table of contents
LOGIN.DEFS(5) | Formats et conversions de fich | LOGIN.DEFS(5) |
NOM¶
login.defs - configuration de la suite des mots de passe cachés « shadow password »
DESCRIPTION¶
Le fichier /etc/login.defs définit la configuration de la suite shadow password (mots de passe cachés) pour le système. Ce fichier est indispensable. Son absence n´empêchera pas le système de fonctionner, mais aura probablement des conséquences indésirables.
Ce fichier est un fichier texte, dont chaque ligne décrit un paramètre de configuration. Les lignes consistent en un nom et une valeur, séparés par une espace. Les lignes blanches et les lignes de commentaires sont ignorées. Les commentaires commencent par un caractère « # », qui doit être le premier caractère non blanc de la ligne.
Les valeurs des paramètres sont de quatre types : chaînes de caractères, booléens, nombres et nombres longs. Une chaîne de caractères est constituée de n´importe quels caractères imprimables. Un booléen est soit yes (oui), soit no (non). Un paramètre booléen non défini, ou défini avec une valeur autre que celles-là prendra la valeur no. Un nombre (normal ou long) peut être soit décimal, soit octal (en précédant la valeur d´un 0), ou encore hexadécimal (en précédant la valeur de 0x). La valeur maximale des paramètres numériques normaux ou longs dépend de la machine.
Please note that the parameters in this configuration file control the behavior of the tools from the shadow-utils component. None of these tools uses the PAM mechanism, and the utilities that use PAM (such as the passwd command) should be configured elsewhere. The only values that affect PAM modules are FAIL_DELAY for pam_faildelay module, and UMASK for pam_umask module. Refer to pam(8) for more information.
Les paramètres de configuration suivants sont fournis :
CHFN_AUTH (booléen)
CHFN_RESTRICT (chaîne de caractères)
CHSH_AUTH (booléen)
CONSOLE (chaîne de caractères)
S´il n´est pas défini, root pourra se connecter depuis n´importe quel périphérique.
Le périphérique doit être précisé sans le préfixe /dev/.
CONSOLE_GROUPS (chaîne de caractères)
À utiliser avec précaution : il est possible que les utilisateurs aient un accès permanent à ces groupes, et cela même s´ils ne sont pas connectés sur la console.
CREATE_HOME (boolean)
Ce réglage ne s´applique pas pour les utilisateurs système, et peut être annulé sur la ligne de commande.
DEFAULT_HOME (booléen)
Si elle est configurée à yes, l´utilisateur va se connecter dans le répertoire racine (/) s´il n´est pas possible d´accéder à son répertoire personnel.
ENCRYPT_METHOD (chaîne de caractères)
Les valeurs suivantes sont acceptées : DES (par défaut), MD5, SHA256, SHA512.
Remarque : ce paramètre remplace la variable MD5_CRYPT_ENAB.
ENV_HZ (chaîne de caractères)
ENV_PATH (chaîne de caractères)
ENV_SUPATH (chaîne de caractères)
ENV_TZ (chaîne de caractères)
Si un chemin complet est spécifié mais que le fichier n´existe pas ou ne peut pas être lu, la valeur par défaut utilisée est TZ=CST6CDT.
ENVIRON_FILE (chaîne de caractères)
Les lignes commençant par un « # » sont considérées comme des commentaires, et sont ignorées.
ERASECHAR (nombre)
La valeur peut être préfixée par « 0 » pour une valeur octale, ou « 0x » pour une valeur hexadécimale.
FAIL_DELAY (nombre)
FAILLOG_ENAB (booléen)
FAKE_SHELL (chaîne de caractères)
FTMP_FILE (chaîne de caractères)
GID_MAX (nombre), GID_MIN (nombre)
The default value for GID_MIN (resp. GID_MAX) is 500 (resp. 60000).
HUSHLOGIN_FILE (chaîne de caractères)
ISSUE_FILE (chaîne de caractères)
KILLCHAR (nombre)
La valeur peut être préfixée par « 0 » pour une valeur octale, ou « 0x » pour une valeur hexadécimale.
LASTLOG_ENAB (booléen)
LOG_OK_LOGINS (booléen)
LOG_UNKFAIL_ENAB (booléen)
Remarque : la journalisation des noms d´utilisateurs inconnus peut être un problème de sécurité si un utilisateur entre son mot de passe au lieu de son nom d´utilisateur.
LOGIN_RETRIES (nombre)
LOGIN_STRING (chaîne de caractères)
Si la chaîne contient %s, ces caractères seront remplacés par le nom de l´utilisateur.
LOGIN_TIMEOUT (nombre)
MAIL_CHECK_ENAB (booléen)
Vous devriez le désactiver si les fichiers de démarrage de l´interpréteur de commandes vérifient déjà la présence de courriers (« mail -e » ou équivalent).
MAIL_DIR (chaîne de caractères)
MAIL_FILE (chaîne de caractères)
Les paramètres MAIL_DIR et MAIL_FILE sont utilisés par useradd, usermod et userdel pour créer, déplacer ou supprimer les boîtes aux lettres des utilisateurs.
Si MAIL_CHECK_ENAB est réglé sur yes, ces variables servent également à définir la variable d´environnement MAIL.
MAX_MEMBERS_PER_GROUP (nombre)
La valeur par défaut est 0, ce qui signifie qu´il n´y a pas de limites pour le nombre de membres dans un groupe.
Cette fonctionnalité (groupe découpé) permet de limiter la longueur des lignes dans le fichier de groupes. Ceci est utile pour s´assurer que les lignes pour les groupes NIS ne sont pas plus grandes que 1024 caractères.
