Início / computer / Perguntas / 1869059
Accepted
Nikita Kipriyanov
Asked: 2025-01-03 18:28:47 +0800 CST

Posso efetuar login no sddm como um usuário, sem saber sua senha, se eu tiver privilégios de sudo/root?

  • 772

Posso desbloquear a sessão gráfica de qualquer usuário sem saber sua senha se eu for root, apenas usando loginctl unlock-session <session>.

Mas posso iniciar uma sessão gráfica como um usuário de alguma forma, sem saber sua senha? Posso fazer backup /etc/shadow, alterar a senha, fazer login e restaurar, mas isso é muito trabalhoso, deve haver uma maneira melhor... Para o terminal/console, tenho o bom e velho sudo -i -u <user>, que não precisa disso, talvez eu possa fazer algo assim para o ambiente gráfico também?

É totalmente legítimo no meu caso de uso. É sddm e desktop KDE/Plasma, se for importante.

linux

2 respostas

  1. Best Answer

    Solução com PAM e uma única senha mestra

    Se o seu sddm usa PAM, você pode modificá-lo /etc/pam.d/sddme fazê-lo aceitar sua senha mestra para qualquer usuário.

    1. Criaremos um script auxiliar que comparará a primeira linha do stdin com sua senha mestra armazenada literalmente como a primeira linha em um arquivo separado.

      sudo sh -e -c '

# From https://superuser.com/a/1869073/432690

umask 0007

cat > /etc/security/master_password_check << "EOF"
#!/bin/sh -e
IFS= read -r ps || true
IFS= read -r mps < /etc/security/master_password
[ "$ps" = "$mps" ]
EOF

chmod u+x /etc/security/master_password_check

cat > /etc/security/master_password << "EOF"
M4st3rPSSwrd
EOF
'

      Execute o código exato acima em um shell, ele criará os arquivos necessários. Em seguida sudoedit /etc/security/master_password, substitua M4st3rPSSwrdpela sua senha mestra. (Substituir antes de executar o código pode quebrar as coisas se sua senha mestra contiver '.) A senha mestra no arquivo deve ser terminada corretamente com um caractere de nova linha.

    2. sudoedit /etc/pam.d/sddme coloque as seguintes linhas antes de qualquer auth …linha existente:

      # Master password, see https://superuser.com/a/1869073/432690
auth sufficient pam_exec.so expose_authtok quiet /etc/security/master_password_check

    A linha fará o sddm executar master_password_checke passar a senha digitada por meio de seu stdin. O script a comparará com a senha mestre e permitirá acesso imediatamente se elas corresponderem. A capacidade de efetuar login usando a senha regular do usuário alvo não é afetada.

    A partir de agora você pode efetuar login no sddm como qualquer usuário, bastando fornecer sua senha mestra.

    Notas

    • Se nossa auth sufficient …linha fosse adicionada /etc/pam.d/common-auth, muitos programas (incluindo o sddm) começariam a aceitar a senha mestra (porque os arquivos de configuração do PAM geralmente usam @include common-authquando apropriado).
    • A senha mestra é armazenada como texto simples dentro de /etc/security/master_password, ela é protegida apenas pelo modo do arquivo. Se isso não for suficiente para você, implemente o suporte para senha mestra com hash por conta própria.
    • Para reverter:
      • remova nossa linha de /etc/pam.d/sddm;
      • rm /etc/security/master_password_check /etc/security/master_password
    • 9

  2. Solução com PAM, política configurada emsudoers

    Crie /usr/local/bin/use-own-passwordcom a propriedade e permissões corretas. O seguinte código shell fará isso:

    sudo sh -e -c '

cat > /usr/local/bin/use-own-password << "EOF"
#!/bin/sh -e

# From https://superuser.com/a/1869100/432690

case "$1" in
  no-op)
    exit 0
    ;;
  verify)
    IFS= read -r password || true
    user="${password%%:*}"
    [ "$user" = "$password" ] || [ "$user" = "" ] && exit 1
    password="${password#*:}"
    printf "%s\n" "$password" | 2>/dev/null sudo -u "$user" \
      SUDO_ASKPASS=/usr/local/bin/use-own-password sudo -S -u "$PAM_USER" \
        /usr/local/bin/use-own-password no-op
    ;;
esac
EOF

chmod 755 /usr/local/bin/use-own-password
'

    Sim, o arquivo deve ser executável para todos. O script por si só é totalmente inofensivo. Sua capacidade de logar um usuário como outro vem de sua interação com o PAM, quando ele é executado de dentro do PAM.

    Em seguida sudoedit /etc/pam.d/sddm, coloque as seguintes linhas antes de qualquer linha existente auth …:

    # Allowing sudoers, see https://superuser.com/a/1869100/432690
auth sufficient pam_exec.so expose_authtok quiet /usr/local/bin/use-own-password verify

    Em seguida, execute sudo visudoe configure o sudoers:

    • A solução não funcionará com requiretty. Em caso de dúvida, use Defaults !requiretty.

