Linux Shadow Password HOWTO Michael H. Jackson mhjack@tscnet.com v1.3, 3 Aprile 1996 Questo documento si propone di descrivere come ottenere, installare e configurare la Linux Password _S_h_a_d_o_w _S_u_i_t_e. Esso spiega anche come ottenere e reinstallare altri software e demoni di rete che richiedono accesso alle password degli utenti. Questi ultimi software in realtà non fanno parte della _S_h_a_d_o_w _S_u_i_t_e. Questo documento contiene inoltre un esempio di programmazione per aggiungere il supporto shadow ad un programma. Risposte ad alcune delle domande più frequenti sono incluse verso la fine di questo documento. Traduzione a cura di Isabella Ruocco , ultima revisione 25 Maggio 1999. ______________________________________________________________________ Indice Generale 1. Introduzione 1.1 Cambiamenti dalla versione precedente 1.2 Nuove versioni di questo documento 1.3 Commenti e critiche 2. Perché "oscurare" il vostro file passwd? 2.1 Perchè potreste NON voler "oscurare" il vostro file passwd 2.2 Formato del file /etc/passwd 2.3 Formato del file shadow 2.4 Uno sguardo a crypt(3) 3. Ottenere la Shadow Suite 3.1 Storia della Shadow Suite per Linux 3.2 Dove prendere la Shadow Suite 3.3 Cosa è incluso nella Shadow Suite 4. Compilare i programmi 4.1 Spacchettare l'archivio 4.2 Configurare con il file config.h 4.3 Fare copie di backup dei vostri programmi originali 4.4 Eseguire il make 5. Installazione 5.1 Tenete a portata di mano un disco di boot nel caso faceste qualche danno 5.2 Rimuovere le pagine di manuale duplicate 5.3 Eseguire make install 5.4 Eseguire pwconv 5.5 Rinominare npasswd e nshadow 6. Altri programmi a cui potreste dover fare un aggiornamento o applicare una patch 6.1 Il programma adduser della Slackware 6.2 Il Server wu_ftpd 6.3 Ftpd standard 6.4 pop3d (Post Office Protocol 3) 6.5 xlock 6.6 xdm 6.7 sudo 6.8 imapd (pacchetto Pine E-Mail) 6.9 pppd (Point-to-Point Protocol Server) 7. Mettere al lavoro la Shadow Suite 7.1 Aggiungere, Modificare e Cancellare utenti 7.1.1 useradd 7.1.2 usermod 7.1.3 userdel 7.2 Il comando passwd e l'invecchiamento delle password 7.3 Il file login.defs 7.4 Password di gruppo 7.5 Programmi per il controllo della consistenza 7.5.1 pwck 7.5.2 grpck 7.6 Password di dial-up 8. Aggiungere il supporto shadow ad un programma C 8.1 File di intestazione (header) 8.2 La libreria libshadow.a 8.3 La struttura Shadow 8.4 Funzioni Shadow 8.5 Esempio 9. Domande poste frequentemente (FAQ) 10. Messaggio di copyright 11. Varie e Riconoscimenti ______________________________________________________________________ 11.. IInnttrroodduuzziioonnee Questo è il Linux Shadow Password HOWTO. Questo documento descrive perché e come aggiungere il supporto shadow password su un sistema Linux. Sono inclusi anche alcuni esempi su come usare alcune delle caratteristiche della _S_h_a_d_o_w _S_u_i_t_e. Quando si installa la _S_h_a_d_o_w _S_u_i_t_e e quando si usano molti dei programmi di utilità, occorre essere collegati come _r_o_o_t. Quando si installa la _S_h_a_d_o_w _S_u_i_t_e verranno effettuati dei cambiamenti al software di sistema, ed è fortemente consigliato fare copie di backup dei programmi come indicato. Consiglio anche di leggere e comprendere tutte le istruzioni prima di iniziare. 11..11.. CCaammbbiiaammeennttii ddaallllaa vveerrssiioonnee pprreecceeddeennttee Aggiunte: Aggiunta una sotto-sezione sul perché potreste non voler installare le shadow Aggiunta una sotto-sezione sull'aggiornamento del programma xdm Aggiunta una sezione su come far funzionare le caratteristiche della Shadow Suite Aggiunta una sezione contenente le domande più frequenti (FAQ) Correzioni/Aggiornamenti: Correzione dei riferimenti html sul sunsite Correzione della sezione su wu-ftp in modo che tenga conto dell'aggiunta di -lshadow al Makefile Correzione di errori secondari di ortografia Cambiamento della sezione su wu-ftp in modo da supportare ELF Aggiornamenti sui problemi di sicurezza in diversi programmi di login Aggiornamenti sulla raccomandazione di Marek Michalkiewicz sulla Linux Shadow Suite 11..22.. NNuuoovvee vveerrssiioonnii ddii qquueessttoo ddooccuummeennttoo La più recente versione di questo documento si può anche ottenere via FTP anonimo da: ssuunnssiittee..uunncc..eedduu /pub/Linux/docs/HOWTO/Shadow-Password-HOWTO oppure: /pub/Linux/docs/HOWTO/other-formats/Shadow-Password-HOWTO{-html.tar,ps,dvi}.gz o tramite il World Wide Web dal Linux Documentation Project Web Server , alla pagina: Shadow-Password- HOWTO o direttamente da me, . Sarà anche inviata al newsgroup: comp.os.linux.answers Questo documento è ora impacchettato con i pacchetti Shadow-AAMMGG. 11..33.. CCoommmmeennttii ee ccrriittiicchhee Per favore inviate qualunque commento, aggiornamento, o suggerimenti a me: Michael H. Jackson . Prima ricevo feedback, prima posso aggiornare e correggere questo documento. Se avete dei problemi, per favore mandate una e-mail direttamente a me, dato che molto raramente rimango aggiornato con i newsgroup. 22.. PPeerrcchhéé ""oossccuurraarree"" iill vvoossttrroo ffiillee ppaasssswwdd?? Come impostazione predefinita, la maggior parte delle attuali distribuzioni Linux non contengono la _S_h_a_d_o_w _S_u_i_t_e installata. Questo riguarda la Slackware 2.3, Slackware 3.0 ed altre famose distribuzioni. Una delle ragioni di questo è che le informazioni sul copyright nella _S_h_a_d_o_w _S_u_i_t_e originale non spiegavano chiaramente se si dovesse versare una somma per la ridistribuzione. Linux usa un Copyright GNU (a cui talvolta si fa riferimento come Copyleft) che permette alle persone di impacchettarlo in un supporto conveniente (come una distribuzione su CD-ROM) e di venderlo. L'attuale manutentore della _S_h_a_d_o_w _S_u_i_t_e, Marek Michalkiewicz ha ricevuto il codice sorgente dall'autore originale con un copyright tipo BSD che permette la ridistribuzione. Ora che i problemi di copyright sono risolti, ci si aspetta che le future distribuzioni conterranno le shadow password come opzione predefinita. Fino ad allora, dovrete installarvele voi. Se avete installato la vostra distribuzione da un CD-ROM, potrebbe succedere che, anche se la distribuzione non aveva la _S_h_a_d_o_w _S_u_i_t_e installata, alcuni dei file che vi occorrono per installare la _S_h_a_d_o_w _S_u_i_t_e siano sul CD-ROM. _C_o_m_u_n_q_u_e_, _l_e _v_e_r_s_i_o_n_i _3_._3_._1_, _3_._3_._1_-_2 _d_e_l_l_a _S_h_a_d_o_w _S_u_i_t_e _e _l_a _s_h_a_d_o_w_-_m_k _p_o_t_r_e_b_b_e_r_o _a_v_e_r_e _p_r_o_b_l_e_m_i _d_i _s_i_c_u_r_e_z_z_a _c_o_n _i_l _l_o_r_o _p_r_o_g_r_a_m_m_a _d_i _l_o_g_i_n _e _m_o_l_t_i _a_l_t_r_i _p_r_o_g_r_a_m_m_i _S_U_I_D _r_o_o_t _c_h_e _s_i _t_r_o_v_a_n_o _i_n_s_i_e_m_e _a_d _e_s_s_e_, _e _n_o_n _d_o_v_r_e_b_b_e_r_o _e_s_s_e_r_e _p_i_ù _u_s_a_t_e_. Tutti i file necessari si possono ottenere via FTP anonimo o tramite il World Wide Web. Su un sistema Linux senza la _S_h_a_d_o_w _S_u_i_t_e installata, le informazioni sugli utenti, comprese la password, sono contenute nel file /etc/passwd. La password viene conservata in un formato _c_r_i_p_t_a_t_o. Se chiedete ad un esperto crittografo, comunque, lui o lei vi diranno che la password è in realtà in un formato _c_o_d_i_f_i_c_a_t_o piuttosto che _c_r_i_p_t_a_t_o, perché quando viene usato crypt(3), viene preso un testo vuoto e la password è usata come chiave. Perciò, da qui in poi, in questo documento, userò il termine _c_o_d_i_f_i_c_a_t_o. Tecnicamente ci si riferisce all'algoritmo usato per codificare il campo password come ad una _f_u_n_z_i_o_n_e _h_a_s_h _m_o_n_o_d_i_r_e_z_i_o_n_a_l_e. Questa è un algoritmo che è facile eseguire in una direzione, ma molto difficile eseguire nella direzione opposta. Altre informazioni sull'algoritmo usato si possono trovare nel paragrafo 2.4 o nella vostra pagina di manuale per crypt(3). Quando un utente sceglie o gli viene assegnata una password, questa viene codificata con un valore generato casualmente detto _s_e_m_e ("salt"). Questo significa che una certa password può essere memorizzata in 4096 modi diversi. Il valore del _s_e_m_e viene memorizzato insieme alla password codificata. Quando un utente si collega e fornisce una password, prima viene prelevato il _s_e_m_e dalla password codificata in memoria. Poi la password digitata viene _c_o_d_i_f_i_c_a_t_a con tale valore del _s_e_m_e e quindi confrontata con la password _c_o_d_i_f_i_c_a_t_a. Se c'è corrispondenza l'utente viene autenticato. È computazionalmente difficile (ma non impossibile), ricostruire la password originale dalla password _c_o_d_i_f_i_c_a_t_a casualmente. Comunque, su ogni sistema con più di qualche utente, almeno alcune delle password saranno parole comuni (o semplici variazioni di parole comuni). Gli "scassinatori" di sistemi informatici sono a conoscenza di questo, e semplicemente critteranno un vocabolario di parole e password comuni usando tutti i 4096 possibili valori di _s_e_m_e. Quindi confronteranno le password codificate nel vostro file /etc/passwd con il loro database. Una volta trovata una corrispondenza, avranno la password per un altro account. Questo viene chiamato _a_t_t_a_c_c_o _a _v_o_c_a_b_o_l_a_r_i_o ed è uno dei metodi più comuni per ottenere o diffondere accessi