shadow/man/pl/login.defs.5

558 lines
20 KiB
Groff

.\" $Id: login.defs.5,v 1.4 2001/06/23 08:50:26 marekm Exp $
.\" {PTM/WK/1999-09-18}
.\" Copyright 1991 - 1993, Julianne Frances Haugh and Chip Rosenthal
.\" All rights reserved.
.\"
.\" Redistribution and use in source and binary forms, with or without
.\" modification, are permitted provided that the following conditions
.\" are met:
.\" 1. Redistributions of source code must retain the above copyright
.\" notice, this list of conditions and the following disclaimer.
.\" 2. Redistributions in binary form must reproduce the above copyright
.\" notice, this list of conditions and the following disclaimer in the
.\" documentation and/or other materials provided with the distribution.
.\" 3. Neither the name of Julianne F. Haugh nor the names of its contributors
.\" may be used to endorse or promote products derived from this software
.\" without specific prior written permission.
.\"
.\" THIS SOFTWARE IS PROVIDED BY JULIE HAUGH AND CONTRIBUTORS ``AS IS'' AND
.\" ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
.\" IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
.\" ARE DISCLAIMED. IN NO EVENT SHALL JULIE HAUGH OR CONTRIBUTORS BE LIABLE
.\" FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
.\" DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
.\" OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
.\" HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
.\" LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
.\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
.\" SUCH DAMAGE.
.TH LOGIN 5
.SH NAZWA
/etc/login.defs \- konfiguracja logowania
.SH OPIS
Plik
.I /etc/login.defs
definiuje specyficzn± dla naszej maszyny konfiguracjê pakietu shadow login.
Plik ten jest wymagany. Jego nieobecno¶æ nie wstrzyma dzia³ania systemu,
ale prawdopodobnie spowoduje nieprzewidywalne dzia³anie.
.PP
Plik ten jest czytelnym plikiem tekstowym. Ka¿dy z jego wierszy opisuje jeden
parametr konfiguracji. Wiersze sk³adaj± siê z nazwy parametru i jego warto¶ci,
oddzielonych bia³ym znakiem. Ignorowane s± puste wiersze i wiersze komentarzy.
Komentarze rozpoczynaj± siê od znaku '#', który musi byæ pierwszym znakiem
wiersza (pomijaj±c bia³e znaki).
.PP
Istniej± cztery typy warto¶ci parametrów: napisy, logiczne (boolean),
liczby i d³ugie liczby (long numbers). Napis jest z³o¿ony
z dowolnych znaków drukowalnych. Parametr logiczny mo¿e mieæ albo warto¶æ
"yes" albo "no". Niezdefiniowanemu parametrowi logicznemu lub parametrowi,
któremu przypisano warto¶æ inn± od powy¿szych przypisane zostanie "no".
Liczby (zarówno zwyk³e jak i d³ugie) mog± byæ warto¶ciami dziesiêtnymi,
ósemkowymi (poprzed¼ warto¶æ cyfr± "0") albo szesnastkowymi (poprzed¼ warto¶æ
sekwencj± "0x"). Maksymalne warto¶ci zwyk³ych i d³ugich parametrów
numerycznych zale¿± od maszyny.
.PP
Obs³ugiwane s± nastêpuj±ce opcje konfiguracyjne:
.\"
.IP "CHFN_AUTH (logiczna)"
Je¿eli ma warto¶æ
.IR yes ,
to programy
.B chfn
i
.B chsh
bêd± pytaæ o has³o przed dokonaniem zmian, chyba ¿e uruchamiane s± przez
superu¿ytkownika.
.\"
.IP "CHFN_RESTRICT (napis)"
Ten parametr okre¶la, jakie warto¶ci w polu
.I gecos
pliku
.I passwd
mog± byæ zmieniane przez zwyk³ych u¿ytkowników za pomoc± programu
.B chfn
Mo¿e on byæ dowoln± kombinacj± liter
.IR f ,
.IR r ,
.IR w ,
.IR h ,
oznaczaj±cych odpowiednio: Full name (pe³na nazwa), Room number (numer pokoju),
Work phone (telefon s³u¿bowy) i Home phone (telefon domowy).
Je¶li parametr nie jest podany, to zmian mo¿e dokonywaæ wy³±cznie
superu¿ytkownik.
