0x2207: shadow

Показаны сообщения с ярлыком shadow. Показать все сообщения

pwdutils RIP

Широко анонсированный конец света начал потихоньку наступать. Спустя пару месяцев с момента написания моего предыдущего поста shadow-utils vs. pwdutils, основной разработчик pwdutils Торсен Кукук (Thorsten Kukuk) взял и «тихо и незаметно» выпилил pwdutils из следующего релиза openSUSE 12.3 в пользу shadow (Вероятно восклицая в этот момент «Стой и не шевелись! Я тебя породил, я тебя и убью!»).

Репортаж с места события:

https://features.opensuse.org/314473
README.changes-pwdutils (самый полный список различий смотрите тут)
http://lists.opensuse.org/archive/opensuse-packaging/2012-11/msg00096.html — первые поломки не заставили себя долго ждать

Возрадуемся же необходимости оборачивать свои spec-файлы очередными несвежими условными операторами, впрочем я уже давно и так это делаю:

%if 0%{?fedora} || 0%{?rhel_version} || 0%{?centos_version}
%define usermod_A /usr/sbin/usermod -a -G
%else
%define usermod_A /usr/sbin/usermod -A
%endif

p.s. Неужели pam_unix2.so будет следующей жертвой унификации?

shadow-utils vs. pwdutils

Существуют два пакета утилит: shadow-utils и pwdutils (применяется в SUSE). Служат они для одной цели — редактирования групп и пользователей, но при этом значения набора параметров отличаются. Среди шестерки утилит user{add,mod,del} и group{add,mod,del}, к счастью, наблюдается некоторая систематика.

В shadow-utils следующие параметры имеют всегда одинаковое значение (в pwdutils отсутствуют, если явно не указано обратное):

Ключ	Значение
-D	изменяет значения по умолчанию
-K	key=value для значений по умолчанию
-R	запускать в chroot
-Z	пользователь SELinux

При этом ключи pwdutils другое (в shadow-utils отсутствуют, если явно не указано обратное):

Ключ	Значение
-D	DN для LDAP
-P	путь к /etc/passwd и /etc/shadow

Кроме этого, для каждой команды присутствуют индивидуальные особенности. Их условно можно поделить на три группы: ключ означает разные вещи; ключ отсутствует в одной из реализаций; ключ присутствует, значение совпадает, но это не отражено в документации.

С проблемами первой условной группы можно было бы бороться используя явные длинные названия. Это делает скрипт более длинным, но и более явным. Однако, для -e длинные варианты отличаются: --expiredate и --expire.

useradd

Ключ	Shadow	Pwd
-M	не создавать /home	нет
-N	не создавать группу пользователю	нет
-U	создать пользователю одноименную группу	маска umask для домашней директории
-b	базовый каталог, вместо /home	нет
-l	не добавлять в lastlog	нет

usermod

Ключ	Shadow	Pwd
-A	нет	добавить в группу (аналог -a -G)
-R	запускать в chroot	удалить из группы
-a	(вместе с -G) добавить в группу	недокументированный

groupadd

Ключ	Shadow	Pwd
-f	не ругаться, если группа уже есть	недокументированный

groupmod

Ключ	Shadow	Pwd
-A	нет	добавить пользователя в группу
-R	запускать в chroot	удалить пользователя из группы
-n	переименовать	недокументированный

cron: Permission denied

После обновления на openSUSE 11.2 перестали запускаться некоторые задачи cron'а. Описаны они были в отдельном файле, расположенном в /etc/cron.d и запускаться должны быть не от root, а от некоторого системного пользователя. Но вместо выполнения, в /var/log/messages обнаружились только записи вида "/usr/sbin/cron[47852]: Permission denied".

Ошибка, прямо скажем, не очень информативного содержания. openSUSE использует vixie-cron, снабженный дополнительными патчами, один из которых обеспечивает работу с PAM. В пакете идет так-же и файл /etc/pam.d/crond с настройками.

Исполнению скрипта мешал модуль pam_unix2.so(разработанный Thorsten Kukuk), т.к. этот модуль новой версии считает, что аккаунт заблокирован, если в файле /etc/shadow на месте пароля записан символ '!'. По некоторому стечению обстоятельств так и оказалось. Еще туда можно записать '*', как говорится, почувствуйте разницу.