non autorizzati ad un sistema. Se ci pensate, una password di 8 caratteri codifica fino a 4096*13 stringhe di caratteri. Perciò un vocabolario di, diciamo, 400.000 parole comuni, nomi, password e semplici variazioni starà facilmente su un disco fisso da 4GB. Lo scassinatore dovrà solo ordinarle e cercare le corrispondenze. Poiché un disco fisso da 4GB si può avere a meno di $1000.00, è ampiamente nelle possibilità di molti scassinatori di sistemi informatici. Inoltre, se uno scassinatore ottiene prima il file /etc/passwd, avrà bisogno solo di codificare il vocabolario con i valori del seme effettivamente contenuti nel vostro file /etc/passwd. Questo metodo può essere usato dall'adolescente medio con un paio di Megabyte liberi e un computer 486. Anche senza molto spazio su disco, utility come crack(1) possono di solito corrompere almeno un paio di password su un sistema con un discreto numero di utenti (assumendo che gli utenti del sistema possano scegliersi le loro password). Il file /etc/passwd contiene anche informazioni tipo gli user ID e i group ID che sono usati da molti programmi di sistema. Perciò il file /etc/passwd _d_e_v_e rimanere accessibile a tutti. Se voi cambiaste il file /etc/passwd in modo che nessuno possa leggerlo, la prima cosa che notereste sarebbe che il comando ls -s ora mostrerebbe gli user ID invece dei nomi! La _S_h_a_d_o_w _S_u_i_t_e risolve il problema spostando le password in un altro file (di solito /etc/shadow). Il file /etc/shadow viene impostato in modo che quasi nessuno possa leggerlo. Solo _r_o_o_t potrà leggere e scrivere il file /etc/shadow. Alcuni programmi (come xlock) non devono poter cambiare le password, occorre solo che le possano verificare. Questi programmi possono essere eseguiti _S_U_I_D _r_o_o_t oppure si può creare un gruppo _s_h_a_d_o_w a cui è permesso l'accesso solo in lettura al file /etc/shadow. Quindi i programmi possono essere eseguiti _S_G_I_D _s_h_a_d_o_w. Spostando le password nel file /etc/shadow, stiamo effettivamente impedendo allo scassinatore di avere accesso alle password codificate con cui eseguire l'_a_t_t_a_c_c_o _a _v_o_c_a_b_o_l_a_r_i_o. Inoltre, la _S_h_a_d_o_w _S_u_i_t_e aggiunge molte altre caratteristiche interessanti: · un file di configurazione per impostare le caratteristiche predefinite di login (/etc/login.defs) · utility per aggiungere, modificare e cancellare account di utenti e gruppi · invecchiamento e scadenza delle password · scadenza e blocco degli account · password di gruppo "oscurate" (opzionale) · password di doppia lunghezza (password da 16 caratteri) [SCONSIGLIATO] · migliore controllo sulla scelta delle password degli utenti · dial-up password · programmi di autenticazione secondaria [SCONSIGLIATO] Installare la _S_h_a_d_o_w _S_u_i_t_e contribuisce alla sicurezza del sistema ma ci sono anche molte altre cose che si possono fare per migliorare la sicurezza di un sistema Linux, e ci saranno alcuni Linux Security HOWTO che discutono altre misure di sicurezza ed aspetti correlati. Per informazioni aggiornate su altri aspetti della sicurezza in Linux, tra cui avvertimenti sulle debolezze note guardate la Linux Security home page. 22..11.. PPeerrcchhèè ppoottrreessttee NNOONN vvoolleerr ""oossccuurraarree"" iill vvoossttrroo ffiillee ppaasssswwdd Ci sono alcune circostanze e configurazioni in cui installare la _S_h_a_d_o_w _S_u_i_t_e _N_O_N sarebbe una buona idea: · la macchina non contiene account di utenti · la vostra macchina funziona su una LAN e usa NIS (Network Information Services) per ottenere e fornire nomi e password degli utenti alle altre macchine sulla rete (in realtà si potrebbe fare, ma è oltre lo scopo di questo documento, e in realtà non aumenterebbe comunque molto la sicurezza) · la vostra macchina viene usata dai server dei terminali per verificare gli utenti con NFS (Network File System), NIS, o qualche altro metodo · la vostra macchina esegue altro codice per validare gli utenti, e non c'è nessuna versione shadow disponibile, e non avete il codice sorgente. 22..22.. FFoorrmmaattoo ddeell ffiillee //eettcc//ppaasssswwdd Un file /etc/passwd non "oscurato" ha il seguente formato: nomeutente:passwd:UID:GID:nome_completo:directory:shell Dove: nomeutente Il nome (di login) dell'utente passwd La password codificata UID Identificativo numerico dell'utente GID Identificativo numerico predefinito del gruppo nome_completo Il nome completo dell'utente - in realtà questo campo viene chiamato campo GECOS (General Electric Comprehensive Operating System) e può contenere altre informazioni invece del solo nome completo. I comandi Shadow e le pagine di manuale si riferiscono a questo campo come al campo commento. directory Home directory dell'utente (percorso completo) shell Shell di login dell'utente (percorso completo) Ad esempio: nomeutente:Npge08pfz4wuk:503:100:Nome Completo:/home/nomeutente:/bin/sh Dove Np è il seme e ge08pfz4wuk è la password _c_o_d_i_f_i_c_a_t_a. La coppia seme/password codificata avrebbe anche potuto essere kbeMVnZM0oL7I e queste due sono esattamente la stessa password. Ci sono 4096 possibili codifiche per la stessa password (la password usata in questo esempio è 'password', una _p_e_s_s_i_m_a password). Una volta che la Shadow Suite è installata, il file /etc/passwd invece conterrà: nomeutente:x:503:100:Nome Completo:/home/nomeutente:/bin/sh La x nel secondo campo in questo caso è ora soltanto un segnaposto. Il formato del file /etc/passwd non è di fatto cambiato, solo che non contiene più le password _c_o_d_i_f_i_c_a_t_e. Questo significa che qualunque programma che legge il file /etc/passwd, ma in realtà non ha bisogno di verificare le password, funzionerà ancora correttamente. Le password sono ora situate nel file shadow (di solito il file /etc/shadow). 22..33.. FFoorrmmaattoo ddeell ffiillee sshhaaddooww Il file /etc/shadow contiene le seguenti informazioni: nomeutente:passwd:ult:può:deve:avv:scad:disab:riservato Dove: nomeutente Il nome dell'utente passwd La password codificata ult Giorni dal 1 Gennaio 1970 fino all'ultima modifica della password può Giorni prima che la password possa essere cambiata deve Giorni dopo i quali la password deve essere cambiata avv Giorni prima della scadenza della password in cui l'utente viene avvisato scad Giorni dopo la scadenza della password in cui l'account viene disabilitato disab Giorni a partire dal 1 Gennaio 1970 dopo cui l'account verrà disabilitato riservato Campo riservato Il precedente esempio potrebbe allora essere: nomeutente:Npge08pfz4wuk:9479:0:10000:::: 22..44.. UUnnoo ssgguuaarrddoo aa ccrryypptt((33)) Dalla pagina di manuale di crypt(3): "_c_r_y_p_t è la funzione di crittaggio delle password. Si basa sull'algoritmo _D_a_t_a _E_n_c_r_y_p_t_i_o_n _S_t_a_n_d_a_r_d con variazioni aventi lo scopo (tra le altre cose) di scoraggiare l'uso di implementazioni hardware per la ricerca della chiave. [La] chiave è la password digitata dall'utente. [La stringa codificata è tutta vuota.] [Il] _s_e_m_e è una stringa di due caratteri scelta nell'insieme [a-z A-Z 0-9./]. Questa stringa viene usata per perturbare l'algoritmo in uno tra 4096 modi diversi. Prendendo i 7 bit meno significativi di ogni carattere della chiave, si ottiene una chiave di 56 bit. Questa chiave di 56 bit viene usata per crittare ripetutamente una stringa costante (di solito una stringa costituita di zeri). Il valore restituito punta alla password crittata, un insieme di 13 caratteri ASCII stampabili (i primi due caratteri sono il seme stesso). Il valore di ritorno punta a dati statici il cui contenuto viene sovrascritto da ogni chiamata. AAtttteennzziioonnee:: lo spazio chiave consiste di 2**56 cioè 7.2e16 possibili valori. ÈÈ ppoossssiibbiillee effettuare ricerche esaustive di questo spazio chiave usando computer massivamente paralleli. È disponibile del software, come crack(1), che cercherà la porzione di questo spazio chiave che viene generalmente usata dagli umani per le password. Perciò la scelta delle password dovrebbe, come minimo, evitare parole e nomi comuni. Si raccomanda l'uso di un programma passwd(1) che, durante il processo di selezione, controlla se le password sono vulnerabili a manomissioni. Lo stesso algoritmo DES ha alcune arguzie che rendono l'uso dell'interfaccia crypt(3) una scelta inefficace per qualunque altra cosa che non sia l'autenticazione di password. Se state pensando di usare l'interfaccia crypt(3) per un progetto di crittografia non lo fate: prendete un buon libro sulla crittografia e una delle librerie DES ampiamente disponibili." Molte _S_h_a_d_o_w _S_u_i_t_e contengono codice per raddoppiare la lunghezza della password a 16 caratteri. Esperti in DES sconsigliano questo, dato che la codifica viene semplicemente applicata prima alla metà di sinistra e poi alla metà di destra della password allungata. A causa del modo in cui funziona crypt, la password codificata di lunghezza doppia potrebbe risultare addirittura _m_e_n_o sicura. Inoltre, è meno facile che un utente riesca a ricordare una password da 16 caratteri. È in via di sviluppo un lavoro che permetterebbe all'algoritmo di autenticazione di essere sostituito con qualcosa di più sicuro, che