table of contents
LOGIN.DEFS(5) | Formati di file e conversioni | LOGIN.DEFS(5) |
NOME¶
login.defs - configurazione del pacchetto password shadow
DESCRIZIONE¶
Il file /etc/login.defs contiene la configurazione specifica per questo sistema relativa al pacchetto password shadow. Questo file è obbligatorio. La sua assenza non bloccerà l´utilizzo del sistema, ma probabilmente sarà causa di risultati non desiderati.
Questo file è un file di testo leggibile nel quale ogni riga descrive un parametro di configurazione. Le righe consistono di una coppia nome valore separati da spazi. Le righe vuote e di commento sono ignorate. I commenti iniziano con con il simbolo "#" che deve essere il primo carattere diverso da spazio della riga.
I valori dei parametri possono essere di quattro tipi: testo, booleano, numerico e numerico lungo. Un testo può contenere qualsiasi carattere stampabile. Un booleano dovrebbe essere uno tra yes e no. Un parametro dal valore booleano non definito oppure uno che ha un valore diverso da quelli permessi verrà equiparato al valore no. I numerici (sia normali che lunghi) possono essere decimali, ottali (preceduti da 0) o esadecimali (preceduti da 0x). Il valore massimo dei numerici normali e lunghi è dipendente dalla macchina.
Please note that the parameters in this configuration file control the behavior of the tools from the shadow-utils component. None of these tools uses the PAM mechanism, and the utilities that use PAM (such as the passwd command) should be configured elsewhere. The only values that affect PAM modules are FAIL_DELAY for pam_faildelay module, and UMASK for pam_umask module. Refer to pam(8) for more information.
Sono forniti i seguenti parametri di configurazione:
CHFN_AUTH (booleano)
CHFN_RESTRICT (testo)
CHSH_AUTH (booleano)
CONSOLE (testo)
Se non definito, root potrà accedere da qualsiasi device.
Il nome di device deve essere specificato senza il prefisso /dev.
CONSOLE_GROUPS (testo)
Usare con cautela - è possibile che gli utenti ottengano l´accesso permanente a questi gruppi anche se non accedono dalla console.
CREATE_HOME (booleano)
Questa impostazione non viene applicata agli utenti di sistema e può essere modificata sulla riga di comando.
DEFAULT_HOME (booleano)
Se impostato a yes, l´utente accederà alla directory root (/) nel caso che non sia possibile accedere alla propria directory home.
ENCRYPT_METHOD (testo)
Può avere uno dei seguenti valori: DES (predefinito), MD5, SHA256, SHA512.
Nota: questo parametro ha la precedenza sulla variabile MD5_CRYPT_ENAB.
ENV_HZ (testo)
ENV_PATH (testo)
ENV_SUPATH (testo)
ENV_TZ (testo)
Se viene specificato il percorso completo di un file che però non esiste o non può essere letto, allora viene utilizzato il valore predefinito TZ=CST6CDT.
ENVIRON_FILE (testo)
Le righe che iniziano con «#» sono trattate come commenti e ignorate.
ERASECHAR (numerico)
Il valore deve avere il prefisso «0» se in ottale, o «0x» se esadecimale.
FAIL_DELAY (numerico)
FAILLOG_ENAB (booleano)
FAKE_SHELL (testo)
FTMP_FILE (testo)
GID_MAX (numerico), GID_MIN (numerico)
The default value for GID_MIN (resp. GID_MAX) is 500 (resp. 60000).
HUSHLOGIN_FILE (testo)
ISSUE_FILE (testo)
KILLCHAR (numerico)
Il valore deve avere il prefisso «0» se in ottale, o «0x» se esadecimale.
LASTLOG_ENAB (booleano)
LOG_OK_LOGINS (booleano)
LOG_UNKFAIL_ENAB (booleano)
Nota: memorizzare i nomi sconosciuti potrebbe diventare un problema legato alla sicurezza se un utente inserisce la propria password al posto del nome utente.
LOGIN_RETRIES (numerico)
LOGIN_STRING (testo)
Se il testo contiene %s, questo verrà sostituito dal nome dell´utente.
LOGIN_TIMEOUT (numerico)
MAIL_CHECK_ENAB (testo)
Andrebbe disabilitato se i file di avvio della shell effettuano già questo controllo («mailx -e» o equivalente).
MAIL_DIR (testo)
MAIL_FILE (testo)
Le variabili MAIL_DIR e MAIL_FILE vengono utilizzate da useradd, usermod e userdel per creare, spostare e cancellare le caselle di posta dell´utente.
Se MAIL_CHECK_ENAB è impostata a yes allora sono anche utilizzate per impostare la variabile d´ambiente MAIL.
MAX_MEMBERS_PER_GROUP (numero)
Il valore predefinito è 0, che non pone nessun limite al numero di membri per gruppo.
Questa opzione (dividi gruppo) permette di limitare la lunghezza delle righe nel file «group». Questo è utile per essere certi che le righe per gruppi NIS non eccedano i 1024 caratteri.
Se si deve impostare questo limite, si può usare 25.
Nota: la divisione dei gruppi potrebbe non essere supportata da ogni strumento (anche all´interno del pacchetto Shadow). Non si dovrebbe utilizzare questa variabile a meno di esserci forzati.
