Avanti Indietro Indice

3. Ottenere la Shadow Suite

3.1 Storia della Shadow Suite per Linux

NON USATE I PACCHETTI DI QUESTO CAPITOLO, HANNO PROBLEMI DI SICUREZZA

La Shadow Suite originale è stata scritta da John F. Haugh II.

Esistono diverse versioni che sono state usate su sistemi Linux:

Il pacchetto shadow-mk contiene il pacchetto shadow-3.3.1 distribuito da John F. Haugh II con la patch shadow-3.3.1-2 installata, alcune correzioni fatte da Mohan Kokal <[email protected]> che semplificano molto l'installazione, una patch di Joseph R.M. Zbiciak per login1.c (login.secure) che elimina i bachi di sicurezza -f, -h in /bin/login, e alcune altre patch di vario tipo.

Il pacchetto shadow.mk era il pacchetto precedentemente raccomandato, ma dovrebbe essere sostituito a causa di problemi di sicurezza con il programma di login.

Ci sono problemi di sicurezza con le versioni 3.3.1, 3.3.1-2 di Shadow, e con shadow-mk che coinvolgono il programma di login. Questo baco di login riguarda il mancato controllo di un nome di login. Questo provoca un overflow nel buffer, con conseguente crash o peggio. Si è diffusa la voce che questo overflow del buffer possa permettere a qualcuno con un account sul sistema di usare questo baco e le librerie condivise per ottenere l'accesso come root. Non discuterò esattamente come questo sia possibile, perché ci sono molti sistemi Linux che ne sono affetti, ma sistemi con queste Shadow Suite installate e la maggior parte delle distribuzioni pre-ELF senza la Shadow Suite sono vulnerabili!

Per avere maggiori informazioni su questo e altri aspetti della sicurezza su Linux, guardate la: Linux Security home page (Shared Libraries and login Program Vulnerability)

3.2 Dove prendere la Shadow Suite

L'unica Shadow Suite raccomandata è ancora in beta testing, comunque le ultime versioni sono sicure in un ambiente di produzione e non contengono un programma di login vulnerabile.

Il pacchetto usa la seguente convenzione di denominazione:

shadow-AAMMGG.tar.gz
dove AAMMGG è la data di rilascio della Suite.

Questa versione alla fine diventerà la Versione 3.3.3 quando verrà rilasciata dal beta testing ed è mantenuta da Marek Michalkiewicz <[email protected]>. È disponibile come: shadow-current.tar.gz.

Sono stati anche organizzati i seguenti siti mirror:

Dovreste usare la versione attualmente disponibile.

NON dovreste usare una versione precedente alla shadow-960129 perché anche quelle hanno il problema di sicurezza di login discusso sopra.

Quando questo documento fa riferimento alla Shadow Suite mi riferisco a questo pacchetto. Si assume che sia questo il pacchetto che state usando.

Per riferimento, io ho usato shadow-960129 per fare queste istruzioni di installazione.

Se stavate usando shadow-mk, dovreste fare l'aggiornamento a questa versione e ricompilare tutto ciò che avevate originariamente compilato.

3.3 Cosa è incluso nella Shadow Suite

La Shadow Suite contiene programmi sostitutivi per:

su, login, passwd, newgrp, chfn, chsh, e id

Il pacchetto contiene anche i nuovi programmi:

chage, newusers, dpasswd, gpasswd, useradd, userdel, usermod, groupadd, groupdel, groupmod, groups, pwck, grpck, lastlog, pwconv, e pwunconv

Inoltre è compresa la libreria: libshadow.a per scrivere e/o compilare programmi che necessitino di accedere alle password degli utenti.

Sono anche comprese pagine di manuale per i programmi.

C'è anche un file di configurazione per il programma di login che sarà installato come /etc/login.defs.


Avanti Indietro Indice