549 lines
20 KiB
Groff
549 lines
20 KiB
Groff
.\" $Id: login.defs.5,v 1.8 2005/08/09 18:09:42 kloczek Exp $
|
|
.\" Copyright 1991 \- 1993, Julianne Frances Haugh and Chip Rosenthal
|
|
.\" All rights reserved.
|
|
.\"
|
|
.\" Redistribution and use in source and binary forms, with or without
|
|
.\" modification, are permitted provided that the following conditions
|
|
.\" are met:
|
|
.\" 1. Redistributions of source code must retain the above copyright
|
|
.\" notice, this list of conditions and the following disclaimer.
|
|
.\" 2. Redistributions in binary form must reproduce the above copyright
|
|
.\" notice, this list of conditions and the following disclaimer in the
|
|
.\" documentation and/or other materials provided with the distribution.
|
|
.\" 3. Neither the name of Julianne F. Haugh nor the names of its contributors
|
|
.\" may be used to endorse or promote products derived from this software
|
|
.\" without specific prior written permission.
|
|
.\"
|
|
.\" THIS SOFTWARE IS PROVIDED BY JULIE HAUGH AND CONTRIBUTORS ``AS IS'' AND
|
|
.\" ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
|
|
.\" IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
|
|
.\" ARE DISCLAIMED. IN NO EVENT SHALL JULIE HAUGH OR CONTRIBUTORS BE LIABLE
|
|
.\" FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL
|
|
.\" DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
|
|
.\" OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
|
|
.\" HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT
|
|
.\" LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
|
|
.\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
|
|
.\" SUCH DAMAGE.
|
|
.TH LOGIN 5
|
|
.SH NAZWA
|
|
/etc/login.defs \- konfiguracja logowania
|
|
.SH OPIS
|
|
Plik
|
|
.I /etc/login.defs
|
|
definiuje specyficzn± dla naszej maszyny konfiguracjê pakietu shadow login.
|
|
Plik ten jest wymagany. Jego nieobecno¶æ nie wstrzyma dzia³ania systemu,
|
|
ale prawdopodobnie spowoduje nieprzewidywalne dzia³anie.
|
|
.PP
|
|
Plik ten jest czytelnym plikiem tekstowym. Ka¿dy z jego wierszy opisuje jeden
|
|
parametr konfiguracji. Wiersze sk³adaj± siê z nazwy parametru i jego warto¶ci,
|
|
oddzielonych bia³ym znakiem. Ignorowane s± puste wiersze i wiersze komentarzy.
|
|
Komentarze rozpoczynaj± siê od znaku '#', który musi byæ pierwszym znakiem
|
|
wiersza (pomijaj±c bia³e znaki).
|
|
.PP
|
|
Istniej± cztery typy warto¶ci parametrów: napisy, logiczne (boolean),
|
|
liczby i d³ugie liczby (long numbers). Napis jest z³o¿ony
|
|
z dowolnych znaków drukowalnych. Parametr logiczny mo¿e mieæ albo warto¶æ
|
|
"yes" albo "no". Niezdefiniowanemu parametrowi logicznemu lub parametrowi,
|
|
któremu przypisano warto¶æ inn± od powy¿szych przypisane zostanie "no".
|
|
Liczby (zarówno zwyk³e jak i d³ugie) mog± byæ warto¶ciami dziesiêtnymi,
|
|
ósemkowymi (poprzed¼ warto¶æ cyfr± "0") albo szesnastkowymi (poprzed¼ warto¶æ
|
|
sekwencj± "0x"). Maksymalne warto¶ci zwyk³ych i d³ugich parametrów
|
|
numerycznych zale¿± od maszyny.
|
|
.PP
|
|
Obs³ugiwane s± nastêpuj±ce opcje konfiguracyjne:
|
|
.\"
|
|
.IP "CHFN_AUTH (logiczna)"
|
|
Je¿eli ma warto¶æ
|
|
.IR yes ,
|
|
to programy
|
|
.B chfn
|
|
i
|
|
.B chsh
|
|
bêd± pytaæ o has³o przed dokonaniem zmian, chyba ¿e uruchamiane s± przez
|
|
superu¿ytkownika.
