[sisyphus] I: tcb scheme implemented for Sisyphus

Dmitry V. Levin =?iso-8859-1?q?ldv_=CE=C1_alt-linux=2Eorg?=
Пт Дек 21 12:51:35 MSK 2001


On Thu, Dec 20, 2001 at 10:53:17PM +0300, Marat Khairullin wrote:
> > Вследствие этого программа, желающая проверять пароль текущего
> > пользователя, должна быть sgid-chkpwd.
> 
> Как быть с informix'ом (ver 7.x), который не умеет работать даже с обычным /etc/shadow?

А зачем informix'у проверять системные пароли?
Впрочем, это проблема informix (и Ваша, если выпала роль ответственного за
безопасность такой системы).

> Можно ли будет вырубить все это хозяйство? 

Ну вот, стоит сделать что-нибудь действительно хорошее, как сразу найдется
желающий это все вырубить. :)

Да, можно пользоваться /etc/shadow, см. документацию в пакетах *tcb*:
tcb(5), pam_tcb(5), tcb_convert(8).
Конфигурационные файлы, которые надо будет отредактировать:
/etc/nsswitch.conf, /etc/login.defs, /etc/pam.d/system-auth*
Файлы, права на которые надо изменить, приведены в первом письме.

Согласитесь, не стоит отказываться от установки tcb по умолчанию только
из-за того, что с ним может некорректно работать informix.

> В SCO'тине в tcb засунуто еще и содержимое /etc/passwd и /etc/group и ~/.lastlogin .

И /etc/group - Вы уверены?

> А как в ALT'овском tcb?

Помещение shadow в tcb - очень полезное решение прежде всего с точки
зрения безопасности, которое при этом не "сломает" софт.

Помещение passwd в tcb - гораздо менее важное для обеспечения безопасности
решение, при том что количество "сломанного" софта может быть гораздо
больше - слишком многие привыкли залезать в /etc/passwd ручками.

> Уж слишком много приходилось на SCO'тине править ручками, если что-то падало ...

Какое это имеет отношение к нашему tcb?


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 232 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20011221/abdf35ab/attachment-0012.bin>


Подробная информация о списке рассылки Sisyphus