Проблема с паролем root'a!!!
Я более чем новичок, и очень сильно взволнован своей проблемкой, так, что извините если что.
Товарисчи, вот какая проблема:
У root'a пароль из нескольких слов.
В консоли после команды su запрашивается пароль.
Достаточно ввести первую часть пароля с пробелом, и тебе уже предоставляются права root'a.
Я в панике! весь хитропридуманный пассворд идёт к чертям вприпрыжку!
Какова причина сего явления?
Как заставить запрашивать и сверять пароль целиком, а не только первую часть?
Честно говоря – не сталкивался. Более того, проверил – у меня такая фича не работает.
Не используйте пароль с пробелами. Если они так нужны – используйте вместо них знак _подчеркивания_
Пробел вообще относится к так называемым экранированным символам. Например вот так нужно переходить в каталог /home/user/my\ documents.
Просто при отображениие символы экранирования не видны (особенно во всяких графических оболочках, чтобы не "испугать" неопытных пользователей), а отображаются только в баше.
К сожалению, не помогло.
Более точно, для успешной аутентификации достаточно совпадения первых восьми символов. :(
Дистрибутив: KNOPPIX_V4.0.2CD-2005-09-23-EN (installation for beginners, с автоопределеним оборудования), основан на Debian.
$ cat /proc/crypto
name: md5
module: md5
type: digest
blocksize: 64
digestsize: 16
Проверял на шеллах bash и sh.
Ядро 2.6.12
Клим, скорее всего это происходит потому что для хиширования пароля по умолчанию используется алгоритм DES. Необходимо выбрать другой алгоритм Blowfish или MD5, тогда ограничений на длинну пароля не будет
paranoid ant.
С радостью поменял бы.
А как это сделать?
А то я уже в хрустных мыслях о перекомпиляции ядра :((
(Конечно, мастерам это только развлечение, а я вот ещё ниразу не пробовал)
Клим, про перекомпиляцию придеться забыть т.к. к данной проблеме ядро не имеет никакого отношения.
О возможности смены алгоритма шифрования паролей лучше спросить на специализированном KNOPPIX форуме
paranoid ant, благодарю за ответы, и за внимание. :D
Но на счёт "специализированном KNOPPIX форуме" я не слишком и надеюсь.
Впрочем, учитывая то, что Knoppix всего лишь урезанный вариант Debian, и вообще, строго говоря, "Linux – один", то, может быть, уважаемые гуру поделятся, как это сделали бы они? :idea:
эээ, ну чтож пнятна. :)
в принципе копать нужно в сторону passwd и PAM...
будем копать...
Спасибо трщам unknown, paranoid ant, за помощь.
В гугле канещна всё есть, но тогда зачем нужен форум? Я этого наверно никогда не смогу понять
Клим, тут не далеко лежит замечательный документ он может вам многое объяснить http://www.pgpru.com/articles/questions.htm
P. S. вы пробовали, для начала, просто кликнуть по картинке ?
А-а-а, ээээ, нет, меня смутила до боли знакомая картинко :)))
Огромное спасибо, эт просто великолепно :D
побежаль читать результат
Пароли на DES уже давно нигде не используются. KNOPPIX видимо настолько безразличен к проблемам безопасности, что на использование shadow passwords им глубоко ... <добавить нужное>.
Все таки кноппикс – это демо возможностей Линукса.
Если в самом кноппиксе эту опцию нельзя легко включить, то вместо ручного прикручивания shadow passwd стоит подумать в будущем о переходе на более серьезный дистр.
unknown DES по умолчнию используеться например в SUSE, делается это как написано в документации "для совместимости", т.к. именно такой вариант поддерживается везде и всегда.
чтобы прекратить наконец растекание мысли по древу, отвечу на вопрос (раз уж никто не удосужился прочитать man 3 crypt):
посмотрите внимательно на пароли в файле shadow
1) если строка представляет из себя алфавитно-цифровую последовательность без префиксов – это стандарный DES (длинна пароля не более 8 символов)
2) если строка начинаеться с символа "_" это так называемый DES в стиле BSDI (длинна пароля не ограничена, символы обрезаются до 7 бит)
3) если префикс зашифрованного пароля "$1$" это MD5 (длинна пароля не ограниячена, символы 8 битные)
4) если префикс "$2a$"это blowfish(максимальная длинна пароля 72 символа, сомволы 8 битные)
надеюсь вопрос закрыть
P. S. описанная схема справделива и для дистрибутивов с хранением паролей в TCB и в passwd (вот таких точно больше нет), с точностью до места хранения зашифрованных строк.
Алярм!
Парни, знаете, что я имею?
Для root'a:
DES пароль, строка из shadow вида
Для йузера
MD5 пароль и строка вида
Парадокс? Он самый.
Основательно почитать маны в эти дни пока времени не было.
unknown, я понимаю, что
И действительно, Кноппикс мне нужен для акклиматизации и пока является тренировочно – учебным полигоном. После нового года надеюсь перейти на Gentoo, и опробовать на VMWare Open BSD.
Как это, где-то, уже вроде читал:
"...-Ну не может человек быть настольо сексуально не удовлетворённым".
Оказывается может :D
ЗЫ. ВСЕХ С НАСТУПАЮЩИМ!
Товарищи, проблема решена.
После разьяснений paranoid_antа, всё стало ясно.
"Фирменный" GUI скрипт Кноппикса для смены пароля root'a очевидно использует passwd, что не есть гуд (или я в очиридной раз ошибаюсь :) )
Поменял пароль через KUser, терь и root с MD5.
Хотелось бы перейти на blowfish, только времени немнога не хватает доки почитать.
paranoid_antу и unknownу, выражается агромная благодарность за помощь и дельные советы, спасибо вам!
Вот, вот! В сотый раз убеждаюсь, что GUI в Линуксе – это зло. Они не могут не быть не кривыми. Когда юзер набирает passwd и знает, где что при этом меняется, он хоть в чем-то может быть уверен.
Хотя, надо же чем-то привлекать в систему новых пользователей.
Кстати passwd меняет пароли и в md5, он здесь не причем.
Баг репорт напишите, если дело в Гуе.
Надо все гармонично сочетать. У Линуса, Патрика и RMS с этим кажется все в порядке. Так что и у вас все получится. И с паролями, и с дистрибутивами, и с удовлетворенностью.
И Вам успехов в Новом Году!