Il pacchetto Shadow contiene programmi per la gestione delle password in modo sicuro.
![[Nota]](../images/note.png)
Se si vuole obbligare l'uso di password forti, fare riferimento a http://www.linuxfromscratch.org/blfs/view/svn/postlfs/cracklib.html per installare Cracklib prima di costruire Shadow. Quindi aggiungere --with-libcrack al comando configure seguente.
Preparare Shadow per la compilazione:
./configure --libdir=/lib --enable-shared
Disabilitare l'installazione del programma groups, e le sue pagina man, poiché Coreutils ne fornisce una versione migliore:
sed -i 's/groups$(EXEEXT) //' src/Makefile sed -i '/groups/d' man/Makefile
Compilare il pacchetto:
make
Installare il pacchetto:
make install
Shadow usa due file per configurare le impostazioni di autenticazione per il sistema. Installare questi due file di configurazione:
cp -v etc/{limits,login.access} /etc
Invece di utilizzare il metodo di default crypt, sarebbe meglio utilizzare il più sicuro MD5 per la cifratura delle password, che permette l'uso di password più lunghe di 8 caratteri. È necessario anche cambiare la vecchia locazione /var/spool/mail per le caselle di posta degli utenti che Shadow invece tiene di default su /var/mail. Per risolvere entrambi i problemi bisogna modificare il file di configurazione mentre lo si copia nella sua destinazione:
Se si è costruito Shadow con il supporto Cracklib, inserire quanto segue nel sed dato di seguito:
-e 's@DICTPATH.*@DICTPATH\t/lib/cracklib/pw_dict@'
sed -e's@#MD5_CRYPT_ENAB.no@MD5_CRYPT_ENAB yes@' \
-e 's@/var/spool/mail@/var/mail@' \
etc/login.defs.linux > /etc/login.defs
Bisogna spostare un programma nella cartella giusta:
mv -v /usr/bin/passwd /bin
Spostare le librerie dinamiche di Shadow in locazioni più appropriate:
mv -v /lib/libshadow.*a /usr/lib rm -v /lib/libshadow.so ln -sfv ../../lib/libshadow.so.0 /usr/lib/libshadow.so
L'opzione -D del programma useradd richiede la directory /etc/default per funzionare correttamente:
mkdir -v /etc/default
Questo pacchetto contiene strumenti per aggiungere, modificare e cancellare utenti e gruppi, impostare e cambiare le loro password, e altri strumenti amministrativi simili. Per una spiegazione completa su cosa significa password shadowing, si veda il file doc/HOWTO all'interno dell'albero dei sorgenti scompattato. Bisogna tenere una cosa a mente se si decide di usare il supporto di Shadow: i programmi che devono verificare le password (gestori di finestre, programmi per ftp, demoni pop3, e simili) devono essere conformi a Shadow, che significa poter funzionare con le password shadowed.
Per abilitare le password shadowed eseguire il seguente comando:
pwconv
Per abilitare le password shadowed di gruppo eseguire:
grpconv
In circostanze normali non ci saranno password già create. Comunque, se si ritorna a leggere questa sezione in futuro per abilitare lo shadowing, bisognerà reimpostare ogni password utente già esistente con il comando passwd ed ogni password di gruppo con il comando gpasswd.
Scegliere una password per l'utente root e definirla usando:
passwd root