Название

Описание

Этот

файл является текстовым читаемым файлом ,каждая строка которого описывает один параметр конфигурации. Строка состоит из имени конфигурации и его значения , разделенных пробелами. Пустые линии и коментарии игнорируются. Коментарии начинаются с символа `#' , и этот символ должен быть первым символом в строке .

Значения параметров могут быть

четырех типов: строки , логические, числа , и длинные числа. Строка составляется из любых печатных символов. Логическое значение должно быть или `yes' или `no'. Не определенный логический параметр или с любым другим значением отличным от приведенных здесь будет иметь значение `no'. Числа (регилярные и длинные) могут иметь как десятичное , так и воьсмиричное (начинаются с "0") и шестнадцатиричными (начинаются с "0x"). Максимальное значение регилярного или длинного целого является машшинно-зависимым.

Поддерживаются следующие параметры:

CONSOLE (строка)

Определяет ограничения на устройства с каких пользовательс именем root может входить в систему. При попытке пользователя с именем root войти в систему с устройства не отвечающего этому критерию вход в систему будет запрещен. Значения этого поля могут быть двух видов: или имя файла с полным путем , такое как

CONSOLE /etc/consoles

или

список терминальных устройств , разделенных символом двоеточия `:', такое как

CONSOLE console:tty01:tty02:tty03:tty04

Если задан файл с полным путем , то

каждая строка этого файла должна определять только одно устройство. Если этот параметр не определен или файл ,определяющий список устройств отсутствует , то вход в систему пользователя с именем root будет доступен со всех устройств (терминального типа). Поэтому удаление этого файла или усечение его длинны до нуля , может привести к не авторизированой регистрации пользователя с именем root. Поэтому в целях повышения безопасности этот файл должен быть защищен от записи. Лля этих же целей необходимо использовать форму , в которой предусмотрено перечесление необходимых устройств через символ двоеточия `:'.

DIALUPS_CHECK_ENAB (boolean)

Если установлено в yes и файл /etc/dialups существует, то второй пароль разрешается для dialup линий , которые определены в этом файле. Этот файл должен содержать список dilaups , одного на каждой строке , например:

ttyfm01

ttyfm02</p> .</p> .</p> .

ENV_HZ (string)

Этот параметр определяет значение для переменной окружения HZ. Пример использования:

ENV_HZ

    <em>HZ="50</em">

Если этот параметр не определен то занчение для

HZ не будет установлено.

ENV_PATH (строка)

Этот параметр должен быть определен как путь поиска для регулярного пользователя. Когда встречена регистрация в системе с идентификатором пользователя UID отличного от нуля , то переменная PATH будет устанавливаться в значение ENV_PATH. Требуется обязательно устанавливать это значение , если оно не определено то возможно будет использоваться по умолчанию некорректное значение.

ENV_SUPATH (строка)

Этот параметр должен быть определен как путь поиска для пользователя с именем root. Когда встречена регистрация в системе с идентификатором пользователя UID равным нулю , то переменная PATH будет устанавливаться в значение ENV_SUPATH. Требуется обязательно устанавливать это значение , если оно не определено то возможно будет использоваться по умолчанию некорректное значение.

ENV_TZ (string)

Этот параметр определяет информацию для генерации переменной окружения TZ. Это значение должно быть приемлемо для TZ, или именем файла с полным путем , который содержит эту информацию. Например:

ENV_TZ

   <em>TZ="CST6CDT</em">

или

ENV_TZ

   /etc/tzname

Если определен не

существующий файл , то тогда переменная TZ будет инициализирована некоторым занчением по умолчанию. Если это параметр не определен то переменная TZ не будет установлена.

ERASECHAR (строка)

Символ erase для терминала инициализируется этим занчением . Этот параметр поддерживается тольок в системах с termio интерфейсом , то есть System V. Если не определен , то erase символ будет установлен в backspace.

FAILLOG_ENAB (логическое)

Если установлен в значение yes то неправильные попытки регистрации в системе будут собираться в файле /var/log/faillog в формате faillog(8)

FTMP_FILE (строка)

Этот параметр определяет имя файла с полным путем , в котроый будут записываться неудачные попытки регистрации в системе. После того как произошла неудачная попытка регистрации в системе запись формата utmp будет добавлятся в этот файл. Заметьте , что это значение отлично от /var/log/faillog Если этот параметр не определен , то вход в систему будет запрещен. Смотрите FAILLOG_ENAB и LOG_UNKFAIL_ENAB для получения большей информации.

HUSHLOGIN_FILE (строка)

Этот параметр используется для устаеновления режима ``молчания'' (hushlog в оригинале). Существует два возможных пути получить этот режим. Первый - если этот параметр является именем файла и этот файл находится в домашнем каталоге пользователя , то режим `молчания' будет уставновлен. Содержимое этого файла будет проигнорировано. Второй - если значением этого параметра является файл с полным путем , в котором содержится имя пользователя или имя шела , который используется пользователем. В этом случае файл должен името форматт вида:

demo /usr/lib/uucp/uucico

</p> .</p> .

