Ich arbeite an mehrern Schulen als Sysadmin mit Ubuntu 8.04 Systemen bei lokaler Anmeldung.
Problem: Schüler können das Passwort ändern weil es passwd gibt bzw. Sie das Recht zum ändern haben.
Da es aber nur einen User gibt.... sollten Sie das Passwort nicht ändern, denn andere Schüler ärgern sich wenn Sie sich nicht mehr anmelden können. Die Schulen sind erst im Aufbau und ein Ldap .... naja hab ich unter Linux noch nicht gemacht und ich weiß ehrlich gesagt noch nicht wie es genau geht. Dafür nehme ich langzeittechnisch gesehen auch gerne Tipps an, jedoch muss ich dieses Jahr noch mit dem obengenannten Provisorium leben. :cool:
Es wäre schön wenn Ihr mir den entscheidenden Hinweise geben könnt um den User zu verbieten sein Passwort zu ändern. Root ist eingerichtet und ein anderer Hauptbenutzer mit mehr Rechten auch.
Über Hilfe wäre ich dankbar. :-)

Über Hilfe wäre ich dankbar. :-)


hallo und willkommen auf dem board

die schnellste loesung:

aendere die rechte von passwd

chown 0700 /usr/bin/passwd

Evtl. für "sudo" ebenfalls.

Danke fürs erste.... ich hab immer an der /etc/passwd gefummelt *an_den_kopf_klatsch*

Ist denn die Grafische Sache davon auch betroffen???
Der User darf schließlich unter System/Systemverwaltung/Benutzer und Gruppen dort sein Passwort ändern..... ist das damit auch erledigt?

Pingilein

Da es aber nur einen User gibt.... sollten Sie das Passwort nicht ändern, denn andere Schüler ärgern sich wenn Sie sich nicht mehr anmelden können.



Ist denn die Grafische Sache davon auch betroffen???
Der User darf schließlich unter System/Systemverwaltung/Benutzer und Gruppen dort sein Passwort ändern..... ist das damit auch erledigt?

Diese Aussagen wiedersprechen sich - soll der user jetzt sein Passwort ändern können oder nicht?

Warum bekommt nicht einfach jeder Schüler einen eigenen Benutzeraccount?

mjfg
cane

ich glaube, er meint "kann", nicht "darf" - also: benutzt die grafische Oberfläche von *buntu im Unterbau auch passwd oder geht es direkt auf die Datei /etc/passwd, shaddow -> müßte man an 2 Stellen basteln?

Danke marce... das wars

Der User soll nirgends sein Passwort ändern können, weder unter der grafischen oberfläche noch über die Konsole mit dem Befehl passwd.

mit der Frage "ist das damit auch erledigt?" war gemeint ob der User dann auch unter der grafischen Oberfläche sein Passwort nicht ändern kann.

Warum soll ich bei insgesamt 3 Klassenräumen a 15 Rechnern 100 User von Hand anlegen wenn ich das später mit einem LDAP machen möchte, allerdings bin ich noch nicht soweit für ein LDAP - siehe 1 Thread.

Deswegen jetzt ein 1 User namens PCsowiso womit alle User zurzeit Arbeiten.

Ich würde dem User root ein passwort geben. sudo deinstllieren. Den Benutzer PC ein oder kein PW geben.
chown 0700 /usr/bin/passwd wie bereits schon erwähnt. Den User PC aus der Gruppe wheel werfen. Mir persoenlich noch ein User Account machen der in der Gruppe wheel ist, wo nur ich das PW kenne und ueber den ich root werde.

Ist doch ganz einfach :)

sudo deinstallieren ist mMn "doof" - lieber eine ordentliche sudo-Konfiguration.

Und dann ein User, der sudo darf für die Systemverwaltung. Die Idee mit "kein Root" von *buntu hat diesbezüglich durchaus etwas...

Wenn du schon Leute hast denen du zutraust, dass sie etwas manipulieren, hast du wohl noch viele andere Probleme als nur das mit dem Userpasswort.

naja, ehrlich gesagt: in der Uni / FH - allüberall, wo es Gemeinschaftsaccounts gab, um irgendwelche Übungen zu machen war das bei uns durchaus normal und üblich, daß man daran herumgespielt hat. Logisch (und sei es ein simples sleep 300 && kill -9 -1 in .bashrc oder in der Shell abgesetzt)

Passwort ändern ist für User per se nichts schlimmes und das restliche System ansonsten dicht zu machen und den Users "nur" das arbeiten zu ermöglichen auch nicht so ungewöhnlich...

@Pingilein

Du solltest auf jeden Fall dem Grub ein Passwort verpassen.

Ansonsten kann jeder Schüler in Runlevel 1 booten indem er einfach ein "init=/bin/bash" an die Grub Zeile anhängt und das Rootpasswort beliebig setzen.

mfg
cane

Erstmal danke für die vielen antworten.....

Ich habe folgendes nun ausprobieren können.

chmod -R 700 passwd

was hat es gebracht.....etwas!

Der normale user kann den BEfehl passwd nicht mehr aufrufen ohne eine Meldung zu bekommen in der es heißt "er habe keine Rechte"

Auf der grafischen Oberfläche passiert nun Folgendes (UBUNTU 8.04)

System/Systemverwaltung Benutzer und Gruppen auswählen.

man sucht sich selbst als User heraus kommt an des Passwortfeld, trägt zweimal ein neues ein und......

