debian: Passwort kann nicht geändert werden

7

Als Root kann ich das Passwort ändern:

hussie:/home/claudiu# passwd
Enter new password:
Retype new password:
passwd: password updated successfully

Als Nicht-Root-Benutzer kann ich nicht:

claudiu@hussie:~$ passwd
Current Kerberos password:
passwd: User not known to the underlying authentication module
passwd: password unchanged

Ich kann auch das Passwort eines anderen Benutzers von root nicht ändern:

hussie:/home/claudiu# passwd claudiu
Current Kerberos password:
passwd: User not known to the underlying authentication module
passwd: password unchanged

Wenn Sie das Problem googeln, wird vorgeschlagen, pwconvund zu verwenden pwunconv, aber ich habe diese nicht und weiß nicht, wo ich sie finden kann:

claudiu@hussie:~$ pwconv
-bash: pwconv: command not found
claudiu@hussie:~$ pwunconv
-bash: pwunconv: command not found
claudiu@hussie:~$ sudo apt-get install pwconv
Reading package lists... Done
Building dependency tree
Reading state information... Done
E: Unable to locate package pwconv
claudiu@hussie:~$ sudo apt-get install pwunconv
Reading package lists... Done
Building dependency tree
Reading state information... Done
E: Unable to locate package pwunconv

Was mache ich?

debian password kerberos pam Claudiu
quelle
3
Alter, wenn dies auf diesem kompromittierten System ist, müssen Sie es nuklearisieren. Es ist zu spät, um mit Passwörtern herumzuspielen.
Zoredache
@Zoredache: Das ist es und ich werde es tun, aber ich kann es nicht vom Internet trennen (den Server mieten, ihn nicht physisch haben), also möchte ich zumindest die Passwörter vorerst ändern.
Claudiu
Wenn das, was Zordache sagt, wahr ist (das System ist ein Kompromiss) - und es gibt Kerberos-Setup, suchen Sie nach der Kerberos-Pam-Konfigurationsdatei, um herauszufinden, wohin zum Teufel es zeigt ...
Thinice
Sie wissen, dass eines der ersten Dinge, die ein Hacker tun wird, passwd durch eine trojanisierte Version ersetzt? Selbst wenn Sie das Passwort ändern, gibt es mit Sicherheit Hintertüren. Auf jeden Fall können Sie die passwd / shadow-Dateien direkt bearbeiten. Es wird aber wahrscheinlich nicht helfen.
Zoredache
Ich denke, die Verwendung von krb5 war ihre Art, den Passwd zu "trojanisieren". es auf diese Weise zu tun ist aus ihrer Sicht tatsächlich klüger.
Thinice

Antworten:

5

Sie verwenden eine andere Authentifizierungsmethode (Kerberos) als ein Standard-Linux-Konto. Möglicherweise kann das Pam-Modul keine Kennwörter schreiben / aktualisieren. Wenn Sie dies von root aus tun, wird das Modul verwirrt, da root wirklich ein lokales Konto ist und nicht in der Benutzerliste des anderen Dienstes enthalten ist.

Suchen Sie nach Hinweisen zu den verwendeten Pam-Modulen. Schauen Sie in /etc/pam.confund im Verzeichnis nach: /etc/pam.d- Sie /etc/nsswitch.confkönnen auch Hinweise geben, aber Debian-Verwendungen, compatdie nicht wirklich dazu beitragen, anzugeben, was offensichtlich verwendet wird.

Wenn Kerberos tatsächlich verwendet wird, können Sie das Kennwort nicht mit aktualisieren passwd

dünnes Eis
quelle
pam.confist leer und verwendet /etc/pam.d/passwd/nur die common-passwordDatei, die Folgendes enthält: pam_krb5.so minimum_uid=1000als erste Zeile die nächste pam_unix.so obscure use_authtok try_first_pass sha512. Wohin gehe ich von hier aus? (Beachten Sie, dass das System so installiert wurde, ich habe nichts geändert - konnte den Benutzerpass nie ändern)
Claudiu
Wie wäre es /etc/pam.d/common-auth(möglicherweise /etc/pamd.d/common-accountauch)?
Thinice
1
Ah, ok, Sie haben pam_krb5 aktiviert (kerberos), was direkt mit der Fehlermeldung korreliert. Dieser Server ist für die Verwendung der Kerberos-Authentifizierung eingerichtet, die vollständig auf Schlüsseln basiert. Sie werden also das Kennwort nicht über den Befehl 'passwd' ändern, sondern das Schlüsselpaar mit dem Kerberos-Server
aktualisieren
1
-UNLESS- Kerberos ist völlig irrelevant und es gibt absolut keine Möglichkeit, es zu verwenden. Dann entfernen Sie einfach diese Zeile - aber Sie sollten verdammt sicher sein, dass Sie mit einem Standard-Linux-Konto zugreifen und diese Datei ändern können, wenn etwas schief geht ;)
Thinice
3
Ah, großartig, ich habe den pam-auth-updateBefehl verwendet und die Kerberos-Authentifizierung deaktiviert und passwdfunktioniert jetzt . vielen Dank!!
Claudiu
13

Führen Sie "pam-auth-update" aus

Es wird aufgefordert.

Debian war wirklich nervig und hat bei apt-get-Upgrades standardmäßig Kerberos hinzugefügt.

Stephen
quelle