Một tài khoản khác có cùng uid là root được nhắc đặt mật khẩu mới cho root chứ không phải chính nó


7

Sau khi nâng cấp hệ điều hành từ 5300-06 lên 5300-11, hành vi kỳ lạ này đã xảy ra.

Hệ thống của tôi có một tài khoản unix khác, hãy gọi nó là " abc ", cố tình cấu hình uid của nó thành 0 để hoạt động như một root với tất cả các cơ quan có thẩm quyền. Nó đã được chạy như thế này trong nhiều năm và hoạt động hoàn toàn tốt. Tuy nhiên, sau khi nâng cấp, khi mật khẩu của abc hết hạn, thay vì nhắc ngay sau khi đăng nhập thành công mật khẩu mới, hiện tại nó đang yêu cầu thay đổi mật khẩu của " root " và thực sự nó đang thay đổi mật khẩu của root chứ không phải abc.

Nếu tôi thay đổi uid của abc thành một id duy nhất khác, nó sẽ thành công nói thay đổi mật khẩu của abc khi được nhắc.

Có rất nhiều lý do tại sao tôi không thể thay đổi uid của abc . Vì vậy, những gì tôi đang cố gắng tìm hiểu là, tại sao điều này xảy ra và làm thế nào tôi có thể " sửa chữa " nó? Có thực sự gây ra bởi việc nâng cấp hệ điều hành?


Khi đăng nhập bằng abc, hãy nhập các lệnh sau và đăng kết quả đầu ra:id whoami who am i
Seth Noble

iduid = 0 (root) gid = 0 (system) Groups = 501 (abc) whoamiroot who am iroot pts / 1 ngày 08 tháng 10 10:37 (xxx.xxx.xxx.xxx)
matthew

Có phải aix không hỗ trợ sudonhư một unix thích hợp?
Shadur

Câu trả lời:


6

Nếu hai tài khoản có cùng ID người dùng, thì theo định nghĩa, chúng là cùng một tài khoản. Có thể, nhưng không nên có nhiều hơn một dòng trong /etc/passwd(hoặc cơ sở dữ liệu người dùng khác) có cùng ID người dùng; họ là cùng một người dùng , với nhiều cách khác nhau để đăng nhập.

Bạn đang sử dụng một tính năng không được hỗ trợ. Rủi ro của việc sử dụng một tính năng không được hỗ trợ là đôi khi nó bị hỏng khi hệ thống được nâng cấp.

Mật khẩu hết hạn thường không tốt cho bảo mật, vì nó khiến người dùng chọn mật khẩu yếu hơn hoặc ghi lại chúng vào một ghi chú sau nó bị kẹt vào màn hình. Lợi ích bảo mật duy nhất để hết hạn mật khẩu là cuối cùng khóa các tài khoản bị bỏ rơi. Vì tài khoản abc có lẽ là tài khoản mà bạn sử dụng như một phần của một số loại nhiệm vụ thông thường, không nên hết hạn.

Bạn có lẽ nên thay đổi thiết lập này, vì nó dễ vỡ. Việc thay đổi nó sẽ phụ thuộc vào việc bạn sử dụng tài khoản abc để làm gì (ai có mật khẩu, trong trường hợp nào nó được sử dụng, vỏ abc là gì, nó có trên nhiều máy không, lỗi).


cảm ơn vì lời khuyên, tôi ước tôi có thể thay đổi chính sách mật khẩu mặc dù ... = (
matthew

Bảo mật mật khẩu chống lại các cuộc tấn công vũ phu đến số lần tấn công được phép đối với mật khẩu đó trong vòng đời của nó so với entropy dự kiến ​​trong mật khẩu. Nếu bạn có tuổi thọ mật khẩu vô hạn, giới hạn số lần thử và độ mạnh của mật khẩu phải rất cao.
mattdm

@mattdm Nếu thời gian tồn tại của mật khẩu tương quan với thời gian bẻ khóa dự kiến, nó sẽ được tính bằng phút (hầu hết các lựa chọn mật khẩu của mọi người) hoặc trong các aeon (mật khẩu được tạo ngẫu nhiên). Đó không phải là lý do tại sao mật khẩu được thiết lập hết hạn. Nó chủ yếu là về một cảm giác mờ nhạt khi làm một cái gì đó (cho dù bạn đang làm gì vô ích và thậm chí phản tác dụng), và một chút về việc vô hiệu hóa các tài khoản bị bỏ rơi với hy vọng rằng bạn đang làm điều đó trước khi mật khẩu bị rò rỉ.
Gilles 'SO- ngừng trở nên xấu xa'

@Gilles: Tôi đồng ý rằng hầu hết mọi người chỉ chọn giới hạn thời gian vì lý do mờ nhạt, nhưng lý thuyết là âm thanh. Tìm kiếm "đoán entropy" để biết thêm.
mattdm

@mattdm Lý thuyết không hoạt động vì các ước tính về entropy mật khẩu và khả năng tính toán của kẻ tấn công quá thiếu chính xác để làm cho bất kỳ con số nào trở nên vô nghĩa. Đề nghị đọc: Làm thế nào để thay đổi mật khẩu của bạn sau mỗi 90 ngày làm tăng tính bảo mật? (không đề cập đến việc đoán entropy, tôi không nhớ đã thấy nó được thảo luận trên Sec.SE).
Gilles 'SO- ngừng trở nên xấu xa'

2

Nhiều khả năng bản cập nhật hệ thống đã giới thiệu một tập lệnh hoặc chức năng khác liên quan đến hết hạn mật khẩu, hiện tìm kiếm tên người dùng dựa trên UID, thay vì lượm lặt tên người dùng từ một biến môi trường hoặc nguồn khác. Như Gilles lưu ý, việc có nhiều tên người dùng có cùng UID rất mong manh.

Nếu bạn thực sự không thể chuyển abc sang một UID khác, thì hãy thử tìm kiếm các tệp / tập lệnh liên quan đến hết hạn mật khẩu có thể đã bị thay đổi bởi bản vá. Ví dụ, kiểm tra /usr/sbin/userCommonTasks. Sẽ là tốt nhất nếu bạn có thể so sánh nó với phiên bản vá trước. Bạn cũng có thể kiểm tra /etc/security/users. Có lẽ di chuyển mục nhập của abc trên root có thể giúp đỡ.

Bất kỳ sửa chữa nào cũng sẽ bị hack, bởi vì có nhiều tên người dùng cho một UID là một loại hack, vì vậy cuối cùng bạn chỉ là sự bất ổn trong giao dịch. Nhưng nó có thể làm khập khiễng hệ thống nếu bạn có thể tìm ra những gì đã thay đổi.


nhờ những lời đề nghị checked /usr/sbin/userCommonTaskscó gì thay đổi và cố gắng di chuyển abc trên rễ trong /etc/security/usersnhưng nó không khắc phục được vấn đề
matthew
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.