  Przes�anianie hase� (Shadow Password)
  Autor: Michael H. Jackson, mhjack@tscnet.com
  v1.3, 3 Kwietnia 1996
  WWeerrssjjaa ppoollsskkaa:: BBaarrttoosszz MMaarruusszzeewwsskkii
  BB..MMaarruusszzeewwsskkii@@zzssmmeeiiee..ttoorruunn..ppll
  v1.02, 26 Lipca 1997

  Dokument ten opisuje jak zdoby�, zainstalowa� i skonfigurowa� pakiet
  _S_h_a_d_o_w _P_a_s_s_w_o_r_d dla Linux-a. Om�wione zosta�o tutaj tak�e zdobywanie i
  (ponowna) instalacja oprogramowania oraz demon�w sieciowych, kt�re
  potrzebuj� dost�pu do hase� u�ytkownika. Oprogramowanie to nie jest
  w�a�ciw� cz�ci� pakietu _S_h_a_d_o_w _S_u_i_t_e, ale b�d� one musia�y zosta�
  przekompilowane, aby m�c korzysta� z hase�. Jest tutaj tak�e zawarty
  przyk�ad dla programist�w, jak dodawa� obs�ug� przes�anianych hase� w
  swoich programach.  Pod koniec dokumentu zawarte zosta�y odpowiedzi na
  cz�sto zadawane pytania.  Dokument ten zosta� napisany w standardzie
  ISO-8859-2.  Orygina� mo�na znale�� pod adresem ftp.icm.edu.pl w kata�
  logu /pub/Linux/sunsite/docs/HOWTO.
  ______________________________________________________________________

  Table of Contents:

  1.      Wprowadzenie.

  1.1.    Zmiany w stosunku do poprzedniej wersji.

  1.2.    Nowe wersje tego dokumentu.

  1.3.    Komentarze.

  2.      Po co przes�ania� plik passwd ?

  2.1.    Czemu mo�esz nie chcie� przes�ania� swojego pliku z has�ami ?

  2.2.    Format pliku /etc/passwd.

  2.3.    Format pliku przes�aniaj�cego.

  2.4.    Przegl�d funkcji crypt(3).

  3.      Zdobywanie pakietu Shadow Suite.

  3.1.    Historia pakietu Shadow Suite dla Linux-a.

  3.2.    Gdzie znale�� pakiet Shadow Suite.

  3.3.    Co jest zawarte w pakiecie Shadow Suite.

  4.      Kompilacja program�w.

  4.1.    Rozpakowywanie archiw�w.

  4.2.    Konfiguracja w pliku config.h

  4.3.    Kopie zapasowe twoich oryginalnych program�w.

  4.4.    Polecenie make

  5.      Instalacja

  5.1.    Zaopatrz si� w dyskietk� startow� w razie gdyby� co� popsu�.

  5.2.    Usuwanie zduplikowanych stron podr�cznika systemowego.

  5.3.    Polecenie make install

  5.4.    Polecenie pwconv

  5.5.    Zmiany nazw plik�w npasswd i nshadow

  6.      Inne programy, kt�re mo�e musisz uaktualni� albo "za�ata�".

  6.1.    Program adduser z dystrybucji Slackware.

  6.2.    Serwer wu_ftpd.

  6.3.    Standardowy ftpd.

  6.4.    pop3d (Post Office Protocol 3)

  6.5.    xlock

  6.6.    xdm

  6.7.    sudo

  6.8.    imapd (E-Mail

  6.9.    pppd (Serwer Protoko�u Point-to-Point)

  7.      Wprowadzanie pakietu Shadow Suite do u�ycia.

  7.1.    Dodawanie, Modyfikacja i usuwanie u�ytkownik�w.

  7.1.1.  useradd.

  7.1.2.  usermod.

  7.1.3.  userdel.

  7.2.    Polecenie passwd i "termin wa�no�ci" has�a.

  7.3.    Plik login.defs

  7.4.    Has�a dla grup.

  7.5.    Programy do sprawdzania poprawno�ci.

  7.5.1.  pwck

  7.5.2.  grpck

  7.6.    Has�a przez telefon. (Dial-up)

  8.      Obs�uga przes�anianych hase� w programach w C.

  8.1.    Pliki nag��wkowe.

  8.2.    Biblioteka libshadow.a

  8.3.    Struktura Shadow.

  8.4.    Funkcje pakietu Shadow Suite.

  8.5.    Przyk�ad.

  9.      Cz�sto zadawane pytania.

  10.     Prawa autorskie podzi�kowania i r�ne.

  10.1.   Prawa autorskie

  10.2.   Podzi�kowania i r�ne.

  10.3.   Od t�umacza.
  ______________________________________________________________________

  11..  WWpprroowwaaddzzeenniiee..

  Jest to dokument z serii HOWTO (czyli Jak To Zrobi�). Opisuje on jak i
  dlaczego instalowa� obs�ug� "shadow password" na swoim Linux-ie.
  Zawarte jest tak�e kilka przyk�ad�w na u�ywanie pewnych w�a�ciwo�ci
  pakietu _S_h_a_d_o_w _S_u_i_t_e.

  Podczas instalacji pakietu oraz u�ywania jego narz�dzi musisz by�
  zalogowany jako _"_r_o_o_t_". Podczas instalacji b�dziesz dokonywa� pewnych
  zmian do oprogramowania systemowego i zalecane jest, aby� zrobi� kopi�
  tego oprogramowania. Zalecam te�, aby� przeczyta� i zrozumia�
  wszystkie instrukcje zawarte tutaj zanim zaczniesz.

  11..11..  ZZmmiiaannyy ww ssttoossuunnkkuu ddoo ppoopprrzzeeddnniieejj wweerrssjjii..

  Dodane sekcje:
     Doda�em sekcj� na temat dlaczego m�g�by� niechcie� instalowa�
     pakietu Shadow Suite.
     Doda�em sekcj� jak uaktualni� xdm-a.
     Doda�em sekcj� jak zmusi� do dzia�ania specjalne w�a�ciwo�ci pakietu
     Shadow Suite.
     Doda�em sekcj� zawieraj�c� cz�sto zadawane pytania.

  Poprawki/Uaktualnienia:
     Poprawi�em odwo�ania html do sunsite-a.
     Poprawi�em sekcj� na temat wu-ftpd, aby odzwierciedla�a dodawanie
     -lshadow do pliku Makefile.
     Poprawi�em kilka liter�wek.
     Zmieni�em sekcj� na temat wu-ftpd, aby obs�ugiwa� ELF.
     Uaktualni�em ca�y dokument, aby odzwierciedla� problemy bezpiecze�stwa
     w r�nych programach.
     Doda�em rekomendacj� pakietu Linux Shadow Suite napisanego
     przez Marka Micha�kiewicza

  11..22..  NNoowwee wweerrssjjee tteeggoo ddookkuummeennttuu..

  Najnowsz� wersj� orygina�u tego dokumentu mo�na �ci�gn�� z
  ftp.icm.edu.pl z katalogu /pub/Linux/sunsite/docs/HOWTO.  Inne formaty
  znajduj� si� w katalogu other-formats. Albo poprzez sie� WWW z
  sunsite.icm.edu.pl
  <http://sunsite.icm.edu.pl:/pub/Linux/Documentation>. Mo�na te�
  bezpo�rednio od autora <mailto:mhjack@tscnet.com>. Autor b�dzie te�
  wysy�a� nowe wersje na grup� dyskusyjn� comp.os.linux.answers

  Dokument ten jest tak�e rozprowadzany wraz z dystrybucj� pakietu
  Shadow-YYDDMM.

  Na temat nowych wersji t�umaczenia zobacz sekcj� ``Od t�umacza''.

  11..33..  KKoommeennttaarrzzee..

  Prosz� wszelkie komentarze, uaktualnienia czy sugestie wysy�a� do mnie
  <mailto:mhjack@tscnet.com>. Im szybciej otrzymam poczt� tym szybciej
  mog� poprawi� ten dokument. Je�li masz jakie� uwagi na jego temat, to
  wy�lij je bezpo�rednio do mnie, poniewa� bardzo rzadko odwiedzam grupy
  dyskusyjne.

  22..  PPoo ccoo pprrzzeess��aanniiaa�� pplliikk ppaasssswwdd ??

  W chwili obecnej wi�kszo�� dystrybucji Linux-a nie instaluje domy�lnie
  pakietu Shadow Suite. Dotyczy to Slackware 2.3, Slackware 3.0 i innych
  popularnych dystrybucji. Jednym z powod�w tego jest to, �e je�li
  zap�acono jak�� kwot� za Shadow Suite to prawa co do redystrybucji nie
  by�y do ko�ca jasne. Linux u�ywa licencji GNU, kt�ra pozwala na
  umieszczanie go w dowolnych pakietach (jak np. dystrybucje CD-ROM) i
  pobieranie za nie op�aty.

  Obecny opiekun pakietu Shadow Suite, Marek Micha�kiewicz
  <mailto:marekm@ists.pwr.wroc.pl> otrzyma� �r�d�a orygina�u na licencji
  w stylu BSD, kt�ra pozwala na dystrybucj�.  Teraz, kiedy ju� sprawy
  praw kopiowania s� rozwi�zane, spodziewane jest, �e przysz�e
  dystrybucje b�d� zawiera� domy�lnie przes�anianie hase�. Jednak do
  tego czasu, b�dziesz musia� je samemu instalowa�.

  Je�li instalowa�e� swoj� dystrybucj� z CD-ROM-u, to pomimo, �e
  dystrybucja nie zainstalowa�a Shadow Suite niekt�re pliki, kt�rych
  potrzebujesz mog� si� znajdowa� na CD-ROM-ie.

  _W_e_r_s_j_e _p_a_k_i_e_t_u _3_._3_._1_, _3_._3_._1_-_2 _i _s_h_a_d_o_w_-_m_k _m_a_j_� _p_r_o_b_l_e_m_y _d_o_t_y_c_z_�_c_e
  _b_e_z_p_i_e_c_z_e_�_s_t_w_a _z_e _s_w_o_i_m _p_r_o_g_r_a_m_e_m _l_o_g_i_n _i _k_i_l_k_o_m_a _i_n_n_y_m_i _p_r_o_g_r_a_m_a_m_i
  _t_y_p_u _s_u_i_d _r_o_o_t _i _n_i_e _p_o_w_i_n_n_y _b_y_� _j_u_� _u_�_y_w_a_n_e_.

  Wszystkie potrzebne pliki s� dost�pne poprzez anonimowane ftp oraz
  WWW.

  W Linux-ie bez zainstalowanego pakietu Shadow Suite informacje o
  u�ytkowniku wraz z has�em trzymane s� w pliku /etc/passwd.  Has�o
  znajduje si� tam w formie zakodowanej (encrypted). Jednak je�li
  spytasz jakiego� eksperta od kryptografii, to powie ci on/ona, �e
  has�o jest w postaci "encoded", a nie "encrypted" poniewa� u�ywaj�c
  funkcji crypt(3), tekstowi jest przypisywany �a�cuch pusty a has�o
  jest kluczem. Dlatego, od tego momentu b�d� u�ywa� okre�lenia
  "encoded".

  Algorytm u�ywany do kodowania has�a jest technicznie okre�lany jako
  algorytm dzia�aj�cy w jedn� stron�. Jest to algorytm, kt�ry jest �atwy
  do zastosowania w jedn� stron�, ale bardzo trudny do z�amania. Wi�cej
  na ten temat znajdziesz w sekcji ``2.4'' albo na stronie podr�cznika
  systemowego dotycz�cej funkcji crypt(3).

  Kiedy u�ytkownik wybiera has�o, albo jest mu ono przydzielone, jest
  ono kodowane losowo generowan� warto�ci� zwan� salt (s�l). Oznacza to,
  �e ka�de has�o mo�e zosta� zakodowane na 4096 sposob�w. Warto�� salt
  jest potem zapisywana razem z zakodowanym has�em.

  Kiedy u�ytkownik si� wlogowuje i podaje has�o, najpierw pobierana jest
  warto�� salt z zakodowanego has�a. Nast�pnie pobrane has�o zostaje
  zakodowane pobran� warto�ci�, i por�wnane z zapisanym zakodowanym
  has�em. Je�li �a�cuchy te s� identyczne, to u�ytkownik zostaje
  "wpuszczony" do systemu. Jest bardzo trudno (ale nie jest to
  niemo�liwe) wzi�� losowo zakodowane has�o i otrzyma� has�o
  rozkodowane. Chocia�, w ka�dym systemie z wi�ksz� liczb� u�ytkownik�w,
  przynajmniej kilka hase� b�dzie zwyk�ymi s�owami albo jak�� wariacj�
  zwyk�ych s��w.