Если

этот параметр не определен , то режи молчания будет не доступен. Если установлен режим `молчания' , то все сообщения от файла сообщений motd, от последней удачной и неудачной попытки регистрации в системе , сообщения о состоянии вашего почтого ящика не будут выводится на экран. Заметьте , что позволяя устанавливать файл режима `молчания' в домашнем каталоге пользователя вы позволяете пользователю запретить проверку пароля. Смотрите MOTD_FILE, FAILLOG_ENAB,LASTLOG_ENAB, и MAIL_CHECK_ENAB для получения большей информации.

KILLCHAR (число)

Символ терминала kill устанавливается в это значение. Этот параметр поддерживается тольок в системах с termio интерфейсом , то есть System V. Если не определен , то kill символ будет установлен в CTRL/U.

LASTLOG_ENAB (логический)

если установлен в yes, и существует файл /var/log/lastlog то в этом случае удачные попытки зарегистрироваться в системе будут записываться в этот файл . Дальше , если эта опция установлена время самой последней удачной и неудачной попытки регистрации в систме будет показано при следующем входе в систему. Сообщение о последней неудачной регистрации в системе не будет выдаваться если переменная FAILLOG_ENAB установлена в `no'. Если установлен режим `молчания' , то оба выше перечисленых сообщения выводится нге будут.

LOG_UNKFAIL_ENAB (логический)

Если установлено в yes то неизвестное имя пользователя будет записано в файл при неверной попытке зарегистрироваться в ситстеме. Note that this is a potential security risk; a common login failure mode is transposition of the user name and password, thus this mode will often cause passwords to accumulate in the failure logs. If this option is disabled then unknown usernames will be suppressed in login failure messages.

MAIL_CHECK_ENAB (логический)

Если установлено в yes, то во время регистрации в систему пользователь будет уведомлен о состоянии его почтового ящика. Смотрите так же MAIL_DIR .

MAIL_DIR (строка)

Этот параметр определяет полный путь до каталога , который содержит файл почтового ящика пользователя.

Имя

    пользователя добавляется к пути ,пользовательского почтового ящика ,из которого (пути) формируется переменная окружения MAIL. Или этот параметр ли MAIL_FILE должны быть определены; Если они не определены , то по умолчанию может подразумеваться некоторое некорректное значение . Смотрите MAIL_CHECK_ENAB для получения большей информации.

MAIL_FILE (строка)

Этот параметр определяет имя файла в котором находится почтовый ящик пользователя. Это имя добавляется к имени домашнего каталога пользователя для формирования переменной окружения MAIL. Или этот параметр ли MAIL_DIR должны быть определены; Если они не определены , то по умолчанию может подразумеваться некоторое некорректное значение . Смотрите MAIL_CHECK_ENAB для получения большей информации.

MOTD_FILE (строка)

Этот параметр определяет спиок файлов сообщений , которые будут выводится каждый день при каждом входе в систему. Если определеный файл существует , то его содержимое будет выводится пользователю во время его входа в систему. Если этот параметр не определен или опрделен режим `молчания' (``hushlogin''), то вывод сообщения из определенных файлов будет подавлятся.

NOLOGINS_FILE (строка)

Этот параметр определяет файл с полным путем , который запрещает входить в систему не root пользователям. Если этот файл существует и не root пользователь пытается зарегистрироваться в систему , то содержимое этого файла будет показано пользователю и пользователю будет запрещен вход в систему. Если это параметр не определен , то эта возможность не будет использоваться.

OBSCURE_CHECKS_ENAB (логический)

Если установлен в yes, то программа passwd будет требовать дополнительную проверку пароля перед тем как его изменить. Проверка производится достаточно просто, и поэтому рекомендуется для пользователей. Смотрите PASS_MIN_LEN для получения более полной информации.

PASS_MIN_DAYS (число)

Минимальное число дней , разрешенных между сменами пароля. Любое изменение пароля произведенное раньше указаного числа будет игнорироваться. Если не определено , то будет подразумеваться значение ноль.

PASS_MIN_LEN (число)

Минимальное число символов в разрешенном пароле. Попытка введения пароля меньшей длины будет отброшена. Значение ноль подавляет эту проверку. Если эта переменная не определена , тобудет подразумеваться значение ноль.

PASS_MAX_DAYS (число)

Максимальное число дней , в течениии которых пароль может быть использован. Если пароль будет старее чем это значение , то аккаунт пользователя будет заблокирован. Если эта переменная не определена , то будет подразумеваться большое занчение.

PASS_WARN_AGE (число)

Число дней , в течении которых будет выдаваться предупреждающее сообщение о том : что пароль будет запрещен для использования. Значение ноль означает , то что предупреждающее сообщение будет выдоваться только до дня удаления пароля , отрицательное значение означает , что предупреждающее сообщение выдаваться не будет. Если этот параметр не определен , то предупреждающее сообщене выдаваться не будет. Если установлено в yes и существует файл /etc/porttime , то данный файл будет использоваться для проверки времени доступа пользователя для входа в систему. смотрите porttime(5)

QUOTAS_ENAB (логический)

Если установлено в yes , то пользовательзовательские значения ``ulimit,'' ``umask,'' and ``niceness'' будут инициализироваться значениями из поля gecos из файла passwd (если определены) смотрите passwd(5) .