|
|
.\"
|
|
.IP "CHFN_RESTRICT (napis)"
|
|
Ten parametr okre¶la, jakie warto¶ci w polu
|
|
.I gecos
|
|
pliku
|
|
.I passwd
|
|
mog± byæ zmieniane przez zwyk³ych u¿ytkowników za pomoc± programu
|
|
.B chfn
|
|
Mo¿e on byæ dowoln± kombinacj± liter
|
|
.IR f ,
|
|
.IR r ,
|
|
.IR w ,
|
|
.IR h ,
|
|
oznaczaj±cych odpowiednio: Full name (pe³na nazwa), Room number (numer pokoju),
|
|
Work phone (telefon s³u¿bowy) i Home phone (telefon domowy).
|
|
Je¶li parametr nie jest podany, to zmian mo¿e dokonywaæ wy³±cznie
|
|
superu¿ytkownik.
|
|
.\"
|
|
.IP "CONSOLE (napis)"
|
|
Je¶li podana, definicja ta okre¶la ograniczony zestaw linii, na których
|
|
dozwolone jest rozpoczynanie sesji u¿ytkownika root. Próby logowania
|
|
u¿ytkownika root niespe³niaj±ce ustalonych tu kryteriów zostan± odrzucone.
|
|
Warto¶æ tego pola mo¿e wyst±piæ w jednej z dwu postaci: albo pe³nej nazwy
|
|
¶cie¿kowej pliku, jak na przyk³ad
|
|
.sp
|
|
.ft I
|
|
CONSOLE /etc/consoles
|
|
.ft R
|
|
.sp
|
|
albo listy linii terminalowych rozdzielonych dwukropkami, jak poni¿ej:
|
|
.sp
|
|
.ft I
|
|
CONSOLE console:tty01:tty02:tty03:tty04
|
|
.ft R
|
|
.sp
|
|
(Zauwa¿, ¿e wymienione tu nazwy nie zawieraj± ¶cie¿ki /dev/).
|
|
Je¿eli podano ¶cie¿kow± nazwê pliku, to ka¿dy jego wiersz powinien okre¶laæ
|
|
jedn± liniê terminalow±. Je¶li parametr ten nie jest zdefiniowany albo podany
|
|
plik nie istnieje, to u¿ytkownik root bêdzie móg³ siê logowaæ z dowolnej linii
|
|
terminalowej. Poniewa¿ usuniêcie lub obciêcie pliku definiuj±cego
|
|
dozwolone linie mo¿e spowodowaæ nieautoryzowane logowania roota, plik ten musi
|
|
byæ chroniony. Tam, gdzie bezpieczeñstwo jest spraw± kluczow±, powinna byæ
|
|
u¿ywana postaæ listy separowanej dwukropkami, co chroni przed potencjaln±
|
|
prób± ataku w opisany sposób.
|
|
.\"
|
|
.IP "CONSOLE_GROUPS (napis)"
|
|
XXX powinno zostaæ udokumentowane.
|
|
.\"
|
|
.IP "CRACKLIB_DICTPATH (napis)"
|
|
XXX powinno zostaæ udokumentowane.
|
|
.\"
|
|
.IP "DEFAULT_HOME (logiczna)"
|
|
XXX powinno zostaæ udokumentowane.
|
|
.\"
|
|
.IP "DIALUPS_CHECK_ENAB (logiczna)"
|
|
Je¿eli ma warto¶æ
|
|
.I yes
|
|
a plik
|
|
.I /etc/dialups
|
|
istnieje, to na liniach telefonicznych wyszczególnionych w tym pliku s±
|
|
w³±czane wtórne has³a (has³a telefoniczne). Plik ten powinien zawieraæ listê
|
|
linii telefonicznych (dialups), po jednej w wierszu, na przyk³ad:
|
|
.nf
|
|
.sp
|
|
.ft I
|
|
ttyfm01
|
|
ttyfm02
|
|
\0\0.
|
|
\0\0.
|
|
\0\0.
|
|
.ft R
|
|
.sp
|
|
.fi
|
|
.\"
|
|
.IP "ENVIRON_FILE (napis)"
|
|
XXX powinno zostaæ udokumentowane.
|
|
.\"
|
|
.IP "ENV_HZ (napis)"
|
|
Parametr ten okre¶la warto¶æ parametru ¶rodowiska HZ. Przyk³ad u¿ycia:
|
|
.sp
|
|
\fIENV_HZ HZ=50\fR
|
|
.sp
|
|
Je¿eli jest on zdefiniowany, to nie zostanie ustanowiona ¿adna warto¶æ HZ.
