我全新安装了 Linux Mint 18.1,并创建了一个名为“jack”的用户,密码为 PASSWORD1。后来,我将密码(使用“用户和组”图形对话框)更改为 PASSWORD2。正如预期的那样,登录和使用sudo
现在都需要 PASSWORD2。
但是,PASSWORD1 仍然是该帐户的密码root
。我可以看出,因为su -
并su - root
拒绝 PASSWORD2 但接受 PASSWORD1。
这不是一个安全漏洞吗?为什么 root 帐户首先会默默地复制我的用户密码?如果我知道我的密码被泄露并更改了它,我就不会想到检查 root 帐户是否仍在使用被泄露的密码。
事实上,我认为 root 帐户在 Linux Mint 上默认是被禁用的。例如看这个问题:https://superuser.com/questions/323317/why-does-linux-ubuntu-mint-lack-a-root-account
有什么理由不使用禁用 root 帐户sudo passwd -l root
?为什么默认情况下不这样做?
编辑
@terdon 我相当确定我从来没有在这个操作系统上运行过sudo passwd
,甚至没有在这个操作系统上运行过。passwd
@Mark 我检查过,唯一返回的东西看起来不相关。
jack@gamma /var/log $ ls auth.log*
auth.log auth.log.1 auth.log.2.gz auth.log.3.gz auth.log.4.gz
jack@gamma /var/log $ zgrep passwd auth.log*
auth.log.2.gz:Mar 9 17:56:07 gamma mdm[1695]: pam_succeed_if(mdm:auth): requirement "user ingroup nopasswdlogin" not met by user "jack"
jack@gamma /var/log $ zgrep "password changed" auth.log*
# nothing returned
编辑:我已经向 Linux Mint 提交了错误报告 https://bugs.launchpad.net/linuxmint/+bug/1675575
既然@Roger Lipscombe 已经证实了这个问题,我将为这个问题添加一个悬赏。
答案1
完好 17.3
这看起来像是 Linux Mint 深思熟虑的决定。我刚刚在虚拟机上新安装了 Mint 17.3,root 帐户的密码在/etc/shadow
.更改我的用户密码后,su -
接受我以前的用户密码。
我(还)无法解释为什么尽管。
完好 18.3
我刚刚全新安装了 Mint 18.3,并且我不为我的 root 帐户设置密码。sudo grep root /etc/shadow
显示!
在密码字段中,其中表示账户被锁定。
答案2
默认情况下,root 密码是您的用户密码,我猜原因是,当密码是您设置的密码(假设它是一个很好的、难以破解的密码)而不是一些众所周知的密码时,这是一种更安全的方法。诸如“root”之类的密码默认情况下始终存在并且通过 Internet 已知(安全风险)。
关于这个话题有很好的讨论在 linuxmint.com 论坛上- 引用那里的用户 karlchen 的话:
在 Linux mint 安装过程中,您创建第一个用户帐户。您为第一个用户分配一个密码。安装程序会以静默方式为用户帐户 root 分配相同的密码。这也可以在官方 Linux Mint 用户指南中找到。 (参见egp 20)因此,如果您记得初始用户密码,那么您也知道您的 root 密码。如果您稍后更改用户密码,这样做不会更改 root 密码。
来源 - 第 20 页最后一段:https://www.linuxmint.com/documentation/user-guide/Cinnamon/english_18.0.pdf
答案3
尝试使用须藤-i使用您自己的密码获取root权限