Hi, On Fri, 26 Aug 2005, Bernd Kloss wrote:
Daniel Lord
schrieb am 26.08.05 12:39:16: SuSE 8.2 und SuSE 9.3 useradd neueruser passwd neueruser grep neueruser /etc/shadow
wir haben unseren Standard-Testuser tu angelegt. Der hat das PW
Tester"
Unter 8.2 funktioniert das " (Anführungszeichen), unter 9.3 jedoch nicht Bei der Einbgabe des PW mit passwd tu stürzt das passwd ab und keine weiteren Eingaben sind möglich.
lol das ist nun wirklich keine geignete Reaktion auf so ein PW. passwd tu:x:1010:500::/home/tu:/bin/bash shadow tu:$1$wBLbLSyf$tlBxw0LJST74POv1JoiLw0:13021:0:99999:7::: sowas in der Art sollte dabei rauskommen. Sieht das bei deiner alten Installation ähnlich aus? Interessant ist der folgende Teil: $1$wBLbLSyf$tlBxw0LJST74POv1JoiLw0 $1$xxxxxxxx$ <- salt Begrenzung und md5 Indikator. wBLbLSyf <- salt tlBxw0LJST74POv1JoiLw0 <- md5 Hash bei dir sieht das sicher anderst aus, da du einen anderen salt Wert verwenden wirst. Länge und Aufbau müssen aber die gleiche sein. Wenn nicht verwendest du noch die einfachen DES oder 3DES Passwörter. Dann sieht dein PW ziemlich sicher so "GEikd53MPqQhA" aus.
Zumindest ein alter User ist damit nicht übertragbar.
er ist nur nicht neu anlegbar. Das heißt aber nicht, dass er nicht übertragbar ist.
Daraus habe ich geschlossen, dass sich was geändert hat.
Ja, passwd hat da wohl einen Bug. Oder zumindest verhält es sich auf einer SuSE anderst als auf meinem System. ;)
Wie machen es denn andere Netzwerker mit mehreren Usern, wennn da umgestellt wird?
a) PWs nur über Webinterface ändern lassen und Plaintext "sicher" speichern. Dann kannst du in Zukunft neue Hashes per Script automatisch generieren (pöser Rat) b) User vor dem Umbau bitten ihr neues PW auf einem Webinterface einzugeben. (auch pöse) c) Monatlichen PW Wechsel etwas vorziehen. User melden sich so lange mit den alten DES PW's an, bis sie es einmal geändert haben. Dann schreibt der Server ein neues MD5 PW Für c) musst du nicht mal große Kopfstände machen. PAM kann unterscheiden ob das PW in shadow 3DES oder MD5 ist und jedesmal den User richtig authentifizieren. D.h. du mußt nur deine alten PW's übernehmen und warten bis sich der User einmal ein neues PW anlegen mußte. So hast du dann spätestens nach einem Monat alle PWs auf MD5 migriert. Und wer nach 2 Monaten immer noch DES drin hat fliegt raus *g* Bei den Webinterface Geschichten ist allerdings Vorsicht geboten. Wenn du deine User daran gewöhnst ihr PW in irgend welche Webseiten einzugeben hast du bei einer entsprechenden Phishing Mail ganz schnell ein riesen Problem ;) Greetings Daniel -- "Da die Ehe die körperliche Liebe im Allgemeinen nicht mit einschließt, schiene es vernünftig, das eine unverblümt vom andern zu trennen" - Simone de Beauvoir -