[Ubuntu 9.04] Veranderen van wachtwoord uitschakelen

woensdag 22 juli 2009 16:26

Acties:

0 Henk 'm!

Topicstarter

Hallo allemaal,

Is het mogelijk om ervoor te zorgen dat het niet meer mogelijk is het wachtwoord te veranderen van 1 bepaalde user. Er zijn namelijk nogal wat leerlingen op mijn school die het leuk vinden om het wachtwoord te veranderen zodat er niemand meer op kan. En een aparte account voor elke leerling is ook niet te doen.

Ik heb al gezocht op Google, maar zonder resultaat. Ik heb wel gevonden dat het mogelijk is om het wachtwoord helemaal uit te zetten. Maar dan is het vervolgens ook weer mogelijk deze aan te zetten.. dus dat schiet ook niet op.

Iemand die weet hoe ik dit moet doen, of misschien een andere oplossing heeft? $_/-\o_$

woensdag 22 juli 2009 16:39

Acties:

0 Henk 'm!

Sir Isaac

Het passwd commando niet executable maken voor leerlingen:

chmod o-x /usr/bin/passwd
ls -l /usr/bin/passwd
-rwsr-xr-- 1 root root 37084 2009-04-04 07:49 /usr/bin/passwd

Als je een bepaalde groep gebruikers wel hun passwoord wilt laten veranderen (docenten bijvoorbeeld) kun je de grpid van het passwd commando aanpassen:

chgrp docenten /usr/bin/passwd
ls -l /usr/bin/passwd
-rwsr-xr-- 1 root docenten 37084 2009-04-04 07:49 /usr/bin/passwd

[ Voor 44% gewijzigd door Sir Isaac op 22-07-2009 16:41 ]

woensdag 22 juli 2009 16:50

Acties:

0 Henk 'm!

Verwijderd

Sir Isaac schreef op woensdag 22 juli 2009 @ 16:39:
Het passwd commando niet executable maken voor leerlingen:

Hmmm ... ik zou eerder kiezen voor een chroot omgeving voor die ene gebruiker. Is wel meer werk maar geeft je ook de mogelijkheid beter af te schermen. Als het passwd commando niet meer werkt is er wel een volgend "leuk" commando ....

woensdag 22 juli 2009 17:00

Acties:

0 Henk 'm!

Sir Isaac

Als er niet eens met individuele user accounts wordt gewerkt ga ik er vanuit dat er dat het alleen een leerlingen pc is die voor niets anders wordt gebruikt. Als de het systeem dan ver*** wordt, kun je makkelijk een image terugzetten. Dat kun je zelfs automatisch doen. Dat lijkt met een simpel alternatief voor het dichttimmeren van de PC, hoewel ik daar zelf de voorkeur aan zou geven.

woensdag 22 juli 2009 17:03

Acties:

0 Henk 'm!

Verwijderd

Dat is niet zo moeilijk

passwd -m MIN_DAYS username

Zet MIN_DAYS maar eens op 10000 bijv.

Edit: typo gefixt

[ Voor 9% gewijzigd door Verwijderd op 22-07-2009 17:27 ]

woensdag 22 juli 2009 17:05

Acties:

0 Henk 'm!

MisterE

je had toch ook KIOS mode's. zodat ze altijd weer in dezelfde staat terugkomen. Kan zijn dat dit veel werk is.

woensdag 22 juli 2009 17:08

Acties:

0 Henk 'm!

pennywiser

Verwijderd schreef op woensdag 22 juli 2009 @ 17:03:
Dat is niet zo moeilijk

passwd -n MIN_DAYS username

Zet MIN_DAYS maar eens op 10000 bijv.

TS bedoelt iets anders dan jij geloof ik

woensdag 22 juli 2009 17:12

Acties:

0 Henk 'm!

Sir Isaac

Die kende ik niet maar het is
passwd -m MIN_DAYS username

[ Voor 11% gewijzigd door Sir Isaac op 22-07-2009 17:12 ]

woensdag 22 juli 2009 17:29

Acties:

0 Henk 'm!

Verwijderd

pennywiser schreef op woensdag 22 juli 2009 @ 17:08:
[...]

TS bedoelt iets anders dan jij geloof ik

Hoe bedoel je?

-m, --mindays MIN_DAYS
Set the minimum number of days between password changes to
MIN_DAYS. A value of zero for this field indicates that the user
may change his/her password at any time.

woensdag 22 juli 2009 17:32

Acties:

0 Henk 'm!

Borromini

Mislukt misantroop

MisterE schreef op woensdag 22 juli 2009 @ 17:05:
je had toch ook KIOS mode's. zodat ze altijd weer in dezelfde staat terugkomen. Kan zijn dat dit veel werk is.

Kiosk mode, maar dat beperkt je tot een browsersessie als ik het goed heb.

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

woensdag 22 juli 2009 18:12

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Ubuntu

Sir Isaac schreef op woensdag 22 juli 2009 @ 16:39:
Het passwd commando niet executable maken voor leerlingen:
chmod o-x /usr/bin/passwd
ls -l /usr/bin/passwd
-rwsr-xr-- 1 root root 37084 2009-04-04 07:49 /usr/bin/passwd
Als je een bepaalde groep gebruikers wel hun passwoord wilt laten veranderen (docenten bijvoorbeeld) kun je de grpid van het passwd commando aanpassen:
chgrp docenten /usr/bin/passwd
ls -l /usr/bin/passwd
-rwsr-xr-- 1 root docenten 37084 2009-04-04 07:49 /usr/bin/passwd

Als je nog nauwkeurigere controle wil hebben kun je chacl gebruiken, daarmee kun je permissies instellen voor zoveel gebruikers en groepen als je wil, in plaats van voor 1 user en 1 groep.
Bovenstaande chmod-oplossing is makkelijker, dus als je toekan met 1 groep kun je dat beter doen.

This post is warranted for the full amount you paid me for it.

woensdag 22 juli 2009 18:17

Acties:

0 Henk 'm!

Tim

Authenticatie voor het veranderen van wachtwoorden gebeurd in /etc/pam.d/chpasswd. Je zou daar een check in kunnen stopen:

code:

1	password required pam_succeed_if.so quiet_success user != leerling

woensdag 22 juli 2009 18:53

Acties:

0 Henk 'm!

ProperChaos

Topicstarter

Sir Isaac schreef op woensdag 22 juli 2009 @ 17:00:
Als er niet eens met individuele user accounts wordt gewerkt ga ik er vanuit dat er dat het alleen een leerlingen pc is die voor niets anders wordt gebruikt. Als de het systeem dan ver*** wordt, kun je makkelijk een image terugzetten. Dat kun je zelfs automatisch doen. Dat lijkt met een simpel alternatief voor het dichttimmeren van de PC, hoewel ik daar zelf de voorkeur aan zou geven.

Dat wordt nu dus gedaan, 1x per dag. Maar dan nog is het de hele dag onmogelijk om in te loggen.

Ik vind de oplossing van Stacheldraht wel geschikt, ik zal het eens even proberen, ik laat het resultaat wel even horen.

Het is trouwens -n voor het aantal dagen. (in Ubuntu tenminste..)

EDIT: Oke, dat werkt dus niet, je kunt het password inderdaad niet meer veranderen via passwd, maar wel nog via de GUI.

De andere oplossingen zullen ook alleen maar werken voor passwd. Ik wil dus iets wat ALLE mogelijke manieren (of in ieder geval degene die makkelijk te vinden zijn (leerlingen zullen passwd geen eens kennen)) om je pass te veranderen blokkeert.

[ Voor 22% gewijzigd door ProperChaos op 22-07-2009 19:05 ]

woensdag 22 juli 2009 19:51

Acties:

0 Henk 'm!

cherwin

chattr +i /etc/shadow

Tell me your problem, not the solution you think I should build for you.

woensdag 22 juli 2009 21:24

Acties:

0 Henk 'm!

Verwijderd

ProperChaos schreef op woensdag 22 juli 2009 @ 18:53:
[...]
EDIT: Oke, dat werkt dus niet, je kunt het password inderdaad niet meer veranderen via passwd, maar wel nog via de GUI.

/me begint echt een zware hekel aan die GUI zooi te krijgen.