  W�amywacze wi�dz� o tym wszystkim i po prostu koduj� s�ownik ze
  s�owami i popularnymi has�ami wszytkimi mo�liwymi warto�ciami salt.
  Potem por�wnaj� wyniki z zawarto�ci� twojego pliku /etc/passwd. Jak
  znajd� jaki� identyczny �a�cuch, to maj� has�o na nast�pne konto.
  Nazywane jest to atakiem s�ownikowym i jest to jeden z
  najpopularniejszych sposob�w na pozyskiwanie dost�pu do systemu przez
  osoby nieuprawnione.

  Je�li si� nad tym zastanowisz, to zobaczysz, �e 8-znakowe has�o mo�e
  zosta� zakodowane na 4096 * 13 sposob�w. Tak wi�c s�ownik sk�adaj�cy
  si� powiedzmy z 400.000 popularnych s��w, nazw, imion, hase� i ich
  prostych wariacji zmie�ci�by si� z �atwo�ci� na dysku o pojemno�ci
  4GB. W�amywacz musi go tylko posortowa� i sprawdzi� czy kt�ry� z
  �a�cuch�w nie jest has�em. Dysk o pojemno�ci 4GB mo�na kupi� za ok.
  1000 dolar�w, tak wi�c mie�ci si� to w mo�liwo�ciach wi�kszo�ci
  w�amywaczy systemowych.

  Je�li w�amywacz zdob�dzie tw�j plik /etc/passwd, to musi on zakodowa�
  sw�j s�ownik kluczem, kt�ry znajduje si� w tym pliku. Metoda ta mo�e
  by� wykorzystana przez przeci�tnego nastolatka z kilkoma megabajtami
  na dysku i komputerem klasy 486.

  Nawet bez du�ej ilo�ci wolnego miejsca na dysku, narz�dzia takie jak
  crack(1) mog� zwykle z�ama� przynajmniej kilka hase� z systemu z
  dostatecznie du�� ilo�ci� u�ytkownik�w (zak�adaj�c, �e u�ytkownicy
  maj� mo�liwo�� samemu wybiera� sobie has�a).

  Plik /etc/passwd zawiera tak�e takie informacje jak ID u�ytkownika i
  ID grupy, kt�re s� u�ywane przez wi�kszo�� program�w. Dlatego plik
  /etc/passwd mmuussii pozosta� odczytywalny dla ka�dego. Je�li chcia�e�
  w�a�nie zmieni� prawa dost�pu do pliku /etc/passwd tak, �eby nikt nie
  m�g� go czyta� (opr�cz "root-a"), to pierwszym symptomem jaki by�
  zauwa�y�, to to, �e przy wydaniu polecenia ls -l pojawi�yby si� numery
  zamiast nazw u�ytkownik�w.

  Pakiet Shadow Suite rozwi�zuje ten problem poprzez umieszczenie hase�
  w innym pliku (z regu�y jest to /etc/shadow). Plik /etc/shadow ma tak
  ustawione prawa dost�pu, �e nie mo�e go czyta� nikt, opr�cz "root-a".
  Niekt�re programy jak np. xlock, nie musz� mie� mo�liwo�ci zmiany
  hase�, ale tylko ich odczytu. Programy te mog� albo by� uruchamiane z
  prawem "suid root", albo mo�esz doda� grup� shadow, kt�ra mia�aby
  tylko prawo odczytu pliku /etc/shadow. Program ten mo�e wtedy nale�e�
  do grupy "shadow" i by� uruchamiany z prawem "sgid".

  Przenosz�c zakodowane has�a do innego pliku, efektywnie zabraniamy
  w�amywaczom dost�pu do nich, co uniemo�liwia ataki s�ownikowe.

  Dodatkowo pakiet Shadow Suite posiada wiele innych zalet:

  �  Plik konfiguracyjny, w kt�rym mo�na ustawic warto�ci domy�lne
     podczas logowania (/etc/login.defs)

  �  Narz�dzia do dodawania, modyfikacji i usuwania kont i grup.

  �  Ustalanie "daty wa�no�ci" konta i jego wygasanie (expiration).

  �  Przes�anianie hase� dla grup. (opcjonalnie)

  �  Has�a o podw�jnej d�ugo�ci (16 znak�w) [NIE ZALECANE]

  �  Lepsza kontrola nad wybieraniem hase� przez u�ytkownik�w.

  �  Has�a przez telefon.

  �  Programy do dodatkowej autentykacji [NIE ZALECANE]

  Instalacja pakietu Shadow Suite przyczynia si� do zwi�kszenia
  bezpiecze�stwa sieci opartej na Linux-ie, ale pozostaje jeszcze wiele
  innych rzeczy do zrobienia, aby zwi�kszy� bezpiecze�stwo takiej sieci.
  Z czasem pojawi si� seria HOWTO po�wi�cona bezpiecze�stwu.

  Na stronie po�wi�conej bezpiecze�stwu w Linux-ie
  <http://bach.cis.temple.edu/linux/linux-security/> zawarte s� r�ne
  informacje na ten temat jak r�wnie� ostrze�enia o znanych dziurach w
  systemie.

  22..11..  CCzzeemmuu mmoo��eesszz nniiee cchhcciiee�� pprrzzeess��aanniiaa�� sswwoojjeeggoo pplliikkuu zz hhaass��aammii ??

  Jest kilka okoliczno�ci i konfiguracji, w kt�rych instalacja pakietu
  Shadow Suite nniiee bbyy��aabbyy dobrym pomys�em:

  �  Maszyna nie zawiera kont u�ytkownik�w.

  �  Twoja maszyna jest w sieci LAN i u�ywa NIS (Network Information
     Services), aby obs�ugiwa� nazwy u�ytkownik�w i has�a na innych
     maszynach w tej samej sieci. (W�a�ciwie mog�oby to by� zrobione,
     ale wykracza poza ramy tego dokumentu i nie zwi�kszy�oby
     bezpiecze�stwa w znacznym stopniu.)

  �  Twoja maszyna jest u�ywana przez serwery terminali, aby weryfikowa�
     u�ytkownik�w poprzez NFS (Network File System), NIS albo jak�� inn�
     metod�.

  �  Na twojej maszynie znajduje si� inne oprogramowanie, kt�re
     autentykuje u�ytkownik�w, a nie ma wersji tego oprogramowania dla
     shadow i nie masz �r�de�.

  22..22..  FFoorrmmaatt pplliikkuu //eettcc//ppaasssswwdd..

  Nieprzes�oni�ty plik /etc/passwd ma nast�puj�cy format:

  identyfikator:has�o:UID:GID:imie_nazw:katalog:pow�oka

  Gdzie:

     iiddeennttyyffiikkaattoorr
        Nazwa (login) u�ytkownika

     hhaass��oo
        Zakodowane has�o

     UUIIDD
        Numer u�ytkownika

     GGIIDD
        Numer domy�lnej grupy dla u�ytkownika

     iimmiiee__nnaazzww
        Imi� i nazwisko u�ytkownika - W�a�ciwie pole to nazywa si� GECOS
        (General Electric Comprehensive Operating System) i mog� tam by�
        zapisane inne dane ni� tylko imi� i nazwisko Polecenia Shadow i
        strony podr�cznika systemowego nazywaj� to pole polem
        komentarza.

     kkaattaalloogg
        Katalog domowy u�ytkownika (pe�na �cie�ka)

     ppooww��ookkaa
        Pow�oka dla danego u�ytkownika (pe�na �cie�ka)

  Na przyk�ad:

  login:Nkjg97jh7yff8:503:100:Imi� Nazwisko:/home/login:/bin/bash

  Gdzie Nk jest wartoci� salt a jg97jh7yff8 jest zakodowanym has�em.
  Zakodowane has�o z kluczem mog�oby r�wnie dobrze wygl�da� tak:
  ghHFgj75fR8iP a te dwa �a�cuchy to dok�anie te same has�a. Jest 4096
  mo�liwo�ci zakodowania pojedynczego has�a. {Przyk�adowym has�em jest
  tutaj

  Jak ju� pakiet Shadow Suite jest zainstalowany, to plik /etc/passwd
  zawiera:

  login:x:503:100:Imi� Nazwisko:/home/login:/bin/bash

  Znaczek "x" w tym przypadku jest po prostu czym� co wype�nia miejsce
  has�a. Format pliku /etc/passwd si� nie zmieni�, zmieni�o si� tylko
  miejsce przechowywania zakodowanego has�a. Oznacza to, �e ka�dy
  program, kt�ry tylko czyta plik /etc/passwd,a nie zapisuje w nim
  has�a, b�dzie nadal dzia�a� poprawnie.

  Has�a znajduj� si� obecnie w pliku /etc/shadow. (jest to domy�lna
  nazwa)

  22..33..  FFoorrmmaatt pplliikkuu pprrzzeess��aanniiaajj��cceeggoo..

  Plik /etc/shadow zawiera nast�puj�ce informacje:

  login:has�o:ostatnio_1970:mo�e:musi:ostrz:dni:dni_1970:zarez

  Gdzie:

     llooggiinn
        patrz /etc/passwd

     hhaass��oo
        Zakodowane has�o

     oossttaattnniioo__11997700
        Ilo�� dni od 1 Stycznia 1970, kiedy has�o by�o ostatnio
        modyfikowane

     mmoo��ee
        Ilo�� dni w przeci�gu, kt�rych has�o mo�e by� zmienione
     mmuussii
        Ilo�� dni, po kt�rej has�o musi zosta� zmienione

     oossttrrzz
        Ilo�� dni przed wyga�ni�ciem has�a od jakiej nale�y zacz��
        informowa� u�ytkownika o wyga�ni�ciu has�a.

     ddnnii
        Ilo�� dni, po kt�rej has�o wygasa i konto jest blokowane

     ddnnii__11997700
        Ilo�� dni od 1 Stycznia 1970, po kt�rej konto jest blokowane

     zzaarreezz
        Pole zarezerwowane

  Poprzedni przyk�ad m�g� wi�c wygl�da� tak:

  login:Nkjg97jh7yff8:9479:0:10000::::

  22..44..  PPrrzzeeggll��dd ffuunnkkccjjii ccrryypptt((33))..

  Ze strony podr�cznika systemowego "man":

  "crypt jest funkcj� koduj�c� has�o. Oparta jest na algorytmie DES
  (Data Encryption Standard) z dozwolonymi wariacjami (mi�dzy innymi),
  aby zniech�ci� do sprz�towych rozwi�za� poszukiwania klucza.

  Kluczem jest podane przez u�ytkownika has�o. [Zakodowany �a�cuch jest
  warto�ciami NULL]

  Salt jest �a�cuchem 2-znakowym wybranym ze zbioru [a-zA-Z0-9]. �a�uch
  ten jest u�yty po to, aby zaburzy� algorytm w jeden z 4096 sposob�w.

  Bior�c 7 najmniej znacz�cych bit�w ka�dego znaku z klucza otrzymujemy
  56-bitowy klucz. Ten 56-bitowy klucz jest u�ywany, do powt�rnego
  kodowania sta�ego �a�cucha (zwykle s� to znaki NULL). Zwr�cona warto��
  wskazuje na zakodowane has�o - seri� 13 drukowalnych znak�w ASCII (dwa
  pierwsze znaki reprezentuj� warto�� salt). Warto�� zwracana wskazuje
  na sta�e dane, kt�rych zawarto�� jest zmieniana przy ka�dym wywo�aniu.

  UUwwaaggaa:: Liczba mo�liwych warto�ci klucza to 2^56 = 7,2E16 (oko�o 72
  biliard�w). Wyczerpuj�ce poszukiwania tego klucza ss�� mmoo��lliiwwee przy
  wykorzystaniu wielu r�wnolegle wsp�pracuj�cych komputer�w.
  Oprogramowanie, takie jak crack(1), jest dost�pne i szuka ono takich
  kluczy, kt�re z regu�y u�ywane s� przez ludzi. Dlatego w�a�nie przy
  wybieraniu has�a powinno si� unika� przynajmniej zwyk�ych s��w. Zaleca
  si�, u�ywanie programu passwd(1), kt�re podczas zmiany has�a sprawdza
  czy nowe has�o nie jest przesadnie proste.

  Algorytm DES ma w sobie pewne kruczki, kt�re czyni� u�ycie interfejsu
  crypt(3) bezu�ytecznym w przypadku innym ni� autentykacja hase�. Je�li
  masz zamiar u�ywa� interfejsu crypt(3) do kryptografii nie r�b tego:
  zdob�d� dobr� ksi��k� na temat kodowania (encryption) i jedn� z
  szeroko dost�pnych bibliotek DES."

  Wi�kszo�� pakiet�w Shadow Suite zawiera kod zwi�kszaj�cy ilo�� znak�w
  w ha�le do 16. Eksperci od DES-a s� temu przeciwni, poniewa� w takim
  przypadku kodowanie najpierw odbywa si� dla lewej strony d�u�szego
  has�a, a potem dla prawej strony. Z powodu tego jak dzia�a crypt, mo�e
  to stworzy� mniej bezpiecznie zakodowane has�o ni� wtedy, gdy u�yte
  zosta�oby has�o kr�tsze. Dodatkowo, jest ma�o prawdopodobne, �eby
  u�ytkownik by� w stanie zapami�ta� has�o 16-znakowe.

