<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"> <HTML> <HEAD> <TITLE>Linux Shadow Password HOWTO: Ottenere la Shadow Suite</TITLE> <LINK HREF="Shadow-Password-HOWTO-4.html" REL=next> <LINK HREF="Shadow-Password-HOWTO-2.html" REL=previous> <LINK HREF="Shadow-Password-HOWTO.html#toc3" REL=contents> </HEAD> <BODY> <A HREF="Shadow-Password-HOWTO-4.html">Avanti</A> <A HREF="Shadow-Password-HOWTO-2.html">Indietro</A> <A HREF="Shadow-Password-HOWTO.html#toc3">Indice</A> <HR> <H2><A NAME="s3">3. Ottenere la Shadow Suite</A></H2> <H2><A NAME="ss3.1">3.1 Storia della Shadow Suite per Linux</A> </H2> <P><EM>NON USATE I PACCHETTI DI QUESTO CAPITOLO, HANNO PROBLEMI DI SICUREZZA</EM> <P>La <EM>Shadow Suite</EM> originale è stata scritta da <CODE>John F. Haugh II</CODE>. <P>Esistono diverse versioni che sono state usate su sistemi Linux: <UL> <LI><CODE>shadow-3.3.1</CODE> è l'originale;</LI> <LI><CODE>shadow-3.3.1-2</CODE> è la patch specifica per Linux fatta da <A HREF="mailto:flla@stud.uni-sb.de">Florian La Roche <flla@stud.uni-sb.de></A> e contiene alcuni ulteriori miglioramenti;</LI> <LI><CODE>shadow-mk</CODE> è stata specificamente impacchettata per Linux.</LI> </UL> <P>Il pacchetto <CODE>shadow-mk</CODE> contiene il pacchetto <CODE>shadow-3.3.1</CODE> distribuito da <CODE>John F. Haugh II</CODE> con la <CODE>patch shadow-3.3.1-2</CODE> installata, alcune correzioni fatte da <A HREF="mailto:magnus@texas.net">Mohan Kokal <magnus@texas.net></A> che semplificano molto l'installazione, una patch di <CODE>Joseph R.M. Zbiciak</CODE> per <CODE>login1.c</CODE> (login.secure) che elimina i bachi di sicurezza -f, -h in /bin/login, e alcune altre patch di vario tipo. <P>Il pacchetto <CODE>shadow.mk</CODE> era il pacchetto <EM>precedentemente</EM> raccomandato, ma dovrebbe essere sostituito a causa di <EM>problemi di sicurezza</EM> con il programma di <CODE>login</CODE>. <P>Ci sono problemi di <EM>sicurezza</EM> con le versioni 3.3.1, 3.3.1-2 di Shadow, e con shadow-mk che coinvolgono il programma di <CODE>login</CODE>. Questo baco di <CODE>login</CODE> riguarda il mancato controllo di un nome di login. Questo provoca un overflow nel buffer, con conseguente crash o peggio. Si è diffusa la voce che questo overflow del buffer possa permettere a qualcuno con un account sul sistema di usare questo baco e le librerie condivise per ottenere l'accesso come <EM>root</EM>. Non discuterò esattamente come questo sia possibile, perché ci sono molti sistemi Linux che ne sono affetti, ma sistemi con queste <EM>Shadow Suite</EM> installate e la maggior parte delle distribuzioni pre-ELF <EM>senza</EM> la <EM>Shadow Suite</EM> sono vulnerabili! <P>Per avere maggiori informazioni su questo e altri aspetti della sicurezza su Linux, guardate la: <A HREF="http://bach.cis.temple.edu/linux/linux-security/Linux-Security-FAQ/Linux-telnetd.html">Linux Security home page (Shared Libraries and login Program Vulnerability)</A><P> <H2><A NAME="ss3.2">3.2 Dove prendere la Shadow