Linuxユーザーは、現在のパスワードを知らなくてもパスワードを変更できますか？

いくつかのubuntuボックスをセットアップchefし、設定ツールとしてopscodeを使用しています。これらの各サーバーに各ユーザーの公開キーをインストールし、パスワード認証を無効にすることは非常に簡単です。

ただし、ユーザーにはsudo特権も必要です。デフォルトではパスワードが必要です。

ユーザーの公開キーをアクセス管理の方法として使用し、ユーザーのsudo権限を許可する場合、NOPASSWD: ALLinを使用してユーザーを設定するvisduo必要がありますか、またはユーザーが自分のパスワードを変更できる方法があります公開鍵認証のみがありますか？

sudoは、最も一般的な構成で、ユーザーにパスワードの入力を要求します。通常、ユーザーはすでにパスワードを使用してアカウントへの認証を行っており、パスワードを再度入力することで、正当なユーザーが自分のコンソールを放棄してハイジャックされていないことを確認できます。

設定では、ユーザーのパスワードはsudoの認証にのみ使用されます。特に、ユーザーのSSHキーが侵害された場合、攻撃者はサーバーのルート権限に昇格できません。攻撃者はアカウントにキーロガーを植え付けることができますが、このキーロガーは他のユーザーによって検出され、自動的に監視される可能性さえあります。

ユーザーは通常、現在のパスワードを知ってから別のパスワードに変更する必要があります。passwdこの検証プログラムは、（それがないように構成することができますが、これは役に立つか、シナリオ内のすべての望ましくではありません）。ただし、rootは古いパスワードを知らなくても、ユーザーのパスワードを変更できます。したがって、sudo powersを持つユーザーはpasswd、を実行してプロンプトでパスワードを入力せずに自分のパスワードを変更できますsudo passwd $USER。場合はsudo、ユーザーのパスワードを要求するように設定され、ユーザーはにパスワードを入力しておく必要がありますsudoとにかく。

パスワード認証を選択的に無効にできます。あなたの状況では、sshおよび他のサービスでパスワード認証を無効にします。最新のユニックスのほとんどのサービス（Ubuntuを含む）は、PAMを使用して認証方法を構成します。Ubuntuでは、PAM構成ファイルはにあり/etc/pam.dます。パスワード認証を無効にするには、のauth … pam_unix.so行をコメント化します/etc/pam.d/common-auth。また、あなたが持っている作るPasswordAuthentication noに/etc/ssh/sshd_config無効にsshdの組み込みのパスワード認証に。

一部の管理ユーザーがパスワードでログインできるようにするか、コンソールでパスワード認証を許可することができます。これはPAMで可能です（かなり柔軟です）が、私の頭のてっぺんからどれだけ外れているかを説明できませんでした。ヘルプが必要な場合は、別の質問をしてください。

pam_ssh_agent_authモジュールを使用できます。コンパイルするのは非常に簡単で、エントリを追加するだけです

auth       sufficient pam_ssh_agent_auth.so file=~/.ssh/authorized_keys

内の他のauth（またはinclude）エントリの前/etc/pam.d/sudo

そして

Defaults    env_keep += "SSH_AUTH_SOCK"

から/etc/sudoers（経由visudo）。

これで、すべてのユーザーがsudo（転送またはローカルの）SSHエージェントまたはパスワードを介して認証できます。ssh-add -c各sudo呼び出しで少なくとも何らかの確認が必要になるように、ユーザーに使用を依頼するのが賢明かもしれません。

はい、それは信じられないほど安全ではなく、ユーザーが他のユーザーのパスワードにアクセスすることもできますが、sudoを持っているので、できることはあまりありません。

基本的に、次のことを行います。

$ sudo -i

今、私たちはルートです。すべてにアクセスできます。

# passwd $username

$ usernameは、誰のユーザー名でもかまいません。

新しいUNIXパスワードを入力します。

新しいUNIXパスワードを再入力：passwd：パスワードは正常に更新されました

ブーム、パスワードが変更されました。繰り返しになりますが、誰でも変更できるため、非常に安全ではありませんが、機能しますが、機能します。私はそれをお勧めしませんが、何をすべきでないかの例としてこの答えを提供します。

パスワードのポイントは、ユーザーのキーを取得したり、無人の端末を見つけたハッカーがルートアクセスを取得できないようにすることです。このため、パスワードなしのsudoを含むソリューションはお勧めしません。

シンプルにすることをお勧めします。おそらく、できるだけ早く変更するための厳密な指示とともにデフォルトのパスワードをユーザーにメールで送信する.profileか.login、最初のログインで新しいパスワードを要求するスクリプトを挿入します。完了すると自動的に無効になる可能性があります。またexpect、既存のパスワードを入力して、パスワードを知らなくても済むようにすることもできます。

#% useradd -g somegroup someuser
#% usermod -p "" someuser
#% chage -d 0 someuser
#% sed -i "s/^.*PasswordAuthentication .*/PasswordAuthentication no/" /etc/sshd/sshd_config
#% /sbin/service sshd restart
#% cp -r ~/.ssh `echo ~someuser`
#% chown -R someuser `echo ~someuser`/.ssh
#% chgrp -R somegroup `echo ~someuser`/.ssh
#% echo "%somegroup  ALL=(ALL)   ALL" >> /etc/sudoers

>これにより、公開鍵のみを使用してログインでき、ログインにパスワードを使用できないユーザーを許可できます。ただし、最初にログインするときにパスワードを変更する必要がありますが、ダミーのパスワードを事前に伝える必要はありません...ユーザーは単にパスワードをリセットするように求められ、その後はsudoにのみ使用できますそのパスワードを使用してログイン（ssh）することはできません。ここでのコツは、ユーザーにパスワードを変更する必要がある場合にログイン時に入力する必要があるダミーのパスワードをユーザーに伝えないことです...ナッツシェルでは、admin（root）からの通信はありません実際のユーザーに必要です。