  Trwaj� w tej chwili prace, kt�re maj� na celu zast�pienie
  dotychczasowego algorytmu autentykacji czym� bardziej bezpiecznym oraz
  z obs�ug� d�u�szych hase� (szczeg�lnie algorytmem MD5) oraz
  pozostawienie kompatybilno�ci z metod� wykorzystuj�c� crypt.

  Je�li szukasz dobrej ksi��ki na temat kodowania polecam:

          "Applied Cryptography: Protocols, Algorithms, and Source Code in C"
          by Bruce Schneier <schneier@chinet.com>
          ISBN: 0-471-59756-2

  33..  ZZddoobbyywwaanniiee ppaakkiieettuu SShhaaddooww SSuuiittee..

  33..11..  HHiissttoorriiaa ppaakkiieettuu SShhaaddooww SSuuiittee ddllaa LLiinnuuxx--aa..

  NNIIEE UU��YYWWAAJJ PPAAKKIIEETT��WW WWYYMMIIEENNIIOONNYYCCHH WW TTEEJJ SSEEKKCCJJII,, SS�� WW NNIICCHH PPRROOBBLLEEMMYY ZZ
  BBEEZZPPIIEECCZZEE��SSTTWWEEMM..

  Orygina� pakietu Shadow Suite zosta� napisany przez John F. Haugh II.

  Jest kilka wersji, kt�re by�y u�ywane na Linux-ie:

  �  Orygina� to shadow-3.3.1

  �  shadow-3.3.1-2 to �ata przeznaczona specjalnie na Linux-a zrobiona
     przez Florian La Roche <flla@stud.uni-sb.de>. Zawiera ona tak�e
     dalsze ulepszenia.

  �  Pakiet shadow-mk zosta� skomponowany specjalnie dla Linux-a.

  Pakiet shadow-mk zawiera pakiet shadow-3.3.1 dystrybuowany przez John
  F. Haugh II wraz z �at� shadow-3.3.1-2 patch, kilka poprawek
  zrobionych przez Mohan Kokal <magnus@texas.net>, kt�re uczyni�y
  instalacj� o wiele �atwiejsz�, �at� zrobion� przez Joseph R.M.
  Zbiciak, kt�ra eliminuje dziury w programie /bin/login zwi�zane z
  opcjami -f, -h oraz kilka innych �at.

  Pakiet shadow-mk by� pakietem ppoopprrzzeeddnniioo rekomendowanym, ale powinien
  zosta� zamieniony z powodu pprroobblleemm��ww z bezpiecze�stwem zwi�zanych z
  programem login.

  W pakietach 3.3.1, 3.3.1-2 oraz shadow-mk s� problemy zwi�zane z
  programem login. B��d ten to niesprawdzanie d�ugo�ci podawanego
  identyfikatora. Powoduje to przepe�nienie bufora, co z kolei powoduje
  za�amania (crashes) programu albo gorzej. Podobno to przepe�nienie
  bufora mo�e by� wykorzystane przez kogo�, kto posiada konto w systemie
  w po��czeniu z bibliotekami dzielonymi, aby uzyska� przywileje rroooott--aa.
  Nie b�d� opisywa� jak dok�adnie dzia�a ten b��d poniewa� jest du�o
  system�w Linux-owych, kt�re s� zara�one, ale systemy z zainstalowanymi
  tymi pakietami Shadow Suite oraz wi�kszo�� system�w w wersji przed-ELF
  bbeezz pakietu Shadow Suite s� podatne na atak!

  Wi�cej informacji na ten temat znajdziesz na stronie po�wi�conej
  bezpiecze�stwu w Linux-ie <http://bach.cis.temple.edu/linux/linux-
  security/>. (Shared Libraries and login Program Vulnerability)
  33..22..  GGddzziiee zznnaallee���� ppaakkiieett SShhaaddooww SSuuiittee..

  Jedyny polecany pakiet Shadow Suite jest wci�� w wersji BETA, chocia�
  najnowsze wersje s� bezpieczne w �rodowisku produkcji i nie zawieraj�
  podatnego na ataki programu login.

  W pakiecie u�ywane jest nast�puj�ce nazewnictwo:

  shadow-RRMMDD.tar.gz

  gdzie RRMMDD oznacza dat� wprowadzenia pakietu w obieg.

  Wersja ta ostatecznie b�dzie wersj� 3.3.3, kiedy zako�czone zostan�
  testy w wersji BETA, a obs�ugiwana jest przez Marka Micha�kiewicza
  <marekm@i17linuxb.ists.pwr.wroc.pl>.

  Dost�pna jest jako shadow-current.tar.gz
  <ftp://i17linuxb.ists.pwr.wroc.pl/pub/linux/shadow/>.

  Dost�pna jest tak�e pod adresem ftp.icm.edu.pl
  <ftp://ftp.icm.edu.pl/pub/Linux/shadow/>.

  Powiniene� u�y� najnowszej dost�pnej wersji.

  NNIIEE powiniene� u�ywa� wersji ssttaarrsszzeejj ni� shadow-960129 poniewa�
  wyst�puje tam opisany powy�ej problem z programem login.

  Je�li pisz� o pakiecie Shadow Suite, to mam na my�li ten w�a�nie plik.
  Zak�ada si� te�, �e tej w�a�nie wersji u�ywasz.

  Aby napisa� ten dokument u�y�em tej w�a�nie wersji pakietu.

  Je�li wcze�niej u�ywa�e� pakietu shadow-mk, powiniene� zaktualizowa�
  go do tej wersji i ponownie skompilowa� wszystko to, co pierwotnie
  przekompilowa�e�,

  33..33..  CCoo jjeesstt zzaawwaarrttee ww ppaakkiieecciiee SShhaaddooww SSuuiittee..

  Pakiet ten zawiera zast�pcze wersje dla program�w:
  su, login, passwd, newgrp, chfn, chsh, id

  Pakiet ten zawiera tak�e nowe programy: chage, newusers, dpasswd,
  gpasswd, useradd, userdel, usermod, groupadd, groupdel, groupmod,
  groups, pwck, grpck, lastlog, pwconv, pwunconv.

  Dodatkowo znajduje si� tam tak�e biblioteka libshadow.a przeznaczona
  do pisania i kompilowania program�w, kt�re potrzebuj� dost�pu do hase�
  u�ytkownik�w.

  Zawarte s� tak�e strony podr�cznika systemowego do wszystkich
  program�w.

  Znajduje si� tam tak�e plik konfiguracyjny dla programu login, kt�ry
  zostanie zainstalowany jako /etc/login.defs.

  44..  KKoommppiillaaccjjaa pprrooggrraamm��ww..

  44..11..  RRoozzppaakkoowwyywwaanniiee aarrcchhiiww��ww..

  Pierwszym krokiem po �ci�gni�ciu programu jest rozpakowanie go. Pakiet
  jest w formie starowanej i skompresowany programem gzip, tak wi�c
  najpierw przenie� go do /usr/src, a potem napisz:

  tar -xzvf shadow-current.tar.gz

  Powstanie katalog /usr/src/shadow-RRMMDD, w kt�rym znajd� si� �r�d�a
  pakietu.

  44..22..  KKoonnffiigguurraaccjjaa ww pplliikkuu ccoonnffiigg..hh

  Pierwsz� rzecz� jak� musisz zrobi�, to skopiowa� odpowiednie pliki
  Makefile i config.h:

  cd /usr/src/shadow-RRMMDD
  cp Makefile.linux Makefile
  cp config.h.linux config.h

  Potem powiniene� przejrze� plik config.h. Zawiera on definicje dla
  niekt�rych opcji konfiguracyjnych. Je�li u�ywasz _z_a_l_e_c_a_n_e_g_o pakietu,
  to polecam wy��czenie na pocz�tek przes�anianie hase� grup.

  Domy�lnie opcja ta jest w��czona. Aby to wy��czy�, wyedytuj plik
  config.h i zmie� #define SHADOWGRP na #undef SHADOWGRP. Na pocz�tek
  proponuje to wy�aczy�, a p�niej jak b�dziesz chcia� hase� dla grup i
  administrator�w grup, to mo�esz przekompilowa� pakiet. Je�li zostawisz
  t� opcj� w��czon� mmuussiisszz stworzy� plik /etc/gshadow.

  W��czanie opcji pozwalaj�cej na d�u�sze has�a nniiee jest zalecane -
  patrz wy�ej.

  Opcja AUTOSHADOW zosta�a zaprojektowana, aby umo�liwi� dzia�anie
  programom, kt�re ignoruj� przes�anianie hase�. Teoretycznie brzmi to
  dobrze, ale niestety nie dzia�a poprawnie. Je�li w�aczysz t� opcj� i
  program zostanie uruchomiony z przywilejami "root-a", mo�e on wywo�a�
  funkcj� getpwnam() jako "root", a p�niej zapisa� zmienion� pozycj�
  spowrotem do pliku /etc/passwd (ii hhaass��oo nniiee jjeesstt jjuu�� pprrzzeess��oonnii��ttee).

  Do takich program�w zaliczaj� si� chfn i chsh. (Nie mo�esz obej�� tego
  przez zamian� rzeczywistego uid z efektywnym uid przed wywo�aniem
  funkcji getpwnam() poniewa� root tak�e mo�e u�ywa� chfn i chsh.)

  To samo ostrze�enie jest s�uszne je�li kompilujesz bibliotek� libc,
  kt�ra posiada opcj� SHADOW_COMPAT, kt�ra robi to samo. NNiiee ppoowwiinnnnaa ona
  by� u�ywana! Je�li zakodowane has�a zaczn� si� pojawia� spowrotem w
  pliku /etc/passwd, to to w�a�nie jest przyczyn�.

  Je�li u�ywasz wcze�niejszej wersji biblioteki ni� 4.6.27, b�dziesz
  musia� zrobi� troch� wi�cej zmian w pliku config.h i Makefile.

  W pliku config.h zmie�:

  #define HAVE_BASENAME

  na:

  #undef HAVE_BASENAME

  A nast�pnie w pliku Makefile zmie�:

  SOBJS = smain.o env.o entry.o susetup.o shell.o \
          sub.o mail.o motd.o sulog.o age.o tz.o hushed.o

  SSRCS = smain.c env.c entry.c setup.c shell.c \
          pwent.c sub.c mail.c motd.c sulog.c shadow.c age.c pwpack.c rad64.c \
          tz.c hushed.c

  na:

  SOBJS = smain.o env.o entry.o susetup.o shell.o \
          sub.o mail.o motd.o sulog.o age.o tz.o hushed.o basename.o

  SSRCS = smain.c env.c entry.c setup.c shell.c \
          pwent.c sub.c mail.c motd.c sulog.c shadow.c age.c pwpack.c rad64.c \
          tz.c hushed.c basename.c

  Zmiany te powoduj� zawarcie kodu z basename.c, kt�ry zawiera si� w
  libc 4.6.27 i p�niejszych.

  44..33..  KKooppiiee zzaappaassoowwee ttwwooiicchh oorryyggiinnaallnnyycchh pprrooggrraamm��ww..

  Dobrym pomys�em b�dzie zrobienie kopii zapasowych program�w, kt�re
  zostan� zamienione przez Shadow Suite. W dystrybucji Slackware 3.0 s�
  to:

  �  /bin/su

  �  /bin/login

  �  /usr/bin/passwd

  �  /usr/bin/newgrp

  �  /usr/bin/chfn

  �  /usr/bin/chsh

  �  /usr/bin/id

  Pakiet w wersji BETA ma mo�liwo�� wykonania tego poprzez program make,
  ale jest to w komentarzu w pliku Makefile, poniewa� r�ne dystrybucje
  umieszczaj� te programy w r�nych miejscach. Mo�na to zrobi� pisz�c:
  make save, ale najpierw trzeba skasowa� znaki # z pliku Makefile od
  linii: save:

  Powiniene� tak�e zrobi� kopi� zapasow� pliku /etc/passwd, ale b�d�
  ostro�ny, �eby� nie zmaza� programu passwd w katalogu /etc.

  44..44..  PPoolleecceenniiee mmaakkee

  _A_b_y _z_a_i_n_s_t_a_l_o_w_a_� _p_a_k_i_e_t _m_u_s_i_s_z _b_y_� _z_a_l_o_g_o_w_a_n_y _j_a_k_o _"_r_o_o_t_".

  Uruchom make, aby skompilowa� programy wykonywalne:

  make all

  Mo�esz zobaczy� ostrze�enie: rcsid defined but not used. Wszystko jest
  w porz�dku, poniewa� autor u�ywa wersji kontrolnej pakietu.

