home *** CD-ROM | disk | FTP | other *** search
/ PC World 1999 August / PCWorld_1999-08_cd.bin / doc / HOWTO / Shadow-Password-HOWTO < prev    next >
Text File  |  1996-06-03  |  68KB  |  1,915 lines

  1.   Linux Shadow Password HOWTO
  2.   Michael H. Jackson, mhjack@tscnet.com
  3.   v1.3, 3 April 1996
  4.  
  5.   This document aims to describe how to obtain, install, and configure
  6.   the Linux password Shadow Suite. It also discusses obtaining, and
  7.   reinstalling other software and network daemons that require access to
  8.   user passwords.  This other software is not actually part of the
  9.   Shadow Suite, but these programs will need to be recompiled to support
  10.   the Shadow Suite.  This document also contains a programming example
  11.   for adding shadow support to a program.  Answers to some of the more
  12.   frequently asked questions are included near the end of this document.
  13.  
  14.   1.  Introduction.
  15.  
  16.   This is the Linux Shadow-Password-HOWTO.  This document describes why
  17.   and how to add shadow password support on a Linux system.  Some
  18.   examples of how to use some of the Shadow Suite's features is also
  19.   included.
  20.  
  21.   When installing the Shadow Suite and when using many of the utility
  22.   programs, you must be logged in as root.  When installing the Shadow
  23.   Suite you will be making changes to system software, and it is highly
  24.   recommended that you make backup copies of programs as indicated.  I
  25.   also recommend that you read and understand all the instructions
  26.   before you begin.
  27.  
  28.   1.1.  Changes from the previous release.
  29.  
  30.   Additions:
  31.           Added a sub-section on why you might not want to install shadow
  32.           Added a sub-section on updating the xdm program
  33.           Added a section on how to put Shadow Suite features to work
  34.           Added a section containing frequently asked questions
  35.  
  36.   Corrections/Updates:
  37.           Corrected html references on Sunsite
  38.           Corrected section on wu-ftp to reflect adding -lshadow to the Makefile
  39.           Corrected minor spelling and verbiage errors
  40.           Changed section on wu-ftpd to support ELF
  41.           Updated to reflect security problems in various login programs
  42.           Updated to recommend the Linux Shadow Suite by Marek Michalkiewicz
  43.  
  44.   1.2.  New versions of this document.
  45.  
  46.   The latest released version of this document can always be retrieved
  47.   by anonymous FTP from:
  48.  
  49.   sunsite.unc.edu
  50.  
  51.   /pub/Linux/docs/HOWTO/Shadow-Password-HOWTO
  52.  
  53.   or:
  54.  
  55.   /pub/Linux/docs/HOWTO/other-formats/Shadow-Password-HOWTO{-html.tar,ps,dvi}.gz
  56.  
  57.   or via the World Wide Web from the Linux Documentation Project Web
  58.   Server <http://sunsite.unc.edu/mdw/linux.html>, at page: Shadow-
  59.   Password-HOWTO <http://sunsite.unc.edu/linux/HOWTO/Shadow-Password-
  60.   HOWTO.html> or directly from me, <mhjack@tscnet.com>. It will also be
  61.   posted to the newsgroup: comp.os.linux.answers
  62.  
  63.   This document is now packaged with the Shadow-YYDDMM packages.
  64.  
  65.   1.3.  Feedback.
  66.  
  67.   Please send any comments, updates, or suggestions to me: Michael H.
  68.   Jackson <mhjack@tscnet.com>  The sooner I get feedback, the sooner I
  69.   can update and correct this document.  If you find any problems with
  70.   it, please mail me directly as I very rarely stay up-to-date on the
  71.   newsgroups.
  72.  
  73.   2.  Why shadow your passwd file?
  74.  
  75.   By default, most current Linux distributions do not contain the Shadow
  76.   Suite installed.  This includes Slackware 2.3, Slackware 3.0, and
  77.   other popular distributions.  One of the reasons for this is that the
  78.   copyright notices in the original Shadow Suite were not clear on
  79.   redistribution if a fee was charged.  Linux uses a GNU Copyright
  80.   (sometimes refereed to as a Copyleft) that allows people to package it
  81.   into a convenient package (like a CD-ROM distribution) and charge a
  82.   fee for it.
  83.  
  84.   The current maintainer of the Shadow Suite, Marek Michalkiewicz
  85.   <marekm@i17linuxb.ists.pwr.wroc.pl> received the source code from the
  86.   original author under a BSD style copyright that allowed
  87.   redistribution.   Now that the copyright issues are resolved, it is
  88.   expected that future distributions will contain password shadowing by
  89.   default.  Until then, you will need to install it yourself.
  90.  
  91.   If you installed your distribution from a CD-ROM, you may find that,
  92.   even though the distribution did not have the Shadow Suite installed,
  93.   some of the files you need to install the Shadow Suite may be on the
  94.   CD-ROM.
  95.  
  96.   However, Shadow Suite versions 3.3.1, 3.3.1-2, and shadow-mk all have
  97.   security problems with their login program and several other suid root
  98.   programs that came with them, and should no longer be used.
  99.  
  100.   All of the necessary files may be obtained via anonymous FTP or
  101.   through the World Wide Web.
  102.  
  103.   On a Linux system without the Shadow Suite installed, user information
  104.   including passwords is stored in the /etc/passwd file.  The password
  105.   is stored in an encrypted format.  If you ask a cryptography expert,
  106.   however, he or she will tell you that the password is actually in an
  107.   encoded rather than encrypted format because when using crypt(3), the
  108.   text is set to null and the password is the key.  Therefore, from here
  109.   on, I will use the term encoded in this document.
  110.  
  111.   The algorithm used to encode the password field is technically
  112.   referred to as a one way hash function.  This is an algorithm that is
  113.   easy to compute in one direction, but very difficult to calculate in
  114.   the reverse direction.  More about the actual algorithm used can be
  115.   found in section 2.4 or your crypt(3) manual page.
  116.  
  117.   When a user picks or is assigned a password, it is encoded with a
  118.   randomly generated value called the salt.  This means that any
  119.   particular password could be stored in 4096 different ways.  The salt
  120.   value is then stored with the encoded password.
  121.  
  122.   When a user logs in and supplies a password, the salt is first
  123.   retrieved from the stored encoded password.  Then the supplied
  124.   password is encoded with the salt value, and then compared with the
  125.   encoded password.  If there is a match, then the user is
  126.   authenticated.
  127.  
  128.   It is computationally difficult (but not impossible) to take a
  129.   randomly encoded password and recover the original password.  However,
  130.   on any system with more than just a few users, at least some of the
  131.   passwords will be common words (or simple variations of common words).
  132.  
  133.   System crackers know all this, and will simply encrypt a dictionary of
  134.   words and common passwords using all possible 4096 salt values.  Then
  135.   they will compare the encoded passwords in your /etc/passwd file with
  136.   their database.  Once they have found a match, they have the password
  137.   for another account.  This is referred to as a dictionary attack, and
  138.   is one of the most common methods for gaining or expanding
  139.   unauthorized access to a system.
  140.  
  141.   If you think about it, an 8 character password encodes to 4096 * 13
  142.   character strings.  So a dictionary of say 400,000 common words,
  143.   names, passwords, and simple variations would easily fit on a 4GB hard
  144.   drive.  The attacker need only sort them, and then check for matches.
  145.   Since a 4GB hard drive can be had for under $1000.00, this is well
  146.   within the means of most system crackers.
  147.  
  148.   Also, if a cracker obtains your /etc/passwd file first, they only need
  149.   to encode the dictionary with the salt values actually contained in
  150.   your /etc/passwd file.  This method is usable by your average teenager
  151.   with a couple of hundred spare Megabytes and a 486 class computer.
  152.  
  153.   Even without lots of drive space, utilities like crack(1) can usually
  154.   break at least a couple of passwords on a system with enough users
  155.   (assuming the users of the system are allowed to pick their own
  156.   passwords).
  157.  
  158.   The /etc/passwd file also contains information like user ID's and
  159.   group ID's that are used by many system programs.  Therefore, the
  160.   /etc/passwd file must remain world readable.  If you were to change
  161.   the /etc/passwd file so that nobody can read it, the first thing that
  162.   you would notice is that the ls -l command now displays user ID's
  163.   instead of names!
  164.  
  165.   The Shadow Suite solves the problem by relocating the passwords to
  166.   another file (usually /etc/shadow).  The /etc/shadow file is set so
  167.   that it cannot be read by just anyone.  Only root will be able to read
  168.   and write to the /etc/shadow file.  Some programs (like xlock) don't
  169.   need to be able to change passwords, they only need to be able to
  170.   verify them.  These programs can either be run suid root or you can
  171.   set up a group shadow that is allowed read only access to the
  172.   /etc/shadow file.  Then the program can be run sgid shadow.
  173.  
  174.   By moving the passwords to the /etc/shadow file, we are effectively
  175.   keeping the attacker from having access to the encoded passwords with
  176.   which to perform a dictionary attack.
  177.  
  178.   Additionally, the Shadow Suite adds lots of other nice features:
  179.  
  180.   ╖  A configuration file to set login defaults (/etc/login.defs)
  181.  
  182.   ╖  Utilities for adding, modifying, and deleting user accounts and
  183.      groups
  184.  
  185.   ╖  Password aging and expiration
  186.  
  187.   ╖  Account expiration and locking
  188.  
  189.   ╖  Shadowed group passwords (optional)
  190.  
  191.   ╖  Double length passwords (16 character passwords) NOT RECOMMENDED
  192.  
  193.   ╖  Better control over user's password selection
  194.  
  195.   ╖  Dial-up passwords
  196.  
  197.   ╖  Secondary authentication programs NOT RECOMMENDED
  198.  
  199.   Installing the Shadow Suite contributes toward a more secure system,
  200.   but there are many other things that can also be done to improve the
  201.   security of a Linux system, and there will eventually be a series of
  202.   Linux Security HOWTO's that will discuss other security measures and
  203.   related issues.
  204.  
  205.   For current information on other Linux security issues, including
  206.   warnings on known vulnerabilities see the Linux Security home page.
