558 lines
20 KiB
Groff
558 lines
20 KiB
Groff
|
.\" {PTM/WK/1999-09-18}
|
|||
|
.\" Copyright 1991 - 1993, Julianne Frances Haugh and Chip Rosenthal
|
|||
|
.\" All rights reserved.
|
|||
|
.\"
|
|||
|
.\" Redistribution and use in source and binary forms, with or without
|
|||
|
.\" modification, are permitted provided that the following conditions
|
|||
|
.\" are met:
|
|||
|
.\" 1. Redistributions of source code must retain the above copyright
|
|||
|
.\" notice, this list of conditions and the following disclaimer.
|
|||
|
.\" 2. Redistributions in binary form must reproduce the above copyright
|
|||
|
.\" notice, this list of conditions and the following disclaimer in the
|
|||
|
.\" documentation and/or other materials provided with the distribution.
|
|||
|
.\" 3. Neither the name of Julianne F. Haugh nor the names of its contributors
|
|||
|
.\" may be used to endorse or promote products derived from this software
|
|||
|
.\" without specific prior written permission.
|
|||
|
.\"
|
|||
|
.\" THIS SOFTWARE IS PROVIDED BY JULIE HAUGH AND CONTRIBUTORS ``AS IS'' AND
|
|||
|
.\" ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
|
|||
|
.\" IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
|
|||
|
.\" ARE DISCLAIMED. IN NO EVENT SHALL JULIE HAUGH OR CONTRIBUTORS BE LIABLE
|
|||
|
.\" FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
|
|||
|
.\" DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
|
|||
|
.\" OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
|
|||
|
.\" HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
|
|||
|
.\" LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
|
|||
|
.\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
|
|||
|
.\" SUCH DAMAGE.
|
|||
|
.\"
|
|||
|
.TH LOGIN 5
|
|||
|
.SH NAZWA
|
|||
|
/etc/login.defs \- konfiguracja logowania
|
|||
|
.SH OPIS
|
|||
|
Plik
|
|||
|
.I /etc/login.defs
|
|||
|
definiuje specyficzn<7A> dla naszej maszyny konfiguracj<63> pakietu shadow login.
|
|||
|
Plik ten jest wymagany. Jego nieobecno<6E><6F> nie wstrzyma dzia<69>ania systemu,
|
|||
|
ale prawdopodobnie spowoduje nieprzewidywalne dzia<69>anie.
|
|||
|
.PP
|
|||
|
Plik ten jest czytelnym plikiem tekstowym. Ka<4B>dy z jego wierszy opisuje jeden
|
|||
|
parametr konfiguracji. Wiersze sk<73>adaj<61> si<73> z nazwy parametru i jego warto<74>ci,
|
|||
|
oddzielonych bia<69>ym znakiem. Ignorowane s<> puste wiersze i wiersze komentarzy.
|
|||
|
Komentarze rozpoczynaj<61> si<73> od znaku '#', kt<6B>ry musi by<62> pierwszym znakiem
|
|||
|
wiersza (pomijaj<61>c bia<69>e znaki).
|
|||
|
.PP
|
|||
|
Istniej<EFBFBD> cztery typy warto<74>ci parametr<74>w: napisy, logiczne (boolean),
|
|||
|
liczby i d<>ugie liczby (long numbers). Napis jest z<>o<EFBFBD>ony
|
|||
|
z dowolnych znak<61>w drukowalnych. Parametr logiczny mo<6D>e mie<69> albo warto<74><6F>
|
|||
|
"yes" albo "no". Niezdefiniowanemu parametrowi logicznemu lub parametrowi,
|
|||
|
kt<EFBFBD>remu przypisano warto<74><6F> inn<6E> od powy<77>szych przypisane zostanie "no".
|
|||
|
Liczby (zar<61>wno zwyk<79>e jak i d<>ugie) mog<6F> by<62> warto<74>ciami dziesi<73>tnymi,
|
|||
|
<EFBFBD>semkowymi (poprzed<65> warto<74><6F> cyfr<66> "0") albo szesnastkowymi (poprzed<65> warto<74><6F>
|
|||
|
sekwencj<EFBFBD> "0x"). Maksymalne warto<74>ci zwyk<79>ych i d<>ugich parametr<74>w
|
|||
|
numerycznych zale<6C><65> od maszyny.
|
|||
|
.PP
|
|||
|
Obs<EFBFBD>ugiwane s<> nast<73>puj<75>ce opcje konfiguracyjne:
|
|||
|
.\"
|
|||
|
.IP "CHFN_AUTH (logiczna)"
|
|||
|
Je<EFBFBD>eli ma warto<74><6F>
|
|||
|
.IR yes ,
|
|||
|
to programy
|
|||
|
.B chfn
|
|||
|
i
|
|||
|
.B chsh
|
|||
|
b<EFBFBD>d<EFBFBD> pyta<74> o has<61>o przed dokonaniem zmian, chyba <20>e uruchamiane s<> przez
|
|||
|
superu<EFBFBD>ytkownika.
|
|||
|
.\"
|
|||
|
.IP "CHFN_RESTRICT (napis)"
|
|||
|
Ten parametr okre<72>la, jakie warto<74>ci w polu
|
|||
|
.I gecos
|
|||
|
pliku
|
|||
|
.I passwd
|
|||
|
mog<EFBFBD> by<62> zmieniane przez zwyk<79>ych u<>ytkownik<69>w za pomoc<6F> programu
|
|||
|
.B chfn
|
|||
|
Mo<EFBFBD>e on by<62> dowoln<6C> kombinacj<63> liter
|
|||
|
.IR f ,
|
|||
|
.IR r ,
|
|||
|
.IR w ,
|
|||
|
.IR h ,
|
|||
|
oznaczaj<EFBFBD>cych odpowiednio: Full name (pe<70>na nazwa), Room number (numer pokoju),
|
|||
|
Work phone (telefon s<>u<EFBFBD>bowy) i Home phone (telefon domowy).