|
|
.\"
|
|
.IP "ENV_PATH (napis)"
|
|
Parametr ten musi byæ zdefiniowany jako ¶cie¿ka przeszukiwania dla zwyk³ych
|
|
u¿ytkowników. Przy logowaniu z UID innym ni¿ zero, zmienna ¶rodowiskowa PATH
|
|
jest inicjowana t± w³a¶nie warto¶ci±. Jest to parametr wymagany; je¿eli nie
|
|
zostanie zdefiniowany, to zostanie nadana, byæ mo¿e niepoprawna, warto¶æ
|
|
domy¶lna.
|
|
.\"
|
|
.IP "ENV_SUPATH (napis)"
|
|
Parametr ten musi byæ zdefiniowany jako ¶cie¿ka przeszukiwania dla
|
|
superu¿ytkownika. Przy rozpoczynaniu sesji z UID równym zero, zmienna
|
|
¶rodowiskowa PATH jest inicjowana t± w³a¶nie warto¶ci±. Jest to parametr
|
|
wymagany; je¿eli nie zostanie zdefiniowany, to zostanie nadana, byæ mo¿e
|
|
niepoprawna, warto¶æ domy¶lna.
|
|
.\"
|
|
.IP "ENV_TZ (napis)"
|
|
Parametr ten zawiera informacjê s³u¿±c± do utworzenia zmiennej ¶rodowiskowej TZ.
|
|
Jego warto¶æ musi byæ albo wprost wymagan± zawarto¶ci± TZ, albo
|
|
pe³n± nazw± ¶cie¿kow± pliku zawieraj±cego tê informacjê. Przyk³ad u¿ycia:
|
|
.sp
|
|
\fIENV_TZ\0\0\0\0TZ=CST6CDT\fP
|
|
.sp
|
|
lub
|
|
.sp
|
|
\fIENV_TZ\0\0\0\0/etc/tzname\fP
|
|
.sp
|
|
Je¿eli podano nieistniej±cy plik, to TZ zostanie zainicjowane pewn± warto¶ci±
|
|
domy¶ln±. Je¿eli nie zdefiniowano tego parametru to nie bêdzie ustawiona
|
|
¿adna warto¶æ TZ.
|
|
.\"
|
|
.IP "ERASECHAR (liczba)"
|
|
T± warto¶ci± jest inicjowany terminalowy znak
|
|
.I erase
|
|
(kasowania). Jest to obs³ugiwane tylko w systemach z interfejsem
|
|
.IR termio,
|
|
np. System V. Je¿eli nie podano parametru, to znak kasowania zostanie
|
|
zainicjowany na backspace. Informacjê powi±zan± znajdziesz w opisie KILLCHAR.
|
|
.\"
|
|
.IP "FAILLOG_ENAB (logiczna)"
|
|
Je¿eli ustawiona na
|
|
.I yes
|
|
to nieudane logowania bêd± odnotowywane w pliku
|
|
.I /var/log/faillog
|
|
w formacie
|
|
.BR faillog (8).
|
|
.\"
|
|
.IP "FAIL_DELAY (liczba)"
|
|
Czas opó¼nienia, wyra¿ony w sekundach, po ka¿dej nieudanej próbie logowania.
|
|
.\"
|
|
.IP "FAKE_SHELL (napis)"
|
|
Zamiast rzeczywistej pow³oki u¿ytkownika zostanie uruchomiony program okre¶lony
|
|
warto¶ci± tego parametru. Nazwa widoczna (argv[0]) programu bêdzie jednak
|
|
nazw± pow³oki. Program przed uruchomieniem faktycznej pow³oki mo¿e wykonywaæ
|
|
dowoln± akcjê (logowanie, dodatkowe uwierzytelnianie, banner itp.).
|
|
.\"
|
|
.IP "FTMP_FILE (napis)"
|
|
Okre¶la pe³n± ¶cie¿kow± nazwê pliku, w którym rejestrowane s± nieudane próby
|
|
rozpoczynania sesji pracy. W przypadku nieudanej próby logowania do pliku
|
|
dopisywana jest pozycja o formacie
|
|
.IR utmp .
|
|
Zauwa¿, ¿e ró¿ni siê to od rejestracji niepomy¶lnych logowañ do
|
|
.IR /var/log/faillog ,
|
|
gdy¿ opisywana funkcja odnotowuje wszystkie nieudane próby, podczas gdy
|
|
"faillog" kumuluje informacjê o pora¿kach danego u¿ytkownika. Je¶li nie
|
|
podano tego parametru, to rejestracja bêdzie wy³±czona. Powi±zane informacje
|
|
znajdziesz w opisie FAILLOG_ENAB i LOG_UNKFAIL_ENAB.