  207.   <http://bach.cis.temple.edu/linux/linux-security/>
  208.  
  209.   2.1.  Why you might NOT want to shadow your passwd file.
  210.  
  211.   There are a few circumstances and configurations in which installing
  212.   the Shadow Suite would NOT be a good idea:
  213.  
  214.   ╖  The machine does not contain user accounts.
  215.  
  216.   ╖  Your machine is running on a LAN and is using NIS (Network
  217.      Information Services) to get or supply user names and passwords to
  218.      other machines on the network.  (This can actually be done, but is
  219.      beyond the scope of this document, and really won't increase
  220.      security much anyway)
  221.  
  222.   ╖  Your machine is being used by terminal servers to verify users via
  223.      NFS (Network File System), NIS, or some other method.
  224.  
  225.   ╖  Your machine runs other software that validates users, and there is
  226.      no shadow version available, and you don't have the source code.
  227.  
  228.   2.2.  Format of the /etc/passwd file
  229.  
  230.   A non-shadowed /etc/passwd file has the following format:
  231.  
  232.        username:passwd:UID:GID:full_name:directory:shell
  233.  
  234.   Where:
  235.  
  236.      username
  237.         The user (login) name
  238.  
  239.      passwd
  240.         The encoded password
  241.  
  242.      UID
  243.         Numerical user ID
  244.  
  245.      GID
  246.         Numerical default group ID
  247.  
  248.      full_name
  249.         The user's full name - Actually this field is called the GECOS
  250.         (General Electric Comprehensive Operating System) field and can
  251.         store information other than just the full name.  The Shadow
  252.         commands and manual pages refer to this field as the comment
  253.         field.
  254.  
  255.      directory
  256.         User's home directory (Full pathname)
  257.  
  258.      shell
  259.         User's login shell (Full Pathname)
  260.  
  261.   For example:
  262.  
  263.        username:Npge08pfz4wuk:503:100:Full Name:/home/username:/bin/sh
  264.  
  265.   Where Np is the salt and ge08pfz4wuk is the encoded password.  The
  266.   encoded salt/password could just as easily have been kbeMVnZM0oL7I and
  267.   the two are exactly the same password.  There are 4096 possible encod¡
  268.   ings for the same password.  (The example password in this case is
  269.   'password', a really bad password).
  270.  
  271.   Once the shadow suite is installed, the /etc/passwd file would instead
  272.   contain:
  273.  
  274.        username:x:503:100:Full Name:/home/username:/bin/sh
  275.  
  276.   The x in the second field in this case is now just a place holder.
  277.   The format of the /etc/passwd file really didn't change, it just no
  278.   longer contains the encoded password.  This means that any program
  279.   that reads the /etc/passwd file but does not actually need to verify
  280.   passwords will still operate correctly.
  281.  
  282.   The passwords are now relocated to the shadow file (usually
  283.   /etc/shadow file).
  284.  
  285.   2.3.  Format of the shadow file
  286.  
  287.   The /etc/shadow file contains the following information:
  288.  
  289.        username:passwd:last:may:must:warn:expire:disable:reserved
  290.  
  291.   Where:
  292.  
  293.      username
  294.         The User Name
  295.  
  296.      passwd
  297.         The Encoded password
  298.      last
  299.         Days since Jan 1, 1970 that password was last changed
  300.  
  301.      may
  302.         Days before password may be changed
  303.  
  304.      must
  305.         Days after which password must be changed
  306.  
  307.      warn
  308.         Days before password is to expire that user is warned
  309.  
  310.      expire
  311.         Days after password expires that account is disabled
  312.  
  313.      disable
  314.         Days since Jan 1, 1970 that account is disabled
  315.  
  316.      reserved
  317.         A reserved field
  318.  
  319.   The previous example might then be:
  320.  
  321.        username:Npge08pfz4wuk:9479:0:10000::::
  322.  
  323.   2.4.  Review of crypt(3).
  324.  
  325.   From the crypt(3) manual page:
  326.  
  327.   "crypt is the password encryption function.  It is based on the Data
  328.   Encryption Standard algorithm with variations intended (among other
  329.   things) to discourage use of hardware implementations of a key search.
  330.  
  331.   The key is a user's typed password.  The encoded string is all NULLs
  332.  
  333.   The salt is a two-character string chosen from the set a-zA-Z0-9./.
  334.   This string is used to perturb the algorithm in one of 4096 different
  335.   ways.
  336.  
  337.   By taking the lowest 7 bits of each character of the key, a 56-bit key
  338.   is obtained.  This 56-bit key is used to encrypt repeatedly a constant
  339.   string (usually a string consisting of all zeros).  The returned value
  340.   points to the encrypted password, a series of 13 printable ASCII
  341.   characters (the first two characters represent the salt itself).  The
  342.   return value points to static data whose content is overwritten by
  343.   each call.
  344.  
  345.   Warning: The key space consists of 2**56 equal 7.2e16 possible values.
  346.   Exhaustive searches of this key space are possible using massively
  347.   parallel computers.  Software, such as crack(1), is available which
  348.   will search the portion of this key space that is generally used by
  349.   humans for passwords.  Hence, password selection should, at minimum,
  350.   avoid common words and names.  The use of a passwd(1) program that
  351.   checks for crackable passwords during the selection process is
  352.   recommended.
  353.  
  354.   The DES algorithm itself has a few quirks which make the use of the
  355.   crypt(3) interface a very poor choice for anything other than password
  356.   authentication.  If you are planning on using the crypt(3) interface
  357.   for a cryptography project, don't do it: get a good book on encryption
  358.   and one of the widely available DES libraries."
  359.  
  360.   Most Shadow Suites contain code for doubling the length of the
  361.   password to 16 characters.  Experts in des recommend against this, as
  362.   the encoding is simply applied first to the left half and then to the
  363.   right half of the longer password.  Because of the way crypt works,
  364.   this may make for a less secure encoded password then if double length
  365.   passwords were not used in the first place.  Additionally, it is less
  366.   likely that a user will be able to remember a 16 character password.
  367.  
  368.   There is development work under way that would allow the
  369.   authentication algorithm to be replaced with something more secure and
  370.   with support for longer passwords (specifically the MD5 algorithm) and
  371.   retain compatibility with the crypt method.
  372.  
  373.   If you are looking for a good book on encryption, I recommend:
  374.  
  375.           "Applied Cryptography: Protocols, Algorithms, and Source Code in C"
  376.           by Bruce Schneier <schneier@chinet.com>
  377.           ISBN: 0-471-59756-2
  378.  
  379.   3.  Getting the Shadow Suite.
  380.  
  381.   3.1.  History of the Shadow Suite for Linux
  382.  
  383.   DO NOT USE THE PACKAGES IN THIS SECTION, THEY HAVE SECURITY PROBLEMS
  384.  
  385.   The original Shadow Suite was written by John F. Haugh II.
  386.  
  387.   There are several versions that have been used on Linux systems:
  388.  
  389.   ╖  shadow-3.3.1 is the original.
  390.  
  391.   ╖  shadow-3.3.1-2 is Linux specific patch made by Florian La Roche
  392.      <flla@stud.uni-sb.de> and contains some further enhancements.
  393.  
  394.   ╖  shadow-mk was specifically packaged for Linux.
  395.  
  396.   The shadow-mk package contains the shadow-3.3.1 package distributed by
  397.   John F. Haugh II with the shadow-3.3.1-2 patch installed, a few fixes
  398.   made by Mohan Kokal <magnus@texas.net> that make installation a lot
  399.   easier, a patch by Joseph R.M. Zbiciak for login1.c (login.secure)
  400.   that eliminates the -f, -h security holes in /bin/login, and some
  401.   other miscellaneous patches.
  402.  
  403.   The shadow.mk package was the previously recommended package, but
  404.   should be replaced due to a security problem with the login program.
  405.  
  406.   There are security problems with Shadow versions 3.3.1, 3.3.1-2, and
  407.   shadow-mk involving the login program.  This login bug involves not
  408.   checking the length of a login name.  This causes the buffer to
  409.   overflow causing crashes or worse.  It has been rumored that this
  410.   buffer overflow can allow someone with an account on the system to use
  411.   this bug and the shared libraries to gain root access.  I won't
  412.   discuss exactly how this is possible because there are a lot of Linux
  413.   systems that are affected, but systems with these Shadow Suites
  414.   installed, and most pre-ELF distributions without the Shadow Suite are
  415.   vulnerable!
  416.  
  417.   For more information on this and other Linux security issues, see the
  418.   Linux Security home page (Shared Libraries and login Program
  419.   Vulnerability) <http://bach.cis.temple.edu/linux/linux-security/Linux-
  420.   Security-FAQ/Linux-telnetd.html>
  421.  
  422.   3.2.  Where to get the Shadow Suite.
  423.  
  424.   The only recommended Shadow Suite is still in BETA testing, however
  425.   the latest versions are safe in a production environment and don't
  426.   contain a vulnerable login program.
  427.  
  428.   The package uses the following naming convention:
  429.  
  430.        shadow-YYMMDD.tar.gz
  431.  
  432.   where YYMMDD is the issue date of the Suite.
  433.  
  434.   This version will eventually be Version 3.3.3 when it is released from
  435.   Beta testing, and is maintained by Marek Michalkiewicz
  436.   <marekm@i17linuxb.ists.pwr.wroc.pl>.  It's available as: shadow-
  437.   current.tar.gz
  438.   <ftp://i17linuxb.ists.pwr.wroc.pl/pub/linux/shadow/shadow-
  439.   current.tar.gz>.
  440.  
  441.   The following mirror sites have also been established:
  442.  
  443.   ╖  ftp://ftp.icm.edu.pl/pub/Linux/shadow/shadow-current.tar.gz
  444.  
  445.   ╖  ftp://iguana.hut.fi/pub/linux/shadow/shadow-current.tar.gz
  446.  
  447.   ╖  ftp://ftp.cin.net/usr/ggallag/shadow/shadow-current.tar.gz
  448.  
  449.   ╖  ftp://ftp.netural.com/pub/linux/shadow/shadow-current.tar.gz
  450.  
  451.   You should use the currently available version.
  452.  
