Ахтунг! Безопасность!!! Проходит логин с неправильным паролем!

[zav]

1. Восппроизводится ли проблема при логине не из GDM, а из консоли (не эмулятора терминала, а настоящей консоли на Ctrl+Alt+F1-..)? Если воспроизводится, то покажи auth.log при таком логине.

2. Правильно ли я понимаю, что проблема не вопроизводится для другого юзера, а только для того, который был создан при установке? Если да, то на всякий случй покажи для него вывод

Код: [Выделить]

id

1. В консоли Ctrl+Alt+F1 спокойно логинится по логину zav с как минимум двумя паролями!!! 8-) Блин, пошел посмотрел вроде один zav, tmp и root. :-)

Сейчас зашел сначала со средним паролем, потом с обычным. Все гладко. Вот прикольно... ;-)

Mar 18 15:43:44 ws2410 login[7101]: pam_unix(login:session): session opened for user zav by tmp(uid=0)
Mar 18 15:45:23 ws2410 login[7101]: pam_unix(login:session): session closed for user zav
Mar 18 15:45:55 ws2410 login[7601]: pam_unix(login:session): session opened for user zav by zav(uid=0)
Mar 18 15:46:00 ws2410 login[7601]: pam_unix(login:session): session closed for user zav

Я так подозреваю, что какая-то засада детская, а я тут всем мозги сушу...

2. Пожалуйста.

zav@ws2410:~$ id
uid=1000(zav) gid=1000(zav) группы=4(adm),20(dialout),21(fax),24(cdrom),26(tape),29(audio),30(dip),44(video),46(plugdev),104(scanner),106(fuse),108(lpadmin),114(netdev),123(admin),124(sambashare),1000(zav)
zav@ws2410:~$



Пользователь решил продолжить мысль: 18 Марта 2009, 15:52:42

Попробуй повторить этот фокус с другим паролем с пробелом (то есть смени пароль на другой, но сделанный по такой же схеме). Предполагаю, что дело в том, что (если я не ошибаюсь) в системе сам пароль нигде не хранится (в целях безопасности), а для проверки подлинности введённого пароля сравниваются их хеши. Вот у тебя могла случайно выпасть ситуация, что хеш от неполного пароля равен хешу от полного. Если я прав, то вряд ли ситуация повторится при смене пароля (очень маловероятно это).

Не хочу пока ничего менять. Не вспугнуть бы глюк. 8-)
Гипотеза про хеши интересная, но под zav я прологиниваюсь со ВСЕМИ вариантами где больше 7 букв! Т.е. с 8 до 13 букв. Такой вот пароль
Причем, заметьте, я для tmp сделал такой же пароль - не канает ни грамма.

[ArcFi]

(Нажмите, чтобы показать/скрыть)

arcfi@arcfi-laptop:~$ passwd arcfi
Changing password for arcfi.
(current) UNIX password:
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully

arcfi@arcfi-laptop:~$ sshpass -p "123456 890123" ssh arcfi@localhost
Linux arcfi-laptop 2.6.28-10-generic #32-Ubuntu SMP Mon Mar 16 02:49:09 UTC 2009 i686

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

To access official Ubuntu documentation, please visit:
http://help.ubuntu.com/

Last login: Wed Mar 18 13:27:47 2009 from localhost

arcfi@arcfi-laptop:~$ logout
Connection to localhost closed.

arcfi@arcfi-laptop:~$ sshpass -p "123456 8" ssh arcfi@localhost
Linux arcfi-laptop 2.6.28-10-generic #32-Ubuntu SMP Mon Mar 16 02:49:09 UTC 2009 i686

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

To access official Ubuntu documentation, please visit:
http://help.ubuntu.com/

Last login: Wed Mar 18 15:48:29 2009 from localhost

arcfi@arcfi-laptop:~$ logout
Connection to localhost closed.

arcfi@arcfi-laptop:~$

ппц?

upd
https://forum.ubuntu.ru/index.php?topic=51678.msg380364#msg380364

[zav]

ппц?

Славабогу!!! В нашем полку прибыло. 

Я так понял, НИ Я ОДИН СУМАШЕДШИЙ!!!      8-)

Всем: У меня есть шанс стать знаменитым?

[kss]

Всем: У меня есть шанс стать знаменитым?

Лишь бы не посмертно)

[shame]

Humanity for bots... Ботам теперь будет хорошо пароли подбирать...

[anonimus]

Где-то я читал что в Linuxе ПРОБЕЛЫ и функциональные клавиши не допускаются. и не один раз это мне попадалось

[zav]

Humanity for bots... Ботам теперь будет хорошо пароли подбирать...

Так вообще ерунда получается, что в определенных случаях (ВО ВСЕХ?! ) длинные пароли вообще не действуют и максимальный нормальный пароль 8 символов в Ubuntu. ;-) Безопаааасный такой... Это всё придумала Canonical в восемнадцатом году! Чтобы заходить на свои Ubuntu по всему миру... гыгы. 

На других надо дистрибутивах проверить, типа Debian (большая вероятность), OpenSuse, Mandriva...