|
|
.\"
|
|
.IP "GID_MAX (liczba)"
|
|
.IP "GID_MIN (liczba)"
|
|
Zakres identyfikatorów grup, w obrêbie którego mo¿e wybieraæ program
|
|
.BR groupadd .
|
|
.\"
|
|
.IP "HUSHLOGIN_FILE (nazwa)"
|
|
Parametr u¿ywany do ustalenia okoliczno¶ci cichego logowania ("hushlogin").
|
|
Okoliczno¶ci te mog± byæ ustalone na dwa sposoby. Po pierwsze, je¿eli warto¶ci±
|
|
parametru jest nazwa pliku, a plik ten istnieje w katalogu domowym u¿ytkownika,
|
|
to wprowadzane s± warunki cichego logowania. Zawarto¶æ pliku jest ignorowana;
|
|
sama jego obecno¶æ powoduje ciche logowanie. Po drugie, je¿eli warto¶ci±
|
|
parametru jest pe³na nazwa ¶cie¿kowa pliku a w pliku tym znaleziona zostanie
|
|
nazwa u¿ytkownika lub nazwa jego pow³oki, to wprowadzone zostan± warunki
|
|
cichego logowania. W tym przypadku, plik powinien mieæ format podobny do:
|
|
.nf
|
|
.sp
|
|
.ft I
|
|
demo
|
|
/usr/lib/uucp/uucico
|
|
\0\0.
|
|
\0\0.
|
|
\0\0.
|
|
.ft R
|
|
.sp
|
|
.fi
|
|
Je¿eli nie zdefiniowano tego parametru, to warunki cichego logowania nigdy
|
|
nie wyst±pi±. W trakcie cichego logowanie wstrzymane jest wy¶wietlanie
|
|
wiadomo¶ci dnia (message of the day), ostatniego udanego i nieudanego
|
|
rozpoczêcia sesji pracy, wy¶wietlanie stanu skrzynki pocztowej i sprawdzenie
|
|
wieku has³a. Zauwa¿, ¿e zezwolenie na pliki cichego logowania w katalogach
|
|
domowych u¿ytkowników pozwala im na wstrzymanie kontroli wa¿no¶ci
|
|
has³a. Informacje zwi±zane z tym tematem znajdziesz w opisach MOTD_FILE,
|
|
FILELOG_ENAB, LASTLOG_ENAB i MAIL_CHECK_ENAB.
|
|
.\"
|
|
.IP "ISSUE_FILE (napis)"
|
|
Pe³na ¶cie¿kowa nazwa pliku wy¶wietlanego przed ka¿d± zachêt± do logowania.
|
|
.\"
|
|
.IP "KILLCHAR (liczba)"
|
|
T± warto¶ci± inicjowany jest terminalowy znak
|
|
.IR kill .
|
|
Jest to obs³ugiwane tylko w systemach z interfejsem
|
|
.IR termio,
|
|
np. System V. Je¿eli nie podano parametru, to znak kasowania zostanie
|
|
zainicjowany na \s\-2CTRL/U\s0. Informacjê powi±zan± znajdziesz w opisie
|
|
ERASECHAR.
|
|
.\"
|
|
.IP "LASTLOG_ENAB (logiczna)"
|
|
Je¶li ma warto¶æ
|
|
.IR yes ,
|
|
i istnieje plik
|
|
.IR /var/log/lastlog ,
|
|
to w tym pliku bêdzie rejestrowane poprawne rozpoczêcie sesji pracy u¿ytkownika
|
|
(zalogowanie siê). Ponadto, je¶li opcja ta jest w³±czona, to podczas logowania
|
|
siê u¿ytkownika bêdzie wy¶wietlana informacja o liczbie ostatnich udanych
|
|
i nieudanych logowañ. Zakoñczone niepowodzeniem logowania nie bêd± wy¶wietlane
|
|
je¶li nie w³±czono FAILLOG_ENAB. W warunkach cichego logowanie nie
|
|
bêd± wy¶wietlane informacje ani o pomy¶lnych ani o niepomy¶lnych logowaniach.
|
|
.\"
|
|
.IP "LOGIN_RETRIES (liczba)"
|
|
Dozwolona liczba prób logowania przed zakoñczeniem pracy programu
|
|
.BR login .
|
|
.\"
|
|
.IP "LOGIN_STRING (napis)"
|
|
XXX powinno zostaæ udokumentowane.
