AIX Crear users root y obligar a cambiar password 1er logeo

Todo lo que tengas que decir sobre Gnu/Linux y SSOO alternativos.

Moderador: Moderadores

AIX Crear users root y obligar a cambiar password 1er logeo

Notapor vlan7 » Lun Nov 21, 2011 3:16 pm

Hola,

Me ha tocado la rutinaria y aburrida tarea de crear unos 10 usuarios root en 50 maquinas AIX.

Lo se, yo instalaria sudo, pero no depende de mi, asi que lo que tengo que hacer es crear usuarios con UID/GID igual a 0.

Como hacerlo a mano seria una locura, me he hecho unos scripts que leen la entrada de un archivo de texto que contiene en cada linea un usuario y un password.

El password debe ser generico pero tengo que obligar a los usuarios a cambiarlo en el primer inicio de sesion.

Os pongo los dos tipos de metodos que he seguido, segun los AIX que debo administrar. Uno es un script ksh que llama a un script expect (el comando passwd de esos AIX no admite flag -stdin para "pipearle" un echo con la contraseña a pesar de lo que diga su pagina man (que esta copiada de los man de BSD pero no aplica)).

Código: Seleccionar todo
#!/usr/bin/expect

spawn passwd [lindex $argv 0]
set password [lindex $argv 1]
expect "password:"
send "$password\r"
expect "password:" { send "$password\r" } \
"password again:" { send "$password\r" }
expect eof


Y a este script expect lo llamo desde otro script ksh cuya unica parte relevante es el final:

Código: Seleccionar todo
./pass.exp ${USER} ${PASS}
# Forzar usuario a cambiar password en el siguiente inicio de sesion
pwdadm -f ADMCHG ${USER}


Bien, el usuario se crea, el password se asigna, con una linea de sed le meto un UID 0 y un GID 0 en el /etc/passwd y en el /etc/security/user le meto un "admin = true" a los usuarios.

Inicio sesion con uno cualquiera, y pide cambiar el password, lo cambio, pero cuando vuelvo a iniciar sesion, me sigue pidiendo cambiar el password. Y asi todo el rato. ¿?

Otros AIX no tienen expect pero si disponen del comando /usr/bin/chpasswd al cual si le puedo "pipear" el password por la entrada estandar tal que asi:

Código: Seleccionar todo
echo "user:password" | /usr/bin/chpasswd -f ADMCHG


El resultado es igual de frustrante.

Solo puedo llegar a una shell si no le meto ningun flag al usuario (o se lo limpio con pwdadm -c usuario , lo cual no cumple las especificaciones de que lo deban cambiar al primer inicio de sesion)

¿Alguna idea?
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: AIX Crear users root y obligar a cambiar password 1er lo

Notapor vlan7 » Lun Nov 21, 2011 7:56 pm

Bueno, no creo que sea posible con un user de UID=0 La red al menos no ayuda en nada, todo lo contrario :(

Lo añado como usuario normal y todo OK:
Código: Seleccionar todo
root@maquina:/# useradd -m -s /usr/bin/ksh sisisi
root@maquina:/# echo "sisisi:sisisi" |chpasswd
root@maquina:/# pwdadm -q sisisi
sisisi:
        lastupdate = 1321897493
        flags = ADMCHG

root@maquina:/# ssh sisisi@localhost
sisisi@localhost's password:
[files]: 3004-610 You are required to change your password.
        Please choose a new one.
*******************************************************************************
*                                                                             *
*                                                                             *
*  Welcome to AIX Version BLABLABLA!                                                *
*                                                                             *
*                                                                             *
*                                                                             *
*******************************************************************************
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for "sisisi"
sisisi's Old password:
sisisi's New password:
Enter the new password again:
Connection to localhost closed.
root@maquina:/# ssh sisisi@localhost
sisisi@localhost's password:
Last login: Mon Nov 21 17:45:17 UTC 2011 on ssh from 127.0.0.1
*******************************************************************************
*                                                                             *
*                                                                             *
*  Welcome to AIX Version BLABLABLa!                                                *
*                                                                             *
*                                                                             *
*                                                                             *
*******************************************************************************
$

