Rutinat RSS-muodossaDebian (tai Ubuntu) ja salasanaton tunnus
Julkaistu 19.11.2009 07:32.
Tarvitsin olohuonekoneeseen yhteiskäyttöisen salasanattoman käyttäjätunnuksen. Halusin kenen tahansa voivan päästä koneelta käsiksi nettiin, televisioon, musiikkiarkistoon ja valokuviin tarvitsematta syöttää mitään salasanaa, edes tyhjää. Muttei toki netin yli, vaan vain olohuoneesta käsin.
Olin kranttu, enkä kelpuuttanut GDM:n tarjoamaa automaattikirjautumista. Sain tarvitsemani, mutten ihan pelkästään salasanan nollaamalla.
Loin tavalliseen tapaan käyttäjätunnuksen vieras ja tuunasin käyttöoikeudet. Käyttäjää luodessa asetetulla salasanalla ei luonnollisesti ole isommin väliä jos sen aikoo poistaa. Salasanan saa poistettua komentamalla
$ sudo passwd -d vierasJa salasana tosiaan poistuu kokonaan, eikä sitä vain aseteta tyhjäksi. Käyttäjän /etc/shadow rivi alkaa vieras::…. Normaalisti, myös tyhjän salasanan tapauksessa, kahden ensimmäisen kaksoispisteen välissä on satakunta merkkiä pitkä salasanan hajautus.
Tämä ei pelkästään riitä, koska kirjautumisesta huolehtiva PAM on oletuksena säädetty olemaan kelpuuttamatta salasanattomia tunnuksia kirjautumaan. Salasanattomien tunnusten hyväksymiseen löytyi ohje debian-user -meililistalta. Autentikointiasetuksia tuunataan tiedostosta /etc/pam.d/common-auth vaihtamalla nullok_secure tilalle nullok.
Jos ssh-palvelin on asennettuna, pitää lisäksi pitää tarkista, että /etc/ssh/sshd_config tiedostossa on PermitEmptyPasswords no, ja jos ei ole, lisätä se ja käynnistä sshd uudelleen. Näin varmistetaan, ettei ssh-yhteydellä pääse koneeseen ilman salasanaa.
