Shadow 包含用于在安全方式下处理密码的程序。
![[Note]](../images/note.png)
如果你打算强制使用高强度密码,请参考 http://www.linuxfromscratch.org/blfs/view/svn/postlfs/cracklib.html 以获得如何在安装 Shadow 之前先安装 Cracklib 的指导。然后在下面的 configure 命令中加入 --with-libcrack 项。
为编译 Shadow 做准备:
./configure --libdir=/lib --enable-shared
禁止安装 groups 程序,Coreutils 软件包提供了一个更好的版本:
sed -i 's/groups$(EXEEXT) //' src/Makefile sed -i '/groups/d' man/Makefile
编译软件包:
make
安装软件包:
make install
Shadow 使用两个文件来设置系统的身份认证。下面安装这两个设置文件:
cp -v etc/{limits,login.access} /etc
不使用默认的 crypt 加密方法, 而使用更为安全的 MD5 对密码进行加密, 并且它同样允许密码长于 8 个字符。同时将用户邮箱位置从过时的 /var/spool/mail 修改到 /var/mail 是也有必要的(Shadow 普遍默认使用这个位置)。这两件事都可以通过在将相应的配置文件复制至目标位置之前,对其进行更改来达到:
如果你在编译 Shadow 时启用了 Cracklib 支持,请在下面的 sed 命令中插入:
-e 's@DICTPATH.*@DICTPATH\t/lib/cracklib/pw_dict@'
sed -e's@#MD5_CRYPT_ENAB.no@MD5_CRYPT_ENAB yes@' \
-e 's@/var/spool/mail@/var/mail@' \
etc/login.defs.linux > /etc/login.defs
移动一些放错位置的符号连结或程序到正确位置:
mv -v /usr/bin/passwd /bin
移动 Shadow 的动态库到一个更为合适的地方:
mv -v /lib/libshadow.*a /usr/lib rm -v /lib/libshadow.so ln -sfv ../../lib/libshadow.so.0 /usr/lib/libshadow.so
useradd 程序的 -D 选项要求存在 /etc/default 目录以便程序能够正常工作:
mkdir -v /etc/default
这个软件包中含有用来增加、修改和删除用户或组、设置和更改他们的密码、和执行其他管理任务的工具。为了获得对 password shadowing (影子密码) 的完全解释,请参见 doc/HOWTO 文件,它在解包后的原码目录树中。假如要使用 Shadow 支持,请注意那些需要对密码进行校验的程序(如显示管理器、FTP 程序、pop3进程等)必须兼容 Shadow 。也就是说,他们需要能够与影子密码一起工作。
为了使用影子密码,运行以下指令:
pwconv
为使用组影子密码,运行:
grpconv
正常情况下,密码将仍没有被创建。但是,如果要在这之后再返回本处以使影子有效,可以通过用命令 passwd 来重置所有当前用户的密码,或是命令 gpasswd 用于对组密码进行相应修改。
通过运行以下命令来设置 root 用户的密码:
passwd root