'\" t .\" Title: login.defs .\" Author: Julianne Frances Haugh .\" Generator: DocBook XSL Stylesheets v1.79.1 .\" Date: 05/17/2017 .\" Manual: Форматы файлов .\" Source: shadow-utils 4.4 .\" Language: Russian .\" .TH "login\&.defs" "5" "05/17/2017" "shadow\-utils 4\&.4" "Форматы файлов" .\" ----------------------------------------------------------------- .\" * Define some portability stuff .\" ----------------------------------------------------------------- .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .\" http://bugs.debian.org/507673 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ .ie \n(.g .ds Aq \(aq .el .ds Aq ' .\" ----------------------------------------------------------------- .\" * set default formatting .\" ----------------------------------------------------------------- .\" disable hyphenation .nh .\" disable justification (adjust text to left margin only) .ad l .\" ----------------------------------------------------------------- .\" * MAIN CONTENT STARTS HERE * .\" ----------------------------------------------------------------- .SH "НАЗВАНИЕ" login.defs \- содержит конфигурацию подсистемы теневых паролей .SH "ОПИСАНИЕ" .PP Файл /etc/login\&.defs содержит настройки подсистемы теневых паролей (shadow password suite)\&. Этот файл является обязательным\&. Отсутствие данного файла не повлияет на работу системы, но, вероятно, приведёт к выполнению нежелаемых операций\&. .PP Файл представляет собой обычный текстовый файл; каждая строка описывает один параметр настройки\&. Строки состоят из названия параметра и его значения, которые разделяются пробельным символом\&. Пустые строки и комментарии игнорируются\&. Комментарии начинаются со знака фунта \(Fo#\(Fc, который должен быть первым непробельным символом в строке\&. .PP Значения параметров могут быть четырёх типов: строки, логические значения, числа и длинные числа\&. Строки состоят из любых печатных символов\&. Под логическими значениями подразумеваются \fIyes\fR или \fIno\fR\&. Неопределённый логический параметр или имеющий значение, отличное от указанных выше, считается как имеющий значение \fIno\fR\&. Числа (обычные и длинные) можно задавать в десятичной, восьмеричной (перед значением ставится \(Fo\fI0\fR\(Fc) или шестнадцатеричной (перед значением ставится \(Fo\fI0x\fR\(Fc) системах счисления\&. Максимальные значения параметра обычного и длинного числа зависят от архитектуры компьютера\&. .PP Возможны следующие параметры настройки: .PP \fBCHFN_RESTRICT\fR (строка) .RS 4 Этим параметром определяются части поля \fIgecos\fR в файле /etc/passwd, которые могут изменять обычные пользователи с помощью программы \fBchfn\fR\&. Строка может содержать любую комбинацию букв \fIf\fR, \fIr\fR, \fIw\fR, \fIh\fR для изменения полного имени пользователя, номера комнаты, рабочего и домашнего телефона, соответственно\&. Для совместимости значение \fIyes\fR эквивалентно \fIrwh\fR и \fIno\fR эквивалентно \fIfrwh\fR\&. Если ничего не задано, то только суперпользователь может выполнять любые изменения\&. Наиболее ограничительная настройка достигается снятием SUID бита с файла chfn\&. .RE .PP \fBCONSOLE_GROUPS\fR (строка) .RS 4 Список групп для добавления к набору пользовательских дополнительных групп при входе с консоли (определяемой переменной CONSOLE)\&. По умолчанию не указана\&. Используйте