.\"
.IP "CONSOLE (napis)"
Je¶li podana, definicja ta okre¶la ograniczony zestaw linii, na których
dozwolone jest rozpoczynanie sesji u¿ytkownika root. Próby logowania
u¿ytkownika root niespe³niaj±ce ustalonych tu kryteriów zostan± odrzucone.
Warto¶æ tego pola mo¿e wyst±piæ w jednej z dwu postaci: albo pe³nej nazwy
¶cie¿kowej pliku, jak na przyk³ad
.sp
.ft I
CONSOLE /etc/consoles
.ft R
.sp
albo listy linii terminalowych rozdzielonych dwukropkami, jak poni¿ej:
.sp
.ft I
CONSOLE console:tty01:tty02:tty03:tty04
.ft R
.sp
(Zauwa¿, ¿e wymienione tu nazwy nie zawieraj± ¶cie¿ki /dev/).
Je¿eli podano ¶cie¿kow± nazwê pliku, to ka¿dy jego wiersz powinien okre¶laæ
jedn± liniê terminalow±. Je¶li parametr ten nie jest zdefiniowany albo podany
plik nie istnieje, to u¿ytkownik root bêdzie móg³ siê logowaæ z dowolnej linii
terminalowej. Poniewa¿ usuniêcie lub obciêcie pliku definiuj±cego
dozwolone linie mo¿e spowodowaæ nieautoryzowane logowania roota, plik ten musi
byæ chroniony. Tam, gdzie bezpieczeñstwo jest spraw± kluczow±, powinna byæ
u¿ywana postaæ listy separowanej dwukropkami, co chroni przed potencjaln±
prób± ataku w opisany sposób.
.\"
.IP "CONSOLE_GROUPS (napis)"
XXX powinno zostaæ udokumentowane.
.\"
.IP "CRACKLIB_DICTPATH (napis)"
XXX powinno zostaæ udokumentowane.
.\"
.IP "DEFAULT_HOME (logiczna)"
XXX powinno zostaæ udokumentowane.
.\"
.IP "DIALUPS_CHECK_ENAB (logiczna)"
Je¿eli ma warto¶æ
.I yes
a plik
.I /etc/dialups
istnieje, to na liniach telefonicznych wyszczególnionych w tym pliku s±
w³±czane wtórne has³a (has³a telefoniczne). Plik ten powinien zawieraæ listê
linii telefonicznych (dialups), po jednej w wierszu, na przyk³ad:
.nf
.sp
.ft I
ttyfm01
ttyfm02
\0\0.
\0\0.
\0\0.
.ft R
.sp
.fi
.\"
.IP "ENVIRON_FILE (napis)"
XXX powinno zostaæ udokumentowane.
.\"
.IP "ENV_HZ (napis)"
Parametr ten okre¶la warto¶æ parametru ¶rodowiska HZ. Przyk³ad u¿ycia:
.sp
\fIENV_HZ HZ=50\fR
.sp
Je¿eli jest on zdefiniowany, to nie zostanie ustanowiona ¿adna warto¶æ HZ.
.\"
.IP "ENV_PATH (napis)"
Parametr ten musi byæ zdefiniowany jako ¶cie¿ka przeszukiwania dla zwyk³ych
u¿ytkowników. Przy logowaniu z UID innym ni¿ zero, zmienna ¶rodowiskowa PATH
jest inicjowana t± w³a¶nie warto¶ci±. Jest to parametr wymagany; je¿eli nie
zostanie zdefiniowany, to zostanie nadana, byæ mo¿e niepoprawna, warto¶æ
domy¶lna.
.\"
.IP "ENV_SUPATH (napis)"
Parametr ten musi byæ zdefiniowany jako ¶cie¿ka przeszukiwania dla
superu¿ytkownika. Przy rozpoczynaniu sesji z UID równym zero, zmienna
¶rodowiskowa PATH jest inicjowana t± w³a¶nie warto¶ci±. Jest to parametr
wymagany; je¿eli nie zostanie zdefiniowany, to zostanie nadana, byæ mo¿e
niepoprawna, warto¶æ domy¶lna.
.\"
.IP "ENV_TZ (napis)"
Parametr ten zawiera informacjê s³u¿±c± do utworzenia zmiennej ¶rodowiskowej TZ.