|
|||
|
Je<EFBFBD>li parametr nie jest podany, to zmian mo<6D>e dokonywa<77> wy<77><79>cznie
|
|||
|
superu<EFBFBD>ytkownik.
|
|||
|
.\"
|
|||
|
.IP "CONSOLE (napis)"
|
|||
|
Je<EFBFBD>li podana, definicja ta okre<72>la ograniczony zestaw linii, na kt<6B>rych
|
|||
|
dozwolone jest rozpoczynanie sesji u<>ytkownika root. Pr<50>by logowania
|
|||
|
u<EFBFBD>ytkownika root niespe<70>niaj<61>ce ustalonych tu kryteri<72>w zostan<61> odrzucone.
|
|||
|
Warto<EFBFBD><EFBFBD> tego pola mo<6D>e wyst<73>pi<70> w jednej z dwu postaci: albo pe<70>nej nazwy
|
|||
|
<EFBFBD>cie<EFBFBD>kowej pliku, jak na przyk<79>ad
|
|||
|
.sp
|
|||
|
.ft I
|
|||
|
CONSOLE /etc/consoles
|
|||
|
.ft R
|
|||
|
.sp
|
|||
|
albo listy linii terminalowych rozdzielonych dwukropkami, jak poni<6E>ej:
|
|||
|
.sp
|
|||
|
.ft I
|
|||
|
CONSOLE console:tty01:tty02:tty03:tty04
|
|||
|
.ft R
|
|||
|
.sp
|
|||
|
(Zauwa<77>, <20>e wymienione tu nazwy nie zawieraj<61> <20>cie<69>ki /dev/).
|
|||
|
Je<EFBFBD>eli podano <20>cie<69>kow<6F> nazw<7A> pliku, to ka<6B>dy jego wiersz powinien okre<72>la<6C>
|
|||
|
jedn<EFBFBD> lini<6E> terminalow<6F>. Je<4A>li parametr ten nie jest zdefiniowany albo podany
|
|||
|
plik nie istnieje, to u<>ytkownik root b<>dzie m<>g<EFBFBD> si<73> logowa<77> z dowolnej linii
|
|||
|
terminalowej. Poniewa<77> usuni<6E>cie lub obci<63>cie pliku definiuj<75>cego
|
|||
|
dozwolone linie mo<6D>e spowodowa<77> nieautoryzowane logowania roota, plik ten musi
|
|||
|
by<EFBFBD> chroniony. Tam, gdzie bezpiecze<7A>stwo jest spraw<61> kluczow<6F>, powinna by<62>
|
|||
|
u<EFBFBD>ywana posta<74> listy separowanej dwukropkami, co chroni przed potencjaln<6C>
|
|||
|
pr<EFBFBD>b<EFBFBD> ataku w opisany spos<6F>b.
|
|||
|
.\"
|
|||
|
.IP "CONSOLE_GROUPS (napis)"
|
|||
|
XXX powinno zosta<74> udokumentowane.
|
|||
|
.\"
|
|||
|
.IP "CRACKLIB_DICTPATH (napis)"
|
|||
|
XXX powinno zosta<74> udokumentowane.
|
|||
|
.\"
|
|||
|
.IP "DEFAULT_HOME (logiczna)"
|
|||
|
XXX powinno zosta<74> udokumentowane.
|
|||
|
.\"
|
|||
|
.IP "DIALUPS_CHECK_ENAB (logiczna)"
|
|||
|
Je<EFBFBD>eli ma warto<74><6F>
|
|||
|
.I yes
|
|||
|
a plik
|
|||
|
.I /etc/dialups
|
|||
|
istnieje, to na liniach telefonicznych wyszczeg<65>lnionych w tym pliku s<>
|
|||
|
w<EFBFBD><EFBFBD>czane wt<77>rne has<61>a (has<61>a telefoniczne). Plik ten powinien zawiera<72> list<73>
|
|||
|
linii telefonicznych (dialups), po jednej w wierszu, na przyk<79>ad:
|
|||
|
.nf
|
|||
|
.sp
|
|||
|
.ft I
|
|||
|
ttyfm01
|
|||
|
ttyfm02
|
|||
|
\0\0.
|
|||
|
\0\0.
|
|||
|
\0\0.
|
|||
|
.ft R
|
|||
|
.sp
|
|||
|
.fi
|
|||
|
.\"
|
|||
|
.IP "ENVIRON_FILE (napis)"
|
|||
|
XXX powinno zosta<74> udokumentowane.
|
|||
|
.\"
|
|||
|
.IP "ENV_HZ (napis)"
|
|||
|
Parametr ten okre<72>la warto<74><6F> parametru <20>rodowiska HZ. Przyk<79>ad u<>ycia:
|
|||
|
.sp
|
|||
|
\fIENV_HZ HZ=50\fR
|
|||
|
.sp
|
|||
|
Je<EFBFBD>eli jest on zdefiniowany, to nie zostanie ustanowiona <20>adna warto<74><6F> HZ.
|
|||
|
.\"
|
|||
|
.IP "ENV_PATH (napis)"
|
|||
|
Parametr ten musi by<62> zdefiniowany jako <20>cie<69>ka przeszukiwania dla zwyk<79>ych
|
|||
|
u<EFBFBD>ytkownik<EFBFBD>w. Przy logowaniu z UID innym ni<6E> zero, zmienna <20>rodowiskowa PATH
|
|||
|
jest inicjowana t<> w<>a<EFBFBD>nie warto<74>ci<63>. Jest to parametr wymagany; je<6A>eli nie
|
|||
|
zostanie zdefiniowany, to zostanie nadana, by<62> mo<6D>e niepoprawna, warto<74><6F>
|
|||
|
domy<EFBFBD>lna.