|
|
.IP "LOGIN_TIMEOUT (liczba)"
|
|
XXX powinno zostaæ udokumentowane.
|
|
.IP "LOG_OK_LOGINS (logiczna)"
|
|
XXX powinno zostaæ udokumentowane.
|
|
.IP "LOG_UNKFAIL_ENAB (logiczna)"
|
|
Je¶li posiada warto¶æ
|
|
.I yes
|
|
to nieznane nazwy u¿ytkowników bêd± równie¿ odnotowywane je¶li w³±czone jest
|
|
rejestrowanie nieudanych prób rozpoczêcia sesji. Zauwa¿, ¿e niesie to ze sob±
|
|
potencjalne zagro¿enie bezpieczeñstwa: powszechn± przyczyn± nieudanego
|
|
logowania jest zamiana nazwy u¿ytkownika i has³a, tryb ten zatem spowoduje,
|
|
¿e czêsto w rejestrach nieudanych logowañ bêd± siê odk³adaæ jawne has³a.
|
|
Je¿eli opcja ta jest wy³±czona, to nieznane nazwy u¿ytkowników bêd± pomijane
|
|
w komunikatach o nieudanych próbach logowania.
|
|
.\"
|
|
.IP "MAIL_CHECK_ENAB (logiczna)"
|
|
Je¿eli ma warto¶æ
|
|
.IR yes ,
|
|
to u¿ytkownik po rozpoczêciu sesji pracy bêdzie powiadamiany o stanie swojej
|
|
skrzynki pocztowej. Informacjê zwi±zan± z tym tematem znajdziesz w opisie
|
|
MAIL_DIR.
|
|
.\"
|
|
.IP "MAIL_DIR (napis)"
|
|
Okre¶la pe³n± nazwê ¶cie¿kow± do katalogu zawieraj±cego pliki skrzynki
|
|
pocztowej u¿ytkownika. Do powy¿szej ¶cie¿ki doklejana jest nazwa u¿ytkownika,
|
|
tworz±c w ten sposób zmienn± ¶rodowiskow± MAIL \- ¶cie¿kê do skrzynki
|
|
u¿ytkownika. Musi byæ zdefiniowany albo niniejszy parametr albo parametr
|
|
MAIL_FILE; je¶li nie zostan± zdefiniowane, to zostanie nadana, byæ mo¿e
|
|
niepoprawna, warto¶æ domy¶lna. Zobacz tak¿e opis MAIL_CHECK_ENAB.
|
|
.\"
|
|
.IP "MAIL_FILE (napis)"
|
|
Okre¶la nazwê pliku skrzynki pocztowej u¿ytkownika. Nazwa ta doklejana jest
|
|
na koniec nazwy katalogu domowego u¿ytkownika tworz±c zmienn± ¶rodowiskow±
|
|
MAIL \- ¶cie¿kê do skrzynki u¿ytkownika. Musi byæ zdefiniowany albo niniejszy
|
|
parametr albo parametr MAIL_DIR; je¶li nie zostan± zdefiniowane, to zostanie
|
|
nadana, byæ mo¿e niepoprawna, warto¶æ domy¶lna. Zobacz tak¿e opis
|
|
MAIL_CHECK_ENAB.
|
|
.\"
|
|
.IP "MD5_CRYPT_ENAB (logiczna)"
|
|
Je¿eli ma warto¶æ
|
|
.IR yes ,
|
|
to program
|
|
.B passwd
|
|
bêdzie kodowaæ nowo zmieniane has³a przy pomocy nowego algorytmu
|
|
.BR crypt (3),
|
|
opartego o MD\-5. Algorytm ten pierwotnie pojawi³ siê we FreeBSD i jest te¿
|
|
obs³ugiwany przez libc\-5.4.38 oraz glibc\-2.0 (lub wy¿sz±) w Linuksie.
|
|
Pozwala on na u¿ywanie hase³ d³u¿szych ni¿ 8 znaków (ograniczone przez
|
|
.BR getpass (3)
|
|
do 127 znaków), ale nie jest zgodny z tradycyjnymi implementacjami polecenia
|
|
.BR crypt (3).
|
|
.\"
|
|
.IP "MOTD_FILE (napis)"
|
|
Okre¶la listê rozdzielonych dwukropkami ¶cie¿ek do plików "wiadomo¶ci dnia"
|
|
(message of the day, MOTD). Je¶li podany plik istnieje, to jego zawarto¶æ jest
|
|
wy¶wietlana u¿ytkownikowi podczas rozpoczynania przez niego sesji pracy.