  453.   You should NOT use a version older than shadow-960129 as they also
  454.   have the login security problem discussed above.
  455.  
  456.   When this document refers to the Shadow Suite I am referring to the
  457.   this package.  It is assumed that this is the package that you are
  458.   using.
  459.  
  460.   For reference, I used shadow-960129 to make these installation
  461.   instructions.
  462.  
  463.   If you were previously using shadow-mk, you should upgrade to this
  464.   version and rebuild everything that you originally compiled.
  465.  
  466.   3.3.  What is included with the Shadow Suite.
  467.  
  468.   The Shadow Suite contains replacement programs for:
  469.  
  470.   su, login, passwd, newgrp, chfn, chsh, and id
  471.  
  472.   The package also contains the new programs:
  473.  
  474.   chage, newusers, dpasswd, gpasswd, useradd, userdel, usermod,
  475.   groupadd, groupdel, groupmod, groups, pwck, grpck, lastlog, pwconv,
  476.   and pwunconv
  477.  
  478.   Additionally, the library: libshadow.a is included for writing and/or
  479.   compiling programs that need to access user passwords.
  480.  
  481.   Also, manual pages for the programs are also included.
  482.  
  483.   There is also a configuration file for the login program which will be
  484.   installed as /etc/login.defs.
  485.  
  486.   4.  Compiling the programs.
  487.  
  488.   4.1.  Unpacking the archive.
  489.  
  490.   The first step after retrieving the package is unpacking it.  The
  491.   package is in the tar (tape archive) format and compressed using gzip,
  492.   so first move it to /usr/src, then type:
  493.  
  494.        tar -xzvf shadow-current.tar.gz
  495.  
  496.   This will unpack it into the directory: /usr/src/shadow-YYMMDD
  497.  
  498.   4.2.  Configuring with the config.h file
  499.  
  500.   The first thing that you need to do is to copy over the Makefile and
  501.   the config.h file:
  502.  
  503.        cd /usr/src/shadow-YYMMDD
  504.        cp Makefile.linux Makefile
  505.        cp config.h.linux config.h
  506.  
  507.   You should then take a look at the config.h file.  This file contains
  508.   definitions for some of the configuration options.  If you are using
  509.   the recommended package, I recommend that you disable group shadow
  510.   support for your first time around.
  511.  
  512.   By default shadowed group passwords are enabled.  To disable these
  513.   edit the config.h file, and change the #define SHADOWGRP to #undef
  514.   SHADOWGRP. I recommend that you disable them to start with, and then
  515.   if you really want group passwords and group administrators that you
  516.   enable it later and recompile.  If you leave it enabled, you must
  517.   create the file /etc/gshadow.
  518.  
  519.   Enabling the long passwords option is NOT recommended as discussed
  520.   above.
  521.  
  522.   Do NOT change the setting: #undef AUTOSHADOW
  523.  
  524.   The AUTOSHADOW option was originally designed so that programs that
  525.   were shadow ignorant would still function.  This sounds good in
  526.   theory, but does not work correctly.  If you enable this option, and
  527.   the program runs as root, it may call getpwnam() as root, and later
  528.   write the modified entry back to the /etc/passwd file (with the no-
  529.   longer-shadowed password).  Such programs include chfn and chsh.  (You
  530.   can't get around this by swapping real and effective uid before
  531.   calling getpwnam() because root may use chfn and chsh too.)
  532.  
  533.   The same warning is also valid if you are building libc, it has a
  534.   SHADOW_COMPAT option which does the same thing.  It should NOT be
  535.   used!  If you start getting encoded passwords back in your /etc/passwd
  536.   file, this is the problem.
  537.  
  538.   If you are using a libc version prior to 4.6.27, you will need to make
  539.   a couple more changes to config.h and the Makefile.  To config.h edit
  540.   and change:
  541.  
  542.        #define HAVE_BASENAME
  543.  
  544.   to:
  545.  
  546.        #undef HAVE_BASENAME
  547.  
  548.   And then in the Makefile, change:
  549.  
  550.        SOBJS = smain.o env.o entry.o susetup.o shell.o \
  551.                sub.o mail.o motd.o sulog.o age.o tz.o hushed.o
  552.  
  553.        SSRCS = smain.c env.c entry.c setup.c shell.c \
  554.                pwent.c sub.c mail.c motd.c sulog.c shadow.c age.c pwpack.c rad64.c \
  555.                tz.c hushed.c
  556.  
  557.        SOBJS = smain.o env.o entry.o susetup.o shell.o \
  558.                sub.o mail.o motd.o sulog.o age.o tz.o hushed.o basename.o
  559.  
  560.        SSRCS = smain.c env.c entry.c setup.c shell.c \
  561.                pwent.c sub.c mail.c motd.c sulog.c shadow.c age.c pwpack.c rad64.c \
  562.                tz.c hushed.c basename.c
  563.  
  564.   These changes add the code contained in basename.c which is contained
  565.   in libc 4.6.27 and later.
  566.  
  567.   4.3.  Making backup copies of your original programs.
  568.  
  569.   It would also be a good idea to track down and make backup copies of
  570.   the programs that the shadow suite will replace.  On a Slackware 3.0
  571.   system these are:
  572.  
  573.   ╖  /bin/su
  574.  
  575.   ╖  /bin/login
  576.  
  577.   ╖  /usr/bin/passwd
  578.  
  579.   ╖  /usr/bin/newgrp
  580.  
  581.   ╖  /usr/bin/chfn
  582.  
  583.   ╖  /usr/bin/chsh
  584.  
  585.   ╖  /usr/bin/id
  586.  
  587.   The BETA package has a save target in the Makefile, but it's commented
  588.   out because different distributions place the programs in different
  589.   places.
  590.  
  591.   You should also make a backup copy of your /etc/passwd file, but be
  592.   careful to name it something else if you place it in the same
  593.   directory so you don't overwrite the passwd command.
  594.  
  595.   4.4.  Running make
  596.  
  597.   You need to be logged as root to do most of the installation.
  598.  
  599.   Run make to compile the executables in the package:
  600.  
  601.        make all
  602.  
  603.   You may see the warning: rcsid defined but not used.  This is fine, it
  604.   just happens because the author is using a version control package.
  605.  
  606.   5.  Installing
  607.  
  608.   5.1.  Have a boot disk handy in case you break anything.
  609.  
  610.   If something goes terribly wrong, it would be handy to have a boot
  611.   disk.  If you have a boot/root combination from your installation,
  612.   that will work, otherwise see the Bootdisk-HOWTO
  613.   <http://sunsite.unc.edu/mdw/HOWTO/Bootdisk-HOWTO.html>, which
  614.   describes how to make a bootable disk.
  615.  
  616.   5.2.  Removing duplicate man pages
  617.  
  618.   You should also move the manual pages that are about to be replaced.
  619.   Even if you are brave enough install the Shadow Suite without making
  620.   backups, you will still want to remove the old manual pages.  The new
  621.   manual pages won't normally overwrite the old ones because the old
  622.   ones are probably compressed.
  623.  
  624.   You can use a combination of: man -aW command and locate command to
  625.   locate the manual pages that need to be (re)moved.  It's generally
  626.   easier to figure out which are the older pages before you run make
  627.   install.
  628.  
  629.   If you are using the Slackware 3.0 distribution, then the manual pages
  630.   you want to remove are:
  631.  
  632.   ╖  /usr/man/man1/chfn.1.gz
  633.  
  634.   ╖  /usr/man/man1/chsh.1.gz
  635.  
  636.   ╖  /usr/man/man1/id.1.gz
  637.  
  638.   ╖  /usr/man/man1/login.1.gz
  639.  
  640.   ╖  /usr/man/man1/passwd.1.gz
  641.  
  642.   ╖  /usr/man/man1/su.1.gz
  643.  
  644.   ╖  /usr/man/man5/passwd.5.gz
  645.  
  646.   There may also be man pages of the same name in the /var/man/cat[1-9]
  647.   subdirectories that should also be deleted.
  648.  
  649.   5.3.  Running make install
  650.  
  651.   You are now ready to type: (do this as root)
  652.  
  653.        make install
  654.  
  655.   This will install the new and replacement programs and fix-up the file
  656.   permissions.  It will also install the man pages.
  657.  
  658.   This also takes care of installing the Shadow Suite include files in
  659.   the correct places in /usr/include/shadow.
  660.  
  661.   Using the BETA package you must manually copy the file login.defs to
  662.   the /etc subdirectory and make sure that only root can make changes to
  663.   it.
  664.  
  665.        cp login.defs /etc
  666.        chmod 700 /etc/login.defs
  667.  
  668.   This file is the configuration file for the login program.  You should
  669.   review and make changes to this file for your particular system.  This
  670.   is where you decide which tty's root can login from, and set other
  671.   security policy settings (like password expiration defaults).
  672.  
  673.   5.4.  Running pwconv
  674.  
  675.   The next step is to run pwconv.  This must also be done as root, and
  676.   is best done from the /etc subdirectory:
  677.  
  678.        cd /etc
  679.        /usr/sbin/pwconv
  680.  
  681.   pwconv takes your /etc/passwd file and strips out the fields to create
  682.   two files: /etc/npasswd and /etc/nshadow.
  683.  
  684.   A pwunconv program is also provided if you need to make a normal
  685.   /etc/passwd file out of an /etc/passwd and /etc/shadow combination.
  686.  
  687.   5.5.  Renaming npasswd and nshadow
  688.  
  689.   Now that you have run pwconv you have created the files /etc/npasswd
  690.   and /etc/nshadow.  These need to be copied over to /etc/passwd and
  691.   /etc/shadow.  We also want to make a backup copy of the original
  692.   /etc/passwd file, and make sure only root can read it.  We'll put the
  693.   backup in root's home directory:
  694.  
  695.        cd /etc
  696.        cp passwd ~passwd
  697.        chmod 600 ~passwd
  698.        mv npasswd passwd
  699.        mv nshadow shadow
  700.  
  701.   You should also ensure that the file ownerships and permissions are
  702.   correct.  If you are going to be using X-Windows, the xlock and xdm
  703.   programs need to be able to read the shadow file (but not write it).
