shadow/man/pl/login.defs.5

558 lines
20 KiB
Groff
Raw Normal View History

.\" {PTM/WK/1999-09-18}
.\" Copyright 1991 - 1993, Julianne Frances Haugh and Chip Rosenthal
.\" All rights reserved.
.\"
.\" Redistribution and use in source and binary forms, with or without
.\" modification, are permitted provided that the following conditions
.\" are met:
.\" 1. Redistributions of source code must retain the above copyright
.\" notice, this list of conditions and the following disclaimer.
.\" 2. Redistributions in binary form must reproduce the above copyright
.\" notice, this list of conditions and the following disclaimer in the
.\" documentation and/or other materials provided with the distribution.
.\" 3. Neither the name of Julianne F. Haugh nor the names of its contributors
.\" may be used to endorse or promote products derived from this software
.\" without specific prior written permission.
.\"
.\" THIS SOFTWARE IS PROVIDED BY JULIE HAUGH AND CONTRIBUTORS ``AS IS'' AND
.\" ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
.\" IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
.\" ARE DISCLAIMED. IN NO EVENT SHALL JULIE HAUGH OR CONTRIBUTORS BE LIABLE
.\" FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
.\" DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
.\" OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
.\" HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
.\" LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
.\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
.\" SUCH DAMAGE.
.\"
.TH LOGIN 5
.SH NAZWA
/etc/login.defs \- konfiguracja logowania
.SH OPIS
Plik
.I /etc/login.defs
definiuje specyficzn<7A> dla naszej maszyny konfiguracj<63> pakietu shadow login.
Plik ten jest wymagany. Jego nieobecno<6E><6F> nie wstrzyma dzia<69>ania systemu,
ale prawdopodobnie spowoduje nieprzewidywalne dzia<69>anie.
.PP
Plik ten jest czytelnym plikiem tekstowym. Ka<4B>dy z jego wierszy opisuje jeden
parametr konfiguracji. Wiersze sk<73>adaj<61> si<73> z nazwy parametru i jego warto<74>ci,
oddzielonych bia<69>ym znakiem. Ignorowane s<> puste wiersze i wiersze komentarzy.
Komentarze rozpoczynaj<61> si<73> od znaku '#', kt<6B>ry musi by<62> pierwszym znakiem
wiersza (pomijaj<61>c bia<69>e znaki).
.PP
Istniej<EFBFBD> cztery typy warto<74>ci parametr<74>w: napisy, logiczne (boolean),
liczby i d<>ugie liczby (long numbers). Napis jest z<>o<EFBFBD>ony
z dowolnych znak<61>w drukowalnych. Parametr logiczny mo<6D>e mie<69> albo warto<74><6F>
"yes" albo "no". Niezdefiniowanemu parametrowi logicznemu lub parametrowi,
kt<EFBFBD>remu przypisano warto<74><6F> inn<6E> od powy<77>szych przypisane zostanie "no".
Liczby (zar<61>wno zwyk<79>e jak i d<>ugie) mog<6F> by<62> warto<74>ciami dziesi<73>tnymi,
<EFBFBD>semkowymi (poprzed<65> warto<74><6F> cyfr<66> "0") albo szesnastkowymi (poprzed<65> warto<74><6F>
sekwencj<EFBFBD> "0x"). Maksymalne warto<74>ci zwyk<79>ych i d<>ugich parametr<74>w
numerycznych zale<6C><65> od maszyny.
.PP
Obs<EFBFBD>ugiwane s<> nast<73>puj<75>ce opcje konfiguracyjne:
.\"
.IP "CHFN_AUTH (logiczna)"
Je<EFBFBD>eli ma warto<74><6F>
.IR yes ,
to programy
.B chfn
i
.B chsh
b<EFBFBD>d<EFBFBD> pyta<74> o has<61>o przed dokonaniem zmian, chyba <20>e uruchamiane s<> przez
superu<EFBFBD>ytkownika.
.\"
.IP "CHFN_RESTRICT (napis)"
Ten parametr okre<72>la, jakie warto<74>ci w polu
.I gecos
pliku
.I passwd
mog<EFBFBD> by<62> zmieniane przez zwyk<79>ych u<>ytkownik<69>w za pomoc<6F> programu
.B chfn
Mo<EFBFBD>e on by<62> dowoln<6C> kombinacj<63> liter
.IR f ,
.IR r ,
.IR w ,
.IR h ,
oznaczaj<EFBFBD>cych odpowiednio: Full name (pe<70>na nazwa), Room number (numer pokoju),
Work phone (telefon s<>u<EFBFBD>bowy) i Home phone (telefon domowy).
