home *** CD-ROM | disk | FTP | other *** search
/ H4CK3R 16 / hacker16 / 16_HACKER16.ISO / linux / tpm-security-server-1.2.1.iso / archive / etc / login.defs < prev    next >
Encoding:
Text File  |  2004-01-29  |  10.1 KB  |  371 lines

  1. #
  2. # /etc/login.defs - Configuration control definitions for the login package.
  3. #
  4. #    $Id: login.defs.linux,v 1.12 2000/08/26 18:27:10 marekm Exp $
  5. #
  6. # Three items must be defined:  MAIL_DIR, ENV_SUPATH, and ENV_PATH.
  7. # If unspecified, some arbitrary (and possibly incorrect) value will
  8. # be assumed.  All other items are optional - if not specified then
  9. # the described action or option will be inhibited.
  10. #
  11. # Comment lines (lines beginning with "#") and blank lines are ignored.
  12. #
  13. # Modified for Linux.  --marekm
  14.  
  15. #
  16. # Delay in seconds before being allowed another attempt after a login failure
  17. #
  18. FAIL_DELAY        3
  19.  
  20. #
  21. # Enable additional passwords upon dialup lines specified in /etc/dialups.
  22. #
  23. DIALUPS_CHECK_ENAB    yes
  24.  
  25. #
  26. # Enable logging and display of /var/log/faillog login failure info.
  27. #
  28. FAILLOG_ENAB        yes
  29.  
  30. #
  31. # Enable display of unknown usernames when login failures are recorded.
  32. #
  33. LOG_UNKFAIL_ENAB    no
  34.  
  35. #
  36. # Enable logging of successful logins
  37. #
  38. LOG_OK_LOGINS        no
  39.  
  40. #
  41. # Enable logging and display of /var/log/lastlog login time info.
  42. #
  43. LASTLOG_ENAB        yes
  44.  
  45. #
  46. # Enable checking and display of mailbox status upon login.
  47. #
  48. # Disable if the shell startup files already check for mail
  49. # ("mailx -e" or equivalent).
  50. #
  51. MAIL_CHECK_ENAB        yes
  52.  
  53. #
  54. # Enable additional checks upon password changes.
  55. #
  56. OBSCURE_CHECKS_ENAB    yes
  57.  
  58. #
  59. # Enable checking of time restrictions specified in /etc/porttime.
  60. #
  61. PORTTIME_CHECKS_ENAB    yes
  62.  
  63. #
  64. # Enable setting of ulimit, umask, and niceness from passwd gecos field.
  65. #
  66. QUOTAS_ENAB        yes
  67.  
  68. #
  69. # Enable "syslog" logging of su activity - in addition to sulog file logging.
  70. # SYSLOG_SG_ENAB does the same for newgrp and sg.
  71. #
  72. SYSLOG_SU_ENAB        yes
  73. SYSLOG_SG_ENAB        yes
  74.  
  75. #
  76. # If defined, either full pathname of a file containing device names or
  77. # a ":" delimited list of device names.  Root logins will be allowed only
  78. # upon these devices.
  79. #
  80. CONSOLE        /etc/securetty
  81. #CONSOLE    console:tty01:tty02:tty03:tty04
  82.  
  83. #
  84. # If defined, all su activity is logged to this file.
  85. #
  86. #SULOG_FILE    /var/log/sulog
  87.  
  88. #
  89. # If defined, ":" delimited list of "message of the day" files to
  90. # be displayed upon login.
  91. #
  92. MOTD_FILE    /etc/motd
  93. #MOTD_FILE    /etc/motd:/usr/lib/news/news-motd
  94.  
  95. #
  96. # If defined, this file will be output before each login prompt.
  97. #
  98. #ISSUE_FILE    /etc/issue
  99.  
  100. #
  101. # If defined, file which maps tty line to TERM environment parameter.
  102. # Each line of the file is in a format something like "vt100  tty01".
  103. #
  104. #TTYTYPE_FILE    /etc/ttytype
  105.  
  106. #
  107. # If defined, login failures will be logged here in a utmp format.
  108. # last, when invoked as lastb, will read /var/log/btmp, so...
  109. #
  110. FTMP_FILE    /var/log/btmp
  111.  
  112. #
  113. # If defined, name of file whose presence which will inhibit non-root
  114. # logins.  The contents of this file should be a message indicating
  115. # why logins are inhibited.
  116. #
  117. NOLOGINS_FILE    /etc/nologin
  118.  
  119. #
  120. # If defined, the command name to display when running "su -".  For
  121. # example, if this is defined as "su" then a "ps" will display the
  122. # command is "-su".  If not defined, then "ps" would display the
  123. # name of the shell actually being run, e.g. something like "-sh".
  124. #
  125. SU_NAME        su
  126.  
  127. #
  128. # *REQUIRED*
  129. #   Directory where mailboxes reside, _or_ name of file, relative to the
  130. #   home directory.  If you _do_ define both, MAIL_DIR takes precedence.
