Guten Abend,

eine Frage zu sudo: hat sich in der sudo-Konfiguration in den Defaults
zwischen Debian 10 und 11 etwas geändert?

Debian 11, sudo installiert, /etc/sudoers nicht angepasst:
Ein Benutzer, der Mitglied in der Gruppe sudo ist und ein leeres
Passwort hat (passwd --delete) darf ein Kommando mit sudo aufrufen,
ohne dass eine Passwortabfrage erfolgt.

Debian 10, sudo installiert, /etc/sudoers nicht angepasst:
Ein Benutzer, der Mitglied in der Gruppe sudo ist und ein leeres
Passwort hat (passwd --delete) darf ein Kommando mit sudo aufrufen,
wird aber nach einem Passwort gefragt. Passwort kann nie korrekt
eingegeben werden, da es leer ist, kann aber mit passwd vom Benutzer
selbst neu gesetzt werden und dann bei sudo verwendet werden.

Vielleicht hat jemand dazu Infos oder Erfahrungen, würde mich sehr
über einen Austausch freuen.

Matthias





.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Wed, 16 Mar 2022 20:41:17 +0100, Matthias Böttcher <matthias.boettcher@gmail.com> wrote:

eine Frage zu sudo: hat sich in der sudo-Konfiguration in den Defaults >zwischen Debian 10 und 11 etwas geändert?

Das ist nicht unwahrscheinlich, immerhin war da sogar ein minor
upstream release (1.8 -> 1.9) dabei.

Debian 11, sudo installiert, /etc/sudoers nicht angepasst:
Ein Benutzer, der Mitglied in der Gruppe sudo ist und ein leeres
Passwort hat (passwd --delete) darf ein Kommando mit sudo aufrufen,
ohne dass eine Passwortabfrage erfolgt.

Das halte ich für "works as designed", ein leeres Passort ist ein
leeres Passwort, ein Benutzer mit einem leeren Passwort darf sich auch
ohne Passwort anmelden.

Debian 10, sudo installiert, /etc/sudoers nicht angepasst:
Ein Benutzer, der Mitglied in der Gruppe sudo ist und ein leeres
Passwort hat (passwd --delete) darf ein Kommando mit sudo aufrufen,
wird aber nach einem Passwort gefragt.

Das halte ich für einen Bug in der älteren Version von sudo.

Passwort kann nie korrekt
eingegeben werden, da es leer ist

Ein leeres Password ist ein leeres Passwort. Dass sudo 1.8 das nicht
akzeptiert könnte man als "versagen zur sicheren Seite" verstehen.

Wenn Du den Account sperren möchtest musst Du --lock verwenden.

Ich sprech mal mit Upstream.

Grüße
Marc, mit dem Hut des sudo-maintainers auf.
--
-------------------------------------- !! No courtesy copies, please !! ----- Marc Haber | " Questions are the | Mailadresse im Header Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Hallo Marc,

danke für die Erklärung. "versagen zur sicheren Seite" beschreibt es
ganz gut und bisher habe ich mich auf auf dieses Versagen verlassen.

Mein Ziel ist es, lokale Benutzer neu anzulegen, kein initiales
Passwort zu setzen (passwd --delete), ssh PublicKeys in die jeweilige authorized_keys zu verteilen und, falls notwendig, den Benutzer zur
Gruppe sudo hinzuzufügen.
Das Erzwingen des Passwortsetzens durch den Benutzer habe ich nun mit
passwd --expire gelöst.

Gruß
Matthias

Am Do., 17. März 2022 um 08:55 Uhr schrieb Marc Haber <mh+debian-user-german@zugschlus.de>:

On Wed, 16 Mar 2022 20:41:17 +0100, Matthias Böttcher <matthias.boettcher@gmail.com> wrote:

eine Frage zu sudo: hat sich in der sudo-Konfiguration in den Defaults >zwischen Debian 10 und 11 etwas geändert?

Das ist nicht unwahrscheinlich, immerhin war da sogar ein minor
upstream release (1.8 -> 1.9) dabei.

Debian 11, sudo installiert, /etc/sudoers nicht angepasst:
Ein Benutzer, der Mitglied in der Gruppe sudo ist und ein leeres
Passwort hat (passwd --delete) darf ein Kommando mit sudo aufrufen,
ohne dass eine Passwortabfrage erfolgt.

Das halte ich für "works as designed", ein leeres Passort ist ein
leeres Passwort, ein Benutzer mit einem leeren Passwort darf sich auch
ohne Passwort anmelden.