Je<EFBFBD>li parametr nie jest podany, to zmian mo<6D>e dokonywa<77> wy<77><79>cznie
superu<EFBFBD>ytkownik.
.\"
.IP "CONSOLE (napis)"
Je<EFBFBD>li podana, definicja ta okre<72>la ograniczony zestaw linii, na kt<6B>rych
dozwolone jest rozpoczynanie sesji u<>ytkownika root. Pr<50>by logowania
u<EFBFBD>ytkownika root niespe<70>niaj<61>ce ustalonych tu kryteri<72>w zostan<61> odrzucone.
Warto<EFBFBD><EFBFBD> tego pola mo<6D>e wyst<73>pi<70> w jednej z dwu postaci: albo pe<70>nej nazwy
<EFBFBD>cie<EFBFBD>kowej pliku, jak na przyk<79>ad
.sp
.ft I
CONSOLE /etc/consoles
.ft R
.sp
albo listy linii terminalowych rozdzielonych dwukropkami, jak poni<6E>ej:
.sp
.ft I
CONSOLE console:tty01:tty02:tty03:tty04
.ft R
.sp
(Zauwa<77>, <20>e wymienione tu nazwy nie zawieraj<61> <20>cie<69>ki /dev/).
Je<EFBFBD>eli podano <20>cie<69>kow<6F> nazw<7A> pliku, to ka<6B>dy jego wiersz powinien okre<72>la<6C>
jedn<EFBFBD> lini<6E> terminalow<6F>. Je<4A>li parametr ten nie jest zdefiniowany albo podany
plik nie istnieje, to u<>ytkownik root b<>dzie m<>g<EFBFBD> si<73> logowa<77> z dowolnej linii
terminalowej. Poniewa<77> usuni<6E>cie lub obci<63>cie pliku definiuj<75>cego
dozwolone linie mo<6D>e spowodowa<77> nieautoryzowane logowania roota, plik ten musi
by<EFBFBD> chroniony. Tam, gdzie bezpiecze<7A>stwo jest spraw<61> kluczow<6F>, powinna by<62>
u<EFBFBD>ywana posta<74> listy separowanej dwukropkami, co chroni przed potencjaln<6C>
pr<EFBFBD>b<EFBFBD> ataku w opisany spos<6F>b.
.\"
.IP "CONSOLE_GROUPS (napis)"
XXX powinno zosta<74> udokumentowane.
.\"
.IP "CRACKLIB_DICTPATH (napis)"
XXX powinno zosta<74> udokumentowane.
.\"
.IP "DEFAULT_HOME (logiczna)"
XXX powinno zosta<74> udokumentowane.
.\"
.IP "DIALUPS_CHECK_ENAB (logiczna)"
Je<EFBFBD>eli ma warto<74><6F>
.I yes
a plik
.I /etc/dialups
istnieje, to na liniach telefonicznych wyszczeg<65>lnionych w tym pliku s<>
w<EFBFBD><EFBFBD>czane wt<77>rne has<61>a (has<61>a telefoniczne). Plik ten powinien zawiera<72> list<73>
linii telefonicznych (dialups), po jednej w wierszu, na przyk<79>ad:
.nf
.sp
.ft I
ttyfm01
ttyfm02
\0\0.
\0\0.
\0\0.
.ft R
.sp
.fi
.\"
.IP "ENVIRON_FILE (napis)"
XXX powinno zosta<74> udokumentowane.
.\"
.IP "ENV_HZ (napis)"
Parametr ten okre<72>la warto<74><6F> parametru <20>rodowiska HZ. Przyk<79>ad u<>ycia:
.sp
\fIENV_HZ HZ=50\fR
.sp
Je<EFBFBD>eli jest on zdefiniowany, to nie zostanie ustanowiona <20>adna warto<74><6F> HZ.
.\"
.IP "ENV_PATH (napis)"
Parametr ten musi by<62> zdefiniowany jako <20>cie<69>ka przeszukiwania dla zwyk<79>ych
u<EFBFBD>ytkownik<EFBFBD>w. Przy logowaniu z UID innym ni<6E> zero, zmienna <20>rodowiskowa PATH
jest inicjowana t<> w<>a<EFBFBD>nie warto<74>ci<63>. Jest to parametr wymagany; je<6A>eli nie
zostanie zdefiniowany, to zostanie nadana, by<62> mo<6D>e niepoprawna, warto<74><6F>
domy<EFBFBD>lna.
