N'UTILISEZ PAS LES PAQUETAGES DECRITS DANS CETTE SECTION, ILS CONTIENNENT DES PROBLEMES DE SECURITE
Le paquetage Shadow original a été écrit par John F. Haugh II
.
De nombreuses versions peuvent être utilisées sur un système Linux:
shadow-3.3.1
est l'originalshadow-3.3.1-2
est le patch spécifique à Linux fait par
Florian La Roche (flla@stud.uni-sb.de)
et contient quelques améliorations.Le paquetage shadow-mk
est en fait constitué du paquetage
shadow-3.3.1
distribué par John F. Haugh II
patché avec
shadow-3.3.1-2
avec en plus:
Mohan Kokal <magnus@texas.net>
rendant l'installation bien plus évidente, Joseph R.M. Zbiciak
pour login1.c
(login.secure) qui élimine les trous de sécurité -f, -h de
/bin/login et quelques autres patches divers.Le paquetage shadow-mk
était
précédemment recommandé, mais il doit être
remplacé à cause d'un trou de sécurité du
programme login
.
Il y a des trous de sécurité dans les versions
3.3.1, 3.3.1-2 et shadow-mk qui sont dûs au programme
login
. Le bogue login
implique de ne pas vérifier la
longueur du nom de login. Cela entraîne un surpassement de la
zone tampon qui provoque un crash ou pire encore. Il est dit que ce
surpassement de zone tampon pourrait permettre à quiconque
ayant un compte sur le système d'utiliser ce bogue ainsi que
des bibliothèques partagées pour gagner un accès
Pour de plus amples informations sur cette publication ainsi que d'autres publications concernant les problèmes de sécurité de Linux, consultez la Linux Security Home Page (Shared Libraries and login Program Vulnerability) à <http://bach.cis.temple.edu/linux/linux-security/Linux-Security-Faq/Linux-telnetd.html>
La seule suite recommandée est en béta test, donc les
dernières versions sont utilisables en environnement de
production et ne contiennent pas de programme
Le paquetage utilise la convention de notation suivante :
shadow-AAMMJJ.tar.gzoù
AAMMJJ
est la date de publication de la suite.Cette version sera éventuellement la version 3.3.3 lorsqu'elle sera publiée après le béta test; et est maintenue par Marek Michalkiewicz <marekm@il7linuxb.ists.pwr.wroc.pl>. Elle est disponible sous la forme : shadow-current.tar.gz à l'adresse <ftp://il7linuxb.ists.pwr.wroc.pl/pub/linux/shadow/shadow-current.tar.gz>.
Les miroirs suivants sont aussi disponibles :
Vous devez utiliser la version actuelle disponible.
Vous NE devez PAS utiliser une version plus ancienne que la version
shadow-960129
du fait qu'elles possèdent le
problème de sécurité décrit plus avant.
Lorsque ce document fait référence à la Suite Shadow, je ferais référence à ce paquetage. Il est donc supposé que vous utilisez ce paquetage.
Pour information, j'ai utilisé le paquetage
shadow-960129
pour faire les instructions d'installation.
Si vous utilisiez précédemment le paquetage
shadow-mk
, vous devriez mettre à jour cette version et
reconstruire tout ce que vous avez originellement compilé.
La paquetage shadow contient les programmes de remplacement pour:
su, login, passwd, newgrp, chfn, chsh, et id
Mais il contient aussi des nouveaux programmes:
chage, newusers, dpasswd, gpasswd, useradd, userdel, usermod,
groupadd, groupdel, groupmod, groups, pwck, grpck, lastlog, pwconv,
et pwunconv
De plus, la bibliothèque: libshadow.a
est incluse pour permettre de
compiler les programmes nécessitant un accès en lecture/écritures aux
mots de passe.
Les pages de manuel sont aussi incluses.
Il y a aussi un programme de configuration pour le program login
intallé sous le nom de /etc/login.defs
.