[Vagrant]

Полез смотреть в офиц. документацию: https://help.ubuntu.com/8.04/serverguide/C/user-management.html - смотрел и 8.04 и 8.10. вот что увидел:

Minimum Password Length

By default, Ubuntu requires a minimum password length of 4 characters, as well as some basic entropy checks. These values are controlled in the file /etc/pam.d/common-password, which is outlined below.
password   required   pam_unix.so nullok obscure min=4 max=8 md5

If you would like to adjust the minimum length to 6 characters, change the appropriate variable to min=6. The modification is outlined below.
password   required   pam_unix.so nullok obscure min=6 max=8 md5    

The max=8 variable does not represent the maximum length of a password. It only means that complexity requirements will not be checked on passwords over 8 characters. You may want to look at the libpam-cracklib package for additional password entropy assistance.

возможно я ошибаюсь в переводе - но не говорится ли тут, что шифруется и соответственно проверяется только первая 8-ка символов...
зы. Когда-то давно в универе, я что-то такое на лекциях по сетевым технологиям (на примере юникс) слышал...

[axe]

возможно я ошибаюсь в переводе - но не говорится ли тут, что шифруется и соответственно проверяется только первая 8-ка символов...
зы. Когда-то давно в универе, я что-то такое на лекциях по сетевым технологиям (на примере юникс) слышал...

там говорится прямо обратное:

Переменная max=8 не задает максимальную длину пароля. Она значит только, что требования к сложности паролей не будут применяться к паролям длиннее 8-ми символов.

А ограничение в 8 символов было в login в совсем уж бородатые времена...

[Vagrant]

возможно я ошибаюсь в переводе - но не говорится ли тут, что шифруется и соответственно проверяется только первая 8-ка символов...
зы. Когда-то давно в универе, я что-то такое на лекциях по сетевым технологиям (на примере юникс) слышал...

там говорится прямо обратное:

Переменная max=8 не задает максимальную длину пароля. Она значит только, что требования к сложности паролей не будут применяться к паролям длиннее 8-ми символов.

А ограничение в 8 символов было в login в совсем уж бородатые времена...

исторически сложилось - что у меня счас пароль 8 символов

Код: [Выделить]

Changing password for vagrant.
(current) UNIX password:
Enter new UNIX password:
Retype new UNIX password:
Bad: new password must be different than the old oneвот я решил его прям счас поменять - было допустим  "12345678"
ввожу новый "1234567822"
собственно результат как раз выше - проверяется только первая восьмерка...остальное -игнорируется

ЗЫ. на работе сейчас Ubuntu 8.10.

[zilog82]

интересно, это касается только паролей из цифр? у меня с буквами и знаками замеченный баг не встречается.

[Kwah]

(Нажмите, чтобы показать/скрыть)

arcfi@arcfi-laptop:~$ passwd arcfi
Changing password for arcfi.
(current) UNIX password:
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully

arcfi@arcfi-laptop:~$ sshpass -p "123456 890123" ssh arcfi@localhost
Linux arcfi-laptop 2.6.28-10-generic #32-Ubuntu SMP Mon Mar 16 02:49:09 UTC 2009 i686

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

To access official Ubuntu documentation, please visit:
http://help.ubuntu.com/

Last login: Wed Mar 18 13:27:47 2009 from localhost

arcfi@arcfi-laptop:~$ logout
Connection to localhost closed.

arcfi@arcfi-laptop:~$ sshpass -p "123456 8" ssh arcfi@localhost
Linux arcfi-laptop 2.6.28-10-generic #32-Ubuntu SMP Mon Mar 16 02:49:09 UTC 2009 i686

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

To access official Ubuntu documentation, please visit:
http://help.ubuntu.com/

Last login: Wed Mar 18 15:48:29 2009 from localhost

arcfi@arcfi-laptop:~$ logout
Connection to localhost closed.

arcfi@arcfi-laptop:~$

ппц?

Хз. На 9.04 повторить не удалось.

[Vagrant]

интересно, это касается только паролей из цифр? у меня с буквами и знаками замеченный баг не встречается.

именно-именно и буквы и цифры и всякие разные другие знаки.
Цифры я использовал лишь для удобства восприятия - ну и считать их легче 

[zav]

вот я решил его прям счас поменять - было допустим  "12345678"
ввожу новый "1234567822"
собственно результат как раз выше - проверяется только первая восьмерка...остальное -игнорируется

Прикольно. 

[Kwah]

Код: [Выделить]

Changing password for vagrant.
(current) UNIX password:
Enter new UNIX password:
Retype new UNIX password:
Bad: new password must be different than the old oneвот я решил его прям счас поменять - было допустим  "12345678"
ввожу новый "1234567822"
собственно результат как раз выше - проверяется только первая восьмерка...остальное -игнорируется

ЗЫ. на работе сейчас Ubuntu 8.10.

На первых восьми символах делаются простейшие проверки: на совпадение, на инверсность и на разницу в больших/маленьких буквах. Для остальной части пароля - не делаются. Поэтому и нельзя поменять пароль с 12345678 на 12345678-что-то-ещё, ибо первая часть совпадает, о чём и написано выше в сообщении об ошибке.