Jego warto¶æ musi byæ albo wprost wymagan± zawarto¶ci± TZ, albo
pe³n± nazw± ¶cie¿kow± pliku zawieraj±cego tê informacjê. Przyk³ad u¿ycia:
.sp
\fIENV_TZ\0\0\0\0TZ=CST6CDT\fP
.sp
lub
.sp
\fIENV_TZ\0\0\0\0/etc/tzname\fP
.sp
Je¿eli podano nieistniej±cy plik, to TZ zostanie zainicjowane pewn± warto¶ci±
domy¶ln±. Je¿eli nie zdefiniowano tego parametru to nie bêdzie ustawiona
¿adna warto¶æ TZ.
.\"
.IP "ERASECHAR (liczba)"
T± warto¶ci± jest inicjowany terminalowy znak
.I erase
(kasowania). Jest to obs³ugiwane tylko w systemach z interfejsem
.IR termio,
np. System V. Je¿eli nie podano parametru, to znak kasowania zostanie
zainicjowany na backspace. Informacjê powi±zan± znajdziesz w opisie KILLCHAR.
.\"
.IP "FAILLOG_ENAB (logiczna)"
Je¿eli ustawiona na
.I yes
to nieudane logowania bêd± odnotowywane w pliku
.I /var/log/faillog
w formacie
.BR faillog (8).
.\"
.IP "FAIL_DELAY (liczba)"
Czas opó¼nienia, wyra¿ony w sekundach, po ka¿dej nieudanej próbie logowania.
.\"
.IP "FAKE_SHELL (napis)"
Zamiast rzeczywistej pow³oki u¿ytkownika zostanie uruchomiony program okre¶lony
warto¶ci± tego parametru. Nazwa widoczna (argv[0]) programu bêdzie jednak
nazw± pow³oki. Program przed uruchomieniem faktycznej pow³oki mo¿e wykonywaæ
dowoln± akcjê (logowanie, dodatkowe uwierzytelnianie, banner itp.).
.\"
.IP "FTMP_FILE (napis)"
Okre¶la pe³n± ¶cie¿kow± nazwê pliku, w którym rejestrowane s± nieudane próby
rozpoczynania sesji pracy. W przypadku nieudanej próby logowania do pliku
dopisywana jest pozycja o formacie
.IR utmp .
Zauwa¿, ¿e ró¿ni siê to od rejestracji niepomy¶lnych logowañ do
.IR /var/log/faillog ,
gdy¿ opisywana funkcja odnotowuje wszystkie nieudane próby, podczas gdy
"faillog" kumuluje informacjê o pora¿kach danego u¿ytkownika. Je¶li nie
podano tego parametru, to rejestracja bêdzie wy³±czona. Powi±zane informacje
znajdziesz w opisie FAILLOG_ENAB i LOG_UNKFAIL_ENAB.
.\"
.IP "GID_MAX (liczba)"
.IP "GID_MIN (liczba)"
Zakres identyfikatorów grup, w obrêbie którego mo¿e wybieraæ program
.BR groupadd .
.\"
.IP "HUSHLOGIN_FILE (nazwa)"
Parametr u¿ywany do ustalenia okoliczno¶ci cichego logowania ("hushlogin").
Okoliczno¶ci te mog± byæ ustalone na dwa sposoby. Po pierwsze, je¿eli warto¶ci±
parametru jest nazwa pliku, a plik ten istnieje w katalogu domowym u¿ytkownika,
to wprowadzane s± warunki cichego logowania. Zawarto¶æ pliku jest ignorowana;
sama jego obecno¶æ powoduje ciche logowanie. Po drugie, je¿eli warto¶ci±
parametru jest pe³na nazwa ¶cie¿kowa pliku a w pliku tym znaleziona zostanie
nazwa u¿ytkownika lub nazwa jego pow³oki, to wprowadzone zostan± warunki
cichego logowania. W tym przypadku, plik powinien mieæ format podobny do:
.nf
.sp
.ft I
demo
/usr/lib/uucp/uucico
\0\0.
\0\0.
\0\0.
.ft R
.sp
.fi
Je¿eli nie zdefiniowano tego parametru, to warunki cichego logowania nigdy
nie wyst±pi±. W trakcie cichego logowanie wstrzymane jest wy¶wietlanie
wiadomo¶ci dnia (message of the day), ostatniego udanego i nieudanego
rozpoczêcia sesji pracy, wy¶wietlanie stanu skrzynki pocztowej i sprawdzenie
wieku has³a. Zauwa¿, ¿e zezwolenie na pliki cichego logowania w katalogach
domowych u¿ytkowników pozwala im na wstrzymanie kontroli wa¿no¶ci
has³a. Informacje zwi±zane z tym tematem znajdziesz w opisach MOTD_FILE,
FILELOG_ENAB, LASTLOG_ENAB i MAIL_CHECK_ENAB.
