6.54. Shadow-4.0.9

El paquete Shadow contiene programas para manejar contraseñas de forma segura.

Tiempo estimado de construcción: 0.4 SBU
Espacio requerido en disco: 13.7 MB
Para su instalación depende de: Bash, Binutils, Bison, Coreutils, Diffutils, GCC, Gettext, Glibc, Grep, Make y Sed

6.54.1. Instalación de Shadow

Prepara Shadow para su compilación:

./configure --libdir=/lib --enable-shared

Suprime la instalación del programa groups y su página de manual, pues Coreutils proporciona una versión mejor:

sed -i 's/groups$(EXEEXT) //' src/Makefile
sed -i '/groups/d' man/Makefile

Compila el paquete:

make

Instala el paquete:

make install

Shadow utiliza dos ficheros para configurar los ajustes de autenticación para el sistema. Instala estos ficheros de configuración:

cp etc/{limits,login.access} /etc

En vez de usar el método por defecto, crypt, utiliza el método de encriptación de contraseñas MD5, que es más seguro y además permite contraseñas de más de 8 caracteres. También es necesario cambiar la obsoleta localización /var/spool/mail, que Shadow utiliza por defecto para los buzones de los usuarios, a /var/mail, que es la localización usada hoy en día. Ambas cosas pueden hacerse modificando el fichero de configuración correspondiente mientras lo copiamos a su destino:

cp etc/login.defs.linux /etc/login.defs
sed -i -e 's@#MD5_CRYPT_ENAB.no@MD5_CRYPT_ENAB yes@' \
    -e 's@/var/spool/mail@/var/mail@' /etc/login.defs

Mueve un programa mal ubicado a su lugar correcto:

mv /usr/bin/passwd /bin

Mueve las librerías de Shadow a un lugar más apropiado:

mv /lib/libshadow.*a /usr/lib
rm /lib/libshadow.so
ln -sf ../../lib/libshadow.so.0 /usr/lib/libshadow.so

La opción -D del programa useradd requiere el directorio /etc/default para funcionar correctamente:

mkdir /etc/default

6.54.2. Configuración de Shadow

Este paquete contiene utilidades para añadir, modificar o eliminar usuarios y grupos, establecer y cambiar sus contraseñas y otras tareas administrativas. Puedes encontrar una completa explicación de lo que significa password shadowing (ocultación de contraseñas) en el fichero doc/HOWTO dentro del árbol de las fuentes. Hay una cosa que debes recordar si decides usar soporte para Shadow: los programas que necesiten verificar contraseñas (administradores de sesión, programas FTP, demonios pop3, etc) necesitarán ser compatibles con Shadow: esto es, necesitan ser capaces de trabajar con contraseñas ocultas.

Para habilitar las contraseñas ocultas, ejecuta el siguiente comando:

pwconv

Para habilitar las contraseñas de grupo ocultas, ejecuta:

grpconv

Bajo circunstancias normales aún no habrás creado ninguna contraseña. Sin embargo, si más tarde regresas a esta sección para activar la ocultación, debes restablecer cualquier contraseña actual de usuario con el comando passwd, o cualquier contraseña de grupo con el comando gpasswd.

6.54.3. Establecer la contraseña de root

Elige una contraseña para el usuario root y establécela mediante:

passwd root

6.54.4. Contenido de Shadow

Programas instalados: chage, chfn, chpasswd, chsh, expiry, faillog, gpasswd, groupadd, groupdel, groupmod, groups, grpck, grpconv, grpunconv, lastlog, login, logoutd, mkpasswd, newgrp, newusers, passwd, pwck, pwconv, pwunconv, sg (enlace a newgrp), useradd, userdel, usermod, vigr (enlace a vipw) y vipw
Librerías instaladas: libshadow.[a,so]

Descripciones cortas

chage

Se usa para cambiar el número máximo de días entre cambios obligatorios de contraseña.

chfn

Se usa para cambiar el nombre completo de un usuario y otra información.

chpasswd

Se usa para actualizar las contraseñas de un grupo de cuentas de usuario de una sola vez.

chsh

Cambia el intérprete de comandos por defecto que se ejecuta cuando el usuario entra al sistema.

expiry

Comprueba y refuerza la política actual de expiración de contraseñas.

faillog

Sirve para examinar el contenido del registro de ingresos fallidos al sistema, establecer un máximo de fallos para bloquear una cuenta de usuario y reiniciar el contador de fallos.

gpasswd

Se usa para agregar y eliminar miembros y administradores a los grupos.

groupadd

Crea un nuevo grupo con el nombre especificado.

groupdel

Borra el grupo con el nombre especificado.

groupmod

Modifica el nombre o el identificador (GID) de un grupo especificado.

groups

Muestra los grupos a los que pertenece un usuario dado.

grpck

Verifica la integridad de los ficheros de grupos, /etc/group y /etc/gshadow.

grpconv

Crea o actualiza el fichero de grupos ocultos a partir de un fichero de grupos normal.

grpunconv

Actualiza /etc/group a partir de /etc/gshadow, borrando este último.

lastlog

Muestra el último acceso de cada usuario o de un usuario especificado.

login

Lo utiliza el sistema para permitir el ingreso de un usuario.

logoutd

Es un demonio que refuerza las restricciones de ingreso en base a horas y puertos de acceso.

mkpasswd

Genera contraseñas aleatorias.

newgrp

Se usa para cambiar el identificador de grupo (GID) actual durante una sesión de acceso.

newusers

Crea o actualiza un grupo de cuentas de usuario de una sola vez.

passwd

Se utiliza para cambiar la contraseña de la cuenta de un usuario o grupo.

pwck

Verifica la integridad de los ficheros de contraseñas, /etc/passwd y /etc/shadow.

pwconv

Crea o actualiza el fichero de contraseñas ocultas a partir de un fichero de contraseñas normal.

pwunconv

Actualiza /etc/passwd a partir de /etc/shadow, borrando este último.

sg

Ejecuta un comando dado estableciendo el GID del usuario al del grupo indicado.

su

Ejecuta un intérprete de comandos sustituyendo los identificadores de usuario y grupo.

useradd

Crea un nuevo usuario con el nombre especificado o actualiza la información por defecto de un nuevo usuario.

userdel

Borra la cuenta de usuario indicada.

usermod

Modifica el nombre, identificador (UID), intérprete de comandos, grupo inicial, directorio personal, etc, del usuario indicado.

vigr

Edita los ficheros /etc/group o /etc/gshadow.

vipw

Edita los ficheros /etc/passwd o /etc/shadow.

libshadow

Contiene funciones usadas por la mayoría de los programas de este paquete.