Il pacchetto Shadow contiene programmi per gestire le password in modo sicuro.
Se si vuole obbligare l'uso di password forti fare riferimento a http://www.linuxfromscratch.org/blfs/view/svn/postlfs/cracklib.html per installare Cracklib prima di costruire Shadow. Quindi aggiungere --with-libcrack al comando configure seguente.
Preparare Shadow per la compilazione:
./configure --libdir=/lib --enable-shared --without-selinux
Significato delle opzioni di configurazione:
Il supporto per selinux è abilitato di default, ma selinux non è costruito nel sistema base di LFS. Se questa opzione non è usata lo script configure fallirà.
Disabilitare l'installazione del programma groups, e le sue pagine man, poiché Coreutils ne fornisce una versione migliore:
sed -i 's/groups$(EXEEXT) //' src/Makefile find man -name Makefile -exec sed -i '/groups/d' {} \;
Disabilitare l'installazione delle pagine man in Cinese e Coreano, dal momento che Man-DB non può formattarle in modo corretto:
sed -i -e 's/ ko//' -e 's/ zh_CN zh_TW//' man/Makefile
Shadow fornisce altre pagine man nella codifica UTF-8. Man-DB può visualizzarle nelle codifiche raccomandate utilizzando lo script convert-mans che viene installato.
for i in de es fi fr id it pt_BR; do convert-mans UTF-8 ISO-8859-1 man/${i}/*.? done for i in cs hu pl; do convert-mans UTF-8 ISO-8859-2 man/${i}/*.? done convert-mans UTF-8 EUC-JP man/ja/*.? convert-mans UTF-8 KOI8-R man/ru/*.? convert-mans UTF-8 ISO-8859-9 man/tr/*.?
Compilare il pacchetto:
make
Questo pacchetto non è fornito di una suite di test.
Installare il pacchetto:
make install
Shadow usa due file per configurare le impostazioni di autenticazione per il sistema. Installare questi due file di configurazione:
cp -v etc/{limits,login.access} /etc
Invece di utilizzare il metodo di default crypt, sarebbe meglio utilizzare il più sicuro MD5 per la cifratura delle password, che permette anche l'uso di password più lunghe di 8 caratteri. È necessario anche cambiare la vecchia locazione /var/spool/mail per le caselle di posta degli utenti che Shadow invece tiene di default su /var/mail usata correntemente. Per risolvere entrambi i problemi bisogna modificare il file di configurazione mentre lo si copia nella sua destinazione:
sed -e's@#MD5_CRYPT_ENAB.no@MD5_CRYPT_ENAB yes@' \ -e 's@/var/spool/mail@/var/mail@' \ etc/login.defs > /etc/login.defs
Se si è costruito Shadow con il supporto Cracklib, eseguire il seguente:
sed -i 's@DICTPATH.*@DICTPATH\t/lib/cracklib/pw_dict@' \ /etc/login.defs
Spostare un programma nella cartella giusta:
mv -v /usr/bin/passwd /bin
Spostare le librerie di Shadow in locazioni più appropriate:
mv -v /lib/libshadow.*a /usr/lib rm -v /lib/libshadow.so ln -sfv ../../lib/libshadow.so.0 /usr/lib/libshadow.so
L'opzione -D del programma useradd richiede la directory /etc/default per funzionare correttamente:
mkdir -v /etc/default
Questo pacchetto contiene strumenti per aggiungere, modificare e cancellare utenti e gruppi, impostare e cambiare le loro password, e altri strumenti amministrativi simili. Per una spiegazione completa su cosa significa password shadowing si veda il file doc/HOWTO all'interno dell'albero dei sorgenti scompattato. Bisogna tenere una cosa a mente se si decide di usare il supporto di Shadow: che i programmi che servono per verificare le password (gestori di finestre, programmi per ftp, demoni pop3, e simili) devono essere conformi a Shadow. Cioé occorre che siano in grado di funzionare con le password shadowed.
Per abilitare le password shadowed eseguire il seguente comando:
pwconv
Per abilitare le password shadowed di gruppo eseguire:
grpconv
Scegliere una password per l'utente root e definirla usando:
passwd root