.\"
.IP "ENV_SUPATH (napis)"
Parametr ten musi by<62> zdefiniowany jako <20>cie<69>ka przeszukiwania dla
superu<EFBFBD>ytkownika. Przy rozpoczynaniu sesji z UID r<>wnym zero, zmienna
<EFBFBD>rodowiskowa PATH jest inicjowana t<> w<>a<EFBFBD>nie warto<74>ci<63>. Jest to parametr
wymagany; je<6A>eli nie zostanie zdefiniowany, to zostanie nadana, by<62> mo<6D>e
niepoprawna, warto<74><6F> domy<6D>lna.
.\"
.IP "ENV_TZ (napis)"
Parametr ten zawiera informacj<63> s<>u<EFBFBD><75>c<EFBFBD> do utworzenia zmiennej <20>rodowiskowej TZ.
Jego warto<74><6F> musi by<62> albo wprost wymagan<61> zawarto<74>ci<63> TZ, albo
pe<EFBFBD>n<EFBFBD> nazw<7A> <20>cie<69>kow<6F> pliku zawieraj<61>cego t<> informacj<63>. Przyk<79>ad u<>ycia:
.sp
\fIENV_TZ\0\0\0\0TZ=CST6CDT\fP
.sp
lub
.sp
\fIENV_TZ\0\0\0\0/etc/tzname\fP
.sp
Je<EFBFBD>eli podano nieistniej<65>cy plik, to TZ zostanie zainicjowane pewn<77> warto<74>ci<63>
domy<EFBFBD>ln<EFBFBD>. Je<4A>eli nie zdefiniowano tego parametru to nie b<>dzie ustawiona
<EFBFBD>adna warto<74><6F> TZ.
.\"
.IP "ERASECHAR (liczba)"
T<EFBFBD> warto<74>ci<63> jest inicjowany terminalowy znak
.I erase
(kasowania). Jest to obs<62>ugiwane tylko w systemach z interfejsem
.IR termio,
np. System V. Je<4A>eli nie podano parametru, to znak kasowania zostanie
zainicjowany na backspace. Informacj<63> powi<77>zan<61> znajdziesz w opisie KILLCHAR.
.\"
.IP "FAILLOG_ENAB (logiczna)"
Je<EFBFBD>eli ustawiona na
.I yes
to nieudane logowania b<>d<EFBFBD> odnotowywane w pliku
.I /var/log/faillog
w formacie
.BR faillog (8).
.\"
.IP "FAIL_DELAY (liczba)"
Czas op<6F><70>nienia, wyra<72>ony w sekundach, po ka<6B>dej nieudanej pr<70>bie logowania.
.\"
.IP "FAKE_SHELL (napis)"
Zamiast rzeczywistej pow<6F>oki u<>ytkownika zostanie uruchomiony program okre<72>lony
warto<EFBFBD>ci<EFBFBD> tego parametru. Nazwa widoczna (argv[0]) programu b<>dzie jednak
nazw<EFBFBD> pow<6F>oki. Program przed uruchomieniem faktycznej pow<6F>oki mo<6D>e wykonywa<77>
dowoln<EFBFBD> akcj<63> (logowanie, dodatkowe uwierzytelnianie, banner itp.).
.\"
.IP "FTMP_FILE (napis)"
Okre<EFBFBD>la pe<70>n<EFBFBD> <20>cie<69>kow<6F> nazw<7A> pliku, w kt<6B>rym rejestrowane s<> nieudane pr<70>by
rozpoczynania sesji pracy. W przypadku nieudanej pr<70>by logowania do pliku
dopisywana jest pozycja o formacie
.IR utmp .
Zauwa<EFBFBD>, <20>e r<><72>ni si<73> to od rejestracji niepomy<6D>lnych logowa<77> do
.IR /var/log/faillog ,
gdy<EFBFBD> opisywana funkcja odnotowuje wszystkie nieudane pr<70>by, podczas gdy
"faillog" kumuluje informacj<63> o pora<72>kach danego u<>ytkownika. Je<4A>li nie
podano tego parametru, to rejestracja b<>dzie wy<77><79>czona. Powi<77>zane informacje
znajdziesz w opisie FAILLOG_ENAB i LOG_UNKFAIL_ENAB.