  55..  IInnssttaallaaccjjaa

  55..11..  ZZaaooppaattrrzz ssii�� ww ddyysskkiieettkk�� ssttaarrttooww�� ww rraazziiee ggddyybbyy�� ccoo�� ppooppssuu��..

  Je�li co� powa�nie p�jdzie nie tak, by�oby dobrze, gdyby� mia�
  dyskietk� startow�. Je�li masz dyskietki boot/root z czas�w
  instalacji, to w porz�dku, w innym przypadku przeczytaj Bootdisk-HOWTO
  <http://ftp.icm.edu.pl/pub/Linux/Documentation/HOWTO/Bootdisk-
  HOWTO.html>, kt�re opisuje jak zrobi� dyskietk� startow�.

  55..22..  UUssuuwwaanniiee zzdduupplliikkoowwaannyycchh ssttrroonn ppooddrr��cczznniikkaa ssyysstteemmoowweeggoo..

  Powiniene� tak�e przenie�� strony podr�cznika systemowego, kt�re
  zostan� zast�pione. Nawet je�li jeste� na tyle odwa�ny, �e instalujesz
  Shadow Suite bez kopii zapasowej, to i tak b�dziesz chcia� przenie��
  stare strony podr�cznika systemowego. Nowe strony normalnie nie
  usun�yby starych, poniewa� te drugie s� przypuszczalnie
  skompresowane.

  Mo�esz u�y� takiej kombinacji polece�: man -aW polecenie i locate
  polecenie, aby zlokalizowa� strony, kt�re maj� by� usuni�te czy
  przeniesione. Raczej �atwiej zrobi� to przed poleceniem make install.

  Je�li u�ywasz dystrybucji Slackware 3.0, to oto strony, kt�re
  powiniene� usun��/przesun��:

  �  /usr/man/man1/chfn.1.gz

  �  /usr/man/man1/chsh.1.gz

  �  /usr/man/man1/id.1.gz

  �  /usr/man/man1/login.1.gz

  �  /usr/man/man1/passwd.1.gz

  �  /usr/man/man1/su.1.gz

  �  /usr/man/man5/passwd.5.gz

  W katalogu /var/man/cat[1-9] mog� znajdowa� si� strony o tych samych
  nazwach, kt�re tak�e powinny zosta� usuni�te/przeniesione.

  55..33..  PPoolleecceenniiee mmaakkee iinnssttaallll

  Jeste� got�w, aby napisa� (zr�b to jako "root"):

  make install

  Zainstaluje to nowe programy i programy zast�pcze oraz ustawi
  odpowiednie prawa dost�pu do plik�w. Zostan� tak�e zainstalowane
  strony podr�cznika systemowego.

  S� tu tak�e instalowane pliki nag��wkowe w odpowiednich miejscach w
  /usr/include/shadow.

  Je�li u�ywasz wersji BETA tego pakietu, to musisz r�cznie skopiowa�
  plik login.defs do katalogu /etc i upewni� si�, �e ttyyllkkoo ""rroooott"" mo�e
  go modyfikowa�.

  cp login.defs /etc
  chmod 600 /etc/login.defs

  Plik ten jest plikiem konfiguracyjnym dla programu login.  Powiniene�
  go przejrze� i odpowiednio zmodyfikowa� jego zawarto�� zgodnie z
  twoimi wymaganiami. To tutaj decydujesz, z kt�rych terminalli (tty)
  mo�e zalogowa� si� "root" oraz ustawiasz inne opcje bezpiecze�stwa
  (np. domy�lne wygasanie hase�).

  55..44..  PPoolleecceenniiee ppwwccoonnvv

  Nast�pnym krokiem jest polecenie pwconv. Musi ono tak�e by� wykonane
  jako "root" i najlepiej w katalogu /etc:

  cd /etc
  /usr/sbin/pwconv

  Program pwconv tworzy z pliku /etc/passwd dwa pliki: /etc/npasswd i
  /etc/nshadow.

  Dost�pny jest tak�e program pwunconv je�li musisz zrobi� normalny plik
  /etc/passwd z plik�w /etc/passwd i /etc/shadow.

  55..55..  ZZmmiiaannyy nnaazzww pplliikk��ww nnppaasssswwdd ii nnsshhaaddooww

  Teraz, kiedy ju� wykona�e� polecenie pwconv, stworzy�e� dwa pliki -
  /etc/npasswd i /etc/nshadow. Ich nazwy musz� zosta� zmienione
  odpowiednio na /etc/passwd i /etc/shadow.  Chcemy tak�e zrobi� kopi�
  oryginalnego pliku /etc/passwd i upewni� si�, �e tylko "root" mo�e go
  czyta�. Kopi� zapasow� umie�cimy w katalogu domowym "root-a":

  cd /etc
  cp passwd ~/passwd
  chmod 600 ~/passwd
  mv npasswd passwd
  mv nshadow shadow

  Powiniene� si� tak�e upewni�, czy w�a�ciciel plik�w i prawa dost�pu s�
  poprawne. Je�li masz zamiar u�ywa� _X_W_i_n_d_o_w_s, to programy xlock i xdm
  musz� mie� mo�liwo�� odczytu pliku shadow, ale nie zapisu.

  S� dwa sposoby na zrobienie tego. Mo�esz ustawi� bit "SUID" dla
  programu xlock (chmod u+s xlock); xdm ma z regu�y ten bit ustawiony.
  Albo mo�esz przydzieli� plik /etc/shadow do grupy shadow, ale zanim to
  zrobisz, sprawd� czy masz grup� shadow w pliku /etc/group. W�a�ciwie
  �aden z u�ytkownik�w systemu nie powinien by� w tej grupie.

  cd /etc
  chown root.root passwd
  chown root.shadow shadow
  chmod 0644 passwd
  chmod 0640 shadow

  Tw�j system ma teraz przes�oni�te has�a. Powiniene� teraz przej�� na
  inny wirtualny terminal i sprawdzi� czy mo�esz si� zalogowa�

  ZZrr��bb ttoo tteerraazz -- nnaapprraawwdd�� !!

  Je�li nie mo�esz, to co� jest nie tak ! Aby powr�ci� do stanu sprzed
  instalacji _S_h_a_d_o_w _S_u_i_t_e zr�b to:

  cd /etc
  cp ~/passwd passwd
  chmod 644 passwd

  Przywracasz w ten spos�b stare pliki, kt�re wcze�niej zachowa�e�, na
  ich w�a�ciwe miejsce.

  66..  IInnnnee pprrooggrraammyy,, kktt��rree mmoo��ee mmuussiisszz uuaakkttuuaallnnii�� aallbboo ""zzaa��aattaa��""..

  Pomimo, i� pakiet _S_h_a_d_o_w _S_u_i_t_e posiada zast�pcze programy dla
  wi�kszo�ci program�w, kt�re potrzebuj� dostepu do hase�, to prawie w
  ka�dym systemie s� jeszcze dodatkowe programy, kt�re potrzebuj�
  dost�pu do hase�.

  Je�li masz dystrybucj� _D_e_b_i_a_n (a nawet je�li nie masz), mo�esz znale��
  �r�d�a program�w, kt�re musz� by� przerobione pod tym adresem
  <ftp://ftp.icm.edu.pl/pub/Linux/debian/stable/source>.

  Reszta tej sekcji opisuje jak uaktualni� programy: adduser, wu_ftpd,
  ftpd, pop3d, xlock, xdm i sudo tak, aby obs�ugiwa�y przes�oni�te
  has�a.

  Aby dowiedzie� si� jak zrobi� obs�ug� przes�oni�tych hase� w
  jakimkolwiek innym programie zobacz sekcj� ``Obs�uga przes�anianych
  hase� w programach w C''. (Programy te i tak musz� by� uruchomione z
  bitem "SUID" dla "root-a" albo grupy shadow, aby rzeczywi�cie mie�
  dost�p do hase�.)

  66..11..  PPrrooggrraamm aadddduusseerr zz ddyyssttrryybbuuccjjii SSllaacckkwwaarree..

  Dystrybucja Slackware (i pewnie inne) zawiera interaktywny program
  s�u��cy do dodawania nowych u�ytkownik�w - /sbin/adduser.  Wersj� tego
  programu obs�uguj�c� przes�oni�te has�a mo�na pobra� np. z
  ftp.icm.edu.pl z katalogu  /pub/Linux/sunsite/system/admin/accounts/.

  Ja zalecam u�ywanie program�w, kt�re s� dostarczane wraz z pakietem
  _S_h_a_d_o_w _S_u_i_t_e (useradd, usermod, i userdel) zamiast adduser z
  dystrybucji Slackware. Co prawda nauczenie si� jak si� nimi pos�ugiwa�
  zabiera troch� czasu, ale op�aca si� to poniewa� masz o wiele wi�ksz�
  kontrol� i maj� one poprawne blokowanie plik�w (file locking)
  /etc/passwd i /etc/shadow - adduser tego nie robi.

  Wi�cej informacji w nast�pnej sekcji - ``Wprowadzanie pakietu Shadow
  Suite do u�ycia.''.

  Ale je�li ju� musisz go mie�, oto co musisz zrobi�:

  tar -xzvf adduser.shadow-1.4.tar.gz
  cd adduser
  make clean
  make adduser
  chmod 700 adduser
  cp adduser /sbin

  66..22..  SSeerrwweerr wwuu__ffttppdd..

  Wraz z wi�kszo�ci� dystrybucji Linux-a przychodzi serwer wu_ftpd.
  Je�li twoja dystrybucja nie instaluje domy�lnie pakietu _S_h_a_d_o_w _S_u_i_t_e,
  to tw�j serwer wu_ftpd nie b�dzie skompilowany z obs�ug�
  przes�oni�tych hase�. wu_ftpd jest odpalany z inetd/tcpd jako proces
  _"_r_o_o_t_-_a_". Je�li tw�j demon wu_ftpd jest star� wersj�, to b�dziesz
  chcia� j� uaktualni� tak czy inaczej poniewa� stare wersje maj� pewien
  b��d, kt�ry kompromituje konto _"_r_o_o_t_". (Wi�cej informacji znajdziesz
  na Stronie Domowej Bezpiecze�stwa na Linuxie
  <http://bach.cis.temple.edu/linux/linux-security/Linux-Security-
  FAQ/Linux-wu.ftpd-2.4-Update.html>).

  Na szcz�cie musisz tylko zdoby� �r�d�a tego programu i skompilowa� go
  z w��czon� obs�ug� "Shadow password".

  Je�li nie masz systemu ELF, to serwer wu_ftpd mo�esz znale�� na
  SUNSite Polska
  <ftp://ftp.icm.edu.pl:/pub/Linux/sunsite/system/network/file-
  transfer/> - nazywa si� wu_ftpd-2.4-fixed.tar.gz

  Jak ju� �ci�gniesz te �r�d�a, to wtedy napisz:

  cd /usr/src
  tar -xzvf wu-ftpd-2.4-fixed.tar.gz
  cd wu-ftpd-2.4-fixed
  cp ./src/config/config.lnx.shadow ./src/config/config.lnx

  Potem zmie� w pliku ./src/makefiles/Makefile.lnx lini�:

  LIBES = -lbsd -support

  na:

  LIBES = -lbsd -support -lshadow

  Teraz mo�esz uruchomi� skrypt kompiluj�cy i zainstalowa� pakiet:

  cd /usr/src/wu-ftpd-2.4-fixed
  /usr/src/wu-ftp-2.4.fixed/build lnx
  cp /usr/sbin/wu.ftpd /usr/sbin/wu.ftpd.old
  cp ./bin/ftpd /usr/sbin/wu.ftpd

  Polecenia te powoduj� u�ycie pliku konfiguracyjnego z obs�ug� hase�
  przes�anianych dla Linux-a, skompilowanie i instalacj� serwera.

  U siebie na Slackware 2.3 musia�em dodatkowo przed kompilacj� zrobi�
  co� takiego:

  cd /usr/include/netinet
  ln -s in_systm.h in_system.h
  cd -

  Zg�aszane by�y problemy z kompilacj� na systemie binarnym ELF, ale
  wersja BETA nast�pnej wersji dzia�a dobrze. Mo�na j� znale�� pod
  adresem ftp.icm.edu.pl
  <ftp://ftp.icm.edu.pl/pub/Linux/sunsite/distributions/slackware/source/n/tcpip>
  pod nazw� wu-ftp-2.4.2-beta-10.tar.gz.