|
|
Je¿eli parametr ten jest niezdefiniowany lub wykonywane jest ciche logowanie,
|
|
to informacja ta bêdzie pomijana.
|
|
.\"
|
|
.IP "NOLOGINS_FILE (napis)"
|
|
Okre¶la pe³n± nazwê ¶cie¿kow± pliku zabraniaj±cego logowañ dla u¿ytkowników
|
|
innych ni¿ root. Je¿eli plik ten istnieje a u¿ytkownik inny ni¿ root usi³uje
|
|
siê zalogowaæ, to wy¶wietlana zostanie zawarto¶æ pliku a u¿ytkownik bêdzie
|
|
roz³±czony. Je¿eli nie podano tego parametru, to opisana funkcja bêdzie
|
|
wy³±czona.
|
|
.\"
|
|
.IP "OBSCURE_CHECKS_ENAB (logiczna)"
|
|
Je¿eli ma warto¶æ
|
|
.IR yes ,
|
|
to program
|
|
.B passwd
|
|
przed akceptacj± zmiany has³a bêdzie wykonywa³ dodatkowe sprawdzenia.
|
|
Kontrole te s± do¶æ proste, a ich u¿ycie jest zalecane.
|
|
Te sprawdzenia nieoczywisto¶ci s± pomijane, je¿eli
|
|
.B passwd
|
|
uruchamiane jest przez u¿ytkownika
|
|
.IR root .
|
|
Zobacz tak¿e opis PASS_MIN_LEN.
|
|
.\"
|
|
.IP "PASS_ALWAYS_WARN (logiczna)"
|
|
XXX powinno zostaæ udokumentowane.
|
|
.\"
|
|
.IP "PASS_CHANGE_TRIES (liczba)"
|
|
XXX powinno zostaæ udokumentowane.
|
|
.\"
|
|
.IP "PASS_MIN_DAYS (liczba)"
|
|
Minimalna liczba dni miêdzy dozwolonymi zmianami has³a. Jakiekolwiek próby
|
|
zmiany has³a podejmowane wcze¶niej zostan± odrzucone. Je¿eli nie podano tego
|
|
parametru, to przyjêta zostanie warto¶æ zerowa.
|
|
.\"
|
|
.IP "PASS_MIN_LEN (liczba)"
|
|
Minimalna liczba znaków w akceptowalnym ha¶le. Próba przypisania has³a o
|
|
mniejszej liczbie znaków zostanie odrzucona. Warto¶æ zero wy³±cza tê
|
|
kontrolê. Je¶li nie podano parametru, to przyjêta zostanie warto¶æ zerowa.
|
|
.\"
|
|
.IP "PASS_MAX_DAYS (liczba)"
|
|
Maksymalna liczba dni, przez jak± mo¿e byæ u¿ywane has³o. Je¶li has³o jest
|
|
stanie siê starsze, to rachunek zostanie zablokowany. Je¶li nie podano, to
|
|
zostanie przyjêta bardzo du¿a warto¶æ.
|
|
.\"
|
|
.IP "PASS_MAX_LEN (liczba)"
|
|
XXX powinno zostaæ udokumentowane.
|
|
.\"
|
|
.IP "PASS_WARN_AGE (liczba)"
|
|
Liczba dni ostrzegania przed wyga¶niêciem has³a. Warto¶æ zerowa oznacza,
|
|
¿e ostrze¿enie wyst±pi wy³±cznie w dniu utraty wa¿no¶ci has³a. Warto¶æ
|
|
ujemna oznacza brak ostrze¿eñ. Brak parametru oznacza, ¿e ostrze¿enia nie
|
|
bêd± wy¶wietlane.
|
|
.\"
|
|
.IP "PORTTIME_CHECKS_ENAB (logiczna)"
|
|
Je¶li ma warto¶æ
|
|
.IR yes ,
|
|
za¶ plik
|
|
.I /etc/porttime
|
|
istnieje, to bêdzie on przegl±dany, by upewniæ siê czy u¿ytkownik mo¿e siê
|
|
w danej chwili zalogowaæ na danej linii. Patrz tak¿e podrêcznik
|
|
.BR porttime (5)
|
|
.\"
|
|
.IP "QUOTAS_ENAB (logiczna)"
|
|
Je¶li ma warto¶æ
|
|
.I yes ,
|
|
wówczas dla danego u¿ytkownika "ulimit," "umask" i "niceness" bêd±
|
|
zainicjowane warto¶ciami podanymi (o ile s± podane) w polu
|
|
.I gecos
|
|
pliku
|
|
.IR passwd .