|
|||
|
.\"
|
|||
|
.IP "ENV_SUPATH (napis)"
|
|||
|
Parametr ten musi by<62> zdefiniowany jako <20>cie<69>ka przeszukiwania dla
|
|||
|
superu<EFBFBD>ytkownika. Przy rozpoczynaniu sesji z UID r<>wnym zero, zmienna
|
|||
|
<EFBFBD>rodowiskowa PATH jest inicjowana t<> w<>a<EFBFBD>nie warto<74>ci<63>. Jest to parametr
|
|||
|
wymagany; je<6A>eli nie zostanie zdefiniowany, to zostanie nadana, by<62> mo<6D>e
|
|||
|
niepoprawna, warto<74><6F> domy<6D>lna.
|
|||
|
.\"
|
|||
|
.IP "ENV_TZ (napis)"
|
|||
|
Parametr ten zawiera informacj<63> s<>u<EFBFBD><75>c<EFBFBD> do utworzenia zmiennej <20>rodowiskowej TZ.
|
|||
|
Jego warto<74><6F> musi by<62> albo wprost wymagan<61> zawarto<74>ci<63> TZ, albo
|
|||
|
pe<EFBFBD>n<EFBFBD> nazw<7A> <20>cie<69>kow<6F> pliku zawieraj<61>cego t<> informacj<63>. Przyk<79>ad u<>ycia:
|
|||
|
.sp
|
|||
|
\fIENV_TZ\0\0\0\0TZ=CST6CDT\fP
|
|||
|
.sp
|
|||
|
lub
|
|||
|
.sp
|
|||
|
\fIENV_TZ\0\0\0\0/etc/tzname\fP
|
|||
|
.sp
|
|||
|
Je<EFBFBD>eli podano nieistniej<65>cy plik, to TZ zostanie zainicjowane pewn<77> warto<74>ci<63>
|
|||
|
domy<EFBFBD>ln<EFBFBD>. Je<4A>eli nie zdefiniowano tego parametru to nie b<>dzie ustawiona
|
|||
|
<EFBFBD>adna warto<74><6F> TZ.
|
|||
|
.\"
|
|||
|
.IP "ERASECHAR (liczba)"
|
|||
|
T<EFBFBD> warto<74>ci<63> jest inicjowany terminalowy znak
|
|||
|
.I erase
|
|||
|
(kasowania). Jest to obs<62>ugiwane tylko w systemach z interfejsem
|
|||
|
.IR termio,
|
|||
|
np. System V. Je<4A>eli nie podano parametru, to znak kasowania zostanie
|
|||
|
zainicjowany na backspace. Informacj<63> powi<77>zan<61> znajdziesz w opisie KILLCHAR.
|
|||
|
.\"
|
|||
|
.IP "FAILLOG_ENAB (logiczna)"
|
|||
|
Je<EFBFBD>eli ustawiona na
|
|||
|
.I yes
|
|||
|
to nieudane logowania b<>d<EFBFBD> odnotowywane w pliku
|
|||
|
.I /var/log/faillog
|
|||
|
w formacie
|
|||
|
.BR faillog (8).
|
|||
|
.\"
|
|||
|
.IP "FAIL_DELAY (liczba)"
|
|||
|
Czas op<6F><70>nienia, wyra<72>ony w sekundach, po ka<6B>dej nieudanej pr<70>bie logowania.
|
|||
|
.\"
|
|||
|
.IP "FAKE_SHELL (napis)"
|
|||
|
Zamiast rzeczywistej pow<6F>oki u<>ytkownika zostanie uruchomiony program okre<72>lony
|
|||
|
warto<EFBFBD>ci<EFBFBD> tego parametru. Nazwa widoczna (argv[0]) programu b<>dzie jednak
|
|||
|
nazw<EFBFBD> pow<6F>oki. Program przed uruchomieniem faktycznej pow<6F>oki mo<6D>e wykonywa<77>
|
|||
|
dowoln<EFBFBD> akcj<63> (logowanie, dodatkowe uwierzytelnianie, banner itp.).
|
|||
|
.\"
|
|||
|
.IP "FTMP_FILE (napis)"
|
|||
|
Okre<EFBFBD>la pe<70>n<EFBFBD> <20>cie<69>kow<6F> nazw<7A> pliku, w kt<6B>rym rejestrowane s<> nieudane pr<70>by
|
|||
|
rozpoczynania sesji pracy. W przypadku nieudanej pr<70>by logowania do pliku
|
|||
|
dopisywana jest pozycja o formacie
|
|||
|
.IR utmp .
|
|||
|
Zauwa<EFBFBD>, <20>e r<><72>ni si<73> to od rejestracji niepomy<6D>lnych logowa<77> do
|
|||
|
.IR /var/log/faillog ,
|
|||
|
gdy<EFBFBD> opisywana funkcja odnotowuje wszystkie nieudane pr<70>by, podczas gdy
|
|||
|
"faillog" kumuluje informacj<63> o pora<72>kach danego u<>ytkownika. Je<4A>li nie
|
|||
|
podano tego parametru, to rejestracja b<>dzie wy<77><79>czona. Powi<77>zane informacje
|
|||
|
znajdziesz w opisie FAILLOG_ENAB i LOG_UNKFAIL_ENAB.