  704.  
  705.   There are two ways that this can be done.  You can set xlock to suid
  706.   root (xdm is usually run as root anyway).  Or you can make the shadow
  707.   file owned by root with a group of shadow, but before you do this,
  708.   make sure that you have a shadow group (look in /etc/group).  None of
  709.   the users on the system should actually be in the shadow group.
  710.  
  711.        chown root.root passwd
  712.        chown root.shadow shadow
  713.        chmod 0644 passwd
  714.        chmod 0640 shadow
  715.  
  716.   Your system now has the password file shadowed.  You should now pop
  717.   over to another virtual terminal and verify that you can login.
  718.  
  719.   Really, do this now!
  720.  
  721.   If you can't, then something is wrong!  To get back to a non-shadowed
  722.   state, do the following the following:
  723.  
  724.        cd /etc
  725.        cp ~passwd passwd
  726.        chmod 644 passwd
  727.  
  728.   You would then restore the files that you saved earlier to their
  729.   proper locations.
  730.  
  731.   6.  Other programs you may need to upgrade or patch
  732.  
  733.   Even though the shadow suite contains replacement programs for most
  734.   programs that need to access passwords, there are a few additional
  735.   programs on most systems that require access to passwords.
  736.  
  737.   If you are running a Debian Distribution (or even if you are not), you
  738.   can obtain Debian sources for the programs that need to be rebuild
  739.   from: ftp://ftp.debian.org/debian/stable/source/
  740.  
  741.   The remainder of this section discusses how to upgrade adduser,
  742.   wu_ftpd, ftpd, pop3d, xlock, xdm and sudo so that they support the
  743.   shadow suite.
  744.  
  745.   See the section ``Adding Shadow Support to a C program'' for a
  746.   discussion on how to put shadow support into any other program that
  747.   needs it (although the program must then be run SUID root or SGID
  748.   shadow to be able to actually access the shadow file).
  749.  
  750.   6.1.  Slackware adduser program
  751.  
  752.   Slackware distributions (and possibly some others) contain a
  753.   interactive program for adding users called /sbin/adduser.  A shadow
  754.   version of this program can be obtained from
  755.   ftp://sunsite.unc.edu/pub/Linux/
  756.   system/Admin/accounts/adduser.shadow-1.4.tar.gz.
  757.  
  758.   I would encourage you to use the programs that are supplied with the
  759.   Shadow Suite (useradd, usermod, and userdel) instead of the slackware
  760.   adduser program.  They take a little time to learn how to use, but
  761.   it's well worth the effort because you have much more control and they
  762.   perform proper file locking on the /etc/passwd and /etc/shadow file
  763.   (adduser doesn't).
  764.  
  765.   See the section on ``Putting the Shadow Suite to use'' for more
  766.   information.
  767.  
  768.   But if you gotta have it, here is what you do:
  769.  
  770.        tar -xzvf adduser.shadow-1.4.tar.gz
  771.        cd adduser
  772.        make clean
  773.        make adduser
  774.        chmod 700 adduser
  775.        cp adduser /sbin
  776.  
  777.   6.2.  The wu_ftpd Server
  778.  
  779.   Most Linux systems some with the wu_ftpd server.  If your distribution
  780.   does not come with shadow installed, then your wu_ftpd will not be
  781.   compiled for shadow.  wu_ftpd is launched from inetd/tcpd as a root
  782.   process.  If you are running an old wu_ftpd daemon, you will want to
  783.   upgrade it anyway because older ones had a bug that would allow the
  784.   root account to be compromised (For more info see the Linux security
  785.   home page <http://bach.cis.temple.edu/linux/linux-security/Linux-
  786.   Security-FAQ/Linux-wu.ftpd-2.4-Update.html>).
  787.  
  788.   Fortunately, you only need to get the source code and recompile it
  789.   with shadow enabled.
  790.  
  791.   If you are not running an ELF system, The wu_ftp server can be found
  792.   on Sunsite as wu-ftp-2.4-fixed.tar.gz
  793.   <ftp://sunsite.unc.edu/pub/Linux/system/Network/file-transfer/wu-
  794.   ftpd-2.4-fixed.tar.gz>
  795.  
  796.   Once you retrieve the server, put it in /usr/src, then type:
  797.  
  798.   cd /usr/src
  799.   tar -xzvf wu-ftpd-2.4-fixed.tar.gz
  800.   cd wu-ftpd-2.4-fixed
  801.   cp ./src/config/config.lnx.shadow ./src/config/config.lnx
  802.  
  803.   Then edit ./src/makefiles/Makefile.lnx, and change the line:
  804.  
  805.        LIBES    = -lbsd -support
  806.  
  807.   to:
  808.  
  809.        LIBES    = -lbsd -support -lshadow
  810.  
  811.   Now you are ready to run the build script and install:
  812.  
  813.        cd /usr/src/wu-ftpd-2.4-fixed
  814.        /usr/src/wu-ftp-2.4.fixed/build lnx
  815.        cp /usr/sbin/wu.ftpd /usr/sbin/wu.ftpd.old
  816.        cp ./bin/ftpd /usr/sbin/wu.ftpd
  817.  
  818.   This uses the Linux shadow configuration file, compiles and installs
  819.   the server.
  820.  
  821.   On my Slackware 2.3 system I also had to do the following before
  822.   running build:
  823.  
  824.        cd /usr/include/netinet
  825.        ln -s in_systm.h in_system.h
  826.        cd -
  827.  
  828.   Problems have been reported compiling this package under ELF systems,
  829.   but the Beta version of the next release works fine.  It can be found
  830.   as wu-ftp-2.4.2-beta-10.tar.gz
  831.   <ftp://tscnet.com/pub/linux/network/ftp/wu-ftpd-2.4.2-beta-10.tar.gz>
  832.  
  833.   Once you retrieve the server, put it in /usr/src, then type:
  834.  
  835.        cd /usr/src
  836.        tar -xzvf wu-ftpd-2.4.2-beta-9.tar.gz
  837.        cd wu-ftpd-beta-9
  838.        cd ./src/config
  839.  
  840.   Then edit config.lnx, and change:
  841.  
  842.        #undef SHADOW.PASSWORD
  843.  
  844.   to:
  845.  
  846.        #define SHADOW.PASSWORD
  847.  
  848.   Then,
  849.  
  850.        cd ../Makefiles
  851.  
  852.   and edit the file Makefile.lnx and change:
  853.  
  854.        LIBES = -lsupport -lbsd # -lshadow
  855.  
  856.   to:
  857.  
  858.        LIBES = -lsupport -lbsd -lshadow
  859.  
  860.   Then build and install:
  861.  
  862.        cd ..
  863.        build lnx
  864.        cp /usr/sbin/wu.ftpd /usr/sbin/wu.ftpd.old
  865.        cp ./bin/ftpd /usr/sbin/wu.ftpd
  866.  
  867.   Note that you should check your /etc/inetd.conf file to make sure that
  868.   this is where your wu.ftpd server really lives.  It has been reported
  869.   that some distributions place the server daemons in different places,
  870.   and then wu.ftpd in particular may be named something else.
  871.  
  872.   6.3.  Standard ftpd
  873.  
  874.   If you are running the standard ftpd server, I would recommend that
  875.   you upgrade to the wu_ftpd server.  Aside from the known bug discussed
  876.   above, it's generally thought to be more secure.
  877.  
  878.   If you insist on the standard one, or you need NIS support, Sunsite
  879.   has ftpd-shadow-nis.tgz
  880.   <ftp://sunsite.unc.edu/pub/Linux/system/Network/file-transfer/ftpd-
  881.   shadow-nis.tgz>
  882.  
  883.   6.4.  pop3d (Post Office Protocol 3)
  884.  
  885.   If you need to support the third Post Office Protocol (POP3), you will
  886.   need to recompile a pop3d program.  pop3d is normally run by
  887.   inetd/tcpd as root.
  888.  
  889.   There are two versions available from Sunsite:
  890.   pop3d-1.00.4.linux.shadow.tar.gz
  891.   <ftp://sunsite.unc.edu/pub/Linux/system/Mail/pop/pop3d-1.00.4.linux.shadow.tar.gz>
  892.   and pop3d+shadow+elf.tar.gz
  893.   <ftp://sunsite.unc.edu/pub/Linux/system/Mail/pop/pop3d+shadow+elf.tar.gz>
  894.  
  895.   Both of these are fairly straight forward to install.
  896.  
  897.   6.5.  xlock
  898.  
  899.   If you install the shadow suite, and then run X Windows System and
  900.   lock the screen without upgrading your xlock, you will have to use
  901.   CNTL-ALT-Fx to switch to another tty, login, and kill the xlock
  902.   process (or use CNTL-ALT-BS to kill the X server).  Fortunately it's
  903.   fairly easy to upgrade your xlock program.
  904.  
  905.   If you are running XFree86 Versions 3.x.x, you are probably using
  906.   xlockmore (which is a great screen-saver in addition to a lock).  This
  907.   package supports shadow with a recompile.  If you have an older xlock,
  908.   I recommend that you upgrade to this one.
  909.  
  910.   xlockmore-3.5.tgz is available at:
  911.   <ftp://sunsite.unc.edu/pub/Linux/X11/xutils/screensavers/xlockmore-3.7.tgz>
  912.  
  913.   Basically, this is what you need to do:
  914.  
  915.   Get the xlockmore-3.7.tgz file and put it in /usr/src unpack it:
  916.  
  917.        tar -xzvf xlockmore-3.7.tgz
  918.  
  919.   Edit the file: /usr/X11R6/lib/X11/config/linux.cf, and change the
  920.   line:
  921.  
  922.        #define HasShadowPasswd    NO
  923.  
  924.        to
  925.  
  926.        #define HasShadowPasswd    YES
  927.  
  928.   Then build the executables:
  929.  
  930.        cd /usr/src/xlockmore
  931.        xmkmf
  932.        make depend
  933.        make
  934.  
  935.   Then move everything into place and update file ownerships and
  936.   permissions:
  937.  