supporti password più lunghe (in particolare l'algoritmo MD5) e mantenga compatibilità con il metodo crypt. Se state cercando un buon libro sulla crittografia, vi consiglio: "Applied Cryptography: Protocols, Algorithms, and Source Code in C" di Bruce Schneier ISBN: 0-471-59756-2 33.. OOtttteenneerree llaa SShhaaddooww SSuuiittee 33..11.. SSttoorriiaa ddeellllaa SShhaaddooww SSuuiittee ppeerr LLiinnuuxx _N_O_N _U_S_A_T_E _I _P_A_C_C_H_E_T_T_I _D_I _Q_U_E_S_T_O _C_A_P_I_T_O_L_O_, _H_A_N_N_O _P_R_O_B_L_E_M_I _D_I _S_I_C_U_R_E_Z_Z_A La _S_h_a_d_o_w _S_u_i_t_e originale è stata scritta da John F. Haugh II. Esistono diverse versioni che sono state usate su sistemi Linux: · shadow-3.3.1 è l'originale; · shadow-3.3.1-2 è la patch specifica per Linux fatta da Florian La Roche e contiene alcuni ulteriori miglioramenti; · shadow-mk è stata specificamente impacchettata per Linux. Il pacchetto shadow-mk contiene il pacchetto shadow-3.3.1 distribuito da John F. Haugh II con la patch shadow-3.3.1-2 installata, alcune correzioni fatte da Mohan Kokal che semplificano molto l'installazione, una patch di Joseph R.M. Zbiciak per login1.c (login.secure) che elimina i bachi di sicurezza -f, -h in /bin/login, e alcune altre patch di vario tipo. Il pacchetto shadow.mk era il pacchetto _p_r_e_c_e_d_e_n_t_e_m_e_n_t_e raccomandato, ma dovrebbe essere sostituito a causa di _p_r_o_b_l_e_m_i _d_i _s_i_c_u_r_e_z_z_a con il programma di login. Ci sono problemi di _s_i_c_u_r_e_z_z_a con le versioni 3.3.1, 3.3.1-2 di Shadow, e con shadow-mk che coinvolgono il programma di login. Questo baco di login riguarda il mancato controllo di un nome di login. Questo provoca un overflow nel buffer, con conseguente crash o peggio. Si è diffusa la voce che questo overflow del buffer possa permettere a qualcuno con un account sul sistema di usare questo baco e le librerie condivise per ottenere l'accesso come _r_o_o_t. Non discuterò esattamente come questo sia possibile, perché ci sono molti sistemi Linux che ne sono affetti, ma sistemi con queste _S_h_a_d_o_w _S_u_i_t_e installate e la maggior parte delle distribuzioni pre-ELF _s_e_n_z_a la _S_h_a_d_o_w _S_u_i_t_e sono vulnerabili! Per avere maggiori informazioni su questo e altri aspetti della sicurezza su Linux, guardate la: Linux Security home page (Shared Libraries and login Program Vulnerability) 33..22.. DDoovvee pprreennddeerree llaa SShhaaddooww SSuuiittee L'unica _S_h_a_d_o_w _S_u_i_t_e raccomandata è ancora in beta testing, comunque le ultime versioni sono sicure in un ambiente di produzione e non contengono un programma di login vulnerabile. Il pacchetto usa la seguente convenzione di denominazione: shadow-AAMMGG.tar.gz dove AAMMGG è la data di rilascio della Suite. Questa versione alla fine diventerà la _V_e_r_s_i_o_n_e _3_._3_._3 quando verrà rilasciata dal beta testing ed è mantenuta da Marek Michalkiewicz . È disponibile come: shadow- current.tar.gz . Sono stati anche organizzati i seguenti siti mirror: · ftp://ftp.icm.edu.pl/pub/Linux/shadow/shadow-current.tar.gz · ftp://iguana.hut.fi/pub/linux/shadow/shadow-current.tar.gz · ftp://ftp.cin.net/usr/ggallag/shadow/shadow-current.tar.gz · ftp://ftp.netural.com/pub/linux/shadow/shadow-current.tar.gz Dovreste usare la versione attualmente disponibile. NON dovreste usare una versione _p_r_e_c_e_d_e_n_t_e alla shadow-960129 perché anche quelle hanno il problema di sicurezza di login discusso sopra. Quando questo documento fa riferimento alla _S_h_a_d_o_w _S_u_i_t_e mi riferisco a questo pacchetto. Si assume che sia questo il pacchetto che state usando. Per riferimento, io ho usato shadow-960129 per fare queste istruzioni di installazione. Se stavate usando shadow-mk, dovreste fare l'aggiornamento a questa versione e ricompilare tutto ciò che avevate originariamente compilato. 33..33.. CCoossaa èè iinncclluussoo nneellllaa SShhaaddooww SSuuiittee La _S_h_a_d_o_w _S_u_i_t_e contiene programmi sostitutivi per: su, login, passwd, newgrp, chfn, chsh, e id Il pacchetto contiene anche i nuovi programmi: chage, newusers, dpasswd, gpasswd, useradd, userdel, usermod, groupadd, groupdel, groupmod, groups, pwck, grpck, lastlog, pwconv, e pwunconv Inoltre è compresa la libreria: libshadow.a per scrivere e/o compilare programmi che necessitino di accedere alle password degli utenti. Sono anche comprese pagine di manuale per i programmi. C'è anche un file di configurazione per il programma di login che sarà installato come /etc/login.defs. 44.. CCoommppiillaarree ii pprrooggrraammmmii 44..11.. SSppaacccchheettttaarree ll''aarrcchhiivviioo Il primo passo dopo aver ottenuto il pacchetto è spacchettarlo. Il pacchetto è nel formato tar (tape archive) e compresso usando gzip, perciò prima spostatelo in /usr/src, poi digitate: tar -xzvf shadow-current.tar.gz Questo lo spacchetterà nella directory: /usr/src/shadow-AAMMGG 44..22.. CCoonnffiigguurraarree ccoonn iill ffiillee ccoonnffiigg..hh La prima cosa che avete bisogno di fare è sovrascrivere il Makefile e il file config.h: cd /usr/src/shadow-AAMMGG cp Makefile.linux Makefile cp config.h.linux config.h Dovreste poi dare un'occhiata al file config.h. Questo file contiene definizioni per alcune delle opzioni di configurazione. Se state usando il pacchetto _c_o_n_s_i_g_l_i_a_t_o, vi consiglio, almeno per la prima volta, di disabilitare il supporto per il gruppo shadow. Come opzione predefinita, sono abilitate le password di gruppo "oscurate". Per disabilitarle, editate il file config.h, e cambiate il #define SHADOWGRP in #undef SHADOWGRP. Consiglio di disabilitarle per iniziare, e poi se volete davvero le password di gruppo e gli amministratori di gruppo, li abiliterete in seguito e ricompilerete. Se le lasciate abilitate, _d_o_v_e_t_e creare il file /etc/gshadow. Abilitare l'opzione per le password lunghe NON è raccomandato, come discusso sopra. _N_O_N cambiate l'impostazione: #undef AUTOSHADOW L'opzione AUTOSHADOW era stata in origine progettata in modo che i programmi che ignoravano la presenza delle shadow password avrebbero continuato a funzionare. Questo in teoria suona bene, ma non funziona correttamente. Se abilitate questa opzione, e il programma viene eseguito da root, potrebbe chiamare getpwnam() da root, e in seguito riscrivere il campo modificato nel file /etc/passwd (con _l_a _p_a_s_s_w_o_r_d _n_o_n _p_i_ù _"_o_s_c_u_r_a_t_a_"). Fanno parte di tali programmi chfn e chsh (non potete aggirare questo problema semplicemente scambiando l'identificativo utente reale con quello effettivo prima di chiamare getpwnam() perché anche root potrebbe usare chfn e chsh). Lo stesso avvertimento vale anche se state compilando libc, che ha un'opzione SHADOW_COMPAT che fa la stessa cosa. _N_O_N _d_o_v_r_e_b_b_e essere usata. Se cominciate a rimettere le password codificate nel vostro file /etc/passwd, questo è il problema. Se state usando una versione di libc precedente alla 4.6.27, avrete bisogno di fare un paio di modifiche al config.h e al Makefile. Per il config.h editate e cambiate: #define HAVE_BASENAME in: #undef HAVE_BASENAME Poi, nel Makefile, cambiate: SOBJS = smain.o env.o entry.o susetup.o shell.o sub.o mail.o motd.o sulog.o age.o tz.o hushed.o SSRCS = smain.c env.c entry.c setup.c shell.c pwent.c sub.c mail.c motd.c sulog.c shadow.c age.c pwpack.c rad64.c tz.c hushed.c in: SOBJS = smain.o env.o entry.o susetup.o shell.o sub.o mail.o motd.o sulog.o age.o tz.o hushed.o basename.o SSRCS = smain.c env.c entry.c setup.c shell.c pwent.c sub.c mail.c motd.c sulog.c shadow.c age.c pwpack.c rad64.c tz.c hushed.c basename.c Questi cambiamenti aggiungono il codice contenuto in basename.c che è contenuto in libc 4.6.27 e successive. 44..33.. FFaarree ccooppiiee ddii bbaacckkuupp ddeeii vvoossttrrii pprrooggrraammmmii oorriiggiinnaallii Sarebbe anche una buona idea rintracciare e fare copie di backup dei programmi che la Shadow Suite sostituirà. Su un sistema Slackware 3.0 questi sono: · /bin/su · /bin/login · /usr/bin/passwd · /usr/bin/newgrp · /usr/bin/chfn · /usr/bin/chsh · /usr/bin/id Il pacchetto BETA ha una destinazione di _s_a_l_v_a_t_a_g_g_i_o nel Makefile, ma è commentata perché distribuzioni diverse mettono i programmi in posti diversi. Dovreste anche fare una copia di backup del vostro file /etc/passwd, ma state attenti a rinominarlo se lo mettete nella stessa directory così non sovrascriverete il comando passwd. 44..44.. EEsseegguuiirree iill mmaakkee _È _n_e_c_e_s_s_a_r_i_o _c_h_e _s_i_a_t_e _c_o_l_l_e_g_a_t_i _c_o_m_e _r_o_o_t _p_e_r _f_a_r_e _l_a _m_a_g_g_i_o_r _p_a_r_t_e _d_e_l_l_'_i_n_s_t_a_l_l_a_z_i_o_n_e. Eseguite make per compilare gli eseguibili nel pacchetto: make all Potreste vedere l'avvertimento: rcsid defined but not used. È tutto a posto, succede solo perché l'autore sta usando un pacchetto con il controllo di versione. 