  131. #   QMAIL_DIR is for Qmail
  132. #
  133. #QMAIL_DIR    Maildir
  134. MAIL_DIR    /var/mail
  135. #MAIL_FILE    .mail
  136.  
  137. #
  138. # If defined, file which inhibits all the usual chatter during the login
  139. # sequence.  If a full pathname, then hushed mode will be enabled if the
  140. # user's name or shell are found in the file.  If not a full pathname, then
  141. # hushed mode will be enabled if the file exists in the user's home directory.
  142. #
  143. HUSHLOGIN_FILE    .hushlogin
  144. #HUSHLOGIN_FILE    /etc/hushlogins
  145.  
  146. #
  147. # If defined, the presence of this value in an /etc/passwd "shell" field will
  148. # disable logins for that user, although "su" will still be allowed.
  149. #
  150. # XXX this does not seem to be implemented yet...  --marekm
  151. # no, it was implemented but I ripped it out ;-) -- jfh
  152. NOLOGIN_STR    NOLOGIN
  153.  
  154. #
  155. # If defined, either a TZ environment parameter spec or the
  156. # fully-rooted pathname of a file containing such a spec.
  157. #
  158. #ENV_TZ        TZ=CST6CDT
  159. #ENV_TZ        /etc/tzname
  160.  
  161. #
  162. # If defined, an HZ environment parameter spec.
  163. #
  164. # for Linux/x86
  165. ENV_HZ        HZ=100
  166. # For Linux/Alpha...
  167. #ENV_HZ        HZ=1024
  168.  
  169. #
  170. # *REQUIRED*  The default PATH settings, for superuser and normal users.
  171. #
  172. # (they are minimal, add the rest in the shell startup files)
  173. ENV_SUPATH    PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/ssl/bin:/usr/X11R6/bin:/usr/local/sbin:/usr/local/bin
  174. ENV_PATH    PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/ssl/bin:/usr/X11R6/bin:/usr/local/sbin:/usr/local/bin
  175.  
  176.  
  177. #
  178. # Terminal permissions
  179. #
  180. #    TTYGROUP    Login tty will be assigned this group ownership.
  181. #    TTYPERM        Login tty will be set to this permission.
  182. #
  183. # If you have a "write" program which is "setgid" to a special group
  184. # which owns the terminals, define TTYGROUP to the group number and
  185. # TTYPERM to 0620.  Otherwise leave TTYGROUP commented out and assign
  186. # TTYPERM to either 622 or 600.
  187. #
  188. TTYGROUP    tty
  189. TTYPERM        0600
  190.  
  191. #
  192. # Login configuration initializations:
  193. #
  194. #    ERASECHAR    Terminal ERASE character ('\010' = backspace).
  195. #    KILLCHAR    Terminal KILL character ('\025' = CTRL/U).
  196. #    UMASK        Default "umask" value.
  197. #    ULIMIT        Default "ulimit" value.
  198. #
  199. # The ERASECHAR and KILLCHAR are used only on System V machines.
  200. # The ULIMIT is used only if the system supports it.
  201. # (now it works with setrlimit too; ulimit is in 512-byte units)
  202. #
  203. # Prefix these values with "0" to get octal, "0x" to get hexadecimal.
  204. #
  205. ERASECHAR    0177
  206. KILLCHAR    025
  207. UMASK        022
  208. #ULIMIT        2097152
  209.  
  210. #
  211. # Password aging controls:
  212. #
  213. #    PASS_MAX_DAYS    Maximum number of days a password may be used.
  214. #    PASS_MIN_DAYS    Minimum number of days allowed between password changes.
  215. #    PASS_MIN_LEN    Minimum acceptable password length.
  216. #    PASS_WARN_AGE    Number of days warning given before a password expires.
  217. #
  218. PASS_MAX_DAYS    99999
  219. PASS_MIN_DAYS    0
  220. PASS_MIN_LEN    5
  221. PASS_WARN_AGE    7
  222.  
  223. #
  224. # If "yes", the user must be listed as a member of the first gid 0 group
  225. # in /etc/group (called "root" on most Linux systems) to be able to "su"
  226. # to uid 0 accounts.  If the group doesn't exist or is empty, no one
  227. # will be able to "su" to uid 0.
  228. #
  229. SU_WHEEL_ONLY    no
  230.  
  231. #
  232. # If compiled with cracklib support, where are the dictionaries
  233. #
  234. CRACKLIB_DICTPATH    /var/cache/cracklib/cracklib_dict
  235.  
  236. #
  237. # Min/max values for automatic uid selection in useradd
  238. #
  239. UID_MIN             1000
  240. UID_MAX            60000
  241.  
  242. #
  243. # Min/max values for automatic gid selection in groupadd
  244. #
  245. GID_MIN              100
  246. GID_MAX            60000
  247.  