осторожно \(em может дать пользователям постоянный доступ к этим группам, даже если они не входили с консоли\&. .RE .PP \fBCREATE_HOME\fR (логический) .RS 4 Определяет, должен ли создаваться по умолчанию домашний каталог для новых пользователей\&. .sp Эта переменная не влияет на системных пользователей и может быть переопределена из командной строки\&. .RE .PP \fBDEFAULT_HOME\fR (логический) .RS 4 Определяет, можно ли войти в систему, если нельзя выполнить cd в домашний каталог\&. По умолчанию \(Fono\(Fc\&. .sp Если равно \fIyes\fR, то пользователь будет попадать в корневой каталог (/), если невозможно выполнить cd в его домашний каталог\&. .RE .PP \fBENCRYPT_METHOD\fR (строка) .RS 4 Задаёт системный алгоритм шифрования по умолчанию для шифрования паролей (используется, если алгоритм не указан в командной строке)\&. .sp Возможны следующие значения: \fIDES\fR (по умолчанию), \fIMD5\fR, \fISHA256\fR, \fISHA512\fR\&. .sp Замечание: этот параметр переопределяет переменную \fBMD5_CRYPT_ENAB\fR\&. .sp Замечание: действует только при генерации паролей к группам\&. Генерация пользовательских паролей выполняется PAM и там же настраивается\&. Рекомендуется устанавливать значение этой переменной согласно настройкам PAM\&. .RE .PP \fBENV_HZ\fR (строка) .RS 4 Если установлена, то будет использоваться для определения переменной окружения HZ при входе пользователя в систему\&. Значение должно начинаться с \fIHZ=\fR\&. Обычное значение для Linux \(em \fIHZ=100\fR\&. .sp Переменная окружения \fBHZ\fR устанавливается только когда пользователь (суперпользователь) входит в систему с помощью \fBsulogin\fR\&. .RE .PP \fBENV_PATH\fR (строка) .RS 4 If set, it will be used to define the PATH environment variable when a regular user login\&. The value is a colon separated list of paths (for example \fI/bin:/usr/bin\fR) and can be preceded by \fIPATH=\fR\&. The default value is \fIPATH=/bin:/usr/bin\fR\&. .RE .PP \fBENV_SUPATH\fR (строка) .RS 4 If set, it will be used to define the PATH environment variable when the superuser login\&. The value is a colon separated list of paths (for example \fI/sbin:/bin:/usr/sbin:/usr/bin\fR) and can be preceded by \fIPATH=\fR\&. The default value is \fIPATH=/sbin:/bin:/usr/sbin:/usr/bin\fR\&. .RE .PP \fBERASECHAR\fR (число) .RS 4 Символ ERASE у терминала (\fI010\fR = backspace, \fI0177\fR = DEL)\&. .sp Значение может начинаться с \(Fo0\(Fc при указании значения в восьмеричной системе счисления или \(Fo0x\(Fc при указании значения в шестнадцатеричной системе счисления\&. .RE .PP \fBFAIL_DELAY\fR (число) .RS 4 Задержка в секундах перед повторной попыткой после неудачного входа\&. .RE .PP \fBFAKE_SHELL\fR (строка) .RS 4 Если установлена, то программа \fBlogin\fR запустит указанную оболочку вместо пользовательской оболочки заданной в /etc/passwd\&. .RE .PP \fBGID_MAX\fR (число), \fBGID_MIN\fR (число) .RS 4 Диапазон идентификаторов групп, используемый в программах \fBuseradd\fR, \fBgroupadd\fR или \fBnewusers\fR для создания обычных групп\&. .sp Значение по умолчанию для \fBGID_MIN\fR (соотв\&. \fBGID_MAX\fR) равно 1000 (соотв\&. 