55.. IInnssttaallllaazziioonnee 55..11.. TTeenneettee aa ppoorrttaattaa ddii mmaannoo uunn ddiissccoo ddii bboooott nneell ccaassoo ffaacceessttee qquuaallcchhee ddaannnnoo Se qualcosa va terribilmente male, sarebbe utile avere un disco di boot. Se avete la combinazione boot/root dalla vostra installazione, questa funzionerà, altrimenti leggete il Bootdisk-HOWTO , che descrive come fare un disco di boot. 55..22.. RRiimmuuoovveerree llee ppaaggiinnee ddii mmaannuuaallee dduupplliiccaattee Dovreste anche spostare le pagine di manuale che stanno per essere sostituite. Anche se siete abbastanza coraggiosi da installare la Shadow Suite senza fare backup, comunque vorrete togliere le vecchie pagine di manuale. Le nuove pagine di manuale normalmente non sovrascriveranno quelle vecchie perché quelle vecchie sono probabilmente compresse. Potete usare la combinazione del comando man -aW e del comando locate per spostare le pagine man che devono essere (ri)mosse. È generalmente più facile trovare quali sono le vecchie pagine man prima di eseguire make install. Se state usando la distribuzione Slackware 3.0, allora le pagine man che volete rimuovere sono: · /usr/man/man1/chfn.1.gz · /usr/man/man1/chsh.1.gz · /usr/man/man1/id.1.gz · /usr/man/man1/login.1.gz · /usr/man/man1/passwd.1.gz · /usr/man/man1/su.1.gz · /usr/man/man5/passwd.5.gz Ci potrebbero anche essere delle pagine man con lo stesso nome nelle sottodirectory /var/man/cat[1-9] che dovrebbero anch'esse essere cancellate. 55..33.. EEsseegguuiirree mmaakkee iinnssttaallll Siete ora pronti a digitare (fatelo come root) make install Questo installerà i programmi nuovi e quelli sostitutivi e sistemerà i permessi dei file. Installerà anche le pagine man. Questo si occupa anche di installare i file include della Shadow Suite nelle posizioni corrette in /usr/include/shadow. Usando il pacchetto BETA dovete copiare manualmente il file login.defs nella sottodirectory /etc ed essere sicuri che solo _r_o_o_t possa cambiarlo. cp login.defs /etc chmod 700 /etc/login.defs Questo file è il file di configurazione per il programma di _l_o_g_i_n. Dovreste controllare e apportare i cambiamenti opportuni a questo file per il vostro particolare sistema. Qui è dove potete decidere da quale tty root può collegarsi e stabilire altre opzioni di strategia di sicurezza (come predefinire la scadenza delle password). 55..44.. EEsseegguuiirree ppwwccoonnvv Il passo successivo è eseguire pwconv. Anche questo deve essere fatto da _r_o_o_t, ed è meglio che venga fatto dalla sottodirectory /etc: cd /etc /usr/sbin/pwconv pwconv prende il vostro file /etc/passwd e ne estrae i campi allo scopo di creare due file: /etc/npasswd e /etc/nshadow. Viene anche fornito un programma pwunconv qualora aveste bisogno di ricostruire il file originale /etc/passwd dalla combinazione /etc/passwd e /etc/shadow. 55..55.. RRiinnoommiinnaarree nnppaasssswwdd ee nnsshhaaddooww Ora che avete eseguito pwconv avete creato i file /etc/npasswd e /etc/nshadow. Questi file devono essere copiati in /etc/passwd e /etc/shadow. Vogliamo anche fare una copia di backup del file originale /etc/passwd ed essere sicuri che solo root possa leggerlo. Metteremo la copia di backup nella home directory di root: cd /etc cp passwd ~passwd chmod 600 ~passwd mv npasswd passwd mv nshadow shadow Dovreste anche assicurarvi che la proprietà e i permessi dei file siano corretti. Se state per usare _X_-_W_i_n_d_o_w_s, i programmi xlock e xdm devono poter leggere il file shadow (ma non scriverlo). Ci sono due modi per fare questo. Potete impostare xlock come SUID root (xdm di solito viene comunque eseguito da root). Oppure potete fare in modo che il proprietario del file shadow sia root con un gruppo shadow, ma prima che lo facciate, siate sicuri di avere un gruppo shadow (guardate in /etc/group). Nessuno degli utenti del sistema dovrebbe in realtà stare nel gruppo shadow. chown root.root passwd chown root.shadow shadow chmod 0644 passwd chmod 0640 shadow Il vostro sistema ha ora il file password "oscurato". _D_o_v_r_e_s_t_e ora andare su un altro terminale virtuale e verificare che possiate collegarvi. _D_a_v_v_e_r_o_, _f_a_t_e_l_o _a_d_e_s_s_o_! Se non potete, allora c'è qualcosa di sbagliato! Per ritornare a un stato non "oscurato", fate ciò che segue: cd /etc cp ~passwd passwd chmod 644 passwd Dovreste poi ripristinare nelle loro corrette posizioni i file che avevate salvato prima. 66.. AAllttrrii pprrooggrraammmmii aa ccuuii ppoottrreessttee ddoovveerr ffaarree uunn aaggggiioorrnnaammeennttoo oo aapppplliiccaarree uunnaa ppaattcchh Anche se la shadow suite contiene programmi sostitutivi per la maggior parte dei programmi che hanno bisogno di accedere alle password, ci sono alcuni altri programmi su molti sistemi che richiedono accesso alle password. Se state usando una _D_i_s_t_r_i_b_u_z_i_o_n_e _D_e_b_i_a_n (o anche se non la usate), potete ottenere i sorgenti Debian per i programmi che devono essere ricompilati da: ftp://ftp.debian.org/debian/stable/source/ Il resto di questa sezione si occupa di come aggiornare adduser, wu_ftpd, ftpd, pop3d, xlock, xdm e sudo in modo che supportino la shadow suite. Guardate il capitolo ``Aggiungere il supporto Shadow ad un programma C'' per una discussione su come aggiungere il supporto shadow a qualunque altro programma che ne abbia bisogno (anche se il programma deve allora essere eseguito SUID root o SGID shadow per poter veramente accedere al file shadow). 66..11.. IIll pprrooggrraammmmaa aadddduusseerr ddeellllaa SSllaacckkwwaarree Le distribuzioni Slackware (e forse anche altre) contengono un programma interattivo per aggiungere utenti chiamato /sbin/adduser. Una versione shadow di questo programma si può ottenere da ftp://sunsite.unc.edu/pub/Linux/system/Admin/accounts/adduser.shadow-1.4.tar.gz. Vi incoraggio ad usare i programmi che vengono forniti con la _S_h_a_d_o_w _S_u_i_t_e (useradd, usermod, e userdel) invece del programma Slackware adduser. Imparare ad usarli richiede poco tempo, ma vale la pena fare lo sforzo perché avete molto più controllo ed essi eseguono un appropriato lock dei file /etc/passwd e /etc/shadow (adduser non lo fa). Guardate il capitolo su ``Mettere al lavoro la Shadow Suite'' per maggiori informazioni. Ma se dovete proprio usarlo (adduser N.d.T.), ecco cosa dovete fare: tar -xzvf adduser.shadow-1.4.tar.gz cd adduser make clean make adduser chmod 700 adduser cp adduser /sbin 66..22.. IIll SSeerrvveerr wwuu__ffttppdd La maggior parte dei sistemi Linux contengono il server wu_ftpd. Se la vostra distribuzione non ha la shadow installata, allora il vostro wu_ftpd non sarà compilato per la shadow. wu_ftpd viene lanciato da inetd/tcpd come un processo di _r_o_o_t. Se state eseguendo un vecchio demone wu_ftpd, vorrete aggiornarlo comunque perché quelli più vecchi hanno un baco che permetterebbe che l'account _r_o_o_t venisse compromesso (per maggiori informazione guardate la Linux security home page ). Fortunatamente, avete solo bisogno di ottenere il codice sorgente e di ricompilarlo con le shadow abilitate. Se non state usando un sistema ELF, il server wu_ftp può essere trovato su Sunsite come wu-ftp-2.4-fixed.tar.gz Una volta ottenuto il server, mettetelo in /usr/src, quindi digitate: cd /usr/src tar -xzvf wu-ftpd-2.4-fixed.tar.gz cd wu-ftpd-2.4-fixed cp ./src/config/config.lnx.shadow ./src/config/config.lnx Quindi editate ./src/makefiles/Makefile.lnx, e cambiate la riga: LIBES = -lbsd -support in: LIBES = -lbsd -support -lshadow Ora siete pronti ad eseguire lo script "build" e all'installazione: cd /usr/src/wu-ftpd-2.4-fixed /usr/src/wu-ftp-2.4.fixed/build lnx cp /usr/sbin/wu.ftpd /usr/sbin/wu.ftpd.old cp ./bin/ftpd /usr/sbin/wu.ftpd Questo usa il file di configurazione delle shadow di Linux, compila ed installa il server. Sul mio sistema Slackware 2.3 devo fare anche le seguenti cose prima di eseguire il build: cd /usr/include/netinet ln -s in_systm.h in_system.h cd - Sono stati riscontrati dei problemi nel compilare questo pacchetto sotto sistemi ELF, ma la versione Beta della prossima release funziona bene. Si può trovare come wu-ftp-2.4.2-beta-10.tar.gz Una volta ottenuto il server, mettetelo in /usr/src, quindi digitate: cd /usr/src tar -xzvf wu-ftpd-2.4.2-beta-9.tar.gz cd wu-ftpd-beta-9 cd ./src/config Poi editate config.lnx, e cambiate: #undef SHADOW.PASSWORD in: #define SHADOW.PASSWORD Poi, cd ../Makefiles ed editate il file Makefile.lnx e cambiate: LIBES = -lsupport -lbsd # -lshadow in: LIBES = -lsupport -lbsd -lshadow Poi eseguite build ed installate: cd .. build lnx cp /usr/sbin/wu.ftpd /usr/sbin/wu.ftpd.old cp ./bin/ftpd /usr/sbin/wu.ftpd Notate che dovreste controllare il vostro file /etc/inetd.conf per essere sicuri che è qui che viene realmente realmente il vostro server wu.ftpd. È stato riscontrato che alcune distribuzioni mettono i server dei demoni in posti diversi, e quindi wu.ftpd in particolare potrebbe essere chiamato in qualche altro modo. 66..33.. FFttppdd ssttaannddaarrdd Se state usando il server ftpd standard, vi consiglio di aggiornarlo al server wu_ftpd. A parte il baco conosciuto discusso sopra, generalmente è considerato più sicuro. Se insistete ad usare quello standard, o avete bisogno di supporto _N_I_S, Sunsite ha ftpd-shadow-nis.tgz 66..44.. ppoopp33dd ((PPoosstt OOffffiiccee PPrroottooccooll 33)) Se avete bisogno di supportare il _P_o_s_t _O_f_f_i_c_e _P_r_o_t_o_c_o_l _3 _(_P_O_P_3_), avete bisogno di ricompilare un programma pop3d. pop3d è normalmente eseguito da inetd/tcpd come root. Ci sono due versioni disponibili da: pop3d-1.00.4.linux.shadow.tar.gz e pop3d+shadow+elf.tar.gz Entrambi questi sono abbastanza semplici da installare. 