[Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

raphian · 02-09-2023 20:05:55

Bonjour,

Voilà, je cherchais un système d'exploitation, qui ne soit pas exigeant en ressources et sur lequel je puisse appliquer un contrôle parental efficace.
Ce PC (un Acer Aspire x3200) est destiné à un enfant. J'ai choisi une Emmabuntüs 5 (basée sur Debian Bookworm et Lxqt), dotée de CTparental.

Après quelques installations posant problèmes

Hdmi ne donnant pas de son (pas résolu, tant pis enceintes ...)
Clé USB-wifi 0bda:c811 Realtek Semiconductor Corp. 802.11ac NIC, qui n'était pas prise en compte, mais pour laquelle j'ai eu une solution
Ctparental qui filtrait ma connexion internet admin, ou dont l'interface web ne voulait pas se déconnecter et prendre les modifications en compte
etc ... etc ...

Le préambule était plutôt long, mais croyez moi, j'ai édulcoré.

Le problème sur une installation qui paraissait fonctionnelle, je ne peux changer mon mot de passe compte admin.

sudo passwd

j'entre mon mot de passe, puis le nouveau. J'ai un message qui me dit que la modification est faite.
Je redémarre le pc et m’aperçois que le seul l'ancien mot de passe est fonctionnel

Je tente de changer le mot de passe suivant la méthode qui consiste à appuyer sur la touche "e" durant le démarrage, puis à changer la fin d'une ligne de r0 en rw ... init=/bin/sh,
pour se retrouver en console root et opérer la modification. Ça se déroule bien, sauf que le résultat reste le même: mot de passe inchangé !

Auriez vous une piste ?

@+

Dernière modification par raphian (05-09-2023 15:04:25)

captnfab · 02-09-2023 20:19:45

Plop,
Qu'entends-tu par « le mot de passe admin » ? Tu parles du mot de passe que tu tapes à quel moment ?

raphian · 02-09-2023 20:49:18

Bonsoir,

J'ai deux utilisateurs: le mien pour administrer (en autre CTparental) qui fait partie de sudo et un compte utilisateur simple.
Je voulais changer mon mot de passe de connexion du compte qui fait partie de sudo mais celui-ci reste inchangé.

A la lumière de ta question, je viens de tenter un

 su -

là le mot de passe root ne fonctionne plus.

Il y a quelque chose que je n'ai pas bien assimilé on dirait.
@+

Dernière modification par raphian (02-09-2023 20:59:26)

captnfab · 02-09-2023 20:57:46

À moins que le système ait été configuré autrement, lorsque l'on fait

sudo

le mot de passe demandé n'est pas le mot de passe root, mais le mot de passe de l'utilisateur courant.

Pour changer le mot de passe de l'utilisateur courant, la commande est simplement

passwd

.

Si tu fais

sudo passwd

c'est comme si tu lançais la commande en root, et c'est donc le mot de passe de l'utilisateur root que tu changes (i.e. le mot de passe à utiliser lorsque tu tapes « su - »).

raphian · 02-09-2023 21:27:32

euh ... oui avant d'ordonner dans l'ordinateur, je vais tenter une mise à jour de la tête

Dernière modification par raphian (02-09-2023 22:02:18)

captnfab · 02-09-2023 21:28:52

raphian · 02-09-2023 22:34:19

Donc en console:

passwd

madame la console me dit: nouveau mot de passe mis à jour

sudo passwd

madame la console me dit: nouveau mot de passe mis à jour

Après redémarrage, connexion sur ma session "utilisateur d'administration" (utilisateur lo) mot de passe modifié inopérant, l'ancien mot de passe ouvre la session.

lo@raphian:~$ sudo apt-get update

[sudo] Mot de passe de lo :  nouveau mot de passe        

Désolé, essayez de nouveau.

lo@raphian:~$ sudo apt-get update

[sudo] Mot de passe de lo : ancien mot de passe

Atteint :1 http://security.debian.org/debian-security bookworm-security InRelease ...