|
|
Patrz tak¿e podrêcznik
|
|
.BR passwd (5).
|
|
.\"
|
|
.IP "SU_NAME (napis)"
|
|
Przypisuje nazwê polecenia do uruchomionego "su \-". Na przyk³ad, je¶li
|
|
parametr ten jest zdefiniowany jako "su", to polecenie
|
|
.BR ps (1)
|
|
poka¿e uruchomione polecenie jako "\-su". Je¶li parametr ten jest
|
|
niezdefiniowany, to
|
|
.BR ps (1)
|
|
poka¿e nazwê faktycznie wykonywanej pow³oki, np. co¶ w rodzaju "\-sh".
|
|
.\"
|
|
.IP "SULOG_FILE (napis)"
|
|
Pokazuje pe³n± nazwê ¶cie¿kow± pliku, w którym rejestrowane jest wykorzystanie
|
|
.BR su .
|
|
Je¶li parametr ten nie jest okre¶lony, to rejestrowanie nie jest wykonywane.
|
|
Poniewa¿ polecenie
|
|
.B su
|
|
mo¿e byæ u¿ywane podczas prób uwierzytelnienia has³a, do odnotowywania
|
|
u¿ycia
|
|
.B su
|
|
powinny byæ u¿ywane albo niniejsza opcja
|
|
albo
|
|
.IR syslog .
|
|
Zobacz te¿ opis SYSLOG_SU_ENAB.
|
|
.\"
|
|
.IP "SU_WHEEL_ONLY (logiczna)"
|
|
XXX powinno zostaæ udokumentowane.
|
|
.\"
|
|
.IP "SYSLOG_SG_ENAB (logiczna)"
|
|
XXX powinno zostaæ udokumentowane.
|
|
.\"
|
|
.IP "SYSLOG_SU_ENAB (logiczna)"
|
|
Je¿eli ma warto¶æ
|
|
.IR yes ,
|
|
za¶ program
|
|
.B login
|
|
zosta³ skompilowany z obs³ug±
|
|
.IR syslog ,
|
|
to wszelkie dzia³ania
|
|
.B su
|
|
bêd± rejestrowane za pomoc±
|
|
.IR syslog .
|
|
Zobacz te¿ opis SULOG_FILE.
|
|
.\"
|
|
.IP "TTYGROUP (napis lub liczba)"
|
|
Grupa (w³a¶cicielska) terminala inicjowana jest na nazwê b±d¼ numer tej grupy.
|
|
Jeden z dobrze znanych ataków polega na wymuszeniu sekwencji kontrolnych
|
|
terminala na linii terminalowej innego u¿ytkownika. Problemu tego mo¿na
|
|
unikn±æ wy³±czaj±c prawa zezwalaj±ce innym u¿ytkownikom na dostêp do linii
|
|
terminalowej, ale niestety zapobiega to równie¿ dzia³aniu programów takich
|
|
jak
|
|
.BR write .
|
|
Innym rozwi±zaniem jest pos³u¿enie siê tak± wersj± programu
|
|
.BR write ,
|
|
która odfiltrowuje potencjalnie niebezpieczne sekwencje znaków. Nastêpnie
|
|
programowi nale¿y przyznaæ rozszerzone prawa dostêpu (SGID) dla specjalnej
|
|
grupy, ustawiæ grupê w³a¶cicieli terminala na tê grupê i nadaæ prawa dostêpu
|
|
\fI0620\fR do linii. Definicja TTYGROUP powsta³a do obs³ugi tej w³a¶nie
|
|
sytuacji.
|
|
Je¶li pozycja ta nie jest zdefiniowana, to grupa terminala inicjowana jest
|
|
na numer grupy u¿ytkownika.
|
|
Zobacz tak¿e TTYPERM.
|
|
.\"
|
|
.IP "TTYPERM (liczba)"
|
|
T± warto¶ci± inicjowane s± prawa terminala logowania. Typowymi warto¶ciami s±
|
|
\fI0622\fR zezwalaj±ce innym na pisanie do linii lub \fI0600\fR zabezpieczaj±ce
|
|
liniê przed innymi u¿ytkownikami. Je¿eli nie podano tego parametru, to prawa
|
|
dostêpu do terminala zostan± zainicjowane warto¶ci± \fI0622\fR. Zobacz te¿
|
|
TTYGROUP.
