[Eisfair] exim valid PW

Thomas Bork tom at eisfair.org
Di Mär 1 22:24:29 CET 2016 

Am 01.03.2016 um 21:38 schrieb Juergen Edner:

>> Alt:
>> test:$6$I.INYwCM$jLibnpzcW..xx0:16861:0:99999:7:::
>> passwd -d test
>> Neu:
>> test::16861:0:99999:7:::

testeis # passwd --help
Usage: passwd [options] [LOGIN]

Options:
   -a, --all                     report password status on all accounts
   -d, --delete                  delete the password for the named account
[...]

ok, neuen User test angelegt:

testeis # grep ^test: /etc/passwd
test:x:2002:100:test:/home/test:/bin/bash
testeis # grep ^test: /etc/shadow
test:$6$XWKsANJw$bRdXY8fQd0aWLFObSYR.nJ2sFcC1b/4PnsfZG9Zq.RCk1jeoHY95qJngZMDz5AMcjXIjrXQC9kwLQ5GpWW1mt/:16861:0:99999:7:::

Diese Optionen in login.defs scheinen also für neu angelegte User zu 
gelten, wie man oben sieht:

PASS_MAX_DAYS   99999
PASS_MIN_DAYS   0
PASS_WARN_AGE   7

Aber wenn ich ein

/var/install/bin/add-user lp \* 7 7 lp /var/spool/lpd /bin/sh

absetze, wurde vorher

lp:*:16773:0:99999:7:::

daraus und hinterher wird

lp:!:16861::::::

daraus. Da scheint /var/install/bin/add-user irgendwie noch nicht ganz 
angepasst zu sein.

>> Dies war meines Erachtens in der Vergangenheit auch nicht so.
>> Ursprünglich war einmal möglich sich ohne Kennwort anzumelden,
>> wenn das Kennwortfeld leer war.

testeis # passwd -d test
passwd: password expiry information changed.
testeis # grep ^test: /etc/passwd
test:x:2002:100:test:/home/test:/bin/bash
testeis # grep ^test: /etc/shadow
test::16861:0:99999:7:::
testeis # tail -f /var/log/messages
Mar  1 21:45:43 testeis kernel: eth0: no IPv6 routers present
Mar  1 21:46:49 testeis sshd[1971]: pam_unix(sshd:auth): authentication 
failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=bla  user=root
Mar  1 21:46:51 testeis sshd[1964]: error: PAM: Authentication failure 
for root from bla
Mar  1 21:46:54 testeis sshd[1964]: Accepted keyboard-interactive/pam 
for root from xxx.xxx.xxx.xxx port 49874 ssh2
Mar  1 21:46:54 testeis sshd[1964]: pam_unix(sshd:session): session 
opened for user root by (uid=0)
Mar  1 21:48:50 testeis useradd[2830]: new user: name=test, UID=2002, 
GID=100, home=/home/test, shell=/bin/bash
Mar  1 21:48:51 testeis passwd[2844]: pam_smbpass(passwd:chauthtok): 
Failed to find entry for user test.
Mar  1 21:48:57 testeis passwd[2844]: pam_unix(passwd:chauthtok): 
password changed for test
Mar  1 21:48:57 testeis passwd[2844]: pam_smbpass(passwd:chauthtok): 
Failed to find entry for user test.
Mar  1 21:52:28 testeis passwd[3491]: password for 'test' changed by 'root'

Jetzt auf andere Konsole der Versuch, sich als test einzuloggen:

login as: test
Using keyboard-interactive authentication.
Password:
Access denied
Using keyboard-interactive authentication.
Password:

Auf der ersten Konsole aus messages:
Mar  1 21:54:38 testeis sshd[3514]: pam_unix(sshd:auth): authentication 
failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=bla  user=test
Mar  1 21:54:40 testeis sshd[3507]: error: PAM: Authentication failure 
for test from bla

encrypted password
[...]
     This field may be empty, in which case no passwords are required to 
authenticate as the specified login name. However, some applications 
which read the /etc/shadow file may decide not to permit any access at 
all if the password field is empty.

Da scheint sich irgendwas entschieden zu haben, keinen Zugriff zu 
gewähren...

Ein 'su test' funktioniert hingegen einwandfrei ohne Passwort:

testeis # whoami
root
testeis # su test
testeis # whoami
test
testeis # exit
exit
testeis #

> wenn man sich jetzt noch die Anzeige im ECE-User-Editor anschaut wird
> bei einem Leereintrag ebenfalls angezeigt es wäre ein Kennwort vergeben
> worden. Ein 'invalidate password' setzt dann wieder ein '!' in das Feld.
> In der Tat scheint das Verhalten der pwutils vor nicht sehr langer Zeit
> etwas verändert worden zu sein.

Und auch der ece ist darauf auch noch nicht angepasst.

-- 
der tom
[eisfair-team]

Mehr Informationen über die Mailingliste Eisfair