puis

lo@raphian:~$ su -

Mot de passe : nouveau mot de passe

su: Autorisation refusée

lo@raphian:~$ su -

Mot de passe : ancien mot de passe

su: Autorisation refusée

su - ne fonctionne avec aucun des deux

oufff c'était pas la tête, mais il est difficile de garder les idées claires.
@+

Dernière modification par raphian (03-09-2023 00:05:37)

raphian · 03-09-2023 01:59:49

Rebondissements:

lo@raphian:~$ passwd 

a bien changé cette fois le mot de passe de ma session ...

Les shadoks avaient calculé qu'ils avaient une chance sur un million de faire décoller leur fusée, alors ils se dépêchaient de rater les 999 999 premiers lancements.

Quand à changer le mot de passe root, voilà ce que j'ai fait et ce que ça à produit.

lo@raphian:~$ sudo su

root@raphian:/home/lo# passwd

Le pc est redémarré, je tente de m'identifier en tant que root ... autre utilisateur: root et le nouveau mot de passe ... la session s'ouvre.

Alors je redémarre le pc, me connecte sur ma session lo, je vais en console et tente un

su -

avec le mot de passe root précédemment utilisé ... c'est refusé

@+

Dernière modification par raphian (03-09-2023 10:48:25)

potemkine17 · 03-09-2023 08:15:15

Une suggestion en passant : Ajouter tes utilisateurs au groupe sudo si ce n'est pas fait ???

raphian · 03-09-2023 10:42:32

Bonjour,

merci pour l'idée, comme je le disais au post #3

Je voulais changer mon mot de passe de connexion du compte qui fait partie de sudo

lo@raphian:~$ groups

lo adm lp cdrom floppy sudo audio dip video plugdev netdev bluetooth lpadmin scanner vboxsf fuse sambashare ctoff

@+

Dernière modification par raphian (03-09-2023 10:43:22)

Jean-Pierre Pinson · 03-09-2023 10:51:52

À moins que le système ait été configuré autrement, lorsque l'on fait

sudo

le mot de passe demandé n'est pas le mot de passe root, mais le mot de passe de l'utilisateur courant.

pour

su -

C'est le mot de passe root qu'il faut utiliser.

Dernière modification par Jean-Pierre Pinson (03-09-2023 10:52:43)

Jean-Pierre Pinson · 03-09-2023 10:55:32

Mais je ne sais pas.
Peut-être qu'il faut utiliser soit sudo ou soit su -
Mais pas les deux en même temps ?

ubub · 03-09-2023 10:57:50

Bonjour,

lo@raphian:~$ sudo su
root@raphian:/home/lo# passwd

on voit, qu'avec cette commande, tu ne "deviens" pas root,
il y a dans le wiki, une très bonne explication sur la différence entre su (tout court) et su - (su --login) ...
moi, je saurai pas bien l'expliquer, pas le même chemin, pas les mêmes droits ...
le chemin de ta connexion est devenu root@raphian:/home/lo au lieu d'être
root@raphian: sans passer par le home de lo
c'est très mal expliqué, désolé...;
Mais, plutôt que sudo su qui est bizarre en fait comme commande, on sait pas trop ce qu'elle signifie, essaie (tout court) su - ou encore mieux su --login

Il est recommandé de toujours utiliser l'option

       --login (au lieu de son raccourci -) pour éviter les effets secondaires

       causés par un mélange d'environnements.

et là te sera demandé le mot de passe root, et ton chemin de connexion sera un simple root@ordibidule : , et une fois connecté en root avec une invite du genre root@machin, tu pourras essayer la commande passwd et le nouveau mot de passe devrait être enregistré pour root...
Je pense, coûte rien d'essayer

raphian · 03-09-2023 13:11:09

Bonjour,

... et merci de me venir en aide

Je comprends cette nuance entre su et su -

En effet:

sudo su

donne

root@raphian:/home/lo#

et

sudo su -

donne

root@raphian:~#

Si j'ai tenté le

sudo su

à remplacer favorablement par

sudo su -

C'est que su - refuse mon mot de passe.