MD5_CRYPT_ENAB (booleano)
Questa variabile ha meno priorità della variabile ENCRYPT_METHOD e di qualsiasi opzione a riga di comando che imposta un algoritmo di cifratura.
Questa variabile non è più usata. Si dovrebbe utilizzare ENCRYPT_METHOD.
MOTD_FILE (testo)
NOLOGINS_FILE (testo)
OBSCURE_CHECKS_ENAB (booleano)
PASS_ALWAYS_WARN (booleano)
PASS_CHANGE_TRIES (numerico)
PASS_MAX_DAYS (numerico)
PASS_MIN_DAYS (numerico)
PASS_WARN_AGE (numerico)
PASS_MAX_DAYS, PASS_MIN_DAYS e PASS_WARN_AGE sono utilizzate solo al momento della creazione dell´account. Qualsiasi cambiamento di queste impostazioni non modifica gli account preesistenti.
PASS_MAX_LEN (numerico), PASS_MIN_LEN (numerico)
PORTTIME_CHECKS_ENAB (booleano)
QUOTAS_ENAB (booleano)
SHA_CRYPT_MIN_ROUNDS (numerico), SHA_CRYPT_MAX_ROUNDS (numerico)
Con molti cicli è più difficile trovare una password usando la forza bruta. Ma va notato che è richiesta maggiore potenza di calcolo per autenticare gli utenti.
Se non specificato sarà la libc a scegliere il numero di cicli (5000).
Il valore deve essere compreso tra 1.000 e 999.999.999.
Se viene impostato solo uno tra SHA_CRYPT_MIN_ROUNDS e SHA_CRYPT_MAX_ROUNDS, allora l´unico valore viene utilizzato.
Se SHA_CRYPT_MIN_ROUNDS > SHA_CRYPT_MAX_ROUNDS, allora viene utilizzato il maggiore.
SULOG_FILE (testo)
SU_NAME (testo)
SU_WHEEL_ONLY (booleano)
SYS_GID_MAX (numerico), SYS_GID_MIN (numerico)
The default value for SYS_GID_MIN (resp. SYS_GID_MAX) is 201 (resp. GID_MIN-1).
SYS_UID_MAX (numerico), SYS_UID_MIN (numerico)
The default value for SYS_UID_MIN (resp. SYS_UID_MAX) is 201 (resp. UID_MIN-1).
SYSLOG_SG_ENAB (booleano)
SYSLOG_SU_ENAB (booleano)
TTYGROUP (testo), TTYPERM (testo)
In maniera predefinita la proprietà del terminale sarà impostata al gruppo primario dell´utente, mentre i permessi saranno 0600.
TTYGROUP può essere il nome del gruppo o il suo identificativo numerico.
Se si ha il comando write che è «setgid» e ha un gruppo speciale che possiede i terminali, definire TTYGROUP con lo stesso gruppo e TTYPERM a 0620. Altrimenti lasciare TTYGROUP commentato e assegnare TTYPERM a 622 o 600.
TTYTYPE_FILE (testo)
UID_MAX (numerico), UID_MIN (numerico)
The default value for UID_MIN (resp. UID_MAX) is 500 (resp. 60000).
ULIMIT (numerico)
UMASK (numerico)
useradd e newusers usano questa maschera per impostare i permessi della directory home che creano.
Viene anche utilizzata da login per definire la maschera iniziale dell´utente. Notare che questa maschera può essere modificata dalla riga GECOS dell´utente (se QUOTAS_ENAB è impostato) o specificando un limite con l´identificativo K in limits(5).
USERDEL_CMD (testo)
Il codice d´uscita restituito dallo script non è preso in considerazione.
Ecco uno script di esempio che rimuove i job dell´utente, sia di cron che at che di stampa:
#! /bin/sh # Verifica la presenza dell´argomento obbligatorio if [ $# != 1 ]; then
echo "Uso: $0 username"
exit 1 fi # Rimuove i compiti di cron crontab -r -u $1 # Rimuove i compiti di at # Nota che verranno rimossi tutti i compiti di proprietà dello stesso UID, # anche se condiviso con un altro nome utente. AT_SPOOL_DIR=/var/spool/cron/atjobs find $AT_SPOOL_DIR -name "[^.]*" -type f -user $1 -delete \; # Rimuove le stampe lprm $1 # Finito. exit 0
USERGROUPS_ENAB (booleano)
Se impostato a yes, userdel cancellerà il gruppo dell´utente se non contiene altri membri, e useradd creerà automaticamente un gruppo con lo stesso nome dell´utente.
RIFERIMENTI INCROCIATI¶
I seguenti riferimenti incrociati mostrano quali programmi del pacchetto shadow password utilizzano quali parametri.
chpasswd
ENCRYPT_METHOD MD5_CRYPT_ENAB SHA_CRYPT_MAX_ROUNDS SHA_CRYPT_MIN_ROUNDS
gpasswd
groupadd
groupdel
groupmems
groupmod
grpck
grpconv
grpunconv
newgrp / sg
newusers
pwck
pwconv
useradd
userdel
usermod
VEDERE ANCHE¶
11/05/2016 | shadow-utils 4.1.5.1 |