.\"
.IP "GID_MAX (liczba)"
.IP "GID_MIN (liczba)"
Zakres identyfikator<6F>w grup, w obr<62>bie kt<6B>rego mo<6D>e wybiera<72> program
.BR groupadd .
.\"
.IP "HUSHLOGIN_FILE (nazwa)"
Parametr u<>ywany do ustalenia okoliczno<6E>ci cichego logowania ("hushlogin").
Okoliczno<EFBFBD>ci te mog<6F> by<62> ustalone na dwa sposoby. Po pierwsze, je<6A>eli warto<74>ci<63>
parametru jest nazwa pliku, a plik ten istnieje w katalogu domowym u<>ytkownika,
to wprowadzane s<> warunki cichego logowania. Zawarto<74><6F> pliku jest ignorowana;
sama jego obecno<6E><6F> powoduje ciche logowanie. Po drugie, je<6A>eli warto<74>ci<63>
parametru jest pe<70>na nazwa <20>cie<69>kowa pliku a w pliku tym znaleziona zostanie
nazwa u<>ytkownika lub nazwa jego pow<6F>oki, to wprowadzone zostan<61> warunki
cichego logowania. W tym przypadku, plik powinien mie<69> format podobny do:
.nf
.sp
.ft I
demo
/usr/lib/uucp/uucico
\0\0.
\0\0.
\0\0.
.ft R
.sp
.fi
Je<EFBFBD>eli nie zdefiniowano tego parametru, to warunki cichego logowania nigdy
nie wyst<73>pi<70>. W trakcie cichego logowanie wstrzymane jest wy<77>wietlanie
wiadomo<EFBFBD>ci dnia (message of the day), ostatniego udanego i nieudanego
rozpocz<EFBFBD>cia sesji pracy, wy<77>wietlanie stanu skrzynki pocztowej i sprawdzenie
wieku has<61>a. Zauwa<77>, <20>e zezwolenie na pliki cichego logowania w katalogach
domowych u<>ytkownik<69>w pozwala im na wstrzymanie kontroli wa<77>no<6E>ci
has<EFBFBD>a. Informacje zwi<77>zane z tym tematem znajdziesz w opisach MOTD_FILE,
FILELOG_ENAB, LASTLOG_ENAB i MAIL_CHECK_ENAB.
.\"
.IP "ISSUE_FILE (napis)"
Pe<EFBFBD>na <20>cie<69>kowa nazwa pliku wy<77>wietlanego przed ka<6B>d<EFBFBD> zach<63>t<EFBFBD> do logowania.
.\"
.IP "KILLCHAR (liczba)"
T<EFBFBD> warto<74>ci<63> inicjowany jest terminalowy znak
.IR kill .
Jest to obs<62>ugiwane tylko w systemach z interfejsem
.IR termio,
np. System V. Je<4A>eli nie podano parametru, to znak kasowania zostanie
zainicjowany na \s-2CTRL/U\s0. Informacj<63> powi<77>zan<61> znajdziesz w opisie
ERASECHAR.
.\"
.IP "LASTLOG_ENAB (logiczna)"
Je<EFBFBD>li ma warto<74><6F>
.IR yes ,
i istnieje plik
.IR /var/log/lastlog ,
to w tym pliku b<>dzie rejestrowane poprawne rozpocz<63>cie sesji pracy u<>ytkownika
(zalogowanie si<73>). Ponadto, je<6A>li opcja ta jest w<><77>czona, to podczas logowania
si<EFBFBD> u<>ytkownika b<>dzie wy<77>wietlana informacja o liczbie ostatnich udanych
i nieudanych logowa<77>. Zako<6B>czone niepowodzeniem logowania nie b<>d<EFBFBD> wy<77>wietlane
je<EFBFBD>li nie w<><77>czono FAILLOG_ENAB. W warunkach cichego logowanie nie
b<EFBFBD>d<EFBFBD> wy<77>wietlane informacje ani o pomy<6D>lnych ani o niepomy<6D>lnych logowaniach.
.\"
.IP "LOGIN_RETRIES (liczba)"
Dozwolona liczba pr<70>b logowania przed zako<6B>czeniem pracy programu
.BR login .
.\"
.IP "LOGIN_STRING (napis)"
XXX powinno zosta<74> udokumentowane.
.IP "LOGIN_TIMEOUT (liczba)"
XXX powinno zosta<74> udokumentowane.
.IP "LOG_OK_LOGINS (logiczna)"
XXX powinno zosta<74> udokumentowane.
