[Comm] passwd after su -

[Comm] passwd after su -

[Michael A. Kangin]

Добрый день.

Свежепоставленная система на P7, Centaurus, проапдейченная.

Если от пользователя стать рутом и сказать passwd, то пароль меняется 
для пользователя, а не рута. Это нормально?

[mak@mak-ws ~]$ su -
Password:
[root@mak-ws ~]# whoami
root
[root@mak-ws ~]# id
uid=0(root) gid=0(root) 
groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),19(proc)
[root@mak-ws ~]# set |grep mak
HOSTNAME=mak-ws.iptp.net
[root@mak-ws ~]# passwd
passwd: updating all authentication tokens for user mak.
                                                ^^^^^^^^

-- 
Michael A. Kangin

Re: [Comm] passwd after su -

[Michael Shigorin]

On Mon, Mar 16, 2015 at 06:16:45PM +0100, Michael A. Kangin wrote:
> Если от пользователя стать рутом и 
> сказать passwd, то пароль меняется для 
> пользователя, а не рута. Это нормально?

Натыкался, да (приходилось passwd root).
Стоит повесить в силу как минимум неочевидности.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [Comm] passwd after su -

[Speccyfighter]

16.03.2015, 20:16, "Michael A. Kangin" <mak@complife.ru>:
> Добрый день.
>
> Свежепоставленная система на P7, Centaurus, проапдейченная.
>
> Если от пользователя стать рутом и сказать passwd, то пароль меняется
> для пользователя, а не рута. Это нормально?
>
> [mak@mak-ws ~]$ su -
> Password:
> [root@mak-ws ~]# whoami
> root
> ...
> [root@mak-ws ~]# passwd
> passwd: updating all authentication tokens for user mak.
>                                                 ^^^^^^^^

Я всего лишь пользователь, и с моим мнением можно не считаться...
ИМХО:
С точки зрения безопасности, это нормально.
Если каждый wheel будет иметь возможность менять пароль рута в системе,
грохот может пойти недетский.

Re: [Comm] passwd after su -

[Ruslan Hihin]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

А пользователь, знающий пароль root и так его может поменять. Это-же su, а не sudo.
- --
Простите за краткость, создано в K-9 Mail.
-----BEGIN PGP SIGNATURE-----

iHwEAREIADw1HFJ1c2xhbiBIaWhpbiAoZ21haWwpIChNeSBHbWFpbCkgPHJ1c2xh
bmRoQGdtYWlsLmNvbT4FAlUHFbgACgkQALBJwTVeZeRzXgCeMfuYlFc3q3UdBJvO
3yHIQGK21FoAn0DojyJpw/9RIkGm+Di48V9eqjVS
=htrt
-----END PGP SIGNATURE-----

Re: [Comm] passwd after su -

[Speccyfighter]

16.03.2015, 20:41, "Ruslan Hihin" <hihin@yandex.ru>:
>  А пользователь, знающий пароль root и так его может поменять. Это-же su, а не sudo.

Это в дефолтной системе.
После такого фокуса, для отдельного аккаунта ограниченного во всём,
включая на таймаут пароля,
wheel не только не сможет выполнять
команды root-том (а только apt-get через sudo),
но не сможет и зайти через single user, ни reboot'ом, ни через init,
ни через любой терминал:

$ cat big-blocking.txt
cat /etc/passwd|grep ^root
root:x:0:0:System Administrator:/root:/sbin/nologin

cat /etc/sudoers|grep ^ADM
ADM_USER        ALL=(ALL) /usr/bin/apt-get


Если понастроить заборов, то не поменяет ничего:
http://www.rhd.ru/docs/manuals/enterprise/RHEL-4-Manual/security-guide/s1-wstation-privileges.html

Или сильно ограничить таймаут рутовой сессии (стр. 42,43):
http://bruy.info/book.pdf


Да и passwd root работает же. Зачем ломать?