  Jak ju� �ci�gniesz serwer umie�� go w /usr/src i napisz:

  cd /usr/src
  tar -xzvf wu-ftpd-2.4.2-beta-9.tar.gz
  cd wu-ftpd-beta-9
  cd ./src/config

  Potem zmie� w pliku config.lnx:

  #undef SHADOW.PASSWORD

  na:

  #define SHADOW.PASSWORD

  Potem:

  cd ../Makefiles

  i zmie� w pliku Makefile.lnx

  LIBES = -lsupport -lbsd # -lshadow

  na:

  LIBES = -lsupport -lbsd  -lshadow

  Nast�pnie skompiluj i zainstaluj:

  cd ..
  build lnx
  cp /usr/sbin/wu.ftpd /usr/sbin/wu.ftpd.old
  cp ./bin/ftpd /usr/sbin/wu.ftpd

  Zauwa�, �e powiniene� sprawdzi� w /etc/inetd.conf katalog, w kt�rym
  tw�j serwer rzeczywi�cie si� znajduje. Powiadomiono mnie, �e niekt�re
  dystrybucje umieszczaj� demony serwer�w w innych miejscach, a wtedy
  wu_ftpd mo�e si� znajdowa� gdzie indziej.

  66..33..  SSttaannddaarrddoowwyy ffttppdd..

  Je�li masz u siebie standardowy serwer ftpd, zaleca�bym zmian� na
  wu_ftpd. Poza znan� dziur� om�wion� wcze�niej, wu_ftpd jest uznany za
  bardziej bezpieczny.

  Je�li nalegasz na standardowy, albo potrzebujesz obs�ugi _N_I_S, to na
  SUNSite Polska
  <ftp://ftp.icm.edu.pl:/pub/Linux/sunsite/system/network/file-
  transfer/> znajdziesz ftpd-shadow-nis.tgz.

  66..44..  ppoopp33dd ((PPoosstt OOffffiiccee PPrroottooccooll 33))

  Je�li potrzebujesz obs�ugi _P_o_s_t _O_f_f_i_c_e _P_r_o_t_o_c_o_l _3, b�dziesz musia�
  skompilowa� ponownie program pop3d. Normalnie jest on uruchamiany
  przez inetd/tcpd jako "root".

  Na SUNSite Polska
  <ftp://ftp.icm.edu.pl:/pub/Linux/sunsite/system/mail/pop/> dost�pne s�
  dwie wersje:

  �  pop3d-1.00.4.linux.shadow.tar.gz

  �  pop3d+shadow+elf.tar.gz

  Obie s� raczej proste do zainstalowania.

  66..55..  xxlloocckk

  Je�li zainstalujesz pakiet Shadow Suite i uruchomisz _X_W_i_n_d_o_w_s, a
  nast�pnie zablokujesz (lock) ekran nie uaktualniaj�c programu xlock,
  b�dziesz musia� u�y� CTRL+ALT+Fx, aby prze��czy� si� na wirtualn�
  konsol� tekstow� (je�li masz jak��), zalogowa� si� i zlikwidowa�
  proces xlock (albo u�y� CTRL+ALT+BACKSPACE �eby zamkn�� XWindows). Na
  szcz�cie uaktualnienie programu xlock jest do�� proste.

  Je�li masz XFree86 wersja 3.x.x, przypuszczalnie u�ywasz xlockmore
  (kt�ry jest wspania�ym "screensaver-em" w po�aczeniu z "lock").
  Nast�puj�cy pakiet obs�uguje przes�oni�te has�a - xlockmore-3.5.tgz a
  dost�pny jest z SUNSite Polska
  <ftp://ftp.icm.edu.pl:/pub/Linux/sunsite/X11/xutils/screensavers/>.
  Je�li masz starsz� wersj� zalecam uaktualnienie do tej.

  Oto "z grubsza" to, co musisz zrobi�:

  �  �ci�gnij xlockmore i umie�� w /usr/src

  �  rozpakuj: tar -xzvf xlockmore-3.7.tgz

  �  zmie� w pliku /usr/X11R6/lib/X11/config/linux.cf lini�

     #define HasShadowPasswd NO

  na:

  #define HasShadowPasswd YES

  �  skompiluj pliki wykonywalne:

     cd /usr/src/xlockmore
     xmkmf
     make depend
     make

  �  potem przenie� wszystko w odpowiednie miejsce i uaktulanij prawa
     dost�pu i w�a�cicieli plik�w

     cp xlock /usr/X11R6/bin/
     cp XLock /var/X11R6/lib/app-defaults/
     chown root.shadow /usr/X11R6/bin/xlock
     chmod 2755 /usr/X11R6/bin/xlock
     chown root.shadow /etc/shadow
     chmod 640 /etc/shadow

  Tw�j xlock b�dzie teraz dzia�a� poprawnie.

  66..66..  xxddmm

  xdm jest programem, kt�ry prezentuje ekran "loguj�cy" dla XWindows.
  Niekt�re systemy startuj� ten program kiedy system ma si� uruchomi� w
  odpowiednim "runlevel-u" (zobacz /etc/inittab).

  Je�li zainstalowa�e� przes�aniane has�a, musisz uaktulani� ten
  program. Na szcz�cie jest to do�� proste:

  xdm.tar.gz mo�na �ci�gn�� z SUNSite Polska
  <ftp://ftp.icm.edu.pl:/pub/Linux/sunsite/X11/xutils/>.

  �ci�gnij ten plik i umie�� go w /usr/src, potem go rozpakuj: tar -xzvf
  xdm.tar.gz.

  Zmie� w pliku /usr/X11R6/lib/X11/config/linux.cf lini�

  #define HasShadowPasswd NO

  na:

  #define HasShadowPasswd YES

  Skompiluj pliki wykonywalne:

  cd /usr/src/xdm
  xmkmf
  make depend
  make

  Potem umie�� wszystko na swoim miejscu cp xdm /usr/X11R6/bin/.

  xdm jest uruchamiany jako "root" tak wi�c nie musisz zmienia� jego
  praw dost�pu.

  66..77..  ssuuddoo

  Program sudo pozwala administratorowi na udost�pnianie zwyk�ym
  u�ytkownikom program�w, kt�re wymagaj� uprawnie� "root-a". Jest to
  po�yteczne poniewa� mo�na ogranicza� dost�p do konta "root" i
  jednocze�nie pozwala� u�ytkownikom np. montowa� urz�dzenia.

  sudo musi przeczyta� has�o poniewa� weryfikuje u�ytkownika kiedy jest
  uruchamiane. sudo jest uruchamiane z bitem SUID "root" tak wi�c nie ma
  problemu z dost�pem do pliku /etc/shadow.

  Program ten z obs�ug� hase� przes�anianych dost�pny jest na SUNSite
  Polska <ftp://ftp.icm.edu.pl:/pub/Linux/sunsite/system/admin> pod
  nazw� sudo-1.2-shadow.tgz.

  UUwwaaggaa:: Podczas instalacji tego programu usuni�ty zostanie plik
  /etc/sudoerrs i zast�piony domy�lnym przychodz�cym razem z pakietem.
  Tak wi�c zr�b sobie kopi� zapasow� je�li robi�e� tam jakie� zmiany.
  Albo mo�esz usun�� linijk� kasuj�c� ten plik z pliku Makefile.

  Obs�uga przes�anianych hase� jest ju� ustawiona w pakiecie, tak wi�c
  wszystko co trzeba zrobi�, to przekompilowa� go. Po umieszczeniu go w
  /usr/src napisz:

  cd /usr/src
  tar -xzvf sudo-1.2-shadow.tgz
  cd sudo-1.2-shadow
  make all
  make install

  66..88..  iimmaappdd ((EE--MMaaiill ppaakkiieett ppiinnee))..

  imapd jest serwerem poczty elektronicznej podobnym do pop3d.  imapd
  przychodzi wraz z pakietem _P_i_n_e _E_-_M_a_i_l. Dokumentacja dostarczana wraz
  z tym pkaietem twierdzi, �e domy�lnym dla system�w Linux jest
  w��czenie obs�ugi przes�anianych hase�. Ja jednak przekona�em si�, �e
  nie jest to prawda. Id�c dalej, kombinacja skrypt tworz�cy - Makefile
  bardzo utrudnia dodanie biblioteki libshadow.a podczas kompilacji,
  wi�c nie by�em w stanie doda� obs�ugi hase� przes�anianych do imapd.

  Je�li komu� si� to uda�o, to prosz� o opis a ja umieszcz� go w tym
  punkcie.

  66..99..  ppppppdd ((SSeerrwweerr PPrroottookkoo��uu PPooiinntt--ttoo--PPooiinntt))

  Serwer pppd mo�e zosta� tak ustawiony, aby u�ywa� r�nych typ�w
  autentykacji:
  _P_a_s_s_w_o_r_d _A_u_t_h_e_n_t_i_c_a_t_i_o_n _P_r_o_t_o_c_o_l (PAP) i _C_r_y_p_t_o_g_r_a_p_h_i_c _H_a_n_d_s_h_a_k_e
  _A_u_t_h_e_n_t_i_c_a_t_i_o_n _P_r_o_t_o_c_o_l (CHAP). Serwer pppd zwykle czyta �a�uchy hase�
  z /etc/ppp/chap-secrets i/albo z /etc/ppp/pap-secrets. Je�li u�ywasz
  tego domy�lnego zachowania serwera pppd, to przeinstalowywanie go nie
  jest konieczne.

  pppd pozwala tak�e na u�ycie parametr�w _l_o_g_i_n_-_u (albo z wiersza
  polece�, albo z pliku konfiguracyjnego, albo z pliku z opcjami). Je�li
  jest podana jaka� opcja _l_o_g_i_n_-_u, to pppd u�yje pliku /etc/passwd, �eby
  zweryfikowa� identyfikator i has�o dla PAP. To oczywi�cie nie zadzia�a
  odk�d nasz plik z has�ami jest przes�aniany. Je�li u�ywasz
  pppd-1.2.1d, to b�dziesz musia� doda� kod do obs�ugi hase�
  przes�anianych.

  Podany w dalszej cz�ci przyk�ad dodaje obs�ug� dla tej w�a�nie
  wersji.

  Wersja pppd-2.2.0 ma ju� w sobie obs�ug� przes�anianych hase�.

  77..  WWpprroowwaaddzzaanniiee ppaakkiieettuu SShhaaddooww SSuuiittee ddoo uu��yycciiaa..

  Sekcja ta opisuje kilka rzeczy kt�re b�dziesz chcia� wiedzie� jak ju�
  zainstalowa�e� pakiet _S_h_a_d_o_w _S_u_i_t_e. Dalsze informacje zawarte s� na
  stronach podr�cznika systemowego na temat ka�dego polecenia.

  77..11..  DDooddaawwaanniiee,, MMooddyyffiikkaaccjjaa ii uussuuwwaanniiee uu��yyttkkoowwnniikk��ww..

  Pakiet _S_h_a_d_o_w _S_u_i_t_e doda� nast�puj�ce polecenia do dodawania,
  modyfikacji i usuwania u�ytkownik�w. S� one obs�ugiwane z wiersza
  polece� przez parametry (mog�e� tak�e zainstalowa� program adduser).

  77..11..11..  uusseerraadddd..

  Polecenie useradd mo�e zosta� u�yte, aby doda� u�ytkownika do systemu.
  Wykonujesz je tak�e, �eby zmieni� domy�lne ustawienia.

  Pierwsz� rzecz� jak� powiniene� zrobi�, to sprawdzi� ustawienia
  domy�lne na twoim systemie i odpowiednio je zmieni�:

  useradd -D

  ______________________________________________________________________
  GROUP=1
  HOME=/home
  INACTIVE=0
  EXPIRE=0
  SHELL=
  SKEL=/etc/skel
  ______________________________________________________________________

  Warto�ci domy�lne to pewnie nie s� te, kt�re chcesz u�ywa�, tak wi�c
  je�li zacz��by� dodawa� u�ytkownik�w teraz, to musia�by� podawa�
  informacje dla ka�dego u�ytkownika. Jednak mo�emy i powinni�my zmieni�
  warto�ci domy�lne:

  �  Niech domy�ln� grup� b�dzie 100

  �  Niech has�a wygasaj� po 60 dniach

  �  Niech konta nie b�d� blokowane po wyga�ni�ciu has�a

  �  Niech domy�ln� pow�ok� b�dzie /bin/bash

  Aby zrobi� takie zmiany napisa�bym:

  useradd -D -g100 -e60 -f0 -s/bin/bash

  Teraz uruchomienie useradd -D poka�e:

  ______________________________________________________________________
  GROUP=100
  HOME=/home
  INACTIVE=0
  EXPIRE=60
  SHELL=/bin/bash
  SKEL=/etc/skel
  ______________________________________________________________________

  W razie gdyby� chcia� wiedzie�, to warto�ci te s� zapisywane w
  /etc/default/useradd.