|
|||
|
.\"
|
|||
|
.IP "GID_MAX (liczba)"
|
|||
|
.IP "GID_MIN (liczba)"
|
|||
|
Zakres identyfikator<6F>w grup, w obr<62>bie kt<6B>rego mo<6D>e wybiera<72> program
|
|||
|
.BR groupadd .
|
|||
|
.\"
|
|||
|
.IP "HUSHLOGIN_FILE (nazwa)"
|
|||
|
Parametr u<>ywany do ustalenia okoliczno<6E>ci cichego logowania ("hushlogin").
|
|||
|
Okoliczno<EFBFBD>ci te mog<6F> by<62> ustalone na dwa sposoby. Po pierwsze, je<6A>eli warto<74>ci<63>
|
|||
|
parametru jest nazwa pliku, a plik ten istnieje w katalogu domowym u<>ytkownika,
|
|||
|
to wprowadzane s<> warunki cichego logowania. Zawarto<74><6F> pliku jest ignorowana;
|
|||
|
sama jego obecno<6E><6F> powoduje ciche logowanie. Po drugie, je<6A>eli warto<74>ci<63>
|
|||
|
parametru jest pe<70>na nazwa <20>cie<69>kowa pliku a w pliku tym znaleziona zostanie
|
|||
|
nazwa u<>ytkownika lub nazwa jego pow<6F>oki, to wprowadzone zostan<61> warunki
|
|||
|
cichego logowania. W tym przypadku, plik powinien mie<69> format podobny do:
|
|||
|
.nf
|
|||
|
.sp
|
|||
|
.ft I
|
|||
|
demo
|
|||
|
/usr/lib/uucp/uucico
|
|||
|
\0\0.
|
|||
|
\0\0.
|
|||
|
\0\0.
|
|||
|
.ft R
|
|||
|
.sp
|
|||
|
.fi
|
|||
|
Je<EFBFBD>eli nie zdefiniowano tego parametru, to warunki cichego logowania nigdy
|
|||
|
nie wyst<73>pi<70>. W trakcie cichego logowanie wstrzymane jest wy<77>wietlanie
|
|||
|
wiadomo<EFBFBD>ci dnia (message of the day), ostatniego udanego i nieudanego
|
|||
|
rozpocz<EFBFBD>cia sesji pracy, wy<77>wietlanie stanu skrzynki pocztowej i sprawdzenie
|
|||
|
wieku has<61>a. Zauwa<77>, <20>e zezwolenie na pliki cichego logowania w katalogach
|
|||
|
domowych u<>ytkownik<69>w pozwala im na wstrzymanie kontroli wa<77>no<6E>ci
|
|||
|
has<EFBFBD>a. Informacje zwi<77>zane z tym tematem znajdziesz w opisach MOTD_FILE,
|
|||
|
FILELOG_ENAB, LASTLOG_ENAB i MAIL_CHECK_ENAB.
|
|||
|
.\"
|
|||
|
.IP "ISSUE_FILE (napis)"
|
|||
|
Pe<EFBFBD>na <20>cie<69>kowa nazwa pliku wy<77>wietlanego przed ka<6B>d<EFBFBD> zach<63>t<EFBFBD> do logowania.
|
|||
|
.\"
|
|||
|
.IP "KILLCHAR (liczba)"
|
|||
|
T<EFBFBD> warto<74>ci<63> inicjowany jest terminalowy znak
|
|||
|
.IR kill .
|
|||
|
Jest to obs<62>ugiwane tylko w systemach z interfejsem
|
|||
|
.IR termio,
|
|||
|
np. System V. Je<4A>eli nie podano parametru, to znak kasowania zostanie
|
|||
|
zainicjowany na \s-2CTRL/U\s0. Informacj<63> powi<77>zan<61> znajdziesz w opisie
|
|||
|
ERASECHAR.
|
|||
|
.\"
|
|||
|
.IP "LASTLOG_ENAB (logiczna)"
|
|||
|
Je<EFBFBD>li ma warto<74><6F>
|
|||
|
.IR yes ,
|
|||
|
i istnieje plik
|
|||
|
.IR /var/log/lastlog ,
|
|||
|
to w tym pliku b<>dzie rejestrowane poprawne rozpocz<63>cie sesji pracy u<>ytkownika
|
|||
|
(zalogowanie si<73>). Ponadto, je<6A>li opcja ta jest w<><77>czona, to podczas logowania
|
|||
|
si<EFBFBD> u<>ytkownika b<>dzie wy<77>wietlana informacja o liczbie ostatnich udanych
|
|||
|
i nieudanych logowa<77>. Zako<6B>czone niepowodzeniem logowania nie b<>d<EFBFBD> wy<77>wietlane
|
|||
|
je<EFBFBD>li nie w<><77>czono FAILLOG_ENAB. W warunkach cichego logowanie nie
|
|||
|
b<EFBFBD>d<EFBFBD> wy<77>wietlane informacje ani o pomy<6D>lnych ani o niepomy<6D>lnych logowaniach.
|
|||
|
.\"
|
|||
|
.IP "LOGIN_RETRIES (liczba)"
|
|||
|
Dozwolona liczba pr<70>b logowania przed zako<6B>czeniem pracy programu
|
|||
|
.BR login .
|
|||
|
.\"
|
|||
|
.IP "LOGIN_STRING (napis)"
|
|||
|
XXX powinno zosta<74> udokumentowane.
|
|||
|
.IP "LOGIN_TIMEOUT (liczba)"
|
|||
|
XXX powinno zosta<74> udokumentowane.
|
|||
|
.IP "LOG_OK_LOGINS (logiczna)"
|
|||
|
XXX powinno zosta<74> udokumentowane.