-- 
Лучшее - враг хорошего!
(Спектрумовский фольклор)

Re: [Comm] passwd after su -

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 818 bytes --]

Hi,

On Mon, Mar 16, 2015 at 06:16:45PM +0100, Michael A. Kangin wrote:
> Добрый день.
> 
> Свежепоставленная система на P7, Centaurus, 
> проапдейченная.
> 
> Если от пользователя стать рутом и 
> сказать passwd, то пароль меняется для 
> пользователя, а не рута. Это нормально?
> 
> [mak@mak-ws ~]$ su -
> Password:
> [root@mak-ws ~]# whoami
> root
> [root@mak-ws ~]# id
> uid=0(root) gid=0(root) 
> groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),19(proc)
> [root@mak-ws ~]# set |grep mak
> HOSTNAME=mak-ws.iptp.net
> [root@mak-ws ~]# passwd
> passwd: updating all authentication tokens for user mak.

Традиционно passwd по умолчанию меняет пароль того же самого пользователя,
которого показывает logname(1).  В вашем случае:

[root@mak-ws ~]# logname
mak


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 181 bytes --]

Re: [Comm] passwd after su -

[Michael A. Kangin]

16.03.2015 21:31, Dmitry V. Levin пишет:

>> [root@mak-ws ~]# passwd
>> passwd: updating all authentication tokens for user mak.
>
> Традиционно passwd по умолчанию меняет пароль того же самого пользователя,
> которого показывает logname(1).  В вашем случае:
>
> [root@mak-ws ~]# logname
> mak


Ok, похоже на то.
Но, возвращаясь к, правильно ли такое поведение?

DESCRIPTION
        Print the name of the current user.

А по всем id - current user это root.


`logname' prints the calling user's name, as found in a
system-maintained file (often `/var/run/utmp'),

[root@mak-ws ~]# last -f /var/run/utmp
root     pts/1        localhost        Mon Mar 16 22:18   still logged in
root     pts/0        192.168.5.127    Mon Mar 16 19:35   still logged in
reboot   system boot  3.14.35-std-def- Mon Mar 16 19:35 - 22:24  (02:49)

Re: [Comm] passwd after su -

[Michael A. Kangin]

16.03.2015 21:24, Speccyfighter пишет:

> Да и passwd root работает же. Зачем ломать?

Я пока ничего не ломаю. Это просто неочевидное поведение, и я пока не 
поймал это за хвост, уже успел намучаться, подбирая пароли к 
свеженастроенным системам.

Так же, помнится, давеча не то, что теперича, не было такого. И в 
редхатах такого нет.

Re: [Comm] passwd after su -

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1085 bytes --]

On Mon, Mar 16, 2015 at 10:26:18PM +0100, Michael A. Kangin wrote:
> 16.03.2015 21:31, Dmitry V. Levin пишет:
> 
> >>[root@mak-ws ~]# passwd
> >>passwd: updating all authentication tokens for user mak.
> >
> >Традиционно passwd по умолчанию меняет 
> >пароль того же самого пользователя,
> >которого показывает logname(1).  В вашем 
> >случае:
> >
> >[root@mak-ws ~]# logname
> >mak
> 
> Ok, похоже на то.
> Но, возвращаясь к, правильно ли такое 
> поведение?

Это традиционное поведение.
passwd традиционно использует getlogin(3) для получения имени пользователя
по умолчанию.

> DESCRIPTION
>        Print the name of the current user.

В этом описании ошибка, приехавшая из второй строки вывода "logname --help".

В "info logname" лучше написано.
В SUSv3 про logname еще более четко сказано:
"The logname utility shall write the user's login name to standard output.
The login name shall be the string that would be returned by the
getlogin() function".

В современных системах getlogin(3) получает информацию из /proc/self/loginuid.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 181 bytes --]

Re: [Comm] passwd after su -

[Speccyfighter]

17.03.2015, 00:31, "Michael A. Kangin" <mak@complife.ru>:
> 16.03.2015 21:24, Speccyfighter пишет:
>>  Да и passwd root работает же. Зачем ломать?
>
> ...
> Так же, помнится, давеча не то, что теперича, не было такого.