  Teraz mo�esz u�y� polecenia useradd, aby doda� u�ytkownik�w do
  systemu. Na przyk�ad, aby doda� u�ytkownika fred u�ywaj�c warto�ci
  domy�lnych napisa�by�:

  useradd -m -c "Fred Flintstone" fred

  Stworzy to nast�puj�c� pozycj� w /etc/passwd:

  fred:*:505:100:Fred Flinstone:/home/fred:/bin/bash

  oraz nast�puj�c� pozycj� w /etc/shadow:

  fred:!:0:0:60:0:0:0:0

  Utworzony zostanie katalog domowy freda oraz skopiowana zostanie tam
  zawarto�� katalogu /etc/skel z powodu opcji -m.

  Poniewa� nie podali�my UID-u u�yty zostanie nast�pny wolny.

  Konto freda b�dzie utworzone, ale nie b�dzie on si� m�g� zalogowa�
  dop�ki go nie odblokujemy. Zrobimy to przez zmian� has�a:

  passwd fred

  ______________________________________________________________________
  Changing password for fred
  Enter the new password (minimum of 5 characters)
  Please use a combination of upper and lower case letters and numbers.
  New Password: *******
  Re-enter new password: *******
  ______________________________________________________________________

  Teraz w /etc/shadow b�dzie:

  fred:J0C.WDR1amIt6:9559:0:60:0:0:0:0

  A fred b�dzie m�g� si� teraz zalogowa� i korzysta� z systemu.
  Najlepsze w u�yciu program�w, kt�re przychodz� razem z pakietem _S_h_a_d_o_w
  _S_u_i_t_e jest to, �e wszelkie zmiany plik�w /etc/passwd i /etc/shadow s�
  wykonywane z tzw. blokowaniem. Ta wi�c je�li dodajesz u�ytkownika do
  systemu a inny u�ytkownik w�a�nie sobie zmienia has�o, to obie
  operacje zostan� wykonane poprawnie.

  Powiniene� u�ywa� raczej dostarczonych program�w ni� edytowa� r�cznie
  pliki /etc/passwd i /etc/shadow. Je�li edytowa�e� plik /etc/shadow i
  jaki� u�ytkownik zmienia� sobie w tym samym czasie has�o, to po
  zapisaniu zmian dokonanych przez ciebie nowe has�o u�ytkownika zginie.

  Oto ma�y interaktywny skrypt, kt�ry dodaje nowego u�ytkownika u�ywaj�c
  useradd i passwd:

  ______________________________________________________________________
  #!/bin/bash
  #
  # /sbin/newuser - Skrypt dodaj�cy u�ytkownik�w do systemu u�ywaj�cego
  #                 program�w useradd z pakietu Shadow Suite i passwd.
  #
  # Napisany przez Mike'a Jacksona <mhjack@tscnet.com> jako przyk�ad do
  # Shadow-Password-HOWTO. Pozwolenie na u�ywanie i modyfikacje wyra�nie dane.
  #
  # Mo�naby ten skrypt zmodyfikowa� tak, �eby pokazywa� warto�ci domy�lne
  # oraz pozwala� na modyfikacj� podobnie jak program adduser ze Slackware.
  # Mo�naby te� sprawdza� b��dy, czy g�upie warto�ci.
  #
  #
  ##
  # Warto�ci domy�lne dla polecenia useradd
  ##
  GROUP=100        # Domy�lna grupa
  HOME=/home       # Katalog domowy (/home/identyfikator)
  SKEL=/etc/skel   # Katalog szkieletowy
  INACTIVE=0       # Ilo�� dni, po kt�rych wygasa has�o.
  EXPIRE=60        # Ilo�� dni, przez kt�r� ma istnie� has�o
  SHELL=/bin/bash  # Domy�lna pow�oka (pe�na �cie�ka)
  ##
  # Warto�ci domy�lne dla polecenia passwd
  ##
  PASSMIN=0        # Ilo�� dni mi�dzy kt�r� zmienia si� has�o
  PASSWARN=14      # Ilo�� dni przed wyga�ni�ciem has�a kiedy jest
  #                  wysy�ana wiadomo�� ostrzegaj�ca.
  ##
  #            Upewnij si�, �e "root" uruchomi� ten skrypt
  ##
  WHOAMI=`/usr/bin/whoami`
  if [ $WHOAMI != "root" ]; then
          echo "You must be root to add news users!"
          exit 1
  fi
  ##
  #   Zapytaj o identyfikator i imi� i nazwisko
  ##
  echo ""
  echo -n "Username: "
  read USERNAME
  echo -n "Full name: "
  read FULLNAME
  #
  echo "Adding user: $USERNAME."
  #
  # Zauwa�, �e wymagane s� "" przy $FULLNAME poniewa� pole to b�dzie
  # prawie zawsze zawiera�o przynajmniej jedn� spacj�, a bez " polecenie
  # useradd "pomy�la�oby", �e jest to nast�pny parametr kiedy dosz�oby
  # do spacji.
  #
  /usr/sbin/useradd -c"$FULLNAME" -d$HOME/$USERNAME -e$EXPIRE \
          -f$INACTIVE -g$GROUP -m -k$SKEL -s$SHELL $USERNAME
  ##
  # Ustaw domy�lne warto�ci dla has�a
  ##
  /bin/passwd -n $PASSMIN -w $PASSWARN $USERNAME >/dev/null 2>&1
  ##
  # Niech polecenie passwd zapyta poprawnie (dwa razy) o has�o
  ##
  /bin/passwd $USERNAME
  ##
  # Poka�, co zosta�o zrobione
  ##
  echo ""
  echo "Entry from /etc/passwd:"
  echo -n "   "
  grep "$USERNAME:" /etc/passwd
  echo "Entry from /etc/shadow:"
  echo -n "   "
  grep "$USERNAME:" /etc/shadow
  echo "Summary output of the passwd command:"
  echo -n "   "
  passwd -S $USERNAME
  echo ""
  ______________________________________________________________________

  U�ycie skryptu do dodawania u�ytkownik�w do systemu jest na prawd�
  bardziej preferowane ni� r�czna edycja plik�w /etc/passwd czy
  /etc/shadow czy te� u�ywanie programu adduser ze Slackware. Mo�esz
  �mia�o modyfikowa� ten skrypt dla swoich potrzeb.

  Wi�cej informacji na temat useradd znajdziesz w podr�czniku
  systemowym.

  77..11..22..  uusseerrmmoodd..

  Program usermod u�ywany jest do modyfikowania informacji na temat
  danego u�ytkownika. Opcje tego programu s� podobne do opcji programu
  useradd.

  Powiedzmy, �e chcesz zmieni� pow�ok� dla freda; zrobi�by� to tak:

  usermod -s /bin/tcsh fred

  Teraz pozycja dotycz�ca freda w /etc/passwd zmieni�aby si� na:

  fred:*:505:100:Fred Flinstone:/home/fred:/bin/tcsh

  Za��my, �e chcemy, �eby konto freda wygas�o 15.09.1997:

  usermod -e 09/15/97 fred <-- data w stylu angielskim-ameryka�skim (mmddrr)

  Teraz pozycja dotycz�ca freda w /etc/shadow zmieni�aby si� na:

  fred:J0C.WDR1amIt6:9559:0:60:0:0:10119:0

  Wi�cej informacji na temat usermod znajdziesz w podr�czniku
  systemowym.

  77..11..33..  uusseerrddeell..

  userdel robi dok�adnie to czego si� spodziewa�e� - kasuje konto
  podanego u�ytkownika. U�ycie jest proste:

  userdel -r <identyfikator>

  Opcja -r powoduje skasowanie wszystkich plik�w z katalogu domowego
  u�ytkownika. Plik�w zlokalizowanych w innym systemie plik�w trzeba
  poszuka� i skasowa� je r�cznie.

  Je�li chcesz tylko zablokowa� dane konto, a nie skasowa� to u�yj
  polecenia passwd.

  77..22..  PPoolleecceenniiee ppaasssswwdd ii ""tteerrmmiinn wwaa��nnoo��ccii"" hhaass��aa..

  Polecenie passwd u�ywane jest do zmiany has�a. Opr�cz tego u�ywane
  jest przez "root-a" do:

  �  Blokowania i odblokowywania kont (-l i -u)

  �  Ustawiania maksymalnej ilo�ci dni przez jak� has�o jest wa�ne (-x)

  �  Ustawiania minimalnej ilo�ci dni mi�dzy zmianami has�a (-n)

  �  Ustawiania ilo�ci dni, po kt�rych wysy�ane jest ostrze�enie o
     wyga�ni�ciu has�a (-w)

  �  Ustawiania ilo�ci dni, po kt�rej has�o wygasa przed zablokowaniem
     konta (-i)

  �  Pozwalania na przegl�danie informacji o koncie w czytelniejszym
     formacie (-S)

  Na przyk�ad, sp�jrzmy jeszcze raz na freda:

  passwd -S fred
  fred P 03/04/96 0 60 0 0

  Oznacza to, �e has�o freda jest wa�ne, ostatnio by�o zmieniane
  04.03.1996, mo�e by� zmienione w ka�dej chwili, wygasa po 60 dniach,
  fred nie zostanie ostrze�ony oraz konto nie zostanie zablokowane po
  wyga�ni�ciu has�a.

  Oznacza to po prostu tyle, �e kiedy fred zaloguje si� po wyga�ni�ciu
  has�a zostanie zaraz na pocz�tku poproszony o podanie nowego has�a.

  Je�li zdecydujemy si�, �e chcemy ostrzec freda na 14 dni przed
  wyga�ni�ciem jego has�a i zablokowa� jego konto 14 dni po wyga�ni�ciu
  has�a trzebaby napisa� tak:

  passwd -w14 -i14 fred

  Teraz dane o fredzie zmiani�y si� na:

  fred P 03/04/96 0 60 14 14

  Wi�cej informacji na temat passwd znajdziesz w podr�czniku systemowym.

  77..33..  PPlliikk llooggiinn..ddeeffss

  Plik /etc/login jest plikiem konfiguracyjnym dla programu login oraz
  dla ca�ego pakietu _S_h_a_d_o_w _S_u_i_t_e.

  /etc/login zawiera ustawienia od tego jak b�d� wygl�da� znaki zach�ty
  do tego jakie domy�lne warto�ci b�d� dla wygasania has�a kiedy
  u�ytkownik je sobie zmieni.

  Plik /etc/login.defs jest do�� dobrze udokumentowany ju� przez same
  komentarze w nim zawarte. Chocia� jest kilka rzeczy do odnotowania:

  �  Zawiera opcje, kt�re mog� by� w��czane i wy��czane do okre�lania
     ilo�ci zalogowa�.

  �  Zawiera wskazania na inne pliki konfiguracyjne.

  �  Zawiera domy�lne warto�ci dla takich ustawie� jak "termin wa�no�ci"
     has�a.

  Z powy�szej listy wynika, �e jest to raczej wa�ny plik i powiniene�
  si� upewni�, �e istnieje i �e ustawienia s� takie jak chcia�e�.

  77..44..  HHaass��aa ddllaa ggrruupp..

  Plik /etc/groups mo�e zawiera� has�a, kt�re pozwalaj� u�ytkownikom
  do��czy� si� do jakiej� grupy. Funkcja ta jest w��czona je�li
  zdefiniujesz sta�� SHADOWGRP w pliku /usr/src/shadow-YYMMDD/config.h .

  Je�li j� zdefiniujesz i skompilujesz pakiet, musisz utworzy� plik
  /etc/gshadow, �eby trzyma� tam has�a grup i informacje
  administracyjne.

  Do utworzenia pliku /etc/shadow u�y�e� programu pwconv; nie ma
  odpowiednika do utworzenia pliku /etc/gshadow, ale to nie ma znaczenia
  bo plik ten sam si� sob� zajmuje.

  Aby stworzy� pocz�tkowy plik /etc/gshadow zr�b tak:

  touch /etc/gshadow
  chown root.root /etc/gshadow
  chmod 700 /etc/gshadow

  Jak b�dziesz tworzy� nowe grupy, zostan� one dodane do /etc/group i
  /etc/gshadow.

  Do modyfikacji grup s�u�� programy dostarczane wraz z pakietem _S_h_a_d_o_w
  _S_u_i_t_e: groups, groupadd, groupmod i groupdel.

  Format pliku /etc/group jest taki:

  nazwa_grupy:!:GID:cz�onek,cz�onek,...

  Gdzie:

     nnaazzwwaa__ggrruuppyy
        - chyba nie wymaga wyja�niania :)

     !!  - w tym miejscu normalnie by�oby has�o, ale teraz jest ono w
        gshadow

     GGIIDD
        - numer grupy

     cczz��oonneekk
        - lista cz�onk�w grupy.

  Format pliku /etc/gshadow jest taki:

  nazwa_grupy:has�o:admin,admin,...:cz�onek,cz�onek,...

  Gdzie:

     nnaazzwwaa__ggrruuppyy
        - chyba nie wymaga wyja�niania :)

     hhaass��oo
        - zakodowane has�o grupy

     aaddmmiinn
        - lista administrator�w grupy

     cczz��oonneekk
        - lista cz�onk�w grupy

  Polecenie gpasswd jest u�ywane tylko do dodawania i usuwania cz�onk�w
  do/z grupy. "root" i ka�dy z administrator�w grupy mo�e usuwa� i
  dodawa� cz�onk�w.

