Eu fiz uma nova instalação do Linux Mint 18.1 e criei um único usuário chamado "jack" com PASSWORD1 como senha. Mais tarde, mudei a senha (usando a caixa de diálogo gráfica "Usuários e Grupos") para PASSWORD2. O login e o uso de sudo agora exigem PASSWORD2, como esperado.
No entanto, PASSWORD1 ainda é a senha da conta root . Eu posso dizer porque su - e su - root rejeitam PASSWORD2 mas aceitam PASSWORD1.
Isso não é uma falha de segurança? Por que a conta raiz silenciosamente copiou minha senha de usuário em primeiro lugar? Se eu soubesse que minha senha estava comprometida e a alterasse, não pensaria em verificar se a conta root ainda estava usando a senha comprometida.
Na verdade, achei que a conta root estava desabilitada no Linux Mint por padrão. Veja esta questão, por exemplo: link
Qualquer motivo para não desativar a conta root usando sudo passwd -l root ? Por que isso não foi feito por padrão?
Edições
@terdon Tenho quase certeza de que nunca executei sudo passwd ou mesmo passwd neste sistema operacional.
@Mark eu verifiquei e a única coisa que volta não parece relevante.
jack@gamma /var/log $ ls auth.log*
auth.log auth.log.1 auth.log.2.gz auth.log.3.gz auth.log.4.gz
jack@gamma /var/log $ zgrep passwd auth.log*
auth.log.2.gz:Mar 9 17:56:07 gamma mdm[1695]: pam_succeed_if(mdm:auth): requirement "user ingroup nopasswdlogin" not met by user "jack"
jack@gamma /var/log $ zgrep "password changed" auth.log*
# nothing returned
Editar:
Eu arquivei um relatório de bug com o Linux Mint
link
Agora que a @Roger Lipscombe confirmou esse problema, adicionarei uma recompensa à pergunta.