В p6 не было.
Но была ошибка:
При su без минуса, logname сообщал:
logname: регистрационное имя отсутствует

-- 
Лучшее - враг хорошего!
(Спектрумовский фольклор)

Re: [Comm] passwd after su -

[Hihin Ruslan]

[-- Attachment #1: Type: text/plain, Size: 690 bytes --]

Здравствуйте Dmitry V. Levin
  В сообщении от 17 марта 2015 Dmitry V. Levin написал(a):
> В современных системах getlogin(3) получает информацию из
> /proc/self/loginuid.

Технически понятно, а на практике, такое поведение IMHO ведёт не 
к тому, что собирается делать пользователь. Мы везде пишем 
используйте su -, а теперь ещё и будем на каждом заборе 
говорить, что при этом команда passwd меняет после этого не 
пароль root, а пароль пользователя, давшего команду su :(. 

-- 
  А ещё говорят так  (fortune):
 
Desist from enumerating your fowl prior to their emergence from 
the shell. 
________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 181 bytes --]

Re: [Comm] passwd after su -

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 448 bytes --]

On Tue, Mar 17, 2015 at 04:46:13AM +0300, Hihin Ruslan wrote:
> Здравствуйте Dmitry V. Levin
>   В сообщении от 17 марта 2015 Dmitry V. Levin написал(a):
> > В современных системах getlogin(3) получает информацию из
> > /proc/self/loginuid.
> 
> Технически понятно, а на практике, такое поведение IMHO ведёт не 
> к тому, что собирается делать пользователь.

У этого поведения очень глубокие, вероятно, еще юниксовые корни.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 181 bytes --]

Re: [Comm] passwd after su -

[REAL]

17.03.2015 08:46, Hihin Ruslan пишет:
> Технически понятно, а на практике, такое поведение IMHO ведёт не
> к тому, что собирается делать пользователь. Мы везде пишем
> используйте su -

Кто "мы"? :) У нас вообще никто не знает рутового пароля, все работают 
через sudo.

-- 

REAL aka Евгений Ростовцев, программист ЦНИТ КемГУ

Re: [Comm] passwd after su -

[Hihin Ruslan]

[-- Attachment #1: Type: text/plain, Size: 632 bytes --]

Здравствуйте REAL
  В сообщении от 17 марта 2015 REAL написал(a):
> У нас вообще никто не знает рутового пароля, все работают
> через sudo.

Я имею ввиду на форуме и нв Wiki. 
А при работе через sudo, да, это логично - не дать возможность 
сменить пароль root, пользователю, работающему через sudo.
Ну, тогда запретим всем использовать su, все будут работать через 
sudo -s ? А для su поставим политику restricted. Тогда все 
воапросы сами пропадут.


-- 
  А ещё говорят так  (fortune):
 
I wouldn't marry her with a ten foot pole. 
________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 181 bytes --]

Re: [Comm] passwd after su -

[REAL]

17.03.2015 09:51, Hihin Ruslan пишет:
> Я имею ввиду на форуме и нв Wiki.
> А при работе через sudo, да, это логично - не дать возможность
> сменить пароль root, пользователю, работающему через sudo.
> Ну, тогда запретим всем использовать su, все будут работать через
> sudo -s ? А для su поставим политику restricted. Тогда все
> воапросы сами пропадут.

Согласен.

-- 

REAL aka Евгений Ростовцев, программист ЦНИТ КемГУ

Re: [Comm] passwd after su -

[Hihin Ruslan]

[-- Attachment #1: Type: text/plain, Size: 792 bytes --]

Здравствуйте REAL
  В сообщении от 17 марта 2015 REAL написал(a):
>  Я имею ввиду на форуме и нв Wiki.
>
> > А при работе через sudo, да, это логично - не дать
> > возможность сменить пароль root, пользователю, работающему
> > через sudo. Ну, тогда запретим всем использовать su, все
> > будут работать через sudo -s ? А для su поставим политику
> > restricted. Тогда все воапросы сами пропадут.
>
> Согласен.