  938.        cp xlock /usr/X11R6/bin/
  939.        cp XLock /var/X11R6/lib/app-defaults/
  940.        chown root.shadow /usr/X11R6/bin/xlock
  941.        chmod 2755 /usr/X11R6/bin/xlock
  942.        chown root.shadow /etc/shadow
  943.        chmod 640 /etc/shadow
  944.  
  945.   Your xlock will now work correctly.
  946.  
  947.   6.6.  xdm
  948.  
  949.   xdm is a program that presents a login screen for X-Windows.  Some
  950.   systems start xdm when the system is told to goto a specified run
  951.   level (see /etc/inittab.
  952.  
  953.   With the Shadow Suite install, xdm will need to be updated.
  954.   Fortunately it's fairly easy to upgrade your xdm program.
  955.  
  956.   xdm.tar.gz is available at:
  957.   <ftp://sunsite.unc.edu/pub/Linux/X11/xutils/xdm.tar.gz>
  958.  
  959.   Get the xdm.tar.gz file and put it in /usr/src, then to unpack it:
  960.  
  961.        tar -xzvf xdm.tar.gz
  962.  
  963.   Edit the file: /usr/X11R6/lib/X11/config/linux.cf, and change the
  964.   line:
  965.  
  966.        #define HasShadowPasswd    NO
  967.  
  968.        to
  969.  
  970.        #define HasShadowPasswd    YES
  971.  
  972.   Then build the executables:
  973.  
  974.        cd /usr/src/xdm
  975.        xmkmf
  976.        make depend
  977.        make
  978.  
  979.   Then move everything into place:
  980.  
  981.   cp xdm /usr/X11R6/bin/
  982.  
  983.   xdm is run as root so you don't need to change it file permissions.
  984.  
  985.   6.7.  sudo
  986.  
  987.   The program sudo allows a system administrator to let users run
  988.   programs that would normally require root access.  This is handy
  989.   because it lets the administrator limit access to the root account
  990.   itself while still allowing users to do things like mounting drives.
  991.  
  992.   sudo needs to read passwords because it verifies the users password
  993.   when it's invoked.  sudo already runs SUID root, so accessing the
  994.   /etc/shadow file is not a problem.
  995.  
  996.   sudo for the shadow suite, is available as at:
  997.   <ftp://sunsite.unc.edu/pub/Linux/system/Admin/sudo-1.2-shadow.tgz>
  998.  
  999.   Warning: When you install sudo your /etc/sudoers file will be replaced
  1000.   with a default one, so you need to make a backup of it if you have
  1001.   added anything to the default one.  (you could also edit the Makefile
  1002.   and remove the line that copies the default file to /etc).
  1003.  
  1004.   The package is already setup for shadow, so all that's required is to
  1005.   recompile the package (put it in /usr/src):
  1006.  
  1007.        cd /usr/src
  1008.        tar -xzvf sudo-1.2-shadow.tgz
  1009.        cd sudo-1.2-shadow
  1010.        make all
  1011.        make install
  1012.  
  1013.   6.8.  imapd (E-Mail pine package)
  1014.  
  1015.   imapd is an e-mail server similar to pop3d.  imapd comes with the Pine
  1016.   E-mail package.  The documentation that comes with the package states
  1017.   that the default for Linux systems is to include support for shadow.
  1018.   However, I have found that this is not true.  Furthermore, the build
  1019.   script / Makefile combination on this package is makes it very
  1020.   difficult to add the libshadow.a library at compile time, so I was
  1021.   unable to add shadow support for imapd.
  1022.  
  1023.   If anyone has this figured out, please E-mail me, and I'll include the
  1024.   solution here.
  1025.  
  1026.   6.9.  pppd (Point-to-Point Protocol Server)
  1027.  
  1028.   The pppd server can be setup to use several types of authentication:
  1029.   Password Authentication Protocol (PAP) and Cryptographic Handshake
  1030.   Authentication Protocol (CHAP).  The pppd server usually reads the
  1031.   password strings that it uses from /etc/ppp/chap-secrets and/or
  1032.   /etc/ppp/pap-secrets.  If you are using this default behavior of pppd,
  1033.   it is not necessary to reinstall pppd.
  1034.  
  1035.   pppd also allows you to use the login parameter (either on the command
  1036.   line, or in the configuration or options file).  If the login option
  1037.   is given, then pppd will use the /etc/passwd file for the username and
  1038.   passwords for the PAP.  This, of course, will no longer work now that
  1039.   our password file is shadowed.  For pppd-1.2.1d this requires adding
  1040.   code for shadow support.
  1041.  
  1042.   The example given in the next section is adding shadow support to
  1043.   pppd-1.2.1d (an older version of pppd).
  1044.  
  1045.   pppd-2.2.0 already contains shadow support.
  1046.  
  1047.   7.  Putting the Shadow Suite to use.
  1048.  
  1049.   This section discusses some of the things that you will want to know
  1050.   now that you have the Shadow Suite installed on your system.  More
  1051.   information is contained in the manual pages for each command.
  1052.  
  1053.   7.1.  Adding, Modifying, and deleting users
  1054.  
  1055.   The Shadow Suite added the following command line oriented commands
  1056.   for adding, modifying, and deleting users.  You may also have
  1057.   installed the adduser program.
  1058.  
  1059.   7.1.1.  useradd
  1060.  
  1061.   The useradd command can be used to add users to the system.  You also
  1062.   invoke this command to change the default settings.
  1063.  
  1064.   The first thing that you should do is to examine the default settings
  1065.   and make changes specific to your system:
  1066.  
  1067.        useradd -D
  1068.  
  1069.   ______________________________________________________________________
  1070.   GROUP=1
  1071.   HOME=/home
  1072.   INACTIVE=0
  1073.   EXPIRE=0
  1074.   SHELL=
  1075.   SKEL=/etc/skel
  1076.   ______________________________________________________________________
  1077.  
  1078.   The defaults are probably not what you want, so if you started adding
  1079.   users now you would have to specify all the information for each user.
  1080.   However, we can and should change the default values.
  1081.  
  1082.   On my system:
  1083.  
  1084.   ╖  I want the default group to be 100
  1085.  
  1086.   ╖  I want passwords to expire every 60 days
  1087.  
  1088.   ╖  I don't want to lock an account because the password is expired
  1089.  
  1090.   ╖  I want to default shell to be /bin/bash
  1091.  
  1092.      To make these changes I would use:
  1093.  
  1094.        useradd -D -g100 -e60 -f0 -s/bin/bash
  1095.  
  1096.   Now running useradd -D will give:
  1097.  
  1098.   ______________________________________________________________________
  1099.   GROUP=100
  1100.   HOME=/home
  1101.   INACTIVE=0
  1102.   EXPIRE=60
  1103.   SHELL=/bin/bash
  1104.   SKEL=/etc/skel
  1105.   ______________________________________________________________________
  1106.  
  1107.   Just in case you wanted to know, these defaults are stored in the file
  1108.   /etc/default/useradd.
  1109.  
  1110.   Now you can use useradd to add users to the system.  For example, to
  1111.   add the user fred, using the defaults, you would use the following:
  1112.  
  1113.        useradd -m -c "Fred Flintstone" fred
  1114.  
  1115.   This will create the following entry in the /etc/passwd file:
  1116.  
  1117.        fred:*:505:100:Fred Flintstone:/home/fred:/bin/bash
  1118.  
  1119.   And the following entry in the /etc/shadow file:
  1120.  
  1121.        fred:!:0:0:60:0:0:0:0
  1122.  
  1123.   fred's home directory will be created and the contents of /etc/skel
  1124.   will be copied there because of the -m switch.
  1125.  
  1126.   Also, since we did not specify a UID, the next available one was used.
  1127.  
  1128.   fred's account is created, but fred still won't be able to login until
  1129.   we unlock the account.  We do this by changing the password.
  1130.  
  1131.        passwd fred
  1132.  
  1133.   ______________________________________________________________________
  1134.   Changing password for fred
  1135.   Enter the new password (minimum of 5 characters)
  1136.   Please use a combination of upper and lower case letters and numbers.
  1137.   New Password: *******
  1138.   Re-enter new password: *******
  1139.   ______________________________________________________________________
  1140.  
  1141.   Now the /etc/shadow will contain:
  1142.  
  1143.        fred:J0C.WDR1amIt6:9559:0:60:0:0:0:0
  1144.  
  1145.   And fred will now be able to login and use the system.  The nice thing
  1146.   about useradd and the other programs that come with the Shadow Suite
  1147.   is that they make changes to the /etc/passwd and /etc/shadow files
  1148.   atomically.  So if you are adding a user, and another user is changing
  1149.   their password at the same time, both operations will be performed
  1150.   correctly.
  1151.  
  1152.   You should use the supplied commands rather than directly editing
  1153.   /etc/passwd and /etc/shadow.  If you were editing the /etc/shadow
  1154.   file, and a user were to change his password while you are editing,
  1155.   and then you were to save the file you were editing, the user's
  1156.   password change would be lost.
  1157.  
  1158.   Here is a small interactive script that adds users using useradd and
  1159.   passwd:
  1160.  
  1161.   ______________________________________________________________________
  1162.   #!/bin/bash
  1163.   #
  1164.   # /sbin/newuser - A script to add users to the system using the Shadow
  1165.   #                 Suite's useradd and passwd commands.
  1166.   #
  1167.   # Written my Mike Jackson <mhjack@tscnet.com> as an example for the Linux
  1168.   # Shadow Password Howto.  Permission to use and modify is expressly granted.
  1169.   #
  1170.   # This could be modified to show the defaults and allow modification similar
  1171.   # to the Slackware Adduser program.  It could also be modified to disallow
  1172.   # stupid entries.  (i.e. better error checking).
  1173.   #
  1174.   ##
  1175.   #  Defaults for the useradd command
  1176.   ##
  1177.   GROUP=100        # Default Group
  1178.   HOME=/home       # Home directory location (/home/username)
  1179.   SKEL=/etc/skel   # Skeleton Directory
  1180.   INACTIVE=0       # Days after password expires to disable account (0=never)
  1181.   EXPIRE=60        # Days that a passwords lasts
  1182.   SHELL=/bin/bash  # Default Shell (full path)
  1183.   ##
  1184.   #  Defaults for the passwd command
  1185.   ##
  1186.   PASSMIN=0        # Days between password changes
  1187.   PASSWARN=14      # Days before password expires that a warning is given
  1188.   ##
  1189.   #  Ensure that root is running the script.
