# 6.50\. Shadow-4.0.15 Shadow 包含用于在安全方式下处理密码的程序。 **预计编译时间：** 0.3 SBU**所需磁盘空间：** 18.6 MB ## 6.50.1\. 安装 Shadow ### 注意 如果你打算强制使用高强度密码，请参考 [_http://www.linuxfromscratch.org/blfs/view/svn/postlfs/cracklib.html_](http://www.linuxfromscratch.org/blfs/view/svn/postlfs/cracklib.html) 以获得如何在安装 Shadow 之前先安装 Cracklib 的指导。然后在下面的 `configure` 命令中加入 _`--with-libcrack`_ 项。 为编译 Shadow 做准备： ``` ./configure --libdir=/lib --enable-shared --without-selinux ``` **配置选项的含义：** _`--without-selinux`_ selinux 的支持默认是打开的，但是 selinux 不包含在 LFS 基本系统中。如果这个选项不设置， `configure` 脚本会报错。 禁止安装 `groups` 程序和它的手册，Coreutils 软件包提供了一个更好的版本： ``` sed -i 's/groups$(EXEEXT) //' src/Makefile find man -name Makefile -exec sed -i '/groups/d' {} \; ``` 禁止安装中文和韩文的手册页，因为Man-DB不能很好的格式化它们： ``` sed -i -e 's/ ko//' -e 's/ zh_CN zh_TW//' man/Makefile ``` Shadow 支持在 UTF-8 编码环境下的其他编码的手册。Man-DB 可以通过我们安装的 `convert-mans` 脚本来转换并显示它们。 ``` for i in de es fi fr id it pt_BR; do convert-mans UTF-8 ISO-8859-1 man/${i}/*.? done for i in cs hu pl; do convert-mans UTF-8 ISO-8859-2 man/${i}/*.? done convert-mans UTF-8 EUC-JP man/ja/*.? convert-mans UTF-8 KOI8-R man/ru/*.? convert-mans UTF-8 ISO-8859-9 man/tr/*.? ``` 编译软件包： ``` make ``` 这个软件包没有附带测试程序。 安装软件包： ``` make install ``` Shadow 使用两个文件来设置系统的身份认证。下面安装这两个设置文件： ``` cp -v etc/{limits,login.access} /etc ``` 不使用默认的 _crypt_ 加密方法， 而使用更为安全的 _MD5_ 对密码进行加密， 并且它同样允许密码长于 8 个字符。同时将用户邮箱位置从过时的 `/var/spool/mail` 修改到 `/var/mail` 是也有必要的(Shadow 普遍默认使用这个位置)。这两件事都可以通过在将相应的配置文件复制至目标位置之前，对其进行更改来达到： ``` sed -e's@#MD5_CRYPT_ENAB.no@MD5_CRYPT_ENAB yes@' \ -e 's@/var/spool/mail@/var/mail@' \ etc/login.defs > /etc/login.defs ``` ### 注意 如果你在编译 Shadow 时启用了 Cracklib 支持，请在下面的 `sed` 命令中插入： ``` sed -i 's@DICTPATH.*@DICTPATH\t/lib/cracklib/pw_dict@' \ /etc/login.defs ``` 移动一些放错位置的符号连结或程序到正确位置： ``` mv -v /usr/bin/passwd /bin ``` 移动 Shadow 的动态库到一个更为合适的地方： ``` mv -v /lib/libshadow.*a /usr/lib rm -v /lib/libshadow.so ln -sfv ../../lib/libshadow.so.0 /usr/lib/libshadow.so ``` `useradd` 程序的 _`-D`_ 选项要求存在 `/etc/default` 目录以便程序能够正常工作： ``` mkdir -v /etc/default ``` ## 6.50.2\. 配置 Shadow 这个软件包中含有用来增加、修改和删除用户或组、设置和更改他们的密码、和执行其他管理任务的工具。为了获得对 _password shadowing (影子密码)_ 的完全解释，请参见 `doc/HOWTO` 文件，它在解包后的源码目录树中。假如要使用 Shadow 支持，请注意那些需要对密码进行校验的程序(如显示管理器、FTP 程序、pop3进程等)必须兼容 Shadow 。也就是说，他们需要能够与影子密码一起工作。 为了使用影子密码，运行以下指令： ``` pwconv ``` 为使用组影子密码，运行： ``` grpconv ``` ## 6.50.3\. Setting the root password 通过运行以下命令来设置 _root_ 用户的密码： ``` passwd root ``` ## 6.50.4\. Shadow 的内容 **安装的程序：** chage, chfn, chgpasswd, chpasswd, chsh, expiry, faillog, gpasswd, groupadd, groupdel, groupmod, grpck, grpconv, grpunconv, lastlog, login, logoutd, newgrp, newusers, nologin, passwd, pwck, pwconv, pwunconv, sg(→newgrp), su, useradd, userdel, usermod, vigr(→vipw), vipw**安装的库：** libshadow.{a,so} ### 简要描述 | | | | --- | --- | | `chage` | 用于设置必须对密码进行更改的最大间隔天数 | | `chfn` | 用于对用户的全名及其他信息进行修改 | | `chgpasswd` | 用于对一整个系列的组账号密码进行更新 | | `chpasswd` | 用于对一整个系列的用户账号密码进行更新 | | `chsh` | 用于更改一个用户的默认的登录 shell | | `expiry` | 检查并加强当前的密码过期策略 | | `faillog` | 用于检查记录登录失败的日志，或是设置账户在被锁定前最大的登录失败次数，亦可用于重置登录失败的次数。 | | `gpasswd` | 用来增加和删除组中的成员和管理员 | | `groupadd` | 用指定的名称建一个组 | | `groupdel` | 删除指定名称的组 | | `groupmod` | 用来修改所指定组的名称或 GID | | `grpck` | 校验组文件 `/etc/group` 和 `/etc/gshadow` 的完整性 | | `grpconv` | 从正常组文件中创建或更新一影子组文件 | | `grpunconv` | 从 `/etc/gshadow` 更新 `/etc/group` 并将前者删除 | | `lastlog` | 报告最近的所有用户的登录或是所指定用户的登录 | | `login` | 被系统用来允许用户进行登录 | | `logoutd` | 一个后台程序，用来加强对登录时间和端口进行限制 | | `newgrp` | 用来在登录会话期间对当前的 GID 进行修改 | | `newusers` | 用来对一整个系列的用户账户进行创建或更新 | | `nologin` | 显示一个账户不可用的信息，被设计用来作为那些不准登录的账户的默认 shell。 | | `passwd` | 用来对一个用户或组账户进行密码修改 | | `pwck` | 校验密码文件 `/etc/passwd` 和 `/etc/shadow` 的完整性 | | `pwconv` | 从一个正常的密码文件中创建或更新一影子密码文件 | | `pwunconv` | 从 `/etc/shadow` 更新 `/etc/passwd` 并删除前者 | | `sg` | 当一个用户的 GID 被设置到所给的组时执行所指定的命令 | | `su` | 用另一个用户和组ID来运行一个 shell | | `useradd` | 用所给名称建立一个新的用户或更新默认新用户的信息 | | `userdel` | 删除所指定的用户账户 | | `usermod` | 用来更改所给用户的登录名、用户标识(UID)、shell、最初组、主目录等 | | `vigr` | 编辑 `/etc/group` 或 `/etc/gshadow` 文件 | | `vipw` | 编辑 `/etc/passwd` 或 `/etc/shadow` 文件 | | `libshadow` | 包含了本包中大部分程序所用到的函数 |