  Has�o dla grupy mo�e by� zmienione za pomoc� polecenia passwd przez
  "root-a" i ka�dego z administrator�w grupy.

  Chocia� nie ma strony do podr�cznika systemowego dla gpasswd, to
  zrozumienie opcji tego polecenia nie jest takie trudne jak ju�
  rozumiesz jego format i koncept. gpasswd bez �adnych parametr�w poda
  opcje jakie przyjmuje.

  77..55..  PPrrooggrraammyy ddoo sspprraawwddzzaanniiaa ppoopprraawwnnoo��ccii..

  77..55..11..  ppwwcckk

  Program pwck sprawdza poprawno�� plik�w /etc/passwd i /etc/shadow.
  Sprawdzi ka�dego u�ytkownika czy ma:

  �  poprawn� ilo�� p�l,

  �  unikalny identyfikator,

  �  dobry UID i GID

  �  dobr� grup� domy�ln�

  �  poprawny katalog domowy

  �  poprawn� pow�ok�

  Ostrze�e nas tak�e je�li znajdzie konta bez hase�.

  Uruchomienie tego programu po zainstalowaniu pakietu _S_h_a_d_o_w _S_u_i_t_e jest
  dobrym pomys�em. Powinno sie go tak�e uruchamia� okresowo - co
  tydzie�, co miesi�c. Je�li u�yjesz opcji -r, to mo�esz u�y� programu
  cron, aby uruchamia� pwck okresowo i dostawa� raport poczt�.

  77..55..22..  ggrrppcckk

  Program ten sprawdza poprawno�� plik�w /etc/group i /etc/gshadow.
  Sprawdza:

  �  ilo�� p�l,

  �  unikaln� nazw� grupy

  �  poprawno�� listy administrator�w i cz�onk�w.

  Ma tak�e opcj� -r do automatycznych raport�w.

  77..66..  HHaass��aa pprrzzeezz tteelleeffoonn.. ((DDiiaall--uupp))

  Has�a przez telefon s� inn� opcjonaln� lini� obrony dla system�w,
  kt�re umo�liwiaj� dost�p przez telefon. Je�li masz system z du��
  ilo��i� u�ytkownik�w ��cz�cych si� lokalnie albo poprzez sie�, ale
  chcesz ograniczy� kto mo�e sie po��czy�, to "has�a przez telefon" s�
  dla ciebie. Aby w�aczy� "has�a przez telefon" musisz wyedytowa� plik
  /etc/login.defs i upewni� si�, �e DIALUPS_CHECK_ENAB jest ustawione na
  yes.

  S� dwa pliki, kt�re zawieraj� informacje o po��czeniach przez telefon:
  /etc/dialups, kt�ry zawiera "tty" (jeden na lini� bez "/dev/"). Je�li
  dany tty jest tam zawarty to po��czenie jest sprawdzane; oraz
  /etc/d_passwd z pe�n� �cie�k� dost�pu do pow�oki oraz opcjonalnym
  has�em.

  Je�li u�ytkownik zaloguje si� na lini�, kt�ra jest podana w
  /etc/diulups i jego pow�oka jest podana w /etc/d_passwd, to b�dzie
  m�g� si� zalogowa� tylko po podaniu poprawnego has�a.

  Innym u�ytecznym celem "hase� przez telefon" mo�e by� ustawienie
  linii, kt�ra pozwala tylko na po��czenia konkretnego rodzaju (np. PPP
  lub/i UUCP). Je�li u�ytkownik pr�buje si� po��czy� inaczej (np. list�
  pow�ok), to musi zna� has�o na t� lini�.

  Zanim b�dziesz m�g� u�ywa� tych w�a�ciwo�ci musisz stworzy� te pliki.

  Polecenie dpasswd przypisuje has�a do konkretnych pow�ok zawartych w
  pliku /etc/d_passwd. Wi�cej informacji znajdziesz na stronie
  podr�cznika systemowego.

  88..  OObbss��uuggaa pprrzzeess��aanniiaannyycchh hhaassee�� ww pprrooggrraammaacchh ww CC..

  Dodawanie obs�ugi hase� przes�anianych do program�w jest ca�kiem
  proste. Jedynym problemem jest to, �e program musi zosta� uruchomiony
  z prawami "root-a", aby mie� dost�p do pliku /etc/shadow.

  Tutaj pojawia si� jeden wielki problem: podczas pisania takich
  program�w nale�y si� trzyma� jak naj�ci�lej zasad bezpiecze�stwa. Na
  przyk�ad je�li program posiada wyj�cie do pow�oki, to nniiee mmoo��ee si� to
  zdarzy� na prawach "root-a".

  Je�li program musi mie� dost�p do /etc/shadow i nie potrzebuje wi�cej
  praw "root-a", to lepiej uruchomi� go z prawami grupy "shadow".
  Program xlock jest przyk�adem takiego programu.

  W przyk�adzie podanym ni�ej, pppd-1.2.1d jest ju� uruchomiony z
  prawami "root-a", tak wi�c dodanie obs�ugi hase� przes�anianych nie
  powinno zagrozi� bezpiecze�stwu.

  88..11..  PPlliikkii nnaagg����wwkkoowwee..

  Pliki te powinny znajdowa� si� w /usr/include/shadow.  Powinien tam
  by� tak�e plik /usr/include/shadow.h, ale b�dzie to symboliczne
  do�aczenie do /usr/include/shadow/shadow.h.

  Aby doda� obs�ug� hase� przes�anianych do programu, musisz do��czy�
  pliki nag��wkowe:

  #include <shadow/shadow.h>
  #include <shadow/pwauth.h>

  Dobrym pomys�em by�oby u�ycie dyrektyw kompilatora, aby skompilowa�
  warunkowo kod z obs�ug� hase� przes�anianych. (tak jak w przyk�adzie
  poni�ej.)

  88..22..  BBiibblliiootteekkaa lliibbsshhaaddooww..aa

  Biblioteka ta zosta�a zainstalowana w /usr/lib jak instalowa�e� pakiet
  _S_h_a_d_o_w _S_u_i_t_e.

  Kiedy kompilujesz obs�ug� przes�aniancyh hase� w programie trzeba
  poinformowa� "linker-a", aby do��czy� bibliotek� libshadow.a.

  Robi si� to tak:

  gcc program.c -o program -lshadow

  Chocia� jak zobaczymy w poni�szym przyk�adzie, wi�kszo�� du�ych
  program�w u�ywa plik�w Makefile i ma zwykle zmienn� LIBS=..., kt�r�
  si� modyfikuje.

  88..33..  SSttrruukkttuurraa SShhaaddooww..

  Biblioteka libshadow.a u�ywa struktury spwd dla informacji, kt�re
  otrzyma z pliku /etc/shadow. Oto definicja tej struktury wzi�ta z
  /usr/include/shadow/shadow.h:

  ______________________________________________________________________
  struct spwd
  {
    char *sp_namp;                /* identyfikator */
    char *sp_pwdp;                /* zakodowane has�o */
    sptime sp_lstchg;             /* data ostatniej zmiany */
    sptime sp_min;                /* minimalna ilo�� dni mi�dzy zmianami */
    sptime sp_max;                /* maksymalna ilo�� dni mi�dzy zmianami */
    sptime sp_warn;               /* ilo�� dni przed wyga�ni�ciem has�a
                                     kiedy b�dzie wysy�ane ostrze�enie */
    sptime sp_inact;              /* ilo�� dni, po jakiej wygasa has�o
                                     dop�ki konto nie b�dzie zablokowane */
    sptime sp_expire;             /* ilo�� dni od 01.01.1970 dop�ki
                                     konto nie wyga�nie */
    unsigned long sp_flag;        /* zarezerwowane na przysz�o�� */
  };
  ______________________________________________________________________

  Do pola sp_pwdp mo�na dodatkowo wstawi� nawz� programu:

  identyfikator:Npge08pfz4wuk;@/sbin/extra:9479:0:10000::::

  Oznacza to, �e opr�cz podania has�a b�dzie wykonany program
  /sbin/extra, kt�ry wykona dalsz� autentykacj�. Wywo�any program
  otrzyma identyfikator i prze��cznik, kt�ry okre�li dlaczego zosta�
  wywo�any. Wi�cej informacji znajdziesz w /usr/include/shadow/pwauth.h
  i pwauth.c.

  Oznacza to, �e powinni�my u�y� funkcji pwauth do przeprowadzenia
  poprawnej autentykacji, poniewa� zajmie si� ona tak�e drug�
  autentykacj�. Jest to u�yte w przyk�adzie poni�ej.

  Autor pakietu _S_h_a_d_o_w _S_u_i_t_e twierdzi, �e odk�d wi�kszo�� program�w tego
  nie stosuje, mo�e to zosta� usuni�te lub zmienione w przysz�ych
  wersjach pakietu.

  88..44..  FFuunnkkccjjee ppaakkiieettuu SShhaaddooww SSuuiittee..

  Plik shadow.h zawiera deklaracje funkcji zawartych w bibliotece
  libshadow.a:

  ______________________________________________________________________
  extern void setspent __P ((void));
  extern void endspent __P ((void));
  extern struct spwd *sgetspent __P ((__const char *__string));
  extern struct spwd *fgetspent __P ((FILE *__fp));
  extern struct spwd *getspent __P ((void));
  extern struct spwd *getspnam __P ((__const char *__name));
  extern int putspent __P ((__const struct spwd *__sp, FILE *__fp));
  ______________________________________________________________________

  Funkcja, kt�r� u�yjemy w przyk�adzie to getspnam, kt�ra odczyta
  struktur� spwd dla podanego identyfikatora.

  88..55..  PPrrzzyykk��aadd..

  Jest to przyk�ad na dodanie obs�ugi hase� przes�anianych do programu,
  kt�ry tego potrzebuje, ale nie ma domy�lnie w��czonego.

  Przyk�ad ten u�ywa serwera _P_o_i_n_t_-_t_o_-_P_o_i_n_t _P_r_o_t_o_c_o_l (pppd-1.2.1d),
  kt�ry ma tryb do autentykacji _P_A_P u�ywaj�c identyfikatora i has�a z
  pliku /etc/passwd zamiast z plik�w _P_A_P czy _C_H_A_P. Nie musisz dodawa�
  tego kodu do pppd-2.2.0, poniewa� on ju� tam jest.

  Ta w�a�ciwo�� pppd przypuszczalnie nie jest cz�sto u�ywana, ale je�li
  zainstalowa�e� _S_h_a_d_o_w _S_u_i_t_e, to serwer ten nie b�dzie dzia�a� poniewa�
  has�a nie s� ju� zapisywane w /etc/passwd.

  Kod do autentykacji u�ytkownik�w przez pppd-1.2.1d umieszczony jest w
  pliku /usr/src/pppd-1.2.1d/pppd/auth.c.

  Poni�szy kod musi zosta� dodany na pocz�tku pliku gdzie znajduj� si�
  wszystkie inne dyrektywy #include. Otoczyli�my je dyrektywami
  warunkowymi (czyli skompiluj� si� tylko je�li kompilujemy z w�aczon�
  obs�ug� hase� przes�anianych).

  ______________________________________________________________________
  #ifdef HAS_SHADOW
  #include <shadow.h>
  #include <shadow/pwauth.h>
  #endif
  ______________________________________________________________________

  Nast�pnym krokiem jest modyfikacja w�a�ciwiego kodu. Ci�gle
  modyfikujemy plik auth.c.

  Funkcja auth.c przed modyfikacj�:

  ______________________________________________________________________
  /*
   * login - Check the user name and password against the system
   * password database, and login the user if OK.
   *
   * returns:
   *      UPAP_AUTHNAK: Login failed.
   *      UPAP_AUTHACK: Login succeeded.
   * In either case, msg points to an appropriate message.
   */
  static int
  login(user, passwd, msg, msglen)
      char *user;
      char *passwd;
      char **msg;
      int *msglen;
  {
      struct passwd *pw;
      char *epasswd;
      char *tty;

      if ((pw = getpwnam(user)) == NULL) {
          return (UPAP_AUTHNAK);
      }
       /*
       * XXX If no passwd, let them login without one.
       */
      if (pw->pw_passwd == '\0') {
          return (UPAP_AUTHACK);
      }

      epasswd = crypt(passwd, pw->pw_passwd);
      if (strcmp(epasswd, pw->pw_passwd)) {
          return (UPAP_AUTHNAK);
      }

      syslog(LOG_INFO, "user %s logged in", user);

      /*
       * Write a wtmp entry for this user.
       */
      tty = strrchr(devname, '/');
      if (tty == NULL)
          tty = devname;
      else
          tty++;
      logwtmp(tty, user, "");             /* Add wtmp login entry */
      logged_in = TRUE;

      return (UPAP_AUTHACK);
  }
  ______________________________________________________________________

  Has�o u�ytkownika jest umieszczane w pw->pw_passwd, tak �e wszystko co
  musimy zrobi�, to doda� funkcj� getspnam. Umie�ci to has�o w
  spwd->sp_pwdp.