.\"
.IP "ISSUE_FILE (napis)"
Pe³na ¶cie¿kowa nazwa pliku wy¶wietlanego przed ka¿d± zachêt± do logowania.
.\"
.IP "KILLCHAR (liczba)"
T± warto¶ci± inicjowany jest terminalowy znak
.IR kill .
Jest to obs³ugiwane tylko w systemach z interfejsem
.IR termio,
np. System V. Je¿eli nie podano parametru, to znak kasowania zostanie
zainicjowany na \s-2CTRL/U\s0. Informacjê powi±zan± znajdziesz w opisie
ERASECHAR.
.\"
.IP "LASTLOG_ENAB (logiczna)"
Je¶li ma warto¶æ
.IR yes ,
i istnieje plik
.IR /var/log/lastlog ,
to w tym pliku bêdzie rejestrowane poprawne rozpoczêcie sesji pracy u¿ytkownika
(zalogowanie siê). Ponadto, je¶li opcja ta jest w³±czona, to podczas logowania
siê u¿ytkownika bêdzie wy¶wietlana informacja o liczbie ostatnich udanych
i nieudanych logowañ. Zakoñczone niepowodzeniem logowania nie bêd± wy¶wietlane
je¶li nie w³±czono FAILLOG_ENAB. W warunkach cichego logowanie nie
bêd± wy¶wietlane informacje ani o pomy¶lnych ani o niepomy¶lnych logowaniach.
.\"
.IP "LOGIN_RETRIES (liczba)"
Dozwolona liczba prób logowania przed zakoñczeniem pracy programu
.BR login .
.\"
.IP "LOGIN_STRING (napis)"
XXX powinno zostaæ udokumentowane.
.IP "LOGIN_TIMEOUT (liczba)"
XXX powinno zostaæ udokumentowane.
.IP "LOG_OK_LOGINS (logiczna)"
XXX powinno zostaæ udokumentowane.
.IP "LOG_UNKFAIL_ENAB (logiczna)"
Je¶li posiada warto¶æ
.I yes
to nieznane nazwy u¿ytkowników bêd± równie¿ odnotowywane je¶li w³±czone jest
rejestrowanie nieudanych prób rozpoczêcia sesji. Zauwa¿, ¿e niesie to ze sob±
potencjalne zagro¿enie bezpieczeñstwa: powszechn± przyczyn± nieudanego
logowania jest zamiana nazwy u¿ytkownika i has³a, tryb ten zatem spowoduje,
¿e czêsto w rejestrach nieudanych logowañ bêd± siê odk³adaæ jawne has³a.
Je¿eli opcja ta jest wy³±czona, to nieznane nazwy u¿ytkowników bêd± pomijane
w komunikatach o nieudanych próbach logowania.
.\"
.IP "MAIL_CHECK_ENAB (logiczna)"
Je¿eli ma warto¶æ
.IR yes ,
to u¿ytkownik po rozpoczêciu sesji pracy bêdzie powiadamiany o stanie swojej
skrzynki pocztowej. Informacjê zwi±zan± z tym tematem znajdziesz w opisie
MAIL_DIR.
.\"
.IP "MAIL_DIR (napis)"
Okre¶la pe³n± nazwê ¶cie¿kow± do katalogu zawieraj±cego pliki skrzynki
pocztowej u¿ytkownika. Do powy¿szej ¶cie¿ki doklejana jest nazwa u¿ytkownika,
tworz±c w ten sposób zmienn± ¶rodowiskow± MAIL - ¶cie¿kê do skrzynki
u¿ytkownika. Musi byæ zdefiniowany albo niniejszy parametr albo parametr
MAIL_FILE; je¶li nie zostan± zdefiniowane, to zostanie nadana, byæ mo¿e
niepoprawna, warto¶æ domy¶lna. Zobacz tak¿e opis MAIL_CHECK_ENAB.