.IP "LOG_UNKFAIL_ENAB (logiczna)"
Je<EFBFBD>li posiada warto<74><6F>
.I yes
to nieznane nazwy u<>ytkownik<69>w b<>d<EFBFBD> r<>wnie<69> odnotowywane je<6A>li w<><77>czone jest
rejestrowanie nieudanych pr<70>b rozpocz<63>cia sesji. Zauwa<77>, <20>e niesie to ze sob<6F>
potencjalne zagro<72>enie bezpiecze<7A>stwa: powszechn<68> przyczyn<79> nieudanego
logowania jest zamiana nazwy u<>ytkownika i has<61>a, tryb ten zatem spowoduje,
<EFBFBD>e cz<63>sto w rejestrach nieudanych logowa<77> b<>d<EFBFBD> si<73> odk<64>ada<64> jawne has<61>a.
Je<EFBFBD>eli opcja ta jest wy<77><79>czona, to nieznane nazwy u<>ytkownik<69>w b<>d<EFBFBD> pomijane
w komunikatach o nieudanych pr<70>bach logowania.
.\"
.IP "MAIL_CHECK_ENAB (logiczna)"
Je<EFBFBD>eli ma warto<74><6F>
.IR yes ,
to u<>ytkownik po rozpocz<63>ciu sesji pracy b<>dzie powiadamiany o stanie swojej
skrzynki pocztowej. Informacj<63> zwi<77>zan<61> z tym tematem znajdziesz w opisie
MAIL_DIR.
.\"
.IP "MAIL_DIR (napis)"
Okre<EFBFBD>la pe<70>n<EFBFBD> nazw<7A> <20>cie<69>kow<6F> do katalogu zawieraj<61>cego pliki skrzynki
pocztowej u<>ytkownika. Do powy<77>szej <20>cie<69>ki doklejana jest nazwa u<>ytkownika,
tworz<EFBFBD>c w ten spos<6F>b zmienn<6E> <20>rodowiskow<6F> MAIL - <20>cie<69>k<EFBFBD> do skrzynki
u<EFBFBD>ytkownika. Musi by<62> zdefiniowany albo niniejszy parametr albo parametr
MAIL_FILE; je<6A>li nie zostan<61> zdefiniowane, to zostanie nadana, by<62> mo<6D>e
niepoprawna, warto<74><6F> domy<6D>lna. Zobacz tak<61>e opis MAIL_CHECK_ENAB.
.\"
.IP "MAIL_FILE (napis)"
Okre<EFBFBD>la nazw<7A> pliku skrzynki pocztowej u<>ytkownika. Nazwa ta doklejana jest
na koniec nazwy katalogu domowego u<>ytkownika tworz<72>c zmienn<6E> <20>rodowiskow<6F>
MAIL - <20>cie<69>k<EFBFBD> do skrzynki u<>ytkownika. Musi by<62> zdefiniowany albo niniejszy
parametr albo parametr MAIL_DIR; je<6A>li nie zostan<61> zdefiniowane, to zostanie
nadana, by<62> mo<6D>e niepoprawna, warto<74><6F> domy<6D>lna. Zobacz tak<61>e opis
MAIL_CHECK_ENAB.
.\"
.IP "MD5_CRYPT_ENAB (logiczna)"
Je<EFBFBD>eli ma warto<74><6F>
.IR yes ,
to program
.B passwd
b<EFBFBD>dzie kodowa<77> nowo zmieniane has<61>a przy pomocy nowego algorytmu
.BR crypt (3),
opartego o MD-5. Algorytm ten pierwotnie pojawi<77> si<73> we FreeBSD i jest te<74>
obs<EFBFBD>ugiwany przez libc-5.4.38 oraz glibc-2.0 (lub wy<77>sz<73>) w Linuksie.
Pozwala on na u<>ywanie hase<73> d<>u<EFBFBD>szych ni<6E> 8 znak<61>w (ograniczone przez
.BR getpass (3)
do 127 znak<61>w), ale nie jest zgodny z tradycyjnymi implementacjami polecenia
.BR crypt (3).
.\"
.IP "MOTD_FILE (napis)"
Okre<EFBFBD>la list<73> rozdzielonych dwukropkami <20>cie<69>ek do plik<69>w "wiadomo<6D>ci dnia"
(message of the day, MOTD). Je<4A>li podany plik istnieje, to jego zawarto<74><6F> jest
wy<EFBFBD>wietlana u<>ytkownikowi podczas rozpoczynania przez niego sesji pracy.