Продолжаю эту мысль - мы получаем Ubuntu, у которой назначен 
пароль root, а если при установке его не задавать - мол сами 
позже назначат при желании - чистую Ubuntu :)


-- 
  А ещё говорят так  (fortune):
 
Самый лучший способ запомнить день рождения жены - один раз его 
забыть 
________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 181 bytes --]

Re: [Comm] passwd after su -

[REAL]

17.03.2015 11:13, Hihin Ruslan пишет:
> Продолжаю эту мысль - мы получаем Ubuntu, у которой назначен
> пароль root, а если при установке его не задавать - мол сами
> позже назначат при желании - чистую Ubuntu :)

Не понял. Видимо, потому, что ни разу не видел Ubuntu.

-- 

REAL aka Евгений Ростовцев, программист ЦНИТ КемГУ

Re: [Comm] passwd after su -

[Hihin Ruslan]

[-- Attachment #1: Type: text/plain, Size: 1054 bytes --]

Здравствуйте REAL
  В сообщении от 17 марта 2015 REAL написал(a):
> Не понял. Видимо, потому, что ни разу не видел Ubuntu

Здравствуйте REAL
  В сообщении от 17 марта 2015 REAL написал(a):
> Не понял. Видимо, потому, что ни разу не видел Ubuntu.
По-умолчанию, там пароль у root не задан, пользователь, входящий 
в группу wheel, может через sudo сделать  через sudo всё, что 
угодно, 
Если войти через sudo, то можно назначить пароль у root, уже и не 
помню, вроде просто через password, а может и password root,
После чего можно уже входить как root, или через su всё приводит 
к стандартному виду.
От такой политики по-умолчанию, во многих программах, от 
сторонних производителей,  типа MegafonModem, cделано так, что 
они первым делом прописывают (в нормальных дистрибутивах!!) 
любому пользователю использовать любую команду через sudo, а 
потом уже ставят своё поделие в систему.


-- 
  А ещё говорят так  (fortune):
 
I hate dying. -- Dave Johnson 
________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 181 bytes --]

Re: [Comm] passwd after su -

[REAL]

17.03.2015 11:29, Hihin Ruslan пишет:
>> Не понял. Видимо, потому, что ни разу не видел Ubuntu.
> По-умолчанию, там пароль у root не задан, пользователь, входящий
> в группу wheel, может через sudo сделать  через sudo всё, что
> угодно,

Мрак какой.

> От такой политики по-умолчанию, во многих программах, от
> сторонних производителей,  типа MegafonModem, cделано так, что
> они первым делом прописывают (в нормальных дистрибутивах!!)
> любому пользователю использовать любую команду через sudo, а
> потом уже ставят своё поделие в систему.

Ну это уже виндовс 98 получается :-D

-- 

REAL aka Евгений Ростовцев, программист ЦНИТ КемГУ

Re: [Comm] passwd after su -

[Michael Shigorin]

On Mon, Mar 16, 2015 at 11:31:15PM +0300, Dmitry V. Levin wrote:
> Традиционно passwd по умолчанию меняет пароль того же самого
> пользователя, которого показывает logname(1).

Спасибо, не знал; а где это описано, кроме passwd.c::get_user()?

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [Comm] passwd after su -

[Michael Shigorin]

On Tue, Mar 17, 2015 at 02:24:13PM +0300, I wrote:
> On Mon, Mar 16, 2015 at 11:31:15PM +0300, Dmitry V. Levin wrote:
> > Традиционно passwd по умолчанию меняет пароль того же самого
> > пользователя, которого показывает logname(1).
> Спасибо, не знал; а где это описано, кроме passwd.c::get_user()?

"...я буду дочитывать треды" и всё такое, виноват.

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info