Si je ne me trompe pas dans la démarche, ici je vais tenter de changer mon mot de passe root. Voyez le résultat

lo@raphian:~$ sudo passwd

Nouveau mot de passe : 

Retapez le nouveau mot de passe : 

passwd : mot de passe mis à jour avec succès

lo@raphian:~$ su -

Mot de passe : 

su: Autorisation refusée

lo@raphian:~$

Une nouvelle chose étrange, je viens de m'authentifier avec succès en tant que root sur tty1

Après ça

passwd

Mot de passe mis à jour avec succès

Je redémarre la pc, puis

lo@raphian:~$ su -

Mot de passe : 

su: Autorisation refusée

@+

Dernière modification par raphian (03-09-2023 16:45:08)

raphian · 03-09-2023 16:50:37

...
A mon sens, seul cette commande su est impactée par un refus systématique, non ?
Tu vas me laisser passer

su

@+

captnfab · 03-09-2023 18:16:42

Mhh, c'est étrange. Il y a peut-être une configuration particulière de pam dans emabuntus. J'espère que non.

Bon, mais sinon, pour passer root avec sudo, il faut faire

sudo -s

ou

sudo -i

mais pas des mélanges rigolos de su et de sudo.

Pour passwd, tu peux spécifier le compte dont tu veux changer le mot de passe, si jamais ça pouvait lever une ambiguïté supplémentaire:

passwd lo

passwd root

Bon, enfin, dernier point : si ton mot de passe contient des caractères spéciaux, ou si tu jongles entre plusieurs dispositions claviers différentes, ça peut faire des blagues aussi…

raphian · 03-09-2023 19:01:10

re-salut Captnfab,

mais pas des mélanges rigolos de su et de sudo

ok ..ok plus le mélange que l'on m'avais indiqué il y a quelques temps ...

Pour sudo -i/s j'ai vu ça en me renseignant ... merci

Première commande

lo@raphian:~$ sudo -s

[sudo] Mot de passe de lo :        

root@raphian:/home/lo# 

Deuxième commande

lo@raphian:~$ sudo -i

[sudo] Mot de passe de lo :

root@raphian:~#

root@raphian:~# passwd root

Nouveau mot de passe : 

Retapez le nouveau mot de passe : 

passwd : mot de passe mis à jour avec succès

root@raphian:~#

Je redémarre le pc ... le nouveau mot de passe ne fonctionne pas.

Une seule disposition de clavier à ma connaissance.

Par contre pour pam, il me semble que j'ai du répondre à un prompt lors de l'installation de CTparental
qui disait devoir configurer à la main si l'une des propositions était choisie y or n ...

CTparental ne peut fonctionner au départ avec Debian 12, car dnscrypt-proxy ne fait plus partie des paquets officiels (ainsi qu'un autre paquet je crois)
Pourtant le paquet dnscrypt-proxy apparaît dans Synaptic.
Lors d'une précédente installation, j'ai eu des problèmes de fonctionnement avec Ctparental. Je l'ai supprimé totalement et n'ai donc plus le réinstaller.

Y aurait il un intérêt pour CTparental d'interdire la connexion par su ?

pam et CTparental me semblent des bonnes pistes.

@+

Dernière modification par raphian (03-09-2023 19:36:49)

captnfab · 03-09-2023 20:15:01

Ok, alors, euh… c'est quand même bizarre cette histoire.

Les mots de passe sont stockés dans /etc/shadow, et c'est ce fichier qui est modifié lorsque tu tapes la commande passwd.