(normalerweise ist nachdem tastendruck auf Ok das passwort verändert)

nun wird man zusätzlich gebeten sich zu authorisieren.... also geb ich mein normales userpasswort nochmal ein und siehe da..... Das passwort wurde geändert.

Es hat also nur teilweise geklappt.

nun wird man zusätzlich gebeten sich zu authorisieren.... also geb ich mein normales userpasswort nochmal ein und siehe da..... Das passwort wurde geändert.


poste


/etc/sudoers

in der Sudoers steht der user nicht drin.

ABER ich hab was anderes entdeckt...

Im verzeichniss /usr/bin/ gibt es eine mehrer weitere *passwd* dateien

zB kdepasswd -> für KDE
oder aber gpasswd -> Gnome

ich vermute jetzt fast das hier die grafischen Sachen zum Thema Passwort geändert werden und dann muss ich an 2 stellen werkeln um den Usern die Möglich keit zu entziehen das Passwort zu ändern.

in der Sudoers steht der user nicht drin.


Ich meine mich zu erinnern, dass bei Kunterbuntu eine global-Erlaubnis für alle in den sudoers enthalten ist.

Ich meine mich zu erinnern, dass bei Kunterbuntu eine global-Erlaubnis für alle in den sudoers enthalten ist.


Sudoers INhalt

# /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the man page for details on how to write a sudoers file.
# Defaults

Defaults !lecture,tty_tickets,!fqdn

# Uncomment to allow members of group sudo to not need a password
# %sudo ALL=NOPASSWD: ALL

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root ALL=(ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

ENDE

Da wette ich doch mal, dass der User in der Admin Gruppe ist. Also wie gesagt, ein User ohne Rechte fuer die Schüler und ein User der Root werden darf.

Was soll ich sagen..... ich habs geprüft

der betreffende User ist nicht in der Admin gruppe

:confused::confused::confused::confused:

der betreffende User ist nicht in der Admin gruppe


welche rechte haben die dateien? *passwd*

ich wette auf UserID Bit :)

Die Dateien haben ungeändert -rwsr-xr-x passwd
und die gpasswd genauso

/usr/bin# ls -al *passwd*
-rwsr-xr-x 1 root root 37360 2008-04-03 03:08 gpasswd
-rwxr-xr-x 1 root root 39396 2008-07-25 09:19 kdepasswd
-rwsr-xr-x 1 root lpadmin 9364 2008-04-21 22:18 lppasswd
-rwxr-xr-x 1 root root 7916 2007-11-06 20:02 mkpasswd
-rwsr-xr-x 1 root root 29104 2008-04-03 03:08 passwd
-rwxr-xr-x 1 root root 2096396 2008-09-10 20:55 smbpasswd

nach der änderung durch chmod -R 700 haben die entsprechenden Dateien -rwx------


Übrigens.... die gpasswd hat scheinbar nix mit der grafischen oberfläsche zu tun, ich habe es gerade an beiden Datein durch exerziert.... ohne besseren erfolg

-rwsr-xr-x 1 root root 29104 2008-04-03 03:08 passwd



die datei hat nicht 0700!!

die datei hat nicht 0700!!

Nein die Nicht.... die hat 4755

aber das was sie nach dem ändern hat - wenn es leider immer noch unter der grafischen klappt, die datei hat 0700

-rwx------ und damit klappt es unter der KOnsole nicht mehr das USerpassword selbst zu ändern aber trotzdem in der grafischen wie beschrieben!

Verwirrend ich weiß:confused:

Die Lösung steht in Beitrag #9

eine ordentliche sudo-Konfiguration.


man sudo

man sudoers

Schon einmal getestet, was die Schüler vielleicht sonst noch so alles können?

Nochmal zur info.

es handelt sich um einen normalen User keine "SudoRechte" keine Admingruppe.... ein normaler beschränkter user der nix darf ausser USB, cdrom und Audiogeräte benutzen,
er darf trotzdem sein Passwort verändern, (für den Privatmann auch logisch) :eek: aber genau das will ich unterbinden.



Was nützt mir hier also eine Sudo konfiguartion wenn der User eh nicht drin steht!!!!! Vielleicht könnt ihr mir mal hier auf die Sprünge helfen!:(

ein normal er beschränkter user der nix darf ausser USB, cdrom und Audiogeräte nichts benutzenSicher? Getestet?

Was nützt mir hier also eine Sudo konfiguartion wenn der User eh nicht drin steht!!!!! Vielleicht könnt ihr mir mal hier auf die Sprünge helfen!:(Wenn nur root passwd lesen und schreiben kann und sich die Nutzer mit ihrem eigenen Passwort die nötigen Rechte für passwd beschaffen können, ist sudo die Anlaufstelle.

hi,

wurde zwar angesprochen aber vllt. etwas detaillierter :

/etc/sudoers :


Defaults !lecture,tty_tickets,!fqdn

man sudoers :
-tty_tickets
und
-targetpw mal anschauen

Edit : oder hier ein link vltt. verständlicher dargestellt : http://wiki.ubuntu-forum.de/index.php/Root_Account_aktivieren

Upsala das könnte interessant sein.... danke ich schau es mir an..... Hab dank für eure Geduld!:)