|
|
.\"
|
|
.IP "TTYTYPE_FILE (napis)"
|
|
Okre¶la pe³n± nazwê ¶cie¿kow± pliku przypisuj±cego typy terminali do linii
|
|
terminalowych. Ka¿dy z wierszy tego pliku zawiera rozdzielone bia³ym znakiem
|
|
typ i liniê terminala. Na przyk³ad:
|
|
.nf
|
|
.sp
|
|
.ft I
|
|
vt100\0 tty01
|
|
wyse60 tty02
|
|
\0\0.\0\0\0 \0\0.
|
|
\0\0.\0\0\0 \0\0.
|
|
\0\0.\0\0\0 \0\0.
|
|
.ft R
|
|
.sp
|
|
.fi
|
|
Informacja ta s³u¿y do inicjowania zmiennej ¶rodowiska TERM. Wiersz
|
|
rozpoczynaj±cy siê znakiem # bêdzie traktowany jak komentarz. Je¿eli nie
|
|
podano tego parametru lub plik nie istnieje albo nie znaleziono w nim
|
|
linii terminala, to zmienna TERM nie zostanie ustawiona.
|
|
.\"
|
|
.IP "UID_MAX (liczba)"
|
|
XXX powinno zostaæ udokumentowane.
|
|
.IP "UID_MIN (liczba)"
|
|
XXX powinno zostaæ udokumentowane.
|
|
.\"
|
|
.IP "ULIMIT (d³uga liczba)"
|
|
Warto¶ci± t± inicjowany jest limit wielko¶ci pliku. Cecha ta obs³ugiwana
|
|
jest wy³±cznie w systemach posiadaj±cych
|
|
.IR ulimit ,
|
|
np. System V. Je¶li nie podano, to limit wielko¶ci pliku zostanie ustalony
|
|
na pewn± wielk± warto¶æ.
|
|
.\"
|
|
.IP "UMASK (liczba)"
|
|
T± warto¶ci± inicjowana jest maska praw dostêpu. Nie podana, ustawia mask±
|
|
praw na 077.
|
|
.\"
|
|
.IP "USERDEL_CMD (napis)"
|
|
XXX powinno zostaæ udokumentowane.
|
|
.\"
|
|
.SH POWI¡ZANIA
|
|
Poni¿sze zestawienie pokazuje, które z programów wchodz±cych w sk³ad pakietu
|
|
shadow wykorzystuj± jakie parametry.
|
|
.na
|
|
.IP login 12
|
|
CONSOLE DIALUPS_CHECK_ENAB ENV_HZ ENV_SUPATH ENV_TZ ERASECHAR FAILLOG_ENAB
|
|
FTMP_FILE HUSHLOGIN_FILE KILLCHAR LASTLOG_ENAB LOG_UNKFAIL_ENAB
|
|
MAIL_CHECK_ENAB MAIL_DIR MOTD_FILE NOLOGINS_FILE PORTTIME_CHECKS_ENAB
|
|
QUOTAS_ENAB TTYPERM TTYTYPE_FILE ULIMIT UMASK
|
|
.IP newusers 12
|
|
PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE UMASK
|
|
.IP passwd 12
|
|
OBSCURE_CHECKS_ENAB PASS_MIN_LEN
|
|
.IP pwconv 12
|
|
PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE
|
|
.IP su 12
|
|
ENV_HZ ENV_SUPATH ENV_TZ HUSHLOGIN_FILE MAIL_CHECK_ENAB MAIL_DIR
|
|
MOTD_FILE QUOTAS_ENAB SULOG_FILE SYSLOG_SU_ENAB
|
|
.IP sulogin 12
|
|
ENV_HZ ENV_SUPATH ENV_TZ MAIL_DIR QUOTAS_ENAB TTYPERM
|
|
.ad
|
|
.SH B£ÊDY
|
|
Niektóre z obs³ugiwanych parametrów konfiguracyjnych pozosta³y
|
|
nieopisane w niniejszym podrêczniku.
|
|
.SH ZOBACZ TAK¯E
|
|
.BR login (1),
|
|
.BR faillog (5),
|
|
.BR passwd (5),
|
|
.BR porttime (5),
|
|
.BR faillog (8)
|
|
.SH AUTORZY
|
|
Julianne Frances Haugh (jockgrrl@ix.netcom.com)
|
|
.br
|
|
Chip Rosenthal (chip@unicom.com)
|