Desativa a mudança forçada sudo passwd

1

Eu adiciono linha aos sudoers:

user1 ALL= EXEC: PASSWD: /usr/bin/passwd user1

e quando eu uso "sudo passwd user1", uma senha simples é aplicada:

Password: 
New password: 
BAD PASSWORD: it is too short
BAD PASSWORD: is too simple
Retype new password: 
passwd: password updated successfully

Como posso desativar a senha de alteração forçada por root?

-rwsr-x --- root /usr/bin/passwd.shadow

Portanto, o usuário1 pode executar o passwd apenas como root. Mas preciso permitir que o user1 altere passwd para user1 e user2. E o usuário2 deve mudar o passwd somente para o usuário2. Eu uso sudoers para isso:

user1 ALL= EXEC: PASSWD: /usr/bin/passwd user1
user1 ALL= EXEC: PASSWD: /usr/bin/passwd user2
user2 ALL= EXEC: PASSWD: /usr/bin/passwd user2
    
por TheFdu4 25.12.2017 / 11:36

1 resposta

1

Observe que o comando que você está executando com sudo é /usr/bin/passwd , não /usr/bin/passwd.shadow . Não é imediatamente óbvio porque passwd.shadow é mencionado: é possível que passwd.shadow seja um comando auxiliar que é usado pelo comando principal passwd .

Mesmo sem sudo , cada usuário pode alterar seus próprios - e somente sua própria - senha usando o comando passwd sem parâmetros. Quando for usado dessa maneira, qualquer verificação de qualidade de senha configurada no PAM não poderá ser ignorada digitando-se a nova senha uma terceira vez, como pode fazer root (ou alguém executando passwd como root via sudo ).

Se você quiser remover as verificações de qualidade de senha, no Linux elas geralmente são controladas pelo módulo PAM pam_cracklib.so , pam_passwdqc.so ou pam_pwquality.so , dependendo da distribuição Linux usada. Pode haver arquivos de configuração para esses módulos no diretório /etc/security/ , ou você pode comentar os módulos completamente dos arquivos de configuração em /etc/pam.d/ se você quiser aceitar senhas muito simples.

Se o comando passwd estiver funcionando normalmente, você precisará apenas de sudo para permitir que o usuário1 altere a senha do usuário2, desta forma:

user1 ALL= EXEC: PASSWD: /usr/bin/passwd user2

Permitir que todos alterem as senhas de todos é efetivamente o mesmo que dar acesso irrestrito a todos. Isso geralmente é uma má ideia.

    
por 25.12.2017 / 14:43

Tags