Het erge is dat die GUI troep dus gewoon de opgegeven waardes in /etc/shadow negeert

Lijkt me eerder een behoorlijke bug dan een feature

woensdag 22 juli 2009 22:20

Acties:

0 Henk 'm!

Demo

Probleemschietende Tovenaar

Valt er met pessulus en/of sabayon niet iets in te stellen?

Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done

woensdag 22 juli 2009 22:34

Acties:

0 Henk 'm!

Verwijderd

Misschien een optie, aangezien er regelmatig een image teruggezet wordt. Je kunt KDE instellen zodat deze automatisch met een specifieke user inlogged, ongeacht het wachtwoord van die user. Mocht het wachtwoord gewijzigd zijn dan is het een kwestie van rebooten.

Nog een mogelijkheid is je root filesystem read only maken en directories waarin wel geschreven moet kunnen worden (/tmp, /var, /home enz.) op schrijfbare filesystems te zetten.

Afhankelijk van de hoeveelheid geheugen in het systeem zou je er ook nog voor kunnen kiezen een volledig root filesystem op een ramdrive te gooien en enkel /home op schijf te zetten.

woensdag 22 juli 2009 22:56

Acties:

0 Henk 'm!

Jordi

#1#1

cherwin schreef op woensdag 22 juli 2009 @ 19:51:
chattr +i /etc/shadow

Naast het feit dat het immutable maken van je shadow file imo best wel een klein beetje rigoreus is, moet je filesystem het wel ondersteunen

Het zal wel niet, maar het zou maar wel.

donderdag 23 juli 2009 00:14

Acties:

0 Henk 'm!

Rainmaker

RHCDS

cherwin schreef op woensdag 22 juli 2009 @ 19:51:
chattr +i /etc/shadow

+1

Die werkt. Kan alleen geen enkele user meer zn wachtwoord wijzigen, maar is 99% waterdicht.

code:

Veranderen van wachtwoord voor rainmaker.
(huidig) UNIX-wachtwoord: 
Nieuw wachtwoord: 
Nieuw wachtwoord herhalen: 
SLECHT WACHTWOORD: het is te kort
SLECHT WACHTWOORD: het is te kort
SLECHT WACHTWOORD: het is te kort
passwd: Maximum aantal herhalingen voor de dienst overschreden
passwd: password unchanged

*edit: Oh ja, ik heb altijd geleerd dat je die waardes van minimaal aantal dagen e.d. met "chage" moest instellen.

Ik denk eerlijk gezegd niet dat dat dan wel werkt, maar probeer het even.

[ Voor 55% gewijzigd door Rainmaker op 23-07-2009 00:19 ]

We are pentium of borg. Division is futile. You will be approximated.

donderdag 23 juli 2009 08:52

Acties:

0 Henk 'm!

cherwin

Rainmaker schreef op donderdag 23 juli 2009 @ 00:14:
[...]

+1

Die werkt. Kan alleen geen enkele user meer zn wachtwoord wijzigen, maar is 99% waterdicht.
code:
1
2
3
4
5
6
7
8
9
Veranderen van wachtwoord voor rainmaker.
(huidig) UNIX-wachtwoord: 
Nieuw wachtwoord: 
Nieuw wachtwoord herhalen: 
SLECHT WACHTWOORD: het is te kort
SLECHT WACHTWOORD: het is te kort
SLECHT WACHTWOORD: het is te kort
passwd: Maximum aantal herhalingen voor de dienst overschreden
passwd: password unchanged
*edit: Oh ja, ik heb altijd geleerd dat je die waardes van minimaal aantal dagen e.d. met "chage" moest instellen.

Ik denk eerlijk gezegd niet dat dat dan wel werkt, maar probeer het even.

99%? Hij doet het gewoon. Het wachtwoord wat jij opgeeft is te kort, vandaar dat jij die melding krijgt.

Jordi schreef op woensdag 22 juli 2009 @ 22:56:
[...]

Naast het feit dat het immutable maken van je shadow file imo best wel een klein beetje rigoreus is, moet je filesystem het wel ondersteunen

Als je ext[2-4] hebt dan werkt het in ieder geval, wat blijkbaar zijn geval is. Verder is deze oplossing volkomen legitiem voor zijn probleem, hij zet immers elke dag een image op de machines (en dat vind jij niet rigoreus?).

