主页 / server / 问题

问题[passwd](server)

Martin Hope
Codejoy
Asked: 2021-06-12 09:33:03 +0800 CST
  • 1

尝试使用本教程执行上述操作:

https://www.unixguide.net/content/openldap-allow-users-change-their-password-unix-passwd-command

所以我创建了这个 ldif:

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: to attrs=userPassword by self write by anonymous auth by dn.base="cn=ldapadm,dc=bbb,dc=local" write by * none

add: olcAccess
olcAccess: to * by self write by dn.base="cn=ldapadm,dc=bbb,dc=local" write by * read

运行 ldapmodify,现在在我运行上述修改之前,没有用户可以使用密码登录任何客户端。

现在尝试登录说输入正确密码后权限被拒绝....我打破了什么?(对openldap完全陌生)

这可能是相关的,这就是我让我的客户连接到我的 openldap 服务器的方式:

yum install -y openldap-clients nss-pam-ldapd
authconfig --enableldap --enableldapauth --ldapserver=192.168.1.10 --ldapbasedn="dc=bbb,dc=local" --enablemkhomedir --update

开箱即用,如果我在 ldap 用户上键入 passwd ......结果会发生:

[ldapuser@sdss5-db ~]$ passwd
Changing password for user ldapuser.
(current) LDAP Password: 
New password: 
Retype new password: 
password change failed: Insufficient access
passwd: Authentication token manipulation error

虽然上面带有 olcAccess 的 ldif 文件再次破坏了我的 ldap 并没有使任何工作(在我运行该命令之前必须将 VM 恢复到 ..主要是因为我是 ldap 的新手并且不知道如何删除项目等)

这是我所有的 cn=config 文件:

olcDatabase={-1}frontend.ldif


# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
# CRC32 daf543d1
dn: olcDatabase={-1}frontend
objectClass: olcDatabaseConfig
objectClass: olcFrontendConfig
olcDatabase: {-1}frontend
structuralObjectClass: olcDatabaseConfig
entryUUID: 1244881e-5cf7-103b-94a5-5f5943b4315f
creatorsName: cn=config
createTimestamp: 20210608224613Z
entryCSN: 20210608224613.408737Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20210608224613Z


olcDatabase={0}config.ldif

# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
# CRC32 54d58ed2
dn: olcDatabase={0}config
objectClass: olcDatabaseConfig
olcDatabase: {0}config
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=extern
 al,cn=auth" manage by * none
structuralObjectClass: olcDatabaseConfig
entryUUID: 12448a9e-5cf7-103b-94a6-5f5943b4315f
creatorsName: cn=config
createTimestamp: 20210608224613Z
entryCSN: 20210608224613.408801Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20210608224613Z



olcDatabase={1}monitor.ldif

# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
# CRC32 3165478b
dn: olcDatabase={1}monitor
objectClass: olcDatabaseConfig
olcDatabase: {1}monitor
structuralObjectClass: olcDatabaseConfig
entryUUID: 12448d32-5cf7-103b-94a7-5f5943b4315f
creatorsName: cn=config
createTimestamp: 20210608224613Z
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=extern
 al, cn=auth" read by dn.base="cn=ldapadm,dc=bbb,dc=local" read by * none
entryCSN: 20210608225001.645649Z#000000#000#000000
modifiersName: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
modifyTimestamp: 20210608225001Z




olcDatabase={2}hdb.ldif


# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
# CRC32 89413e34
dn: olcDatabase={2}hdb
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: {2}hdb
olcDbDirectory: /var/lib/ldap
olcDbIndex: objectClass eq,pres
olcDbIndex: ou,cn,mail,surname,givenname eq,pres,sub
structuralObjectClass: olcHdbConfig
entryUUID: 1244907a-5cf7-103b-94a8-5f5943b4315f
creatorsName: cn=config
createTimestamp: 20210608224613Z
olcSuffix: dc=bbb,dc=local
olcRootDN: cn=ldapadm,dc=bbb,dc=local
olcRootPW:: e1NTSEF9QTB0dS94UjR6cy83ZEMvQUxPL21uS2RLaXZUeFNXVEg=
olcAccess: {0}to attrs=userPassword by self write by anonymous auth by dn.ba
 se="cn=ldapadm,dc=bbb,dc=local" write by * none
entryCSN: 20210702202550.687485Z#000000#000#000000
modifiersName: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
modifyTimestamp: 20210702202550Z

似乎它没有写第二部分:

add: olcAccess
olcAccess: to * by self write by dn.base="cn=ldapadm,dc=unixguide,dc=net" write by * read

到 olcDatabase={2}hdb.ldif ,按照它的例子olcAccess: {1}to * by self write by dn.base="cn=ldapadm,dc=unixguide,dc=net" write by * read

我猜这是在我运行命令后无法正常登录的原因。我不确定为什么它没有显示出来,因为当我使用上面发布的 ldif 运行修改命令时没有出现错误...

ldap 修改的结果是这样的:

[root@openldapserver ~]# ldapmodify -Y EXTERNAL  -H ldapi:/// -f passwordaccess.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={2}hdb,cn=config"
centos openldap passwd
Martin Hope
dr0i
Asked: 2020-09-01 05:21:14 +0800 CST
  • 10

在我的一些服务器中,末尾有一条奇怪的线,/etc/passwd/仅包含:

+:::::::

有谁知道这意味着什么?

