我重新安装了Linux Mint 18.1,并使用PASSWORD1作为密码创建了一个名为“ jack”的用户。后来,我将密码(使用“用户和组”图形对话框)更改为PASSWORD2。sudo
现在,登录和使用都需要PASSWORD2,这与预期的一样。
但是,PASSWORD1仍然是该帐户的密码root
。我可以说出是因为su -
并su - root
拒绝PASSWORD2但接受PASSWORD1。
这不是安全漏洞吗?为什么root帐户首先会无声地复制我的用户密码?如果我知道自己的密码已被盗用并进行了更改,则不会考虑检查root帐户是否仍在使用该密码。
实际上,我认为默认情况下在Linux Mint上禁用了根帐户。例如,请参阅以下问题:https : //superuser.com/questions/323317/why-does-linux-ubuntu-mint-lack-a-root-account
是否有任何理由不使用禁用root帐户sudo passwd -l root
?为什么默认情况下不这样做?
编辑
@terdon我相当确定我从没在这个操作系统上运行过sudo passwd
,甚至连自己都没有passwd
。
@Mark我检查过,唯一回来的东西看起来并不相关。
jack@gamma /var/log $ ls auth.log*
auth.log auth.log.1 auth.log.2.gz auth.log.3.gz auth.log.4.gz
jack@gamma /var/log $ zgrep passwd auth.log*
auth.log.2.gz:Mar 9 17:56:07 gamma mdm[1695]: pam_succeed_if(mdm:auth): requirement "user ingroup nopasswdlogin" not met by user "jack"
jack@gamma /var/log $ zgrep "password changed" auth.log*
# nothing returned
编辑:我已经用Linux Mint提交了错误报告 https://bugs.launchpad.net/linuxmint/+bug/1675575
既然@Roger Lipscombe已经确认了这个问题,我将为这个问题添加赏金。
/var/log/auth.log
(以及任何较早的副本,例如auth.log.1
)中查找诸如以下这样的行passwd[6434]: pam_unix(passwd:chauthtok): password changed for root
?
sudo passwd
在首次安装后但在更改密码之前没有通过运行来激活根帐户?