Linux From Scratch - Version 7.5

Capítulo 6. Instalación del software del Sistema Básico

6.22. Shadow-4.1.5.1

El paquete Shadow contiene programas para manejar contraseñas de forma segura.

Tiempo aproximado de construcción: 0.2 SBU
Espacio requerido en disco: 42 MB

6.22.1. Instalación de Shadow

[Note]

Nota

Si usted desea aplicar el uso de contraseñas seguras, consulte http://www.linuxfromscratch.org/blfs/view/svn/postlfs/cracklib.html para instalar CrackLib antes de la construcción de las Sombras. A continuación, añada --with-libcrack al siguiente comando de configuración.

Deshabilita la instalación del programa groups y sus páginas de man, pues Coreutils proporciona una versión mejor: 

sed -i 's/groups$(EXEEXT) //' src/Makefile.in
find man -name Makefile.in -exec sed -i 's/groups\.1 / /' {} \;

En lugar de usar crypt método (método de encriptación por defecto), usa el más seguro SHA-512 método de encriptación de contraseñas, que también permite contraseñas de más de 8 caracteres. También es necesario cambiar la obsoleta ubicación /var/spool/mail la localización para los buzones de mail de los usuarios que Shadow usa por defecto, por la nueva ubicación /var/mail la cual es usada actualmente: 

sed -i -e 's@#ENCRYPT_METHOD DES@ENCRYPT_METHOD SHA512@' \
       -e 's@/var/spool/mail@/var/mail@' etc/login.defs
[Note]

Nota

Si usted eligió construir Shadow con soporte Cracklib, ejecute lo siguiente: 

sed -i 's@DICTPATH.*@DICTPATH\t/lib/cracklib/pw_dict@' etc/login.defs

Prepara Shadow para su compilación: 

./configure --sysconfdir=/etc

Compila el paquete: 

make

Este paquete no incluye un banco de pruebas.

Instala el paquete: 

make install

Mover un programa mal ubicado a su lugar correcto: 

mv -v /usr/bin/passwd /bin

6.22.2. Configuración de Shadow

Este paquete contiene utilidades para añadir, modificar y eliminar usuarios y grupos; establecer y cambiar sus contraseñas; y realizar otras tareas administrativas. Para una explicación completa de lo que significa password shadowing, consulte el archivo doc /HOWTO dentro del árbol de las fuentes. Si se utiliza soporte de Shadow, tenga en cuenta que los programas que necesiten verificar contraseñas (gerentes de pantalla, programas de FTP, demonios de pop3, etc) deben ser compatibles con Shadow. Es decir, tienen que ser capaces de trabajar con contraseñas ocultas.

Para habilitar las contraseñas ocultas, ejecuta el siguiente comando: 

pwconv

Para habilitar las contraseñas de grupo ocultas, ejecuta: 

grpconv

La Configuración de valores de Shadow, como la utilidad useradd tiene algunas advertencias que necesitan una explicación. En primer lugar, la acción predeterminada de la utilidad useradd es crear el usuario y un grupo del mismo nombre que el usuario. Por defecto, el identificador de usuario (UID) y el ID de grupo (GID) números comenzarán con 1.000. Esto significa que si usted no pasa parámetros a useradd, cada usuario será miembro de un grupo único en el sistema. Si este comportamiento no es deseable, tendrá que pasar el parámetro-g para useradd. Los parámetros por defecto se guardan en el archivo /etc/default/useradd. Es posible que tenga que modificar dos parámetros en este archivo para satisfacer sus necesidades particulares.

/etc/default/useradd Explicación del parámetro

GROUP=1000

Este parámetro establece el principio de los números de los grupos utilizados en el archivo /etc/group. Usted puede modificarlo en cualquier cosa que desees. Tenga en cuenta que useradd nunca reutilizar un UID o GID. Si se utiliza el número identificado en este parámetro, se utilizará el siguiente número disponible después de éste. Tenga en cuenta también que si no tiene un grupo 1000 en su sistema, la primera vez que utilice useradd sin el parámetro -g, obtendrá en la terminal un mensaje que dice: " useradd: unknown GID 1000". Usted puede pasar por alto este mensaje y se utilizará el número de grupo 1000.

