# 6.50\. Shadow-4.0.15 Shadow 包含用于在安全方式下處理密碼的程序。 **預計編譯時間：** 0.3 SBU**所需磁盤空間：** 18.6 MB ## 6.50.1\. 安裝 Shadow ### 注意 如果你打算強制使用高強度密碼，請參考 [_http://www.linuxfromscratch.org/blfs/view/svn/postlfs/cracklib.html_](http://www.linuxfromscratch.org/blfs/view/svn/postlfs/cracklib.html) 以獲得如何在安裝 Shadow 之前先安裝 Cracklib 的指導。然后在下面的 `configure` 命令中加入 _`--with-libcrack`_ 項。 為編譯 Shadow 做準備： ``` ./configure --libdir=/lib --enable-shared --without-selinux ``` **配置選項的含義：** _`--without-selinux`_ selinux 的支持默認是打開的，但是 selinux 不包含在 LFS 基本系統中。如果這個選項不設置， `configure` 腳本會報錯。 禁止安裝 `groups` 程序和它的手冊，Coreutils 軟件包提供了一個更好的版本： ``` sed -i 's/groups$(EXEEXT) //' src/Makefile find man -name Makefile -exec sed -i '/groups/d' {} \; ``` 禁止安裝中文和韓文的手冊頁，因為Man-DB不能很好的格式化它們： ``` sed -i -e 's/ ko//' -e 's/ zh_CN zh_TW//' man/Makefile ``` Shadow 支持在 UTF-8 編碼環境下的其他編碼的手冊。Man-DB 可以通過我們安裝的 `convert-mans` 腳本來轉換并顯示它們。 ``` for i in de es fi fr id it pt_BR; do convert-mans UTF-8 ISO-8859-1 man/${i}/*.? done for i in cs hu pl; do convert-mans UTF-8 ISO-8859-2 man/${i}/*.? done convert-mans UTF-8 EUC-JP man/ja/*.? convert-mans UTF-8 KOI8-R man/ru/*.? convert-mans UTF-8 ISO-8859-9 man/tr/*.? ``` 編譯軟件包： ``` make ``` 這個軟件包沒有附帶測試程序。 安裝軟件包： ``` make install ``` Shadow 使用兩個文件來設置系統的身份認證。下面安裝這兩個設置文件： ``` cp -v etc/{limits,login.access} /etc ``` 不使用默認的 _crypt_ 加密方法， 而使用更為安全的 _MD5_ 對密碼進行加密， 并且它同樣允許密碼長于 8 個字符。同時將用戶郵箱位置從過時的 `/var/spool/mail` 修改到 `/var/mail` 是也有必要的(Shadow 普遍默認使用這個位置)。這兩件事都可以通過在將相應的配置文件復制至目標位置之前，對其進行更改來達到： ``` sed -e's@#MD5_CRYPT_ENAB.no@MD5_CRYPT_ENAB yes@' \ -e 's@/var/spool/mail@/var/mail@' \ etc/login.defs > /etc/login.defs ``` ### 注意 如果你在編譯 Shadow 時啟用了 Cracklib 支持，請在下面的 `sed` 命令中插入： ``` sed -i 's@DICTPATH.*@DICTPATH\t/lib/cracklib/pw_dict@' \ /etc/login.defs ``` 移動一些放錯位置的符號連結或程序到正確位置： ``` mv -v /usr/bin/passwd /bin ``` 移動 Shadow 的動態庫到一個更為合適的地方： ``` mv -v /lib/libshadow.*a /usr/lib rm -v /lib/libshadow.so ln -sfv ../../lib/libshadow.so.0 /usr/lib/libshadow.so ``` `useradd` 程序的 _`-D`_ 選項要求存在 `/etc/default` 目錄以便程序能夠正常工作： ``` mkdir -v /etc/default ``` ## 6.50.2\. 