Tu peux obtenir la date de dernière modification du fichier via

stat -c '%y' /etc/shadow

Tu peux obtenir l'entrée concernant root via la commande suivante (attention: ne pas paster le résultat sur le forum)

sudo getent shadow root

S'il y a un script qui se croit malin et qui modifie ce fichier et change le pass root, ça doit se voir via les deux commandes.
En particulier, s'il y a un script qui fait ça au reboot, le résultat de la commande getent doit être très différent avant ta modif et après ta modif, et revenir à l'état initial après un reboot.

Tu peux jouer un peu avec ces commandes et voir si le fichier est reset après une modification de ta part, lors d'un reboot par exemple ?

raphian · 03-09-2023 23:31:53

Bonjour à tous,

Retour commande "getent": A
Retour commande "stat": 2023-09-03 19:51:50.163171653 +0200

Modification du mot de passe root par:

lo@raphian:~$ sudo -i

root@raphian:~# passwd root

Nouveau mot de passe : 

Retapez le nouveau mot de passe : 

passwd : mot de passe mis à jour avec succès

root@raphian:~#exit

Retour commande "getent": B
Retour commande "stat": 2023-09-03 22:21:49.594633695 +0200

Reboot

Retour commande "getent": B
Retour commande "stat": 2023-09-03 22:21:49.594633695 +0200

Bon, enfin, dernier point : si ton mot de passe contient des caractères spéciaux ...

Oui lors de la première modification du pass de root.

@+

Dernière modification par raphian (03-09-2023 23:47:54)

captnfab · 04-09-2023 11:00:06

Bien, donc le fichier n'a pas été modifié par un script mal inspiré.

Donc… la commande

su - root

devrait fonctionner sans pb…

raphian · 04-09-2023 14:30:16

Salut,

C'est ce que j'en avais déduit ... c'est la théorie, pour la pratique

Console en session lo

lo@raphian:~$ su - root

Mot de passe : 

su: Autorisation refusée

lo@raphian:~$

Maintenant en tty1:

Debian GNU/Linux 12 - Emmabuntus  Debian Edition 5raphian tty1

raphian login: lo

Password:

lo@raphian:~$ su - root

Mot de passe:

su: Autorisation refusée

lo@raphian:~$ exit

Debian GNU/Linux 12 - Emmabuntus  Debian Edition 5raphian tty1

raphian login: root

Password:

root@raphian:~#

Le mot de passe root a bien été changé, il est accepté et valide les connexions graphique et tty.
Par contre la commande su n'autorise pas la connexion, quand bien même ce mot de passe est valide.
su refuse d'ailleurs la connexion avec mon autre utilisateur.

lo@raphian:~$ su - raphael

Mot de passe : 

su: Autorisation refusée

lo@raphian:~$

Question subsidiaire: quels caractères sont cordialement acceptés pour former un mot de passe ?

@+

Dernière modification par raphian (04-09-2023 15:15:29)

captnfab · 04-09-2023 20:51:03

Ok, donc les pass sont bons, et c'est un pb avec su.

su est fourni par le paguet util-linux.

which su

/usr/bin/su

apt policy util-linux

util-linux:

  Installé : 2.38.1-5+b1

  Candidat : 2.38.1-5+b1

 Table de version :

 *** 2.38.1-5+b1 500

        500 http://deb.debian.org/debian bookworm/main amd64 Packages

        100 /var/lib/dpkg/status

sha1sum /usr/bin/su

21d97a2e73a7ae7c4d802c34471002e480c456c6  /usr/bin/su

Tu n'as pas forcément ces fichiers, c'est surtout les su, su-l et common qui nous intéressent.

