Linux Mint 18.1を新しくインストールし、パスワードPASSWORD1を使用して「jack」というユーザーを作成しました。後で、[ユーザーとグループ]グラフィックダイアログを使用してパスワードをPASSWORD2に変更しました。予想通り、sudoログインと使用の両方にPASSWORD2が必要です。
しかし、PASSWORD1はまだアカウントのパスワードですroot。 PASSWORD2は拒否されsu -ましたが、su - rootPASSWORD1は承認されていることがわかります。
これはセキュリティホールではありませんか?最初にルートアカウントが自分のユーザーパスワードを自動的にコピーするのはなぜですか?パスワードが漏洩したことを知って変更した場合は、rootアカウントがまだ漏洩したパスワードを使用していることを確認しません。
実際、Linux Mintではデフォルトでrootアカウントが無効になっていると思います。たとえば、次の質問を見てください。https://superuser.com/questions/323317/why-does-linux-ubuntu-mint-lack-a-root-account
ルートアカウントを無効にしない理由はありますかsudo passwd -l root?なぜ基本的にこれをしないのですか?
編集する
@terdon私はこのOSで実行したことがないと確信していますsudo passwd。このOSでも実行されません。passwd
@Mark確認しましたが、返された唯一の項目は関係がないようです。
jack@gamma /var/log $ ls auth.log*
auth.log auth.log.1 auth.log.2.gz auth.log.3.gz auth.log.4.gz
jack@gamma /var/log $ zgrep passwd auth.log*
auth.log.2.gz:Mar 9 17:56:07 gamma mdm[1695]: pam_succeed_if(mdm:auth): requirement "user ingroup nopasswdlogin" not met by user "jack"
jack@gamma /var/log $ zgrep "password changed" auth.log*
# nothing returned
編集:Linux Mintにバグレポートを送信しました。 https://bugs.launchpad.net/linuxmint/+bug/1675575
これで@Roger Lipscombeがこの問題を確認したので、この問題に賞金を追加します。
ベストアンサー1
ミント17.3
これはLinux Mintが慎重に決定したようです。仮想マシンにMint 17.3を新しくインストールしたところ、rootアカウントのパスワードがあります/etc/shadow。ユーザーパスワードを変更した後、su -以前のユーザーパスワードが承認されました。
(まだ)説明できません。なぜしかし。
ミント18.3
Mint 18.3を新しくインストールしました。いいえ自分のルートアカウントのパスワードを設定してください。パスワードフィールドにsudo grep root /etc/shadow表示されます。!アカウントがロックされていることを示します。。