NIE UŻYWAJ PAKIETÓW WYMIENIONYCH W TEJ SEKCJI, SĄ W NICH PROBLEMY Z BEZPIECZEŃSTWEM.
Oryginał pakietu Shadow Suite został napisany przez
John F. Haugh II.
Jest kilka wersji, które były używane na Linux-ie:
shadow-3.3.1shadow-3.3.1-2 to łata przeznaczona specjalnie na
Linux-a zrobiona przez
Florian La Roche <flla@stud.uni-sb.de>. Zawiera ona
także dalsze ulepszenia.shadow-mk został skomponowany specjalnie dla
Linux-a.Pakiet shadow-mk zawiera pakiet shadow-3.3.1
dystrybuowany przez John F. Haugh II wraz z łatą
shadow-3.3.1-2 patch, kilka poprawek zrobionych przez
Mohan Kokal <magnus@texas.net>,
które uczyniły instalację o wiele łatwiejszą, łatę zrobioną przez
Joseph R.M. Zbiciak, która eliminuje dziury w programie
/bin/login związane z opcjami -f, -h oraz kilka innych łat.
Pakiet shadow-mk był pakietem poprzednio
rekomendowanym, ale powinien zostać zamieniony z powodu
problemów z bezpieczeństwem związanych z programem login.
W pakietach 3.3.1, 3.3.1-2 oraz shadow-mk są problemy związane z
programem login. Błąd ten to niesprawdzanie długości
podawanego identyfikatora. Powoduje to przepełnienie bufora, co z
kolei powoduje załamania (crashes) programu albo gorzej. Podobno to
przepełnienie bufora może być wykorzystane przez kogoś, kto posiada
konto w systemie w połączeniu z bibliotekami dzielonymi, aby
uzyskać przywileje root-a. Nie będę opisywał jak dokładnie
działa ten błąd ponieważ jest dużo systemów Linux-owych, które są
zarażone, ale systemy z zainstalowanymi tymi pakietami Shadow
Suite oraz większość systemów w wersji przed-ELF bez
pakietu Shadow Suite są podatne na atak!
Więcej informacji na ten temat znajdziesz na stronie poświęconej bezpieczeństwu w Linux-ie. (Shared Libraries and login Program Vulnerability)
Jedyny polecany pakiet Shadow Suite jest wciąż w wersji
BETA, chociaż najnowsze wersje są bezpieczne w środowisku produkcji
i nie zawierają podatnego na ataki programu login.
W pakiecie używane jest następujące nazewnictwo:
shadow-RRMMDD.tar.gz
gdzie RRMMDD oznacza datę wprowadzenia pakietu w obieg.
Wersja ta ostatecznie będzie wersją 3.3.3, kiedy
zakończone zostaną testy w wersji BETA, a obsługiwana jest przez
Marka Michałkiewicza <marekm@i17linuxb.ists.pwr.wroc.pl>.
Dostępna jest jako shadow-current.tar.gz.
Dostępna jest także pod adresem ftp.icm.edu.pl.
Powinieneś użyć najnowszej dostępnej wersji.
NIE powinieneś używać wersji starszej niż
shadow-960129 ponieważ występuje tam opisany powyżej
problem z programem login.
Jeśli piszę o pakiecie Shadow Suite, to mam na myśli ten
właśnie plik. Zakłada się też, że tej właśnie wersji używasz.
Aby napisać ten dokument użyłem tej właśnie wersji pakietu.
Jeśli wcześniej używałeś pakietu shadow-mk, powinieneś
zaktualizować go do tej wersji i ponownie skompilować wszystko to,
co pierwotnie przekompilowałeś,
Pakiet ten zawiera zastępcze wersje dla programów:
su, login, passwd, newgrp, chfn, chsh, id
Pakiet ten zawiera także nowe programy:
chage, newusers, dpasswd, gpasswd, useradd, userdel, usermod, groupadd,
groupdel, groupmod, groups, pwck, grpck, lastlog, pwconv, pwunconv.
Dodatkowo znajduje się tam także biblioteka libshadow.a
przeznaczona do pisania i kompilowania programów, które potrzebują
dostępu do haseł użytkowników.
Zawarte są także strony podręcznika systemowego do wszystkich programów.
Znajduje się tam także plik konfiguracyjny dla programu login,
który zostanie zainstalowany jako /etc/login.defs.