Re: Benutzer in Gruppe sudo mit leerem Passwort darf sudo ohne Passwortabfrage aufrufen

To: Debian User German <debian-user-german@lists.debian.org>
Subject: Re: Benutzer in Gruppe sudo mit leerem Passwort darf sudo ohne Passwortabfrage aufrufen
From: Matthias Böttcher <matthias.boettcher@gmail.com>
Date: Thu, 17 Mar 2022 09:13:18 +0100
Message-id: <[🔎] CAFBm81omfSLMgK2h4yUh8cW1HSTw-ur35+e8DxxeL4fTwM=RPg@mail.gmail.com>
In-reply-to: <[🔎] E1nUkyN-000O8I-CC@drop.zugschlus.de>
References: <[🔎] CAFBm81ozzGCS67XG_6HZnqdXSqaNGWwsqkoPO8BC==EGMoQCXA@mail.gmail.com> <[🔎] E1nUkyN-000O8I-CC@drop.zugschlus.de>

Hallo Marc,

danke für die Erklärung. "versagen zur sicheren Seite" beschreibt es
ganz gut und bisher habe ich mich auf auf dieses Versagen verlassen.

Mein Ziel ist es, lokale Benutzer neu anzulegen, kein initiales
Passwort zu setzen (passwd --delete), ssh PublicKeys in die jeweilige
authorized_keys zu verteilen und, falls notwendig, den Benutzer zur
Gruppe sudo hinzuzufügen.
Das Erzwingen des Passwortsetzens durch den Benutzer habe ich nun mit
passwd --expire gelöst.

Gruß
Matthias

Am Do., 17. März 2022 um 08:55 Uhr schrieb Marc Haber
<mh+debian-user-german@zugschlus.de>:
>
> On Wed, 16 Mar 2022 20:41:17 +0100, Matthias Böttcher
> <matthias.boettcher@gmail.com> wrote:
> >eine Frage zu sudo: hat sich in der sudo-Konfiguration in den Defaults
> >zwischen Debian 10 und 11 etwas geändert?
>
> Das ist nicht unwahrscheinlich, immerhin war da sogar ein minor
> upstream release (1.8 -> 1.9) dabei.
>
> >Debian 11, sudo installiert, /etc/sudoers nicht angepasst:
> >Ein Benutzer, der Mitglied in der Gruppe sudo ist und ein leeres
> >Passwort hat (passwd --delete) darf ein Kommando mit sudo aufrufen,
> >ohne dass eine Passwortabfrage erfolgt.
>
> Das halte ich für "works as designed", ein leeres Passort ist ein
> leeres Passwort, ein Benutzer mit einem leeren Passwort darf sich auch
> ohne Passwort anmelden.
>
> >Debian 10, sudo installiert, /etc/sudoers nicht angepasst:
> >Ein Benutzer, der Mitglied in der Gruppe sudo ist und ein leeres
> >Passwort hat (passwd --delete) darf ein Kommando mit sudo aufrufen,
> >wird aber nach einem Passwort gefragt.
>
> Das halte ich für einen Bug in der älteren Version von sudo.
>
> >Passwort kann nie korrekt
> >eingegeben werden, da es leer ist
>
> Ein leeres Password ist ein leeres Passwort. Dass sudo 1.8 das nicht
> akzeptiert könnte man als "versagen zur sicheren Seite" verstehen.
>
> Wenn Du den Account sperren möchtest musst Du --lock verwenden.
>
> Ich sprech mal mit Upstream.
>
> Grüße
> Marc, mit dem Hut des sudo-maintainers auf.
> --
> -------------------------------------- !! No courtesy copies, please !! -----
> Marc Haber         |   " Questions are the         | Mailadresse im Header
> Mannheim, Germany  |     Beginning of Wisdom "     |
> Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
>

Reply to:

Follow-Ups:
- Re: Benutzer in Gruppe sudo mit leerem Passwort darf sudo ohne Passwortabfrage aufrufen
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>

References:
- Benutzer in Gruppe sudo mit leerem Passwort darf sudo ohne Passwortabfrage aufrufen
  - From: Matthias Böttcher <matthias.boettcher@gmail.com>
- Re: Benutzer in Gruppe sudo mit leerem Passwort darf sudo ohne Passwortabfrage aufrufen
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>

Prev by Date: Re: Benutzer in Gruppe sudo mit leerem Passwort darf sudo ohne Passwortabfrage aufrufen
Next by Date: Re: Benutzer in Gruppe sudo mit leerem Passwort darf sudo ohne Passwortabfrage aufrufen
Previous by thread: Re: Benutzer in Gruppe sudo mit leerem Passwort darf sudo ohne Passwortabfrage aufrufen
Next by thread: Re: Benutzer in Gruppe sudo mit leerem Passwort darf sudo ohne Passwortabfrage aufrufen
Index(es):
- Date
- Thread