LINUX.ORG.RU
ФорумAdmin

Что за способ авторизации?

 ,


0

2

Пытаюсь на CentOS сбросить пароль root и не получается.
Гружусь с флешки, открываю /etc/passwd, убираю «х» из второго поля записи root, оставляю поле пустым, чтобы авторизация без пароля шла (в Убунте такой финт работает) - и фигушки.
Пробую другой способ. гружусь с флешки, чтутюсь, задаю новый пароль командой passwd - снова фигушки.
Чую, что собака зарыта в /etc/pam.d/system-auth-ac. В нём записано такое: 

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
Кто в этом шарит, подскажите, что за способ авторизации и как это расколдовывать?

★★★★★

Ответ на: комментарий от expelled

Нет ни одного пользователя с uid более 1000 - стало быть ранее на сервер заходили именно под рутом.

sunny1983 ★★★★★
() автор топика
Ответ на: комментарий от sunny1983

Если логинитесь с консоли, посмотрите ещё, что в /etc/pam.d/login

VovanE
()
Ответ на: комментарий от eabi

Да, но хотелось бы ещё восполнить пробел в знаниях такой штуки как PAM
Последний раз у меня был другой тупик, но похоже PAM и пустые пароли

sunny1983 ★★★★★
() автор топика
Ответ на: комментарий от eabi

Успешно сбросил пароль, загрузившись в single mode (параметр 1) с доп. параметром «selinux=0», после сброса пароля система не выдала приглашение, а ушла на перезагрузку, после перезагузки позволила нормально авторизоваться с новым паролем.
Но честно говоря я так и не понял, что за защита на этом серваке стоит, которая не позволяет просто так сбросить паролль, загрузившись с флешки. Хэш пароля ведь в /etc/shadow должен быть записан и если я его поменял - авторизация с новым паролем нормально должна была пройти. Почему изначально не прошла? Защита прописана в /etc/pam.d ? Как эту защиту снять и сделать привычную систему авторизации?
Тот же вопрос касается и tcb, единственный дистриб, который я знаю, где эта штука включена по умолчанию - это Altlinux (моя тема PAM и пустые пароли) Можно ли этот tcb убрать и сделать привычную систему авторизации?

sunny1983 ★★★★★
() автор топика

Способ смены пароля путём выполнение команды passwd в chroot'е при загрузке с инсталяционного диска с RHEL официально описан в документации к 7-ой версии. И в 6-ом RHEL он тоже работает. Если вы грузитесь с флешки с ситемой, которая не поддерживает SeLinux, то pam тут не причём.

mky ★★★★★
()

А почему ты редактировал /etc/passwd, вместо /etc/shadow?
Сейчас вот специально попробовал в CentOS 6.7 загрузиться со SLAX LiveCD и убрать все символы во втором поле /etc/shadow для root. Потом перезагрузился и успешно залогинился с консоли рутом, не вводя никакого пароля.
А SELinux тут скорее всего вообще ни при чем.

bigbit ★★★★★
()
Ответ на: комментарий от sunny1983

единственный дистриб, который я знаю, где эта штука включена по умолчанию - это Altlinux

Ещё есть http://www.openwall.com/

(моя тема PAM и пустые пароли)
Можно ли этот tcb убрать и сделать привычную систему авторизации?

В той теме я задавал вопрос: а зачем ? И писал, где надо править вместо /etc/shadow. Кроме того, там было про вариант (правда непроверенный мной) отключения pam_tcb.so.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin