Das Paket Shadow enthält Programme zur sicheren Verwaltung von Kennwörtern.
![[Anmerkung]](../images/note.png)
Wenn Sie sichere Passwörter erzwingen möchten, sollten Sie vor der Installation von Shadow unter http://www.linuxfromscratch.org/blfs/view/svn/postlfs/cracklib.html nachlesen und Cracklib installieren. Fügen Sie dann den Parameter --with-libcrack zu dem folgenden configure-Kommando hinzu:
Bereiten Sie Shadow zum Kompilieren vor:
./configure --libdir=/lib --enable-shared --without-selinux
Die Bedeutung der configure-Parameter:
Die Unterstützung für selinux ist in der Voreinstellung aktiviert, jedoch ist selinx nicht Teil eines Standard-LFS-Systems. Das configure-Skript würde ohne diesen Parameter mit einem Fehler abbrechen.
Verhindern Sie die Installation des Programmes groups und der zugehörigen Hilfeseite, da Coreutils eine bessere Version enthält:
sed -i 's/groups$(EXEEXT) //' src/Makefile
find man -name Makefile -exec sed -i '/groups/d' {} \;
Verhindern Sie die Installation der chinesischen und koreanischen Hilfeseiten, weil Man-DB sie nicht korrekt anzeigen kann:
sed -i -e 's/ ko//' -e 's/ zh_CN zh_TW//' man/Makefile
Shadow enthält weitere Hilfeseiten im UTF-8-Format. Man-DB kann diese in der empfohlenen Kodierung anzeigen, wenn Sie das Skript convert-mans verwenden, welches Sie erst kürzlich installiert haben.
for i in de es fi fr id it pt_BR; do
convert-mans UTF-8 ISO-8859-1 man/${i}/*.?
done
for i in cs hu pl; do
convert-mans UTF-8 ISO-8859-2 man/${i}/*.?
done
convert-mans UTF-8 EUC-JP man/ja/*.?
convert-mans UTF-8 KOI8-R man/ru/*.?
convert-mans UTF-8 ISO-8859-9 man/tr/*.?
Kompilieren Sie das Paket:
make
Dieses Paket enthält keine Testsuite.
Installieren Sie das Paket:
make install
Shadow benutzt zwei Dateien zur Einrichtung der systemweiten Authentifizierungseinstellungen. Installieren Sie diese beiden Konfigurationsdateien:
cp -v etc/{limits,login.access} /etc
Sie sollten die voreingestellte crypt-Methode auf MD5 ändern, welche sicherer ist. Außerdem ermöglicht sie Passwörter mit mehr als 8 Zeichen. Desweiteren müssen Sie den alten Standort der Benutzermailboxen von /var/spool/mail nach /var/mail ändern. Das erledigen Sie einfach, indem Sie die Konfigurationsdatei gleich beim Kopieren an die richtige Stelle ändern (benutzen Sie am besten „Kopieren und Einfügen“ um diesen Befehl auszuführen):
sed -e's@#MD5_CRYPT_ENAB.no@MD5_CRYPT_ENAB yes@' \
-e 's@/var/spool/mail@/var/mail@' \
etc/login.defs > /etc/login.defs
Wenn Sie Shadow mit Unterstützung für Cracklib installieren, dann geben Sie das folgende sed-Kommando ein:
sed -i 's@DICTPATH.*@DICTPATH\t/lib/cracklib/pw_dict@' \
/etc/login.defs
Verschieben Sie ein Programm an die korrekte Stelle:
mv -v /usr/bin/passwd /bin
Verschieben Sie Shadow's Bibliotheken an eine bessere Stelle:
mv -v /lib/libshadow.*a /usr/lib rm -v /lib/libshadow.so ln -sfv ../../lib/libshadow.so.0 /usr/lib/libshadow.so
Die Option -D zu useradd benötigt zur korrekten Funktion diesen Ordner:
mkdir -v /etc/default
Dieses Paket enthält Werkzeuge zum Bearbeiten, Hinzufügen und Löschen von Benutzerpasswörtern. Wir werden hier nicht erläutern, was genau password shadowing bedeutet. Eine vollständige Erklärung finden Sie in der Datei doc/HOWTO in der entpackten Shadow-Ordnerstruktur. Eines gilt es allerdings zu beachten: Programme, die Passwörter überprüfen müssen (z. B. xdm, ftp und pop3 Server), müssen shadow-konform sein. Das heißt, sie müssen mit Shadow-Passwörtern umgehen können.
Um Shadow-Passwörter zu aktivieren, benutzen Sie dieses Kommando:
pwconv
Und um Shadow-Gruppenpasswörter zu aktivieren, benutzen Sie dieses Kommando:
grpconv
Wählen Sie ein Kennwort für den Benutzer root und setzen Sie es mit dem Kommando:
passwd root