• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[Kernproblem gelöst] Suse 11.4: Passwort abgelaufen

Hallo,

stand heute vor einem ziemlichen Problem:

Mein Sohn wollte sich als user anmelden, was nicht klappte (Anmeldung fehlgeschlagen).

Zunächst tippten wir auf ein falsches Paßwort, was nichts änderte.

Dann versuchte ich, sein Passwort als root zu ändern.
Gleiches Ergebnis.

Mit Strg-Alt-F3 gab die Konsole eine konkretere Antwort: "Paßwort abgelaufen".

Das war insofern merkwürdig, da die Paßworte standardmäßig auf unendlich stehen.

Also die Zeit auf das Maximum gestellt, mit der eine Anmeldung noch möglich ist, nach der das Paßwort abgelaufen ist.
Keine Änderung - Paßwort abgelaufen.

Als root erneut das Paßwort geändert - Paßwort abgelaufen usw. :grr:

Letzten Endes habe ich das Problem auf die "harte Tour" gelöst: User gelöscht und anschließend neu angelegt.

Eine saubere Lösung ist das aber nicht.

Woran kann das gelegen haben?
 

RME

Advanced Hacker
Hallo Systemcrasher,

Generell ist es so dass einfach in der Datei:

/etc/shadow

das dort gespeicherte (verschlüsselte) Passwort gelöscht werden muss -- alle Zeichen zwischen dem ersten und dem zweiten Dopplpunkt. Dann kann/muss beim erneuten einlogen dass Passwort neu gestzt werden (mit passwd in der Konsole).

Root-Passwort: System von einer live-CD booten, System-Partition mounten, /etc/shadow (wie oben) editieren. Dann: in den Runlevel 3 booten (Textmodus) und mit passwd neues Passwort setzen.

Gruss,
Roland
 
OP
Systemcrasher

Systemcrasher

Hacker
RME schrieb:
Generell ist es so dass einfach in der Datei:

/etc/shadow

das dort gespeicherte (verschlüsselte) Passwort gelöscht werden muss

Sicher ist das eine elegante Möglichkeit.

Aber hätte das nicht auch mit "passwd user" (als root) klappen müssen?

Zumindest hat es in der root-Konsole scheinbar problemlos geklappt - außer das sich user immer noch nicht anmelden konnte. Also ich wurde nach dem neuen Paßwort gefragt und mußte es bestätigen. :???:
 

RME

Advanced Hacker
Hallo josef-wien,

Probiere es aus, aber sichere vorher die Datei, sonst hast Du ein Problem.
Hab's gerade gemacht -- funktionierte wie erwartet. Was hast Du denn erwartet :???:

/etc/shadow original:

Code:
at:*:15087:0:99999:7:::
avahi:*:15087:0:99999:7:::
bin:*:15035::::::
daemon:*:15035::::::
dnsmasq:*:15087:0:99999:7:::
ftp:*:15035::::::
games:*:15035::::::
gdm:*:15087:0:99999:7:::
lp:*:15035::::::
mail:*:15035::::::
man:*:15035::::::
messagebus:*:15035:0:99999:7:::
mysql:*:15087:0:99999:7:::
news:*:15035::::::
nobody:*:15035::::::
ntp:*:15035:0:99999:7:::
postfix:*:15035:0:99999:7:::
pulse:*:15087:0:99999:7:::
root:$2a$05$vyxBUTjkvwNEr0YCM5Vshu7tqUhLRdjy.2gL6BtuYhpW0kZ8xdIbO:15087::::::
rtkit:*:15087:0:99999:7:::
sshd:*:15035:0:99999:7:::
statd:*:15035:0:99999:7:::
uucp:*:15035::::::
wwwrun:*:15035::::::
user0:$2a$05$T9kd9dJflRTWWkfdjf/gZufMoKp9fWdEK61Ds6LedStTd7gztIFZa:15087:0:99999:7:::
usbmux:*:15087:0:99999:7:::
/etc/shadow -- mein pw gelöscht:

Code:
...
...
uucp:*:15035::::::
wwwrun:*:15035::::::
user0::15087:0:99999:7:::
usbmux:*:15087:0:99999:7:::
Jetzt hat Login (natürlich) nicht funktioniert.

Im Runlevel 3 (Option im obigen Fail), login als root, dann:

Code:
# passwd user0
Passwort *****
nochmals: *****

# shutdown -r now
Jeztz hat user0 Login wieder funktioniert:

/etc/shadow -- neu:

Code:
...
...
sshd:*:15035:0:99999:7:::
statd:*:15035:0:99999:7:::
uucp:*:15035::::::
wwwrun:*:15035::::::
user0:$2a$10$CQlwn80us2f1LYqYCpMLseTaP9ag57BNOhTmug8L28BHbTRtVsr/O:15101:0:99999:7:::
usbmux:*:15087:0:99999:7:::
Was waren Deine Gedanken?

