Discussion :

[papilou34]

Bonjour,

J'ai un problème avec un linux embarqué dans une carte, pour ce qui est de la distribution et version tout ce que j'ai comme information c'est que c'est un Linux 2.6.

Mon problème est quand j'essaye de me connecter sur le linux à partir d'un pc windows et avec putty et avec le compte root.

il me sort le message :
"You are required to change your password immediately (root enforced)"

et me demande donc de redéfinir le mots de passe root.

J'aimerai bien pouvoir enlever cette redéfinition à chaque connexion

J'ai déjà regardé du coté de la configuration de Selinux mais il n'étais pas installé.

Donc s'il vous avez des idées pour me sortir de ce problème ça serait génial.

J'espère que j'ai été assez clair.

merci d'avance

[frp31]

ce doit être une des options de ssh
tu peux vérifier dans /etc/sshd ou encore /etc/pam

[papilou34]

Merci de ta réponse.

J'ai regardé dans les fichiers /etc/pam.d/ssh et /etc/ssh/sshd_config mais j'ai rien vu qui me force la redéfinition du mots de passe.

Je poste les fichiers peut vous verrez quelque chose qui m'a échappé.

/etc/pam.d/ssh

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
# PAM configuration for the Secure Shell service
 
# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
auth       required     pam_env.so # [1]
# In Debian 4.0 (etch), locale-related environment variables were moved to
# /etc/default/locale, so read that as well.
auth       required     pam_env.so envfile=/etc/default/locale
 
# Standard Un*x authentication.
@include common-auth
 
# Disallow non-root logins when /etc/nologin exists.
account    required     pam_nologin.so
 
# Uncomment and edit /etc/security/access.conf if you need to set complex
# access limits that are hard to express in sshd_config.
# account  required     pam_access.so
 
# Standard Un*x authorization.
@include common-account
 
# Standard Un*x session setup and teardown.
@include common-session
 
# Print the message of the day upon successful login.
session    optional     pam_motd.so # [1]
 
# Print the status of the user's mailbox upon successful login.
session    optional     pam_mail.so standard noenv # [1]
 
# Set up user limits from /etc/security/limits.conf.
session    required     pam_limits.so
 
# Set up SELinux capabilities (need modified pam)
 session  required     pam_selinux.so multiple
 
# Standard Un*x password updating.
@include common-password

/etc/ssh/sshd_config

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
# Package generated configuration file
# See the sshd(8) manpage for details
 
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
 
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
 
# Logging
SyslogFacility AUTH
LogLevel INFO
 
# Authentication:
LoginGraceTime 120
PermitRootLogin yes
StrictModes yes
 
RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys
 
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
 
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
 
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication yes
 
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
 
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
 
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
 
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
 
#MaxStartups 10:30:60
#Banner /etc/issue.net
 
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
 
Subsystem sftp /usr/lib/openssh/sftp-server
 
UsePAM yes

[fredob]

Hello,

ce paramètre semble bizarre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication yes

Ce paramètre se trouve dans le fichier /etc/ssh/sshd_config.

[troumad]

Autre remarque :
Pourquoi se connecter directement sous root par ssh ?
Ne serait-il pas plus judicieux d'interdire une telle connexion et de passer par une connexion via un simple utilisateur puis un "su -" ensuite ?
Ceci obligerait un hacker éventuel de cracker deux mots de passe pour accéder au compte root.

[papilou34]

Merci à tous de vos réponses.

@fredob : c'est un paramétre que j'avais mis la en test mais ça vient pas de là.

@Truman : La sécurité n'est pas un paramètre à prendre en compte, car c'est sur une carte embarqué qui se trouve sur un réseau complétement séparé du monde extérieur (bien que de se loguer en root m'hérisse un peu le poil aussi ).

Sinon j'ai trouvé la solution et c'était assez tordu.

La carte mère n'avait pas de pile de bios (oh surprise ) et comme elle est situé sur une carte d'où on coupe souvent le courant, la date système se réinitialisé au 1er janvier 1970.
Et la dernière définition du mots de passe root était datée du 1er janvier 1970, et c'est ce qui bloqué.
Chaque fois que je me connecté, le système checké la date de la dernière définition du mots de passe root et bien sur elle été toujours au 01/01/70 et comme la date ne bougeait pas (vu qu'on coupait le courant tout le temps) la date de redéfinition du mots de passe root ne bougeait pas.

Il a suffit que je change la date système pour redéfinir le mots de passe root (et que je mette une pile au bios).

par contre je n'ai pas tout à fait compris pourquoi il n'aimait pas un mots de passe root défini le 01/01/70.

Désolé de vous avoir fait chercher sur une fausse piste et merci encore

[frp31]

Merci à tous de vos réponses.

Il a suffit que je change la date système pour redéfinir le mots de passe root (et que je mette une pile au bios).

par contre je n'ai pas tout à fait compris pourquoi il n'aimait pas un mots de passe root défini le 01/01/70.

Désolé de vous avoir fait chercher sur une fausse piste et merci encore

La redéfinition par défaut doit supporter un certain age maxi après le dernier changement je suppose.