[lug-ld] Passwort reset resettet immer wieder

Christian Ehrhardt Paelzer+lugld at gmail.com
Mi Nov 23 16:48:51 CET 2022 

Ekki Plicht (DF4OR) <ekki at plicht.de> schrieb am Mi., 23. Nov. 2022, 13:04:

> Moin.
>
> Ich habe da deinen nagelneuen Server mit frisch installiertem Debian 10
> (Buster).
> Es existiert nur der root user, passwort liegt vor.
>
> Policy beim Hoster ist, dass man beim root-user nach dem ersten Login
> zwingend das Passwort ändern muss. Verständlich und gut so.
>
> Ich logge mich als root ein, gebe das bestehende Passwort ein, gebe 2x das
> neue Passwort ein, alles ok.
>
> Ausloggen, neu als root einloggen - das login zwingt mich erneut das PW zu
> ändern. Ich gebe das soeben neu angelegte PW ein, gebe erneut ein neues PW
> 2x ein, alles gut.
>
> So setzt sich das Spiel bei jedemLogin fort.
>

Tipps zum eingrenzen

1.
Theorie: es wird nicht beim logout resettet, stattdessen eher niemals
gesetzt.
Test: nach dem Login via ssh und Passwortänderung, hat dann (vorm
ausloggen) eine weitere ssh Session das neue Passwort oder ebenfalls die
'bitte ändern" Nachricht?

2. Wird denn der Inhalt in /etc überhaupt angepasst?
Prüfe Inhalt mit vipw vor und nach einem passwd Aufruf.

3. Ist der Login vielleicht komplexer aufgesetzt?
Irgendwelche ungewöhnliche Dinge in Pam oder sogar Kerberos/sssd aktiv?
Falls ja könnten die Loge dieser Dienste etwas verraten.

Sag bescheid was Du findest, jeder Hinweis kann helfen :-)


> Wo kann ich das abstellen?
> Schon getestet
> - chage, siehe unten
> - direkt mit passwd geändert, gleiches Ergebnis.
> - lokale .bashrc und .profile angeguckt, da steht nix drin.
>
> Gruß,
> Ekki
>
>
> # chage -l root
> Letzte Passwortänderung                                 : Nov 23, 2022
> Passwort läuft ab                                       : nie
> Passwort inaktiv                                        : nie
> Benutzerzugang läuft ab                                 : nie
> Minimale Anzahl der Tage zwischen Passwortänderungen    : 0
> Maximale Anzahl der Tage zwischen Passwortänderungen    : 99999
> Anzahl Tage, an denen vor Passwortablauf gewarnt wird   : 7
>
>
>
>
> _______________________________________________
> lug-ld mailing list
> lug-ld at lists.lug-ld.de
> http://lists.lug-ld.de/mailman/listinfo/lug-ld
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.lug-ld.de/pipermail/lug-ld/attachments/20221123/a4b4a9e0/attachment.html>

Mehr Informationen über die Mailingliste lug-ld