60000)\&. .RE .PP \fBHUSHLOGIN_FILE\fR (строка) .RS 4 Если определена, то этот файл может заблокировать все обычные переговоры (chatter) при входе\&. Если указан полный путь к файлу, то будет включён сокращённый (hushed) режим, если в этом файле указано имя пользователя или оболочка\&. Если указан не полный путь, то будет включён сокращённый (hushed) режим, если файл находится в домашнем каталоге пользователя\&. .RE .PP \fBKILLCHAR\fR (число) .RS 4 Символ KILL у терминала (\fI025\fR = CTRL/U)\&. .sp Значение может начинаться с \(Fo0\(Fc при указании значения в восьмеричной системе счисления или \(Fo0x\(Fc при указании значения в шестнадцатеричной системе счисления\&. .RE .PP \fBLOG_OK_LOGINS\fR (логический) .RS 4 Включить протоколирование успешных входов\&. .RE .PP \fBLOG_UNKFAIL_ENAB\fR (логический) .RS 4 Включить показ неизвестных имён пользователей при записи неудачных попыток входа\&. .sp Замечание: протоколирование неизвестных имён пользователя может привести к проблемам с безопасностью, если пользователь введёт свой пароль вместо своего имени\&. .RE .PP \fBLOGIN_RETRIES\fR (число) .RS 4 Максимальное количество попыток входа при вводе неверного пароля\&. .sp Наиболее вероятно это значение будет переопределено PAM, так как по умолчанию в модуле pam_unix определено 3 попытки\&. Однако, это значение является резервом, если вы используете модуль аутентификации, который не учитывает PAM_MAXTRIES\&. .RE .PP \fBLOGIN_TIMEOUT\fR (число) .RS 4 Максимальное время в секундах, отведённое на вход\&. .RE .PP \fBMAIL_DIR\fR (строка) .RS 4 Почтовый каталог\&. Данный параметр нужен для управления почтовым ящиком при изменении или удалении учётной записи пользователя\&. Если параметр не задан, то используется значение указанное при сборке\&. .RE .PP \fBMAIL_FILE\fR (строка) .RS 4 Определяет расположение почтовых файлов пользователя относительно домашнего каталога\&. .RE .PP Переменные \fBMAIL_DIR\fR и \fBMAIL_FILE\fR используются командами \fBuseradd\fR, \fBusermod\fR и \fBuserdel\fR для создания, перемещения или удаления почты пользователя\&. .PP \fBMAX_MEMBERS_PER_GROUP\fR (число) .RS 4 Максимальное количество членов в записи о группе\&. При достижения максимума заводится новая запись группы (строка) в /etc/group (с тем же именем, паролем и тем же GID)\&. .sp Значение по умолчанию равно 0, означающее, что ограничения на количество членов в группе нет\&. .sp Данная возможность (разделение группы) позволяет ограничить длину строк в файле групп\&. Это полезно для ограничения длины строк групп NIS в 1024 символа\&. .sp Если вам нужно такое ограничение, укажите значение 25\&. .sp Замечание: разделение групп поддерживается не всеми инструментами (даже в наборе инструментов Shadow)\&. Вы не должны использовать эту переменную, если вам действительно это ненужно\&. .RE .PP \fBMD5_CRYPT_ENAB\fR (логический) .RS 4 Обозначает, что пароль должен быть зашифрован по алгоритму на основе MD5\&. Если значение равно \fIyes\fR, то новые пароли будут зашифрованы по алгоритму на основе MD5, совместимому с используемым в новых версиях FreeBSD\&. Он поддерживает пароли неограниченной длины и имеет более длинную строку соли\&. Установите в \fIno\fR, если вам нужно копировать шифрованные пароли в другие системы, которые не поддерживают новый алгоритм\&. По умолчанию \fIno\fR\&. .sp Эта переменная переопределяется переменной \fBENCRYPT_METHOD\fR или любым параметром командной строки, который задаёт алгоритм шифрования\&. .sp Эта переменная устарела; используйте \fBENCRYPT_METHOD\fR\&. .sp Замечание: действует только при генерации паролей к группам\&. Генерация пользовательских паролей выполняется PAM и там же настраивается\&. Рекомендуется устанавливать значение этой переменной согласно настройкам PAM\&. .RE .PP \fBPASS_MAX_DAYS\fR (число) .RS 4 Максимальное число дней использования пароля\&. Если пароль старее этого числа, то будет запущена процедура смены пароля\&. Если значение не задано, то предполагается значение \-1 (то есть возможность ограничения не используется)\&. .RE .PP \fBPASS_MIN_DAYS\fR (число) .RS 4 Максимальное число дней между изменениями пароля\&. Любая смена пароля ранее заданного срока выполнена не будет\&. Если значение не задано, то предполагается значение \-1 (то есть возможность ограничения не используется)\&. .RE .PP \fBPASS_WARN_AGE\fR (число) .RS 4 Число дней за которое начнёт выдаваться предупреждение об устаревании пароля\&. Нулевое значение означает, что предупреждение выдаётся в день устаревания, при отрицательном значении предупреждение выдаваться не будет\&. Если значение не задано, выдача предупреждения отключается\&. .RE .PP Параметры \fBPASS_MAX_DAYS\fR, \fBPASS_MIN_DAYS\fR и \fBPASS_WARN_AGE\fR используются только при создании учётной записи\&. Любые изменения этих параметров не влияют на уже существующие учётные записи\&. .PP \fBSHA_CRYPT_MIN_ROUNDS\fR (число), \fBSHA_CRYPT_MAX_ROUNDS\fR (число) .RS 4 Если значение \fBENCRYPT_METHOD\fR равно \fISHA256\fR или \fISHA512\fR, эта переменная определяет количество раундов SHA, используемых алгоритмом шифрования по умолчанию (если количество раундов не задано в командной строке)\&. .sp Увеличение количества раундов повышает сложность подбора пароля простым перебором\&. Но заметим, что при этом для аутентификации пользователей требуется большее количество процессорных ресурсов\&. .sp Если не задана, то libc выбирает значение количества раундов по умолчанию (5000)\&. .sp Значения должны лежать в диапазоне 1000\-999999999\&. .sp Если задано какое\-то одно значение \(em \fBSHA_CRYPT_MIN_ROUNDS\fR или \fBSHA_CRYPT_MAX_ROUNDS\fR \(em то будет использовано это значение\&. .sp Если \fBSHA_CRYPT_MIN_ROUNDS\fR > \fBSHA_CRYPT_MAX_ROUNDS\fR, то используется большее значение\&. .sp Замечание: действует только при генерации паролей к группам\&. Генерация пользовательских паролей выполняется PAM и там же настраивается\&. Рекомендуется устанавливать значение этой переменной согласно настройкам PAM\&. .RE .PP \fBSULOG_FILE\fR (строка) .RS 4 Если определена, то любая активность su будет протоколироваться в этот файл\&. .RE .PP \fBSU_NAME\fR (строка) .RS 4 Если определена, то выводится имя команды когда работает \(Fosu \-\(Fc\&. Например, если значение равно \(Fosu\(Fc, то \(Fops\(Fc покажет команду как \(Fo\-su\(Fc\&. Если не определена, то \(Fops\(Fc покажет имя запускаемой оболочки например как \(Fo\-sh\(Fc\&. .RE .PP \fBSUB_GID_MIN\fR (number), \fBSUB_GID_MAX\fR (number), \fBSUB_GID_COUNT\fR (number) .RS 4 If /etc/subuid exists, the commands \fBuseradd\fR and \fBnewusers\fR (unless the user already have subordinate group IDs) allocate \fBSUB_GID_COUNT\fR unused group IDs from the range \fBSUB_GID_MIN\fR to \fBSUB_GID_MAX\fR for each new user\&. .sp The default values for \fBSUB_GID_MIN\fR, \fBSUB_GID_MAX\fR, \fBSUB_GID_COUNT\fR are respectively 100000, 600100000 