Sie müssen Ihr Passwort sofort ändern (von root erzwungen)

[schorsch_76]

Ich hab das gerade in einer VM nachgestellt. Egal on ich die Zeit in die 1975 gesetzt habe, keine solche Meldung.

[JTH]

Ich hab das gerade in einer VM nachgestellt. Egal on ich die Zeit in die 1975 gesetzt habe, keine solche Meldung.

Dann führe als root einmal

Code: Alles auswählen

passwd --expire root

aus und melde dich neu an. Voilà.

Die Tatsache, dass es auf https://codesearch.debian.net keinen deutschen Treffer gibt, es aber diesen Text bei mir gibt, macht mich schon etwas .... nervös.

Da würde ich jetzt keine Panik schieben, vielleicht indiziert die einfach keine Übersetzungen. Mit Suche von Hand findet man den Text, wie oben verlinkt …

Ich habe den Satz "Sie müssen Ihr Passwort sofort ändern (von root erzwungen)" mal bei metager.de eingegeben.
Da bin ich dann hier gelandet:

… und das auch in aktuellerem Stand:

Hier kommt die deutsche Übersetzung her: https://sources.debian.org/src/pam/1.4. ... e.po/#L557

Pam sagt mir persönlich nichts, hat aber wohl was mit Authentifizierung zu tun.

PAM ist eigentlich immer involviert, wenn du dich anmeldest, sei es lokal im TTY, grafisch oder per SSH. Nichts besonderes oder verdächtiges.

[schorsch_76]

@JTH Wollte nur zeigen, daß die Zeit das nicht auslößt

[MSfree]

@JTH Wollte nur zeigen, daß die Zeit das nicht auslößt

Eine falsche Uhrzeit löst (mit "s" bitte *SCNR*) sowas durchaus aus. Allerdings nicht, wenn Paßwörter, wie in deinem Fall, mit "Passwort läuft nie ab" markiert sind.

Wenn die Uhrzeit, z.B. aufgrund einer leeren BIOS-Batterie, auf 1. Januar 1970, 0.00h steht, und du dann ein Paßwort mit 10 Jahren Ablaufzeit erstellst, ist das Paßwort abgelaufen, sobald der Rechner seine Uhrzeit über NTP justiert hat.

[mat6937]

Bei einer ssh sitzung (erst als user eingeloggt, dann wollte ich zu root wechseln) erhalte ich beim einloggen als root folgendes:

$ su -
Passwort:
Sie müssen Ihr Passwort sofort ändern (von root erzwungen).
Ändern des Passworts für root.
Geben Sie das aktuelle Passwort ein:

Ernsthaft? root zwingt mich mein root passwort zu ändern? Warum? oder ist das ein unerwünschter untermieter?

Das kommt aus der /etc/shadow.
Jemand hat dort bei root, im 3. Feld die 0 (Null) eingetragen (oder gleichwertig):
Lt. der manpage für shadow:

Dem Wert 0 kommt eine besondere Bedeutung zu: Der Benutzer sollte sein Passwort bei der nächsten Anmeldung ändern.

[schorsch_76]

Bei einer ssh sitzung (erst als user eingeloggt, dann wollte ich zu root wechseln) erhalte ich beim einloggen als root folgendes:

$ su -
Passwort:
Sie müssen Ihr Passwort sofort ändern (von root erzwungen).
Ändern des Passworts für root.
Geben Sie das aktuelle Passwort ein:

Ernsthaft? root zwingt mich mein root passwort zu ändern? Warum? oder ist das ein unerwünschter untermieter?

Das kommt aus der /etc/shadow.
Jemand hat dort bei root, im 3. Feld die 0 (Null) eingetragen (oder gleichwertig):
Lt. der manpage für shadow:

Dem Wert 0 kommt eine besondere Bedeutung zu: Der Benutzer sollte sein Passwort bei der nächsten Anmeldung ändern.

Also jemand mit root Zugang. michaa7 wars nicht ..... also ..... Wer traut so einer Kiste noch?

[mat6937]

... michaa7 wars nicht .....

Vielleicht war er es doch, aber er weiß es nicht, weil er es nicht "direkt" gemacht hat.

[michaa7]

... michaa7 wars nicht .....

Vielleicht war er es doch, aber er weiß es nicht, weil er es nicht "direkt" gemacht hat.

Direkt war ich es ganz sicher nicht. wie ginge das indirekt? (Das letzte was ich zuvor gemacht habe war vor Tagen ein dist-upgrade).

Das einzige aussergewöhnliche command (laut .bash_history) war die Installation von usrmerge. aber das habe ich auch auf meinen Desktop durchgeführt, und da kam es auch nicht zu einem Verfall des root PWs.

In soweit bleibt die Frage nach dem Auslöser unbeantwortet. Leider.

[MSfree]

(Das letzte was ich zuvor gemacht habe war vor Tagen ein dist-upgrade).

Hmm, ich meine, gelesen zu haben, daß die Paßwortverschlüssleung in Bullseye auf ein anderes Verfahren umgetellt wurde. Bullseye habe ich bisher immer frisch installiert, so daß ich nichts zum Upgrade sagen kann.

Ich könnte mir aber vorstellen, daß beim dist-upgrade von buster auf bullseye das root-Paßwort auf abgelaufen gesetzt wird, um beim nächsten root-Login eine Neueingabe des Paßwort zu erzwingen, damit dieses dann mit dem neueren Verfahren verschlüsselt in der /etc/shadow abgelegt wird.

Nachtrag:
Die Änderung der Verschlüsselung ist hier beschrieben:
https://www.debian.org/releases/stable/ ... t-password

[schorsch_76]

Ich hab gestern 3 Rechner von buster auf bullseye hochgezogen. Keine Passwort Probleme

[MSfree]

Ich hab gestern 3 Rechner von buster auf bullseye hochgezogen. Keine Passwort Probleme

Auch dann nicht, wenn du die in der Textkonsole als root anmeldest?

[schorsch_76]

Nein. Keinerlei Probleme. Die Rechner verlangen keine Änderung des root Passwortes.

[michaa7]

Ich könnte mir aber vorstellen, daß beim dist-upgrade von buster auf bullseye das root-Paßwort auf abgelaufen gesetzt wird, um beim nächsten root-Login eine Neueingabe des Paßwort zu erzwingen, damit dieses dann mit dem neueren Verfahren verschlüsselt in der /etc/shadow abgelegt wird.

Nein. Das war ein ganz normales dist-upgrade unter sid wie ich es kontinuierlich alle paar Tage mache ... seit Jahren, kein Versionsupdate/upgrade oder Transition testing -> stable o.ä..

EDIT:
Ok, das scheint ein Bug zu sein, der selektiv einzelne user trifft, aber nicht alle:
https://forum.siduction.org/index.php?t ... 4#msg67324

Ob das eine siduction Eigenart ist oder irgendwie mit debianutils zu tun hat sei dahingestellt.
In soweit nehme ich das nun gelassener.