El flag ADMCHG efectivamente se limpia al primer logeo y cambio de password:
Código: Seleccionar todo
root@maquina:/# pwdadm -q sisisi
sisisi:
        lastupdate = 1321897530


Lo hago root con UID=0 editando /etc/passwd y naranjas de la china.
Código: Seleccionar todo
root@maquina:/# vi /etc/passwd
root@maquina:/# echo "sisisi:nonono" |chpasswd
root@maquina:/# pwdadm -q sisisi
sisisi:
        lastupdate = 1321897647
        flags = ADMCHG

root@maquina:/# ssh sisisi@localhost
sisisi@localhost's password:
[files]: 3004-610 You are required to change your password.
        Please choose a new one.
Last login: Mon Nov 21 17:45:43 UTC 2011 on ssh from 127.0.0.1
*******************************************************************************
*                                                                             *
*                                                                             *
*  Welcome to AIX Version BLABLABLA!                                                *
*                                                                             *
*                                                                             *
*******************************************************************************
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for "sisisi"
sisisi's New password:
Enter the new password again:
Connection to localhost closed.
root@maquina:/# pwdadm -q sisisi
sisisi:
        lastupdate = 1321897671
        flags = ADMCHG

root@maquina:/#

Y asi todo el rato.

Supongo que optare por limpiar el flag ADMCHG en el profile del usuario o algo asi...

Un saludo.
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: AIX Crear users root y obligar a cambiar password 1er lo

Notapor vlan7 » Mar Nov 22, 2011 6:36 pm

Hola,

Por si alguien tuviera que hacer esta tarea en el futuro por casualidad, decir que el procedimiento es correcto sea UID = 0 o no. Segun bastantes paginas en la red se trata de un bug de OpenSSH para AIX que no limpia el dichoso flag al root para el cual existe parche pero que yo personalmente no voy a aplicar.

Me di cuenta porque accediendo mediante telnet a unos VIO server cuyo unico acceso es precisamente telnet se configura todo sin ningun problema.

Ahi queda eso.

Un saludo.
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: AIX Crear users root y obligar a cambiar password 1er lo

Notapor Sor_Zitroën » Mar Nov 22, 2011 11:19 pm

Considero que vale la pena que digas lo que has descubierto. Si alguien se encuentra con esto más adelante le vendrá muy bien.

Gracias por tu monólogo :)
[Padre] ¿Crees en el fracaso?
[Hijo] Sí
[Padre] Entonces lo experimentarás
Avatar de Usuario
Sor_Zitroën
-<|:·þ
-<|:·þ
 
Mensajes: 2064
Registrado: Vie Nov 25, 2005 2:01 am

Re: AIX Crear users root y obligar a cambiar password 1er lo

Notapor vlan7 » Mié Nov 23, 2011 2:25 pm

jeje Sor ya ves si es un monologo, pero sin aplausos intermedios como en los monologos humoristicos de toda la vida :badgrin:

Por cierto...

WARNING WARNING WARNING
Si alguien sigue este procedimiento, cuando un usuario con UID=0 cambia su contraseña mediante el comando passwd sin argumentos, cambia la de root. Avisados estais!
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: AIX Crear users root y obligar a cambiar password 1er lo

Notapor Nineain » Mié Nov 23, 2011 7:02 pm

clap, clap, clap, clap
<Nineain> </Nineain>
Avatar de Usuario
Nineain
:-)
:-)
 
Mensajes: 2
Registrado: Lun Nov 14, 2011 2:51 pm
Ubicación: España

Re: AIX Crear users root y obligar a cambiar password 1er lo

Notapor vlan7 » Mié Nov 23, 2011 7:44 pm

Nineain escribió:clap, clap, clap, clap


Buen charleston maestro :embudito:
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: AIX Crear users root y obligar a cambiar password 1er lo

Notapor NewLog » Sab Nov 26, 2011 1:21 am

Lo cierto es que siempre me siento mal cuando alguien tiene un problema o va explicando sus temillas, y yo cuando no tengo ni idea, pues no puedo contestar y el hilo se queda sin respuesta o ayudas, como si se pasara por alto.

