/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
RedHat 7.3, passwd som root problem
Fra : Mogens Kjaer


Dato : 18-09-02 13:16

Når man er root på en redhat 7.3 maskine (med PAM),
kan man give en vilkårlig bruger et vilkårligt password,
dvs. de sædvanlige minimum password længde og cracklib
tests bliver ikke håndhævet - jo, den kommer med en
"BAD PASSWORD" advarsel, men passwordet bliver skiftet
alligevel.

Er det muligt at sætte det sådan, at også root skal
overholde den regel?

Jeg for brug for dette idet jeg bruger passwd i
samba, så windows brugere kan skifte deres unix
og samba password på én gang.

Jeg er nødt til at bruge "unix password sync",
"passwd program" og "passwd chat" - fordi
passwd program peger på et script, som fyrer passwd
af både lokalt og på en anden maskine via ssh (NIS ikke
muligt).

Én på SSLUG's liste foreslog at su'e til brugeren
inden man kører passwd, men det duer ikke da man
ikke kender det gamle password.

Mogens
--
Mogens Kjaer, Carlsberg Laboratory, Dept. of Chemistry
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk


 
 
Lars Kongshøj (18-09-2002)
Kommentar
Fra : Lars Kongshøj


Dato : 18-09-02 16:26

Mogens Kjaer wrote:
> Én på SSLUG's liste foreslog at su'e til brugeren
> inden man kører passwd, men det duer ikke da man
> ikke kender det gamle password.

Man behøver ikke kende passwordet, hvis su køres som root. Hvis ikke det
er root, der skal køre su, kan det måske løses ved at sætte en SUID-bit
på en kopi af su, og oprette en gruppe, der har ret til at køre
su-kopien. Hvilket kræver visse sikkerhedsovervejelser.

Desuden henvises der her i gruppen ofte til et værktøj, som hedder sudo,
som skulle være væsentligt mere fleksibelt end su. Det er måske også
værd at kigge på. Kender det dog ikke selv.

--
Lars Kongshøj
Registrer dig som linux-bruger:
http://counter.li.org/enter-person.php

Mogens Kjaer (19-09-2002)
Kommentar
Fra : Mogens Kjaer


Dato : 19-09-02 07:21

Lars Kongshøj wrote:
> Man behøver ikke kende passwordet, hvis su køres som root.

Du misforstår mig.

Forskellen imellem:

1:   # passwd joeuser
2:   # su joeuser -c passwd

(begge kørt som root) er, at passwd i (2) kræver,
at man kender joeuser's gamle password. Og det
gør samba ikke.

Jeg vil finde på en anden løsning...

Mogens
--
Mogens Kjaer, Carlsberg Laboratory, Dept. of Chemistry
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk


Lars Kongshøj (19-09-2002)
Kommentar
Fra : Lars Kongshøj


Dato : 19-09-02 09:08

Mogens Kjaer wrote:
> Lars Kongshøj wrote:
>> Man behøver ikke kende passwordet, hvis su køres som root.
> Du misforstår mig.
> Forskellen imellem:
> 1: # passwd joeuser
> 2: # su joeuser -c passwd
> (begge kørt som root) er, at passwd i (2) kræver,
> at man kender joeuser's gamle password.

Du har selvfølgelig ret, så langt tænkte jeg ikke lige...

> Jeg vil finde på en anden løsning...

Hvad med at rette lidt i sourcen for passwd. Det må være minimalt, hvad
der skal rettes.

--
Lars Kongshøj




Mogens Kjaer (19-09-2002)
Kommentar
Fra : Mogens Kjaer


Dato : 19-09-02 09:35

Lars Kongshøj wrote:

> Hvad med at rette lidt i sourcen for passwd. Det må være minimalt, hvad
> der skal rettes.

Det er ikke så simpelt.

Checket foregår i PAM modulet pam_cracklib.

Jeg kan ikke lide at patche PAM; så skal man
til at patche igen, hvis der kommer
opdateringer.

Jeg vil lave et selvstændigt program, som virker
næsten som pam_cracklib. Det kan jeg så kalde
fra mit passwd chat script fra samba. Hvis checket
fejler, bliver passwd så ikke kaldt.

Mogens


--
Mogens Kjaer, Carlsberg Laboratory, Dept. of Chemistry
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk


Peter Brodersen (19-09-2002)
Kommentar
Fra : Peter Brodersen


Dato : 19-09-02 11:15

On Wed, 18 Sep 2002 14:15:59 +0200, Mogens Kjaer <mk@crc.dk> wrote:

>Jeg for brug for dette idet jeg bruger passwd i
>samba, så windows brugere kan skifte deres unix
>og samba password på én gang.

Hvis du i første omgang alligevel har sat det i system gennem et
script, kan du så ikke lave et simpelt program, der blot tjekker
password'et vha. pam_cracklib-funktionerne, og hvis det er i orden så
først her køre passwd-kommandoen?

--
- Peter Brodersen

Mogens Kjaer (19-09-2002)
Kommentar
Fra : Mogens Kjaer


Dato : 19-09-02 11:18

Peter Brodersen wrote:

> Hvis du i første omgang alligevel har sat det i system gennem et
> script, kan du så ikke lave et simpelt program, der blot tjekker
> password'et vha. pam_cracklib-funktionerne, og hvis det er i orden så
> først her køre passwd-kommandoen?
>

Det er jeg også nået frem til.

Mogens

--
Mogens Kjaer, Carlsberg Laboratory, Dept. of Chemistry
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk


Peter Brodersen (19-09-2002)
Kommentar
Fra : Peter Brodersen


Dato : 19-09-02 12:07

On Thu, 19 Sep 2002 12:17:39 +0200, Mogens Kjaer <mk@crc.dk> wrote:

>Det er jeg også nået frem til.

Bare af nysgerrighed; hvor lettilgængeligt er det så at bruge
cracklib-modulet sådan "uden videre"?

--
- Peter Brodersen

Mogens Kjaer (19-09-2002)
Kommentar
Fra : Mogens Kjaer


Dato : 19-09-02 13:41

Peter Brodersen wrote:

> Bare af nysgerrighed; hvor lettilgængeligt er det så at bruge
> cracklib-modulet sådan "uden videre"?
>

Det havde jeg ikke tænkt mig at gøre.

Jeg har lavet et "nyt" program ved at lave en cut&paste
fra PAM modulet. Jeg har så fjernet alt, der har med
PAM at gøre.

Programmet bruger så libcrack til at slå op i ordbøger,
ligesom pam_cracklib gør det.

Det virker sådan set fint; mit problem nu er, at hvis
et password bliver afvist (enten fordi det ikke overholder
"min passwd length" i samba, eller fordi scriptet afviser
det), får Windows brugeren en fejlmeddelelse der siger,
at det _gamle_ password ikke er korrekt. Det er lidt
forvirrende...

Mogens

--
Mogens Kjaer, Carlsberg Laboratory, Dept. of Chemistry
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk


Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408878
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste