table of contents
LOGIN.DEFS(5) | Formati di file e conversioni | LOGIN.DEFS(5) |
NOME¶
login.defs - configurazione del pacchetto password shadowDESCRIZIONE¶
Il file /etc/login.defs contiene la configurazione specifica per questo sistema relativa al pacchetto password shadow. Questo file è obbligatorio. La sua assenza non bloccerà l'utilizzo del sistema, ma probabilmente sarà causa di risultati non desiderati.Questo file è un file di testo leggibile nel quale ogni riga descrive un parametro di configurazione. Le righe consistono di una coppia nome valore separati da spazi. Le righe vuote e di commento sono ignorate. I commenti iniziano con con il simbolo "#" che deve essere il primo carattere diverso da spazio della riga.
I valori dei parametri possono essere di quattro tipi: testo, booleano, numerico e numerico lungo. Un testo può contenere qualsiasi carattere stampabile. Un booleano dovrebbe essere uno tra yes e no. Un parametro dal valore booleano non definito oppure uno che ha un valore diverso da quelli permessi verrà equiparato al valore no. I numerici (sia normali che lunghi) possono essere decimali, ottali (preceduti da 0) o esadecimali (preceduti da 0x). Il valore massimo dei numerici normali e lunghi è dipendente dalla macchina.
Sono forniti i seguenti parametri di configurazione:
CHFN_RESTRICT (testo)
CONSOLE_GROUPS (testo)
Usare con cautela - è possibile che gli utenti ottengano l'accesso permanente a questi gruppi anche se non accedono dalla console.
CREATE_HOME (booleano)
Questa impostazione non viene applicata agli utenti di sistema e può essere modificata sulla riga di comando.
DEFAULT_HOME (booleano)
Se impostato a yes, l'utente accederà alla directory root (/) nel caso che non sia possibile accedere alla propria directory home.
ENCRYPT_METHOD (testo)
Può avere uno dei seguenti valori: DES (predefinito), MD5, SHA256, SHA512.
Nota: questo parametro ha la precedenza sulla variabile MD5_CRYPT_ENAB.
Nota: questo ha effetto solo sulla generazione delle password di gruppo. La generazione delle password utente avviene tramite PAM ed è soggetta alla configurazione PAM. È raccomandato di impostare questa variabile in maniera consistente con la configurazione PAM.
ENV_HZ (testo)
La variabile d'ambiente HZ viene impostata solo quando l'utente (il super utente) accede con sulogin.
ENV_PATH (testo)
ENV_SUPATH (testo)
ERASECHAR (numerico)
Il valore deve avere il prefisso «0» se in ottale, o «0x» se esadecimale.
FAIL_DELAY (numerico)
FAKE_SHELL (testo)
GID_MAX (numerico), GID_MIN (numerico)
Il valore predefinito per GID_MIN (rispettivamente GID_MAX) è 1000 (rispettivmente 60000).
HUSHLOGIN_FILE (testo)
KILLCHAR (numerico)
Il valore deve avere il prefisso «0» se in ottale, o «0x» se esadecimale.
LOG_OK_LOGINS (booleano)
LOG_UNKFAIL_ENAB (booleano)
Nota: memorizzare i nomi sconosciuti potrebbe diventare un problema legato alla sicurezza se un utente inserisce la propria password al posto del nome utente.
LOGIN_RETRIES (numerico)
Questa impostazione verrà probabilmente superata da quella di PAM poiché il modulo predefinito pam_unix ha una sua gestione con 3 tentativi. In ogni caso questa è una impostazione di sicurezza nel caso in cui si utilizzi un modulo PAM che ignora PAM_MAXTRIES.
LOGIN_TIMEOUT (numerico)
MAIL_DIR (testo)
MAIL_FILE (testo)
Le variabili MAIL_DIR e MAIL_FILE vengono utilizzate da useradd, usermod e userdel per creare, spostare e cancellare le caselle di posta dell'utente.
MAX_MEMBERS_PER_GROUP (numero)
Il valore predefinito è 0, che non pone nessun limite al numero di membri per gruppo.
Questa opzione (dividi gruppo) permette di limitare la lunghezza delle righe nel file «group». Questo è utile per essere certi che le righe per gruppi NIS non eccedano i 1024 caratteri.
Se si deve impostare questo limite, si può usare 25.
Nota: la divisione dei gruppi potrebbe non essere supportata da ogni strumento (anche all'interno del pacchetto Shadow). Non si dovrebbe utilizzare questa variabile a meno di esserci forzati.
MD5_CRYPT_ENAB (booleano)
Questa variabile ha meno priorità della variabile ENCRYPT_METHOD e di qualsiasi opzione a riga di comando che imposta un algoritmo di cifratura.
Questa variabile non è più usata. Si dovrebbe utilizzare ENCRYPT_METHOD.
Nota: questo ha effetto solo sulla generazione delle password di gruppo. La generazione delle password utente avviene tramite PAM ed è soggetta alla configurazione PAM. È raccomandato di impostare questa variabile in maniera consistente con la configurazione PAM.
