これには、-DDECOSF1_ENHANCEDを組み込んだ,拡張Digital UNIXセキュリティーが含まれています。また、これはSYSLIBS=-lsecurityともリンクしています。(メークファイル参照)
拡張ログイン(Enhanced Login)コマンドは、最終的に成功しなかった全てのログインを報告します。
(ログイン失敗のレポートは、登録されているアカウントネームに対しては1回の失敗から、その他の名前に関しては2回の失敗から行います。)残念ながらSunOS5だけがシャドウパスワード、パスワードの使用回数カウントをサポートしています。以下に拡張機能のリストを示します。
このプログラムはいくつかのSYSTEM Vのバージョンについてはセキュリティーホールを作る可能性が有ります。特に、標準入力を/bin/loginの引数ベクトルに変換しているようなポートモニター(getty,ttymon)を持つ場合に起こります。
SunOS5以降の物に関しては問題ないようです。
このloginコマンドは、それ自体で全ての認証を行う(loginの-fオプション)ような 新しいタイプのrloginデーモンとの仲介も行います。
例:
*.err;kern.debug;auth.notice;user.none /dev/console *.err;kern.debug;daemon,auth.info;mail.crit;user.none /var/adm/messages auth.debug ifdef(`LOGHOST', /var/log/syslog, @loghost)syslogdがsyslog.confファイルのフィールド間にtabを強制的に入れてしまいます。
(2) SunOS 4.xのfbtab(5) と SunOS 5.x
logindevperm(4) のマニュアルページにかかれているセキュリティデバイスをサポートしました。
ファイルのフォーマットは:
(3)プログラムは、ユーザー(グループ)が指定されたホスト(ドメイン)または 端末からログインすることを選択的に許可(拒否)できます。アクセスは/etc/login.accessファイルにてコントロールされます。このディレクトリにあるlogin.accessファイルに詳細がかかれています。
(4)早い段階での回線断もログインの失敗とし報告されます。これは昔のクラッカーの 手口です。
(5)全てのログインがsyslogdに報告されます。そのために160 /var/adm/wtmpをチェックする必要は無くなります。通常のログインはauth.infoに記録されます。
(6)-DSKEYオプションでコンパイルされた場合には、一回こっきりのs/keyパスワードの サポートも追加されます。これはs/keyを使わないユーザーに対しても完全に透明な物です。詳細は../skey/READMEを参照してください。
(7)-lオプションが与えられるとrlogin認証コードはユーザーの.rhostsファイルを無視します。(IRIX 5.3: -R)
(8)デフォルトではrlogin認証コードは'+'を受け付けません。(そのかわりメッセージを表示します。)-lオプションは../rlogindのrloginプログラムによって実行されます。
取り込まれていないSYSVの機能:
ログインの失敗はローカルファイルには記録されません。失敗はsyslogd にレポートされます。そのため、システム全体にわたる監視が可能です。
ダイアルアップパスワードは有りません:インターネットからアクセス可能で有ればモデムからの進入よりももっと大きな問題があります。
-dオプションは受け入れられますが、常に無視されます。