Gruss,
Roland
 

josef-wien

Ultimate Guru
Ich war nicht präzise genug, und damit ist der beabsichtigte Effekt nicht eingetreten. Daß root unter diesen Umständen einem anderen Benutzer wieder zu einer gültigen Eintragung verhelfen kann, ist klar, aber für sich selbst funktioniert es nicht. Eine Eintragung ohne Paßwort ist nicht gültig, und ohne gültige Eintragung kann man sich nicht anmelden, das gilt auch für root.
 

RME

Advanced Hacker
Hallo josef-wien,

Zuerst ein Danke dass Du mich hier "herausgefordert" hast. Das root-Passwort zu vergessen ist immer ein Risiko und dann sollte man wissen was da zu tun wäre.

josef-wien schrieb:
Dass root unter diesen Umständen einem anderen Benutzer wieder zu einer gültigen Eintragung verhelfen kann, ist klar, aber für sich selbst funktioniert es nicht.
Tut es doch...

Ich habe in "/etc/shadow" das (verschlüsselte) root-Passwort gelöscht. Dann habe ich neu gebootet (das System mit dem gelöschten root-PW), aber im GRUB-Menü habe ich die Boot-Option '1' eingetragen. In der Text-Konsole (ein RETURN eingeben) bekomme ich den root-Prompt (kein PW wird gefragt!!!). Dann einfach mit "passwd root" ein neues PW eingeben. Neu booten. Fertig.

Also zumindest bei mir funktioniert dies ohne welche Probleme :D

Ich habe noch etwas gegoogelt. Wenn die einfache Methode (wie oben beschrieben) nicht funktioniert hätte, dann wären da noch einige Möglichkeiten zum ausprobieren:

http://www.softpanorama.org/Commercial_linuxes/Startup_and_shutdown/root_password_recovery.shtml

Und vielleicht könnte man letztendlich noch versuchen die Sicherheitseinstellungen auszuhebeln (gebootet von einer live-CD), angefangen mit /etc/pam.d/common-auth -> common-auth-pc

Die von mir verwendete (einfache) Methode ist vielerorts dokumentiert, z.B.

http://www.linux-forum.de/root-passwort-vergessen-was-tun-3433.html

http://linuxwiki.de/RootPasswortVergessen

Gruss,
Roland
 

Tooltime

Advanced Hacker
josef-wien schrieb:
Eine Eintragung ohne Paßwort ist nicht gültig, und ohne gültige Eintragung kann man sich nicht anmelden, das gilt auch für root.
Natürlich stimmt diese Aussage 100%tig.

RME schrieb:
Welche Distribution und Version? Hab es an einer frischen 11.4 probiert und es funktioniert wie erwartet nicht.

RME schrieb:
Also zumindest bei mir funktioniert dies ohne welche Probleme
Natürlich kann man PAM zerkonfigurieren, so das jeder ein und aus gehen kann! Daher ist das kein Grund zum jubeln, sondern eher Besorgnis errregend.

RME schrieb:
Und vielleicht könnte man letztendlich noch versuchen die Sicherheitseinstellungen auszuhebeln (gebootet von einer live-CD), angefangen mit /etc/pam.d/common-auth -> common-auth-pc
Na wenn ich schon ein anderes System starte, dann kann ich eine beliebige Hash-Summe für das root-Passwort eintragen, vorzugsweise von einem Passwort das mir geläufig ist.
 

josef-wien

Ultimate Guru
RME schrieb:
in den Runlevel 3 booten
RME schrieb:
im GRUB-Menü habe ich die Boot-Option '1'
Das ist ein Unterschied.

Tooltime schrieb:
Natürlich stimmt diese Aussage 100%tig.
Die Realität hat mich eines besseren belehrt: Wenn in /etc/shadow das Paßwort-Feld fehlt, ist root in den beiden runlevel S und 1 ohne Paßwort-Eingabe aktiv, in den anderen runlevel ist keine Anmeldung möglich (11.3 und 11.4, jeweils 64 Bit).
 
OP
Systemcrasher

Systemcrasher

Hacker
RME schrieb:
/etc/shadow -- mein pw gelöscht:

Habe das eben an einem anderen Rechner probiert.