sha1sum /etc/pam.d/*

b36e7ad8316fdb4795baf49d3e011760d222c6bc  /etc/pam.d/atd

f16a87690b85fb554bce4ae58cbe8e189cf461f7  /etc/pam.d/chfn

1754cf95dc7720ba76b08b75de077f4cc5d8a868  /etc/pam.d/chpasswd

7df5f989cbe88e06089bcb4f17d70c8925b6c2b6  /etc/pam.d/chsh

1974c374acf4cf2df71d57d91ebd3df3e78aba7c  /etc/pam.d/common-account

c49ed4b2779e71884967d310efd126e3c44a630a  /etc/pam.d/common-auth

784d0f5691d7623845be233eb659f1b95ce77fdd  /etc/pam.d/common-password

0535f14052e62f2c5b659bdaa61bcf2c1c5222a5  /etc/pam.d/common-session

df8568c6d26a110b670be8cc7b66baa1c94552fe  /etc/pam.d/common-session-noninteractive

d2ac62a1ec1cd39320342dded5835e575268fb73  /etc/pam.d/cron

7e1cc023600dd31803a81762d5457f25278bb4b4  /etc/pam.d/cups

510ceba04375281ac305cced55b136ce83e0d7c7  /etc/pam.d/lightdm

eef49e46dcddf8a3304f782957ca32f3cd99f493  /etc/pam.d/lightdm-autologin

aab38c815dd2f5b674b415f095e3dd0d8ce0f8a8  /etc/pam.d/lightdm-greeter

f2de2855dad1eaa3f92c0ec207a63b50da6db49f  /etc/pam.d/login

cc07d944c1a6d1eeaa00e3a79d9362d8de572ea2  /etc/pam.d/newusers

22053a92a95f1d81b1932299496f9dd33def03ed  /etc/pam.d/other

a7a73b5ddcb02358a988de56376822cd7d8c8f17  /etc/pam.d/passwd

9d828a1382cd93cbbf0ced3062623a4c4bcdac8f  /etc/pam.d/ppp

5eee0c00c9193b8cfc26a85605a4a10727844295  /etc/pam.d/runuser

ba76bbb7fd56968bb1bd438758c0ec3570b36c5e  /etc/pam.d/runuser-l

6d8ec2add4e0ec90dd88c132f67b3d0b6e8cee52  /etc/pam.d/sshd

0374998f7c7cfec6617af5e095d4efdd22887b6a  /etc/pam.d/su

a9df6479d9472188414221f3195fda0434a1f9d8  /etc/pam.d/sudo

d5e58e1f6eafd620ece60049d689cf987c9e7129  /etc/pam.d/sudo-i

4847d6a186c2054aac587fe73fff59aaab57f0a7  /etc/pam.d/su-l

raphian · 04-09-2023 22:44:25

Tout est conforme au modèle, sauf pour

sha1sum /etc/pam.d/

Voici les sommes de contrôle qui différent.

** 87dba9e50994db26377f8b86bceaf936cd1df244  /etc/pam.d/common-auth

** 58509d6f2c4100454103664ffc24de6353d076a3  /etc/pam.d/common-password

** bc1853e7ae3a6bf8efd1209c63cb630cecf9a788  /etc/pam.d/common-session

** 42821768e014711ba2d3b141ca26623d99aac40d  /etc/pam.d/common-session-noninteractive

** e411accf4e64dccb8c9144a46c6fe897469d33e4  /etc/pam.d/login

** eb26bebf1644433b879bc8b6ee09d3bac2a863f0  /etc/pam.d/su

@+

Dernière modification par raphian (04-09-2023 22:45:36)

captnfab · 04-09-2023 22:52:18

grep -vE '(^#|^$)' "/etc/pam.d/su"

auth       sufficient pam_rootok.so

session       required   pam_env.so readenv=1

session       required   pam_env.so readenv=1 envfile=/etc/default/locale

session    optional   pam_mail.so nopen

session    required   pam_limits.so

@include common-auth

@include common-account

@include common-session

grep -vE '(^#|^$)' "/etc/pam.d/common-password"

password        [success=1 default=ignore]      pam_unix.so obscure yescrypt

password        requisite                       pam_deny.so

password        required                        pam_permit.so

password        optional        pam_gnome_keyring.so 

password        optional        pam_ecryptfs.so

grep -vE '(^#|^$)' "/etc/pam.d/common-session"

