lxc: как автоматизировать изменение пароля root в lxc

root

0

1

Добрый день!

Есть необходимость автоматизировать изменение пароля root в lxc. Создал скрипт со следующим содержимым:

'''

#!/usr/bin/expect -f

set timeout 2

spawn sudo passwd root

expect «New password:» {send «2\n»; exp_continue}

expect «Retype new password:» {send «2\n»}

exit

'''

Скрипт выполняется без ругани, но пароль не меняется. Я делал попытку на свежесозданном lxc, у него изначально нет пароля, поэтому надо автоматизировать его создание. Или предложите свой вариант автоматизации.

←	Свой почтовый сервер. Некоторые спамфильтры нас не пропускают.

Как в Ansible отфильтровать список в with_items ?

→

passwd --stdin "твой пароль"

Но лучше использовать ssh по ключу.

Aceler ★★★★★
(16.01.23 11:14:17 MSK)

Можно посмотреть, какой алгоритм хэширования используется/поддерживается в контейнере, и вручную писать в /etc/shadow хэш нужного пароля. Уверен, что это в разы более простой способ, чем автоматизировать passwd.

~~emorozov~~ ☆
(16.01.23 11:15:27 MSK)

Ответ на: комментарий от Aceler 16.01.23 11:14:17 MSK

А, стопэ, из passwd опцию –stdin выкинули как небезопасную, надо использовать chpasswd.

Aceler ★★★★★
(16.01.23 11:16:59 MSK)

Ответ на: комментарий от emorozov 16.01.23 11:15:27 MSK

дык это же тот же passwd/chpasswd и получится.

pfg ★★★★★
(16.01.23 11:21:46 MSK)

Ответ на: комментарий от pfg 16.01.23 11:21:46 MSK

Только более надежный, т.к. положение и формат shadow всегда одинаковые на любой системе. Не надо порождать новые процессы, не надо анализировать их вывод и статус завершения. Открыл файл, записал, все ошибки легко будет перехватить и проанализировать.

Для надежности реализовать схему блокировки, как в vipw.

~~emorozov~~ ☆
(16.01.23 11:27:53 MSK)
Последнее исправление: emorozov 16.01.23 11:28:27 MSK (всего исправлений: 1)

Ответ на: комментарий от emorozov 16.01.23 11:27:53 MSK

аккурат наобормот - дефолтная утилита более надежно.
пройдет время - изменят параметры хеша паролей. в твой самописный костыль никто и не заглянет, в отличии от широкоприменяемой утилиты, которую исправят и протестируют на возможные ошибки…
плюс смотри описание содержимого поля хеша пароля в shadow - там не все так просто и тупо.

pfg ★★★★★
(16.01.23 11:31:52 MSK)
Последнее исправление: pfg 16.01.23 11:38:55 MSK (всего исправлений: 3)

Вы этот скрипт хоть пробовали отладить? Пароль «2» слишком простой и не должен проходить. А ваш скрипт должен в конце строку ″password updated successfully″...

mky ★★★★★
(17.01.23 02:13:46 MSK)

Ответ на: комментарий от pfg 16.01.23 11:31:52 MSK

более надежно

Когда-то ″passwd --stdin″ была широкоприменяемой утилитой. Спокойно выкинули опцию и у кого-то престали работать самописные костыли.

mky ★★★★★
(17.01.23 02:16:53 MSK)

Ответ на: комментарий от mky 17.01.23 02:16:53 MSK

когда-то линукс и х86 поддерживал :) и андроид был удобной телефонной ос без задроченностей…
минус всех самописных скриптов что они очень быстро тухнут.

pfg ★★★★★
(17.01.23 09:42:44 MSK)
Последнее исправление: pfg 17.01.23 09:49:52 MSK (всего исправлений: 1)

Ответ на: комментарий от mky 17.01.23 02:16:53 MSK

Когда-то ″passwd –stdin″ была широкоприменяемой утилитой.

Нет. Эта опция была в редхатовском passwd, a в дебиановском ее не было.

futurama ★★★★★
(17.01.23 12:47:22 MSK)

Ответ на: комментарий от futurama 17.01.23 12:47:22 MSK

Да не важно. До shadow, допустим, в 1995 году, команда passwd входила в пакет util-linux, и позволяла задать пароль своим аргументом. Да, как-бы не безопастно, но это было и работало. А потом раз, shadow, pam и всё. В RH ″passwd --stdin″, в Deb команда ″chpasswd″ (кстати не знаю, была ли она в самых первых shadow-utils года 1997-98). То есть раз и самопальный скрипт перестал работать.

