Aller au contenu principal
Sujet: Tumbleweed, bug mot de passe depuis octobre (Lu 13969 fois) sujet précédent - sujet suivant

Tumbleweed, bug mot de passe depuis octobre

Bonjour

Un bug dans le programme d’installation existant depuis au moins un mois signifie que, dans certains cas, le premier utilisateur normal créé (et non root) sur une nouvelle installation de Tumbleweed utilise le hachage DES comme mot de passe. Ce hachage est obsolète depuis 20 ans et n'utilise que les 8 premiers caractères de votre mot de passe.

Pour vérifier si vous êtes affecté, vous pouvez notamment vérifier les premiers caractères du hachage du mot de passe de votre utilisateur  dans le fichier  :
Code: [Sélectionner]
/etc/shadow

Si cela ne commence pas par un $, vous devez re-hacher votre mot de passe ou un autre hachage moderne.

Exemple
john:$6$Quie7lei....
Mot de passe Secure
john:Quie7lei...
Mot de passe Insecure
Sinon, vérifiez simplement si le système accepte une version abrégée à 8 caractères de votre mot de passe.

Si vous êtes concerné, assurez-vous que votre fichier

Code: [Sélectionner]
/etc/login.defs

contient ENCRYPT_METHOD sha512 ou un autre hachage moderne.

Correction en attendant la maj

Utilisez passwd dans un ternminal en non-root et suivez les instructions :

Code: [Sélectionner]
passwd

Vous pouvez le changer pour qu'il s'agisse du même mot de passe, mais vous devez suivre toutes les étapes pour réorganiser votre mot de passe maintenant .

Il s'agit d'un problème de sécurité important dans la mesure où une fuite de mot de passe par hachage DES permet aux attaquants de procéder à un reverse engineering très simple des 8 premiers caractères de votre mot de passe (et ainsi de pénétrer dans votre système ou d'utiliser ces informations ailleurs).
Le programme d'installation sera corrigé sous peu, mais il n'existe pas de moyen facile de mettre à jour le hachage du mot de passe pour les utilisateurs concernés, mis à part leur demander de "changer" leur mot de passe comme indiqué ci-dessus.
Par conséquent, toute personne ayant installé une nouvelle version de Tumbleweed ou créé un nouvel utilisateur dans YaST depuis le 22 octobre 2019 devrait vérifier le hachage de son mot de passe et réinitialiser son mot de passe si nécessaire (voir les instructions dans cet article).

Source :

reddit OpenSuse
[1]
[2]
[3]

Re : Tumbleweed, bug mot de passe depuis octobre

Répondre #1
Bonsoir Yoman
Impossible d'accéder au fichier , en root ( su ) voir avec sudo , à chaque fois " permission non accordée " même dans le terminal super utilisateur ( rouge )
A l'installation , je me suis enregistré comme root pourtant
edit
J'y suis arrivé avec  kwrite
Mais je n'ai pas de fichier /etc/login.defs

Re : Tumbleweed, bug mot de passe depuis octobre

Répondre #2
Bonjour,
Dans le cas d’une commande qui ne fonctionne pas, le mieux c’est de faire une copie de la commande et du retour pour que ce soit le plus précis possible.
Pour su qui permet de passe root, il y a une différence de variables d’environne ment maintenant entre su et su -
Ça peut aussi être autre chose donc les termes exacts sont précieux :)

Re : Tumbleweed, bug mot de passe depuis octobre

Répondre #3
Citation de: jenrem – le
Bonsoir Yoman
Impossible d'accéder au fichier , en root ( su ) voir avec sudo , à chaque fois " permission non accordée " même dans le terminal super utilisateur ( rouge )
A l'installation , je me suis enregistré comme root pourtant
edit
J'y suis arrivé avec  kwrite
Mais je n'ai pas de fichier /etc/login.defs
 re

Essaye avec : 

Code: [Sélectionner]
sudo su 
ou
Code: [Sélectionner]
su -

Sinon tu peux créer le fichier en y mettant seulement :

