Sie müssen Ihr Passwort sofort ändern (von root erzwungen)

[michaa7]

Bei einer ssh sitzung (erst als user eingeloggt, dann wollte ich zu root wechseln) erhalte ich beim einloggen als root folgendes:

$ su -
Passwort:
Sie müssen Ihr Passwort sofort ändern (von root erzwungen).
Ändern des Passworts für root.
Geben Sie das aktuelle Passwort ein:

Ernsthaft? root zwingt mich mein root passwort zu ändern? Warum? oder ist das ein unerwünschter untermieter?

[schorsch_76]

Wenn du root bist, würde ich den Rechner sofort platt machen. bzw. Rescue System, Untersuchen aber nicht mehr am Netz lassen.

[michaa7]

sagt dir dein bauchgefühl: das ist böse, oder weißt du dass es diese aufforderung im debian system definitiv nicht gibt?

[schorsch_76]

Das hab ich seit woody noch niemals gesehen.

[schorsch_76]

https://codesearch.debian.net/search?q= ... +erzwungen
https://codesearch.debian.net/search?q=enforced+by+root
https://codesearch.debian.net/search?q=required+by+root

Gebenbeispiel:
https://codesearch.debian.net/search?q= ... &literal=1

[JTH]

Ich habe es zwar auch noch nie angewandt gesehen, aber die Meldung kommt (grad in einer VM ausprobiert), wenn man

Code: Alles auswählen

passwd --expire USERNAME

für einen Benutzer ausführt, siehe https://codesearch.debian.net/search?q= ... or+enforce. (Hier kommt die deutsche Übersetzung her: https://sources.debian.org/src/pam/1.4. ... e.po/#L557.)

Warum das auf deinem System erscheint, können wir dir natürlich nicht sagen. Passwörter können auf dem Wege z.B. aber auch ein Maximalalter festgelegt bekommen, vielleicht war das der Fall.

Am Rande: Danke für die Verlinkung von https://codesearch.debian.net, kannte ich noch nicht. Erspart manche Suche mit apt source und auf https://salsa.debian.org/

[michaa7]

Danke euch beiden.

Ob mein system nun kompromitiert ist oder nicht läßt sich wohl schwer sagen. Meine Lust das system neu aufzusetzen ist allerdings unterhalb von 0.

Mit "chage -l root" habe ich nur nachgeschaut, ob es ein ablaufdatum gibt, aber da steht "nie". Allerdings habe ich erst nachgeschaut nachdem ich ein neues PW gesetzt hatte. Dennoch geh ich davon aus sich die "nie" Einstellung beim setzen eines neuen Passwortes nicht ändert.

Bleibt also im unklaren was die Meldung ausgelöst hat. Weiß jemand ob ssh per PW ein eigenes Verfallsdatum hat?

EDIT:
Die Tatsache, dass es auf https://codesearch.debian.net keinen deutschen Treffer gibt, es aber diesen Text bei mir gibt, macht mich schon etwas .... nervös.

[schorsch_76]

Hast du Fremdquellen drin? Oder Sachen mit pip oder ähnlichem installiert?

[TRex]

Bevor du Paranoia schiebst, versuch das mal mit nem deutschen Text, von dem du weißt, dass er enthalten ist.

[thoerb]

Ich habe den Satz "Sie müssen Ihr Passwort sofort ändern (von root erzwungen)" mal bei metager.de eingegeben.
Da bin ich dann hier gelandet:

https://sources.debian.org/src/pam/1.1. ... po/de.gmo/
(In Zeile 66)

Pam sagt mir persönlich nichts, hat aber wohl was mit Authentifizierung zu tun.

[michaa7]

Hast du Fremdquellen drin? Oder Sachen mit pip oder ähnlichem installiert?

Nur über Apt, aber mit Fremdquellen:

Ist ein sid(uction) system + Vivaldi +jami +skypeforlinux

[michaa7]

Bevor du Paranoia schiebst, versuch das mal mit nem deutschen Text, von dem du weißt, dass er enthalten ist.

Deutsch mag die suche wohl generell nicht, wie der test ergab ...

[schorsch_76]

Bevor du Paranoia schiebst, versuch das mal mit nem deutschen Text, von dem du weißt, dass er enthalten ist.

Deutsch mag die suche wohl generell nicht, wie der test ergab ...

Die alles entscheidende Frage ist: Wer hat das root Passwort expired

[MSfree]

Wer hat das root Passwort expired

Das kann z.B. durch eine falsche Systemuhrzeit passieren.

[michaa7]

Wer hat das root Passwort expired

Das kann z.B. durch eine falsche Systemuhrzeit passieren.

Nee, Zeit stimmt, und die Zeitsynchronisation ist seit Ewigkeiten ok.

Der Rechner um den es geht ist mein Laptop mit Debian sid(uction), der hauptsächlich als Musikbox dient. Letztes dist-upgrade vor drei, vier Tagen. Keine Probleme, wie auch früher nicht.

Auf den logge ich mich meist vom Desktop aus per ssh/PW ein um den upzudaten. Und da ist das eben heute passiert ...

[schorsch_76]

Ich hab das gerade in einer VM nachgestellt. Egal on ich die Zeit in die 1975 gesetzt habe, keine solche Meldung.

[JTH]

Ich hab das gerade in einer VM nachgestellt. Egal on ich die Zeit in die 1975 gesetzt habe, keine solche Meldung.