  1190.   ##
  1191.   WHOAMI=`/usr/bin/whoami`
  1192.   if [ $WHOAMI != "root" ]; then
  1193.           echo "You must be root to add news users!"
  1194.           exit 1
  1195.   fi
  1196.   ##
  1197.   #  Ask for username and fullname.
  1198.   ##
  1199.   echo ""
  1200.   echo -n "Username: "
  1201.   read USERNAME
  1202.   echo -n "Full name: "
  1203.   read FULLNAME
  1204.   #
  1205.   echo "Adding user: $USERNAME."
  1206.   #
  1207.   # Note that the "" around $FULLNAME is required because this field is
  1208.   # almost always going to contain at least on space, and without the "'s
  1209.   # the useradd command would think that you we moving on to the next
  1210.   # parameter when it reached the SPACE character.
  1211.   #
  1212.   /usr/sbin/useradd -c"$FULLNAME" -d$HOME/$USERNAME -e$EXPIRE \
  1213.           -f$INACTIVE -g$GROUP -m -k$SKEL -s$SHELL $USERNAME
  1214.   ##
  1215.   #  Set password defaults
  1216.   ##
  1217.   /bin/passwd -n $PASSMIN -w $PASSWARN $USERNAME >/dev/null 2>&1
  1218.   ##
  1219.   #  Let the passwd command actually ask for password (twice)
  1220.   ##
  1221.   /bin/passwd $USERNAME
  1222.   ##
  1223.   #  Show what was done.
  1224.   ##
  1225.   echo ""
  1226.   echo "Entry from /etc/passwd:"
  1227.   echo -n "   "
  1228.   grep "$USERNAME:" /etc/passwd
  1229.   echo "Entry from /etc/shadow:"
  1230.   echo -n "   "
  1231.   grep "$USERNAME:" /etc/shadow
  1232.   echo "Summary output of the passwd command:"
  1233.   echo -n "   "
  1234.   passwd -S $USERNAME
  1235.   echo ""
  1236.   ______________________________________________________________________
  1237.  
  1238.   Using a script to add new users is really much more preferable than
  1239.   editing the /etc/passwd or /etc/shadow files directly or using a
  1240.   program like the Slackware adduser program.  Feel free to use and
  1241.   modify this script for your particular system.
  1242.  
  1243.   For more information on the useradd see the online manual page.
  1244.  
  1245.   7.1.2.  usermod
  1246.  
  1247.   The usermod program is used to modify the information on a user.  The
  1248.   switches are similar to the useradd program.
  1249.  
  1250.   Let's say that you want to change fred's shell, you would do the
  1251.   following:
  1252.  
  1253.        usermod -s /bin/tcsh fred
  1254.  
  1255.   Now fred's /etc/passwd file entry would be change to this:
  1256.  
  1257.        fred:*:505:100:Fred Flintstone:/home/fred:/bin/tcsh
  1258.  
  1259.   Let's make fred's account expire on 09/15/97:
  1260.  
  1261.        usermod -e 09/15/97 fred
  1262.  
  1263.   Now fred's entry in /etc/shadow becomes:
  1264.  
  1265.        fred:J0C.WDR1amIt6:9559:0:60:0:0:10119:0
  1266.  
  1267.   For more information on the usermod command see the online manual
  1268.   page.
  1269.  
  1270.   7.1.3.  userdel
  1271.  
  1272.   userdel does just what you would expect, it deletes the user's
  1273.   account.  You simply use:
  1274.  
  1275.        userdel -r username
  1276.  
  1277.   The -r causes all files in the user's home directory to be removed
  1278.   along with the home directory itself.  Files located in other file
  1279.   system will have to be searched for and deleted manually.
  1280.  
  1281.   If you want to simply lock the account rather than delete it, use the
  1282.   passwd command instead.
  1283.  
  1284.   7.2.  The passwd command and passwd aging.
  1285.  
  1286.   The passwd command has the obvious use of changing passwords.
  1287.   Additionally, it is used by the root user to:
  1288.  
  1289.   ╖  Lock and unlock accounts (-l and -u)
  1290.  
  1291.   ╖  Set the maximum number of days that a password remains valid (-x)
  1292.  
  1293.   ╖  Set the minimum days between password changes (-n)
  1294.  
  1295.   ╖  Sets the number of days of warning that a password is about to
  1296.      expire (-w)
  1297.  
  1298.   ╖  Sets the number of days after the password expires before the
  1299.      account is locked (-i)
  1300.  
  1301.   ╖  Allow viewing of account information in a clearer format (-S)
  1302.  
  1303.   For example, let look again at fred
  1304.  
  1305.        passwd -S fred
  1306.        fred P 03/04/96 0 60 0 0
  1307.  
  1308.   This means that fred's password is valid, it was last changed on
  1309.   03/04/96, it can be changed at any time, it expires after 60 days,
  1310.   fred will not be warned, and and the account won't be disabled when
  1311.   the password expires.
  1312.  
  1313.   This simply means that if fred logs in after the password expires, he
  1314.   will be prompted for a new password at login.
  1315.  
  1316.   If we decide that we want to warn fred 14 days before his password
  1317.   expires and make his account inactive 14 days after he lets it expire,
  1318.   we would need to do the following:
  1319.  
  1320.        passwd -w14 -i14 fred
  1321.  
  1322.   Now fred is changed to:
  1323.        fred P 03/04/96 0 60 14 14
  1324.  
  1325.   For more information on the passwd command see the online manual page.
  1326.  
  1327.   7.3.  The login.defs file.
  1328.  
  1329.   The file /etc/login is the configuration file for the login program
  1330.   and also for the Shadow Suite as a whole.
  1331.  
  1332.   /etc/login contains settings from what the prompts will look like to
  1333.   what the default expiration will be when a user changes his password.
  1334.  
  1335.   The /etc/login.defs file is quite well documented just by the comments
  1336.   that are contained within it.  However, there are a few things to
  1337.   note:
  1338.  
  1339.   ╖  It contains flags that can be turned on or off that determine the
  1340.      amount of logging that takes place.
  1341.  
  1342.   ╖  It contains pointers to other configuration files.
  1343.  
  1344.   ╖  It contains defaults assignments for things like password aging.
  1345.  
  1346.   From the above list you can see that this is a rather important file,
  1347.   and you should make sure that it is present, and that the settings are
  1348.   what you desire for your system.
  1349.  
  1350.   7.4.  Group passwords.
  1351.  
  1352.   The /etc/groups file may contain passwords that permit a user to
  1353.   become a member of a particular group.  This function is enabled if
  1354.   you define the constant SHADOWGRP in the /usr/src/shadow-
  1355.   YYMMDD/config.h file.
  1356.  
  1357.   If you define this constant and then compile, you must create an
  1358.   /etc/gshadow file to hold the group passwords and the group
  1359.   administrator information.
  1360.  
  1361.   When you created the /etc/shadow, you used a program called pwconv,
  1362.   there no equivalent program to create the /etc/gshadow file, but it
  1363.   really doesn't matter, it takes care of itself.
  1364.  
  1365.   To create the initial /etc/gshadow file do the following:
  1366.  
  1367.        touch /etc/gshadow
  1368.        chown root.root /etc/gshadow
  1369.        chmod 700 /etc/gshadow
  1370.  
  1371.   Once you create new groups, they will be added to the /etc/group and
  1372.   the /etc/gshadow files.  If you modify a group by adding or removing
  1373.   users or changing the group password, the /etc/gshadow file will be
  1374.   changed.
  1375.  
  1376.   The programs groups, groupadd, groupmod, and groupdel are provided as
  1377.   part of the Shadow Suite to modify groups.
  1378.  
  1379.   The format of the /etc/group file is as follows:
  1380.  
  1381.        groupname:!:GID:member,member,...
  1382.  
  1383.   Where:
  1384.  
  1385.      groupname
  1386.         The name of the group
  1387.  
  1388.      !  The field that normally holds the password, but that is now
  1389.         relocated to the /etc/gshadow file.
  1390.  
  1391.      GID
  1392.         The numerical group ID number
  1393.  
  1394.      member
  1395.         List of group members
  1396.  
  1397.   The format of the /etc/gshadow file is as follows:
  1398.  
  1399.        groupname:password:admin,admin,...:member,member,...
  1400.  
  1401.   Where:
  1402.  
  1403.      groupname
  1404.         The name of the group
  1405.  
  1406.      password
  1407.         The encoded group password.
  1408.  
  1409.      admin
  1410.         List of group administrators
  1411.  
  1412.      member
  1413.         List of group members
  1414.  
  1415.   The command gpasswd is used only for adding or removing administrators
  1416.   and members to or from a group.  root or someone in the list of
  1417.   administrators may add or remove group members.
  1418.  
  1419.   The groups password can be changed using the passwd command by root or
  1420.   anyone listed as an administrator for the group.
  1421.  
  1422.   Despite the fact that there is not currently a manual page for
  1423.   gpasswd, typing gpasswd without any parameters gives a listing of
  1424.   options.  It's fairly easy to grasp how it all works once you
  1425.   understand the file formats and the concepts.
  1426.  
  1427.   7.5.  Consistency checking programs
  1428.  
  1429.   7.5.1.  pwck
  1430.  
  1431.   The program pwck is provided to provide a consistency check on the
  1432.   /etc/passwd and /etc/shadow files.  It will check each username and
  1433.   verify that it has the following:
  1434.  
  1435.   ╖  the correct number of fields
  1436.  
  1437.   ╖  unique user name
  1438.  
  1439.   ╖  valid user and group identifier
  1440.  
  1441.   ╖  valid primary group
  1442.  
  1443.   ╖  valid home directory
  1444.  
  1445.   ╖  valid login shell
  1446.  
  1447.   It will also warn of any account that has no password.
  1448.  
  1449.   It's a good idea to run pwck after installing the Shadow Suite.  It's
  1450.   also a good idea to run it periodically, perhaps weekly or monthly.