Suite</A> </H2> <P>L'unica <EM>Shadow Suite</EM> raccomandata è ancora in beta testing, comunque le ultime versioni sono sicure in un ambiente di produzione e non contengono un programma di <CODE>login</CODE> vulnerabile. <P>Il pacchetto usa la seguente convenzione di denominazione: <BLOCKQUOTE><CODE> <PRE> shadow-AAMMGG.tar.gz </PRE> </CODE></BLOCKQUOTE> dove <CODE>AAMMGG</CODE> è la data di rilascio della Suite. <P>Questa versione alla fine diventerà la <EM>Versione 3.3.3</EM> quando verrà rilasciata dal beta testing ed è mantenuta da <A HREF="mailto:marekm@i17linuxb.ists.pwr.wroc.pl">Marek Michalkiewicz <marekm@i17linuxb.ists.pwr.wroc.pl></A>. È disponibile come: <A HREF="ftp://i17linuxb.ists.pwr.wroc.pl/pub/linux/shadow/shadow-current.tar.gz">shadow-current.tar.gz</A>. <P>Sono stati anche organizzati i seguenti siti mirror: <UL> <LI> <A HREF="ftp://ftp.icm.edu.pl/pub/Linux/shadow/shadow-current.tar.gz">ftp://ftp.icm.edu.pl/pub/Linux/shadow/shadow-current.tar.gz</A></LI> <LI> <A HREF="ftp://iguana.hut.fi/pub/linux/shadow/shadow-current.tar.gz">ftp://iguana.hut.fi/pub/linux/shadow/shadow-current.tar.gz</A></LI> <LI> <A HREF="ftp://ftp.cin.net/usr/ggallag/shadow/shadow-current.tar.gz">ftp://ftp.cin.net/usr/ggallag/shadow/shadow-current.tar.gz</A></LI> <LI> <A HREF="ftp://ftp.netural.com/pub/linux/shadow/shadow-current.tar.gz">ftp://ftp.netural.com/pub/linux/shadow/shadow-current.tar.gz</A></LI> </UL> <P>Dovreste usare la versione attualmente disponibile. <P>NON dovreste usare una versione <EM>precedente</EM> alla <CODE>shadow-960129</CODE> perché anche quelle hanno il problema di sicurezza di <CODE>login</CODE> discusso sopra. <P>Quando questo documento fa riferimento alla <EM>Shadow Suite</EM> mi riferisco a questo pacchetto. Si assume che sia questo il pacchetto che state usando. <P>Per riferimento, io ho usato <CODE>shadow-960129</CODE> per fare queste istruzioni di installazione. <P>Se stavate usando <CODE>shadow-mk</CODE>, dovreste fare l'aggiornamento a questa versione e ricompilare tutto ciò che avevate originariamente compilato. <P> <H2><A NAME="ss3.3">3.3 Cosa è incluso nella Shadow Suite</A> </H2> <P>La <EM>Shadow Suite</EM> contiene programmi sostitutivi per: <P><CODE>su, login, passwd, newgrp, chfn, chsh, e id</CODE> <P>Il pacchetto contiene anche i nuovi programmi: <P><CODE>chage, newusers, dpasswd, gpasswd, useradd, userdel, usermod, groupadd, groupdel, groupmod, groups, pwck, grpck, lastlog, pwconv, e pwunconv</CODE> <P>Inoltre è compresa la libreria: <CODE>libshadow.a</CODE> per scrivere e/o compilare programmi che necessitino di accedere alle password degli utenti. <P>Sono anche comprese pagine di manuale per i programmi. <P>C'è anche un file di configurazione per il programma di login che sarà installato come <CODE>/etc/login.defs</CODE>. <P> <HR> <A HREF="Shadow-Password-HOWTO-4.html">Avanti</A> <A HREF="Shadow-Password-HOWTO-2.html">Indietro</A> <A HREF="Shadow-Password-HOWTO.html#toc3">Indice</A> </BODY> </HTML>