Suse 11.4 installiert und dann ein paar Wochen nicht mehr in Betrieb.
Ob es daran lag, keine Ahnung. Aber ich konnte mich weder als root noch als User anmelden. :(
Die PW hatte ich definitiv nicht vergessen.

Mit einer Live-CD dann alle PW gelöscht und neu angelegt, wie von Dir beschrieben. Danach konnte ich mich wieder anmelden (zypper dup läuft da jetzt gerade).

2 Probleme bleiben jedoch bestehen:

1. Wieso passiert das eigentlich (Passwörter stimmen plötzlich nicht mehr). Das Problem trat bisher lediglich bei der 11.4 auf, weder bei 11.1, 11.2, noch 11.3.
Auch nicht bei all den anderen Distries, die ich +/- -häufig verwende.

2. Ist das nicht eine gravierende Sicherheitslücke? Obwohl ich in der Hinsicht nicht gerade der Hellste bin, fällt mir da sofort eine Möglichkeit ein, wie ein Angreifer auf einfache Weise in ein System eindringen könnte.
Das bereitet mir weiderum starke Bauchschmerzen.
 

P6CNAT

Advanced Hacker
Hallo Systemcrasher,

RME schrieb:
fällt mir da sofort eine Möglichkeit ein, wie ein Angreifer auf einfache Weise in ein System eindringen könnte.
Das bereitet mir weiderum starke Bauchschmerzen.
Die /etc/shadow im Internet zu veröffentlichen sollte dir auch Bauchschmerzen verursachen. Es sei denn du verwendest inzwischen andere Passworte. Es kann ein paar Stunden bis Tage dauern, aber mit der Datei kann man Passworte cracken.

Gruß
Georg
 
OP
Systemcrasher

Systemcrasher

Hacker
P6CNAT schrieb:
Die /etc/shadow im Internet zu veröffentlichen sollte dir auch Bauchschmerzen verursachen.


Oh, ich glaube, RME weiß genau, was er da tut. ;)

Aber Bauchschmerzen bereitet mir nicht so sehr, daß jemand die /etc/shadow kennt, sondern wie leicht man so ein Paßwort aushebeln kann. Auch wenn ich in meinem Fall froh war, daß es so ging. Aber ich habe nun nicht wirklich was auf meinen Rechnern, was für kriminelle Elemente von Interesse wäre.
Interessanter für solche Kreise wäre sicherlich eher, solch einen Rechner zum Teil eines Bot-Netzes o.ä. zu machen.

Denn warum soll ich mehrere Tage mit dem Knacken eines Paßwortes verbringen, wenn ich den Eintrag auch einfach löschen kann.

Dabei kommt mir gleich die nächste Frage: Hat schon einmal jemand probiert, was passiert, wenn man /etc/shadow komplett löscht?

Startet das System dann überhaupt noch?
 

P6CNAT

Advanced Hacker
Uups, habe RME mit Systemcrasher verwechselt :eek:ps:

Um den Rechner in den Single Mode zu booten braucht man ja schon physischen Zugang oder ein Remote Service Board.
Ok, wenn der Rechner gestohlen wurde ist es schon blöd.
Ansonsten bleibt nur, Passworte zu kracken.

Gruß
Georg
 
OP
Systemcrasher

Systemcrasher

Hacker
P6CNAT schrieb:
Uups, habe RME mit Systemcrasher verwechselt :eek:ps:

Das ehrt mich jetzt. :D

Um den Rechner in den Single Mode zu booten braucht man ja schon physischen Zugang oder ein Remote Service Board.

Ich bin mir da jetzt nicht sicher, aber ich habe mal irgendwo gelesen, daß es einem Angreifer auch ohne Kenntnis des PW möglich ist, von außen irgendwie zumindest partielle root-Rechnte zu bekommen.

Wenn das geht, dann müßte es einem Angreifer dann logischerweise auch möglich sein, die /etc/shadow u.a. empfindliche Dateien zu manipulieren.
 

P6CNAT

Advanced Hacker
Hallo,
Systemcrasher schrieb:
aber ich habe mal irgendwo gelesen, daß es einem Angreifer auch ohne Kenntnis des PW möglich ist, von außen irgendwie zumindest partielle root-Rechnte zu bekommen.
Ja, es gibt Services die unsicher sind, z.B. ftp und die normalen r-kommandos wie rlogin, rsh or rcp. Die sind bei Linux normalerweise abgeschaltet. Zumindest bei Suse und Ubuntu. Wer solche unsicheren Dienste aktiviert, sollte wissen was er tut.
Dann werden auch immer wieder Sicherheitslücken entdeckt, z.B. buffer overrun. Dagegen helfen nur Updates.

Gruß
Georg
 
Oben