66..55.. xxlloocckk Se installate la Shadow Suite e poi eseguite _X _W_i_n_d_o_w_s _S_y_s_t_e_m e bloccate (lock) lo schermo senza aggiornare il vostro xlock, dovrete usare CNTL-ALT-Fx per passare ad un'altra _t_t_y, collegarvi, e uccidere il processo xlock (o usare CNTL-ALT-BS per uccidere il server X). Fortunatamente è abbastanza facile aggiornare il vostro programma xlock. Se state usando le Versioni 3.x.x di XFree86, probabilmente state usando xlockmore (che è un grande screen-saver in aggiunta a lock). Questo pacchetto supporta le _s_h_a_d_o_w con una ricompilazione. Se avete un xlock precedente, vi consiglio di aggiornarlo a questo. xlockmore-3.5.tgz è disponibile su: Fondamentalmente, questo è quello che avete bisogno di fare: Ottenere il file xlockmore-3.7.tgz e metterlo in /usr/src, spacchettarlo: tar -xzvf xlockmore-3.7.tgz Editare il file: /usr/X11R6/lib/X11/config/linux.cf, e cambiare la riga: #define HasShadowPasswd NO in #define HasShadowPasswd YES Quindi compilate gli eseguibili: cd /usr/src/xlockmore xmkmf make depend make Quindi spostare tutto al suo posto e aggiornare i proprietari ed i permessi dei file: cp xlock /usr/X11R6/bin/ cp XLock /var/X11R6/lib/app-defaults/ chown root.shadow /usr/X11R6/bin/xlock chmod 2755 /usr/X11R6/bin/xlock chown root.shadow /etc/shadow chmod 640 /etc/shadow Il vostro xlock ora funzionerà correttamente. 66..66.. xxddmm xdm è un programma che presenta uno schermo di login per X-Windows. Alcuni sistemi avviano xdm quando viene detto al sistema di andare ad uno specifico livello di esecuzione (vedere /etc/inittab). Con la _S_h_a_d_o_w _S_u_i_t_e installata, xdm avrà bisogno di essere aggiornato. Fortunatamente è abbastanza facile aggiornare il vostro programma xdm. xdm.tar.gz è disponibile su: Prendete il file xdm.tar.gz e mettetelo in /usr/src, quindi per spacchettarlo: tar -xzvf xdm.tar.gz Editate il file: /usr/X11R6/lib/X11/config/linux.cf, e cambiate la riga: #define HasShadowPasswd NO in #define HasShadowPasswd YES Quindi compilate gli eseguibili: cd /usr/src/xdm xmkmf make depend make Poi mettete tutto al suo posto: cp xdm /usr/X11R6/bin/ xdm è eseguito da _r_o_o_t perciò non avete bisogno di cambiare i permessi del file. 66..77.. ssuuddoo Il programma sudo permette ad un amministratore di sistema di lasciare che gli utenti eseguano programmi che normalmente richiederebbero accesso da root. Questo è comodo perché lascia limitato l'accesso di amministratore all'account root stesso, mentre permette agli utenti di fare cose tipo il mount dei dispositivi. sudo necessita di leggere le password perché verifica la password dell'utente quando viene invocato. sudo già viene eseguito SUID root, perciò accedere al file /etc/shadow non è un problema. sudo per la shadow suite, è disponibile su: _A_t_t_e_n_z_i_o_n_e: Quando installate sudo il vostro file /etc/sudoers sarà sostituito con uno predefinito, perciò avrete bisogno di farne una copia di backup se avete aggiunto qualcosa a quello predefinito (potreste anche editare il Makefile e rimuovere la riga che copia il file predefinito in /etc). Il pacchetto è già predisposto per le shadow, perciò tutto quello che è richiesto è ricompilare il pacchetto (mettetelo in /usr/src): cd /usr/src tar -xzvf sudo-1.2-shadow.tgz cd sudo-1.2-shadow make all make install 66..88.. iimmaappdd ((ppaacccchheettttoo PPiinnee EE--MMaaiill)) imapd è un server e-mail simile a pop3d. imapd è incluso nel pacchetto _P_i_n_e _E_-_m_a_i_l. La documentazione inclusa nel pacchetto afferma che nei sistemi Linux è predefinita l'opzione di includere il supporto shadow. Comunque, ho trovato che questo non è vero. Inoltre, la combinazione script di build/Makefile su questo pacchetto rende molto difficile aggiungere la libreria libshadow.a in tempo di compilazione, perciò non sono riuscito ad aggiungere il supporto shadow per imapd. Se qualcuno è riuscito a farlo, per favore mi mandi una e-mail, ed io includerò qui la soluzione. 66..99.. ppppppdd ((PPooiinntt--ttoo--PPooiinntt PPrroottooccooll SSeerrvveerr)) Il server pppd può essere impostato in modo che usi diversi tipi di autenticazione: _P_a_s_s_w_o_r_d _A_u_t_h_e_n_t_i_c_a_t_i_o_n _P_r_o_t_o_c_o_l (PAP) e _C_r_y_p_t_o_g_r_a_p_h_i_c _H_a_n_d_s_h_a_k_e _A_u_t_h_e_n_t_i_c_a_t_i_o_n _P_r_o_t_o_c_o_l (CHAP). Il server pppd di solito legge le stringhe contenenti le password che usa da /etc/ppp/chap- secrets e/o /etc/ppp/pap-secrets. Se state usando questo comportamento predefinito di pppd, non è necessario reinstallare pppd. pppd vi permette anche di usare il parametro _l_o_g_i_n (o su linea di comando, o nella configurazione del file options). Se viene data l'opzione _l_o_g_i_n, il pppd userà il file /etc/passwd per il nome utente e la password per il _P_A_P. Questo, ovviamente, non funzionerà più ora che il nostro file shadow è "oscurato". Per quanto riguarda pppd-1.2.1d questo richiede aggiunta di codice per il supporto shadow. L'esempio dato nel prossimo capitolo consiste nell'aggiunta di supporto shadow a pppd-1.2.1d (una vecchia versione di pppd). pppd-2.2.0 contiene già il supporto shadow. 77.. MMeetttteerree aall llaavvoorroo llaa SShhaaddooww SSuuiittee Questo capitolo tratta alcune cose che dovete sapere ora che avete la _S_h_a_d_o_w _S_u_i_t_e installata sul vostro sistema. Ulteriori informazioni sono contenute nelle pagine di manuale per ogni comando. 77..11.. AAggggiiuunnggeerree,, MMooddiiffiiccaarree ee CCaanncceellllaarree uutteennttii La _S_h_a_d_o_w _S_u_i_t_e ha aggiunto i seguenti comandi orientati a linea di comando per aggiungere, modificare, e cancellare utenti. Potreste anche aver installato il programma adduser. 77..11..11.. uusseerraadddd Il comando useradd può essere usato per aggiungere utenti al sistema. Potete anche invocare questo comando per cambiare le impostazioni predefinite. La prima cosa che dovreste fare è esaminare le impostazioni predefinite e apportare cambiamenti specifici per il vostro sistema: useradd -D ______________________________________________________________________ GROUP=1 HOME=/home INACTIVE=0 EXPIRE=0 SHELL= SKEL=/etc/skel ______________________________________________________________________ Le impostazioni predefinite probabilmente non sono quelle che volete, perciò se cominciaste ad aggiungere utenti adesso dovreste specificare tutte le informazioni per ciascun utente. Comunque, possiamo e dovremmo cambiare i valori predefiniti. Sul mio sistema: · Voglio che il gruppo predefinito sia 100 · Voglio che le password scadano ogni 60 giorni · Non voglio bloccare un account se la password è scaduta · Voglio che la shell predefinita sia /bin/bash Per fare questi cambiamenti userei: useradd -D -g100 -e60 -f0 -s/bin/bash Ora eseguendo useradd -D darà: ______________________________________________________________________ GROUP=100 HOME=/home INACTIVE=0 EXPIRE=60 SHELL=/bin/bash SKEL=/etc/skel ______________________________________________________________________ Solo nel caso voleste saperlo, questi valori predefiniti sono contenuti nel file /etc/default/useradd. Ora potete usare useradd per aggiungere utenti al sistema. Per esempio, per aggiungere l'utente fred, usando i valori predefiniti, dovreste fare come segue: useradd -m -c "Fred Flintstone" fred Questo creerà la voce seguente nel file /etc/passwd: fred:*:505:100:Fred Flintstone:/home/fred:/bin/bash E la voce seguente nel file /etc/shadow: fred:!:0:0:60:0:0:0:0 Verrà creata la home directory di fred e il contenuto di /etc/skel sarà copiato là grazie all'opzione -m. Inoltre, dato che non abbiamo specificato un UID, è stato usato il primo disponibile. L'account di fred è stato creato, ma fred non sarà ancora in grado di collegarsi fino a quando sbloccheremo l'account. Facciamo questo cambiando la password. passwd fred ______________________________________________________________________ Changing password for fred Enter the new password (minimum of 5 characters) Please use a combination of upper and lower case letters and numbers. New Password: ******* Re-enter new password: ******* ______________________________________________________________________ Che, in italiano, sarebbe qualcosa del genere: ______________________________________________________________________ Cambio la password di fred Inserire la nuova password (minimo 5 caratteri) Per favore, utilizzare una combinazione di maiuscole, minuscole e cifre. Nuova Password: ******* Reinserire la nuova password: ******* ______________________________________________________________________ Ora /etc/shadow conterrà: fred:J0C.WDR1amIt6:9559:0:60:0:0:0:0 E fred potrà ora collegarsi ed usare il sistema. La cosa bella di useradd e degli altri programmi che vengono forniti con la _S_h_a_d_o_w _S_u_i_t_e è che fanno cambiamenti ai file /etc/passwd e /etc/shadow in modo non interrompibile. Perciò , se state aggiungendo un utente, e contemporaneamente un altro utente sta cambiando la sua password, entrambe le operazioni verranno eseguite correttamente. Dovreste usare i comandi forniti anziché editare direttamente /etc/passwd e /etc/shadow. Se voi editaste il file /etc/shadow, e un utente cambiasse la sua password mentre voi state editando, e poi voi salvaste il file che stavate editando, il cambiamento della password dell'utente andrebbe perso. Qui c'è un piccolo script interattivo che aggiunge utenti usando useradd e passwd: ______________________________________________________________________ #!