|
|||
|
.IP "LOG_UNKFAIL_ENAB (logiczna)"
|
|||
|
Je<EFBFBD>li posiada warto<74><6F>
|
|||
|
.I yes
|
|||
|
to nieznane nazwy u<>ytkownik<69>w b<>d<EFBFBD> r<>wnie<69> odnotowywane je<6A>li w<><77>czone jest
|
|||
|
rejestrowanie nieudanych pr<70>b rozpocz<63>cia sesji. Zauwa<77>, <20>e niesie to ze sob<6F>
|
|||
|
potencjalne zagro<72>enie bezpiecze<7A>stwa: powszechn<68> przyczyn<79> nieudanego
|
|||
|
logowania jest zamiana nazwy u<>ytkownika i has<61>a, tryb ten zatem spowoduje,
|
|||
|
<EFBFBD>e cz<63>sto w rejestrach nieudanych logowa<77> b<>d<EFBFBD> si<73> odk<64>ada<64> jawne has<61>a.
|
|||
|
Je<EFBFBD>eli opcja ta jest wy<77><79>czona, to nieznane nazwy u<>ytkownik<69>w b<>d<EFBFBD> pomijane
|
|||
|
w komunikatach o nieudanych pr<70>bach logowania.
|
|||
|
.\"
|
|||
|
.IP "MAIL_CHECK_ENAB (logiczna)"
|
|||
|
Je<EFBFBD>eli ma warto<74><6F>
|
|||
|
.IR yes ,
|
|||
|
to u<>ytkownik po rozpocz<63>ciu sesji pracy b<>dzie powiadamiany o stanie swojej
|
|||
|
skrzynki pocztowej. Informacj<63> zwi<77>zan<61> z tym tematem znajdziesz w opisie
|
|||
|
MAIL_DIR.
|
|||
|
.\"
|
|||
|
.IP "MAIL_DIR (napis)"
|
|||
|
Okre<EFBFBD>la pe<70>n<EFBFBD> nazw<7A> <20>cie<69>kow<6F> do katalogu zawieraj<61>cego pliki skrzynki
|
|||
|
pocztowej u<>ytkownika. Do powy<77>szej <20>cie<69>ki doklejana jest nazwa u<>ytkownika,
|
|||
|
tworz<EFBFBD>c w ten spos<6F>b zmienn<6E> <20>rodowiskow<6F> MAIL - <20>cie<69>k<EFBFBD> do skrzynki
|
|||
|
u<EFBFBD>ytkownika. Musi by<62> zdefiniowany albo niniejszy parametr albo parametr
|
|||
|
MAIL_FILE; je<6A>li nie zostan<61> zdefiniowane, to zostanie nadana, by<62> mo<6D>e
|
|||
|
niepoprawna, warto<74><6F> domy<6D>lna. Zobacz tak<61>e opis MAIL_CHECK_ENAB.
|
|||
|
.\"
|
|||
|
.IP "MAIL_FILE (napis)"
|
|||
|
Okre<EFBFBD>la nazw<7A> pliku skrzynki pocztowej u<>ytkownika. Nazwa ta doklejana jest
|
|||
|
na koniec nazwy katalogu domowego u<>ytkownika tworz<72>c zmienn<6E> <20>rodowiskow<6F>
|
|||
|
MAIL - <20>cie<69>k<EFBFBD> do skrzynki u<>ytkownika. Musi by<62> zdefiniowany albo niniejszy
|
|||
|
parametr albo parametr MAIL_DIR; je<6A>li nie zostan<61> zdefiniowane, to zostanie
|
|||
|
nadana, by<62> mo<6D>e niepoprawna, warto<74><6F> domy<6D>lna. Zobacz tak<61>e opis
|
|||
|
MAIL_CHECK_ENAB.
|
|||
|
.\"
|
|||
|
.IP "MD5_CRYPT_ENAB (logiczna)"
|
|||
|
Je<EFBFBD>eli ma warto<74><6F>
|
|||
|
.IR yes ,
|
|||
|
to program
|
|||
|
.B passwd
|
|||
|
b<EFBFBD>dzie kodowa<77> nowo zmieniane has<61>a przy pomocy nowego algorytmu
|
|||
|
.BR crypt (3),
|
|||
|
opartego o MD-5. Algorytm ten pierwotnie pojawi<77> si<73> we FreeBSD i jest te<74>
|
|||
|
obs<EFBFBD>ugiwany przez libc-5.4.38 oraz glibc-2.0 (lub wy<77>sz<73>) w Linuksie.
|
|||
|
Pozwala on na u<>ywanie hase<73> d<>u<EFBFBD>szych ni<6E> 8 znak<61>w (ograniczone przez
|
|||
|
.BR getpass (3)
|
|||
|
do 127 znak<61>w), ale nie jest zgodny z tradycyjnymi implementacjami polecenia
|
|||
|
.BR crypt (3).
|
|||
|
.\"
|
|||
|
.IP "MOTD_FILE (napis)"
|
|||
|
Okre<EFBFBD>la list<73> rozdzielonych dwukropkami <20>cie<69>ek do plik<69>w "wiadomo<6D>ci dnia"
|
|||
|
(message of the day, MOTD). Je<4A>li podany plik istnieje, to jego zawarto<74><6F> jest
|
|||
|
wy<EFBFBD>wietlana u<>ytkownikowi podczas rozpoczynania przez niego sesji pracy.
|
|||
|
Je<EFBFBD>eli parametr ten jest niezdefiniowany lub wykonywane jest ciche logowanie,
|
|||
|
to informacja ta b<>dzie pomijana.