  1451.   If you use the -r option, you can use cron to run it on a regular
  1452.   basis and have the report mailed to you.
  1453.  
  1454.   7.5.2.  grpck
  1455.  
  1456.   grpck is the consistency checking program for the /etc/group and
  1457.   /etc/gshadow files.  It performs the following checks:
  1458.  
  1459.   ╖  the correct number of fields
  1460.  
  1461.   ╖  unique group name
  1462.  
  1463.   ╖  valid list of members and administrators
  1464.  
  1465.   It also has the -r option for automated reports.
  1466.  
  1467.   7.6.  Dial-up passwords.
  1468.  
  1469.   Dial-up passwords are another optional line of defense for systems
  1470.   that allow dial-in access.  If you have a system that allows many
  1471.   people to connect locally or via a network, but you want to limit who
  1472.   can dial in and connect, then dial-up passwords are for you.  To
  1473.   enable dial-up passwords, you must edit the file /etc/login.defs and
  1474.   ensure that DIALUPS_CHECK_ENAB is set to yes.
  1475.  
  1476.   Two files contain the dial-up information, /etc/dialups which contains
  1477.   the ttys (one per line, with the leading "/dev/" removed).  If a tty
  1478.   is listed then dial-up checks are performed.
  1479.  
  1480.   The second file is the /etc/d_passwd file.  This file contains the
  1481.   fully qualified path name of a shell, followed by an optional
  1482.   password.
  1483.  
  1484.   If a user logs into a line that is listed in /etc/dialups, and his
  1485.   shell is listed in the file /etc/d_passwd he will be allowed access
  1486.   only by suppling the correct password.
  1487.  
  1488.   Another useful purpose for using dial-up passwords might be to setup a
  1489.   line that only allows a certain type of connect (perhaps a PPP or UUCP
  1490.   connection).  If a user tries to get another type of connection (i.e.
  1491.   a list of shells), he must know a password to use the line.
  1492.  
  1493.   Before you can use the dial-up feature, you must create the files.
  1494.  
  1495.   The command dpasswd is provided to assign passwords to the shells in
  1496.   the /etc/d_passwd file.  See the manual page for more information.
  1497.   8.  Adding shadow support to a C program
  1498.  
  1499.   Adding shadow support to a program is actually fairly straightforward.
  1500.   The only problem is that the program must be run by root (or SUID
  1501.   root) in order for the the program to be able to access the
  1502.   /etc/shadow file.
  1503.  
  1504.   This presents one big problem: very careful programming practices must
  1505.   be followed when creating SUID programs.  For instance, if a program
  1506.   has a shell escape, this must not occur as root if the program is SUID
  1507.   root.
  1508.  
  1509.   For adding shadow support to a program so that it can check passwords,
  1510.   but otherwise does need to run as root, it's a lot safer to run the
  1511.   program SUID shadow instead.  The xlock program is an example of this.
  1512.  
  1513.   In the example given below, pppd-1.2.1d already runs SUID as root, so
  1514.   adding shadow support should not make the program any more vulnerable.
  1515.  
  1516.   8.1.  Header files
  1517.  
  1518.   The header files should reside in /usr/include/shadow.  There should
  1519.   also be a /usr/include/shadow.h, but it will be a symbolic link to
  1520.   /usr/include/shadow/shadow.h.
  1521.  
  1522.   To add shadow support to a program, you need to include the header
  1523.   files:
  1524.  
  1525.   #include <shadow/shadow.h>
  1526.   #include <shadow/pwauth.h>
  1527.  
  1528.   It might be a good idea to use compiler directives to conditionally
  1529.   compile the shadow code (I do in the example below).
  1530.  
  1531.   8.2.  libshadow.a library
  1532.  
  1533.   When you installed the Shadow Suite the libshadow.a file was created
  1534.   and installed in /usr/lib.
  1535.  
  1536.   When compiling shadow support into a program, the linker needs to be
  1537.   told to include the libshadow.a library into the link.
  1538.  
  1539.   This is done by:
  1540.  
  1541.        gcc program.c -o program -lshadow
  1542.  
  1543.   However, as we will see in the example below, most large programs use
  1544.   a Makefile, and usually have a variable called LIBS=... that we will
  1545.   modify.
  1546.  
  1547.   8.3.  Shadow Structure
  1548.  
  1549.   The libshadow.a library uses a structure called spwd for the
  1550.   information it retrieves from the /etc/shadow file.  This is the
  1551.   definition of the spwd structure from the /usr/include/shadow/shadow.h
  1552.   header file:
  1553.  
  1554.   ______________________________________________________________________
  1555.   struct spwd
  1556.   {
  1557.     char *sp_namp;                /* login name */
  1558.     char *sp_pwdp;                /* encrypted password */
  1559.     sptime sp_lstchg;             /* date of last change */
  1560.     sptime sp_min;                /* minimum number of days between changes */
  1561.     sptime sp_max;                /* maximum number of days between changes */
  1562.     sptime sp_warn;               /* number of days of warning before password
  1563.                                      expires */
  1564.     sptime sp_inact;              /* number of days after password expires
  1565.                                      until the account becomes unusable. */
  1566.     sptime sp_expire;             /* days since 1/1/70 until account expires
  1567.   */
  1568.     unsigned long sp_flag;        /* reserved for future use */
  1569.   };
  1570.   ______________________________________________________________________
  1571.  
  1572.   The Shadow Suite can put things into the sp_pwdp field besides just
  1573.   the encoded passwd.  The password field could contain:
  1574.  
  1575.        username:Npge08pfz4wuk;@/sbin/extra:9479:0:10000::::
  1576.  
  1577.   This means that in addition to the password, the program /sbin/extra
  1578.   should be called for further authentication.  The program called will
  1579.   get passed the username and a switch that indicates why it's being
  1580.   called.  See the file /usr/include/shadow/pwauth.h and the source code
  1581.   for pwauth.c for more information.
  1582.  
  1583.   What this means is that we should use the function pwauth to perform
  1584.   the actual authentication, as it will take care of the secondary
  1585.   authentication as well.  The example below does this.
  1586.  
  1587.   The author of the Shadow Suite indicates that since most programs in
  1588.   existence don't do this, and that it may be removed or changed in
  1589.   future versions of the Shadow Suite.
  1590.  
  1591.   8.4.  Shadow Functions
  1592.  
  1593.   The shadow.h file also contains the function prototypes for the
  1594.   functions contained in the libshadow.a library:
  1595.  
  1596.   ______________________________________________________________________
  1597.   extern void setspent __P ((void));
  1598.   extern void endspent __P ((void));
  1599.   extern struct spwd *sgetspent __P ((__const char *__string));
  1600.   extern struct spwd *fgetspent __P ((FILE *__fp));
  1601.   extern struct spwd *getspent __P ((void));
  1602.   extern struct spwd *getspnam __P ((__const char *__name));
  1603.   extern int putspent __P ((__const struct spwd *__sp, FILE *__fp));
  1604.   ______________________________________________________________________
  1605.  
  1606.   The function that we are going to use in the example is: getspnam
  1607.   which will retrieve for us a spwd structure for the supplied name.
  1608.  
  1609.   8.5.  Example
  1610.  
  1611.   This is an example of adding shadow support to a program that needs
  1612.   it, but does not have it by default.
  1613.  
  1614.   This example uses the Point-to-Point Protocol Server (pppd-1.2.1d),
  1615.   which has a mode in which it performs PAP authentication using user
  1616.   names and passwords from the /etc/passwd file instead of the PAP or
  1617.   CHAP files.  You would not need to add this code to pppd-2.2.0 because
  1618.   it's already there.
  1619.  
  1620.   This feature of pppd probably isn't used very much, but if you
  1621.   installed the Shadow Suite, it won't work anymore because the
  1622.   passwords are no longer stored in /etc/passwd.
  1623.  
  1624.   The code for authenticating users under pppd-1.2.1d is located in the
  1625.   /usr/src/pppd-1.2.1d/pppd/auth.c file.
  1626.  
  1627.   The following code needs to be added to the top of the file where all
  1628.   the other #include directives are.  We have surrounded the #includes
  1629.   with conditional directives (i.e. only include if we are compiling for
  1630.   shadow support).
  1631.  
  1632.   ______________________________________________________________________
  1633.   #ifdef HAS_SHADOW
  1634.   #include <shadow.h>
  1635.   #include <shadow/pwauth.h>
  1636.   #endif
  1637.   ______________________________________________________________________
  1638.  
  1639.   The next thing to do is to modify the actual code.  We are still
  1640.   making changes to the auth.c file.
  1641.  
  1642.   Function auth.c before modifications:
  1643.  
  1644.   ______________________________________________________________________
  1645.   /*
  1646.    * login - Check the user name and password against the system
  1647.    * password database, and login the user if OK.
  1648.    *
  1649.    * returns:
  1650.    *      UPAP_AUTHNAK: Login failed.
  1651.    *      UPAP_AUTHACK: Login succeeded.
  1652.    * In either case, msg points to an appropriate message.
  1653.    */
  1654.   static int
  1655.   login(user, passwd, msg, msglen)
  1656.       char *user;
  1657.       char *passwd;
  1658.       char **msg;
  1659.       int *msglen;
  1660.   {
  1661.       struct passwd *pw;
  1662.       char *epasswd;
  1663.       char *tty;
  1664.  
  1665.       if ((pw = getpwnam(user)) == NULL) {
  1666.           return (UPAP_AUTHNAK);
  1667.       }
  1668.        /*
  1669.        * XXX If no passwd, let them login without one.
  1670.        */
  1671.       if (pw->pw_passwd == '\0') {
  1672.           return (UPAP_AUTHACK);
  1673.       }
  1674.  
  1675.       epasswd = crypt(passwd, pw->pw_passwd);
  1676.       if (strcmp(epasswd, pw->pw_passwd)) {
  1677.           return (UPAP_AUTHNAK);
  1678.       }
  1679.  
  1680.       syslog(LOG_INFO, "user %s logged in", user);
  1681.  
  1682.       /*
  1683.        * Write a wtmp entry for this user.