配置 Shadow 這個軟件包中含有用來增加、修改和刪除用戶或組、設置和更改他們的密碼、和執行其他管理任務的工具。為了獲得對 _password shadowing (影子密碼)_ 的完全解釋，請參見 `doc/HOWTO` 文件，它在解包后的源碼目錄樹中。假如要使用 Shadow 支持，請注意那些需要對密碼進行校驗的程序(如顯示管理器、FTP 程序、pop3進程等)必須兼容 Shadow 。也就是說，他們需要能夠與影子密碼一起工作。 為了使用影子密碼，運行以下指令： ``` pwconv ``` 為使用組影子密碼，運行： ``` grpconv ``` ## 6.50.3\. Setting the root password 通過運行以下命令來設置 _root_ 用戶的密碼： ``` passwd root ``` ## 6.50.4\. Shadow 的內容 **安裝的程序：** chage, chfn, chgpasswd, chpasswd, chsh, expiry, faillog, gpasswd, groupadd, groupdel, groupmod, grpck, grpconv, grpunconv, lastlog, login, logoutd, newgrp, newusers, nologin, passwd, pwck, pwconv, pwunconv, sg(→newgrp), su, useradd, userdel, usermod, vigr(→vipw), vipw**安裝的庫：** libshadow.{a,so} ### 簡要描述 | | | | --- | --- | | `chage` | 用于設置必須對密碼進行更改的最大間隔天數 | | `chfn` | 用于對用戶的全名及其他信息進行修改 | | `chgpasswd` | 用于對一整個系列的組賬號密碼進行更新 | | `chpasswd` | 用于對一整個系列的用戶賬號密碼進行更新 | | `chsh` | 用于更改一個用戶的默認的登錄 shell | | `expiry` | 檢查并加強當前的密碼過期策略 | | `faillog` | 用于檢查記錄登錄失敗的日志，或是設置賬戶在被鎖定前最大的登錄失敗次數，亦可用于重置登錄失敗的次數。 | | `gpasswd` | 用來增加和刪除組中的成員和管理員 | | `groupadd` | 用指定的名稱建一個組 | | `groupdel` | 刪除指定名稱的組 | | `groupmod` | 用來修改所指定組的名稱或 GID | | `grpck` | 校驗組文件 `/etc/group` 和 `/etc/gshadow` 的完整性 | | `grpconv` | 從正常組文件中創建或更新一影子組文件 | | `grpunconv` | 從 `/etc/gshadow` 更新 `/etc/group` 并將前者刪除 | | `lastlog` | 報告最近的所有用戶的登錄或是所指定用戶的登錄 | | `login` | 被系統用來允許用戶進行登錄 | | `logoutd` | 一個后臺程序，用來加強對登錄時間和端口進行限制 | | `newgrp` | 用來在登錄會話期間對當前的 GID 進行修改 | | `newusers` | 用來對一整個系列的用戶賬戶進行創建或更新 | | `nologin` | 顯示一個賬戶不可用的信息，被設計用來作為那些不準登錄的賬戶的默認 shell。 | | `passwd` | 用來對一個用戶或組賬戶進行密碼修改 | | `pwck` | 校驗密碼文件 `/etc/passwd` 和 `/etc/shadow` 的完整性 | | `pwconv` | 從一個正常的密碼文件中創建或更新一影子密碼文件 | | `pwunconv` | 從 `/etc/shadow` 更新 `/etc/passwd` 并刪除前者 | | `sg` | 當一個用戶的 GID 被設置到所給的組時執行所指定的命令 | | `su` | 用另一個用戶和組ID來運行一個 shell | | `useradd` | 用所給名稱建立一個新的用戶或更新默認新用戶的信息 | | `userdel` | 刪除所指定的用戶賬戶 | | `usermod` | 用來更改所給用戶的登錄名、用戶標識(UID)、shell、最初組、主目錄等 | | `vigr` | 編輯 `/etc/group` 或 `/etc/gshadow` 文件 | | `vipw` | 編輯 `/etc/passwd` 或 `/etc/shadow` 文件 | | `libshadow` | 包含了本包中大部分程序所用到的函數 |