ENCRYPT_METHOD SHA512

Re : Tumbleweed, bug mot de passe depuis octobre

Répondre #4
Bonjour Chalu , Yoman
Le plus simple je vous mets ce que j'ai tapé
Code: [Sélectionner]
jenrem@linux-bhnz:~> sudo su /etc/shadow
[sudo] Mot de passe de root : 
su: l'identifiant /etc/shadow n'existe pas.
jenrem@linux-bhnz:~> su
Mot de passe : 
linux-bhnz:/home/jenrem # /etc/shadow
bash: /etc/shadow: Permission non accordée
linux-bhnz:/home/jenrem # su - /etc/shadow
su: l'identifiant /etc/shadow n'existe pas.
linux-bhnz:/home/jenrem # su -
linux-bhnz:~ # /etc/shadow
-bash: /etc/shadow: Permission denied
linux-bhnz:~ # kwrite /etc/shadow
THIS IS POTENTIALLY INSECURE!
To edit files as root please use:
SUDO_EDITOR=kwrite sudoedit <file>
QStandardPaths: XDG_RUNTIME_DIR not set, defaulting to '/tmp/runtime-root'
QStandardPaths: XDG_RUNTIME_DIR not set, defaulting to '/tmp/runtime-root'
sonnet.core: No language dictionaries for the language: "C"
sonnet.core: No language dictionaries for the language: "C"
sonnet.core: No language dictionaries for the language: "C"
sonnet.core: No language dictionaries for the language: "C"
MESA-LOADER: failed to open nouveau (search paths /usr/lib64/dri)
libGL error: failed to load driver: nouveau
sonnet.core: No language dictionaries for the language: "C"



Kwrite ouvre une fenêtre  avec une  quarantaine de lignes , dont une " root " , dont je mets le début en dessous
Code: [Sélectionner]
root:$6$E
Est ce que c'est de cette ligne que tu dis
Citer
Si cela ne commence pas par un $, vous devez re-hacher votre mot de passe ou un autre hachage moderne.
sachant que derrière ces 4 caractères , il y en a au moins 100
Dans /etc/ j'ai 2  " shadow "  , 3 avec shadow yast
mais pas /etc/login.defs
c'est une réinstallation du début du mois ,avec une image du début du mois aussi

Re : Tumbleweed, bug mot de passe depuis octobre

Répondre #5
Ah oui tu n'as pas mis d'éditeur pour visualiser le fichier
Code: [Sélectionner]
sudo cat /etc/shadow
qui donne chez moi à la fin du fichier pour mon utilisateur chalu
Code: [Sélectionner]
chalu:$6$
ce qui est correct et tout à fait normal puis que Leap 15 n'est pas touché par ce bug

C'est le mot de passe du premier utilisateur qui est touché par le bug, sur tumbleweed installé récemment et pas celui de root.
Si vous avez installé tumbleweed depuis le 22 octobre 2019 ou si vous avez créé un nouvel utilisateur dans YaST il faut vérifier l'encodage de son mot de passe.

Tu noteras que ta commande donne un avertissement de sécurité indiquant que tu n'utilises pas la bonne commande avec kwrite en root
Citer
THIS IS POTENTIALLY INSECURE!
To edit files as root please use:
Code: [Sélectionner]
SUDO_EDITOR=kwrite sudoedit <file>
Citation de: jenrem
mais pas /etc/login.defs
si tu dois l'avoir en user normal
Code: [Sélectionner]
ls /etc |grep login.defs
renvoie
Code: [Sélectionner]
login.defs

Re : Tumbleweed, bug mot de passe depuis octobre

Répondre #6
Citation de: jenrem – le
Bonjour Chalu , Yoman
Le plus simple je vous mets ce que j'ai tapé
Code: [Sélectionner]
jenrem@linux-bhnz:~> sudo su /etc/shadow
[sudo] Mot de passe de root : 
su: l'identifiant /etc/shadow n'existe pas.

