Le paquet Shadow contient des programmes de gestion de mots de passe d'une façon sécurisée.
![[Note]](../images/note.png)
Si vous voulez forcer l'utilisation de mots de passe forts, référez-vous à http://www.linuxfromscratch.org/blfs/view/svn/postlfs/cracklib.html pour l'installation de Cracklib avant de construire Shadow. Puis, ajoutez --with-libcrack à la commande configure ci-dessous.
Préparez la compilation de Shadow :
./configure --libdir=/lib --enable-shared
Désactivez l'installation du programme groups et de sa page man car Coreutils fournit une meilleure version :
sed -i 's/groups$(EXEEXT) //' src/Makefile sed -i '/groups/d' man/Makefile
Compilez le paquet :
make
Installez le paquet :
make install
Shadow utilise deux fichiers pour configurer les paramétrages d'authentification du système. Installez ces deux fichiers de configuration :
cp -v etc/{limits,login.access} /etc
Au lieu d'utiliser la méthode crypt par défaut, nous voulons utiliser la méthode MD5 plus sécurisée pour le cryptage des mots de passe, qui autorise aussi une taille de mot de passe de plus de huit caractères. Il est aussi nécessaire de modifier l'emplacement obsolète /var/spool/mail des boîtes de courrier électronique des utilisateurs pour que Shadow utilise par défaut le nouveau /var/mail disponible maintenant. Ces deux points se réalisent en modifiant le fichier de configuration adéquat tout en le copiant à sa destination :
Si vous construisez Shadow avec le support de Cracklib, insérez ce qui suit dans la commande sed indiquée ci-dessous :
-e 's@DICTPATH.*@DICTPATH\t/lib/cracklib/pw_dict@'
sed -e's@#MD5_CRYPT_ENAB.no@MD5_CRYPT_ENAB yes@' \
-e 's@/var/spool/mail@/var/mail@' \
etc/login.defs.linux > /etc/login.defs
Déplacez un programme au bon emplacement :
mv -v /usr/bin/passwd /bin
Déplacez les bibliothèques de Shadow dans des emplacements plus appropriés :
mv -v /lib/libshadow.*a /usr/lib rm -v /lib/libshadow.so ln -sfv ../../lib/libshadow.so.0 /usr/lib/libshadow.so
L'option -D du programme useradd requiert le répertoire /etc/default pour fonctionner correctement :
mkdir -v /etc/default
Ce paquet contient des outils pour ajouter, modifier, supprimer des utilisateurs et des groupes, initialiser et changer leur mots de passe, et bien d'autres tâches administratives. Pour une explication complète de ce que signifie password shadowing, jetez un ½il dans le fichier doc/HOWTO à l'intérieur du répertoire source. Il reste une chose à garder à l'esprit si vous décidez d'utiliser le support de Shadow : les programmes qui ont besoin de vérifier les mots de passe (gestionnaires d'affichage, programmes FTP, démons pop3 et ainsi de suite) ont besoin d'être compatible avec shadow, c'est-à-dire qu'ils ont besoin d'être capables de fonctionner avec des mots de passe shadow.
Pour activer les mots de passe shadow, lancez la commande suivante :
pwconv
Pour activer les mots de passe shadow pour les groupes, lancez :
grpconv
Sous des circonstances normales, vous n'avez pas encore créé de mots de passe. Néanmoins, si vous revenez plus tard dans cette section pour activer les mots de passe shadow, réinitialisez tous les mots de passe des utilisateurs actuels avec la commande passwd et les mots de passe des groupes avec la commande gpasswd.
Choisissez un mot de passe pour l'utilisateur root et configurez-le avec :
passwd root