Passwort am laufenden fli4l ändern?

Hans Bachner Hans at Bachner.priv.at
Do Mai 9 00:49:42 CEST 2013 

Hallo Christoph,

erst mal vielen Dank für die ausführliche Antwort! Die auch gleich noch 
eine neue Fragen aufwirft...

Christoph Schulz <fli4l at kristov.de> wrote:

> Hans Bachner schrieb:
> 
>> kann man eigentlich am laufenden fli4l (V3.1.1, V3.4.0, V3.6.2) das
>> Passwort ändern? Den passwd Befehl gibt es ja wohl nicht...
> 
> Indirekt schon.
> 
> Du änderst auf deinem Host das Passwort in config/base.txt und lässt
> mkfli4l darüber laufen. Dann findest du das verschlüsselte Passwort in
> config/etc/rc.cfg bzw. config/build/rc.cfg, PASSWORD='...'. Dieses
> Passwort schreibst du dann manuell in die /etc/shadow hinein, also:
> 
> root:<Passwort>:10855:0:10000::::
> fli4l:<Passwort>:10855:0:10000::::
> [...]
> 
> (den Rest lässt du unverändert).
> 
> Danach sollte die Anmeldung mit dem neuen Passwort glücken.

danke, das funktioniert.
 
>> Und wie kann ich das neue Passwort dann in die rc.cfg bringen?
> 
> Siehe oben: Das erledigt mkfli4l für dich.
> 
>> Wie
>> funktioniert diese Verschlüsselung?
> 
> man 3 crypt

ok, danke

>> Warum erzeugt jeder neue Build vom
>> gleichen Passwort eine andere verschlüsselte Version?
> 
> Weil das Passwort gesalzen ist:
> 
> http://de.wikipedia.org/wiki/Salt_%28Kryptologie%29

Die Salt-Technik ist mir ein Begriff, aber die Salzkörner müssen ja auch 
irgendwo auf dem fli4l gespeichert sein. In der rc.cfg habe ich aber 
nichts gefunden, was in diese Richtung geht... Und warum reicht es dann, 
lediglich den Hash in der /etc/shadow auszutauschen, obwohl jeder Build 
einen neuen Hash erzeugt?

>> Fragen über Fragen...
> 
> Und Antworten... ;-)
> 
> Übrigens: Ich würde generell den SSH-Server auf dem fli4l installieren
> und SSHD_ALLOWPASSWORDLOGIN='no' setzen. Ich nutze Private/Public-Keys
> als ausschließliche Zugangsmethode zu fli4ls und anderen Servern seit
> Jahren.
> Das ist wesentlich sicherer als Passwort-gestützte Authentifikation. 

Was die Sicherheit betrifft gebe ich dir schon recht. Ich müsste die 
Keys aber relativ großzügig verteilen, da ich privat und im Job auf 
einer größeren Anzahl von Rechnern arbeite und auch mit etlichen Geräten 
abwechselnd unterwegs bin. Da ist die Passwort-Methode mit Abstand 
komfortabler. Bisher haben meine Passwörter auch allen Attacken 
standgehalten. Aktuell habe ich den Verdacht, dass ein Passwort 
ausgespäht wurde, daher meine Frage zur Änderung.

Da eine Änderung am laufenden System also nur sporadisch notwendig ist, 
reicht mir die von dir genannte Methode völlig aus.

Nochmals vielen Dank + schöne Grüße,
Hans.

Mehr Informationen über die Mailingliste Fli4L