Kwrite ouvre une fenêtre  avec une  quarantaine de lignes , dont une " root " , dont je mets le début en dessous
Code: [Sélectionner]
root:$6$E
Est ce que c'est de cette ligne que tu dis
Citer
Si cela ne commence pas par un $, vous devez re-hacher votre mot de passe ou un autre hachage moderne.
    sachant que derrière ces 4 caractères , il y en a au moins 100
Dans /etc/ j'ai 2  " shadow "  , 3 avec shadow yast
mais pas /etc/login.defs
c'est une réinstallation du début du mois ,avec une image du début du mois aussi
 
 

re -

1°) Mot de passe su :

Personnelement je donne toujours un mot de passe a su (pour des raisons que je n'expliquerais pas là)

Tu peux l'avoir en faisant :

Code: [Sélectionner]
sudo passwd root


2°) user avec le sigle $
Si ton nom est "jenrem" sur ton PC, tu devrais y figurer en plus du root que tu as dans ton fichier comme ça :

Exemple :

jenrem:$8$xxxxxx

3°) pas de fichier login.defs
Je te disais que tu pouvais créer ce fichier en y mettant seulement :

ENCRYPT_METHOD sha512
 

Re : Tumbleweed, bug mot de passe depuis octobre

Répondre #7
Bonsoir Yoman
 Merci
 Pour créer le fichier dans /etc , je fais :
mkdir /etc/login.defs
Ensuite avec kwrite ( c'est ce que j'ai d'installé , parce qu'hier , lorsque j'ai voulu lire /etc/shadow  c'est ce que m'a demandé le terminal )
si il faut installer  "nano " , je le fais
Donc ensuite dans l'un ou l'autre j'écris
ENCRYPT_METHOD sha512
 
je demande , parce que je ne sais pas faire :-[

Re : Tumbleweed, bug mot de passe depuis octobre

Répondre #8
Citation de: jenrem – le
Bonsoir Yoman
 Merci
 Pour créer le fichier dans /etc , je fais :
mkdir /etc/login.defs
Ensuite avec kwrite ( c'est ce que j'ai d'installé , parce qu'hier , lorsque j'ai voulu lire /etc/shadow  c'est ce que m'a demandé le terminal )
si il faut installer  "nano " , je le fais
Donc ensuite dans l'un ou l'autre j'écris
ENCRYPT_METHOD sha512
 
je demande , parce que je ne sais pas faire :-[
 
 
re

plus simplement on va faire avec les outils que tu as :

(si tu as créé ton mot de passe passwd root, tu pourras lancé kwrite en su -)

Code: [Sélectionner]
su -

ensuite tu rentres ton mot de passe

Code: [Sélectionner]
kwrite /etc/login.defs

ensuite tu fais un copier/coller

ENCRYPT_METHOD sha512

Sinon pour nano tu peux l'installer.
C'est le même principe sauf c'est en terminal.

Pour enregistrer dans nano faut faire la combinaison de touche
CTRL +o
Pour quitter nano faut faire la conbinaison de touche :
CTRL +x
Pour rechercher un mot dans nano faut faire la combinaison de touche
CTRL +w
et tu écris le mot que tu cherches , tu appuies ensuite sur
ENTRÉE
Pour créer un fichier dans un terminal 

Il suffit de faire la commande touch

Code: [Sélectionner]
sudo touch /etc/login.defs

mkdir = création de répertoire

Voilà, je t'ai donné l'essentiel de ta demande , après tu peux approndir car ces commandes on d'autres options puissantes.

N'hésite pas si tu as besoin d'autres infos. ;)

Re : Tumbleweed, bug mot de passe depuis octobre

Répondre #9
Bonjour  Chalu , Yoman
Merci à vous deux
Citer
Ah oui tu n'as pas mis d'éditeur pour visualiser le fichier
la dernière fois que je l'ai utilisé , remonte à pas loin de 2 ans , et comme chez moi la fonction crée l'organe , le fait de ne pas utiliser souvent " certaines choses " là " cat " m'oblige à rechercher et surtout fait que je n'ai pas le réflexe . Je suis allé chercher sur SDB et le net , j'y ai trouvé des infos , mais je me souvenais  ( quand même ) que pour lire des fichiers dans le répertoire / , il fallait passer par un éditeur
Kwrite étant installé " d'office " avec TbW , je l'ai utilisé et ouvert le fichier
Citer
Tu noteras que ta commande donne un avertissement de sécurité indiquant que tu n'utilises pas la bonne commande avec kwrite en root
THIS IS POTENTIALLY INSECURE!