.\"
.IP "MAIL_FILE (napis)"
Okre¶la nazwê pliku skrzynki pocztowej u¿ytkownika. Nazwa ta doklejana jest
na koniec nazwy katalogu domowego u¿ytkownika tworz±c zmienn± ¶rodowiskow±
MAIL - ¶cie¿kê do skrzynki u¿ytkownika. Musi byæ zdefiniowany albo niniejszy
parametr albo parametr MAIL_DIR; je¶li nie zostan± zdefiniowane, to zostanie
nadana, byæ mo¿e niepoprawna, warto¶æ domy¶lna. Zobacz tak¿e opis
MAIL_CHECK_ENAB.
.\"
.IP "MD5_CRYPT_ENAB (logiczna)"
Je¿eli ma warto¶æ
.IR yes ,
to program
.B passwd
bêdzie kodowaæ nowo zmieniane has³a przy pomocy nowego algorytmu
.BR crypt (3),
opartego o MD-5. Algorytm ten pierwotnie pojawi³ siê we FreeBSD i jest te¿
obs³ugiwany przez libc-5.4.38 oraz glibc-2.0 (lub wy¿sz±) w Linuksie.
Pozwala on na u¿ywanie hase³ d³u¿szych ni¿ 8 znaków (ograniczone przez
.BR getpass (3)
do 127 znaków), ale nie jest zgodny z tradycyjnymi implementacjami polecenia
.BR crypt (3).
.\"
.IP "MOTD_FILE (napis)"
Okre¶la listê rozdzielonych dwukropkami ¶cie¿ek do plików "wiadomo¶ci dnia"
(message of the day, MOTD). Je¶li podany plik istnieje, to jego zawarto¶æ jest
wy¶wietlana u¿ytkownikowi podczas rozpoczynania przez niego sesji pracy.
Je¿eli parametr ten jest niezdefiniowany lub wykonywane jest ciche logowanie,
to informacja ta bêdzie pomijana.
.\"
.IP "NOLOGINS_FILE (napis)"
Okre¶la pe³n± nazwê ¶cie¿kow± pliku zabraniaj±cego logowañ dla u¿ytkowników
innych ni¿ root. Je¿eli plik ten istnieje a u¿ytkownik inny ni¿ root usi³uje
siê zalogowaæ, to wy¶wietlana zostanie zawarto¶æ pliku a u¿ytkownik bêdzie
roz³±czony. Je¿eli nie podano tego parametru, to opisana funkcja bêdzie
wy³±czona.
.\"
.IP "NOLOGIN_STR (napis)"
XXX powinno zostaæ udokumentowane.
.\"
.IP "OBSCURE_CHECKS_ENAB (logiczna)"
Je¿eli ma warto¶æ
.IR yes ,
to program
.B passwd
przed akceptacj± zmiany has³a bêdzie wykonywa³ dodatkowe sprawdzenia.
Kontrole te s± do¶æ proste, a ich u¿ycie jest zalecane.
Te sprawdzenia nieoczywisto¶ci s± pomijane, je¿eli
.B passwd
uruchamiane jest przez u¿ytkownika
.IR root .
Zobacz tak¿e opis PASS_MIN_LEN.
.\"
.IP "PASS_ALWAYS_WARN (logiczna)"
XXX powinno zostaæ udokumentowane.
.\"
.IP "PASS_CHANGE_TRIES (liczba)"
XXX powinno zostaæ udokumentowane.
.\"
.IP "PASS_MIN_DAYS (liczba)"
Minimalna liczba dni miêdzy dozwolonymi zmianami has³a. Jakiekolwiek próby
zmiany has³a podejmowane wcze¶niej zostan± odrzucone. Je¿eli nie podano tego
parametru, to przyjêta zostanie warto¶æ zerowa.
.\"
.IP "PASS_MIN_LEN (liczba)"
Minimalna liczba znaków w akceptowalnym ha¶le. Próba przypisania has³a o
mniejszej liczbie znaków zostanie odrzucona. Warto¶æ zero wy³±cza tê
kontrolê. Je¶li nie podano parametru, to przyjêta zostanie warto¶æ zerowa.
.\"
.IP "PASS_MAX_DAYS (liczba)"
Maksymalna liczba dni, przez jak± mo¿e byæ u¿ywane has³o. Je¶li has³o jest
stanie siê starsze, to rachunek zostanie zablokowany. Je¶li nie podano, to
zostanie przyjêta bardzo du¿a warto¶æ.
.\"
.IP "PASS_MAX_LEN (liczba)"
XXX powinno zostaæ udokumentowane.