|
|||
|
.\"
|
|||
|
.IP "NOLOGINS_FILE (napis)"
|
|||
|
Okre<EFBFBD>la pe<70>n<EFBFBD> nazw<7A> <20>cie<69>kow<6F> pliku zabraniaj<61>cego logowa<77> dla u<>ytkownik<69>w
|
|||
|
innych ni<6E> root. Je<4A>eli plik ten istnieje a u<>ytkownik inny ni<6E> root usi<73>uje
|
|||
|
si<EFBFBD> zalogowa<77>, to wy<77>wietlana zostanie zawarto<74><6F> pliku a u<>ytkownik b<>dzie
|
|||
|
roz<EFBFBD><EFBFBD>czony. Je<4A>eli nie podano tego parametru, to opisana funkcja b<>dzie
|
|||
|
wy<EFBFBD><EFBFBD>czona.
|
|||
|
.\"
|
|||
|
.IP "NOLOGIN_STR (napis)"
|
|||
|
XXX powinno zosta<74> udokumentowane.
|
|||
|
.\"
|
|||
|
.IP "OBSCURE_CHECKS_ENAB (logiczna)"
|
|||
|
Je<EFBFBD>eli ma warto<74><6F>
|
|||
|
.IR yes ,
|
|||
|
to program
|
|||
|
.B passwd
|
|||
|
przed akceptacj<63> zmiany has<61>a b<>dzie wykonywa<77> dodatkowe sprawdzenia.
|
|||
|
Kontrole te s<> do<64><6F> proste, a ich u<>ycie jest zalecane.
|
|||
|
Te sprawdzenia nieoczywisto<74>ci s<> pomijane, je<6A>eli
|
|||
|
.B passwd
|
|||
|
uruchamiane jest przez u<>ytkownika
|
|||
|
.IR root .
|
|||
|
Zobacz tak<61>e opis PASS_MIN_LEN.
|
|||
|
.\"
|
|||
|
.IP "PASS_ALWAYS_WARN (logiczna)"
|
|||
|
XXX powinno zosta<74> udokumentowane.
|
|||
|
.\"
|
|||
|
.IP "PASS_CHANGE_TRIES (liczba)"
|
|||
|
XXX powinno zosta<74> udokumentowane.
|
|||
|
.\"
|
|||
|
.IP "PASS_MIN_DAYS (liczba)"
|
|||
|
Minimalna liczba dni mi<6D>dzy dozwolonymi zmianami has<61>a. Jakiekolwiek pr<70>by
|
|||
|
zmiany has<61>a podejmowane wcze<7A>niej zostan<61> odrzucone. Je<4A>eli nie podano tego
|
|||
|
parametru, to przyj<79>ta zostanie warto<74><6F> zerowa.
|
|||
|
.\"
|
|||
|
.IP "PASS_MIN_LEN (liczba)"
|
|||
|
Minimalna liczba znak<61>w w akceptowalnym ha<68>le. Pr<50>ba przypisania has<61>a o
|
|||
|
mniejszej liczbie znak<61>w zostanie odrzucona. Warto<74><6F> zero wy<77><79>cza t<>
|
|||
|
kontrol<EFBFBD>. Je<4A>li nie podano parametru, to przyj<79>ta zostanie warto<74><6F> zerowa.
|
|||
|
.\"
|
|||
|
.IP "PASS_MAX_DAYS (liczba)"
|
|||
|
Maksymalna liczba dni, przez jak<61> mo<6D>e by<62> u<>ywane has<61>o. Je<4A>li has<61>o jest
|
|||
|
stanie si<73> starsze, to rachunek zostanie zablokowany. Je<4A>li nie podano, to
|
|||
|
zostanie przyj<79>ta bardzo du<64>a warto<74><6F>.
|
|||
|
.\"
|
|||
|
.IP "PASS_MAX_LEN (liczba)"
|
|||
|
XXX powinno zosta<74> udokumentowane.
|
|||
|
.\"
|
|||
|
.IP "PASS_WARN_AGE (liczba)"
|
|||
|
Liczba dni ostrzegania przed wyga<67>ni<6E>ciem has<61>a. Warto<74><6F> zerowa oznacza,
|
|||
|
<EFBFBD>e ostrze<7A>enie wyst<73>pi wy<77><79>cznie w dniu utraty wa<77>no<6E>ci has<61>a. Warto<74><6F>
|
|||
|
ujemna oznacza brak ostrze<7A>e<EFBFBD>. Brak parametru oznacza, <20>e ostrze<7A>enia nie
|
|||
|
b<EFBFBD>d<EFBFBD> wy<77>wietlane.
|
|||
|
.\"
|
|||
|
.IP "PORTTIME_CHECKS_ENAB (logiczna)"
|
|||
|
Je<EFBFBD>li ma warto<74><6F>
|
|||
|
.IR yes ,
|
|||
|
za<EFBFBD> plik
|
|||
|
.I /etc/porttime
|
|||
|
istnieje, to b<>dzie on przegl<67>dany, by upewni<6E> si<73> czy u<>ytkownik mo<6D>e si<73>
|
|||
|
w danej chwili zalogowa<77> na danej linii. Patrz tak<61>e podr<64>cznik
|
|||
|
.BR porttime (5)
|
|||
|
.\"
|
|||
|
.IP "QMAIL_DIR (napis)"
|
|||
|
Dla u<>ytkownik<69>w Qmail, parametr ten okre<72>la katalog, w kt<6B>rym przechowywana
|
|||
|
jest hierarchia Maildir.
|
|||
|
Zobacz te<74> MAIL_CHECK_ENAB.