    • A solução aninha sudos. O outer sudoserá executado pelo root para executar o inner sudo como o usuário cujas credenciais você deseja usar. É crucial que o outer sudonão peça senha. Felizmente, esse é o caso: o root pode usar sudolivremente e não acho que haja nem uma maneira de quebrar isso.

    • Se e somente se o usuárioA for um sudoer com permissão para executar /usr/local/bin/use-own-password no-opcomo usuárioB, então nosso script autorizará o login no sddm como usuárioB com as credenciais do usuárioA fornecidas como userA:passwordAno campo de senha. Agora é seu trabalho configurar os sudoers, para que somente os usuários certos possam executar o script como usuários certos. As linhas básicas no sudoersarquivo serão como:

       userA ALL=(userB) PASSWD: /usr/local/bin/use-own-password no-op

    • Usar NOPASSWDfor permitirá que qualquer um faça login no sddm como userB apenas alegando que é userA (e usando qualquer senha). O ponto é que você ainda não está logado, em particular não está logado como userA e não há como verificar se você é userA, exceto a senha do userA. O sddm apenas passará userA:whateverdo campo de senha para o nosso script e, nesse caso, NOPASSWDsempre terá sucesso.

    • Tenha em mente que a última correspondência é usada . Por exemplo, você pode querer usar a linha de exemplo acima para use-own-passworde genérico userA ALL=(userB) NOPASSWD: ALLpara todo o resto; então você deve colocar a linha de exemplo após a linha genérica, caso contrário, NOPASSWDda linha genérica será aplicada a sddm. Eu acho que você deve colocar todas as linhas permitindo use-own-passwordbem no final de sudoers(mesmo depois de @includedire assim).

    • Também tenha em mente que você não precisa de linhas específicas mencionando use-own-passwordpara que a solução funcione. Uma linha genérica userC ALL=(userD) ALLpermitirá que o userC faça login no sddm como userD. Se você quiser evitar especificamente isso, então você precisa transformar o último ALLem !/usr/local/bin/use-own-password.

    • Note que há opções ( rootpw, targetpw, runaspw) que fazem sudoa solicitação de senha diferente daquela de invocação do usuário. Elas interferirão, se usadas.

    Se você configurar tudo corretamente, você poderá logar no sddm como userB escolhendo userB como usuário e fornecendo userA:passwordAcomo senha. Os dois pontos são verbatim, é um separador.

    Como funciona

    Nosso use-own-passwordtem dois modos de operação, eles são escolhidos pelo primeiro argumento.

    Primeiro, o PAM executa o script no verifymodo, fornecendo a senha digitada (esperançosamente userA:passwordA) via stdin. O script extrai o nome do usuário autenticador e sua senha real da string de senha.

    Então o script usa sudopara executar outro sudocomo o usuário autenticador, apenas para executar outra instância de si mesmo como o usuário alvo. A outra instância está no no-opmodo, onde é equivalente a true, seu único propósito é verificar se o usuário autenticador tem permissão (por sudoers) para executar o script como o usuário alvo: o script terá sucesso se sim, sudofalhará em primeiro lugar se não.

    O inner sudolê a senha do seu stdin. É a senha extraída de userA:passwordA.

    Notas

    • Dois pontos na autenticação da senha do usuário não quebrará nada. Apenas os primeiros dois pontos userA:passwordAsão um separador. Nomes de usuários não podem conter :, então não há ambiguidade sobre qual dois pontos é o separador.
    • Uma senha digitada com dois pontos sempre será interpretada como userX:passwordXfirst. Pode acontecer que a senha do usuário alvo contenha :; isso não quebrará as coisas porque se nosso script falhar, ele /etc/pam.d/sddmcontinuará como se nada tivesse acontecido e eventualmente fará o login do usuário alvo (se a senha inteira estiver correta).
    • Pode acontecer que a senha de alguém seja exatamente userA:passwordA, onde passwordAé a senha do usuárioA e esse usuário é um sudoer com acesso à nossa solução. Se for assim, então o usuário original, ao fornecer sua senha, inadvertidamente fará login usando nosso método e as credenciais do usuárioA. Em muitos casos não haverá diferença, pois ele ou ela faria login de qualquer maneira. Somente se /etc/pam.d/sddmnormalmente não permitiria o usuário original ou faria algo extra (por exemplo, exigir autenticação de dois fatores), então o usuário notará.
    • É possível usar esta solução junto com aquela que usa uma senha mestra . Simplesmente haverá duas entradas extras em /etc/pam.d/sddmvez de uma. Isso significa que no contexto da sua pergunta você, como administrador, pode ter controle granular sobre outros usuários (por meio de sudoers), enquanto usa uma senha mestra conveniente para seu próprio propósito.
    • Para reverter:
      • remova nossa linha de /etc/pam.d/sddm;
      • rm /usr/local/bin/use-own-password
      • limpar /etc/sudoers.
    • 8

relate perguntas