and 10000\&. .RE .PP \fBSUB_UID_MIN\fR (number), \fBSUB_UID_MAX\fR (number), \fBSUB_UID_COUNT\fR (number) .RS 4 If /etc/subuid exists, the commands \fBuseradd\fR and \fBnewusers\fR (unless the user already have subordinate user IDs) allocate \fBSUB_UID_COUNT\fR unused user IDs from the range \fBSUB_UID_MIN\fR to \fBSUB_UID_MAX\fR for each new user\&. .sp The default values for \fBSUB_UID_MIN\fR, \fBSUB_UID_MAX\fR, \fBSUB_UID_COUNT\fR are respectively 100000, 600100000 and 10000\&. .RE .PP \fBSYS_GID_MAX\fR (число), \fBSYS_GID_MIN\fR (число) .RS 4 Диапазон идентификаторов групп, используемый в программах \fBuseradd\fR, \fBgroupadd\fR или \fBnewusers\fR для создания системных групп\&. .sp Значение по умолчанию для \fBSYS_GID_MIN\fR (соотв\&.\fBSYS_GID_MAX\fR) равно 101 (соотв\&. \fBGID_MIN\fR\-1)\&. .RE .PP \fBSYS_UID_MAX\fR (число), \fBSYS_UID_MIN\fR (число) .RS 4 Диапазон идентификаторов пользователей, используемый в программах \fBuseradd\fR или \fBnewusers\fR для создания системных пользователей\&. .sp Значение по умолчанию для \fBSYS_UID_MIN\fR (соотв\&. \fBSYS_UID_MAX\fR) равно 101 (соотв\&. \fBUID_MIN\fR\-1)\&. .RE .PP \fBSYSLOG_SG_ENAB\fR (логический) .RS 4 Включить протоколирование \(Fosyslog\(Fc действий \fBsg\fR\&. .RE .PP \fBSYSLOG_SU_ENAB\fR (логический) .RS 4 Включить протоколирование \(Fosyslog\(Fc действий \fBsu\fR \(em дополнительно к протоколированию в файле sulog\&. .RE .PP \fBTTYGROUP\fR (строка), \fBTTYPERM\fR (строка) .RS 4 Права терминала: tty входа будет принадлежать группе \fBTTYGROUP\fR, а права будут назначены в соответствии с \fBTTYPERM\fR\&. .sp По умолчанию, терминалом владеет первичная группа пользователя, а права устанавливаются в \fI0600\fR\&. .sp В \fBTTYGROUP\fR может задаваться или имя группы, или числовой идентификатор группы\&. .sp Если ваша программа \fBwrite\fR имеет \(Fosetgid\(Fc со специальной группой, которой принадлежат терминалы, то присвойте TTYGROUP номер этой группы, а TTYPERM значение 0620\&. В противном случае оставьте TTYGROUP закомментированной и назначьте TTYPERM значение 622 или 600\&. .RE .PP \fBTTYTYPE_FILE\fR (строка) .RS 4 Если определена, то в ней указывается имя файла, в котором описано соответствие между линией tty и параметром окружения TERM\&. Каждая строка файла имеет формат вида \(Fovt100 tty01\(Fc\&. .RE .PP \fBUID_MAX\fR (число), \fBUID_MIN\fR (число) .RS 4 Диапазон идентификаторов пользователей, используемый в программах \fBuseradd\fR или \fBnewusers\fR для создания обычных пользователей\&. .sp Значение по умолчанию для \fBUID_MIN\fR (соотв\&. \fBUID_MAX\fR) равно 1000 (соотв\&. 60000)\&. .RE .PP \fBUMASK\fR (число) .RS 4 Задаёт начальное значение маски доступа для создаваемых файлов\&. Если не указано, то маска устанавливается в 022\&. .sp Команды \fBuseradd\fR и \fBnewusers\fR используют эту маску для установки прав доступа к домашнему каталогу, который они создают\&. .sp Она также используется командой \fBpam_umask\fR как значение umask по умолчанию\&. .RE .PP \fBUSERDEL_CMD\fR (строка) .RS 4 Определяет программу, которая будет запущена при удалении пользователя\&. Она должна удалять любые задания at/cron/печати удаляемого пользователя (передаётся в качестве первого аргумента)\&. .sp Возвращаемый сценарием код завершения не учитывается\&. .sp Вот простой сценарий, который удаляет задания печати, cron и at: .sp .if n \{\ .RS 4 .