|
|||
|
.\"
|
|||
|
.IP "QUOTAS_ENAB (logiczna)"
|
|||
|
Je<EFBFBD>li ma warto<74><6F>
|
|||
|
.I yes ,
|
|||
|
w<EFBFBD>wczas dla danego u<>ytkownika "ulimit," "umask" i "niceness" b<>d<EFBFBD>
|
|||
|
zainicjowane warto<74>ciami podanymi (o ile s<> podane) w polu
|
|||
|
.I gecos
|
|||
|
pliku
|
|||
|
.IR passwd .
|
|||
|
Patrz tak<61>e podr<64>cznik
|
|||
|
.BR passwd (5).
|
|||
|
.\"
|
|||
|
.IP "SU_NAME (napis)"
|
|||
|
Przypisuje nazw<7A> polecenia do uruchomionego "su -". Na przyk<79>ad, je<6A>li
|
|||
|
parametr ten jest zdefiniowany jako "su", to polecenie
|
|||
|
.BR ps (1)
|
|||
|
poka<EFBFBD>e uruchomione polecenie jako "-su". Je<4A>li parametr ten jest
|
|||
|
niezdefiniowany, to
|
|||
|
.BR ps (1)
|
|||
|
poka<EFBFBD>e nazw<7A> faktycznie wykonywanej pow<6F>oki, np. co<63> w rodzaju "-sh".
|
|||
|
.\"
|
|||
|
.IP "SULOG_FILE (napis)"
|
|||
|
Pokazuje pe<70>n<EFBFBD> nazw<7A> <20>cie<69>kow<6F> pliku, w kt<6B>rym rejestrowane jest wykorzystanie
|
|||
|
.BR su .
|
|||
|
Je<EFBFBD>li parametr ten nie jest okre<72>lony, to rejestrowanie nie jest wykonywane.
|
|||
|
Poniewa<EFBFBD> polecenie
|
|||
|
.B su
|
|||
|
mo<EFBFBD>e by<62> u<>ywane podczas pr<70>b uwierzytelnienia has<61>a, do odnotowywania
|
|||
|
u<EFBFBD>ycia
|
|||
|
.B su
|
|||
|
powinny by<62> u<>ywane albo niniejsza opcja
|
|||
|
albo
|
|||
|
.IR syslog .
|
|||
|
Zobacz te<74> opis SYSLOG_SU_ENAB.
|
|||
|
.\"
|
|||
|
.IP "SU_WHEEL_ONLY (logiczna)"
|
|||
|
XXX powinno zosta<74> udokumentowane.
|
|||
|
.\"
|
|||
|
.IP "SYSLOG_SG_ENAB (logiczna)"
|
|||
|
XXX powinno zosta<74> udokumentowane.
|
|||
|
.\"
|
|||
|
.IP "SYSLOG_SU_ENAB (logiczna)"
|
|||
|
Je<EFBFBD>eli ma warto<74><6F>
|
|||
|
.IR yes ,
|
|||
|
za<EFBFBD> program
|
|||
|
.B login
|
|||
|
zosta<EFBFBD> skompilowany z obs<62>ug<75>
|
|||
|
.IR syslog ,
|
|||
|
to wszelkie dzia<69>ania
|
|||
|
.B su
|
|||
|
b<EFBFBD>d<EFBFBD> rejestrowane za pomoc<6F>
|
|||
|
.IR syslog .
|
|||
|
Zobacz te<74> opis SULOG_FILE.
|
|||
|
.\"
|
|||
|
.IP "TTYGROUP (napis lub liczba)"
|
|||
|
Grupa (w<>a<EFBFBD>cicielska) terminala inicjowana jest na nazw<7A> b<>d<EFBFBD> numer tej grupy.
|
|||
|
Jeden z dobrze znanych atak<61>w polega na wymuszeniu sekwencji kontrolnych
|
|||
|
terminala na linii terminalowej innego u<>ytkownika. Problemu tego mo<6D>na
|
|||
|
unikn<EFBFBD><EFBFBD> wy<77><79>czaj<61>c prawa zezwalaj<61>ce innym u<>ytkownikom na dost<73>p do linii
|
|||
|
terminalowej, ale niestety zapobiega to r<>wnie<69> dzia<69>aniu program<61>w takich
|
|||
|
jak
|
|||
|
.BR write .
|
|||
|
Innym rozwi<77>zaniem jest pos<6F>u<EFBFBD>enie si<73> tak<61> wersj<73> programu
|
|||
|
.BR write ,
|
|||
|
kt<EFBFBD>ra odfiltrowuje potencjalnie niebezpieczne sekwencje znak<61>w. Nast<73>pnie
|
|||
|
programowi nale<6C>y przyzna<6E> rozszerzone prawa dost<73>pu (SGID) dla specjalnej
|
|||
|
grupy, ustawi<77> grup<75> w<>a<EFBFBD>cicieli terminala na t<> grup<75> i nada<64> prawa dost<73>pu
|
|||
|
\fI0620\fR do linii. Definicja TTYGROUP powsta<74>a do obs<62>ugi tej w<>a<EFBFBD>nie
|
|||
|
sytuacji.
|
|||
|
Je<EFBFBD>li pozycja ta nie jest zdefiniowana, to grupa terminala inicjowana jest
|
|||
|
na numer grupy u<>ytkownika.
|
|||
|
Zobacz tak<61>e TTYPERM.
|
|||
|
.\"
|
|||
|
.IP "TTYPERM (liczba)"
|
|||
|
T<EFBFBD> warto<74>ci<63> inicjowane s<> prawa terminala logowania. Typowymi warto<74>ciami s<>
|
|||
|
\fI0622\fR zezwalaj<61>ce innym na pisanie do linii lub \fI0600\fR zabezpieczaj<61>ce
|
|||
|
lini<EFBFBD> przed innymi u<>ytkownikami. Je<4A>eli nie podano tego parametru, to prawa
|
|||
|
dost<EFBFBD>pu do terminala zostan<61> zainicjowane warto<74>ci<63> \fI0622\fR. Zobacz te<74>
|
|||
|
TTYGROUP.