.\"
.IP "PASS_WARN_AGE (liczba)"
Liczba dni ostrzegania przed wyga¶niêciem has³a. Warto¶æ zerowa oznacza,
¿e ostrze¿enie wyst±pi wy³±cznie w dniu utraty wa¿no¶ci has³a. Warto¶æ
ujemna oznacza brak ostrze¿eñ. Brak parametru oznacza, ¿e ostrze¿enia nie
bêd± wy¶wietlane.
.\"
.IP "PORTTIME_CHECKS_ENAB (logiczna)"
Je¶li ma warto¶æ
.IR yes ,
za¶ plik
.I /etc/porttime
istnieje, to bêdzie on przegl±dany, by upewniæ siê czy u¿ytkownik mo¿e siê
w danej chwili zalogowaæ na danej linii. Patrz tak¿e podrêcznik
.BR porttime (5)
.\"
.IP "QMAIL_DIR (napis)"
Dla u¿ytkowników Qmail, parametr ten okre¶la katalog, w którym przechowywana
jest hierarchia Maildir.
Zobacz te¿ MAIL_CHECK_ENAB.
.\"
.IP "QUOTAS_ENAB (logiczna)"
Je¶li ma warto¶æ
.I yes ,
wówczas dla danego u¿ytkownika "ulimit," "umask" i "niceness" bêd±
zainicjowane warto¶ciami podanymi (o ile s± podane) w polu
.I gecos
pliku
.IR passwd .
Patrz tak¿e podrêcznik
.BR passwd (5).
.\"
.IP "SU_NAME (napis)"
Przypisuje nazwê polecenia do uruchomionego "su -". Na przyk³ad, je¶li
parametr ten jest zdefiniowany jako "su", to polecenie
.BR ps (1)
poka¿e uruchomione polecenie jako "-su". Je¶li parametr ten jest
niezdefiniowany, to
.BR ps (1)
poka¿e nazwê faktycznie wykonywanej pow³oki, np. co¶ w rodzaju "-sh".
.\"
.IP "SULOG_FILE (napis)"
Pokazuje pe³n± nazwê ¶cie¿kow± pliku, w którym rejestrowane jest wykorzystanie
.BR su .
Je¶li parametr ten nie jest okre¶lony, to rejestrowanie nie jest wykonywane.
Poniewa¿ polecenie
.B su
mo¿e byæ u¿ywane podczas prób uwierzytelnienia has³a, do odnotowywania
u¿ycia
.B su
powinny byæ u¿ywane albo niniejsza opcja
albo
.IR syslog .
Zobacz te¿ opis SYSLOG_SU_ENAB.
.\"
.IP "SU_WHEEL_ONLY (logiczna)"
XXX powinno zostaæ udokumentowane.
.\"
.IP "SYSLOG_SG_ENAB (logiczna)"
XXX powinno zostaæ udokumentowane.
.\"
.IP "SYSLOG_SU_ENAB (logiczna)"
Je¿eli ma warto¶æ
.IR yes ,
za¶ program
.B login
zosta³ skompilowany z obs³ug±
.IR syslog ,
to wszelkie dzia³ania
.B su
bêd± rejestrowane za pomoc±
.IR syslog .
Zobacz te¿ opis SULOG_FILE.
.\"
.IP "TTYGROUP (napis lub liczba)"
Grupa (w³a¶cicielska) terminala inicjowana jest na nazwê b±d¼ numer tej grupy.
Jeden z dobrze znanych ataków polega na wymuszeniu sekwencji kontrolnych
terminala na linii terminalowej innego u¿ytkownika. Problemu tego mo¿na
unikn±æ wy³±czaj±c prawa zezwalaj±ce innym u¿ytkownikom na dostêp do linii
terminalowej, ale niestety zapobiega to równie¿ dzia³aniu programów takich
jak
.BR write .
Innym rozwi±zaniem jest pos³u¿enie siê tak± wersj± programu
.BR write ,
która odfiltrowuje potencjalnie niebezpieczne sekwencje znaków. Nastêpnie
programowi nale¿y przyznaæ rozszerzone prawa dostêpu (SGID) dla specjalnej
grupy, ustawiæ grupê w³a¶cicieli terminala na tê grupê i nadaæ prawa dostêpu
\fI0620\fR do linii. Definicja TTYGROUP powsta³a do obs³ugi tej w³a¶nie
sytuacji.
Je¶li pozycja ta nie jest zdefiniowana, to grupa terminala inicjowana jest
na numer grupy u¿ytkownika.
Zobacz tak¿e TTYPERM.
.\"
.IP "TTYPERM (liczba)"
T± warto¶ci± inicjowane s± prawa terminala logowania. Typowymi warto¶ciami s±
\fI0622\fR zezwalaj±ce innym na pisanie do linii lub \fI0600\fR zabezpieczaj±ce
liniê przed innymi u¿ytkownikami. Je¿eli nie podano tego parametru, to prawa
dostêpu do terminala zostan± zainicjowane warto¶ci± \fI0622\fR. Zobacz te¿
TTYGROUP.
.\"
.IP "TTYTYPE_FILE (napis)"
Okre¶la pe³n± nazwê ¶cie¿kow± pliku przypisuj±cego typy terminali do linii
terminalowych. Ka¿dy z wierszy tego pliku zawiera rozdzielone bia³ym znakiem
typ i liniê terminala. Na przyk³ad:
.nf
.sp
.ft I
vt100\0 tty01
wyse60 tty02
\0\0.\0\0\0 \0\0.
\0\0.\0\0\0 \0\0.
\0\0.\0\0\0 \0\0.
.ft R
.sp
.fi
Informacja ta s³u¿y do inicjowania zmiennej ¶rodowiska TERM. Wiersz
rozpoczynaj±cy siê znakiem # bêdzie traktowany jak komentarz. Je¿eli nie
podano tego parametru lub plik nie istnieje albo nie znaleziono w nim
linii terminala, to zmienna TERM nie zostanie ustawiona.
.\"
.IP "UID_MAX (liczba)"
XXX powinno zostaæ udokumentowane.
.IP "UID_MIN (liczba)"
XXX powinno zostaæ udokumentowane.
.\"
.IP "ULIMIT (d³uga liczba)"
Warto¶ci± t± inicjowany jest limit wielko¶ci pliku. Cecha ta obs³ugiwana
jest wy³±cznie w systemach posiadaj±cych
.IR ulimit ,
np. System V. Je¶li nie podano, to limit wielko¶ci pliku zostanie ustalony
na pewn± wielk± warto¶æ.
.\"
.IP "UMASK (liczba)"
T± warto¶ci± inicjowana jest maska praw dostêpu. Nie podana, ustawia mask±
praw na 077.
.\"
.IP "USERDEL_CMD (napis)"
XXX powinno zostaæ udokumentowane.
.\"
.SH POWI¡ZANIA
Poni¿sze zestawienie pokazuje, które z programów wchodz±cych w sk³ad pakietu
shadow wykorzystuj± jakie parametry.
.na
.IP login 12
CONSOLE DIALUPS_CHECK_ENAB ENV_HZ ENV_SUPATH ENV_TZ ERASECHAR FAILLOG_ENAB
FTMP_FILE HUSHLOGIN_FILE KILLCHAR LASTLOG_ENAB LOG_UNKFAIL_ENAB
MAIL_CHECK_ENAB MAIL_DIR MOTD_FILE NOLOGINS_FILE PORTTIME_CHECKS_ENAB
QUOTAS_ENAB TTYPERM TTYTYPE_FILE ULIMIT UMASK
.IP newusers 12
PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE UMASK
.IP passwd 12
OBSCURE_CHECKS_ENAB PASS_MIN_LEN
.IP pwconv 12
PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE
.IP su 12
ENV_HZ ENV_SUPATH ENV_TZ HUSHLOGIN_FILE MAIL_CHECK_ENAB MAIL_DIR
MOTD_FILE NOLOGIN_STR QUOTAS_ENAB SULOG_FILE SYSLOG_SU_ENAB
.IP sulogin 12
ENV_HZ ENV_SUPATH ENV_TZ MAIL_DIR QUOTAS_ENAB TTYPERM
.ad
.SH B£ÊDY
Niektóre z obs³ugiwanych parametrów konfiguracyjnych pozosta³y
nieopisane w niniejszym podrêczniku.
.SH ZOBACZ TAK¯E
.BR login (1),
.BR passwd (5),
.BR faillog (5),
.BR porttime (5),
.BR faillog (8)
.SH AUTORZY
Julianne Frances Haugh (jockgrrl@ix.netcom.com)
.br
Chip Rosenthal (chip@unicom.com)