\} .nf #! /bin/sh # проверить все необходимые параметры if [ $# != 1 ]; then echo "Использование: $0 имя_пользователя" exit 1 fi # удалить задания cron crontab \-r \-u $1 # удалить задания at # Заметим, что это удалит все задания с указанным UID, # даже если он используется для другой учётной записи\&. AT_SPOOL_DIR=/var/spool/cron/atjobs find $AT_SPOOL_DIR \-name "[^\&.]*" \-type f \-user $1 \-delete \e; # удалить задания печати lprm $1 # всё exit 0 .fi .if n \{\ .RE .\} .RE .PP \fBUSERGROUPS_ENAB\fR (логический) .RS 4 Если значение равно \fIyes\fR, то \fBuserdel\fR удаляет пользовательскую группу, если в ней нет больше членов, а \fBuseradd\fR по умолчанию создаёт группу с именем пользователя\&. .RE .SH "ПЕРЕКРЁСТНЫЕ ССЫЛКИ" .PP Следующие перекрёстные ссылки отражают связь между программами и их параметрам из набора для работы с теневыми паролями\&. .PP chfn .RS 4 CHFN_RESTRICT .RE .PP chgpasswd .RS 4 ENCRYPT_METHOD MAX_MEMBERS_PER_GROUP MD5_CRYPT_ENAB SHA_CRYPT_MAX_ROUNDS SHA_CRYPT_MIN_ROUNDS .RE .PP chpasswd .RS 4 SHA_CRYPT_MAX_ROUNDS SHA_CRYPT_MIN_ROUNDS .RE .PP gpasswd .RS 4 ENCRYPT_METHOD MAX_MEMBERS_PER_GROUP MD5_CRYPT_ENAB SHA_CRYPT_MAX_ROUNDS SHA_CRYPT_MIN_ROUNDS .RE .PP groupadd .RS 4 GID_MAX GID_MIN MAX_MEMBERS_PER_GROUP SYS_GID_MAX SYS_GID_MIN .RE .PP groupdel .RS 4 MAX_MEMBERS_PER_GROUP .RE .PP groupmems .RS 4 MAX_MEMBERS_PER_GROUP .RE .PP groupmod .RS 4 MAX_MEMBERS_PER_GROUP .RE .PP grpck .RS 4 MAX_MEMBERS_PER_GROUP .RE .PP grpconv .RS 4 MAX_MEMBERS_PER_GROUP .RE .PP grpunconv .RS 4 MAX_MEMBERS_PER_GROUP .RE .PP login .RS 4 CONSOLE_GROUPS DEFAULT_HOME ERASECHAR FAIL_DELAY FAKE_SHELL HUSHLOGIN_FILE KILLCHAR LOGIN_RETRIES LOGIN_TIMEOUT LOG_OK_LOGINS LOG_UNKFAIL_ENAB TTYGROUP TTYPERM TTYTYPE_FILE USERGROUPS_ENAB .RE .PP newgrp / sg .RS 4 SYSLOG_SG_ENAB .RE .PP newusers .RS 4 ENCRYPT_METHOD GID_MAX GID_MIN MAX_MEMBERS_PER_GROUP MD5_CRYPT_ENAB PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE SHA_CRYPT_MAX_ROUNDS SHA_CRYPT_MIN_ROUNDS SUB_GID_COUNT SUB_GID_MAX SUB_GID_MIN SUB_UID_COUNT SUB_UID_MAX SUB_UID_MIN SYS_GID_MAX SYS_GID_MIN SYS_UID_MAX SYS_UID_MIN UID_MAX UID_MIN UMASK .RE .PP pwck .RS 4 PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE .RE .PP pwconv .RS 4 PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE .RE .PP su .RS 4 CONSOLE_GROUPS DEFAULT_HOME ENV_PATH ENV_SUPATH SULOG_FILE SU_NAME SYSLOG_SU_ENAB .RE .PP sulogin .RS 4 ENV_HZ .RE .PP useradd .RS 4 CREATE_HOME GID_MAX GID_MIN MAIL_DIR MAX_MEMBERS_PER_GROUP PASS_MAX_DAYS PASS_MIN_DAYS PASS_WARN_AGE SUB_GID_COUNT SUB_GID_MAX SUB_GID_MIN SUB_UID_COUNT SUB_UID_MAX SUB_UID_MIN SYS_GID_MAX SYS_GID_MIN SYS_UID_MAX SYS_UID_MIN UID_MAX UID_MIN UMASK .RE .PP userdel .RS 4 MAIL_DIR MAIL_FILE MAX_MEMBERS_PER_GROUP USERDEL_CMD USERGROUPS_ENAB .RE .PP usermod .RS 4 MAIL_DIR MAIL_FILE MAX_MEMBERS_PER_GROUP .RE .SH "ОШИБКИ РЕАЛИЗАЦИИ" .PP Большинство функций теневых паролей теперь реализовано через PAM\&. Поэтому, файл /etc/login\&.defs больше не используется программами \fBlogin\fR(1), \fBpasswd\fR(1) и \fBsu\fR(1)\&. Настройку данных программ следует выполнять в соответствующих файлах настройки PAM\&. .SH "СМОТРИТЕ ТАКЖЕ" .PP \fBlogin\fR(1), \fBpasswd\fR(1), \fBsu\fR(1), \fBpasswd\fR(5), \fBshadow\fR(5), \fBpam\fR(8)\&.