Passwortänderungen loggen?
![](https://seccdn.libravatar.org/avatar/6b9a48722f82f015bfcc77bfa22dc2ce.jpg?s=120&d=mm&r=g)
Hallo allerseits! Ich habe ein gedankliches Problem, daß ich im Moment noch nicht gelöst bekomme - vielleicht kann mir da jemand hier einen Tip geben, bei welchen Befehlen ich in die Manpages und Doc's schauen muß: Kann man (ich) Password-Änderungen, die mit YaST oder über die Shell gemacht werden, loggen? In eine eigene Datei, mit Datum und altem/neuem Kennwort? Äh, gleiche Frage gilt für Usernamen... Bei uns sind die Benutzer angehalten, regelmäßig die Kennwörter zu ändern, diese sollten nicht zu naheliegend sein - das muß ich irgendwie prüfen. Ist zwar irgendwo natürlich ein Sicherheitsloch, aber das kann ich auch noch abfangen... Danke im Voraus, schönen sonnigen Abend am Grill, Wolfgang Eul
![](https://seccdn.libravatar.org/avatar/c29cb0eb30b2791939c2e43eae603dd1.jpg?s=120&d=mm&r=g)
Am 26.06.2002 um 17:45 schrieb Wolfgang Eul:
Kann man (ich) Password-Änderungen, die mit YaST oder über die Shell gemacht werden, loggen? In eine eigene Datei, mit Datum und altem/neuem Kennwort? Äh, gleiche Frage gilt für Usernamen...
Bei uns sind die Benutzer angehalten, regelmäßig die Kennwörter zu ändern, diese sollten nicht zu naheliegend sein - das muß ich irgendwie prüfen.
Ist zwar irgendwo natürlich ein Sicherheitsloch, aber das kann ich auch noch abfangen...
Du möchtest Sicherheit dadurch gewinnen, dass du die Kennwörter im Klartext in eine Datei schreibst? Das ist absurd! Um Kennwörter auf ihre Qualität hin zu überprüfen, gibt es Tools wir "John the Ripper" oder die "cracklib". Diese Tools lassen sich direkt in das PAM integrieren, um schwache Kennwörter von vorneherein abzulehnen. Ein maximales Alter festzulegen, ist nicht schwer: "man shadow" Es gibt KEINEN Grund, Kennwörter im Klartext zu speichern. Auch weil viele Leute ein Kennwort für verschiedene Anwendungen (z.B. Login, POP3, Web-Dienste) nutzen und davon ausgehen, dass ihre Kennwörter vertraulich behandelt werden. MfG, Dennis -- Dennis Stosberg eMail: dennis@stosberg.net pgp key: http://stosberg.net/dennis.asc icq: 63537718
![](https://seccdn.libravatar.org/avatar/c65f0a9d70486d425ffd4799ddb379fc.jpg?s=120&d=mm&r=g)
Hallo Wolfgang, was hast Du vor? * Wolfgang Eul schrieb am 26.Jun.2002:
Kann man (ich) Password-Änderungen, die mit YaST oder über die Shell gemacht werden, loggen?
Glaube nicht. Das Paßwort kann der User mit dem Befehl password verändern, alle anderen Programme greifen darauf zurück.
In eine eigene Datei, mit Datum und altem/neuem Kennwort? Äh, gleiche Frage gilt für Usernamen...
Du öffnest den Mißbrauch Tür und Tor. Paßwörter sollten niemals im Klartext abgelegt werden. Verschlüsselt ligt das neue Paßwort in /etc/passwd. Das alte wird nicht mehr benötigt.
Bei uns sind die Benutzer angehalten, regelmäßig die Kennwörter zu ändern, diese sollten nicht zu naheliegend sein - das muß ich irgendwie prüfen.
Aber nicht so.
Ist zwar irgendwo natürlich ein Sicherheitsloch, aber das kann ich auch noch abfangen...
Wieso sollte ich als User Dich vertrauen? Auch einem Sysadmin gebe ich kein Paßwort preis. Bernd -- Homepages von deutschsprachigen Linux-Gurus: Kristian Köhntopp: http://www.koehntopp.de/kris/artikel/ Sven Guckes: http://www.math.fu-berlin.de/~guckes/sven Robin S Socha: http://socha.net/index2.html |Zufallssignatur 10
![](https://seccdn.libravatar.org/avatar/b8b5199170f2465bf829deaec5f1a485.jpg?s=120&d=mm&r=g)
Hi Wolfgang, Am Mittwoch, 26. Juni 2002 17:45 schrieb Wolfgang Eul: [...]
Kann man (ich) Password-Änderungen, die mit YaST oder über die Shell gemacht werden, loggen?
glücklicherweise nicht.
In eine eigene Datei, mit Datum und altem/neuem Kennwort? Äh, gleiche Frage gilt für Usernamen...
Du kannst allerdings in regelmäßigen Abständen eine Kopie der /etc/shadow machen und diese Kopien mittels diff vergleichen. Dann werden Dir Änderungen aufgezeigt. Da siehst Du dann sowohl, ob neue User hinzugekommen sind, als auch, ob alte ihr Passwort geändert haben. Du solltest aber darauf achten, dass diese Kopien von den Dateirechten mindestens so sicher sind, wie die /etc/shadow selbst.
Bei uns sind die Benutzer angehalten, regelmäßig die Kennwörter zu ändern, diese sollten nicht zu naheliegend sein - das muß ich irgendwie prüfen.
Das musst nicht Du prüfen, sondern da gibt es nette Tools dafür. Siehe Mail von Dennis oder wirf mal Google an. Müsste auch bei Deiner Distri schon was nettes mit dabei sein. [...] Gruß Philipp -- registered Linux user number 258854
participants (4)
-
B.Brodesser@t-online.de
-
Dennis Stosberg
-
Philipp Zacharias
-
Wolfgang Eul