Warum ist das Root-Passwort unter Linux Mint mein Benutzerkennwort?

10

Ich habe eine Neuinstallation von Linux Mint 18.1 durchgeführt und einen einzelnen Benutzer namens "jack" mit PASSWORD1 als Passwort erstellt. Später habe ich das Passwort (über den grafischen Dialog "Benutzer und Gruppen") in PASSWORD2 geändert. Sowohl für die Anmeldung als auch für die Verwendung ist sudojetzt erwartungsgemäß PASSWORD2 erforderlich.

PASSWORD1 ist jedoch weiterhin das Kennwort für das Konto root. Ich kann da sagen su -und su - rootPASSWORD2 ablehnen, aber PASSWORD1 akzeptieren.

Ist das nicht eine Sicherheitslücke? Warum hat das Root-Konto mein Benutzerkennwort überhaupt stillschweigend kopiert? Wenn ich wüsste, dass mein Passwort kompromittiert und geändert wurde, würde ich nicht prüfen, ob das Root-Konto noch das kompromittierte Passwort verwendet.

Tatsächlich dachte ich, dass das Root-Konto unter Linux Mint standardmäßig deaktiviert ist. Siehe diese Frage zum Beispiel: /superuser/323317/why-does-linux-ubuntu-mint-lack-a-root-account

Gibt es einen Grund, das Root-Konto nicht mit zu deaktivieren sudo passwd -l root? Warum wurde dies nicht standardmäßig durchgeführt?

Bearbeitungen

@terdon Ich bin ziemlich sicher , dass ich nie lief sudo passwdoder auch schlicht passwdauf diesem Betriebssystem.

@Mark Ich habe nachgesehen und das einzige, was zurückkommt, sieht nicht relevant aus.

jack@gamma /var/log $ ls auth.log*
auth.log  auth.log.1  auth.log.2.gz  auth.log.3.gz  auth.log.4.gz

jack@gamma /var/log $ zgrep passwd auth.log*
auth.log.2.gz:Mar  9 17:56:07 gamma mdm[1695]: pam_succeed_if(mdm:auth): requirement "user ingroup nopasswdlogin" not met by user "jack"

jack@gamma /var/log $ zgrep "password changed" auth.log*
# nothing returned

Bearbeiten: Ich habe einen Fehlerbericht bei Linux Mint https://bugs.launchpad.net/linuxmint/+bug/1675575 eingereicht

Nachdem @Roger Lipscombe dieses Problem bestätigt hat, werde ich der Frage ein Kopfgeld hinzufügen.

cxrodgers
quelle
3
Das scheint seltsam. Sind Sie zu 100% sicher, dass Sie das Root-Konto nicht aktiviert haben, indem Sie es sudo passwdnach der ersten Installation, aber vor dem Ändern von Kennwörtern ausgeführt haben?
Terdon
1
Können Sie in diesem Sinne in Ihren /var/log/auth.log(und älteren Kopien wie auth.log.1) nach einer Zeile wie suchen passwd[6434]: pam_unix(passwd:chauthtok): password changed for root?
Mark Plotnick
@ MarkPlotnick Ich habe diese Informationen zur Frage hinzugefügt.
Cxrodgers
@terdon Ich habe geantwortet. Wenn ich dies bei einer Neuinstallation sicher überprüfen kann, ist dies Ihrer Meinung nach ein Fehler, den ich melden sollte?
Cxrodgers
1
Es stellt sich heraus, dass ich genau das gleiche Problem habe; Mint 17.1 aktualisiert auf 17.3; Soweit ich weiß, habe ich das Root-Passwort nie geändert.
Roger Lipscombe

Antworten:

8

Neuwertig 17.3

Dies scheint eine bewusste Entscheidung in Linux Mint zu sein. Ich habe Mint 17.3 gerade frisch auf einer VM installiert, und für das Root-Konto ist ein Kennwort festgelegt /etc/shadow. Akzeptiert nach dem Ändern meines Benutzerkennworts su -mein vorheriges Benutzerkennwort.

Ich kann (noch) nicht erklären warum .

Neuwertig 18.3

Ich habe gerade eine Neuinstallation von Mint 18.3 durchgeführt und für mein Root-Konto kein Kennwort festgelegt. sudo grep root /etc/shadowwird !im Passwortfeld angezeigt, was bedeutet, dass das Konto gesperrt ist .

Roger Lipscombe
quelle
Es hört sich also so an, als ob Sie denken, dass dies ein Fehler in Mint 17.3 ist? Können Sie auch erklären, was es bedeutet, "!" im Passwortfeld?
Cxrodgers
3

Standardmäßig ist das Root-Passwort Ihr Benutzerpasswort. Ich denke, der Grund dafür ist, dass es ein viel sichererer Ansatz ist, wenn das Passwort von Ihnen festgelegt wird (vorausgesetzt, es ist ein gutes - schwer zu hackendes Passwort) und nicht ein bekanntes Passwort wie "root", das standardmäßig immer vorhanden und über das Internet bekannt ist (Sicherheitsrisiko).

Es gibt eine gute Diskussion über das Thema im linuxmint.com Forum - unter Berufung auf den Benutzer karlchen:

Während der Linux Mint-Installation erstellen Sie Ihr erstes Benutzerkonto. Sie geben diesem ersten Benutzer ein Passwort. Das Installationsprogramm weist dem Benutzerkontostamm unbemerkt dasselbe Kennwort zu. Dies finden Sie auch im offiziellen Linux Mint-Benutzerhandbuch. (vgl. z. B. S. 20) Wenn Sie sich also an Ihr ursprüngliches Benutzerkennwort erinnern, kennen Sie auch Ihr Root-Kennwort. Wenn Sie Ihr Benutzerkennwort später ändern, wird das Root-Kennwort dadurch nicht geändert.

Quelle - Seite 20 letzter Absatz: https://www.linuxmint.com/documentation/user-guide/Cinnamon/english_18.0.pdf

mk4965
quelle
Danke für die Quelle! Kommentiert die Quelle, ob das Root-Passwort standardmäßig deaktiviert ist?
Cxrodgers
0

Versuchen Sie, sudo -i zu verwenden, um root mit Ihrem eigenen Passwort zu erhalten

user341098
quelle