Debian 10, sudo installiert, /etc/sudoers nicht angepasst:
Ein Benutzer, der Mitglied in der Gruppe sudo ist und ein leeres
Passwort hat (passwd --delete) darf ein Kommando mit sudo aufrufen,
wird aber nach einem Passwort gefragt.

Das halte ich für einen Bug in der älteren Version von sudo.

Passwort kann nie korrekt
eingegeben werden, da es leer ist

Ein leeres Password ist ein leeres Passwort. Dass sudo 1.8 das nicht akzeptiert könnte man als "versagen zur sicheren Seite" verstehen.

Wenn Du den Account sperren möchtest musst Du --lock verwenden.

Ich sprech mal mit Upstream.

Grüße
Marc, mit dem Hut des sudo-maintainers auf.
--
-------------------------------------- !! No courtesy copies, please !! ----- Marc Haber | " Questions are the | Mailadresse im Header Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Thu, 17 Mar 2022 09:13:18 +0100, Matthias Böttcher <matthias.boettcher@gmail.com> wrote:

danke für die Erklärung. "versagen zur sicheren Seite" beschreibt es
ganz gut und bisher habe ich mich auf auf dieses Versagen verlassen.

Wir arbeiten dran. Aktuell sieht es nach einem Problem mit PAM aus.
Leider kenne ich mich damit zu wenig aus. Vielleicht wer anders hier?

Mein Ziel ist es, lokale Benutzer neu anzulegen, kein initiales
Passwort zu setzen (passwd --delete), ssh PublicKeys in die jeweilige >authorized_keys zu verteilen und, falls notwendig, den Benutzer zur
Gruppe sudo hinzuzufügen.
Das Erzwingen des Passwortsetzens durch den Benutzer habe ich nun mit
passwd --expire gelöst.

Du suchst

# echo "username:*" | chpasswd

oder

# usermod -p '*' username

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! ----- Marc Haber | " Questions are the | Mailadresse im Header Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 17.03.22 19:28, Marc Haber wrote:

On Thu, 17 Mar 2022 09:13:18 +0100, Matthias Böttcher <matthias.boettcher@gmail.com> wrote:

danke für die Erklärung. "versagen zur sicheren Seite" beschreibt es
ganz gut und bisher habe ich mich auf auf dieses Versagen verlassen.

Wir arbeiten dran. Aktuell sieht es nach einem Problem mit PAM aus.
Leider kenne ich mich damit zu wenig aus. Vielleicht wer anders hier?

Wenn ich die pam.d von Debian 10 mit der von Debian 11 vergleiche,
findet sich

/etc/pam.d/common-auth:auth [success=1 default=ignore]
pam_unix.so nullok_secure

versus

/etc/pam.d/common-auth:auth [success=1 default=ignore]
pam_unix.so nullok

Das nullok ist dafür da, um leere Passwörter zu erlauben.

Seltsamerweise ändert sich das Verhalten von sudo nicht, wenn ich den
Eintrag von Debian 10 übernehme. Wenn ich den nullok Parameter hingegen komplett weglasse, fragt sudo brav nach dem Passwort.

Mystisch.

Viele Grüße
Ulf

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 17.03.22 20:34, Ulf Volmer wrote:

/etc/pam.d/common-auth:auth     [success=1 default=ignore] pam_unix.so nullok_secure

versus

/etc/pam.d/common-auth:auth     [success=1 default=ignore] pam_unix.so nullok

Das nullok ist dafür da, um leere Passwörter zu erlauben.

Seltsamerweise ändert sich das Verhalten von sudo nicht, wenn ich den Eintrag von Debian 10 übernehme. Wenn ich den nullok Parameter hingegen komplett weglasse, fragt sudo brav nach dem Passwort.

Mystisch.

Eigentlich gar nicht mystisch. nach pam_unix(8) existiert nullok_secure schlicht nicht mehr. Mir will auch gerade kein Usecase für nullok
einfallen. Ggf. ist nullresetok im Zweifel hilfreich.

Grüße
Ulf

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am Do., 17. März 2022 um 19:29 Uhr schrieb Marc Haber <mh+debian-user-german@zugschlus.de>:

Du suchst

# echo "username:*" | chpasswd

oder

# usermod -p '*' username

Hallo Marc,

mit chpasswd wird das übergebene Tupel username:password in die Benutzerinformationen übernommen, wobei password verschlüsselt wird.
Damit nicht '*' verschlüsselt wird, sondern als Chiffrat direkt
übernommen wird, suchte ich

# echo "username:*" | chpasswd -e

Vielen Dank für den Hinweis auf chpasswd und die Pipe und an Ulf für
die Klarstellung zu PAM.

