Zmena hesla pres poppassd - nebere cracklib omezeni ?

Petr Simek psimek na jcu.cz
Neděle Prosinec 31 11:39:28 CET 2000


On Thu, 28 Dec 2000, Pavel Kankovsky wrote:

> > zjistil jsem ze si nekteri uzivatele davaji dost jednoducha hesla
> > a nasel jsem vinika - umoznuje jim to poppassd demon (pouzivam ho
> > aby bylo mozne zmenit heslo pres IMP).
> 
> Napada mne, ze pam_cracklib je vyrobeny tak, ze je benevolentnejsi
> pri getuid() == 0 (aby umoznil rootovi menit hesla tak, jak se mu zlibi).
> Pokud je poppassd spusteny s ruid 0, pak se pam_cracklib nechyta.
> Mozna by mel mit pam_cracklib argument rikajici, je-li podobne chovani
> zadouci (a mozna ho i ma...ja nevim, ja tady nemam jen pomerne starou
> verzi PAMu).

Asi mate pravdu - poppassd se da spustit i z radky a davat mu prikazy.
Kdyz ho spustim jako root tak pro zadaneho uzivatele overi stare heslo
a napali mu nove jake chci. Ale kdyz dam poppassd binarce suid root bit
jako to ma passwd a spustim ho jako user tak mi heslo nezmeni, at je
slozite nebo jednoduche.

Kazdopadne nejake nastaveni PAM ktere by tomu branilo jsem nenasel, asi
se natvrdo pro roota obchazi. Premyslim co s tim - asi bude nejjednodusi
stahnout si src.rpm a do toho zdrojaku pridat nejake jednoduche omezeni.

> --Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]

*------------------------------------------------------------------------*
|                          Petr Simek   APS JU                           |
|                             petrsi na jcu.cz                              |
*------------------------------------------------------------------------*



Další informace o konferenci Linux