SU_NAME (строка)

Этот параметр присваивает запущенной команде ``su -'' данное значение. Например , если этот параметр определен как ``su'', то программа ps(1)
 будет показывать эту строку как ``-su''. Если этот параметр неопределен , то программа ps(1)
 будет показывать эту строку как запущенный шел вида ``-sh''.

SULOG_FILE (строка)

Этот параметр определяет файл с полным путем , в который будут записываться все вызовы программы su Если этот параметр не определен ,то вся статистика будет пропускаться Так как команда su может быть использована для попытки идентификации пароля , поэтому или эта опция или файл syslog должны быть использованы для отслеживания активности su Смотрите опцию SYSLOG_SU_ENAB для получения более полной информации.

SYSLOG_SU_ENAB (логический)

Если установлено в yes и программа login была скомпилированна с поддержкой syslog то в этом случае все вызовы программы su будут записываться в файл syslog Смотри SULOG_FILE для получения большей информации.

TTYGROUP (строка или число)

Группа владеющая терминалом инициализируется согласно заданному имени группы или номеру группы. Хорошо известна атака на безапасность системы , которая вызывает включение последовательностей управления терминалом на других пользовательских терминалах. Эта проблема может быть предотвращена путем запрещения прав доступа , которые разрешают другим пользователям доступ к терминалу , но к сожалению это мешает работать нектоторым программам , например write Другим решением данной пролблемы является использование версии программы write которая фильтрует вывод потенциально опасных последовательностей символов, установка для этой программы прав с наследованием прав группы (с помощью `setgid') , назначение этой группе прав на данный терминал , и назначение прад доступа к этому

терминалу

в 0620. Определение TTYGROUP обеспечено для таких ситуаций.Если этот элемент не определен , то в этом случае владеющая терминалом группа инициализируется номером группы в которую входит пользователь. Смотрите TTYPERMS для получения большей информации.

TTYPERM (число)

Права доступа к терминалу , на котором зарегистрировался пользователь инициализируется этим занчением. Обычно это значение устанавливаетс в 0622 допуская другим пользователям писать на данное устройство , или для большей безопасности в 0600. Если этот параметр не определен , то права доступа к терминалу будут инициализироваться значением0622. Смотрите TYGROUP для получения большей информации.

TTYTYPE_FILE (строка)

Этот параметр определяет имя файла с полным путем , который преобразует терминал в тип терминала. Каждая строка этого файла должна содержать тип терминала и имя терминала , которые должны быть разделены символом пробела, напрмиер:

vt100

    tty01

wyse60

   tty02

.

        .

.

        .

.

        .

Эта

информация используется для инициализации переменной окружения TERM. Строка начинающаяся с символа `#' будет являтся строкой коментария. Если этот параметр не определен или этот файл не существует или данный терминал не найден в этом файле ,то переменная окружения TERM не будет установлена.

ULIMIT (длинное число)

Размер файла не может быть больше заданого значения. Поддерживается только для систем с ulimit, то есть System V. Если этот параметр не определен ,то размер файла будет установлен в некоторое большое значение.

UMASK (число)

Макса прав доступа иницилизируется этим значением . Если данный параметр не определен , то маска прав доступа инициализируется нулем.

ССЫЛКИ

Следующие ссылки показывают какие программы в пакете shadow используют какие параметры.

login

      CONSOLE DIALUPS_CHECK_ENAB ENV_HZ ENV_SUPATH ENV_TZ ERASECHAR FAILLOG_ENAB FTMP_FILE HUSHLOGIN_FILE KILLCHAR LASTLOG_ENAB LOG_UNKFAIL_ENAB MAIL_CHECK_ENAB MAIL_DIR MOTD_FILE NOLOGINS_FILE PORTTIME_CHECKS_ENAB QUOTAS_ENAB TTYPERM TTYTYPE_FILE ULIMIT UMASK

newusers

   PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE UMASK

passwd

     OBSCURE_CHECKS_ENAB PASS_MIN_LEN

pwconv

     PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE

su

         ENV_HZ ENV_SUPATH ENV_TZ HUSHLOGIN_FILE MAIL_CHECK_ENAB MAIL_DIR MOTD_FILE NOLOGIN_STR QUOTAS_ENAB SULOG_FILE SYSLOG_SU_ENAB

sulogin

    ENV_HZ ENV_SUPATH ENV_TZ MAIL_DIR QUOTAS_ENAB TTYPERM

См. также

Copyright(C)</bf> by Kosta <bf>Kudrin

cola@tcsb.perm.su

2:5054/69@fidonet

Index

Название

Описание

См. также

Copyright(C)</bf> by Kosta <bf>Kudrin