Si vous avez besoin de configurer cette limite, vous pouvez utiliser 25.
Remarque : les groupes découpés ne sont peut-être pas pris en charge par tous les outils (même dans la suite d´outils Shadow). Vous ne devriez pas utiliser cette variable, sauf si vous en avez vraiment besoin.
MD5_CRYPT_ENAB (booléen)
Cette variable est écrasée par la variable ENCRYPT_METHOD ou par toute option de la ligne de commande utilisée pour configurer l´algorithme de chiffrement.
Cette variable est obsolète. Vous devriez utiliser ENCRYPT_METHOD.
MOTD_FILE (chaîne de caractères)
NOLOGINS_FILE (chaîne de caractères)
OBSCURE_CHECKS_ENAB (booléen)
PASS_ALWAYS_WARN (booléen)
PASS_CHANGE_TRIES (nombre)
PASS_MAX_DAYS (nombre)
PASS_MIN_DAYS (nombre)
PASS_WARN_AGE (nombre)
Les paramètres PASS_MAX_DAYS, PASS_MIN_DAYS et PASS_WARN_AGE ne sont utilisés qu´au moment de la création d´un compte. Les changements n´affecteront pas les comptes existants.
PASS_MAX_LEN (nombre), PASS_MIN_LEN (nombre)
PORTTIME_CHECKS_ENAB (booléen)
QUOTAS_ENAB (booléen)
SHA_CRYPT_MIN_ROUNDS (nombre), SHA_CRYPT_MAX_ROUNDS (nombre)
Avec beaucoup de rounds, il est plus difficile de trouver le mot de passe avec une attaque par force brute. Veuillez remarquer que plus de ressources processeur seront nécessaires pour authentifier les utilisateurs.
Si non précisée, la libc utilisera le nombre de rounds par défaut (5000).
Les valeurs doivent être comprises dans l´intervalle 1 000 - 999 999 999.
Si une seule des variables SHA_CRYPT_MIN_ROUNDS ou SHA_CRYPT_MAX_ROUNDS est configurée, alors cette valeur sera utilisée.
Si SHA_CRYPT_MIN_ROUNDS > SHA_CRYPT_MAX_ROUNDS, la valeur la plus élevée sera utilisée.
SULOG_FILE (chaîne de caractères)
SU_NAME (chaîne de caractères)
SU_WHEEL_ONLY (booléen)
SYS_GID_MAX (nombre), SYS_GID_MIN (nombre)
The default value for SYS_GID_MIN (resp. SYS_GID_MAX) is 201 (resp. GID_MIN-1).
SYS_UID_MAX (nombre), SYS_UID_MIN (nombre)
The default value for SYS_UID_MIN (resp. SYS_UID_MAX) is 201 (resp. UID_MIN-1).
SYSLOG_SG_ENAB (booléen)
SYSLOG_SU_ENAB (booléen)
TTYGROUP (chaîne de caractères), TTYPERM (chaîne de caractères)
Par défaut, le propriétaire du terminal est configuré au groupe primaire de l´utilisateur et les permissions sont configurées à 0600.
TTYGROUP peut être le nom d´un groupe ou un identifiant numérique de groupe.
Si vous avez un programme write qui est « setgid » à un groupe spécial auquel les terminaux appartiennent, définissez TTYGROUP comme l´identifiant numérique du groupe et TTYPERM à 0620. Autrement laissez TTYGROUP décommenté et TTYPERM configuré soit à 622 soit à 600.
TTYTYPE_FILE (chaîne de caractères)
UID_MAX (nombre), UID_MIN (nombre)
The default value for UID_MIN (resp. UID_MAX) is 500 (resp. 60000).
ULIMIT (nombre)
UMASK (nombre)
useradd et newusers utilisent ce masque pour définir les permissions d´accès des répertoires personnels qu´ils créent.
Il est également utilisé par login pour définir l´umask initial de l´utilisateur. Veuillez noter que cet umask peut être redéfini par les GECOS de l´utilisateur (si QUOTAS_ENAB est activé) ou en précisant une limite avec l´identifiant K dans limits(5).
USERDEL_CMD (chaîne de caractères)
Le code de retour du script n´est pas pris en compte.
Voici un script exemple, qui supprime le fichier d´entrée de cron et d´at ainsi que les travaux d´impression en attente ;
#! /bin/sh # Check for the required argument. if [ $# != 1 ]; then echo "Usage: $0 username" exit 1 fi # Remove cron jobs. crontab -r -u $1 # Remove at jobs. # Note that it will remove any jobs owned by the same UID, # even if it was shared by a different username. AT_SPOOL_DIR=/var/spool/cron/atjobs find $AT_SPOOL_DIR -name "[^.]*" -type f -user $1 -delete \; # Remove print jobs. lprm $1 # All done. exit 0
USERGROUPS_ENAB (booléen)
Si cette variable est configurée à yes, userdel supprimera le groupe de l´utilisateur s´il ne contient pas d´autres membres, et useradd créera par défaut un groupe portant le nom de l´utilisateur.
RÉFÉRENCES CROISÉES¶
Les références croisées ci-dessous montrent quels sont les paramètres utilisés par les différents programmes de la suite shadow password.
chpasswd
ENCRYPT_METHOD MD5_CRYPT_ENAB SHA_CRYPT_MAX_ROUNDS SHA_CRYPT_MIN_ROUNDS
gpasswd
groupadd
groupdel
groupmems
groupmod
grpck
grpconv
grpunconv
newgrp / sg
newusers
pwck
pwconv
useradd
userdel
usermod
VOIR AUSSI¶
11/05/2016 | shadow-utils 4.1.5.1 |