Dann führe als root einmal

Code: Alles auswählen

passwd --expire root

aus und melde dich neu an. Voilà.

Die Tatsache, dass es auf https://codesearch.debian.net keinen deutschen Treffer gibt, es aber diesen Text bei mir gibt, macht mich schon etwas .... nervös.

Da würde ich jetzt keine Panik schieben, vielleicht indiziert die einfach keine Übersetzungen. Mit Suche von Hand findet man den Text, wie oben verlinkt …

Ich habe den Satz "Sie müssen Ihr Passwort sofort ändern (von root erzwungen)" mal bei metager.de eingegeben.
Da bin ich dann hier gelandet:

… und das auch in aktuellerem Stand:

Hier kommt die deutsche Übersetzung her: https://sources.debian.org/src/pam/1.4. ... e.po/#L557

Pam sagt mir persönlich nichts, hat aber wohl was mit Authentifizierung zu tun.

PAM ist eigentlich immer involviert, wenn du dich anmeldest, sei es lokal im TTY, grafisch oder per SSH. Nichts besonderes oder verdächtiges.

[schorsch_76]

@JTH Wollte nur zeigen, daß die Zeit das nicht auslößt

[MSfree]

@JTH Wollte nur zeigen, daß die Zeit das nicht auslößt

Eine falsche Uhrzeit löst (mit "s" bitte *SCNR*) sowas durchaus aus. Allerdings nicht, wenn Paßwörter, wie in deinem Fall, mit "Passwort läuft nie ab" markiert sind.

Wenn die Uhrzeit, z.B. aufgrund einer leeren BIOS-Batterie, auf 1. Januar 1970, 0.00h steht, und du dann ein Paßwort mit 10 Jahren Ablaufzeit erstellst, ist das Paßwort abgelaufen, sobald der Rechner seine Uhrzeit über NTP justiert hat.

[mat6937]

Bei einer ssh sitzung (erst als user eingeloggt, dann wollte ich zu root wechseln) erhalte ich beim einloggen als root folgendes:

$ su -
Passwort:
Sie müssen Ihr Passwort sofort ändern (von root erzwungen).
Ändern des Passworts für root.
Geben Sie das aktuelle Passwort ein:

Ernsthaft? root zwingt mich mein root passwort zu ändern? Warum? oder ist das ein unerwünschter untermieter?

Das kommt aus der /etc/shadow.
Jemand hat dort bei root, im 3. Feld die 0 (Null) eingetragen (oder gleichwertig):
Lt. der manpage für shadow:

Dem Wert 0 kommt eine besondere Bedeutung zu: Der Benutzer sollte sein Passwort bei der nächsten Anmeldung ändern.

[schorsch_76]

Bei einer ssh sitzung (erst als user eingeloggt, dann wollte ich zu root wechseln) erhalte ich beim einloggen als root folgendes:

$ su -
Passwort:
Sie müssen Ihr Passwort sofort ändern (von root erzwungen).
Ändern des Passworts für root.
Geben Sie das aktuelle Passwort ein:

Ernsthaft? root zwingt mich mein root passwort zu ändern? Warum? oder ist das ein unerwünschter untermieter?

Das kommt aus der /etc/shadow.
Jemand hat dort bei root, im 3. Feld die 0 (Null) eingetragen (oder gleichwertig):
Lt. der manpage für shadow:

Dem Wert 0 kommt eine besondere Bedeutung zu: Der Benutzer sollte sein Passwort bei der nächsten Anmeldung ändern.

Also jemand mit root Zugang. michaa7 wars nicht ..... also ..... Wer traut so einer Kiste noch?

[mat6937]

... michaa7 wars nicht .....

Vielleicht war er es doch, aber er weiß es nicht, weil er es nicht "direkt" gemacht hat.

[michaa7]

... michaa7 wars nicht .....

Vielleicht war er es doch, aber er weiß es nicht, weil er es nicht "direkt" gemacht hat.

Direkt war ich es ganz sicher nicht. wie ginge das indirekt? (Das letzte was ich zuvor gemacht habe war vor Tagen ein dist-upgrade).

Das einzige aussergewöhnliche command (laut .bash_history) war die Installation von usrmerge. aber das habe ich auch auf meinen Desktop durchgeführt, und da kam es auch nicht zu einem Verfall des root PWs.

In soweit bleibt die Frage nach dem Auslöser unbeantwortet. Leider.

[MSfree]

(Das letzte was ich zuvor gemacht habe war vor Tagen ein dist-upgrade).

Hmm, ich meine, gelesen zu haben, daß die Paßwortverschlüssleung in Bullseye auf ein anderes Verfahren umgetellt wurde. Bullseye habe ich bisher immer frisch installiert, so daß ich nichts zum Upgrade sagen kann.

Ich könnte mir aber vorstellen, daß beim dist-upgrade von buster auf bullseye das root-Paßwort auf abgelaufen gesetzt wird, um beim nächsten root-Login eine Neueingabe des Paßwort zu erzwingen, damit dieses dann mit dem neueren Verfahren verschlüsselt in der /etc/shadow abgelegt wird.

Nachtrag:
Die Änderung der Verschlüsselung ist hier beschrieben:
https://www.debian.org/releases/stable/ ... t-password

[schorsch_76]

Ich hab gestern 3 Rechner von buster auf bullseye hochgezogen. Keine Passwort Probleme