[ Voor 85% gewijzigd door cherwin op 23-07-2009 09:04 ]

Tell me your problem, not the solution you think I should build for you.

donderdag 23 juli 2009 09:57

Acties:

0 Henk 'm!

Tim

ProperChaos schreef op woensdag 22 juli 2009 @ 18:53:
[...]
EDIT: Oke, dat werkt dus niet, je kunt het password inderdaad niet meer veranderen via passwd, maar wel nog via de GUI.
De andere oplossingen zullen ook alleen maar werken voor passwd. Ik wil dus iets wat ALLE mogelijke manieren (of in ieder geval degene die makkelijk te vinden zijn (leerlingen zullen passwd geen eens kennen)) om je pass te veranderen blokkeert.

PAM werkt anders systemwide, heb het net nog getest.. Het is trouwens /etc/pam.d/passwd ipv /etc/pam.d/chgpasswd. Voor de zekerheid kan je alle bestanden in /etc/pam.d met een password entry aanpassen, dan weet je zeker dat het niemand ergens lukt.

donderdag 23 juli 2009 11:14

Acties:

0 Henk 'm!

Jordi

#1#1

cherwin schreef op donderdag 23 juli 2009 @ 08:52:
[...]
Als je ext[2-4] hebt dan werkt het in ieder geval, wat blijkbaar zijn geval is. Verder is deze oplossing volkomen legitiem voor zijn probleem, hij zet immers elke dag een image op de machines (en dat vind jij niet rigoreus?).

Wat ik daar van vind, heb ik niets over gezegd

Ik wilde gewoon maar aangeven dat het immutable maken van dergelijke files IMO nogal een botte-bijl-methode is en dat mensen dat niet klakkeloos moeten gaan doen, maar vooral ook dat het idd alleen op ext[2-4] werkt. Zonder aparte vermelding zal iemand heus "gewoon" ext[2-4] gebruiken, maar daar mag je nog steeds niet vanuit gaan, vind ik. Evengoed heb je gelijk hoor, in dit specifieke scenario is het een goede oplossing

Het zal wel niet, maar het zou maar wel.

donderdag 23 juli 2009 11:47

Acties:

0 Henk 'm!

ProperChaos

Topicstarter

Tes schreef op donderdag 23 juli 2009 @ 09:57:
[...]

PAM werkt anders systemwide, heb het net nog getest.. Het is trouwens /etc/pam.d/passwd ipv /etc/pam.d/chgpasswd. Voor de zekerheid kan je alle bestanden in /etc/pam.d met een password entry aanpassen, dan weet je zeker dat het niemand ergens lukt.

Dan probeer ik straks dat nog even, laat het resultaat wel weer horen.

vrijdag 24 juli 2009 10:25

Acties:

0 Henk 'm!

Keeper of the Keys

Dit klinkt hoe dan ook alsof je eigenlijk eens aan een goede kioskmode/lockdown moet gaan werken, kioskmode hoeft helemaal niet te betekened dat er alleen een browser is, wat het wel betekent is dat welke verandering de gebruiker ook doorvoert zodra hij/zij zijn sessie beeindigd de verandering ongedaan wordt gemaakt...

Door de juiste shell in te stellen kun je ervoor zorgen dat ze alleen gui hebben, als je GNOME draait heb je sabayon en pessulus voor de lockdown (waarbij je er dus ook voor kunt zorgen dat ze niets kunnen veranderen in plaats van dat het allemaal ongedaan wordt gemaakt), op KDE heb(/had?) je kiosktool en XFCE heeft het ook ergens in zijn settings zitten (al kun je voor XFCE waarschijnlijk ook deels pessulus/sabayon gebruiken voor die dingen die door gconf worden beheerd)...

Als je authenticcatie naar een apparte machine splitst (LDAP) en op de lokale machine geen LDAP-admin rechten geeft aan passwd dan kunnen ze ook hun wachtwoord niet weizigen en je kunt er in de LDAP-dir ook hoe dan ook voor zorgen dat een user bepaalde attributen van zichzelf niet kan aanpassen.....

Onderwerpen