CREATE_MAIL_SPOOL=yes

Este parámetro hace que useradd cree un archivo de buzón para el usuario recién creado. useradd hará que el grupo propietario de este archivo sea al grupo de correo (mail group) con permisos 0660. Si usted prefiere que estos archivos de mail no sean creados por useradd, emita el siguiente comando: 

sed -i 's/yes/no/' /etc/default/useradd

6.22.3. Configuración de la contraseña de root

Elija una contraseña para root a través del siguiente comando : 

passwd root

6.22.4. Contenido de Shadow

Programas instalados:: chage, chfn, chgpasswd, chpasswd, chsh, expiry, faillog, gpasswd, groupadd, groupdel, groupmems, groupmod, grpck, grpconv, grpunconv, lastlog, login, logoutd, newgrp, newusers, nologin, passwd, pwck, pwconv, pwunconv, sg (link to newgrp), su, useradd, userdel, usermod, vigr (link to vipw), and vipw
Directorio de instalación: /etc/default

Descripciones cortas

chage

Se utiliza para cambiar el número máximo de días entre cambios obligatorios de contraseña

chfn

Se utiliza para cambiar el nombre completo del usuario y otra información

chgpasswd

Se utiliza para actualizar las contraseñas de grupo en modo batch

chpasswd

Se utiliza para actualizar las contraseñas de usuario en modo batch

chsh

Se utiliza para cambiar de forma predeterminada el shell del usuario

expiry

Comprueba y refuerza la política actual de expiración de contraseñas

faillog

Sirve para examinar el registro de ingresos fallidos, para establecer un número máximo de fallos para bloquear una cuenta, o para restablecer el contador de fallos

gpasswd

Se utiliza para agregar y eliminar miembros y administradores a los grupos

groupadd

Crea un grupo con el nombre dado

groupdel

Elimina el grupo con el nombre dado

groupmems

Permite al usuario administrar su propia lista de miembros de grupo sin necesidad de privilegios de superusuario.

groupmod

Se utiliza para modificar el nombre del grupo dado o GID

grpck

Verifica la integridad de los archivos de grupo de /etc/group y /etc/gshadow

grpconv

Crea o actualiza el archivo de grupo sombra desde el archivo grupo normal

grpunconv

Actualiza /etc/group desde /etc/gshadow y luego borra el último

lastlog

Reporta el último acceso de cada usuario o de un usuario determinado

login

Es usado por el sistema para que los usuarios entren.

logoutd

Es un demonio que refuerza las restricciones de Espacio requerido en disco de acceso y puertos

newgrp

Se usa para cambiar el identificador de grupo actual durante una sesión de inicio

newusers

Se utiliza para crear o actualizar una serie completa de cuentas de usuario

nologin

Muestra un mensaje de que una cuenta no está disponible. Diseñado para ser utilizado como el shell por defecto para las cuentas que se han deshabilitado

passwd

Se utiliza para cambiar la contraseña de una cuenta de usuario o grupo

pwck

Verifica la integridad de las contraseñas en los archivos /etc/passwd y /etc/shadow

pwconv

Crea o actualiza el archivo de contraseñas ocultas desde el archivo de contraseña normales

pwunconv

Actualiza /etc/passwd desde /etc/shadow y luego borra éste último

sg

Ejecuta un comando dado siempre que el GID del usuario se ajuste al del grupo que recibió.

su

Se ejecuta un shell con usuario y grupo diferentes (sustitución de ID's)

useradd

Crea un nuevo usuario con el nombre especificado o actualiza la información nueva de usuario predeterminado

userdel

Elimina la cuenta de usuario determinada

usermod

Se utiliza para modificar el nombre de usuario dado acceso, la identificación de usuario (UID), shell, grupo inicial, directorio personal, etc

vigr

Edita los archivos /etc/group o /etc/gshadow

vipw

Edita los archivo /etc/passwd o /etc/shadow