  248. #
  249. # Max number of login retries if password is bad
  250. #
  251. LOGIN_RETRIES        5
  252.  
  253. #
  254. # Max time in seconds for login
  255. #
  256. LOGIN_TIMEOUT        60
  257.  
  258. #
  259. # Maximum number of attempts to change password if rejected (too easy)
  260. #
  261. PASS_CHANGE_TRIES    5
  262.  
  263. #
  264. # Warn about weak passwords (but still allow them) if you are root.
  265. #
  266. PASS_ALWAYS_WARN    yes
  267.  
  268. #
  269. # Number of significant characters in the password for crypt().
  270. # Default is 8, don't change unless your crypt() is better.
  271. # Ignored if MD5_CRYPT_ENAB set to "yes".
  272. #
  273. #PASS_MAX_LEN        8
  274.  
  275. #
  276. # Require password before chfn/chsh can make any changes.
  277. #
  278. CHFN_AUTH        yes
  279.  
  280. #
  281. # Which fields may be changed by regular users using chfn - use
  282. # any combination of letters "frwh" (full name, room number, work
  283. # phone, home phone).  If not defined, no changes are allowed.
  284. # For backward compatibility, "yes" = "rwh" and "no" = "frwh".
  285. CHFN_RESTRICT        rwh
  286.  
  287. #
  288. # Password prompt (%s will be replaced by user name).
  289. #
  290. # XXX - it doesn't work correctly yet, for now leave it commented out
  291. # to use the default which is just "Password: ".
  292. #LOGIN_STRING        "%s's Password: "
  293.  
  294. #
  295. # Only works if compiled with MD5_CRYPT defined:
  296. # If set to "yes", new passwords will be encrypted using the MD5-based
  297. # algorithm compatible with the one used by recent releases of FreeBSD.
  298. # It supports passwords of unlimited length and longer salt strings.
  299. # Set to "no" if you need to copy encrypted passwords to other systems
  300. # which don't understand the new algorithm.  Default is "no".
  301. #
  302. #MD5_CRYPT_ENAB    no
  303.  
  304. #
  305. # List of groups to add to the user's supplementary group set
  306. # when logging in on the console (as determined by the CONSOLE
  307. # setting).  Default is none.
  308. #
  309. # Use with caution - it is possible for users to gain permanent
  310. # access to these groups, even when not logged in on the console.
  311. # How to do it is left as an exercise for the reader...
  312. #
  313. #CONSOLE_GROUPS        floppy:audio:cdrom
  314.  
  315. #
  316. # Should login be allowed if we can't cd to the home directory?
  317. # Default in no.
  318. #
  319. DEFAULT_HOME    yes
  320.  
  321. #
  322. # If this file exists and is readable, login environment will be
  323. # read from it.  Every line should be in the form name=value.
  324. #
  325. ENVIRON_FILE    /etc/environment
  326.  
  327. #
  328. # If defined, this command is run when removing a user.
  329. # It should remove any at/cron/print jobs etc. owned by
  330. # the user to be removed (passed as the first argument).
  331. #
  332. #USERDEL_CMD    /usr/sbin/userdel_local
  333.  
  334. #
  335. # If defined, either full pathname of a file containing device names or
  336. # a ":" delimited list of device names.  No password is required to log in
  337. # as a non-root user on these devices.
  338. #
  339. #NO_PASSWORD_CONSOLE tty1:tty2:tty3:tty4:tty5:tty6
  340.  
  341. #
  342. # When prompting for password without echo, getpass() can optionally
  343. # display a random number (in the range 1 to GETPASS_ASTERISKS) of '*'
  344. # characters for each character typed.  This feature is designed to
  345. # confuse people looking over your shoulder when you enter a password :-).
  346. # Also, the new getpass() accepts both Backspace (8) and Delete (127)
  347. # keys to delete previous character (to cope with different terminal
  348. # types), Control-U to delete all characters, and beeps when there are
  349. # no more characters to delete, or too many characters entered.
  350. #
  351. # Setting GETPASS_ASTERISKS to 1 results in more traditional behaviour -
  352. # exactly one '*' displayed for each character typed.
  353. #
  354. # Setting GETPASS_ASTERISKS to 0 disables the '*' characters (Backspace,
  355. # Delete, Control-U and beep continue to work as described above).
  356. #
  357. # Setting GETPASS_ASTERISKS to -1 reverts to the traditional getpass()
  358. # without any new features.  This is the default.
  359. #
  360. #GETPASS_ASTERISKS 1
  361.  
  362. #
  363. # Enable setting of the umask group bits to be the same as owner bits
  364. # (examples: 022 -> 002, 077 -> 007) for non-root users, if the uid is
  365. # the same as gid, and username is the same as the primary group name.
  366. #
  367. # This also enables userdel to remove user groups if no members exist.
  368. #
  369. USERGROUPS_ENAB yes
  370.