To edit files as root please use:
Oui , ça je l'avais vu , mais comme je n'avais pas ,à ce moment là , l'intention d'écrire quoi que ce soit dans le fichier , je n'étais pas inquiet , et il m'a donné l'info que je cherchais sur l'encodage du PW du 1er user
A ce sujet , je trouve que open SuSE n'est pas très réactif pour corriger ce " bug " , bientôt 1 .5 mois , et j'ai déjà fait plus de 500MàJ  depuis cette nouvelle installation , ils sont cool les Californiens  de la Ruhr 
retour de la commande
Code: [Sélectionner]
jenrem@linux-bhnz:~> ls /etc |grep login.defs 
login.defs  ( en rouge )  
jenrem@linux-bhnz:~>

Yoman
Je pense , hier soir j'ai fait une  c bêtise , j'ai voulu faire un peu tout seul ,comme un grand ......, et j'ai crée un dossier /etc  /login.defs  avec mkdir , et maintenant ,je ne peux pas créer le fichier /login.defs , je pense qu'il y a confusion  avec le dossier , il faut que je supprime le dossier avec  
Code: [Sélectionner]
rm /etc/login.defs
 en root
Ensuite je reprends la manip que tu m'as donnée
Et je te tiens informé

Re : Tumbleweed, bug mot de passe depuis octobre

Répondre #10
Re , je reprends
j'ai  fait  rmdir  ensuite
Code: [Sélectionner]
kwrite /etc/login.defs
,j'ai vérifié , le fichier existe , et  copier coller  ENCRYPT_METHOD sha512
Enregistré , quité
J'ai  vérifié  à nouveau le fichier , il a bien enregistré   ENCRYPT_METHOD sha512
 j'ai  éteint et rallumé l'ordi  et je suis allé vérifié " shadow "  , mon mot de passe n'a pas changé
J'ai dû louper quelque chose
Si tu veux  , je peux refaire la manip , et coller  toutes les opérations  au fur et à mesure
Bon après midi

Re : Tumbleweed, bug mot de passe depuis octobre

Répondre #11
Après avoir créé ce fichier login.defs
Il faut que tu utilises en utilisateur et non en root la commande
Code: [Sélectionner]
passwd
Tu suis les indications, tu peux remettre le même mot de passe mais il faut faire toutes les étapes pour que ton mot de passe soit encodé de façon sécurisée

Re : Tumbleweed, bug mot de passe depuis octobre

Répondre #12
voila c'est fait , tout paraît tellement simple  après coup , mais à part les MàJ , je ne suis pas vraiment sur la konsole , donc , il y a un manque évident de pratique . Mais la distrib tourne si bien  sans que je la torture
Grand merci à vous deux
Bonne journée

Citer
N'hésite pas si tu as besoin d'autres infos. ;)

Merci , mais  je ne voudrais pas abuser , je te vois sur tous les fronts , il en faut un peu pour les autres  8)
 

Re : Tumbleweed, bug mot de passe depuis octobre

Répondre #13
Citation de: jenrem – le
Citer
N'hésite pas si tu as besoin d'autres infos. ;)

Merci , mais  je ne voudrais pas abuser , je te vois sur tous les fronts , il en faut un peu pour les autres  8)
 
 e
@jenrem‍ 

Le forum est fait pour s'entraider.

 Je m'investis un peu plus qu'avant , car opensuse merite d'être un peu plus connu... 
Tu me déranges pas , ni les autres ..
Content que ça a pu fonctionner.. :D

Re : Tumbleweed, bug mot de passe depuis octobre

Répondre #14
Bonsoir Yoman
 Moi aussi je suis content que ça ai marché . Je ne sais pas si il y a beaucoup d'utilisateur TbW , mais il devait y en avoir pas mal dans mon cas , maintenant , les autres étaient peut être tout simplement capables de se débrouiller par eux même
C'est sûr que tu t'impliques pas mal , mais il faut te laisser respirer un peu de temps en temps ;)
 Le forum fait bien son boulot d'entraide , et vous êtes quelques uns à le faire tourner
Moi qui suis avant tout demandeur , je mesure  oh combien vous faites le job
Bonne soirée