Linux Mint 18.1の新規インストールを行い、パスワードとしてPASSWORD1を使用して「jack」という名前の単一のユーザーを作成しました。その後、(「ユーザーとグループ」のグラフィカルダイアログを使用して)パスワードをPASSWORD2に変更しました。ログインと使用の両方sudo
で、予想どおりPASSWORD2が必要です。
ただし、PASSWORD1は引き続きアカウントのパスワードですroot
。PASSWORD2 su -
をsu - root
拒否してPASSWORD1を受け入れるので、私にはわかります。
これはセキュリティ上の欠陥ではありませんか?そもそもrootアカウントがユーザーのパスワードを黙ってコピーしたのはなぜですか?パスワードが危険にさらされていることを知っていて変更した場合、rootアカウントが危険にさらされたパスワードをまだ使用していることを確認することは考えていません。
実際、rootアカウントはLinux Mintではデフォルトで無効になっていると思いました。たとえば、この質問を参照してください:https : //superuser.com/questions/323317/why-does-linux-ubuntu-mint-lack-a-root-account
を使用してrootアカウントを無効にしない理由はsudo passwd -l root
何ですか?なぜこれがデフォルトで行われなかったのですか?
編集
@terdon私は、このオペレーティングシステムで実行したことsudo passwd
も、単純なことをしたこともないと確信passwd
しています。
@Markをチェックしましたが、戻ってきた唯一のものは関連性がありません。
jack@gamma /var/log $ ls auth.log*
auth.log auth.log.1 auth.log.2.gz auth.log.3.gz auth.log.4.gz
jack@gamma /var/log $ zgrep passwd auth.log*
auth.log.2.gz:Mar 9 17:56:07 gamma mdm[1695]: pam_succeed_if(mdm:auth): requirement "user ingroup nopasswdlogin" not met by user "jack"
jack@gamma /var/log $ zgrep "password changed" auth.log*
# nothing returned
編集:Linux Mintにバグレポートを提出しました https://bugs.launchpad.net/linuxmint/+bug/1675575
@Roger Lipscombeがこの問題を確認したので、質問に賞金を追加します。
/var/log/auth.log
(そしてのような古いコピーauth.log.1
)のような行を探しますpasswd[6434]: pam_unix(passwd:chauthtok): password changed for root
か?
sudo passwd
最初にインストールした後、パスワードを変更する前にrootアカウントをアクティブにしていないことを100%確信していますか?