Tại sao mật khẩu gốc trên Linux Mint là mật khẩu người dùng của tôi?


10

Tôi đã cài đặt Linux Mint 18.1 mới và tạo một người dùng duy nhất có tên là "jack" với PASSWORD1 làm mật khẩu. Sau đó, tôi đã thay đổi mật khẩu (sử dụng hộp thoại đồ họa "Người dùng và nhóm") thành PASSWORD2. Cả đăng nhập và sử dụng sudohiện tại đều yêu cầu PASSWORD2, như mong đợi.

Tuy nhiên, PASSWORD1 vẫn là mật khẩu cho tài khoản root. Tôi có thể nói vì su -su - roottừ chối PASSWORD2 nhưng chấp nhận PASSWORD1.

Đây không phải là một lỗ hổng bảo mật? Tại sao tài khoản root lại âm thầm sao chép mật khẩu người dùng của tôi ngay từ đầu? Nếu tôi biết mật khẩu của mình bị xâm phạm và thay đổi nó, tôi sẽ không nghĩ rằng kiểm tra xem tài khoản root có còn sử dụng mật khẩu bị xâm phạm hay không.

Trên thực tế, tôi nghĩ rằng tài khoản root đã bị vô hiệu hóa trên Linux Mint theo mặc định. Xem câu hỏi này chẳng hạn: /superuser/323317/why-does-linux-ubfox-mint-lack-a-root-account

Bất kỳ lý do không vô hiệu hóa tài khoản root bằng cách sử dụng sudo passwd -l root? Tại sao điều này không được thực hiện theo mặc định?

Chỉnh sửa

@terdon Tôi khá chắc chắn rằng tôi chưa bao giờ chạy sudo passwdhoặc thậm chí đơn giản passwdtrên hệ điều hành này.

@Mark Tôi đã kiểm tra và điều duy nhất quay lại không có vẻ liên quan.

jack@gamma /var/log $ ls auth.log*
auth.log  auth.log.1  auth.log.2.gz  auth.log.3.gz  auth.log.4.gz

jack@gamma /var/log $ zgrep passwd auth.log*
auth.log.2.gz:Mar  9 17:56:07 gamma mdm[1695]: pam_succeed_if(mdm:auth): requirement "user ingroup nopasswdlogin" not met by user "jack"

jack@gamma /var/log $ zgrep "password changed" auth.log*
# nothing returned

Chỉnh sửa: Tôi đã gửi báo cáo lỗi với Linux Mint https://bugs.launchpad.net/linuxmint/+orms/1675575

Bây giờ @Roger Lipscombe đã xác nhận vấn đề này, tôi sẽ thêm một tiền thưởng cho câu hỏi.


3
Điều đó có vẻ lạ. Bạn có chắc chắn 100% bạn đã không kích hoạt tài khoản root bằng cách chạy sudo passwdsau lần cài đặt đầu tiên nhưng trước khi thay đổi mật khẩu?
terdon

1
Dọc theo những dòng đó, bạn có thể tìm trong /var/log/auth.log(và bất kỳ bản sao cũ nào như auth.log.1) cho một dòng như thế passwd[6434]: pam_unix(passwd:chauthtok): password changed for rootnào không?
Đánh dấu Plotnick

@MarkPlotnick Tôi đã thêm thông tin này vào câu hỏi.
cxrodgers

@terdon Tôi đã trả lời. Vì vậy, nếu tôi có thể xác minh điều này chắc chắn trên bản cài đặt mới, bạn có nghĩ đó là lỗi tôi nên báo cáo không?
cxrodgers

1
Hóa ra tôi có cùng một vấn đề; Mint 17.1 nâng cấp lên 17.3; Theo tôi biết, tôi chưa bao giờ thay đổi mật khẩu gốc.
Roger Lipscombe

Câu trả lời:


8

Bạc hà 17.3

Điều này trông giống như một quyết định có chủ ý trong Linux Mint. Tôi mới cài đặt Mint 17.3 trên máy ảo và tài khoản root có mật khẩu được đặt /etc/shadow. Sau khi thay đổi mật khẩu người dùng của tôi, su -chấp nhận mật khẩu người dùng trước đó của tôi.

Tôi không thể (chưa) giải thích tại sao mặc dù.

Bạc hà 18.3

Tôi vừa mới cài đặt Mint 18.3 mới và tôi không có mật khẩu được đặt cho tài khoản root của mình. sudo grep root /etc/shadowhiển thị !trong trường mật khẩu, có nghĩa là tài khoản bị khóa .


Vì vậy, có vẻ như bạn nghĩ rằng đây là một lỗi trong Mint 17.3? Ngoài ra, bạn có thể giải thích ý nghĩa của việc có "!" trong trường mật khẩu?
cxrodgers

3

Theo mặc định, mật khẩu gốc là mật khẩu người dùng của bạn, tôi đoán rằng lý do là cách tiếp cận an toàn hơn nhiều khi mật khẩu sẽ là mật khẩu do bạn đặt (giả sử là mật khẩu tốt - khó bị hack) chứ không phải là một mật khẩu nổi tiếng mật khẩu như "root" luôn được đặt đúng chỗ theo mặc định và được biết đến qua Internet (rủi ro bảo mật).

Có một cuộc thảo luận tốt về chủ đề trên diễn đàn linuxmint.com - trích dẫn từ đó người dùng karlchen:

Trong quá trình cài đặt Linux mint, bạn tạo tài khoản người dùng đầu tiên của mình. Bạn xác nhận mật khẩu cho người dùng đầu tiên này. Trình cài đặt âm thầm gán cùng một mật khẩu cho root tài khoản người dùng. Đó là làm như vậy có thể được tìm thấy trong Hướng dẫn sử dụng Linux Mint chính thức. (xem ví dụ 20) Vì vậy, nếu bạn nhớ mật khẩu người dùng ban đầu, bạn cũng biết mật khẩu gốc của mình. Trong trường hợp bạn thay đổi mật khẩu người dùng sau này, làm như vậy sẽ không thay đổi mật khẩu gốc.

Nguồn - trang 20 đoạn cuối: https://www.linuxmint.com/documentation/user-guide/Cinnamon/english_18.0.pdf


Cảm ơn nguồn tin! Liệu nguồn nhận xét về việc mật khẩu gốc sẽ bị tắt theo mặc định?
cxrodgers

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.