  Dodamy funkcj� pwauth, aby przeprowadzi� w�a�ciw� autentykacj�.
  Przeprowadzi to tak�e drug� autentykacj� je�li plik shadow jest
  odpowiednio ustawiony.

  Funkcja auth.c po modyfikacji do obs�ugi hase� przes�anianych:

  ______________________________________________________________________
  /*
   * login - Check the user name and password against the system
   * password database, and login the user if OK.
   *
   * This function has been modified to support the Linux Shadow Password
   * Suite if USE_SHADOW is defined.
   *
   * returns:
   *      UPAP_AUTHNAK: Login failed.
   *      UPAP_AUTHACK: Login succeeded.
   * In either case, msg points to an appropriate message.
   */
  static int
  login(user, passwd, msg, msglen)
      char *user;
      char *passwd;
      char **msg;
      int *msglen;
  {
      struct passwd *pw;
      char *epasswd;
      char *tty;

  #ifdef USE_SHADOW
      struct spwd *spwd;
      struct spwd *getspnam();
  #endif

      if ((pw = getpwnam(user)) == NULL) {
          return (UPAP_AUTHNAK);
      }

  #ifdef USE_SHADOW
          spwd = getspnam(user);
          if (spwd)
                  pw->pw_passwd = spwd->sp-pwdp;
  #endif

       /*
       * XXX If no passwd, let NOT them login without one.
       */
      if (pw->pw_passwd == '\0') {
          return (UPAP_AUTHNAK);
      }
  #ifdef HAS_SHADOW
      if ((pw->pw_passwd && pw->pw_passwd[0] == '@'
           && pw_auth (pw->pw_passwd+1, pw->pw_name, PW_LOGIN, NULL))
          || !valid (passwd, pw)) {
          return (UPAP_AUTHNAK);
      }
  #else
      epasswd = crypt(passwd, pw->pw_passwd);
      if (strcmp(epasswd, pw->pw_passwd)) {
          return (UPAP_AUTHNAK);
      }
  #endif

      syslog(LOG_INFO, "user %s logged in", user);

      /*
       * Write a wtmp entry for this user.
       */
      tty = strrchr(devname, '/');
      if (tty == NULL)
          tty = devname;
      else
          tty++;
      logwtmp(tty, user, "");             /* Add wtmp login entry */
      logged_in = TRUE;

      return (UPAP_AUTHACK);
  }
  ______________________________________________________________________

  Po dok�adnym prze�ledzaniu tego kodu oka�e si�, �e zrobili�my jeszcze
  jedn� zmian�. Oryginalna wersja pozwala�a na dost�p (zwraca�a
  UPAP_AUTHACK) je�li nniiee bbyy��oo has�a w pliku /etc/passwd. Nie jest to
  dobrze, poniewa� popularnym u�yciem tej w�a�ciwo�ci programu login
  jest u�ywanie jednego konta, na dost�p do programu PPP, a potem
  sprawdzenie identyfikatora i has�a dostarczonych przez PAP z tymi w
  plikach /etc/passwd i /etc/shadow.

  Tak wi�c je�li ustwiliby�my oryginaln� wersj�, aby uruchamia�a pow�ok�
  dla u�ytkownika np. ppp, to ka�dy m�g�by uzyska� po��czenie ppp przez
  podanie identyfikatora ppp i pustego has�a.

  Poprawili�my to przez zwr�cenie UPAP_AUTHNAK zamiast UPAP_AUTHACK
  je�li pole z has�em jest puste.

  Interesuj�ce jest to, �e pppd-2.2.0 ma ten sam problem.

  Nast�pnie musimy zmodyfikowa� plik Makefile tak, �eby pojawi�y si�
  dwie rzeczy:
  USE_SHADOW musi by� zdefiniowane i libshadow.a musi by� dodana w
  procesie "linkowania".

  Wyedytuj plik Makefile i dodaj:

  LIBS = -lshadow

  Potem znajd� lini�:

  COMPILE_FLAGS = -I.. -D_linux_=1 -DGIDSET_TYPE=gid_t

  i zmie� j� na:

  COMPILE_FLAGS = -I.. -D_linux_=1 -DGIDSET_TYPE=gid_t -DUSE_SHADOW

  Teraz kompilacja i instalacja.

  99..  CCzz��ssttoo zzaaddaawwaannee ppyyttaanniiaa..

  _P_: Kiedy� kontrolowa�em terminale z jakich m�g� si� logowa� "root"
  przez plik /etc/securettys, teraz nie wygl�da na to �eby dzia�a�o. Co
  jest grane ?

  _O_: Teraz kiedy pakiet _S_h_a_d_o_w _S_u_i_t_e jest zainstalowany plik
  /etc/securettys nie ma �adnego znaczenia. Terminale, z kt�rych mo�e
  si� zalogowa� "root" s� teraz podawane w pliku konfiguracyjnym
  /etc/login.defs. Pozycja w tym pliku mo�e wskazywa� na jaki� inny
  plik.

  _P_: Zainstalowa�em pakiet _S_h_a_d_o_w _S_u_i_t_e i nie mog� si� zalogowa�, co
  przegapi�em ?

  _O_; Przypuszczalnie zainstalowa�e� pakiet i zapomnia�e� uruchomi�
  program pwconv albo zapomnia�e� skopiowa� /etc/npasswd na /etc/passwd
  oraz /etc/nshadow na /etc/shadow. Mo�esz musisz tak�e skopiowa�
  login.defs do /etc.

  _P_: W sekcji o "xlock-u" by�o napisane, �eby zmieni� grup� pliku
  /etc/shadow na shadow, ale ja nie mam takiej grupy - co mam zrobi� ?

  _O_: Mo�esz j� doda�. Po prostu wyedytuj plik /etc/group i dodaj lini�
  definiuj�c� grup� shadow. Musisz si� upewni�, �e numer grupy nie jest
  u�ywany przez �adn� inn� i musisz j� doda� przed pozycj� nogroup. Albo
  po prostu ustaw bit SUID dla programu xlock.

  _P_: Jest jaka� lista dyskusyjna dla Linux Shadow Password Suite ?

  _O_: Tak, ale jest ona dla rozwijaj�cych ten pakiet i dla testuj�cych
  wersje BETA. Mo�esz si� zapisa� na t� list� wysy�aj�c list na adres
  _s_h_a_d_o_w_-_l_i_s_t_-_r_e_q_u_e_s_t_@_n_e_p_t_u_n_e_._c_i_n_._n_e_t o tytule _s_u_b_s_c_r_i_b_e. Na li�cie tej
  dyskutuje si� w�a�ciwie o konkretnej serii shadow-YYMMSS. Powiniene�
  si� na ni� zapisa� je�li chcesz by� w��czony do dalszego rozwoju albo
  je�li zainstalowa�e� sobie ten pakiet i chcesz wiedzie� o nowszych
  wersjach.

  _P_: Zainstalowa�em _S_h_a_d_o_w _S_u_i_t_e, ale kiedy u�ywam polecenia userdel
  dostaj�: "userdel: cannot open shadow group file" - co zrobi�em �le ?

  _O_: Skompilowa�e� pakiet z w��czon� opcj� SHADOWGRP, ale nie masz pliku
  /etc/gshadow.  Musisz albo wyedytowa� plik config.h i skompilowa�
  ponownie pakiet albo stworzy� plik /etc/gshadow. Zobacz sekcj�
  dotycz�c� przes�anianych grup.

  _P_: Zainstalowa�em _S_h_a_d_o_w _S_u_i_t_e, ale zakodowane has�a pojawiaj� si� w
  pliku /etc/passwd, co jest ?

  _O_: Albo w�aczy�e� opcj� AUTOSHADOW w pliku config.h, albo twoja
  biblioteka libc by�a skompilowana z opcj� SAHDOW_COMPAT. Musisz
  dowiedzie� si�, kt�re z tych dw�ch jest prawdziwe i skompilowa�
  ponownie.

  1100..  PPrraawwaa aauuttoorrsskkiiee ppooddzzii��kkoowwaanniiaa ii rr���nnee..

  1100..11..  PPrraawwaa aauuttoorrsskkiiee

  Linux Shadow Password HOWTO jest chronione prawami autorskimi Michaela
  H. Jacksona.

  Dozwolone jest dystrybuowanie kopii tego dokumentu zak�adaj�c, �e
  wzmianka o prawach autorskich i to pozwolenie jest zawarte we
  wszystkich kopiach.

  Dozwolone jest dytrybuowanie i kopiowanie modyfikowanych wersji tego
  dokumentu pod warunkami kopiowania z powy�szego akapitu, zak�adaj�c,
  �e zawarta jest jasna informacja, �e jest to wersja modyfikowana tego
  dokumentu.

  Dozwolone jest kopiowanie i dystrybucja t�umacze� tego dokumentu na
  inne j�zyki pod warunkami dla wersji modyfikowanych wymienionymi
  wy�ej.

  Dozwolone jest konwertowanie tego dokumentu na inne media pod
  warunkami podanymi powy�ej dla wersji modyfikowanych zak�adaj�c, �e
  informacja o �r�dle nowego dokumentu jest zawarta przez oczywisty
  odno�nik do dokumentu �r�d�owego w nowej wersji tego dokumentu. Je�li
  wyst�puj� jakie� w�tpliow�ci co do s�owa "oczywiste", w�a�ciciel praw
  autorskich rezerwuje sobie prawo decyzji.

  1100..22..  PPooddzzii��kkoowwaanniiaa ii rr���nnee..

  Przyk�ady kod�w dla auth.c zosta�y wzi�te z pppd-1.2.1d i ppp-2.1.0e,
  Copyright (c) 1993 and The Australian National University oraz
  Copyright (c) 1989 Carnegie Mellon University.

  Podzi�kowania dla Marka Micha�kiewicza
  <marekm@i17linuxb.ists.pwr.wroc.pl> za napisanie i opiek� nad pakietem
  _S_h_a_d_o_w _S_u_i_t_e dla Linux-a oraz za przejrzenie i komentarze do tego
  dokumentu.

  Podzi�kowania dla Rona Tidda <rtidd@tscnet.com> za jego pomocne
  przejrzenie i testowanie.

  Podzi�kowania dla wszystkich, kt�rzy przys�ali do mnie komentarze, aby
  pom�c w ulepszeniu tego dokumentu.

  Je�li masz jakie� uwagi lub sugestie to napisz do mnie prosz�,
  z powa�aniem

  Michael H. Jackson <mhjack@tscnet.com>

  1100..33..  OOdd tt��uummaacczzaa..

  T�umaczenie to jest chronione prawami autorskimi � Bartosza
  Maruszewskiego.  Dozwolone jest rozprowadzanie i dystrybucja na
  prawach takich samych jak dokument oryginalny.

  Je�li znalaz�e� jakie� ra��ce b��dy ortograficzne, gramatyczne,
  sk�adniowe, techniczne to pisz do mnie:

  B.Maruszewski@zsmeie.torun.pl

  Oficjaln� stron� t�umacze� HOWTO jest http://www.jtz.org.pl/

  Aktualne wersje przet�umaczonych dokument�w znajduj� si� na tej�e
  stronie. Dost�pne s� tak�e poprzez anonimowe ftp pod adresem
  ftp.ippt.gov.pl w katalogu /pub/Linux/JTZ/.

  Przet�umaczone przeze mnie dokumenty znajduj� si� tak�e na mojej
  stronie WWW. <http://www.zsmeie.torun.pl/~bart/tlumaczenie.html> S�
  tam te� odwo�ania do Polskiej Strony T�umaczeniowej.

  Kontakt z nasz� grup�, grup� t�umaczy mo�esz uzyska� poprzez list�
  dyskusyjn� jtz@ippt.gov.pl. Je�li chcesz sie na ni� zapisa�, to wy�lij
  list o tre�ci subscribe jtz Imi� Nazwisko na adres
  listproc@ippt.gov.pl

  Zmiany w tym dokumencie wprowadzone przez t�umacza to:

  �  - "chmod 700 /etc/login/defs" na "chmod 600 /etc/login.defs" plik
     ten nie musi by� wykonywalny,

  �  - "cp passwd ~passwd" na "cp passwd ~/passwd" - ewidentna liter�wka
     autora

  �  - "chmod 600 ~passwd" na "chmod 600 ~/passwd" - to samo

  �  - przy zmianie grupy pliku /etc/shadow dodane "cd /etc"

  �  - oraz polskie serwery WWW i ftp.