我在网上搜索,但只发现了 2012 年一位吉姆提出的相同的、未回答的问题:

任何人都知道这在 Linux SLES 11 中意味着什么并且可以将其删除

(见https://www.cyberciti.biz/faq/understanding-etcpasswd-file-format/)。

有问题的服务器运行SLES 12,其他Ubuntu bionic

passwd
Martin Hope
example6
Asked: 2016-10-11 11:03:07 +0800 CST
  • 2

我有一个项目需要我编写脚本/命令序列来更改 CentOS 7 安装上的 root 密码。

我可以假设将执行脚本的用户已经是 root。

目前,我正在使用以下内容,并收到一条成功消息:

[root@localhost]# echo -e ‘password\npassword’ | (passwd --stdin root)
Changing password for user root.
passwd: all authentication tokens updated successfully.

但是,这实际上并没有更改密码。经过进一步检查(手动设置密码),我注意到密码password没有通过字典检查,但最后仍然报告成功:

[root@localhost]# passwd
Changing password for user root.
New password:
BAD PASSWORD: The password fails the dictionary check - it is based on a dictionary word
Retype new password:
passwd: all authentication tokens updated successfully.

一种可能的解决方案是尝试根据 中提供的方法和盐对给定密码进行哈希处理/etc/shadow,但我想避免过于复杂的解决方案。我还可以检查中的值是否/etc/shadow实际更改,但这忽略了密码设置为已经设置的情况,我想支持这种情况。

有没有人建议在实际设置密码之前尝试验证密码,或者最好从 FULL 输出passwd

centos scripting root passwd
Martin Hope
Chris
Asked: 2016-04-28 01:16:02 +0800 CST
  • 13

我有一个在主机上运行并创建/启动/停止 docker 容器的脚本。我想要脚本来更改容器中 root 用户的密码。

由于容器是 ssh 服务器,我尝试了: sshpass -p 'OLDPASS' ssh root@<container-IP> 'echo -e "NEWPASS\nNEWPASS" | passwd root'

但它不起作用。在继续并花更多时间调试它之前,我想知道是否有更聪明的方法来做到这一点。

我知道正确的“docker 方式”是制作一个由 Dockerfile 运行的脚本,该脚本从共享卷中提取密码并将其设置为 root 密码。这听起来很复杂,但我知道该怎么做,并且适用于我使用的另一个 docker 映像。但我不想为这个做。

我只需要一个使用 Docker 或 ssh 以非交互方式更改用户密码的命令。

bash ssh docker passwd
Martin Hope
Richard Boonen
Asked: 2016-04-26 00:55:10 +0800 CST
  • 3

我需要更改用户的“真实姓名”(不是用户名)。
例如,如果我有:

testuser:x:1001:1001:Max Mustermann,,,:/home/testuser:/bin/bash

我希望它是:

testuser:x:1001:1001:Max Müller,,,:/home/testuser:/bin/bash

我可以手动编辑它还是会对任何东西产生负面影响(例如 ssmtp)?我知道可以使用 安全地更改用户名usermod,但我以前从未更改过“真实”名称。

ubuntu passwd
Martin Hope
Asked: 2010-04-19 03:12:20 +0800 CST
  • 0

是否有针对此攻击的 .htaccess 解决方案

188.165.198.65 - - [17/Apr/2010:15:46:49 -0500] "GET /blog/2009/04/12/shopping-cart/?cart=../../../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.1" 200 28114""Mozilla/4.0 (compatible; MSIE 7.0;Windows NT 5.1; .NET CLR 1"

我的 WordPress .htaccess 是

# 开始 WordPress
<IfModule mod_rewrite.c>
重写引擎开启
重写基础/博客/
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
重写规则。/blog/index.php [L]
</IfModule>

# 结束 WordPress
apache-2.2 .htaccess passwd
Martin Hope
Brian Knoblauch
Asked: 2010-03-06 06:00:25 +0800 CST
  • 0

试图从我们的一台服务器中删除用户,但我似乎动不动就被挫败...

SMC 拒绝加载用户列表(在 UserContent 的 listAll 方法中出现 NoClassDefFoundError 失败)。

vipw 只是返回“vipw:/etc/passwd 文件忙”。

我是目前系统上唯一的用户(这是我们的备份 SRSS 框),即使在重新启动后这两个都失败了。不幸的是,我目前没有控制台访问权限(或者我会尝试单用户模式)。当然,即使初始化模式 S 工作并让我完成这项任务,它也不能解决根本问题。

想法?

solaris passwd
Martin Hope
bobo
Asked: 2010-02-07 17:41:33 +0800 CST
  • 2

我以 root 身份远程 SSH 登录(使用 PUTTY),

bash shell 提示符变为:

[root@yukiko /]#

当我进入时:

getent passwd

我看到的第一行是这个:

root:x:0:0:root:/root:/bin/bash

bash shell 提示符不应该是这样的吗?(对应于 /etc/passwd 中的第一行)?

[root /]#

这是一个安装了 CentOS 的 VPS 服务器,yukiko 是我提供给托管公司的所需客户登录 ID。

linux bash vps passwd
Martin Hope
Evan
Asked: 2009-07-22 11:54:22 +0800 CST
  • 3

我正在尝试更改 pam.d/system_auth 以帮助解决审核要求的密码复杂性。

我不熟悉 PAM,但 system_auth 文件说

此文件是自动生成的 用户更改将在下次运行 authconfig 时被销毁。

是否有适当的方法将永久更改编辑到 system_auth 而不是简单地编辑,或者我误解了警告?

我需要做的就是添加一些简单的计数和 minlen、dcredit、ocredit 等。

security password audit passwd