session [default=1]                     pam_permit.so

session requisite                       pam_deny.so

session required                        pam_permit.so

session required        pam_unix.so 

session optional        pam_systemd.so 

session optional        pam_ecryptfs.so unwrap

session optional        pam_cgfs.so -c freezer,memory,name=systemd

grep -vE '(^#|^$)' /etc/pam.d/common-session-noninteractive

session [default=1]                     pam_permit.so

session requisite                       pam_deny.so

session required                        pam_permit.so

session required        pam_unix.so 

session optional        pam_ecryptfs.so unwrap

session optional        pam_cgfs.so -c freezer,memory,name=systemd

grep -vE '(^#|^$)' "/etc/pam.d/common-auth"

auth    [success=1 default=ignore]      pam_unix.so nullok

auth    requisite                       pam_deny.so

auth    required                        pam_permit.so

auth    required        pam_ecryptfs.so unwrap

raphian · 05-09-2023 09:33:42

Trouver le noeud du problème ...

grep -vE '(^#|^$)' "/etc/pam.d/su"

auth       sufficient pam_rootok.so

auth       required   pam_wheel.so

auth       required   pam_wheel.so deny group=nosu

session       required   pam_env.so readenv=1

session       required   pam_env.so readenv=1 envfile=/etc/default/locale

session    optional   pam_mail.so nopen

session    required   pam_limits.so

@include common-auth

@include common-account

@include common-session

grep -vE '(^#|^$)' "/etc/pam.d/common-password"

password        [success=1 default=ignore]      pam_unix.so obscure yescrypt

password        requisite                       pam_deny.so

password        required                        pam_permit.so

password        optional        pam_mount.so disable_interactive

grep -vE '(^#|^$)' "/etc/pam.d/common-session"

session [default=1]                     pam_permit.so

session requisite                       pam_deny.so

session required                        pam_permit.so

session required        pam_unix.so 

session optional        pam_mount.so 

session optional        pam_systemd.so

session optional        pam_umask.so

grep -vE '(^#|^$)' /etc/pam.d/common-session-noninteractive

session [default=1]                     pam_permit.so

session requisite                       pam_deny.so

session required                        pam_permit.so

session required        pam_unix.so

grep -vE '(^#|^$)' "/etc/pam.d/common-auth"

account required pam_time.so

auth    [success=1 default=ignore]      pam_unix.so nullok

auth    requisite                       pam_deny.so

auth    required                        pam_permit.so

auth    optional        pam_mount.so

voilà pour les retours auquel je prendrai soin de m'intérresser dès que possible.

@+

Debian-facile

#1 02-09-2023 20:05:55

[Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#2 02-09-2023 20:19:45

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#3 02-09-2023 20:49:18

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#4 02-09-2023 20:57:46

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#5 02-09-2023 21:27:32

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#6 02-09-2023 21:28:52

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#7 02-09-2023 22:34:19

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#8 03-09-2023 01:59:49

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#9 03-09-2023 08:15:15

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#10 03-09-2023 10:42:32

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#11 03-09-2023 10:51:52

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#12 03-09-2023 10:55:32

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#13 03-09-2023 10:57:50

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#14 03-09-2023 13:11:09

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#15 03-09-2023 16:50:37

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#16 03-09-2023 18:16:42

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#17 03-09-2023 19:01:10

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#18 03-09-2023 20:15:01

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#19 03-09-2023 23:31:53

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#20 04-09-2023 11:00:06

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#21 04-09-2023 14:30:16

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#22 04-09-2023 20:51:03

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#23 04-09-2023 22:44:25

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#24 04-09-2023 22:52:18

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

#25 05-09-2023 09:33:42

Re : [Résolu] Mot de passe inchangé ou refusé par su, CTparental ?

Pied de page des forums