Czy użytkownik systemu Linux może zmienić hasło bez znajomości aktualnego hasła?

Konfiguruję kilka ubuntuskrzynek i używam opscode chefjako narzędzia konfiguracyjnego. Byłoby dość łatwo zainstalować klucze publiczne dla każdego użytkownika na każdym z tych serwerów i wyłączyć uwierzytelnianie za pomocą hasła.

Jednak użytkownicy powinni mieć również sudouprawnienia, które domyślnie wymagają hasła.

Jeśli chcę używać kluczy publicznych przez użytkowników jako metoda zarządzania dostępem i pozwalają użytkownikom sudoprzywileje, to znaczy, mam również skonfigurować użytkownikom NOPASSWD: ALLw visduo, czy jest jakiś sposób, że użytkownik może zmieniać swoje hasło jeśli oni masz tylko uwierzytelnianie za pomocą klucza publicznego?

Sudo, w swojej najczęstszej konfiguracji, wymaga wpisania hasła przez użytkownika. Zazwyczaj użytkownik użył już swojego hasła do uwierzytelnienia na koncie, a ponowne wpisanie hasła jest sposobem na potwierdzenie, że legalny użytkownik nie porzucił konsoli i został przejęty.

W twojej konfiguracji hasło użytkownika będzie używane tylko do uwierzytelnienia w sudo. W szczególności, jeśli włamany zostanie klucz SSH użytkownika, osoba atakująca nie będzie mogła podnieść uprawnień do rootowania na serwerze. Osoba atakująca może podłożyć rejestrator kluczy na konto, ale ten rejestrator kluczy byłby wykrywalny przez innych użytkowników, a nawet być obserwowany automatycznie.

Użytkownik zwykle musi znać swoje bieżące hasło, aby zmienić je na inne hasło. passwdProgram weryfikuje to (może być skonfigurowany, aby nie, ale to nie jest przydatne lub w ogóle wskazane w scenariuszu). Jednak root może zmienić hasło dowolnego użytkownika, nie znając starego; w związku z tym użytkownik z uprawnieniami sudo może zmienić swoje hasło bez wprowadzania go po passwdznaku zachęty, uruchamiając sudo passwd $USER. Jeśli sudojest skonfigurowany tak, aby wymagał hasła użytkownika, musi on sudomimo to wpisać hasło .

Możesz selektywnie wyłączyć uwierzytelnianie za pomocą hasła. W tej sytuacji wyłączysz uwierzytelnianie hasła w ssh i ewentualnie w innych usługach. Większość usług na większości współczesnych jednorożców (w tym Ubuntu) korzysta z PAM do konfigurowania metod uwierzytelniania. W systemie Ubuntu pliki konfiguracyjne PAM są dostępne /etc/pam.d. Aby wyłączyć uwierzytelnianie za pomocą hasła, skomentuj auth … pam_unix.solinię /etc/pam.d/common-auth. Ponadto, upewnij się, że masz PasswordAuthentication now /etc/ssh/sshd_configwbudowanemu uwierzytelniania hasłem wyłączyć sshd za.

Możesz zezwolić niektórym użytkownikom administracyjnym na logowanie się za pomocą hasła lub zezwolić na uwierzytelnianie za pomocą hasła w konsoli. Jest to możliwe w przypadku PAM (jest dość elastyczny), ale nie mogłem powiedzieć, jak mam czubek głowy; zadaj osobne pytanie, jeśli potrzebujesz pomocy.

Możesz użyć modułu pam_ssh_agent_auth . Kompilacja jest dość prosta, a następnie wystarczy dodać wpis

auth       sufficient pam_ssh_agent_auth.so file=~/.ssh/authorized_keys

przed drugim auth(lubinclude ) wpisami w/etc/pam.d/sudo

i

Defaults    env_keep += "SSH_AUTH_SOCK"

do /etc/sudoers (przez visudo).

Teraz każdy użytkownik może albo uwierzytelnić się sudoza pośrednictwem (przekazanego lub lokalnego) agenta SSH lub swojego hasła. Rozsądne może być poproszenie użytkowników o ssh-add -ctakie użycie , aby każde sudopołączenie wymagało przynajmniej potwierdzenia.

Tak, jest niesamowicie niepewny i umożliwia użytkownikowi dostęp do haseł innych użytkowników, ale ponieważ mają sudo, niewiele można zrobić.

Zasadniczo wykonujesz następujące czynności:

$ sudo -i

Teraz jesteśmy rootem. Mamy dostęp do wszystkiego.

# passwd $username

$ nazwa użytkownika może być dowolną nazwą użytkownika.

Wprowadź nowe hasło UNIX:

Wpisz ponownie nowe hasło UNIX: hasło: hasło zostało zaktualizowane pomyślnie

Boom, hasło zmienione. Ponownie, niesamowicie niepewny, ponieważ możesz zmienić każdego, ale działa, ale działa. Nie polecam tego, ale raczej podaję tę odpowiedź jako przykład tego, czego nie należy robić.

Chodzi o to, aby hakerzy, którzy uzyskali klucz użytkownika lub znaleźli nienadzorowany terminal, nie mogli uzyskać dostępu do konta root. Z tego powodu nie poleciłbym żadnego rozwiązania, które wymagałoby sudo bez hasła.

Proponuję trzymać go prosta: może wysłać użytkownikowi domyślne hasło ze ścisłymi instrukcjami, aby go zmienić jak najszybciej, albo wstawić skrypt w ich .profilelub .loginczy coś takiego, że to wymaga nowego hasła przy pierwszym logowaniu. Po zakończeniu może się wyłączyć i możesz użyć expectistniejącego hasła, aby nigdy nie musiało go znać.

#% useradd -g somegroup someuser
#% usermod -p "" someuser
#% chage -d 0 someuser
#% sed -i "s/^.*PasswordAuthentication .*/PasswordAuthentication no/" /etc/sshd/sshd_config
#% /sbin/service sshd restart
#% cp -r ~/.ssh `echo ~someuser`
#% chown -R someuser `echo ~someuser`/.ssh
#% chgrp -R somegroup `echo ~someuser`/.ssh
#% echo "%somegroup  ALL=(ALL)   ALL" >> /etc/sudoers

> Powinno to umożliwić użytkownikom, którzy mogą logować się tylko przy użyciu kluczy publicznych i nie mogą używać haseł do logowania. Będzie jednak zmuszony zmienić hasło przy pierwszym logowaniu ... ale bez konieczności podawania mu pewnego hasła z góry ... Użytkownicy zostaną poproszeni o zresetowanie hasła, a następnie będą mogli go używać tylko w sudo ale nie będzie w stanie zalogować się (ssh) przy użyciu tego hasła. Zwróć uwagę, że sztuczka polega na tym, aby nie podawać użytkownikom fałszywego hasła, które będą musieli wprowadzić podczas logowania, gdy będą musieli zmienić swoje hasło ... W skorupie orzecha brak komunikacji od administratora (root) do faktycznego użytkownika jest wymagany.