdel | 删除所指定的用户账户 |
usermod | 用来更改所给用户的登录名、用户标识(UID)、shell、最初组、主目录等 |
vigr | 编辑 /etc/group 或 /etc/gshadow 文件 |
vipw | 编辑 /etc/passwd 或 /etc/shadow 文件 |
libshadow | 包含了本包中大部分程序所用到的函数 |