Gruß
Matthias

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 18.03.22 11:17, Marc Haber wrote:

Ich persönlich wäre bereit darüber zu diskutieren, ob man bei leerem Passwort sudo zulassen sollte; wir haben uns aber im sudo-Team darauf geeinigt dass das Verhalten tolerierbar ist. Ich bin mir aktuell gar
nicht sicher, ob wir das Verhalten aus common-auth überhaupt
überschreiben könnnten, ohne common-auth überhaupt nicht mehr zu verwenden, und _das_ ist mir ein zu tiefer Eingriff an dieser Stelle.

Ja, ihr müsstet common-auth ignorieren und selber in /etc/pam.d/sudo integriren.

Viele Grüße
Ulf

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Thu, 17 Mar 2022 20:51:28 +0100, Ulf Volmer <u.volmer@u-v.de>
wrote:

Eigentlich gar nicht mystisch. nach pam_unix(8) existiert nullok_secure >schlicht nicht mehr. Mir will auch gerade kein Usecase für nullok
einfallen. Ggf. ist nullresetok im Zweifel hilfreich.

Dass mit leerem Passwort der Login möglich ist, ist althergebrachtes
Verhalten von Unix-Systemen und deckt sich mit den Erwartungen.
Deswegen wird ja auch so peinlich zwischen "leerem" und "gesperrtem"
und "ungültigem" Passwort unterschieden.

Ich persönlich wäre bereit darüber zu diskutieren, ob man bei leerem Passwort sudo zulassen sollte; wir haben uns aber im sudo-Team darauf
geeinigt dass das Verhalten tolerierbar ist. Ich bin mir aktuell gar
nicht sicher, ob wir das Verhalten aus common-auth überhaupt
überschreiben könnnten, ohne common-auth überhaupt nicht mehr zu
verwenden, und _das_ ist mir ein zu tiefer Eingriff an dieser Stelle.

Wer da anderer Meinung ist, darf gerne einen Bugreport gegen sudo
einreichen und wir diskutieren das dann im BTS.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! ----- Marc Haber | " Questions are the | Mailadresse im Header Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 18.03.22 19:31, Marc Haber wrote:

On Fri, 18 Mar 2022 11:40:40 +0100, Ulf Volmer <u.volmer@u-v.de>

Ja, ihr müsstet common-auth ignorieren und selber in /etc/pam.d/sudo
integriren.

Da lautet die spontante Antwort erstmal "nein danke".

Danach hatte ja auch niemand gefragt.
Ich bin hier in dem Thread eigentlich nur unterwegs, weil Du Hilfe zum
Thema PAM haben wolltest.

Viele Grüße
Ulf

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Fri, 18 Mar 2022 11:40:40 +0100, Ulf Volmer <u.volmer@u-v.de>
wrote:

On 18.03.22 11:17, Marc Haber wrote:

Ich persönlich wäre bereit darüber zu diskutieren, ob man bei leerem
Passwort sudo zulassen sollte; wir haben uns aber im sudo-Team darauf
geeinigt dass das Verhalten tolerierbar ist. Ich bin mir aktuell gar
nicht sicher, ob wir das Verhalten aus common-auth überhaupt
überschreiben könnnten, ohne common-auth überhaupt nicht mehr zu
verwenden, und _das_ ist mir ein zu tiefer Eingriff an dieser Stelle.

Ja, ihr müsstet common-auth ignorieren und selber in /etc/pam.d/sudo >integriren.

Da lautet die spontante Antwort erstmal "nein danke".

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! ----- Marc Haber | " Questions are the | Mailadresse im Header Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Fri, 18 Mar 2022 19:41:50 +0100, Ulf Volmer <u.volmer@u-v.de>
wrote:

Ich bin hier in dem Thread eigentlich nur unterwegs, weil Du Hilfe zum
Thema PAM haben wolltest.

Und für Deine Hilfe danke ich Dir herzlich! PAM ist für mich immer
noch ein Buch mit sieben Siegeln.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! ----- Marc Haber | " Questions are the | Mailadresse im Header Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

PAM-Interessierten kann ich das Buch "PAM Mastery" des auch insgesamt exzellenten Michael W. Lucas sehr empfehlen: https://mwl.io/nonfiction/tools#pam

-----BEGIN PGP SIGNATURE-----

iHUEABYIAB0WIQSgmpL8UBXuhhpwmFEZmYYcFja6mwUCYjYiWAAKCRAZmYYcFja6 m4rkAP9Ttesu4NbSo/EIhc8SD+QshKOTMqO3E+eFQTZmNXSLHQEA8qyZiDJpwOa5 HM9vhBiresyNSAXB37S18Q8u0q4JDAo=
=EpyF
-----END PGP SIGNATURE-----

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)