[sisyphus] I: tcb scheme implemented for Sisyphus
Dmitry V. Levin
=?iso-8859-1?q?ldv_=CE=C1_alt-linux=2Eorg?=
Пт Дек 21 12:51:35 MSK 2001
On Thu, Dec 20, 2001 at 10:53:17PM +0300, Marat Khairullin wrote:
> > Вследствие этого программа, желающая проверять пароль текущего
> > пользователя, должна быть sgid-chkpwd.
>
> Как быть с informix'ом (ver 7.x), который не умеет работать даже с обычным /etc/shadow?
А зачем informix'у проверять системные пароли?
Впрочем, это проблема informix (и Ваша, если выпала роль ответственного за
безопасность такой системы).
> Можно ли будет вырубить все это хозяйство?
Ну вот, стоит сделать что-нибудь действительно хорошее, как сразу найдется
желающий это все вырубить. :)
Да, можно пользоваться /etc/shadow, см. документацию в пакетах *tcb*:
tcb(5), pam_tcb(5), tcb_convert(8).
Конфигурационные файлы, которые надо будет отредактировать:
/etc/nsswitch.conf, /etc/login.defs, /etc/pam.d/system-auth*
Файлы, права на которые надо изменить, приведены в первом письме.
Согласитесь, не стоит отказываться от установки tcb по умолчанию только
из-за того, что с ним может некорректно работать informix.
> В SCO'тине в tcb засунуто еще и содержимое /etc/passwd и /etc/group и ~/.lastlogin .
И /etc/group - Вы уверены?
> А как в ALT'овском tcb?
Помещение shadow в tcb - очень полезное решение прежде всего с точки
зрения безопасности, которое при этом не "сломает" софт.
Помещение passwd в tcb - гораздо менее важное для обеспечения безопасности
решение, при том что количество "сломанного" софта может быть гораздо
больше - слишком многие привыкли залезать в /etc/passwd ручками.
> Уж слишком много приходилось на SCO'тине править ручками, если что-то падало ...
Какое это имеет отношение к нашему tcb?
Regards,
Dmitry
+-------------------------------------------------------------------------+
Dmitry V. Levin mailto://ldv@alt-linux.org
ALT Linux Team http://www.altlinux.ru/
Fandra Project http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 232 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20011221/abdf35ab/attachment-0012.bin>
Подробная информация о списке рассылки Sisyphus