PASS_MAX_DAYS (numerico)
PASS_MIN_DAYS (numerico)
PASS_WARN_AGE (numerico)
PASS_MAX_DAYS, PASS_MIN_DAYS e PASS_WARN_AGE sono utilizzate solo al momento della creazione dell'account. Qualsiasi cambiamento di queste impostazioni non modifica gli account preesistenti.
SHA_CRYPT_MIN_ROUNDS (numerico), SHA_CRYPT_MAX_ROUNDS (numerico)
Con molti cicli è più difficile trovare una password usando la forza bruta. Ma va notato che è richiesta maggiore potenza di calcolo per autenticare gli utenti.
Se non specificato sarà la libc a scegliere il numero di cicli (5000).
Il valore deve essere compreso tra 1.000 e 999.999.999.
Se viene impostato solo uno tra SHA_CRYPT_MIN_ROUNDS e SHA_CRYPT_MAX_ROUNDS, allora l'unico valore viene utilizzato.
Se SHA_CRYPT_MIN_ROUNDS > SHA_CRYPT_MAX_ROUNDS, allora viene utilizzato il maggiore.
Nota: questo ha effetto solo sulla generazione delle password di gruppo. La generazione delle password utente avviene tramite PAM ed è soggetta alla configurazione PAM. È raccomandato di impostare questa variabile in maniera consistente con la configurazione PAM.
SULOG_FILE (testo)
SU_NAME (testo)
SUB_GID_MIN (number), SUB_GID_MAX (number), SUB_GID_COUNT (number)
The default values for SUB_GID_MIN, SUB_GID_MAX, SUB_GID_COUNT are respectively 100000, 600100000 and 10000.
SUB_UID_MIN (number), SUB_UID_MAX (number), SUB_UID_COUNT (number)
The default values for SUB_UID_MIN, SUB_UID_MAX, SUB_UID_COUNT are respectively 100000, 600100000 and 10000.
SYS_GID_MAX (numerico), SYS_GID_MIN (numerico)
Il valore predefinito per SYS_GID_MIN (rispettivamente SYS_GID_MAX) è 101 (rispettivamente GID_MIN-1).
SYS_UID_MAX (numerico), SYS_UID_MIN (numerico)
Il valore predefinito per SYS_UID_MIN (rispettivamente SYS_UID_MAX) è 101 (rispettivamente UID_MIN-1).
SYSLOG_SG_ENAB (booleano)
SYSLOG_SU_ENAB (booleano)
TTYGROUP (testo), TTYPERM (testo)
In maniera predefinita la proprietà del terminale sarà impostata al gruppo primario dell'utente, mentre i permessi saranno 0600.
TTYGROUP può essere il nome del gruppo o il suo identificativo numerico.
Se si ha il comando write che è «setgid» e ha un gruppo speciale che possiede i terminali, definire TTYGROUP con lo stesso gruppo e TTYPERM a 0620. Altrimenti lasciare TTYGROUP commentato e assegnare TTYPERM a 622 o 600.
TTYTYPE_FILE (testo)
UID_MAX (numerico), UID_MIN (numerico)
Il valore predefinito per UID_MIN (rispettivamente UID_MAX) è 1000 (rispettivamente 60000).
UMASK (numerico)
useradd e newusers usano questa maschera per impostare i permessi della directory home che creano.
Viene anche utilizzato da pam_umask come valore umask predefinito.
USERDEL_CMD (testo)
Il codice d'uscita restituito dallo script non è preso in considerazione.
Ecco uno script di esempio che rimuove i job dell'utente, sia di cron che at che di stampa:
#! /bin/sh # Verifica la presenza dell'argomento obbligatorio if [ $# != 1 ]; then echo "Uso: $0 username" exit 1 fi # Rimuove i compiti di cron crontab -r -u $1 # Rimuove i compiti di at # Nota che verranno rimossi tutti i compiti di proprietà dello stesso UID, # anche se condiviso con un altro nome utente. AT_SPOOL_DIR=/var/spool/cron/atjobs find $AT_SPOOL_DIR -name "[^.]*" -type f -user $1 -delete \; # Rimuove le stampe lprm $1 # Finito. exit 0
USERGROUPS_ENAB (booleano)
RIFERIMENTI INCROCIATI¶
I seguenti riferimenti incrociati mostrano quali programmi del pacchetto shadow password utilizzano quali parametri.chfn
chgpasswd
chpasswd
gpasswd
groupadd
groupdel
groupmems
groupmod
grpck
grpconv
grpunconv
login
newgrp / sg
newusers
pwck
pwconv
su
sulogin
useradd
userdel
usermod
ERRORI¶
Molte delle funzionalità che erano fornite dal pacchetto password shadow sono adesso gestite da PAM. Quindi /etc/login.defs non è più utilizzato da passwd(1), e meno usato da login(1) e su(1). Vedere la corrispondente configurazione di PAM.VEDERE ANCHE¶
login(1), passwd(1), su(1), passwd(5), shadow(5), pam(8).17/05/2017 | shadow-utils 4.4 |