Je<EFBFBD>eli parametr ten jest niezdefiniowany lub wykonywane jest ciche logowanie,
to informacja ta b<>dzie pomijana.
.\"
.IP "NOLOGINS_FILE (napis)"
Okre<EFBFBD>la pe<70>n<EFBFBD> nazw<7A> <20>cie<69>kow<6F> pliku zabraniaj<61>cego logowa<77> dla u<>ytkownik<69>w
innych ni<6E> root. Je<4A>eli plik ten istnieje a u<>ytkownik inny ni<6E> root usi<73>uje
si<EFBFBD> zalogowa<77>, to wy<77>wietlana zostanie zawarto<74><6F> pliku a u<>ytkownik b<>dzie
roz<EFBFBD><EFBFBD>czony. Je<4A>eli nie podano tego parametru, to opisana funkcja b<>dzie
wy<EFBFBD><EFBFBD>czona.
.\"
.IP "NOLOGIN_STR (napis)"
XXX powinno zosta<74> udokumentowane.
.\"
.IP "OBSCURE_CHECKS_ENAB (logiczna)"
Je<EFBFBD>eli ma warto<74><6F>
.IR yes ,
to program
.B passwd
przed akceptacj<63> zmiany has<61>a b<>dzie wykonywa<77> dodatkowe sprawdzenia.
Kontrole te s<> do<64><6F> proste, a ich u<>ycie jest zalecane.
Te sprawdzenia nieoczywisto<74>ci s<> pomijane, je<6A>eli
.B passwd
uruchamiane jest przez u<>ytkownika
.IR root .
Zobacz tak<61>e opis PASS_MIN_LEN.
.\"
.IP "PASS_ALWAYS_WARN (logiczna)"
XXX powinno zosta<74> udokumentowane.
.\"
.IP "PASS_CHANGE_TRIES (liczba)"
XXX powinno zosta<74> udokumentowane.
.\"
.IP "PASS_MIN_DAYS (liczba)"
Minimalna liczba dni mi<6D>dzy dozwolonymi zmianami has<61>a. Jakiekolwiek pr<70>by
zmiany has<61>a podejmowane wcze<7A>niej zostan<61> odrzucone. Je<4A>eli nie podano tego
parametru, to przyj<79>ta zostanie warto<74><6F> zerowa.
.\"
.IP "PASS_MIN_LEN (liczba)"
Minimalna liczba znak<61>w w akceptowalnym ha<68>le. Pr<50>ba przypisania has<61>a o
mniejszej liczbie znak<61>w zostanie odrzucona. Warto<74><6F> zero wy<77><79>cza t<>
kontrol<EFBFBD>. Je<4A>li nie podano parametru, to przyj<79>ta zostanie warto<74><6F> zerowa.
.\"
.IP "PASS_MAX_DAYS (liczba)"
Maksymalna liczba dni, przez jak<61> mo<6D>e by<62> u<>ywane has<61>o. Je<4A>li has<61>o jest
stanie si<73> starsze, to rachunek zostanie zablokowany. Je<4A>li nie podano, to
zostanie przyj<79>ta bardzo du<64>a warto<74><6F>.
.\"
.IP "PASS_MAX_LEN (liczba)"
XXX powinno zosta<74> udokumentowane.
.\"
.IP "PASS_WARN_AGE (liczba)"
Liczba dni ostrzegania przed wyga<67>ni<6E>ciem has<61>a. Warto<74><6F> zerowa oznacza,
<EFBFBD>e ostrze<7A>enie wyst<73>pi wy<77><79>cznie w dniu utraty wa<77>no<6E>ci has<61>a. Warto<74><6F>
ujemna oznacza brak ostrze<7A>e<EFBFBD>. Brak parametru oznacza, <20>e ostrze<7A>enia nie
b<EFBFBD>d<EFBFBD> wy<77>wietlane.
.\"
.IP "PORTTIME_CHECKS_ENAB (logiczna)"
Je<EFBFBD>li ma warto<74><6F>
.IR yes ,
za<EFBFBD> plik
.I /etc/porttime
istnieje, to b<>dzie on przegl<67>dany, by upewni<6E> si<73> czy u<>ytkownik mo<6D>e si<73>
w danej chwili zalogowa<77> na danej linii. Patrz tak<61>e podr<64>cznik
.BR porttime (5)
.\"
.IP "QMAIL_DIR (napis)"
Dla u<>ytkownik<69>w Qmail, parametr ten okre<72>la katalog, w kt<6B>rym przechowywana
jest hierarchia Maildir.
