Von DES auf Blowfish: Login geht nicht mehr

Anja_a3d12b · 15. Juni 2009 um 14:52

Hallo,

in einer SuSE 8.1 (Kernel 2.4.21) wurde vom Root die Kennwortverschlüsselung von DES auf Blowfish gesetzt. Gleichzeitig hat er die maximale Passwortlänge von 8 auf 16 Zeichen gestellt. Beide Einstellungen wurden im YaST von SuSE eingerichtet; das Setup-Tool meldete das Speichern der Änderungen und keine Fehler oder Warnungen.

Anschließend hat Root sein Kennwort geändert. Nach dem Abmelden funktioniert das Login nun nicht mehr - weder mit dem alten, noch mit dem neuen Kennwort. Tippfehler sind ausgeschlossen. Auch Systemneustart hilft nicht.

Welchen Fehler hat Root gemacht? Welche Vorgehensweise zum Ändern der Verschlüsselungsart wäre die richtige gewesen? Und auch wenn wenig Hoffnung besteht: Gibt es noch eine Möglichkeit, sich wieder als Root anzumelden?

Danke und Gruß
A

Marvin_c530f3 · 15. Juni 2009 um 18:12

Hallo Anja,

in einer SuSE 8.1 (Kernel 2.4.21) wurde vom Root die
Kennwortverschlüsselung von DES auf Blowfish gesetzt.

Anschließend hat Root sein Kennwort geändert. Nach dem
Abmelden funktioniert das Login nun nicht mehr - weder mit dem
alten, noch mit dem neuen Kennwort.

Dumm gelaufen…

auch wenn wenig Hoffnung besteht: Gibt es noch eine
Möglichkeit, sich wieder als Root anzumelden?

Hoffnung besteht immer
Er (oder bist etwa Du der geschickte Admin?) soll von einem Livesystem booten, egal welches, die entsprechende Partition mounten und aus der /etc/shadow das root-Passwort löschen. Ich hoffe, eure uralte Suse-Version hat schon eine Shadow-Datei, ansonsten eben aus der passwd.
Eigentlich sollte der Admin das wissen, aber zur Sicherheit: Das Passwort in der shadow ist das zweite Feld, also z.B.:
root: hdumgrbv+in678h :12705:0:10000::::
wird zu
root::12705:0:10000::::

Viele Grüße
Marvin

Stefan_Schustereit · 15. Juni 2009 um 18:16

Welchen Fehler hat Root gemacht? Welche Vorgehensweise zum
Ändern der Verschlüsselungsart wäre die richtige gewesen? Und
auch wenn wenig Hoffnung besteht: Gibt es noch eine
Möglichkeit, sich wieder als Root anzumelden?

Versuchs mal als User mit sudo passwd root (ganz wenig Hoffnung). Ansonsten kann man versuchen mit einer CD zu booten, die Platte nach /mnt/Platte mounten und dort in der Datei /mnt/Platte/etc/shadow das Passwort von root löschen (der String zwischen dem ersten und zweiten Doppelpunkt). Danach booten und ohne Passwort einloggen.

Gruß,
Stefan

Marvin_c530f3 · 15. Juni 2009 um 19:32

Grau, teurer Freund, ist alle Theorie
Hallo Anja,

Er (oder bist etwa Du der geschickte Admin?) soll von einem
Livesystem booten, egal welches, die entsprechende Partition
mounten und aus der /etc/shadow das root-Passwort löschen.

Wie ich im Titel schon bemerkte:
„Grau, teurer Freund, ist alle Theorie und grün des Lebens goldner Baum“
So ist das mit den tausendmal gehörten Weisheiten, man hört sie solange, bis man schließlich an sie glaubt
Ich habe das mit der shadow-Datei gerade an meinem System ausprobiert, und siehe da, es funktioniert nicht
Wenn dort das Passwortfeld leer ist, werde ich als root erbarmungslos rausgeworfen, noch bevor ich überhaupt nach einem Passwort gefragt werde. Grund: in der /etc/shadow darf das Passwortfeld nicht leer sein.

Stattdessen kannst Du versuchen, als root ohne Anmeldung in ein Minimalsystem zu kommen, indem Du dem Bootmanager den Parameter init=/bin/sh mitgibst bzw. die Zeile im Grub editierst (an die Zeile anhängen, die mit „kernel“ beginnt). Funktioniert leider nicht auf allen Systemen.
Oder Du bootest wie gehabt von einem beliebigen Rettungssystem, mountest wieder die Partition, änderst mit

chroot /mnt

das Wurzelverzeichnis und kannst anschliessend (oder gleichzeitig) mit

passwd

ein neues Passwort vergeben.
Hier findest Du ganz unten ein praktisches Beispiel:
http://de.linwiki.org/wiki/Linuxfibel_-_System-Admin…
Ich hoffe, das hilft. Werde es eben jetzt auch mal ausprobieren, da ich mich im sebstlosen Selbstversuch eben selbst ausgesperrt habe

Viele Grüße
Marvin

Marvin_c530f3 · 15. Juni 2009 um 20:00

Ich bin wieder Root
Hallo Anja,
vor lauter Freude muss ich vom Gelingen meines zweiten Experimentes berichten. Grub einfach den Parameter init=/bin/sh übergeben, auf einer minimalen Admin-Shell gelandet, passwd eingegeben und das wars.
Einfach, praktisch, quadratisch gut

Viele Grüße
Marvin

Semjon_Michailowitsch_580bb3 · 15. Juni 2009 um 20:10

Hallo Marvin

So ist das mit den tausendmal gehörten Weisheiten, man hört
sie solange, bis man schließlich an sie glaubt
Ich habe das mit der shadow-Datei gerade an meinem System
ausprobiert, und siehe da, es funktioniert nicht
Wenn dort das Passwortfeld leer ist, werde ich als root
erbarmungslos rausgeworfen, noch bevor ich überhaupt nach
einem Passwort gefragt werde. Grund: in der /etc/shadow darf
das Passwortfeld nicht leer sein.

Hmm …

Ich hätte jetzt wie früher auf einem anderen System
mit identischem cipher ein root-passwort erzeugt und
dieses nach /etc/shadow kopiert (Boot-CD).

kleiner Test dazu (Blowfish, Suse 11.x):
cat /etc/shadow [cut #2]

 Rechner1: $2a$05$AzcUiQw2DGHH24.y9VkGPewVXsO3nfLoNeCear67xsdV.qGAApYo.
 Rechner2: $2a$05$/oKzVOp1qjiLZ2KZlEMmlOPIs7aMavfoQOYstbmk8Fx4n2qQxybtu
 Rechner3: $2a$05$54k9F1zngNS2dts6KOfBEemL.iT8745mlwBMOGLo5zJBuIin1BKc2
 Rechner4: $2a$05$w.kjJH5ALRo4L0AhFhqm9O/oHNm96gjlSCkG.wqgS9H.SFw9YeATO

Uups.

Na zum Glück hab ich erstmal nachgeschaut …

Grüße

CMБ