Автор Тема: Удалить пароль для root (Прочитано 6769 раз)

fiend · « : 27.12.2013 07:41:16 »

Как можно удалить пароль для учетной записи root?
В Debian такое можно сделать командой:
passwd -d root.
В ALTLinux после выполнения этой команды возвращается ошибка:
chpasswd: (user root) pam_chauthtok() failed, error:
Authentication token manipulation error
chpasswd: (line 1, user root) password not changed

Skull · « **Ответ #1 :** 27.12.2013 10:14:28 »

Цитата: fiend от 27.12.2013 07:41:16

Как можно удалить пароль для учетной записи root?
В Debian такое можно сделать командой:
passwd -d root.
В ALTLinux после выполнения этой команды возвращается ошибка:
chpasswd: (user root) pam_chauthtok() failed, error:
Authentication token manipulation error
chpasswd: (line 1, user root) password not changed

Никак.

Из https://bugzilla.altlinux.org/show_bug.cgi?id=336

Цитировать

pam_tcb не позволяет менять пароль на пустой.
Так что "passwd -d" не будет работать с pam_tcb.

А зачем? По умолчанию в ALT Linux вход по ssh для root по паролю запрещён, а для для root можно забить пароль, сгенерированный pwgen, разумной длины.

fiend · « **Ответ #2 :** 27.12.2013 11:06:14 »

есть 2 замечательные строки в sshd_config:
PermitRootLogin yes
PermitEmptyPasswords yes
при отсутствии пароля для учетной записи root можно запускать команды на удаленном хосте и получать в консоль вывод.

Задача следующая: создается Testing Environment (libvirt qemu kvm) на базе Debian, quest виртуальные машины с ОС Debian и ALTLinux. На машинах с ALTLinux устанавливается ZASTAVAoffice. Хотелось бы просто посылать скриптом серию команд на guest машину с ALTLinux с host машины и получить вывод на консоль. На guest машину с Debian посылать скриптом серию команд можно настроив sshd и удалив root pass. Наиболее реализуемый на мой взгляд вариант для guest машины с ALTLinux это использование ключей.
Возможно ли в уже установленной системе отключить pam?

fiend · « **Ответ #3 :** 27.12.2013 11:08:15 »

еще в sshd_config есть строка:
UsePAM no

asy · « **Ответ #4 :** 27.12.2013 11:55:21 »

Цитата: Skull от 27.12.2013 10:14:28

Никак.

Вообще-то, это несовсем правда. /etc/tcb/root/shadow вполне поддаётся правке в любом редакторе.

asy · « **Ответ #5 :** 27.12.2013 11:58:20 »

Цитата: fiend от 27.12.2013 11:06:14

Задача следующая: создается Testing Environment (libvirt qemu kvm) на базе Debian, quest виртуальные машины с ОС Debian и ALTLinux. На машинах с ALTLinux устанавливается ZASTAVAoffice. Хотелось бы просто посылать скриптом серию команд на guest машину с ALTLinux с host машины и получить вывод на консоль. На guest машину с Debian посылать скриптом серию команд можно настроив sshd и удалив root pass. Наиболее реализуемый на мой взгляд вариант для guest машины с ALTLinux это использование ключей.
Возможно ли в уже установленной системе отключить pam?

Но вот для этого отсутствие пароля - плохой метод, вплоть до "бить линейкой по пальцам нещадно". Одна ошибка, и ждите "гостей". Надо просто делать авторизацию по ключу. Всё будет работать ровно так же, но случайный прохожий не зайдёт.

UPD: я даже в цитате про ключи и не заметил. Это должен быть единственный метод, приходящий в голову. :)

Skull · « **Ответ #6 :** 27.12.2013 12:19:01 »

Цитата: fiend от 27.12.2013 11:06:14

Наиболее реализуемый на мой взгляд вариант для guest машины с ALTLinux это использование ключей.

Да. А есть пароль или нет — всё равно по паролю root не пустят.

Цитировать

Возможно ли в уже установленной системе отключить pam?

Всё можно. Зачем?

fiend · « **Ответ #7 :** 27.12.2013 12:28:39 »

Цитата: asy от 27.12.2013 11:58:20

Но вот для этого отсутствие пароля - плохой метод, вплоть до "бить линейкой по пальцам нещадно". Одна ошибка, и ждите "гостей". Надо просто делать авторизацию по ключу. Всё будет работать ровно так же, но случайный прохожий не зайдёт.

Это абсолютно изолированный сегмент, доступ к которому есть только у меня, так что могу себе позволить. Извлеките исходники strongswan и посмотрите скрипты из testing.

Цитата: Skull от 27.12.2013 12:19:01

Да. А есть пароль или нет — всё равно по паролю root не пустят.

Вообще достаточно написать:
PermitRootLogin yes
и пустят.

Цитата: Skull от 27.12.2013 12:19:01

Всё можно. Зачем?

Чтобы не мешал руту без пароля по ssh подключаться. Как можно отключить PAM?

asy · « **Ответ #8 :** 27.12.2013 12:40:15 »

Цитата: fiend от 27.12.2013 12:28:39

Чтобы не мешал руту без пароля по ssh подключаться. Как можно отключить PAM?

А убирание хэша пароля в shadow не помогло ?

fiend · « **Ответ #9 :** 27.12.2013 12:42:00 »

Цитата: asy от 27.12.2013 12:40:15

А убирание пароля в shadow не помогло ?

Нет.

Действия с подключением по ssh происходят между guest машинами внутри одной host машины, ipv4_forwarding между сетью host машины и сетями guest машин отсутствует!

Skull · « **Ответ #10 :** 27.12.2013 15:46:51 »

Цитата: fiend от 27.12.2013 12:28:39

Вообще достаточно написать:
PermitRootLogin yes
и пустят.

А что, у пользователей есть пароль root или sudo, настроенное как в Ubuntu? :)

Цитировать

Цитата: Skull от 27.12.2013 12:19:01
Всё можно. Зачем?
Чтобы не мешал руту без пароля по ssh подключаться. Как можно отключить PAM?

Смотрите /etc/pam.d/

Skull · « **Ответ #11 :** 27.12.2013 18:24:57 »

Как вариант обнуления хэша пароля, запрещающего вход по паролю:

Код: [Выделить]

usermod -p "*" <имя_пользователя>

asy · « **Ответ #12 :** 27.12.2013 19:10:56 »

Цитата: fiend от 27.12.2013 12:42:00

Цитата: asy от 27.12.2013 12:40:15
А убирание пароля в shadow не помогло ?
Нет.

А "PermitEmptyPasswords yes" добавить ?

rotkart · « **Ответ #13 :** 28.12.2013 00:31:01 »

Цитата: fiend от 27.12.2013 11:06:14

при отсутствии пароля для учетной записи root можно запускать команды на удаленном хосте и получать в консоль вывод.

Зачем для этого перестраивать систему авторизации, менять конфиги работающих сервисов?
Положить в /root/.ssh/authorized_keys2 нужный ключик и наслаждаться "беспарольным", но защищённым root не судьба? В веб-альтераторе есть даже менюшка, чтобы публичную часть ключа загружать.

Форум сообщества
Альт Линукс