Zobacz te<74> MAIL_CHECK_ENAB.
.\"
.IP "QUOTAS_ENAB (logiczna)"
Je<EFBFBD>li ma warto<74><6F>
.I yes ,
w<EFBFBD>wczas dla danego u<>ytkownika "ulimit," "umask" i "niceness" b<>d<EFBFBD>
zainicjowane warto<74>ciami podanymi (o ile s<> podane) w polu
.I gecos
pliku
.IR passwd .
Patrz tak<61>e podr<64>cznik
.BR passwd (5).
.\"
.IP "SU_NAME (napis)"
Przypisuje nazw<7A> polecenia do uruchomionego "su -". Na przyk<79>ad, je<6A>li
parametr ten jest zdefiniowany jako "su", to polecenie
.BR ps (1)
poka<EFBFBD>e uruchomione polecenie jako "-su". Je<4A>li parametr ten jest
niezdefiniowany, to
.BR ps (1)
poka<EFBFBD>e nazw<7A> faktycznie wykonywanej pow<6F>oki, np. co<63> w rodzaju "-sh".
.\"
.IP "SULOG_FILE (napis)"
Pokazuje pe<70>n<EFBFBD> nazw<7A> <20>cie<69>kow<6F> pliku, w kt<6B>rym rejestrowane jest wykorzystanie
.BR su .
Je<EFBFBD>li parametr ten nie jest okre<72>lony, to rejestrowanie nie jest wykonywane.
Poniewa<EFBFBD> polecenie
.B su
mo<EFBFBD>e by<62> u<>ywane podczas pr<70>b uwierzytelnienia has<61>a, do odnotowywania
u<EFBFBD>ycia
.B su
powinny by<62> u<>ywane albo niniejsza opcja
albo
.IR syslog .
Zobacz te<74> opis SYSLOG_SU_ENAB.
.\"
.IP "SU_WHEEL_ONLY (logiczna)"
XXX powinno zosta<74> udokumentowane.
.\"
.IP "SYSLOG_SG_ENAB (logiczna)"
XXX powinno zosta<74> udokumentowane.
.\"
.IP "SYSLOG_SU_ENAB (logiczna)"
Je<EFBFBD>eli ma warto<74><6F>
.IR yes ,
za<EFBFBD> program
.B login
zosta<EFBFBD> skompilowany z obs<62>ug<75>
.IR syslog ,
to wszelkie dzia<69>ania
.B su
b<EFBFBD>d<EFBFBD> rejestrowane za pomoc<6F>
.IR syslog .
Zobacz te<74> opis SULOG_FILE.
.\"
.IP "TTYGROUP (napis lub liczba)"
Grupa (w<>a<EFBFBD>cicielska) terminala inicjowana jest na nazw<7A> b<>d<EFBFBD> numer tej grupy.
Jeden z dobrze znanych atak<61>w polega na wymuszeniu sekwencji kontrolnych
terminala na linii terminalowej innego u<>ytkownika. Problemu tego mo<6D>na
unikn<EFBFBD><EFBFBD> wy<77><79>czaj<61>c prawa zezwalaj<61>ce innym u<>ytkownikom na dost<73>p do linii
terminalowej, ale niestety zapobiega to r<>wnie<69> dzia<69>aniu program<61>w takich
jak
.BR write .
Innym rozwi<77>zaniem jest pos<6F>u<EFBFBD>enie si<73> tak<61> wersj<73> programu
.BR write ,
kt<EFBFBD>ra odfiltrowuje potencjalnie niebezpieczne sekwencje znak<61>w. Nast<73>pnie
programowi nale<6C>y przyzna<6E> rozszerzone prawa dost<73>pu (SGID) dla specjalnej
grupy, ustawi<77> grup<75> w<>a<EFBFBD>cicieli terminala na t<> grup<75> i nada<64> prawa dost<73>pu
\fI0620\fR do linii. Definicja TTYGROUP powsta<74>a do obs<62>ugi tej w<>a<EFBFBD>nie
sytuacji.
Je<EFBFBD>li pozycja ta nie jest zdefiniowana, to grupa terminala inicjowana jest
na numer grupy u<>ytkownika.
Zobacz tak<61>e TTYPERM.
.\"
.IP "TTYPERM (liczba)"
T<EFBFBD> warto<74>ci<63> inicjowane s<> prawa terminala logowania. Typowymi warto<74>ciami s<>
\fI0622\fR zezwalaj<61>ce innym na pisanie do linii lub \fI0600\fR zabezpieczaj<61>ce
lini<EFBFBD> przed innymi u<>ytkownikami. Je<4A>eli nie podano tego parametru, to prawa
dost<EFBFBD>pu do terminala zostan<61> zainicjowane warto<74>ci<63> \fI0622\fR. Zobacz te<74>
TTYGROUP.
.\"
.IP "TTYTYPE_FILE (napis)"
Okre<EFBFBD>la pe<70>n<EFBFBD> nazw<7A> <20>cie<69>kow<6F> pliku przypisuj<75>cego typy terminali do linii
terminalowych. Ka<4B>dy z wierszy tego pliku zawiera rozdzielone bia<69>ym znakiem
typ i lini<6E> terminala. Na przyk<79>ad:
.nf
.sp
.ft I
vt100\0 tty01
wyse60 tty02
\0\0.\0\0\0 \0\0.
\0\0.\0\0\0 \0\0.
\0\0.\0\0\0 \0\0.
.ft R
.sp
.fi
Informacja ta s<>u<EFBFBD>y do inicjowania zmiennej <20>rodowiska TERM. Wiersz
rozpoczynaj<EFBFBD>cy si<73> znakiem # b<>dzie traktowany jak komentarz. Je<4A>eli nie
podano tego parametru lub plik nie istnieje albo nie znaleziono w nim
linii terminala, to zmienna TERM nie zostanie ustawiona.
.\"
.IP "UID_MAX (liczba)"
XXX powinno zosta<74> udokumentowane.
.IP "UID_MIN (liczba)"
XXX powinno zosta<74> udokumentowane.
.\"
.IP "ULIMIT (d<>uga liczba)"
Warto<EFBFBD>ci<EFBFBD> t<> inicjowany jest limit wielko<6B>ci pliku. Cecha ta obs<62>ugiwana
jest wy<77><79>cznie w systemach posiadaj<61>cych
.IR ulimit ,
np. System V. Je<4A>li nie podano, to limit wielko<6B>ci pliku zostanie ustalony
na pewn<77> wielk<6C> warto<74><6F>.
.\"
.IP "UMASK (liczba)"
T<EFBFBD> warto<74>ci<63> inicjowana jest maska praw dost<73>pu. Nie podana, ustawia mask<73>
praw na zero.
.\"
.IP "USERDEL_CMD (napis)"
XXX powinno zosta<74> udokumentowane.
.\"
.SH POWI<EFBFBD>ZANIA
Poni<EFBFBD>sze zestawienie pokazuje, kt<6B>re z program<61>w wchodz<64>cych w sk<73>ad pakietu
shadow wykorzystuj<75> jakie parametry.
.na
.IP login 12
CONSOLE DIALUPS_CHECK_ENAB ENV_HZ ENV_SUPATH ENV_TZ ERASECHAR FAILLOG_ENAB
FTMP_FILE HUSHLOGIN_FILE KILLCHAR LASTLOG_ENAB LOG_UNKFAIL_ENAB
MAIL_CHECK_ENAB MAIL_DIR MOTD_FILE NOLOGINS_FILE PORTTIME_CHECKS_ENAB
QUOTAS_ENAB TTYPERM TTYTYPE_FILE ULIMIT UMASK
.IP newusers 12
PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE UMASK
.IP passwd 12
OBSCURE_CHECKS_ENAB PASS_MIN_LEN
.IP pwconv 12
PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE
.IP su 12
ENV_HZ ENV_SUPATH ENV_TZ HUSHLOGIN_FILE MAIL_CHECK_ENAB MAIL_DIR
MOTD_FILE NOLOGIN_STR QUOTAS_ENAB SULOG_FILE SYSLOG_SU_ENAB
.IP sulogin 12
ENV_HZ ENV_SUPATH ENV_TZ MAIL_DIR QUOTAS_ENAB TTYPERM
.ad
.SH B<EFBFBD><EFBFBD>DY
Niekt<EFBFBD>re z obs<62>ugiwanych parametr<74>w konfiguracyjnych pozosta<74>y
nieopisane w niniejszym podr<64>czniku.
.SH ZOBACZ TAK<EFBFBD>E
.BR login (1),
.BR passwd (5),
.BR faillog (5),
.BR porttime (5),
.BR faillog (8)
.SH AUTORZY
Julianne Frances Haugh (jfh@austin.ibm.com)
.br
Chip Rosenthal (chip@unicom.com)