En fin, lo que quiero decir es que es de agradecer que alguien se marque estos monólogos, porqué en un futuro, ya sabré por dónde empezar a buscar si me topo con algo parecido ;)

Saludos!
Imagen
http://www.overflowedminds.net - Quieres introducirte al exploiting?
Avatar de Usuario
NewLog
<|:-D
<|:-D
 
Mensajes: 1130
Registrado: Sab Ene 14, 2006 1:03 am

Re: AIX Crear users root y obligar a cambiar password 1er lo

Notapor Newhack » Dom Nov 27, 2011 10:05 pm

Newlog escribió:Lo cierto es que siempre me siento mal cuando alguien tiene un problema o va explicando sus temillas, y yo cuando no tengo ni idea, pues no puedo contestar y el hilo se queda sin respuesta o ayudas, como si se pasara por alto.
Lo se, lo se. Al otro "new" le pasa con gran frecuencia, :roll: , a veces tengo la impresión de ser el mas tonto del foro. :oops: :oops: ,Ains!.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1871
Registrado: Jue Dic 20, 2007 7:36 pm

Re: AIX Crear users root y obligar a cambiar password 1er lo

Notapor NewLog » Dom Nov 27, 2011 11:30 pm

Tranquilo, no es una cuestión de inteligencia, sólo es cuestión de edad (ayy! quería decir experiencia) :embudito:

Que se haga el fuego, que prendan las antorchas :badgrin:
Imagen
http://www.overflowedminds.net - Quieres introducirte al exploiting?
Avatar de Usuario
NewLog
<|:-D
<|:-D
 
Mensajes: 1130
Registrado: Sab Ene 14, 2006 1:03 am

Re: AIX Crear users root y obligar a cambiar password 1er lo

Notapor Newhack » Mar Nov 29, 2011 8:05 pm

No me tientes, no me tientes, mira que llamo al consejo, ¿eh?.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1871
Registrado: Jue Dic 20, 2007 7:36 pm

Re: AIX Crear users root y obligar a cambiar password 1er lo

Notapor vlan7 » Mié Nov 30, 2011 2:54 am

jajaja solo hay dos tipos de news, digo personas en el mundo.

Los Bart Simpson dirian chulescos "multiplicate por cero".

Los assemblers dirian "xor ax,ax"

Y luego aparte hay dos tipos de exploiters en el mundo. Los que construyen un NOP-sled en un exploit a base de NOPs y los que dicen que un NOP no es mas que exactamente un "xcgh ax, ax"...

jejeje

PD Es tarde, puede que mañana no encuentre demasiado sentido a esto, asi que echad un OPQA a mi salud a vuestro juego favorito de la infancia herejes!
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Re: AIX Crear users root y obligar a cambiar password 1er lo

Notapor Newhack » Jue Dic 01, 2011 9:15 pm

Vlan7 escribió:jajaja solo hay dos tipos de news, digo personas en el mundo.
Querrás decir "solo hay 10 tipos de news, digo personas en el mundo", a menos que tu seas del tipo decimal. :badgrin:

Vlan7 escribió: Los Bart Simpson dirian chulescos "multiplicate por cero".

Los assemblers dirian "xor ax,ax"
:lol: , Vaya, una aplicación práctica del asm en la vida diaria, - me refiero aparte del uso en ordenadores -. Muy bueno.
Avatar de Usuario
Newhack
<|:-D
<|:-D
 
Mensajes: 1871
Registrado: Jue Dic 20, 2007 7:36 pm


Volver a Gnu/Linux y SSOO alternativos

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 5 invitados

cron