/bin/bash # # /sbin/newuser - Uno script per aggiungere utenti al sistema usando i # comandi useradd e passwd della Shadow Suite. # # Scritto da Mike Jackson come esempio per il # Linux Shadow Password Howto. Viene esplicitamente concesso il # permesso di usarlo e modificarlo. # # Questo potrebbe essere modificato per mostrare i valori predefiniti # e permettere modifiche simili al programma Slackware # adduser. Potrebbe essere modificato per non permettere voci stupide # (i.e. miglior controllo degli errori). # ## # Valori predefiniti per il comando useradd ## GROUP=100 # Gruppo predefinito HOME=/home # Collocazione della home directory (/home/nomeutente) SKEL=/etc/skel # Struttura tipica di una nuova directory home. INACTIVE=0 # Giorni tra la scadenza della password e la # disabilitazione dell'account (0 = mai) EXPIRE=60 # Durata della password in giorni SHELL=/bin/bash # Shell predefinita (intero percorso) ## # Valori predefiniti per il comando passwd ## PASSMIN=0 # Giorni tra i cambiamenti della password PASSWARN=14 # Giorni prima che scada la password in cui viene # dato un avviso ## # Assicurarsi che sia root ad eseguire lo script. ## WHOAMI=`/usr/bin/whoami` if [ $WHOAMI != "root" ]; then echo "Devi essere root per aggiungere nuovi utenti!" exit 1 fi ## # Chiedere il nome utente e il nome completo. ## echo "" echo -n "Nome utente: " read USERNAME echo -n "Nome completo: " read FULLNAME # echo "Aggiunta dell'utente: $USERNAME." # # Notate che le "" intorno a $FULLNAME sono richieste perché # questo campo quasi sempre conterrà almeno uno spazio, e senza # le " il comando useradd, quando raggiunge il carattere SPAZIO, # penserebbe che vi stiate spostando sul prossimo parametro. # /usr/sbin/useradd -c"$FULLNAME" -d$HOME/$USERNAME -e$EXPIRE \ -f$INACTIVE -g$GROUP -m -k$SKEL -s$SHELL $USERNAME ## # Impostare i valori predefiniti per le password ## /bin/passwd -n $PASSMIN -w $PASSWARN $USERNAME >/dev/null 2>&1 ## # Lascia che il comando passwd chieda la password (due volte) ## /bin/passwd $USERNAME ## # Mostra ciò che è stato fatto. ## echo "" echo "Voce di /etc/passwd:" echo -n " " grep "$USERNAME:" /etc/passwd echo "Voce di /etc/shadow:" echo -n " " grep "$USERNAME:" /etc/shadow echo "Riassunto dei risultati del comando passwd:" echo -n " " passwd -S $USERNAME echo "" ______________________________________________________________________ Usare uno script per aggiungere utenti è davvero molto più preferibile che editare direttamente i file /etc/passwd o /etc/shadow o usare un programma come il programma Slackware adduser. Sentitevi liberi di usare e modificare questo script per il vostro particolare sistema. Per maggiori informazioni su useradd vedere la pagina di manuale in linea. 77..11..22.. uusseerrmmoodd Il programma usermod viene usato per modificare le informazioni su un utente. Le opzioni sono simili a quelle del programma useradd. Diciamo che volete cambiare la shell di fred, fareste ciò che segue: usermod -s /bin/tcsh fred Ora la voce di frednel file /etc/passwd sarebbe diventata questa: fred:*:505:100:Fred Flintstone:/home/fred:/bin/tcsh Facciamo in modo che l'account di fred scada il 09/15/97: usermod -e 09/15/97 fred Ora la voce di fred in /etc/shadow diventa: fred:J0C.WDR1amIt6:9559:0:60:0:0:10119:0 Per maggiori informazioni sul comando usermod vedere la pagina di manuale in linea. 77..11..33.. uusseerrddeell userdel fa proprio quello che vi aspettate, cancella l'account dell'utente. Semplicemente usate: userdel -r nomeutente Il -r fa sì che tutti i file nella home directory dell'utente vengano cancellati insieme alla home directory stessa. I file collocati in altri file system dovranno essere cercati e cancellati manualmente. Se volete semplicemente bloccare l'account invece che cancellarlo, usate piuttosto il comando passwd. 77..22.. IIll ccoommaannddoo ppaasssswwdd ee ll''iinnvveecccchhiiaammeennttoo ddeellllee ppaasssswwoorrdd Il comando passwd ha l'ovvio uso di cambiare le password. Inoltre, viene usato dall'utente _r_o_o_t per: · Bloccare (lock) e sbloccare (unlock) gli account (-l e -u) · Impostare il massimo numero di giorni per cui una password rimane valida (-x) · Impostare il minimo numero di giorni tra cambiamenti della password (-n) · Impostare il numero di giorni di avviso che una password sta per scadere (-w) · Impostare il numero di giorni dopo la scadenza della password prima che l'account venga bloccato (-i) · Permettere la visualizzazione delle informazioni di account in un formato più chiaro -S) Per esempio, diamo ancora un'occhiata a fred passwd -S fred fred P 03/04/96 0 60 0 0 Questo significa che la password di fred è valida, che è stata cambi­ ata l'ultima volta il 03/04/96, che può essere cambiata in qualunque momento, scade dopo 60 giorni, fred non sarà avvertito e l'account non verrà disabilitato quando la password scadrà. Questo semplicemente significa che se fred si collega dopo che la password scade, al collegamento gli verrà richiesta una nuova password. Se decidiamo che vogliamo avvertire fred 14 giorni prima che la sua password scada e inattivare il suo account 14 giorni dopo che lui la lascia scadere, dovremo fare quanto segue: passwd -w14 -i14 fred Ora fred è diventato: fred P 03/04/96 0 60 14 14 Per ulteriori informazioni sul comando passwd vedere le pagine di man­ uale in linea. 77..33.. IIll ffiillee llooggiinn..ddeeffss Il file /etc/login è il file di configurazione per il programma login e anche per l'intera _S_h_a_d_o_w _S_u_i_t_e. /etc/login contiene impostazioni che riguardano dall'aspetto del prompt fino alla scadenza predefinita quando un utente cambia la sua password. Il file /etc/login.defs è abbastanza ben documentato dai commenti contenuti al suo interno. Comunque, ci sono alcune cose da notare: · Contiene alcuni flag che possono essere attivati o disattivati che determinano il numero di collegamenti che vengono effettuati. · Contiene puntatori ad altri file di configurazione. · Contiene valori predefiniti per cose tipo l'invecchiamento delle password. Dalla lista sopra potete vedere che questo è un file abbastanza importante, e dovreste essere sicuri che sia presente, e che le impostazioni siano quelle che desiderate per il vostro sistema. 77..44.. PPaasssswwoorrdd ddii ggrruuppppoo Il file /etc/groups può contenere password che permettono ad un utente di diventare membro di un particolare gruppo. Questa funzione è abilitata se definite la costante SHADOWGRP nel file /usr/src/shadow- AAMMGG/config.h. Se definite questa costante e poi compilate, dovete creare un file /etc/gshadow che contenga le password del gruppo e le informazioni di amministrazione del gruppo. Quando avete creato /etc/shadow, avete usato un programma chiamato pwconv, non c'è nessun programma equivalente per creare il file /etc/gshadow, ma in realtà non importa, se ne occupa lui stesso. Per creare il file iniziale /etc/gshadow fate come segue: touch /etc/gshadow chown root.root /etc/gshadow chmod 700 /etc/gshadow Una volta che create nuovi gruppi, questi verranno aggiunti ai file /etc/group e /etc/gshadow. Se voi modificate un gruppo aggiungendo o togliendo utenti o cambiando la password del gruppo, il file /etc/gshadow verrà modificato. I programmi groups, groupadd, groupmod, e groupdel sono forniti come parte della _S_h_a_d_o_w _S_u_i_t_e per modificare i gruppi. Il formato del file /etc/group è quello che segue: nomegruppo:!:GID:membro,membro,... Dove: nomegruppo Il nome del gruppo ! Il campo che normalmente contiene la password, che ora è però situata nel file /etc/gshadow GID L'identificativo numerico del gruppo membro Elenco dei membri del gruppo Il formato del file /etc/gshadow è quello che segue: nomegruppo:password:ammin,ammin,...:membro,membro,... Dove: nomegruppo Il nome del gruppo password La password del gruppo codificata ammin Elenco degli amministratori del gruppo membro Elenco dei membri del gruppo Il comando gpasswd è usato solo per aggiungere o togliere amministratori e membri a o da un gruppo. Solo root o qualcuno appartenente all'elenco degli amministratori può aggiungere o togliere membri del gruppo. La password del gruppo può essere modificata con il comando passwd da _r_o_o_t o chiunque appartenga alla lista degli amministratori del gruppo. Nonostante il fatto che attualmente non ci sia una pagina di manuale per gpasswd, digitando gpasswd senza alcun parametro si ottiene un elenco di opzioni. È abbastanza semplice capire come funziona il tutto una volta che avete capito i formati dei file e i concetti. 