|
|||
|
.\"
|
|||
|
.IP "TTYTYPE_FILE (napis)"
|
|||
|
Okre<EFBFBD>la pe<70>n<EFBFBD> nazw<7A> <20>cie<69>kow<6F> pliku przypisuj<75>cego typy terminali do linii
|
|||
|
terminalowych. Ka<4B>dy z wierszy tego pliku zawiera rozdzielone bia<69>ym znakiem
|
|||
|
typ i lini<6E> terminala. Na przyk<79>ad:
|
|||
|
.nf
|
|||
|
.sp
|
|||
|
.ft I
|
|||
|
vt100\0 tty01
|
|||
|
wyse60 tty02
|
|||
|
\0\0.\0\0\0 \0\0.
|
|||
|
\0\0.\0\0\0 \0\0.
|
|||
|
\0\0.\0\0\0 \0\0.
|
|||
|
.ft R
|
|||
|
.sp
|
|||
|
.fi
|
|||
|
Informacja ta s<>u<EFBFBD>y do inicjowania zmiennej <20>rodowiska TERM. Wiersz
|
|||
|
rozpoczynaj<EFBFBD>cy si<73> znakiem # b<>dzie traktowany jak komentarz. Je<4A>eli nie
|
|||
|
podano tego parametru lub plik nie istnieje albo nie znaleziono w nim
|
|||
|
linii terminala, to zmienna TERM nie zostanie ustawiona.
|
|||
|
.\"
|
|||
|
.IP "UID_MAX (liczba)"
|
|||
|
XXX powinno zosta<74> udokumentowane.
|
|||
|
.IP "UID_MIN (liczba)"
|
|||
|
XXX powinno zosta<74> udokumentowane.
|
|||
|
.\"
|
|||
|
.IP "ULIMIT (d<>uga liczba)"
|
|||
|
Warto<EFBFBD>ci<EFBFBD> t<> inicjowany jest limit wielko<6B>ci pliku. Cecha ta obs<62>ugiwana
|
|||
|
jest wy<77><79>cznie w systemach posiadaj<61>cych
|
|||
|
.IR ulimit ,
|
|||
|
np. System V. Je<4A>li nie podano, to limit wielko<6B>ci pliku zostanie ustalony
|
|||
|
na pewn<77> wielk<6C> warto<74><6F>.
|
|||
|
.\"
|
|||
|
.IP "UMASK (liczba)"
|
|||
|
T<EFBFBD> warto<74>ci<63> inicjowana jest maska praw dost<73>pu. Nie podana, ustawia mask<73>
|
|||
|
praw na zero.
|
|||
|
.\"
|
|||
|
.IP "USERDEL_CMD (napis)"
|
|||
|
XXX powinno zosta<74> udokumentowane.
|
|||
|
.\"
|
|||
|
.SH POWI<EFBFBD>ZANIA
|
|||
|
Poni<EFBFBD>sze zestawienie pokazuje, kt<6B>re z program<61>w wchodz<64>cych w sk<73>ad pakietu
|
|||
|
shadow wykorzystuj<75> jakie parametry.
|
|||
|
.na
|
|||
|
.IP login 12
|
|||
|
CONSOLE DIALUPS_CHECK_ENAB ENV_HZ ENV_SUPATH ENV_TZ ERASECHAR FAILLOG_ENAB
|
|||
|
FTMP_FILE HUSHLOGIN_FILE KILLCHAR LASTLOG_ENAB LOG_UNKFAIL_ENAB
|
|||
|
MAIL_CHECK_ENAB MAIL_DIR MOTD_FILE NOLOGINS_FILE PORTTIME_CHECKS_ENAB
|
|||
|
QUOTAS_ENAB TTYPERM TTYTYPE_FILE ULIMIT UMASK
|
|||
|
.IP newusers 12
|
|||
|
PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE UMASK
|
|||
|
.IP passwd 12
|
|||
|
OBSCURE_CHECKS_ENAB PASS_MIN_LEN
|
|||
|
.IP pwconv 12
|
|||
|
PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE
|
|||
|
.IP su 12
|
|||
|
ENV_HZ ENV_SUPATH ENV_TZ HUSHLOGIN_FILE MAIL_CHECK_ENAB MAIL_DIR
|
|||
|
MOTD_FILE NOLOGIN_STR QUOTAS_ENAB SULOG_FILE SYSLOG_SU_ENAB
|
|||
|
.IP sulogin 12
|
|||
|
ENV_HZ ENV_SUPATH ENV_TZ MAIL_DIR QUOTAS_ENAB TTYPERM
|
|||
|
.ad
|
|||
|
.SH B<EFBFBD><EFBFBD>DY
|
|||
|
Niekt<EFBFBD>re z obs<62>ugiwanych parametr<74>w konfiguracyjnych pozosta<74>y
|
|||
|
nieopisane w niniejszym podr<64>czniku.
|
|||
|
.SH ZOBACZ TAK<EFBFBD>E
|
|||
|
.BR login (1),
|
|||
|
.BR passwd (5),
|
|||
|
.BR faillog (5),
|
|||
|
.BR porttime (5),
|
|||
|
.BR faillog (8)
|
|||
|
.SH AUTORZY
|
|||
|
Julianne Frances Haugh (jfh@austin.ibm.com)
|
|||
|
.br
|
|||
|
Chip Rosenthal (chip@unicom.com)
|