Моя мысль была, что неважно как скрипт смены пароля, про который эта тема, работет, хоть запись в shadow, хоть вызов chpasswd. Завтра он внезапно может перестать работать.

mky ★★★★★
(17.01.23 19:24:56 MSK)

Ответ на: комментарий от Aceler 16.01.23 11:14:17 MSK

Сделал так:

'''

passwd root –stdin «2»

'''

Ответ системы:

'''

passwd: unrecognized option ‘–stdin’

'''

Где сделал ошибку?

paa66
(18.01.23 16:49:52 MSK) автор топика

Ответ на: комментарий от paa66 18.01.23 16:49:52 MSK

Win10/VB/Ubuntu server/lxc: как автоматизировать изменение пароля root в lxc (комментарий)

Aceler ★★★★★
(18.01.23 16:55:30 MSK)

Ответ на: комментарий от emorozov 16.01.23 11:27:53 MSK

т.к. положение и формат shadow всегда одинаковые на любой системе.

Мсье никогда не ставил ALT Linux? Мсье многое пропустил! Там /etc/tcb/username/shadow. Сюрприз.

Aceler ★★★★★
(18.01.23 16:56:39 MSK)
Последнее исправление: Aceler 18.01.23 16:57:56 MSK (всего исправлений: 1)

Ответ на: комментарий от Aceler 16.01.23 11:16:59 MSK

Сделал так:

'''

chpasswd –stdin «root:2»

'''

Ответ системы:

'''

chpasswd: unrecognized option ‘–stdin’

'''

paa66
(18.01.23 16:58:54 MSK) автор топика

Ответ на: комментарий от mky 17.01.23 02:13:46 MSK

Делал отладку, в самом контейнере запускал скрипт, пароль менялся.

paa66
(18.01.23 17:00:58 MSK) автор топика

Ответ на: комментарий от Aceler 18.01.23 16:55:30 MSK

Я пробовал и chpasswd, ответ, что опция –stdin неизвестна. Про это я написал выше.

paa66
(18.01.23 17:03:15 MSK) автор топика

Ответ на: комментарий от paa66 18.01.23 17:03:15 MSK

Это, что, взаимный троллинг тупостью? Даже если ″passwd″ понимает опцию ″--stdin″, то пароль должен был идти со стандартного ввода, а не через аргумент командной строки. Как-бы:

echo "passd" | passwd --stdin vova

только это слишком открыто, так как обычно список процессов доступен всем пользователям, и можно увидить пароль в списке процессов. Поэтому на STDIN перенаправляли содержимое файла.

А про ″chpasswd″ можно было и man прочитать, или что-нибудь ещё: http://rus-linux.net/MyLDP/consol/chpasswd_tutorial.html

mky ★★★★★
(18.01.23 19:21:34 MSK)

Ответ на: комментарий от mky 18.01.23 19:21:34 MSK

Это, что, взаимный троллинг тупостью?

Если человек в чём-то не разбирается, он не обязательно тупой. Не считаю себя тупым, со временем со всем разберусь.

пароль должен был идти со стандартного ввода

Тогда такой вариант не подойдёт, т.к. нужна автоматизация изменения пароля: написал, например, скрипт, запустил и он сам без интерактивного вмешательства всё сделает.

paa66
(18.01.23 20:31:16 MSK) автор топика

Ответ на: комментарий от paa66 18.01.23 20:31:16 MSK

«Стандартный ввод процесса» != «терминал».

«Палка» или «меньше» — это перенаправление стандартного ввода. Лучше с этим разобраться до написания скриптов, используемых в продакшн.

mky ★★★★★
(18.01.23 21:10:02 MSK)

Ответ на: комментарий от mky 17.01.23 02:13:46 MSK

А ваш скрипт должен в конце строку ″password updated successfully″…

Сделал в скрипте так:

'''

#!/usr/bin/expect -f

set timeout 2

spawn sudo passwd root

expect «New password:» {send «2\n»; exp_continue}

expect «Retype new password:» {send «2\n»}

expect «passwd: password updated successfully» {send ""}

exit

'''

Теперь всё работает.

paa66
(18.01.23 21:53:29 MSK) автор топика

Ответ на: комментарий от mky 18.01.23 21:10:02 MSK

Лучше с этим разобраться до написания скриптов, используемых в продакшн.

На самом деле мне ещё во многом надо разобраться, т.к. новичок в этом деле.

paa66
(18.01.23 21:56:43 MSK) автор топика

←	Свой почтовый сервер. Некоторые спамфильтры нас не пропускают.

Admin

Как в Ansible отфильтровать список в with_items ?

→

Похожие темы