次のページ
前のページ
目次へ
セキュリティ上の問題があるので、この節で述べる古いパッケージを使っ
てはいけません。
オリジナルの Shadow Suite は John F. Haugh II 氏によっ
て作成されました。
Linux システム上で用いられてきたバージョンはいくつかあります:
shadow-mk パッケージは John F. Haugh II 氏が配布してい
る shadow-3.3.1 パッケージに shadow-3.3.1-2 へのパッチ、
Mohan Kokal <magnus@texas.net>
氏によってなされたインストールを簡単にするための修正、Joseph
R.M. Zbiciak 氏による
/bin/login の -f, -h のオプション時の動作についてのセキュリティホール
を塞ぐための login1.c (login.secure) に対するパッチ及びその他
いくつかの変更を加えたものです。
shadow.mk パッケージは 以前は推奨されていましたが、
login プログラムのセキュリティ上の問題があるので使う
べきではないでしょう。
バージョン 3.3.1, 3.3.1-2 の Shadow と shadow-mk ではlogin プ
ログラムにセキュリティ上の問題があります。このlogin
のバグはログイン名の長さをチェックしないというものです。これによりバッ
ファがオーバーフローしてプログラムが異常動作してしまいます。システム上
にアカウントを持っている人間は、このバグと共有ライブラリを使って root
の権限を手に入れることができるという噂が流れました。私はこれについて詳
しい話をするつもりはありません。影響をうける Linux システムは多いけれ
ど、これらのShadow Suites をインストールした Linux システムや
初期バージョンの ELF 版パッケージのシステムでShadow Suitesを
インストールしていないものは危険にさらされるからです。
この話題や、その他の Linux のセキュリティについての情報を得るためには、
Linux Security ホームページ (共有ライブラリとloginプログラム の脆弱性)
を見るとよいでしょう。
現在推奨される唯一の Shadow Suite はまだβバージョンですが、
最新のものは作っている環境では安全であり、危険な login プログ
ラムも含んでいません。
パッケージは以下の名前付けの規則を使っています:
shadow-YYMMDD.tar.gz
は、Shadow Suite の YY年MM月DD日 公開した版であるこ
とを意味します。
このバージョンは現在βテスト中であり、やがてバージョン 3.3.3
になるでしょう。今は
Marek Michalkiewicz <marekm@i17linuxb.ists.pwr.wroc.pl>
氏によってメンテナンスされており、
shadow-current.tar.gz
から入手可能です。
また、以下のミラーサイトもあります:
現在利用できる最新版を利用しましょう。
shadow-960129 より古いバージョンのものは先程述べたよ
うに login プログラムに問題があるので使ってはいけません。
この文書中で Shadow Suite と書く時は、このパッケージについて
記述しているものとします。また、あなたが使うパッケージもこれであるもの
と仮定します。
参考のために、shadow-960129 に基づいてインストールの手順を作成しました。
もしあなたが現在shadow-mk を使っているならば、すべて再構築して
このバージョンにアップグレードするべきでしょう。
Shadow Suiteは以下のコマンドを置き換えます:
su, login, passwd, newgrp, chfn, chsh, and id
また、パッケージには以下の新しいプログラムが含まれています:
chage, newusers, dpasswd, gpasswd, useradd, userdel, usermod, groupadd,
groupdel, groupmod, groups, pwck, grpck, lastlog, pwconv, and pwunconv
加えて、パスワードにアクセスする必要があるプログラムを作るためのライブ
ラリ libshadow.a が含まれています。
そして、プログラムのオンラインマニュアルも含まれています。
/etc/login.defs としてインストールされる、login プログラム
の設定ファイルも含まれています。
次のページ
前のページ
目次へ
|