  1684.        */
  1685.       tty = strrchr(devname, '/');
  1686.       if (tty == NULL)
  1687.           tty = devname;
  1688.       else
  1689.           tty++;
  1690.       logwtmp(tty, user, "");             /* Add wtmp login entry */
  1691.       logged_in = TRUE;
  1692.  
  1693.       return (UPAP_AUTHACK);
  1694.   }
  1695.   ______________________________________________________________________
  1696.  
  1697.   The user's password is placed into pw->pw_passwd, so all we really
  1698.   need to do is add the function getspnam.  This will put the password
  1699.   into spwd->sp_pwdp.
  1700.  
  1701.   We will add the function pwauth to perform the actual authentication.
  1702.   This will automatically perform secondary authentication if the shadow
  1703.   file is setup for it.
  1704.  
  1705.   Function auth.c after modifications to support shadow:
  1706.  
  1707.   ______________________________________________________________________
  1708.   /*
  1709.    * login - Check the user name and password against the system
  1710.    * password database, and login the user if OK.
  1711.    *
  1712.    * This function has been modified to support the Linux Shadow Password
  1713.    * Suite if USE_SHADOW is defined.
  1714.    *
  1715.    * returns:
  1716.    *      UPAP_AUTHNAK: Login failed.
  1717.    *      UPAP_AUTHACK: Login succeeded.
  1718.    * In either case, msg points to an appropriate message.
  1719.    */
  1720.   static int
  1721.   login(user, passwd, msg, msglen)
  1722.       char *user;
  1723.       char *passwd;
  1724.       char **msg;
  1725.       int *msglen;
  1726.   {
  1727.       struct passwd *pw;
  1728.       char *epasswd;
  1729.       char *tty;
  1730.  
  1731.   #ifdef USE_SHADOW
  1732.       struct spwd *spwd;
  1733.       struct spwd *getspnam();
  1734.   #endif
  1735.  
  1736.       if ((pw = getpwnam(user)) == NULL) {
  1737.           return (UPAP_AUTHNAK);
  1738.       }
  1739.  
  1740.   #ifdef USE_SHADOW
  1741.           spwd = getspnam(user);
  1742.           if (spwd)
  1743.                   pw->pw_passwd = spwd->sp-pwdp;
  1744.   #endif
  1745.  
  1746.        /*
  1747.        * XXX If no passwd, let NOT them login without one.
  1748.        */
  1749.       if (pw->pw_passwd == '\0') {
  1750.           return (UPAP_AUTHNAK);
  1751.       }
  1752.   #ifdef HAS_SHADOW
  1753.       if ((pw->pw_passwd && pw->pw_passwd[0] == '@'
  1754.            && pw_auth (pw->pw_passwd+1, pw->pw_name, PW_LOGIN, NULL))
  1755.           || !valid (passwd, pw)) {
  1756.           return (UPAP_AUTHNAK);
  1757.       }
  1758.   #else
  1759.       epasswd = crypt(passwd, pw->pw_passwd);
  1760.       if (strcmp(epasswd, pw->pw_passwd)) {
  1761.           return (UPAP_AUTHNAK);
  1762.       }
  1763.   #endif
  1764.  
  1765.       syslog(LOG_INFO, "user %s logged in", user);
  1766.  
  1767.       /*
  1768.        * Write a wtmp entry for this user.
  1769.        */
  1770.       tty = strrchr(devname, '/');
  1771.       if (tty == NULL)
  1772.           tty = devname;
  1773.       else
  1774.           tty++;
  1775.       logwtmp(tty, user, "");             /* Add wtmp login entry */
  1776.       logged_in = TRUE;
  1777.  
  1778.       return (UPAP_AUTHACK);
  1779.   }
  1780.   ______________________________________________________________________
  1781.  
  1782.   Careful examination will reveal that we made another change as well.
  1783.   The original version allowed access (returned UPAP_AUTHACK if there
  1784.   was NO password in the /etc/passwd file.  This is not good, because a
  1785.   common use of this login feature is to use one account to allow access
  1786.   to the PPP process and then check the username and password supplied
  1787.   by PAP with the username in the /etc/passwd file and the password in
  1788.   the /etc/shadow file.
  1789.  
  1790.   So if we had set the original version up to run as the shell for a
  1791.   user i.e.  ppp, then anyone could get a ppp connection by setting
  1792.   their PAP to user ppp and a password of null.
  1793.  
  1794.   We fixed this also by returning UPAP_AUTHNAK instead of UPAP_AUTHACK
  1795.   if the password field was empty.
  1796.  
  1797.   Interestingly enough, pppd-2.2.0 has the same problem.
  1798.  
  1799.   Next we need to modify the Makefile so that two things occur:
  1800.   USE_SHADOW must be defined, and libshadow.a needs to be added to the
  1801.   linking process.
  1802.  
  1803.   Edit the Makefile, and add:
  1804.  
  1805.        LIBS = -lshadow
  1806.  
  1807.   Then we find the line:
  1808.  
  1809.        COMPILE_FLAGS = -I.. -D_linux_=1 -DGIDSET_TYPE=gid_t
  1810.  
  1811.   And change it to:
  1812.  
  1813.        COMPILE_FLAGS = -I.. -D_linux_=1 -DGIDSET_TYPE=gid_t -DUSE_SHADOW
  1814.  
  1815.   Now make and install.
  1816.  
  1817.   9.  Frequently Asked Questions.
  1818.  
  1819.   Q: I used to control which tty's root could log into using the file
  1820.   /etc/securettys, but it doesn't seem to work anymore, what's going on?
  1821.  
  1822.   A: The file /etc/securettys does absolutely nothing now that the
  1823.   Shadow Suite is installed.  The tty's that root can use are now
  1824.   located in the login configuration file /etc/login.defs.  The entry in
  1825.   this file may point to another file.
  1826.  
  1827.   Q: I installed the Shadow Suite, but now I can't login, what did I
  1828.   miss?
  1829.  
  1830.   A: You probably installed the Shadow programs, but didn't run pwconv
  1831.   or you forgot to copy /etc/npasswd to /etc/passwd and /etc/nshadow to
  1832.   /etc/shadow.  Also, you may need to copy login.defs to /etc.
  1833.  
  1834.   Q: In the section on xlock, it said to change the group ownership of
  1835.   the /etc/shadow file to shadow.  I don't have a shadow group, what do
  1836.   I do?
  1837.  
  1838.   A: You can add one.  Simply edit the /etc/group file, and insert a
  1839.   line for the shadow group.  You need to ensure that the group number
  1840.   is not used by another group, and you need to insert it before the
  1841.   nogroup entry.  Or you can simply suid xlock to root.
  1842.  
  1843.   Q: Is there a mailing list for the Linux Shadow Password Suite?
  1844.  
  1845.   A: Yes, but it's for the development and beta testing of the next
  1846.   Shadow Suite for Linux.  You can get added to the list by mailing to:
  1847.   shadow-list-request@neptune.cin.net with a subject of: subscribe.  The
  1848.   list is actually for discussions of the Linux shadow-YYMMSS series of
  1849.   releases.  You should join if you want to get involved in further
  1850.   development or if you install the Suite on your system and want to get
  1851.   information on newer releases.
  1852.  
  1853.   Q: I installed the Shadow Suite, but when I use the userdel command, I
  1854.   get "userdel: cannot open shadow group file", what did I do wrong?
  1855.  
  1856.   A: You compiled the Shadow Suite with the SHADOWGRP option enabled,
  1857.   but you don't have an /etc/gshadow file.  You need to either edit the
  1858.   config.h file and recompile, or create an /etc/group file.  See the
  1859.   section on shadow groups.
  1860.  
  1861.   Q: I installed the Shadow Suite but now I'm getting encoded passwords
  1862.   back in my /etc/passwd file, what's wrong?
  1863.  
  1864.   A: You either enabled the AUTOSHADOW option in the Shadow config.h
  1865.   file, or your libc was compiled with the SAHDOW_COMPAT option.  You
  1866.   need to determine which is the problem, and recompile.
  1867.  
  1868.   10.  Copyright Message.
  1869.  
  1870.   The Linux Shadow Password HOWTO is Copyright (c) 1996 Michael H.
  1871.   Jackson.
  1872.  
  1873.   Permission is granted to make and distribute verbatim copies of this
  1874.   document provided the copyright notice and this permission notice are
  1875.   preserved on all copies.
  1876.  
  1877.   Permission is granted to copy and distribute modified versions of this
  1878.   document under the conditions for verbatim copies above, provided a
  1879.   notice clearly stating that the document is a modified version is also
  1880.   included in the modified document.
  1881.  
  1882.   Permission is granted to copy and distribute translations of this
  1883.   document into another language, under the conditions specified above
  1884.   for modified versions.
  1885.  
  1886.   Permission is granted to convert this document into another media
  1887.   under the conditions specified above for modified versions provided
  1888.   the requirement to acknowledge the source document is fulfilled by
  1889.   inclusion of an obvious reference to the source document in the new
  1890.   media. Where there is any doubt as to what defines 'obvious' the
  1891.   copyright owner reserves the right to decide.
  1892.  
  1893.   11.  Miscellaneous and Acknowledgments.
  1894.  
  1895.   The code examples for auth.c are taken from pppd-1.2.1d and
  1896.   ppp-2.1.0e, Copyright (c) 1993 and The Australian National University
  1897.   and Copyright (c) 1989 Carnegie Mellon University.
  1898.  
  1899.   Thanks to Marek Michalkiewicz <marekm@i17linuxb.ists.pwr.wroc.pl> for
  1900.   writing and maintaining the Shadow Suite for Linux, and for his review
  1901.   and comments on this document.
  1902.  
  1903.   Thanks to Ron Tidd <rtidd@tscnet.com> for his helpful review and
  1904.   testing.
  1905.  
  1906.   Thanks to everyone who has sent me feedback to help improve this
  1907.   document.
  1908.  
  1909.   Please, if you have any comments or suggestions then mail them to me.
  1910.  
  1911.   regards
  1912.  
  1913.   Michael H. Jackson <mhjack@tscnet.com>
  1914.  
  1915.