다음 이전 차례

3. Shadow Suite 얻기.

3.1 Linux용 Shadow Suite의 역사

이 SECTION에서 소개하는 PACKAGE를 사용하지 말라. 문제점이 발견되었다

최초로 Shadow Suite를 만든 사람은 John F. Haugh II이다.

Linux system에서 사용되는 것으로는 다음과 같은 것들이 있다.

shadow-mk package는 shadow-3.3.1-2 patch가 적용된, John F. Haugh II씨에 의해 배포된 shadow-3.3.1 package를 포함하고 있다. 거기에 좀 더 설치가 쉽게 Mohan Kokal <magnus@texas.net>씨께서 조금 고치고, Joseph R.M. Zbiciak씨께서 /bin/login의 -f, -h 보안 구멍을 제거한 login1.c (login.secure)가 덧 붙여지고, 몇몇 다른 잡다한 patch가 적용되어 있다.

shadow.mk package는 현재 login program에 보안상 허점가 있어 조만간 대체될 것이다.

Shadow 3.3.1, 3.3.1-2, shadow-mk는 login program에 보안상 허점이 있다. 이 login bug는 login name의 길이를 검사하지 않는 것을 포함하고 있다. 이 것은 충돌 또는 더 나쁜 것을 유발시키는 buffer overflow를 발생시킨다. 이 buffer overflow가, 이 bug와 함께 shared library를 사용하는 system에서 어떤 사용자에게 root 권한을 준다는 소문이 있어 왔다. 나는 어떻게 이런 일이 가능한지 구체적으로 거론하지 않겠다. 그 이유는 이런 (bug가 있는) Shadow Suite를 설치해서 피해를 입을 수 있는 Linux system이 많고, Shadow Suite없는 ELF-이전 배포판에게도 위험하기 때문이다.

이 문제와 다른 Linux 보안관련 문제에 대해 더 자세히 알고 싶다면, Linux Security home page (Shared Libraries and login Program Vulnerability)를 참조하라.

3.2 어디서 Shadow Suite를 얻습니까?

권할만한 Shadow Suite은 아직 BETA testing중이다. 어쨌든 최근 version이 안전하며, 취약한 login program을 포함하지 않는다.

package는 다음과 같은 명명규칙을 갖는다:

shadow-YYMMDD.tar.gz
YYMMDD는 Suite가 발표된 날짜이다.

이 version은 Beta testing이 끝나면, 결국 Version 3.3.3이 될것이고, Marek Michalkiewicz <marekm@i17linuxb.ists.pwr.wroc.pl>에 의해서 유지보수 되고 있다. shadow-current.tar.gz에서 얻을 수 있다.

또한, 다음에 나오는 mirror site들에서 얻을 수 있다:

현재 나와있는 version을 사용하기 바란다.

shadow-960129보다 이전에 나온 version을 쓰지 말기 바란다: 앞에서 논의한 login 보안 허점이 있다.

이 문서에서 Shadow Suite라고 말하는 것은 이 version을 가리킨다. 또한, 당신이 사용하고 있는 package라고 가정한다.

참고적으로, 설치 안내서를 작성하는 데, shadow-960129를 사용했다.

이전에 shadow-mk를 사용했다면, 이 version으로 upgrade를 하고, 이전에 compile했던 것을 다시 하기 바란다.

3.3 Shadow Suite에는 뭔가 있는 것같은 데...

Shadow Suite는 다음 program의 대체품을 가지고 있다:

su, login, passwd, newgrp, chfn, chsh, id

또한, 새로운 program들도 있다:

chage, newusers, dpasswd, gpasswd, useradd, userdel, usermod, groupadd, groupdel, groupmod, groups, pwck, grpck, lastlog, pwconv, pwunconv

덧붙여, library: libshadow.a가 사용자 password에 접근하는 program을 작성하거나 compile하기 위해 포함되어 있다.

또한, program들을 위한 manual page도 있다.

/etc/login.defs로 설치되는 login program의 설정 file도 있다.


다음 이전 차례