77..55.. PPrrooggrraammmmii ppeerr iill ccoonnttrroolllloo ddeellllaa ccoonnssiisstteennzzaa 77..55..11.. ppwwcckk Il programma pwck viene fornito per offrire un controllo di consistenza sui file /etc/passwd e /etc/shadow. Esso controllerà ogni nome utente e verificherà che abbia quanto segue: · il corretto numero di campi · un nome utente univoco · un valido identificatore di utente e di gruppo · un valido gruppo primario · una valida home directory · una valida shell di login Darà anche un avvertimento per ogni account privo di password. È una buona idea eseguire pwck dopo aver installato la _S_h_a_d_o_w _S_u_i_t_e. È anche una buona idea eseguirlo periodicamente, magari una volta alla settimana o al mese. Se usate l'opzione -r, potete usare cron per eseguirlo con una cadenza regolare e riceverne per posta il rapporto. 77..55..22.. ggrrppcckk grpck è il programma per il controllo della consistenza per i file /etc/group and /etc/gshadow. Esso esegue i seguenti controlli: · il corretto numero di campi · un nome del gruppo univoco · elenco valido di membri ed amministratori Dispone anche dell'opzione -r per rapporti automatizzati. 77..66.. PPaasssswwoorrdd ddii ddiiaall--uupp Le password di dial-up sono un altro strumento opzionale di difesa per i sistemi che permettono l'accesso tramite una linea telefonica commutata. Se avete un sistema che permette a molte persone di connettersi localmente o tramite una rete, ma volete porre dei limiti su chi possa accedere per telefono e connettersi, allora le password di dial-up fanno al caso vostro. Per abilitare le password di dial-up, dovete editare il file /etc/login.defs ed assicurarvi che DIALUPS_CHECK_ENAB sia impostato a yes. Due sono i file che contengono informazioni di dial-up: /etc/dialups che contiene le tty (una per riga, senza la parte iniziale /dev). Se una tty compare nella lista, allora vengono effettuati i controlli di dial-up. Il secondo file è /etc/d_passwd. Questo file contiene il percorso completo di una shell, seguito da una password opzionale. Se un utente si collega attraverso una tty elencata in /etc/dialups, e la sua shell è presente nel file /etc/d_passwd gli sarà permesso l'accesso solo se fornirà la corretta password. Un altro utile scopo per usare password di dial-up potrebbe essere quello di impostare una linea che permetta solo un certo tipo di connessione (come una connessione PPP o UUCP). Se un utente cerca di ottenere un altro tipo di connessione (i.e. un elenco di shell), deve conoscere una password per usare la linea. Prima che possiate usare la caratteristica del dial-up, dovete creare i file. Viene fornito il comando dpasswd per assegnare password per le shell nel file /etc/d_passwd. Vedere la pagina di manuale per ulteriori informazioni. 88.. AAggggiiuunnggeerree iill ssuuppppoorrttoo sshhaaddooww aadd uunn pprrooggrraammmmaa CC Aggiungere il supporto shadow ad un programma è in realtà abbastanza semplice. L'unico problema è che il programma deve essere eseguito da root (o SUID root) in modo che il programma possa accedere al file /etc/shadow. Questo presenta un grande problema: occorre seguire una condotta di programmazione molto attenta quando si creano programmi SUID. Per esempio, se un programma ha un comando che invoca una shell, questa non deve essere eseguita con i diritti di root anche se il programma è SUID root. Per aggiungere il supporto shadow ad un programma in modo che possa controllare le password, ma per il resto non necessita di essere eseguito da root, è molto più sicuro eseguire il programma SGID shadow. Il programma xlock ne è un esempio. Nell'esempio fatto prima, pppd-1.2.1d già viene eseguito SUID root, perciò aggiungere il supporto shadow non dovrebbe rendere il programma più vulnerabile. 88..11.. FFiillee ddii iinntteessttaazziioonnee ((hheeaaddeerr)) I file di intestazione (header) dovrebbero stare in /usr/include/shadow. Ci dovrebbe anche essere un /usr/include/shadow.h, ma sarebbe un link simbolico a /usr/include/shadow/shadow.h. Per aggiungere il supporto shadow ad un programma, dovete includere i file di intestazione: #include #include Potrebbe essere una buona idea usare le direttive del compilatore in modo da condizionare la compilazione del codice shadow (io lo faccio nell'esempio che segue). 88..22.. LLaa lliibbrreerriiaa lliibbsshhaaddooww..aa Quando avete installato la _S_h_a_d_o_w _S_u_i_t_e il file libshadow.a è stato creato ed installato in /usr/lib. Quando si compila il supporto shadow in un programma, bisogna dire al linker di includere la libreria libshadow.a. Questo viene fatto da: gcc program.c -o program -lshadow Comunque, come vedremo nell'esempio che segue, la maggior parte dei programmi di grandi dimensioni usa un Makefile, che di solito ha una variabile chiamata LIBS=... che noi modificheremo. 88..33.. LLaa ssttrruuttttuurraa SShhaaddooww La libreria libshadow.a usa una struttura chiamata spwd per le informazioni che preleva dal file /etc/shadow. Questa è la definizione della struttura spwd dal file di intestazione /usr/include/shadow/shadow.h: ______________________________________________________________________ struct spwd { char *sp_namp; /* nome di login */ char *sp_pwdp; /* password codificata */ sptime sp_lstchg; /* data dell'ultimo cambiamento */ sptime sp_min; /* minimo numero di giorni tra cambiamenti */ sptime sp_max; /* massimo numero di giorni tra cambiamenti */ sptime sp_warn; /* numero di giorni di avvertimento prima che scada la password */ sptime sp_inact; /* numero di giorni dopo la scadenza della password prima che l'account venga disabilitato */ sptime sp_expire; /* giorni dal 1/1/70 fino alla scadenza dell'account */ unsigned long sp_flag; /* riservato per uso futuro */ }; ______________________________________________________________________ La _S_h_a_d_o_w _S_u_i_t_e può mettere altre cose nel campo sp_pwdp proprio a fianco della password codificata. Il campo della password potrebbe contenere: nomeutente:Npge08pfz4wuk;@/sbin/extra:9479:0:10000:::: Questo significa che, oltre alla password, dovrebbe essere chiamato il programma /sbin/extra per ulteriori autenticazioni. Il programma chiamato riceverà il nome utente e un'opzione che indica perché viene chiamato. Vedere il file /usr/include/shadow/pwauth.h e il codice sorgente di pwauth.c per ulteriori informazioni. Ciò che voglio dire è che dovremmo usare la funzione pwauth per eseguire la vera autenticazione, dato che si occuperà anche dell'autenticazione secondaria. L'esempio sotto fa proprio questo. L'autore della _S_h_a_d_o_w _S_u_i_t_e fa presente che poiché molti dei programmi esistenti non la usano potrebbe essere rimossa o cambiata dalle future versioni della _S_h_a_d_o_w _S_u_i_t_e. 88..44.. FFuunnzziioonnii SShhaaddooww Il file shadow.h contiene anche i prototipi delle funzioni contenute nella libreria libshadow.a: ______________________________________________________________________ extern void setspent __P ((void)); extern void endspent __P ((void)); extern struct spwd *sgetspent __P ((__const char *__string)); extern struct spwd *fgetspent __P ((FILE *__fp)); extern struct spwd *getspent __P ((void)); extern struct spwd *getspnam __P ((__const char *__name)); extern int putspent __P ((__const struct spwd *__sp, FILE *__fp)); ______________________________________________________________________ La funzione che useremo nell'esempio è: getspnam che ritorna una struttura spwd per il nome passato per argomento. 88..55.. EEsseemmppiioo Questo è un esempio di aggiunta del supporto shadow ad un programma che ne ha bisogno, ma non lo possiede. Questo esempio usa il _P_o_i_n_t_-_t_o_-_P_o_i_n_t _P_r_o_t_o_c_o_l _S_e_r_v_e_r (pppd-1.2.1d), che ha una modalità in cui esegue l'autenticazione _P_A_P usando i nomi e le password degli utenti dal file /etc/passwd anziché dai file _P_A_P o _C_H_A_P. Non dovreste aver bisogno di aggiungere questo codice a pppd-2.2.0 perché c'è già. Questa caratteristica del pppd probabilmente non è molto usata, ma se avete installato la _S_h_a_d_o_w _S_u_i_t_e, non funzionerà comunque perché le password non si trovano più in /etc/passwd. Il codice per l'autenticazione degli utenti sotto pppd-1.2.1d si trova nel file /usr/src/pppd-1.2.1d/pppd/auth.c. Il seguente codice deve essere aggiunto all'inizio del file dove si trovano tutte le altre direttive #include. Abbiamo racchiuso gli #include tra direttive condizionali (i.e. vengono presi in considerazione solo se stiamo compilando per il supporto shadow). ______________________________________________________________________ #ifdef HAS_SHADOW #include #include #endif ______________________________________________________________________ Il passo successivo consiste nel modificare il codice vero e proprio. Stiamo ancora apportando cambiamenti al file auth.c. Funzione auth.c prima delle modifiche: ______________________________________________________________________ /* * login - Controlla il nome e la password dell'utente nel database delle * password di sistema, e permette il login se l'utente è OK. * * restituisce: * UPAP_AUTHNAK: Login fallito. * UPAP_AUTHACK: Login riuscito. * In entrambi i casi, msg punta al messaggio appropriato. */ static int login(user, passwd, msg, msglen) char *user; char *passwd; char **msg; int *msglen; { struct passwd *pw; char *epasswd; char *tty; if ((pw = getpwnam(user)) == NULL) { return (UPAP_AUTHNAK); } /* * XXX Se non c'è nessuna password, li lascia collegare senza. */ if (pw->pw_passwd == '\0') { return (UPAP_AUTHACK); } epasswd = crypt(passwd, pw->pw_passwd); if (strcmp(epasswd, pw->pw_passwd)) { return (UPAP_AUTHNAK); } syslog(LOG_INFO, "user %s logged in", user); /* * Scrive una voce wtmp per questo utente. */ tty = strrchr(devname, '/'); if (tty == NULL) tty = devname; else tty++; logwtmp(tty, user, ""); /* Aggiunge una voce di login al wtmp */ logged_in = TRUE; return (UPAP_AUTHACK); } ______________________________________________________________________ La password dell'utente viene messa in pw->pw_passwd, così tutto quello che dobbiamo fare in realtà è aggiungere la funzione getspnam. Questa metterà la password in spwd->sp_pwdp. Aggiungeremo la funzione pwauth per eseguire l'autenticazione vera e propria. Questa eseguirà automaticamente l'autenticazione secondaria se il file shadow è impostato per farlo. Funzione auth.c dopo le modifiche per il supporto shadow: ______________________________________________________________________ /* * login - Controlla il nome e la password dell'utente nel database delle * password di sistema, e permette il login se l'utente è OK. * * Questa funzione è stata modificata in modo da supportare la * Linux Shadow Password Suite se USE_SHADOW è definito. * * restituisce: * UPAP_AUTHNAK: Login fallito. * UPAP_AUTHACK: Login riuscito. * In entrambi i casi, msg punta al messaggio appropriato. */ static int login(user, passwd, msg, msglen) char *user; char *passwd; char **msg; int *msglen; { struct passwd *pw; char *epasswd; char *tty; #ifdef USE_SHADOW struct spwd *spwd; struct spwd *getspnam(); #endif if ((pw = getpwnam(user)) == NULL) { return (UPAP_AUTHNAK); } #ifdef USE_SHADOW spwd = getspnam(user); if (spwd) pw->pw_passwd = spwd->sp-pwdp; #endif /* * XXX Se non c'è nessuna password, NON li lascia collegare senza. */ if (pw->pw_passwd == '\0') { return (UPAP_AUTHNAK); } #ifdef HAS_SHADOW if ((pw->pw_passwd && pw->pw_passwd[0] == '@' && pw_auth (pw->pw_passwd+1, pw->pw_name, PW_LOGIN, NULL)) || !valid (passwd, pw)) { return (UPAP_AUTHNAK); } #else epasswd = crypt(passwd, pw->pw_passwd); if (strcmp(epasswd, pw->pw_passwd)) { return (UPAP_AUTHNAK); } #endif syslog(LOG_INFO, "user %s logged in", user); /* * Scrive una voce wtmp per questo utente. */ tty = strrchr(devname, '/'); if (tty == NULL) tty = devname; else tty++; logwtmp(tty, user, ""); /* Aggiunge una voce di login al wtmp */ logged_in = TRUE; return (UPAP_AUTHACK); } ______________________________________________________________________ Un attento esame rivelerà che abbiamo fatto un'altra modifica. La versione originale permetteva l'accesso (restituiva UPAP_AUTHACK) se non c'era NESSUNA password nel file /etc/passwd. Questo _n_o_n è una buona cosa, perché un uso comune di questa caratteristica di login è quello di usare un account che permetta l'accesso al processo ppp e quindi confrontare il nome utente e la password forniti da PAP con il nome utente nel file /etc/passwd e la password nel file /etc/shadow. Perciò se abbiamo impostato la versione originale in modo da eseguire, al posto della shell per un utente, ad esempio ppp, allora chiunque potrebbe ottenere una connessione ppp impostando la sua PAP con utente ppp e senza password. Abbiamo risolto questo anche restituendo UPAP_AUTHNAK invece che UPAP_AUTHACK nel caso in cui il campo password fosse vuoto. È abbastanza interessante il fatto che pppd-2.2.0 abbia lo stesso problema. Poi abbiamo bisogno di modificare il Makefile in modo che avvengano due cose: USE_SHADOW deve essere definita, e libshadow.a deve essere aggiunta al processo di link. Editate il Makefile, e aggiungete: LIBS = -lshadow Quindi troviamo la riga: COMPILE_FLAGS = -I.. -D_linux_=1 -DGIDSET_TYPE=gid_t E la cambiamo in: COMPILE_FLAGS = -I.. -D_linux_=1 -DGIDSET_TYPE=gid_t -DUSE_SHADOW Ora eseguite il make ed installate. 99.. DDoommaannddee ppoossttee ffrreeqquueenntteemmeennttee ((FFAAQQ)) _D_: Ero abituato a controllare con quale tty _r_o_o_t potesse collegarsi usando il file /etc/securettys, ma sembra non funzionare più, cosa è successo? _R_: Il file /etc/securettys non fa assolutamente nulla ore che la _S_h_a_d_o_w _S_u_i_t_e è installata. Le tty che _r_o_o_t può usare sono ora situate nel file di configurazione di login /etc/login.defs. La voce in questo file potrebbe puntare ad un altro file. _D_: Ho installato la _S_h_a_d_o_w _S_u_i_t_e, ma ora non posso collegarmi, cosa ho dimenticato? _R_: Probabilmente hai installato i programmi Shadow, ma non hai eseguito pwconv o hai dimenticato di copiare /etc/npasswd in /etc/passwd e /etc/nshadow in /etc/shadow. Inoltre, potresti aver bisogno di copiare login.defs in /etc. _D_: Nella sezione su xlock, si dice di cambiare il gruppo proprietario del file /etc/shadow e di farlo diventare shadow. Non ho un gruppo shadow, cosa faccio? _R_: Puoi aggiungerne uno. Semplicemente edita il file /etc/group, e inserisci una riga per il gruppo shadow. Devi assicurarti che il numero del gruppo non sia usato da un altro gruppo, e devi inserirlo prima della voce nogroup. Oppure puoi semplicemente impostare SUID root xlock. _D_: Esiste una mailing list per la Linux Shadow Password Suite? _R_: Sì, ma è per lo sviluppo e il beta testing della prossima Shadow Suite per Linux. Puoi iscriverti alla lista mandando una e-mail a: shadow-list-request@neptune.cin.net avente per subject: subscribe. La lista si occupa in realtà delle release Linux shadow-AAMMGG. Dovresti iscriverti se vuoi essere coinvolto in ulteriori sviluppi o se installi la Suite sul tuo sistema e vuoi avere informazioni sulle più recenti release. _D_: Ho installato la _S_h_a_d_o_w _S_u_i_t_e, ma quando uso il comando userdel, ottengo: "userdel: cannot open shadow group file", (in italiano: "userdel: non posso aprire il file shadow group"); cosa ho sbagliato? _R_: Hai compilato la _S_h_a_d_o_w _S_u_i_t_e con l'opzione SHADOWGRP abilitata, ma non hai un file /etc/gshadow. Devi o editare il file config.h e ricompilare, oppure creare un file /etc/group. Vedere la sezione sui gruppi shadow. _D_: Ho installato la _S_h_a_d_o_w _S_u_i_t_e ma ho di nuovo le password codificate nel mio file /etc/passwd, cosa c'è che non va? _R_: O hai abilitato l'opzione AUTOSHADOW nel file Shadow config.h, oppure il tuo libc è stato compilato con l'opzione SAHDOW_COMPAT. Devi capire qual è il problema, e ricompilare. 1100.. MMeessssaaggggiioo ddii ccooppyyrriigghhtt The Linux Shadow Password HOWTO is Copyright (c) 1996 Michael H. Jackson. Permission is granted to make and distribute verbatim copies of this document provided the copyright notice and this permission notice are preserved on all copies. Permission is granted to copy and distribute modified versions of this document under the conditions for verbatim copies above, provided a notice clearly stating that the document is a modified version is also included in the modified document. Permission is granted to copy and distribute translations of this document into another language, under the conditions specified above for modified versions. Permission is granted to convert this document into another media under the conditions specified above for modified versions provided the requirement to acknowledge the source document is fulfilled by inclusion of an obvious reference to the source document in the new media. Where there is any doubt as to what defines 'obvious' the copyright owner reserves the right to decide. Ovvero (ni noti che l'unica licenza valida è quella in lingua originale): Il Linux Shadow Password HOWTO è Copyright (c) 1996 di Michael H. Jackson. È concesso il permesso di fare e distribuire copie testuali di questo documento, a patto che la nota sul copyright e questa nota di permesso siano mantenute su tutte le copie. È concesso il permesso di copiare e distribuire versioni modificate di questo documento sotto le condizioni delle copie testuali dette sopra, a condizione che venga inclusa nel documento modificato una nota che dica chiaramente che il documento è una versione modificata. È concesso il permesso si copiare e distribuire traduzioni di questo documento in un'altra lingua, sotto le condizioni specificate sopra per le versioni modificate. È concesso il permesso di convertire questo documento in altri mezzi sotto le condizioni specificate sopra per le versioni modificate, a condizione che il nuovo mezzo contenga il riconoscimento del documento sorgente tramite un ovvio riferimento al documento sorgente stesso. Dove ci sia un qualunque dubbio sul significato di 'ovvio' il proprietario del copyright si riserva il diritto di decidere. 1111.. VVaarriiee ee RRiiccoonnoosscciimmeennttii Il codice di esempio per auth.c è tratto da pppd-1.2.1d e ppp-2.1.0e, Copyright (c) 1993 The Australian National University e Copyright (c) 1989 Carnegie Mellon University. Grazie a Marek Michalkiewicz per aver scritto e mantenuto la _S_h_a_d_o_w _S_u_i_t_e per Linux, e per la sua revisione e i suoi commenti a questo documento. Grazie a Ron Tidd per la sua utile revisione e il suo collaudo. Grazie a tutti coloro che mi hanno mandato feedback per contribuire a migliorare questo documento. Per favore, se avete commenti o suggerimenti, mandatemeli per posta. saluti Michael H. Jackson